Jump to content

Recommended Posts

Приветствую, вопросов сразу два:

1) Когда с администратора высылают любые обновления, будь то справочники ключей или связей, то после принятия обновление на сети координаторов (hw1000 и hw100), все они сваливаются в статический межсетевой экран. В этом режиме они отваливаются от основного координатора. Необходимо, чтобы они работали в динамике, от чего может быть такое ?

2) Каждый координатор (hw1000 и hw100C) туннелирует практически всю свою локальную сеть, диапазон от 192.168.0.11 до 192.168.0.254, практически во всём этом диапазоне туннели работают, кроме последнего IP адреса, в 192.168.0.254 никак не хочет лезть в туннель. Уже правила на координаторах связующих на несколько раз по проверяли, но у*** не идет в туннель. В журналах пишет, что получает тунельный запрос и перекидывает его на след интерфейс, но ответа всё равно нет. Если туннельному ПК сменить адрес с 192.168.0.254 на 192.168.0.253 то туннели сразу доступны становятся, меняем обратно и снова не доступны. И такое на всех координаторах.

Share this post


Link to post
Share on other sites

Приветствую, вопросов сразу два:

1) Когда с администратора высылают любые обновления, будь то справочники ключей или связей, то после принятия обновление на сети координаторов (hw1000 и hw100), все они сваливаются в статический межсетевой экран. В этом режиме они отваливаются от основного координатора. Необходимо, чтобы они работали в динамике, от чего может быть такое ?

2) Каждый координатор (hw1000 и hw100C) туннелирует практически всю свою локальную сеть, диапазон от 192.168.0.11 до 192.168.0.254, практически во всём этом диапазоне туннели работают, кроме последнего IP адреса, в 192.168.0.254 никак не хочет лезть в туннель. Уже правила на координаторах связующих на несколько раз по проверяли, но у*** не идет в туннель. В журналах пишет, что получает тунельный запрос и перекидывает его на след интерфейс, но ответа всё равно нет. Если туннельному ПК сменить адрес с 192.168.0.254 на 192.168.0.253 то туннели сразу доступны становятся, меняем обратно и снова не доступны. И такое на всех координаторах.

Попробую ответить по первому вопросу. Чтобы всегда было "с динамической трансляцией" необходимо в параметрах прикладной задачи "защита трафика":

1. Добавить адреса всех интерфейсов

2. Е:ADDR-0.0.0.0:OUT (ADDR - адрес внешнего сетевого интерфейса координатора)

3. PRID=ID (ID - идентификатор координатора для внешних соединений)

4. DYN:SRV (если все соединения с внешними АП должны идти через внешний координатор) или DYN

После этих настроек вся конфигурация будет хранится в справочниках и не должна сбиваться.

По второму вопросу вряд ли смогу что-то подсказать - не сталкивался. Тут стоит посмотреть настройки межсетевого экрана и маршрутизацию. Может, там что-то не так. Туннелей вряд ли может не хватить, так как у HW таких ограничений,вроде как, нет.

Share this post


Link to post
Share on other sites

1. Прописано ли в цус в ip-адресах координаторов только строка E:... ? именно она и будет выставлять координатор в статику. Если хочешь динамику, то посмотри доку. Там надо несколько параметров прописывать, такие как PRID, DYN:SRV, адреса и т.д.

2. Какая маска подсети? Посмотри также сколько туннелируемых лицензий задействовано, когда не работает .254. Я бы для начала локализовал проблему следующим образом: с .254 обратись на другой туннелируемый ресурс и на соседнем координаторе посмотри tcpdump'ом на внутреннем интерфейсе трафик от .254.

Share this post


Link to post
Share on other sites

1. Прописано ли в цус в ip-адресах координаторов только строка E:... ? именно она и будет выставлять координатор в статику. Если хочешь динамику, то посмотри доку. Там надо несколько параметров прописывать, такие как PRID, DYN:SRV, адреса и т.д.

