ksardex Опубликовано 24 Июня 2013 Жалоба Поделиться Опубликовано 24 Июня 2013 Приветствую!Не удается подключить координатор HW100 за natСхема подключения такаяinet-NAT(freebsd ppp nat)-hw100на hw 100настройки[id]id= IDname= имяfilterdefault= passip= ***.***.***.*** <- IP на интерфейсе в сторону шлюзаip= yyy.yyy.yyy.yyy <- IP во втнут сетьtunnel= yyy.yyy.yyy.yyy-yyy.yyy.yyy.yyy to yyy.yyy.yyy.yyy-yyy.yyy.yyy.yyytunnel= yyy.yyy.yyy.yyy-yyy.yyy.yyy.yyy to yyy.yyy.yyy.yyy-yyy.yyy.yyy.yyyfirewallip= внешний ipport= 55777proxyid= 0x00000000usefirewall= onfixfirewall= off [dynamic]dynamic_proxy= onfirewallip= Внешний IPport= 55777forward_id= ID координатора в головном офисеalways_use_server= ontimeout= 25Запускаю с координатора HW100 inet ping 8.8.8.8 интернет естьпытаюсь выполнить iplir ping c координатора в головном офисе, отвечает timeout expiredв журнале событий отлуп идет по событию 2 2 - Message authentication code is incorrectСамое что интересно с клиентом при такой же схеме проблем нет. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 24 Июня 2013 Жалоба Поделиться Опубликовано 24 Июня 2013 2 событие произошло во входящем пакете на 100 или в центре? У вас не межсеть случаем?2 событие говорит о том, что "разъехались" ключи шифрования. Такое часто происходит при некорректно проведенной компрометации, смене мастер/межсетевых ключей, процедуре межсетевого взаимодействия. Технически говоря, имито вставка некорректная. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ksardex Опубликовано 24 Июня 2013 Автор Жалоба Поделиться Опубликовано 24 Июня 2013 2 событие произошло во входящем пакете на 100 или в центре? У вас не межсеть случаем?2 событие говорит о том, что "разъехались" ключи шифрования. Такое часто происходит при некорректно проведенной компрометации, смене мастер/межсетевых ключей, процедуре межсетевого взаимодействия. Технически говоря, имито вставка некорректная.Межсетевое не настроено удаленные офисы и головной находятся в одной сети vipnet. С шлюза раздается в локалку сеть 10.2.0.0/24С интерфейса координатора (eth1) 10.13.1.0.24Компрометация не проводилась.2 событие возникает когда я запускаю iplir ping с головного координатора (сервер IP адресов). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 24 Июня 2013 Жалоба Поделиться Опубликовано 24 Июня 2013 То есть запускаете iplir ping с центра, а на hw100 ловите 2 событие? а в центре от hw100 что ловите?В любом случае самый быстрый способ - это переразвернуть dst. Только надо определиться где. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ksardex Опубликовано 24 Июня 2013 Автор Жалоба Поделиться Опубликовано 24 Июня 2013 То есть запускаете iplir ping с центра, а на hw100 ловите 2 событие? а в центре от hw100 что ловите?Не совсем так,с центра запуска iplir ping hw100, в центре же смотрю iplir viewDate/time │ Dev│ Flags│Prot│ Source IP │ Port│ Destination IP│ Port06/24 14:24:31│eth1│>DC---│ udp│ Внешний IP │34094│ IP центра│557772 - Message authentication code is incorrectПопробую перелазить DST Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 24 Июня 2013 Жалоба Поделиться Опубликовано 24 Июня 2013 По направлению - это входящий трафик (>DC---). Посмотрите наличие таких же пакетов на hw100. Если есть, то надо будет dst переделывать для hw100. Обновления по сети не кинуть, так как нет соединения с координатором, который эти обновления будет раздавать. Могу дать инструкцию как удаленно по ssh развернуть dst (только надо будет в hw100 вставить флешку с dst). Пишите в личку.Причины появления данного сообщения писал выше.Хотя может по пути есть есть устройство, которое "ломает" пакет... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ksardex Опубликовано 24 Июня 2013 Автор Жалоба Поделиться Опубликовано 24 Июня 2013 Хотя может по пути есть есть устройство, которое "ломает" пакет...Так вот в этом то и беда, клиент работает, а координатор нет Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 24 Июня 2013 Жалоба Поделиться Опубликовано 24 Июня 2013 Значит по пути нет устройства, которое "ломает" пакет.Перепрошейте ПАК с новым dst. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ksardex Опубликовано 25 Июня 2013 Автор Жалоба Поделиться Опубликовано 25 Июня 2013 Значит по пути нет устройства, которое "ломает" пакет.Перепрошейте ПАК с новым dst.Работает, спасибо! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
uran54 Опубликовано 3 Февраля 2014 Жалоба Поделиться Опубликовано 3 Февраля 2014 Добрый день!Столкнулись с аналогичной проблемой. В журнале сообщение 2 - Message authentication code is incorrect.При взаимодействии двух устройств HW1000 и HW100. Сообщение на обоих устройствах.Перепрошивка обоих устройств с новыми dst не помогла.Устройства в одной сети.Для проверки устройства внешними интерфейсами подключили друг к другуПодскажите куда копать? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 3 Февраля 2014 Жалоба Поделиться Опубликовано 3 Февраля 2014 Посмотрите в стороны режима шифрования. Если они не сходятся, то такое сообщение будет появляться и без межсети. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
uran54 Опубликовано 3 Февраля 2014 Жалоба Поделиться Опубликовано 3 Февраля 2014 Задам дурацкий вопрос: а где смотреть используемый режим шифрования? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 3 Февраля 2014 Жалоба Поделиться Опубликовано 3 Февраля 2014 Если версия 3 и выше, то команда iplir show cipher-mode Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
uran54 Опубликовано 3 Февраля 2014 Жалоба Поделиться Опубликовано 3 Февраля 2014 На обоих узлах результат комманды: CTR:counter mode Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 3 Февраля 2014 Жалоба Поделиться Опубликовано 3 Февраля 2014 В секции misc в iplir.conf посмотрите параметр, отвечающий за алгоритм шифрования. Не помню как называется. Значение должно быть GOST. Версии координаторов какие? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
uran54 Опубликовано 4 Февраля 2014 Жалоба Поделиться Опубликовано 4 Февраля 2014 Алгоритм шифрования и там и там Gost.Версии пакетов 4.1Версии софта:HW100 VipNet Coordinator version 3.7.1 (3896)HW1000 VipNet Coordinator version 3.7.3 (4554) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
romanr Опубликовано 4 Февраля 2014 Жалоба Поделиться Опубликовано 4 Февраля 2014 На обоих узлах результат комманды: CTR:counter modeПопробуйте установить режим CFB Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
uran54 Опубликовано 4 Февраля 2014 Жалоба Поделиться Опубликовано 4 Февраля 2014 Помогло! Спасибо большое! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
lioncub Опубликовано 27 Апреля 2015 Жалоба Поделиться Опубликовано 27 Апреля 2015 Такая же проблема, только с одним межсетевым. (Остальные работают без проблем)С обоих сторон: HW1000 (3.7.1 и 3.7.3), CTR:counter mode, ciphertype= gostiplir ping <> - проходитinet ping <virtualip> - ответов нет (2 - Message authentication code is incorrect - на принимающей), с обех сторон одно и тоже...Делали уже 2 раза начальный и ответный - не помогло.Что может быть? Куда копать? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
intellegent Опубликовано 6 Мая 2015 Жалоба Поделиться Опубликовано 6 Мая 2015 Для начала поменять CTR mode на CFB. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.