Chezok Опубликовано 13 Октября 2012 Жалоба Поделиться Опубликовано 13 Октября 2012 Приветствую, вопросов сразу два:1) Когда с администратора высылают любые обновления, будь то справочники ключей или связей, то после принятия обновление на сети координаторов (hw1000 и hw100), все они сваливаются в статический межсетевой экран. В этом режиме они отваливаются от основного координатора. Необходимо, чтобы они работали в динамике, от чего может быть такое ?2) Каждый координатор (hw1000 и hw100C) туннелирует практически всю свою локальную сеть, диапазон от 192.168.0.11 до 192.168.0.254, практически во всём этом диапазоне туннели работают, кроме последнего IP адреса, в 192.168.0.254 никак не хочет лезть в туннель. Уже правила на координаторах связующих на несколько раз по проверяли, но у*** не идет в туннель. В журналах пишет, что получает тунельный запрос и перекидывает его на след интерфейс, но ответа всё равно нет. Если туннельному ПК сменить адрес с 192.168.0.254 на 192.168.0.253 то туннели сразу доступны становятся, меняем обратно и снова не доступны. И такое на всех координаторах. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 13 Октября 2012 Жалоба Поделиться Опубликовано 13 Октября 2012 Приветствую, вопросов сразу два:1) Когда с администратора высылают любые обновления, будь то справочники ключей или связей, то после принятия обновление на сети координаторов (hw1000 и hw100), все они сваливаются в статический межсетевой экран. В этом режиме они отваливаются от основного координатора. Необходимо, чтобы они работали в динамике, от чего может быть такое ?2) Каждый координатор (hw1000 и hw100C) туннелирует практически всю свою локальную сеть, диапазон от 192.168.0.11 до 192.168.0.254, практически во всём этом диапазоне туннели работают, кроме последнего IP адреса, в 192.168.0.254 никак не хочет лезть в туннель. Уже правила на координаторах связующих на несколько раз по проверяли, но у*** не идет в туннель. В журналах пишет, что получает тунельный запрос и перекидывает его на след интерфейс, но ответа всё равно нет. Если туннельному ПК сменить адрес с 192.168.0.254 на 192.168.0.253 то туннели сразу доступны становятся, меняем обратно и снова не доступны. И такое на всех координаторах.Попробую ответить по первому вопросу. Чтобы всегда было "с динамической трансляцией" необходимо в параметрах прикладной задачи "защита трафика":1. Добавить адреса всех интерфейсов2. Е:ADDR-0.0.0.0:OUT (ADDR - адрес внешнего сетевого интерфейса координатора)3. PRID=ID (ID - идентификатор координатора для внешних соединений)4. DYN:SRV (если все соединения с внешними АП должны идти через внешний координатор) или DYNПосле этих настроек вся конфигурация будет хранится в справочниках и не должна сбиваться.По второму вопросу вряд ли смогу что-то подсказать - не сталкивался. Тут стоит посмотреть настройки межсетевого экрана и маршрутизацию. Может, там что-то не так. Туннелей вряд ли может не хватить, так как у HW таких ограничений,вроде как, нет. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 13 Октября 2012 Жалоба Поделиться Опубликовано 13 Октября 2012 1. Прописано ли в цус в ip-адресах координаторов только строка E:... ? именно она и будет выставлять координатор в статику. Если хочешь динамику, то посмотри доку. Там надо несколько параметров прописывать, такие как PRID, DYN:SRV, адреса и т.д.2. Какая маска подсети? Посмотри также сколько туннелируемых лицензий задействовано, когда не работает .254. Я бы для начала локализовал проблему следующим образом: с .254 обратись на другой туннелируемый ресурс и на соседнем координаторе посмотри tcpdump'ом на внутреннем интерфейсе трафик от .254. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Chezok Опубликовано 13 Октября 2012 Автор Жалоба Поделиться Опубликовано 13 Октября 2012 1. Прописано ли в цус в ip-адресах координаторов только строка E:... ? именно она и будет выставлять координатор в статику. Если хочешь динамику, то посмотри доку. Там надо несколько параметров прописывать, такие как PRID, DYN:SRV, адреса и т.