Coordinator Linux

[RgDarkDuke]

Подскажите. Смысл что есть Linux, на котором Linux Coordinator, а на винде цус,монитора и УКЦ. Координатор смотрит в локалку и в интернет,к нему подрублен один комп. В ЦУСе делаю следующее. Задаю один СМ, к нему подрубаю один абонентский пункт, в сетевых группах делаю "узел1"и вношу туда координатор и админа. В типах коллектива два коллектива координатор и администратор связанные между собой и областью действия "узел1".Справочники формирются без аномалий. В УКЦ выгружаю дистрибутивы ключей сетевого узла, дистрибутив координатора использую при при первичной установке на линуксе, дистрибутив админа на клиентском компе с виндой, все ставится нормально. Но затем Випнет монитор на винде блокирует пакеты от координатора с пометкой "блокирован незашифрованный пакет" и соответственно связи между ними нет. Подскажите в чем проблема может быть?

[slavanchuk]

Подскажите. Смысл что есть Linux, на котором Linux Coordinator, а на винде цус,монитора и УКЦ. Координатор смотрит в локалку и в интернет,к нему подрублен один комп. В ЦУСе делаю следующее. Задаю один СМ, к нему подрубаю один абонентский пункт, в сетевых группах делаю "узел1"и вношу туда координатор и админа. В типах коллектива два коллектива координатор и администратор связанные между собой и областью действия "узел1".Справочники формирются без аномалий. В УКЦ выгружаю дистрибутивы ключей сетевого узла, дистрибутив координатора использую при при первичной установке на линуксе, дистрибутив админа на клиентском компе с виндой, все ставится нормально. Но затем Випнет монитор на винде блокирует пакеты от координатора с пометкой "блокирован незашифрованный пакет" и соответственно связи между ними нет. Подскажите в чем проблема может быть?

Сложно на вскидку сказать, но попробую. Во-первых, хотелось бы уточнить фразу "и областью действия "узел 1". Значит ли это, что у них с координатором общий тип коллектива? В любом случае Вы говорите, что координатор и администратор связаны друг с другом, значит они должны работать друг с другом. Ошибка "блокирован незашифрованный пакет" может вылезать, если у Вас Випнеты не знают о существовании друг друга. С одной стороны, они производят поиск широковещательными папкетами, но на всякий случай необходимо прописать адрес координатора клиенту, чтобы он знал в какую сторону отправлять зашифрованный трафик. То же самое можно проделать и на координаторе (или на одном из них). Но это так, навскидку. Попробуйте.

[RgDarkDuke]

Сложно на вскидку сказать, но попробую. Во-первых, хотелось бы уточнить фразу "и областью действия "узел 1". Значит ли это, что у них с координатором общий тип коллектива? В любом случае Вы говорите, что координатор и администратор связаны друг с другом, значит они должны работать друг с другом. Ошибка "блокирован незашифрованный пакет" может вылезать, если у Вас Випнеты не знают о существовании друг друга. С одной стороны, они производят поиск широковещательными папкетами, но на всякий случай необходимо прописать адрес координатора клиенту, чтобы он знал в какую сторону отправлять зашифрованный трафик. То же самое можно проделать и на координаторе (или на одном из них). Но это так, навскидку. Попробуйте.

Ну немножко по другому тогда. Есть СМ, в нем АП. Есть да типа коллектива СМ (coordinator) с областью действия СМ и АП (admin) с областью действия АП. Оба типа коллектива связаны друг с другом. Смысл в том, что я инициализирую coordinator на линуксе то в файле iplir.conf прописываются интерфейсы координатора ( в моем случае,192.168.2.1 и 192.168.3.1), а admin стоит по 0.0.0.0., когда я указываю в клиенте реальный ip координатора, клиент должен подключиться и в iplir.conf должен прописаться интерфейс admina, но этого нифига не происходит. То брандмауэр отрублен линуксовский естественно и у меня слега ступор по какой причине они все же не видят друг друга.=( То есть все банально же по факту.Два компа. линукс с координатором смотрят в локулку и в инет, второй комп подрублен к координатору. Без випнета все отлично пингуеется и т.д. С ними же все к чертям идет.=(

[slavanchuk]

Ну немножко по другому тогда. Есть СМ, в нем АП. Есть да типа коллектива СМ (coordinator) с областью действия СМ и АП (admin) с областью действия АП. Оба типа коллектива связаны друг с другом. Смысл в том, что я инициализирую coordinator на линуксе то в файле iplir.conf прописываются интерфейсы координатора ( в моем случае,192.168.2.1 и 192.168.3.1), а admin стоит по 0.0.0.0., когда я указываю в клиенте реальный ip координатора, клиент должен подключиться и в iplir.conf должен прописаться интерфейс admina, но этого нифига не происходит. То брандмауэр отрублен линуксовский естественно и у меня слега ступор по какой причине они все же не видят друг друга.=( То есть все банально же по факту.Два компа. линукс с координатором смотрят в локулку и в инет, второй комп подрублен к координатору. Без випнета все отлично пингуеется и т.д. С ними же все к чертям идет.=(

То есть, в iplir.conf не обновляется информация и, как результат, vipnet не знает что нужно работать с клиентом по зашифрованному трафику. Может, проблема банально в правах на файлах? На чистый линукс ставили или уже на замученный? По логике работы ViPnet больше подсказать нечего - тут уже системная проблема, скорее всего. А что за линукс у Вас?

