Jump to content
Sanya

Не Проходят Пакеты Из Разных Подсетей 22 - Не Зашифрованый Ip Пакет

Recommended Posts

И меються две подсети настроено тунелирование но при пинге или опросе пакеты не проходять в журнале стоит признак блокирован 22 не шифрованый ip пакет от сетевого узла в чем может быть проблема.

Share this post


Link to post
Share on other sites

Что за координаторы? Каких версий? Судя по всему, либо туннель не прописан толком, либо сетевые фильтры не прописаны должным образом.

Share this post


Link to post
Share on other sites

координатор 1 версии 3,1 ставил интерфейсы 4-5 режим на координаторе такая же картина разница в клиентах один версии 3,1 другой 3,2 но есть машина администратора к ней доступ есть

Share this post


Link to post
Share on other sites

координатор 1 версии 3,1 ставил интерфейсы 4-5 режим на координаторе такая же картина разница в клиентах один версии 3,1 другой 3,2 но есть машина администратора к ней доступ есть

Так, а туннели вы как прописывали? Координатор windows, как я понял?

Share this post


Link to post
Share on other sites

Координатор windows. на координаторе ip адрес туннелируемых устройств 10.0.0.1 -10.0.0.254 все интерфейсы защищенные узлы vpn 600. все протоколы

транзитные фильтры 10.31.0.1 192.168.0.1

все протоколы

Share this post


Link to post
Share on other sites

Координатор windows. на координаторе ip адрес туннелируемых устройств 10.0.0.1 -10.0.0.254 все интерфейсы защищенные узлы vpn 600. все протоколы

транзитные фильтры 10.31.0.1 192.168.0.1

все протоколы

А вы в ЦУС прописывали для данного координатора windows квоту на необходимое количество туннелируемых адресов? В противном случае они не будут туннелироваться, хотя всё и прописано.

Share this post


Link to post
Share on other sites

Тогда вопрос - зачем вы столько адресов прописали, если всё равно только 13 туннелироваться смогут. И ещё Вы не ответили - вы через ЦУС прописывали или на самом координаторе?

Share this post


Link to post
Share on other sites

И в цусе прописан и на координаторе

Кстати, у вас фигурируют ip-адреса 10.*.*.*. Это реальные адреса или виртуальные? Вы прописываете именно реальные адреса для туннелей? А виртуальные адреса у Вас из какого диапазона? Нет ли тут конфликта?

Share this post


Link to post
Share on other sites

Ещё раз посмотрел на номер ошибки и закралось подозрение. Данный вид ошибки возникает, когда приходит открытый пакет от защищённого узла (то есть, от узла, на котором стоит или стоял vipnet). Скорее всего, на одном из сетевых узлов в координаторе стоит данный ip-адрес. Такое может быть при DHCP в сети или если на данном узле (или с данного IP-адреса) раньше стоял VipNet. Проидитесь по всем узлам и удалите из настроек данные адреса - ошибка блокировки уйдёт.

Share this post


Link to post
Share on other sites

весь смысл что в том что стоит клиент но он другой сети клиенты нашей сети не могут к нему достучаться. Проидитесь по всем узлам и удалите из настроек данные адреса на координаторе или клиентах

Share this post


Link to post
Share on other sites

Схема полутуннеля или полный туннель?

Share this post


Link to post
Share on other sites

Клиент при обращении на туннель не знает, что трафик надо шифровать. Этот трафик приходит на координатор. Координатор видит, что этот трафик для туннеля от клиента, и ожидает, что он будет зашифрованный.

Проверьте настройки на клиенте в части туннелей и их адресов видимости.

Share this post


Link to post
Share on other sites

ок поробую в настройка клиента туннелированные адреса должны быть строчки ip адрес 10.0.0.1 192.168.0.1 и в цусе S:10.0.0.1 S:192.168.0.1

Share this post


Link to post
Share on other sites

Настройки клиента другой сети вообще трогать не нужно - ни про какие туннели он знать не может. Главное, чтобы при этом не было конфликта по виртуальным адресам. То есть, лучше стартовый адрес на клиенте поменять. Более того, проще было бы сделать межсетевое взаимодействие. Если говорить о туннеле, то координатор лишь в том случае должен ждать от определённого адреса защищённый трафик, если этот адрес прописан у него за одним из связанных абоненстких пунктов. Какая-нибудь связь между клиентом чужой сети и вашей сетью есть? В ЦУСЕ на координаторе нужно прописывать только реальный адрес данного клиента, чтобы он мог его транслировать. Также у клиента должны быть прописаны маршруты на виртуальную подсеть вашей сети или координатор должен быть для него шлюзом.

