do33ep Опубликовано 23 Декабря 2012 Жалоба Поделиться Опубликовано 23 Декабря 2012 Доброго времени суток.Сетевое взаимодействие осуществляется между Гол.компанией и филиалами (10). В головной компании установлен координатор версии 3.2(9_11025), который предоставляет доступ к серверам приложений, туннелируя эти ресурсы.В нашем филиале установлено 1 раб. место администратора (администратор, клиент) и 1 сервер (координатор). Версия администратора, клиента и координатора - 3.1(1_5056). Координатор не стоит на границе сети, а находится за NATом (DLink router), который и разделяет сети. На роутере осуществлен проброс портов UDP 2046-2047, 55777 и TCP 5000-5003 по адресу внешнего интерфейса координатора. К внутреннему интерфейсу координатора подключено 1 защищенное раб. место (ЦУС, УКЦ, клиент] и одно незащищенное раб. место, которое туннелируется координатором. Необходимо осуществить доступ с рабочих мест нашей внутренней сети к ресурсам гол. компании.Что имеем на сегодняшний день:1) Межсетевое взаимодействие между координаторами установлено. Доступ к ресурсам гол. компании разрешен.2) С нашего координатора мы видим нашего клиента и координатор головной компании. Связь установлена со всеми узлами. Доступ к ресурсам координатора гол. компании есть (ping идет и по журналам видна вся цепочка, как в прямом, так и в обратном направлении).3) С нашего защ. рабочего места мы видим свой координатор и координатор гол. компании, но при проверке связи с координатором гол. компании - связь не устанавливается. Так же нет доступа к ресурсам гол. компании. Ping по адресам серверов приложений не идет.4) С нашего незащ. рабочего места, которое туннелируется нашим координатором, так же нет доступа к ресурсам гол. компании. Ping по адресам серверов приложений не идет.Уже вроде все перепробовал, даже ставил наш координатор на границу сети.Параметры нашей сети:DLink routerWAN:IP: 84.204.100.100GW:84.204.100.1LAN:IP: 192.168.0.1ports: UDP 2046-2047, 55777 и TCP 5000-5003 ---> 192.168.0.50 (адр. внешн. интерфейса координатора)КоординаторВнешн. интерфейс:IP: 192.168.0.50/24GW: 192.168.0.1Внутр. интерфейс:IP: 192.168.1.1**настройки в ЦУСе: E:192.160.0.50-84.204.100.100:OUT S:192.168.1.4Защ. раб. место (администратор):IP: 192.168.1.10GW: 192.168.1.1Неащ. раб. место (туннелируемое):IP: 192.168.1.4GW: 192.168.1.1Сисадмин головной компании порекомендовал осуществить переход на клиента и координатор версии (3.2(9_11025)), но у меня нет уверенности, что переход на новую версию что то изменит.Вопрос:1) Как по журналам, установить на каком этапе теряются пакеты, или какие настройки проверить, интуитивно чувствую, что дело не в версионности?2) Как осуществить переход на клиента и координатор версии (3.2(9_11025)), и не будет ли конфликтов с ЦУС и УКЦ старой версии?Премного благодарен - начинающий. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 23 Декабря 2012 Жалоба Поделиться Опубликовано 23 Декабря 2012 Шлюз на туннелируемом ресурсе в ГК куда настроен? Думаю, что обратные пакеты от него не попадают на координатор ГК. Что касается доступ клиента к координатору ГК, то тут на своем координаторе в журнале ip-пакетов должно быть событие 44 между клиентом и координатором ГК. На координаторе ГК что пишет журнал ip-пакетов от клиента? В каком режиме работает клиент (статика, динамика, без М, за координатором)? P.S. Обновлять ПО имеет смысл всегда. Но у тебя стоит сертифицированная версия...P.S.S. Проброс можно оставить только udp:55777. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
do33ep Опубликовано 23 Декабря 2012 Автор Жалоба Поделиться Опубликовано 23 Декабря 2012 Шлюз на туннелируемом ресурсе в ГК куда настроен? Думаю, что обратные пакеты от него не попадают на координатор ГК. Что касается доступ клиента к координатору ГК, то тут на своем координаторе в журнале ip-пакетов должно быть событие 44 между клиентом и координатором ГК. На координаторе ГК что пишет журнал ip-пакетов от клиента? В каком режиме работает клиент (статика, динамика, без М, за координатором)?P.S. Обновлять ПО имеет смысл всегда. Но у тебя стоит сертифицированная версия...P.S.S. Проброс можно оставить только udp:55777.1) Шлюз на туннелируемом ресурсе в ГК (точно не знаю, завтра выясню) думаю настроен правильно, т.к. если бы обратные пакеты от него не попадали на координатор ГК, то я не смог бы со своего координатора запустить ping к этим ресурсам, и получить ответ.2) С клиента сделал ping "адрес_ресурса ГК". Ответа нет, потеряно 100% пакетов. В журнале моего координатора событие 44 между клиентом и координатором ГК зафиксировано. Источник "клиент", назначение "координатор ГК", протокол UDP, порт источника 61897, порт назначения 55777, кол-во пакетов 8. В журнале координатора ГК вижу исходящий с событием 44, источник "клиент", назначение "координатор ГК", протокол UDP, порт источника 61897, порт назначения 55777, кол-во пакетов 83) Клиент находится за координатором. Термины статика, динамика, без М - поясните, я начинающий. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 23 Декабря 2012 Жалоба Поделиться Опубликовано 23 Декабря 2012 1. Если так, то дело в настройках. На твоем и удаленном координаторах должны быть прописаны свои и удаленные туннелируемые ресурсы. Проверь.2. Странно, что координатор свой трафик видит как транзитный (44 событие)... должно быть событие 40, значит смотрим не то.3. Сервис - Настройка, Защищенная сеть. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