[RgDarkDuke]

SUSE Linux Enterpise Server SP3, чистый линукс, пользователь root.

[slavanchuk]

SUSE Linux Enterpise Server SP3, чистый линукс, пользователь root.

У нас тоже линуксовые координаторы на SuSe крутятся, только на более старом (10-ка, вроде). А если попробовать задать адреса явно через справочники, то обновление iplir.conf произойдёт? Попробуйте.

[RgDarkDuke]

Да и у меня десятка.SUSE Linux Enterpise Server 10 SP3.

Захожу в ЦУС. "Защита трафика", там админ у меня и сам координатор. Задаю там админу жестко айпи. Инициализирую при установке координатора на Линуксе с помощью дистрибутива ключей сетевого узла coordinator, соответственно в iplir.conf айпи админа уже задан.

[slavanchuk]

Да и у меня десятка.SUSE Linux Enterpise Server 10 SP3. "Защита трафика", там админ у меня и сам координатор. Задаю там админу жестко айпи.

А если заново провести первичную инициализацию координатора?

[RgDarkDuke]

А если заново провести первичную инициализацию координатора?

Нашел.=) Несколько дней назад глюкануло комп, и одна из манипуляций по восстановлению было выдергивание батарейки из материнки, после чего время я выставить там забыл. Поставил время и все заработало....Жесть. Теперь последний момент это сообразить почему на локальный комп интернет не транслируется.Если по этому моменту кто, что подскажет буду рад=).

slavanchuk, спасибо за подсказки

[slavanchuk]

Нашел.=) Несколько дней назад глюкануло комп, и одна из манипуляций по восстановлению было выдергивание батарейки из материнки, после чего время я выставить там забыл. Поставил время и все заработало....Жесть. Теперь последний момент это сообразить почему на локальный комп интернет не транслируется.Если по этому моменту кто, что подскажет буду рад=).

slavanchuk, спасибо за подсказки

Не за что - не помог,ведь. А у Вас интернет тоже координатором транслируется?

[RgDarkDuke]

Не за что - не помог,ведь. А у Вас интернет тоже координатором транслируется?

Должен им, т.к. трансляция адресов выполняется файрволлом линукса, а его надо отключать при работе с випнетом.

[slavanchuk]

Должен им, т.к. трансляция адресов выполняется файрволлом линукса, а его надо отключать при работе с випнетом.

А Вы трансляцию на Vipnete уже настраивали? Если да, то каким образом?

[RgDarkDuke]

Повторюсь. Линуксовский координатор на котором 2 сетевых. в интернет смотрит 192.168.2.21 , в локалку 192.168.3.1(шлюз не указан),на втором компе с клиентом, прописано,192.168.3.2,и шлюзом стоит 192.168.3.1. Випнет ставлю в режим Работы через координатор. Файл firewall.conf в таком виде:

[settings]

[antispoof]

antispoof=no

eth1=internal,192.168.3.1/24

eth2=external,192.168.2.21/24

[broadcast]

rule= num 1 proto udp from any:68 to any:67 out pass

rule= num 2 proto udp from any:67 to any:68 in pass

rule= num 3 proto udp from any:137 to any:137 pass

rule= num 4 proto udp from any:138 to any:138 pass

rule= num 5 proto udp from any to any:53 pass

[nat]

rule= num 10 proto tcp from 192.168.3.0/24 to any change src=192.168.2.21:dynamic

rule= num 10 proto tcp from any to 192.168.2.21:55777 change dst=192.168.3.2:55777

[local]

rule= num 1 proto udp from any:68 to any:67 out pass

rule= num 2 proto udp from any:67 to any:68 in pass

rule= num 3 proto udp from any:137 to any:137 pass

rule= num 4 proto udp from any:138 to any:138 pass

rule= num 5 proto udp from any to any:53 pass

[forward]

rule= num 100 proto tcp from 192.168.3.0/24 to any pass

rule= num 100 proto tcp from any to 192.168.3.2:55777 pass

iplir.conf в таком:

id]

id= 0x06ea000a

name= linuxcoordinator

filterdefault= pass

ip= 192.168.3.1

ip= 192.168.2.21

firewallip= 192.168.3.1

port= 55777

proxyid= 0x06ea000a

usefirewall= on

fixfirewall= off

virtualip= 10.0.0.1

[id]

id= 0xffffffff

name= Encrypted broadcasts

filterdefault= drop

filterudp= 137, 137, pass, any

filterudp= 138, 138, pass, any

filterudp= 68, 67, pass, any

filterudp= 67, 68, pass, any, disable

filterudp= 2046, 0-65535, pass, recv

filterudp= 2046, 2046, pass, send

filterudp= 2048, 0-65535, pass, recv

filterudp= 2050, 0-65535, pass, recv

filterudp= 2050, 2050, pass, send

[id]

