Межсетевое Взаимодействие Help!

[do33ep]

Доброго времени суток.

Сетевое взаимодействие осуществляется между Гол.компанией и филиалами (10). В головной компании установлен координатор версии 3.2(9_11025), который предоставляет доступ к серверам приложений, туннелируя эти ресурсы.

В нашем филиале установлено 1 раб. место администратора (администратор, клиент) и 1 сервер (координатор). Версия администратора, клиента и координатора - 3.1(1_5056). Координатор не стоит на границе сети, а находится за NATом (DLink router), который и разделяет сети. На роутере осуществлен проброс портов UDP 2046-2047, 55777 и TCP 5000-5003 по адресу внешнего интерфейса координатора. К внутреннему интерфейсу координатора подключено 1 защищенное раб. место (ЦУС, УКЦ, клиент] и одно незащищенное раб. место, которое туннелируется координатором. Необходимо осуществить доступ с рабочих мест нашей внутренней сети к ресурсам гол. компании.

Что имеем на сегодняшний день:

1) Межсетевое взаимодействие между координаторами установлено. Доступ к ресурсам гол. компании разрешен.

2) С нашего координатора мы видим нашего клиента и координатор головной компании. Связь установлена со всеми узлами. Доступ к ресурсам координатора гол. компании есть (ping идет и по журналам видна вся цепочка, как в прямом, так и в обратном направлении).

3) С нашего защ. рабочего места мы видим свой координатор и координатор гол. компании, но при проверке связи с координатором гол. компании - связь не устанавливается. Так же нет доступа к ресурсам гол. компании. Ping по адресам серверов приложений не идет.

4) С нашего незащ. рабочего места, которое туннелируется нашим координатором, так же нет доступа к ресурсам гол. компании. Ping по адресам серверов приложений не идет.

Уже вроде все перепробовал, даже ставил наш координатор на границу сети.

Параметры нашей сети:

DLink router

WAN:

IP: 84.204.100.100

GW:84.204.100.1

LAN:

IP: 192.168.0.1

ports: UDP 2046-2047, 55777 и TCP 5000-5003 ---> 192.168.0.50 (адр. внешн. интерфейса координатора)

Координатор

Внешн. интерфейс:

IP: 192.168.0.50/24

GW: 192.168.0.1

Внутр. интерфейс:

IP: 192.168.1.1

**настройки в ЦУСе: E:192.160.0.50-84.204.100.100:OUT S:192.168.1.4

Защ. раб. место (администратор):

IP: 192.168.1.10

GW: 192.168.1.1

Неащ. раб. место (туннелируемое):

IP: 192.168.1.4

GW: 192.168.1.1

Сисадмин головной компании порекомендовал осуществить переход на клиента и координатор версии (3.2(9_11025)), но у меня нет уверенности, что переход на новую версию что то изменит.

Вопрос:

1) Как по журналам, установить на каком этапе теряются пакеты, или какие настройки проверить, интуитивно чувствую, что дело не в версионности?

2) Как осуществить переход на клиента и координатор версии (3.2(9_11025)), и не будет ли конфликтов с ЦУС и УКЦ старой версии?

Премного благодарен - начинающий.

[AnTonN(c)]

Шлюз на туннелируемом ресурсе в ГК куда настроен? Думаю, что обратные пакеты от него не попадают на координатор ГК. Что касается доступ клиента к координатору ГК, то тут на своем координаторе в журнале ip-пакетов должно быть событие 44 между клиентом и координатором ГК. На координаторе ГК что пишет журнал ip-пакетов от клиента? В каком режиме работает клиент (статика, динамика, без М, за координатором)?

P.S. Обновлять ПО имеет смысл всегда. Но у тебя стоит сертифицированная версия...

P.S.S. Проброс можно оставить только udp:55777.

[do33ep]

Шлюз на туннелируемом ресурсе в ГК куда настроен? Думаю, что обратные пакеты от него не попадают на координатор ГК. Что касается доступ клиента к координатору ГК, то тут на своем координаторе в журнале ip-пакетов должно быть событие 44 между клиентом и координатором ГК. На координаторе ГК что пишет журнал ip-пакетов от клиента? В каком режиме работает клиент (статика, динамика, без М, за координатором)?

P.S. Обновлять ПО имеет смысл всегда. Но у тебя стоит сертифицированная версия...

P.S.S. Проброс можно оставить только udp:55777.

1) Шлюз на туннелируемом ресурсе в ГК (точно не знаю, завтра выясню) думаю настроен правильно, т.к. если бы обратные пакеты от него не попадали на координатор ГК, то я не смог бы со своего координатора запустить ping к этим ресурсам, и получить ответ.

2) С клиента сделал ping "адрес_ресурса ГК". Ответа нет, потеряно 100% пакетов. В журнале моего координатора событие 44 между клиентом и координатором ГК зафиксировано. Источник "клиент", назначение "координатор ГК", протокол UDP, порт источника 61897, порт назначения 55777, кол-во пакетов 8. В журнале координатора ГК вижу исходящий с событием 44, источник "клиент", назначение "координатор ГК", протокол UDP, порт источника 61897, порт назначения 55777, кол-во пакетов 8

3) Клиент находится за координатором. Термины статика, динамика, без М - поясните, я начинающий.

