Файловер Hw1000 За Статическим Натом

[vsadmin 0]

Добрый день,

Подскажите, поддерживается ли конфигурация файловер из двух hw1000 стояших за статическим натом с пробросом udp 55777, на внешних интерфейсах кластера три серых IP из одной подсети.

На днях собрали такую конфигурацию, внешние клиенты коннектятся, получают сертификат, получают список внутренних адресов ноды кластера, но при этом кластер отображается как недоступный и взаимодействие на этом прекрашается.

[AnTonN(c) 0]

Конечно поддерживает. Думаю не настроили failover в режим статической трансляции. Клиент коннектица к координатору и он "видит", что failover настроен в режим "без межсетевого экрана" и адреса доступа выставляет серые. Еще как вариант - маршрутизация: координатор будет видеть внешних пользователей под виртуальными ip адресами и по маршрутам заворачивает не на внешку.

[vsadmin 0]

Думаю не настроили failover в режим статической трансляции.

если вы про iplir.conf, то там вроде бы все настроено:

[id]

id= 0x0ac0000f

name= HW1000кластер

filterdefault= pass

ip= 10.172.16.2

ip= 172.16.102.2

ip= 10.0.0.135

firewallip= внешний ip

port= 55777

proxyid= 0x00000000

usefirewall= on

fixfirewall= on

virtualip= 10.0.0.1

version= 2.12-1025

[adapter]

name= eth1

ip= 172.16.102.2

allowtraffic= on

type= external

[dynamic]

dynamic_proxy= off

firewallip= внешний ip

port= 55777

forward_id= 0x00000000

always_use_server= off

timeout= 25

Еще как вариант - маршрутизация: координатор будет видеть внешних пользователей под виртуальными ip адресами и по маршрутам заворачивает не на внешку.

на кластере виртуалIP вот такие(я правильно понимаю, что речь идет о virtualip в iplir.conf?):

[virtualip]

startvirtualip= 10.0.0.1

endvirtualip= 10.0.0.4

maxvirtualip= 10.0.254.254

они явно пересекаются с локальной сетью

каким образом их можно поменять?

[AnTonN(c) 0]

Например, поменять можно так:

[virtualip]

startvirtualip= 11.0.0.1

endvirtualip= 11.0.0.4

maxvirtualip= 11.0.254.254

И при старте демона iplir система автоматом пересчитает их. Еще проверка соединения может не проходить, если застоплен демон iplir.

[vsadmin 0]

iplir был запущен

проблема заключалась в пересечении адресов, теперь координатор доступен

адреса пока что поменял на 13.0.0.x, потом заменю на приватные адреса

теперь координатор стал доступен по виртуальным IP

теперь думаю, как бы заставить клиента работать с незашишенным сервером, расположенным за координаторами, при том, что на сервере шлюзом ро умелчанию настроен не координатор

[AnTonN(c) 0]

сервер туннелируется координатором? клиент с по ViPNet?

[vsadmin 0]

клиент с по ViPNet Client

весь диапазон, в котором стоят серевера туннелируется

если я правильно понял, то на сервера предется добавлять статические маршруты на виртуальные адреса клиентов?

может быть можно натить на координаторе внешних клиентов в адресное пространство за координатором?

[AnTonN(c) 0]

Да, конечно надо натить. Поднимай динамический нат и нать во внутренний адрес координатора. Только доку почитай как задавать правила. Сразу скажу, тебе надо натить виртуальную подсеть и после лексеммы to обязательно должно следовать any.

[vsadmin 0]

Спасибо за помошь, все получилось

[nat]

rule= num 1 proto any from 13.0.0.0/8 to anyip change src=внутренний ip кластера