2. Какая маска подсети? Посмотри также сколько туннелируемых лицензий задействовано, когда не работает .254. Я бы для начала локализовал проблему следующим образом: с .254 обратись на другой туннелируемый ресурс и на соседнем координаторе посмотри tcpdump'ом на внутреннем интерфейсе трафик от .254.

1. Ну я так и думал, что виной всему настройки в ЦУСе, там указан IP для связи без всяких обозначений, надо доки будет поднять ещё разок.

2. На HW1000 нет ограничений на туннели, пробовали, туннель доходит до соседнего координатора и... всё, вроде и пишет что пропускает пакет на внутренний интерфейс но ничего в ответ не вылетает. Так же пробовалось в обратную сторону и на другие ПК, почему то по 254 у*** не хочет вести обмен...

Share this post


Link to post
Share on other sites

1. Ну я так и думал, что виной всему настройки в ЦУСе, там указан IP для связи без всяких обозначений, надо доки будет поднять ещё разок.

2. На HW1000 нет ограничений на туннели, пробовали, туннель доходит до соседнего координатора и... всё, вроде и пишет что пропускает пакет на внутренний интерфейс но ничего в ответ не вылетает. Так же пробовалось в обратную сторону и на другие ПК, почему то по 254 у*** не хочет вести обмен...

Выписку по настройкам из документации я привёл в своём сообщении выше. Так что можете просто использовать то, что указано. По второму вопросу посмотрите, пожалуйста, транзитные фильтры и маршрутизацию на всякий случай.

Share this post


Link to post
Share on other sites

1. По документации пробовал разные записи, всё равно после любого обновления вываливается в статическую трансляцию, как будто записи игнорируются.

2. Вопрос решен, программируемый свичи коряво настроили.

Добавилась еще одна проблема

3. Создаю АП или СУ, не важно, к примеру создаю Абонентский Пункт, в ЦУС и УКЦ всё завел/сделал, разослал обновления, поднимаю на ПК этот самый АП. На связь не выходит, захожу на координатор (hw1000), В конфиге запись о новом АП есть, при попытке связаться командой "iplir ping *ID_АП*" выдает ошибку "Error: Requested entry not found", запись не найдена ? Пробовал повторно высылать обновления, не помогло. Так же удалил и заново создал АП, не помогает. На все дальнейшие создаваемые новые СУ и АП вылазит эта ошибка и связи нет. Количество лицензий проверял, свободных ещё полно. От чего эта ошибка может вылазить ?

Share this post


Link to post
Share on other sites

1. По документации пробовал разные записи, всё равно после любого обновления вываливается в статическую трансляцию, как будто записи игнорируются.

2. Вопрос решен, программируемый свичи коряво настроили.

Добавилась еще одна проблема

3. Создаю АП или СУ, не важно, к примеру создаю Абонентский Пункт, в ЦУС и УКЦ всё завел/сделал, разослал обновления, поднимаю на ПК этот самый АП. На связь не выходит, захожу на координатор (hw1000), В конфиге запись о новом АП есть, при попытке связаться командой "iplir ping *ID_АП*" выдает ошибку "Error: Requested entry not found", запись не найдена ? Пробовал повторно высылать обновления, не помогло. Так же удалил и заново создал АП, не помогает. На все дальнейшие создаваемые новые СУ и АП вылазит эта ошибка и связи нет. Количество лицензий проверял, свободных ещё полно. От чего эта ошибка может вылазить ?

По первой проблеме - вы какие записи и в кикие прикладные задачи пишете?

По третьему вопросу - обновления вы отсылаете не отложенные? они проходят тут же? Время на координаторе не отстаёт на 10-20 минут?

"Requested entry not found" означает, что в справочниках (и, как следствие, в iplir.conf) нет секции по данному абонентскому пункту. Следовательно, либо неверно введён ID, либо справочники не применились. Раньше проблем не было? Какую версию VIpNet Administrator используете?