д.2. Какая маска подсети? Посмотри также сколько туннелируемых лицензий задействовано, когда не работает .254. Я бы для начала локализовал проблему следующим образом: с .254 обратись на другой туннелируемый ресурс и на соседнем координаторе посмотри tcpdump'ом на внутреннем интерфейсе трафик от .254. 1. Ну я так и думал, что виной всему настройки в ЦУСе, там указан IP для связи без всяких обозначений, надо доки будет поднять ещё разок.2. На HW1000 нет ограничений на туннели, пробовали, туннель доходит до соседнего координатора и... всё, вроде и пишет что пропускает пакет на внутренний интерфейс но ничего в ответ не вылетает. Так же пробовалось в обратную сторону и на другие ПК, почему то по 254 у*** не хочет вести обмен... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 13 Октября 2012 Жалоба Поделиться Опубликовано 13 Октября 2012 1. Ну я так и думал, что виной всему настройки в ЦУСе, там указан IP для связи без всяких обозначений, надо доки будет поднять ещё разок.2. На HW1000 нет ограничений на туннели, пробовали, туннель доходит до соседнего координатора и... всё, вроде и пишет что пропускает пакет на внутренний интерфейс но ничего в ответ не вылетает. Так же пробовалось в обратную сторону и на другие ПК, почему то по 254 у*** не хочет вести обмен...Выписку по настройкам из документации я привёл в своём сообщении выше. Так что можете просто использовать то, что указано. По второму вопросу посмотрите, пожалуйста, транзитные фильтры и маршрутизацию на всякий случай. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Chezok Опубликовано 17 Октября 2012 Автор Жалоба Поделиться Опубликовано 17 Октября 2012 1. По документации пробовал разные записи, всё равно после любого обновления вываливается в статическую трансляцию, как будто записи игнорируются.2. Вопрос решен, программируемый свичи коряво настроили.Добавилась еще одна проблема3. Создаю АП или СУ, не важно, к примеру создаю Абонентский Пункт, в ЦУС и УКЦ всё завел/сделал, разослал обновления, поднимаю на ПК этот самый АП. На связь не выходит, захожу на координатор (hw1000), В конфиге запись о новом АП есть, при попытке связаться командой "iplir ping *ID_АП*" выдает ошибку "Error: Requested entry not found", запись не найдена ? Пробовал повторно высылать обновления, не помогло. Так же удалил и заново создал АП, не помогает. На все дальнейшие создаваемые новые СУ и АП вылазит эта ошибка и связи нет. Количество лицензий проверял, свободных ещё полно. От чего эта ошибка может вылазить ? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 17 Октября 2012 Жалоба Поделиться Опубликовано 17 Октября 2012 1. По документации пробовал разные записи, всё равно после любого обновления вываливается в статическую трансляцию, как будто записи игнорируются.2. Вопрос решен, программируемый свичи коряво настроили.Добавилась еще одна проблема3. Создаю АП или СУ, не важно, к примеру создаю Абонентский Пункт, в ЦУС и УКЦ всё завел/сделал, разослал обновления, поднимаю на ПК этот самый АП. На связь не выходит, захожу на координатор (hw1000), В конфиге запись о новом АП есть, при попытке связаться командой "iplir ping *ID_АП*" выдает ошибку "Error: Requested entry not found", запись не найдена ? Пробовал повторно высылать обновления, не помогло. Так же удалил и заново создал АП, не помогает. На все дальнейшие создаваемые новые СУ и АП вылазит эта ошибка и связи нет. Количество лицензий проверял, свободных ещё полно. От чего эта ошибка может вылазить ?По первой проблеме - вы какие записи и в кикие прикладные задачи пишете?По третьему вопросу - обновления вы отсылаете не отложенные? они проходят тут же? Время на координаторе не отстаёт на 10-20 минут?"Requested entry not found" означает, что в справочниках (и, как следствие, в iplir.conf) нет секции по данному абонентскому пункту. Следовательно, либо неверно введён ID, либо справочники не применились. Раньше проблем не было? Какую версию VIpNet Administrator используете? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Chezok Опубликовано 17 Октября 2012 Автор Жалоба Поделиться Опубликовано 17 Октября 2012 По первой проблеме - вы какие записи и в кикие прикладные задачи пишете?По третьему вопросу - обновления вы отсылаете не отложенные? они проходят тут же? Время на координаторе не отстаёт на 10-20 минут?"Requested entry not found" означает, что в справочниках (и, как следствие, в iplir.conf) нет секции по данному абонентскому пункту. Следовательно, либо неверно введён ID, либо справочники не применились. Раньше проблем не было? Какую версию VIpNet Administrator используете?1. В ЦУСе захожу в "Службы/Груповая регистрация..." дальше выбираю раздел "Координатор HW1000", нахожу нужный и жмем "IP-адреса". И там ввожу следующие записи:IP1:OUTIP2E:IP1-IP3:55777DYNГде IP1 - внешний IP адрес координатора (они в прямой видимости друг друга, мб по броадкасту друг друга опрашивают и на основе него себя в статику ставят ?) соответственно это сам IP, который присвоен сетевому интерфейсу смотрящему на ружу. IP2 - внутренний интерфейс. IP3 - IP адрес координатора, через которого нужно работать.По этим правилам должно вставать в динамику. Но такая необходимость отпала, необходимо чтобы вставало в координатор-координатор. Но если хоть записать или хоть удалить все записи, всё равно вываливается в статику.2. ID правильный пишу, секцию в конфиге IpLir нахожу и она есть там. Отсылаемые обновления в ЦУСе пишет что приняты и применены.В добавок ещё одна проблема:3. В ЦУСе не удаляются после отправки обновления справочников и ключевые наборы. Постоянно висят на отправке, если ток ручками каталоги очистить, только после этого список очищается и то, до следующей отправки обновлений.Версия 3.1, точную сказать пока не могу.Мы приняли в тех. обслуживание очень большую ViPNet сеть, и такие вот проблемы там. Тот, кто отвечал за эту сеть ничего сказать толком не может, после чего как и от чего эти все проблемы начались. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 17 Октября 2012 Жалоба Поделиться Опубликовано 17 Октября 2012 1. В ЦУСе захожу в "Службы/Груповая регистрация..." дальше выбираю раздел "Координатор HW1000", нахожу нужный и жмем "IP-адреса". И там ввожу следующие записи:IP1:OUTIP2E:IP1-IP3:55777DYNГде IP1 - внешний IP адрес координатора (они в прямой видимости друг друга, мб по броадкасту друг друга опрашивают и на основе него себя в статику ставят ?) соответственно это сам IP, который присвоен сетевому интерфейсу смотрящему на ружу. IP2 - внутренний интерфейс. IP3 - IP адрес координатора, через которого нужно работать.По этим правилам должно вставать в динамику. Но такая необходимость отпала, необходимо чтобы вставало в координатор-координатор. Но если хоть записать или хоть удалить все записи, всё равно вываливается в статику.2. ID правильный пишу, секцию в конфиге IpLir нахожу и она есть там. Отсылаемые обновления в ЦУСе пишет что приняты и применены.В добавок ещё одна проблема:3. В ЦУСе не удаляются после отправки обновления справочников и ключевые наборы. Постоянно висят на отправке, если ток ручками каталоги очистить, только после этого список очищается и то, до следующей отправки обновлений.Версия 3.1, точную сказать пока не могу.Мы приняли в тех. обслуживание очень большую ViPNet сеть, и такие вот проблемы там. Тот, кто отвечал за эту сеть ничего сказать толком не может, после чего как и от чего эти все проблемы начались.Не удаляются из отправки?! Стоит посмотреть права на файлы и папки ЦУСа, ведь он делает то же самое, что и Вы руками. По поводу первого вопроса ещё подумаю, посовещаюсь с коллегами и отпишусь. Может, они что-нибудь интересное подскажут. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.