do33ep Опубликовано 23 Декабря 2012 Автор Жалоба Поделиться Опубликовано 23 Декабря 2012 3) на клиенте: Сервис - Настройка, Защищенная сеть - сервер IP адресов - мой_координатор, порт инкапсуляции - 55777, использовать межсетевой экран - галка стоит, тип межсет. экрана - координатор, координатор - мой_координатор2) действительно смотрю не то.1) на моем координаторе в правила доступа - туннель - указан только реальный и виртуальный адреса моего туннелируемого ресурса. На координаторе ГК в правила доступа - туннель - указан только реальные и виртуальные адреса их туннелируемых ресурсов. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 23 Декабря 2012 Жалоба Поделиться Опубликовано 23 Декабря 2012 3. Настройки для клиента в порядке.1. Теперь тоже самое на своем клиенте, кроме своих туннелируемых ресурсов, и на координаторе ГК. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
do33ep Опубликовано 23 Декабря 2012 Автор Жалоба Поделиться Опубликовано 23 Декабря 2012 не понял 1. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 23 Декабря 2012 Жалоба Поделиться Опубликовано 23 Декабря 2012 На своем клиенте в защищенной сети в настройках для координатора ГК во вкладке туннель должны быть прописаны адреса. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
do33ep Опубликовано 23 Декабря 2012 Автор Жалоба Поделиться Опубликовано 23 Декабря 2012 На своем клиенте в защищенной сети в настройках для координатора ГК во вкладке туннель должны быть прописаны адреса.использовать IP адреса для туннелирования - галка стоит, реальные адреса - виртуальные:10.20.31.125 - 11.0.0.5 - незнаю, что это за ресурсы (в смысле, что нет ни одной программы, ссылающейся на данный адрес)10.20.31.202 - 10.20.31.219 - 12.0.0.1 - 12.0.0.18 - это как раз те самые адреса нужных нам ресурсовиспользовать вирт.адреса - галка снятане туннелировать IP адреса, входящие в подсеть Вашего компа - галка снятане туннелировать следующие IP адреса - пусто Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 23 Декабря 2012 Жалоба Поделиться Опубликовано 23 Декабря 2012 С настройками все ок. На координаторе ГК ищем 45 события на внешнем интерфейсе и 63 на внутреннем. В общем, на координаторе ГК в журнале ip-пакетов должны быть 63 события на внутреннем интерфейсе как входящие (от туннеля), так исходящие (в сторону туннеля). Если этого нет, то пакеты не долетают до координатора. Как раз посмотрим и почему нет соединения с координатором. В целом надо посмотреть пакеты от клиента на координаторе ГК с каким событием они регистрируются. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
do33ep Опубликовано 24 Декабря 2012 Автор Жалоба Поделиться Опубликовано 24 Декабря 2012 Переустановил клиента и координатор под 3.2(9-11025). Проделали все манипуляции по обмену.Что изменилось в лучшую сторону (все работает, как надо):1.1 координатор ГК теперь видит (доступен) наш координатор и клиента1.2 наш координатор и клиент видят (доступен) координатор ГК1.3 с клиента есть доступ ко всем туннелируемым координатором ГК ресурсамВ чем печаль (нифига не работает):2.1 не могу пропинговать со своего координатора никакие туннелируемым координатором ГК ресурсы2.2 не могу пропинговать со своего координатора публичный IP координатора ГК (ни по реальным, ни по виртуальным)2.3 со своего туннелируемого ресурса не могу пропинговать публичный IP координатора ГК, никакие туннелируемым координатором ГК ресурсыЧто удалось выяснить:Пинг от моего туннелированного ресурса до координатора идет, и от него обратно то же. Теперь самое главное: когда пингую какой либо туннелируемым координатором ГК ресурс в журнале моего координатора нет никаких следов поступления пакетов от моего туннелируемого адреса. Когда пингуется мой туннелируемый ресурс с координатора ГК в журнале координатора ГК имеется информация по 63 и 45 событиям, в журнале моего координатора только событие 45 (расшифрован) - дальше все !!! Я так понимаю, что проблема моего координатора. В какую сторону глядеть, ума не приложу Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 25 Декабря 2012 Жалоба Поделиться Опубликовано 25 Декабря 2012 2.2. Это адрес самого координатора? В общем, координатор доступен по одному адресу для ViPNet и его можно посмотреть в защищенной сети (если адреса отображаются), он будет самым первым. Если пинги идут в на отличные адреса, то они считаются открытыми и обрабатываются firewall. Так ли это или нет легко узнать: выставь режим безопасности 3 и пробуй пинг. Если идет, то нужны фильтры, если не идет, то надо думать дальше.2.3. Опять-таки, пинг публичного адреса, который ни кем не туннелируется, по отношению к координатору является открытым и попадает под firewall. Если необходим выход в Интернет, то нужно поднимать динамический нат и правила форварда...Случаем в настройках максимальный размер журнала не установлен в 0? Форвард в системе включен? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
do33ep Опубликовано 27 Декабря 2012 Автор Жалоба Поделиться Опубликовано 27 Декабря 2012 AnToN©, спасибо за консультации. Все дело оказалось в железе. Поставил PCI Realteк 8139 карточки и все заработало.Тема закрыта. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.