Share this post


Link to post
Share on other sites

картина организации сети такая что бы вы понимали. есть координатор на нем 3 интерфейса wan который смотрит на меж сет экран 2Й интефейс основная сети оргонизации. 3 Й интерфейс сегмент обмена. основной интерфейс lan 10.0.0.1 реальный адрес сети. 10.0.0.2 server домена 10.0.0.5 клиент випнет нашей сети. сегмент обмена 192.168.0.1 адрес клиента на котором стоит випнет другой сети 192.168.0.2 нужно что бы компьютеры видели друг друга по сети. клиент другой сети обновился до версии 3,2 у нас так и остались клиенты 3,1 может сдесь есче может быть загвостка .Межсетевое взаимодействие есть с другой сетью.

Share this post


Link to post
Share on other sites

Судя по тому, что вы написали, у Вас вообще не туннель. У Вас просто не идёт трафик от клиента чужой сети до клиентов Вашей сети (если я правильно понял). Тогда это вообще не из разряда туннелирования и никакие туннели прописывать не нужно. Нужно только иметь связи с данным клиентом по типу коллектива и чтобы на стороне другой сети был обработан экспорт и высланы обновления. В этом случае у Вас должна быть связь также между координатором и клиентом внешней сети. Координатор для клиента будет сетевым экраном (это должно быть у него в настройках). И клиенты будут иметь доступ к данному внешнему клиенту через координатор. То, что Вы прописываете туннели на компьютере, где стоит vipnet - это октрытый трафик, который соответственно блокируется.

Хотя, по тексту не очень пойму. Вы туннелируете адрес 192.168.0.1. А говорите про ошибку 22 на координаторе. Эта ошибка всё-таки при попытке клиента внешней сети куда-то обратиться? Не могли бы Вы пояснить куда от кого нужен доступ и где по какой причине блокируется. Схему сети я Вашу понял.

Share this post


Link to post
Share on other sites

не много не так все клиенты находяться у нас разница между ними в том что один федеральный и региональные и деляться на подсети. 192.168.0.2 Клиент федеральный но он находиться в нашей сети 192,168.0.1 стоит в настройках ip шлюзом. на координаторе интефейс 3. 10.0.0.5 клиент нашей сети шлюз стоит 10.0.0.1 интерфейс координатора 2 . при ping от 10,0,0,5 до 192,168,0,2 на итерфейсе 10.0.0.1 в журнале координатора стоит 22- незашифровоный пакет от сетевого узла и так же ping 192.168.0.2 до 10.0.0.5 на интерфейсе 192.168.0.1 в журнале координатора стоит 22- не защифрованный пакет от сетевого узла . туннелирование .(1 )10,0,0,1-10,0,0,254 (2) клиент федеральный соответственно ip 192.168.0.2

10.0.0.1 192.168.0.1 транзитные фильтры.

Share this post


Link to post
Share on other sites

Так, получается никакие транзитные фильтры и туннели настраивать не нужно - у Вас просто соединение клиент-клиент. Вопрос в другом - почему не шифруется трафик при отправке на координатор. Связь между клиентами по ТК точно есть? И записи "S:10.0.0.1 S:192.168.0.1" нужно убрать. Вы, кстати, из какого ведомства? А то знакомая схема работы.

Share this post


Link to post
Share on other sites

При такой схеме клиенты будут видеть друг друга по умолчанию под виртуальными адресами. Обращение надо вести на них. Вообще f5 есть?

Share this post


Link to post
Share on other sites

да клиенты видят друг друга по f5 но только через випнет а нужно что бы по сети видели в сетевом окружении . вот и танцы с бубном по сетки они не доступны . эта схема работала . глюки пошли после смены белого ip и обновления федерального клиента до версии 3,2 .

Share this post


Link to post
Share on other sites

Вообще, общие папки можно открыть через Vipnet Client монитор по виртуальному адресу. Всё-таки не подскажете из какой Вы отрасли/министерства?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.