Jump to content

Recommended Posts

Добрый день,

Подскажите, поддерживается ли конфигурация файловер из двух hw1000 стояших за статическим натом с пробросом udp 55777, на внешних интерфейсах кластера три серых IP из одной подсети.

На днях собрали такую конфигурацию, внешние клиенты коннектятся, получают сертификат, получают список внутренних адресов ноды кластера, но при этом кластер отображается как недоступный и взаимодействие на этом прекрашается.

Share this post


Link to post
Share on other sites

Конечно поддерживает. Думаю не настроили failover в режим статической трансляции. Клиент коннектица к координатору и он "видит", что failover настроен в режим "без межсетевого экрана" и адреса доступа выставляет серые. Еще как вариант - маршрутизация: координатор будет видеть внешних пользователей под виртуальными ip адресами и по маршрутам заворачивает не на внешку.

Share this post


Link to post
Share on other sites
Думаю не настроили failover в режим статической трансляции.

если вы про iplir.conf, то там вроде бы все настроено:

[id]

id= 0x0ac0000f

name= HW1000кластер

filterdefault= pass

ip= 10.172.16.2

ip= 172.16.102.2

ip= 10.0.0.135

firewallip= внешний ip

port= 55777

proxyid= 0x00000000

usefirewall= on

fixfirewall= on

virtualip= 10.0.0.1

version= 2.12-1025

[adapter]

name= eth1

ip= 172.16.102.2

allowtraffic= on

type= external

[dynamic]

dynamic_proxy= off

firewallip= внешний ip

port= 55777

forward_id= 0x00000000

always_use_server= off

timeout= 25

Еще как вариант - маршрутизация: координатор будет видеть внешних пользователей под виртуальными ip адресами и по маршрутам заворачивает не на внешку.

на кластере виртуалIP вот такие(я правильно понимаю, что речь идет о virtualip в iplir.conf?):

[virtualip]

startvirtualip= 10.0.0.1

endvirtualip= 10.0.0.4

maxvirtualip= 10.0.254.254

они явно пересекаются с локальной сетью

каким образом их можно поменять?

Share this post


Link to post
Share on other sites

Например, поменять можно так:

[virtualip]

startvirtualip= 11.0.0.1

endvirtualip= 11.0.0.4

maxvirtualip= 11.0.254.254

И при старте демона iplir система автоматом пересчитает их. Еще проверка соединения может не проходить, если застоплен демон iplir.

Share this post


Link to post
Share on other sites

iplir был запущен

проблема заключалась в пересечении адресов, теперь координатор доступен

адреса пока что поменял на 13.0.0.x, потом заменю на приватные адреса

теперь координатор стал доступен по виртуальным IP

теперь думаю, как бы заставить клиента работать с незашишенным сервером, расположенным за координаторами, при том, что на сервере шлюзом ро умелчанию настроен не координатор

Share this post


Link to post
Share on other sites

сервер туннелируется координатором? клиент с по ViPNet?

Share this post


Link to post
Share on other sites

клиент с по ViPNet Client

весь диапазон, в котором стоят серевера туннелируется

если я правильно понял, то на сервера предется добавлять статические маршруты на виртуальные адреса клиентов?

может быть можно натить на координаторе внешних клиентов в адресное пространство за координатором?

Share this post


Link to post
Share on other sites

Да, конечно надо натить. Поднимай динамический нат и нать во внутренний адрес координатора. Только доку почитай как задавать правила. Сразу скажу, тебе надо натить виртуальную подсеть и после лексеммы to обязательно должно следовать any.

Share this post


Link to post
Share on other sites

Спасибо за помошь, все получилось

[nat]

rule= num 1 proto any from 13.0.0.0/8 to anyip change src=внутренний ip кластера

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.