Share this post


Link to post
Share on other sites

По первой проблеме - вы какие записи и в кикие прикладные задачи пишете?

По третьему вопросу - обновления вы отсылаете не отложенные? они проходят тут же? Время на координаторе не отстаёт на 10-20 минут?

"Requested entry not found" означает, что в справочниках (и, как следствие, в iplir.conf) нет секции по данному абонентскому пункту. Следовательно, либо неверно введён ID, либо справочники не применились. Раньше проблем не было? Какую версию VIpNet Administrator используете?

1. В ЦУСе захожу в "Службы/Груповая регистрация..." дальше выбираю раздел "Координатор HW1000", нахожу нужный и жмем "IP-адреса". И там ввожу следующие записи:

IP1:OUT

IP2

E:IP1-IP3:55777

DYN

Где IP1 - внешний IP адрес координатора (они в прямой видимости друг друга, мб по броадкасту друг друга опрашивают и на основе него себя в статику ставят ?) соответственно это сам IP, который присвоен сетевому интерфейсу смотрящему на ружу. IP2 - внутренний интерфейс. IP3 - IP адрес координатора, через которого нужно работать.

По этим правилам должно вставать в динамику. Но такая необходимость отпала, необходимо чтобы вставало в координатор-координатор. Но если хоть записать или хоть удалить все записи, всё равно вываливается в статику.

2. ID правильный пишу, секцию в конфиге IpLir нахожу и она есть там. Отсылаемые обновления в ЦУСе пишет что приняты и применены.

В добавок ещё одна проблема:

3. В ЦУСе не удаляются после отправки обновления справочников и ключевые наборы. Постоянно висят на отправке, если ток ручками каталоги очистить, только после этого список очищается и то, до следующей отправки обновлений.

Версия 3.1, точную сказать пока не могу.

Мы приняли в тех. обслуживание очень большую ViPNet сеть, и такие вот проблемы там. Тот, кто отвечал за эту сеть ничего сказать толком не может, после чего как и от чего эти все проблемы начались.

Share this post


Link to post
Share on other sites

1. В ЦУСе захожу в "Службы/Груповая регистрация..." дальше выбираю раздел "Координатор HW1000", нахожу нужный и жмем "IP-адреса". И там ввожу следующие записи:

IP1:OUT

IP2

E:IP1-IP3:55777

DYN

Где IP1 - внешний IP адрес координатора (они в прямой видимости друг друга, мб по броадкасту друг друга опрашивают и на основе него себя в статику ставят ?) соответственно это сам IP, который присвоен сетевому интерфейсу смотрящему на ружу. IP2 - внутренний интерфейс. IP3 - IP адрес координатора, через которого нужно работать.

По этим правилам должно вставать в динамику. Но такая необходимость отпала, необходимо чтобы вставало в координатор-координатор. Но если хоть записать или хоть удалить все записи, всё равно вываливается в статику.

2. ID правильный пишу, секцию в конфиге IpLir нахожу и она есть там. Отсылаемые обновления в ЦУСе пишет что приняты и применены.

В добавок ещё одна проблема:

3. В ЦУСе не удаляются после отправки обновления справочников и ключевые наборы. Постоянно висят на отправке, если ток ручками каталоги очистить, только после этого список очищается и то, до следующей отправки обновлений.

Версия 3.1, точную сказать пока не могу.

Мы приняли в тех. обслуживание очень большую ViPNet сеть, и такие вот проблемы там. Тот, кто отвечал за эту сеть ничего сказать толком не может, после чего как и от чего эти все проблемы начались.

Не удаляются из отправки?! Стоит посмотреть права на файлы и папки ЦУСа, ведь он делает то же самое, что и Вы руками. По поводу первого вопроса ещё подумаю, посовещаюсь с коллегами и отпишусь. Может, они что-нибудь интересное подскажут.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.