id= 0xfffffffe

name= Main Filter

filterdefault= pass

[id]

id= 0x06ea000b

name= admin

filterdefault= pass

ip= 192.168.3.2

accessip= 192.168.3.2

firewallip= 192.168.3.2

port= 55777

proxyid= 0x06ea000a

dynamic_timeout= 0

usefirewall= on

always_use_server= off

virtualip= 10.0.0.2

version= 3.0-665

[adapter]

name= eth1

ip= 192.168.3.1

allowtraffic= on

type= internal

[adapter]

name= eth2

ip= 192.168.2.21

allowtraffic= on

type= external

[dynamic]

dynamic_proxy= on

firewallip= 192.168.3.1

port= 55777

forward_id= 0x06ea000a

always_use_server= on

timeout= 25

[misc]

packettype= 4.1

timediff= 7200

warnoldautosave= on

client_pollinterval= 300

server_pollinterval= 900

iparponly= off

ifcheck_timeout= 30

ipforwarding= on

mssdecrease= 0

autopasstunnels= on

ciphertype= gost

[RgDarkDuke]

Вообще ступор... Coordinator пингуется, но при том по команде iplir view все пакеты помечены красным как блокированные, а в Source AP пакета почему-то стоят нули, хотя в клиенте связь есть с координатором и пакеты все шифрованные идут в обе стороны и без ошибок.

[RgDarkDuke]

Вообщем переинициализировал все заново, тоже самое. Пакеты в журнале клиента уходят и приходят зашифрованные, связь с координатором есть. В журнале же координатора на линуксе все пакеты помечены как блокированные с подписью "Unknown workstation ID in the packet". Не понимаю почему тогда координатор пингуется и связь есть.

[slavanchuk]

Вообщем переинициализировал все заново, тоже самое. Пакеты в журнале клиента уходят и приходят зашифрованные, связь с координатором есть. В журнале же координатора на линуксе все пакеты помечены как блокированные с подписью "Unknown workstation ID in the packet". Не понимаю почему тогда координатор пингуется и связь есть.

Сложно сказать. Тут бы разработчики что-нибудь подсказали. Я с таким не сталкивался. Может, Stratosу в личку напишите.... Хотя, он, скорее, в техподдержку посоветует обратиться. Поэтому, Вам лучше сразу туда. А потом расскажете в чём причина была. Я ещё подумаю, но идей пока никаких.

[RgDarkDuke]

А вообще если лицензия выдана на определенную сеть, это влияет если при установке и настройке я проверяю все с другими адресами сети? (к примеру сеть в лицензии написана 2930) Тоесть на данный момент в лицензии сеть одна прописана, но сейчас все на тестовых машинах проверяется и сеть соответственно другая?

[Stratos]

slavanchuk прав, советую в ТП написать, наверняка запросят логи, журналы IP пакетов. Просто в рамках форума ТП эти не занимается.

Последний пост вообще не понял...

[slavanchuk]

А вообще если лицензия выдана на определенную сеть, это влияет если при установке и настройке я проверяю все с другими адресами сети? (к примеру сеть в лицензии написана 2930) Тоесть на данный момент в лицензии сеть одна прописана, но сейчас все на тестовых машинах проверяется и сеть соответственно другая?

Вопрос действительно непонятный. Скорее всего, лицензия используется только для того, чтобы отобразить информацию в "О программе" и было понятно программе, что данный продукт работает по лицензии в данной сети. Были случаи с VipNetом, когда при переинициализации на другую сеть (без переустановки) лицензия старая залипала, а потом VipNet жаловался, что у нас абонентский пункт другой сети - и не давал работать совсем.

[RgDarkDuke]

Нет возможности что-то подсказать? "Unknown workstation ID in the packet". Все переинициализировал . Убрал из линукса сетевуху одну. Оставил просто два связанных между собой компьютера напрямую. Все пакеты по журналу координатора с этой пометкой отброшены.Хотя клиент связывается по f5 и пинг также проходит. Источником пакетов в журнале значится ip сетевухи из координатора. На клиенте шлюзом указан локальный интерфейс координатора.

[slavanchuk]

Нет возможности что-то подсказать? "Unknown workstation ID in the packet". Все переинициализировал . Убрал из линукса сетевуху одну. Оставил просто два связанных между собой компьютера напрямую. Все пакеты по журналу координатора с этой пометкой отброшены.Хотя клиент связывается по f5 и пинг также проходит. Источником пакетов в журнале значится ip сетевухи из координатора. На клиенте шлюзом указан локальный интерфейс координатора.

У Вас есть сдвиг с мёртвой точки или всё та же проблема? Что ТП говорит?

[RgDarkDuke]

Пока что ничего. В смысле веду переписку с ТП, разбираюсь, а клиент пока на виндовом координаторе. Кстати тут и по нему вопрос возник=)
/>http://www.infotecs.ru/forum/index.php?showtopic=7209