Vipnet Linux

[kolkiysh]

Весьма начинающий!

Заказчик - гос организация, отсюда результат

Имеется VipNET сеть - узловой координатор(данных, кроме полученных iplir-ом нет, видимо он же сервер IP адресов, он же скорее всего кластер 2х), к нему подключаются через незащищенные каналы клиенты(ОС Debian 2.6.32 - официально не поддерживается разработчиком сборка, но поддерживаемое ядро, ViPNet Linux 3.7.1, NAT, DHCP) и координаторы(HW1000, ЛВС - NAT, DHCP, ПК сети без ПО VipNET, ОС всякие)

На этапе формирования ключей Заказчик не пожелал предоставить никаких данных, поэтому ЦУС генерировал ключи клиентов и координаторов для работы узлов в режиме межсетевого экрана «Координатор». Сразу отвечу на немой вопрос - да, и туннели на Координаторах не прописаны, а их у меня ровно 100..., но это потом.

Клиенты стоящие за NATom, динамика, установлены и настроены:

настройки iplir.conf приведены в соответствие для режима "с динамической трансляцией адресов"

- собственная секция [id]

usefirewall= on,

port= 55777

- [adapter]

type= external - после запуска демона параметр исчезает

- [dynamic]

dynamic_proxy= on

forward_id= все верно

В результате видим подгрузку данных с сервера IP адресов - конфиг файл переписывается. У Заказчика есть web страничка, живущая по виртуальному адресу 10.0.0.3 как и где данных нет, с текстом типа защищенная сеть функционирует, на нее выхода нет. Рядом стоящий VipNET Монитор Win видит в сети моего клиента.

В соседней сети(соседнее здание, внешние каналы разные, сети не соединены напрямую) с точно такими же настройками стоит ранее установленный клиент более опытным видимо специалистом... Точно такая же машина, в такой же подсети - по адресу 10.0.0.3 выходит.

Дальше самое интересное - сверял настройки в iplir.conf, опускаю очевидно разнящиеся значения перечисляю отличия :

собственная секция [id] - на моем только доп строчка с версией version= 3.0-670, в остальном полное соответствие

id= 0xffffffff - полное соответствие

id= 0xfffffffe - полное соответствие

[adapter] - полное соответствие. только у меня name= eth0, а на работающем name= eth1, честно сказать не посмотрел что там у него с интерфейсами, сколько, какие и тд, железо одинаковое

[dynamic] - полное соответствие

[misc] - полное соответствие

[debug] - полное соответствие(уровень 3)

[servers] - у меня значительно больше, но узловой и там и там есть и одинаков, за исключением имени, то есть идентификатор один, а имена разные. Секция описания этого узла соответственно отличается, то есть идентификатор один, а названия узлов разные, при чем количество IP адресов у меня больше. Как такое может быть – узел с одним идентификатором имеет разное имя и разное количество адресов формально в один и тот же момент времени.

[virtualip] - у меня диапазон назначения шире

Конфиг действующего содержит примерно вдвое меньше [id], что я никак не пойму, Заказчик уверяет, что мои узлы лишь расширят сеть, то есть права доступа, взаимодействие и тд и у действующего и у моего одинаковы, тогда почему с сервера адресов подгружается разное количество зарегистрированных узлов? Однако Заказчик еще не сообщил ни одного факта соответствующего действительности.

Второе, [virtualip] в собственной секции, 10.0.0.1, в следующей 10.0.0.2 и тд - на обоих такая петрушка, я разве не правильно понял, что на время сессии виртуальный адрес привязывается к каждому узлам централизованно? И отсюда, что узлы стоящие в том порядке, как их дописали в ЦУСЕ никак не могут иметь сквозное последовательное назначение вирт адресов на разных машинах, одновременно подключившихся к серверу адресов, ведь в результате у одних и тех же узлов разные вирт адреса.

Клиенты рассматриваются виртуально, то есть такая ситуация сохраняется не на конкретном месте, а в разных местах.

В общем куда копать не знаю. Клиенты не доступны в разумное время, с них скопированы все конфиги.

Помогите!!!!

[kolkiysh]

Нашел в конфиге узел, отвечающий за тестовую страничку и в рабочем и в целевом клиенте, они стоят на разных позициях, следовательно имеют разный вирт адрес. По новому адресу страничку вижу. Отсюда вопрос, такое вообще возможно? При условии что я расширяю сеть

[slavanchuk]

Нашел в конфиге узел, отвечающий за тестовую страничку и в рабочем и в целевом клиенте, они стоят на разных позициях, следовательно имеют разный вирт адрес. По новому адресу страничку вижу. Отсюда вопрос, такое вообще возможно? При условии что я расширяю сеть

Немного непонятен Ваш вопрос. Если Ваш вопрос по виртуальные адреса, то виртуальные адреса в большинстве случаев на разных VipNet Clientах разные. Если речь о туннелях, то на каждом туннелируемом узле за одним координатором набор виртуальных адресов идентичен.

[kolkiysh]

Разобрался. Справочник на текущей машине, как и данные заказчика устарели, проверочный узел теперь живет по другому адресу. Тема закрыта