[AnTonN(c)]

1. Если так, то дело в настройках. На твоем и удаленном координаторах должны быть прописаны свои и удаленные туннелируемые ресурсы. Проверь.

2. Странно, что координатор свой трафик видит как транзитный (44 событие)... должно быть событие 40, значит смотрим не то.

3. Сервис - Настройка, Защищенная сеть.

[do33ep]

3) на клиенте: Сервис - Настройка, Защищенная сеть - сервер IP адресов - мой_координатор, порт инкапсуляции - 55777, использовать межсетевой экран - галка стоит, тип межсет. экрана - координатор, координатор - мой_координатор

2) действительно смотрю не то.

1) на моем координаторе в правила доступа - туннель - указан только реальный и виртуальный адреса моего туннелируемого ресурса. На координаторе ГК в правила доступа - туннель - указан только реальные и виртуальные адреса их туннелируемых ресурсов.

[AnTonN(c)]

3. Настройки для клиента в порядке.

1. Теперь тоже самое на своем клиенте, кроме своих туннелируемых ресурсов, и на координаторе ГК.

[do33ep]

не понял 1.

[AnTonN(c)]

На своем клиенте в защищенной сети в настройках для координатора ГК во вкладке туннель должны быть прописаны адреса.

[do33ep]

На своем клиенте в защищенной сети в настройках для координатора ГК во вкладке туннель должны быть прописаны адреса.

использовать IP адреса для туннелирования - галка стоит, реальные адреса - виртуальные:

10.20.31.125 - 11.0.0.5 - незнаю, что это за ресурсы (в смысле, что нет ни одной программы, ссылающейся на данный адрес)

10.20.31.202 - 10.20.31.219 - 12.0.0.1 - 12.0.0.18 - это как раз те самые адреса нужных нам ресурсов

использовать вирт.адреса - галка снята

не туннелировать IP адреса, входящие в подсеть Вашего компа - галка снята

не туннелировать следующие IP адреса - пусто

[AnTonN(c)]

С настройками все ок. На координаторе ГК ищем 45 события на внешнем интерфейсе и 63 на внутреннем. В общем, на координаторе ГК в журнале ip-пакетов должны быть 63 события на внутреннем интерфейсе как входящие (от туннеля), так исходящие (в сторону туннеля). Если этого нет, то пакеты не долетают до координатора. Как раз посмотрим и почему нет соединения с координатором. В целом надо посмотреть пакеты от клиента на координаторе ГК с каким событием они регистрируются.

[do33ep]

Переустановил клиента и координатор под 3.2(9-11025). Проделали все манипуляции по обмену.

Что изменилось в лучшую сторону (все работает, как надо):

1.1 координатор ГК теперь видит (доступен) наш координатор и клиента

1.2 наш координатор и клиент видят (доступен) координатор ГК

1.3 с клиента есть доступ ко всем туннелируемым координатором ГК ресурсам

В чем печаль (нифига не работает):

2.1 не могу пропинговать со своего координатора никакие туннелируемым координатором ГК ресурсы

2.2 не могу пропинговать со своего координатора публичный IP координатора ГК (ни по реальным, ни по виртуальным)

2.3 со своего туннелируемого ресурса не могу пропинговать публичный IP координатора ГК, никакие туннелируемым координатором ГК ресурсы

Что удалось выяснить:

Пинг от моего туннелированного ресурса до координатора идет, и от него обратно то же. Теперь самое главное: когда пингую какой либо туннелируемым координатором ГК ресурс в журнале моего координатора нет никаких следов поступления пакетов от моего туннелируемого адреса. Когда пингуется мой туннелируемый ресурс с координатора ГК в журнале координатора ГК имеется информация по 63 и 45 событиям, в журнале моего координатора только событие 45 (расшифрован) - дальше все !!! Я так понимаю, что проблема моего координатора. В какую сторону глядеть, ума не приложу

[AnTonN(c)]

2.2. Это адрес самого координатора? В общем, координатор доступен по одному адресу для ViPNet и его можно посмотреть в защищенной сети (если адреса отображаются), он будет самым первым. Если пинги идут в на отличные адреса, то они считаются открытыми и обрабатываются firewall. Так ли это или нет легко узнать: выставь режим безопасности 3 и пробуй пинг. Если идет, то нужны фильтры, если не идет, то надо думать дальше.

2.3. Опять-таки, пинг публичного адреса, который ни кем не туннелируется, по отношению к координатору является открытым и попадает под firewall. Если необходим выход в Интернет, то нужно поднимать динамический нат и правила форварда...

Случаем в настройках максимальный размер журнала не установлен в 0? Форвард в системе включен?

[do33ep]

AnToN©, спасибо за консультации. Все дело оказалось в железе. Поставил PCI Realteк 8139 карточки и все заработало.

Тема закрыта.