Jump to content

Recommended Posts

Приветствую!

Не удается подключить координатор HW100 за nat

Схема подключения такая

inet-NAT(freebsd ppp nat)-hw100

на hw 100

настройки

[id]
id= ID
name= имя
filterdefault= pass
ip= ***.***.***.*** <- IP на интерфейсе в сторону шлюза
ip= yyy.yyy.yyy.yyy <- IP во втнут сеть
tunnel= yyy.yyy.yyy.yyy-yyy.yyy.yyy.yyy to yyy.yyy.yyy.yyy-yyy.yyy.yyy.yyy
tunnel= yyy.yyy.yyy.yyy-yyy.yyy.yyy.yyy to yyy.yyy.yyy.yyy-yyy.yyy.yyy.yyy
firewallip= внешний ip
port= 55777
proxyid= 0x00000000
usefirewall= on
fixfirewall= off

[dynamic]
dynamic_proxy= on
firewallip= Внешний IP
port= 55777
forward_id= ID координатора в головном офисе
always_use_server= on
timeout= 25

Запускаю с координатора HW100 inet ping 8.8.8.8 интернет есть

пытаюсь выполнить iplir ping c координатора в головном офисе, отвечает timeout expired

в журнале событий отлуп идет по событию 2

2 - Message authentication code is incorrect

Самое что интересно с клиентом при такой же схеме проблем нет.

Share this post


Link to post
Share on other sites

2 событие произошло во входящем пакете на 100 или в центре? У вас не межсеть случаем?

2 событие говорит о том, что "разъехались" ключи шифрования. Такое часто происходит при некорректно проведенной компрометации, смене мастер/межсетевых ключей, процедуре межсетевого взаимодействия. Технически говоря, имито вставка некорректная.

Share this post


Link to post
Share on other sites

2 событие произошло во входящем пакете на 100 или в центре? У вас не межсеть случаем?

2 событие говорит о том, что "разъехались" ключи шифрования. Такое часто происходит при некорректно проведенной компрометации, смене мастер/межсетевых ключей, процедуре межсетевого взаимодействия. Технически говоря, имито вставка некорректная.

Межсетевое не настроено удаленные офисы и головной находятся в одной сети vipnet.

С шлюза раздается в локалку сеть 10.2.0.0/24

С интерфейса координатора (eth1) 10.13.1.0.24

Компрометация не проводилась.

2 событие возникает когда я запускаю iplir ping с головного координатора (сервер IP адресов).

Share this post


Link to post
Share on other sites

То есть запускаете iplir ping с центра, а на hw100 ловите 2 событие? а в центре от hw100 что ловите?

В любом случае самый быстрый способ - это переразвернуть dst. Только надо определиться где.

Share this post


Link to post
Share on other sites

То есть запускаете iplir ping с центра, а на hw100 ловите 2 событие? а в центре от hw100 что ловите?

Не совсем так,

с центра запуска iplir ping hw100, в центре же смотрю iplir view

Date/time   │ Dev│ Flags│Prot│   Source IP   │ Port│ Destination IP│ Port

06/24 14:24:31│eth1│>DC---│ udp│ Внешний IP │34094│ IP центра│55777

2 - Message authentication code is incorrect

Попробую перелазить DST

Share this post


Link to post
Share on other sites

По направлению - это входящий трафик (>DC---). Посмотрите наличие таких же пакетов на hw100. Если есть, то надо будет dst переделывать для hw100. Обновления по сети не кинуть, так как нет соединения с координатором, который эти обновления будет раздавать. Могу дать инструкцию как удаленно по ssh развернуть dst (только надо будет в hw100 вставить флешку с dst). Пишите в личку.

Причины появления данного сообщения писал выше.

Хотя может по пути есть есть устройство, которое "ломает" пакет...

Share this post


Link to post
Share on other sites

Хотя может по пути есть есть устройство, которое "ломает" пакет...

Так вот в этом то и беда, клиент работает, а координатор нет

Share this post


Link to post
Share on other sites

Значит по пути нет устройства, которое "ломает" пакет.

Перепрошейте ПАК с новым dst.

Share this post


Link to post
Share on other sites

Значит по пути нет устройства, которое "ломает" пакет.

Перепрошейте ПАК с новым dst.

Работает, спасибо!

Share this post


Link to post
Share on other sites

Добрый день!

Столкнулись с аналогичной проблемой. В журнале сообщение 2 - Message authentication code is incorrect.

При взаимодействии двух устройств HW1000 и HW100. Сообщение на обоих устройствах.

Перепрошивка обоих устройств с новыми dst не помогла.

Устройства в одной сети.

Для проверки устройства внешними интерфейсами подключили друг к другу

Подскажите куда копать?

Share this post


Link to post
Share on other sites

Посмотрите в стороны режима шифрования. Если они не сходятся, то такое сообщение будет появляться и без межсети.

Share this post


Link to post
Share on other sites

Если версия 3 и выше, то команда iplir show cipher-mode

Share this post


Link to post
Share on other sites

В секции misc в iplir.conf посмотрите параметр, отвечающий за алгоритм шифрования. Не помню как называется. Значение должно быть GOST.

Версии координаторов какие?

Share this post


Link to post
Share on other sites

Алгоритм шифрования и там и там Gost.

Версии пакетов 4.1

Версии софта:

HW100 VipNet Coordinator version 3.7.1 (3896)

HW1000 VipNet Coordinator version 3.7.3 (4554)

Share this post


Link to post
Share on other sites

На обоих узлах результат комманды: CTR:counter mode

Попробуйте установить режим CFB

Share this post


Link to post
Share on other sites

Такая же проблема, только с одним межсетевым. (Остальные работают без проблем)

С обоих сторон: HW1000 (3.7.1 и 3.7.3), CTR:counter mode, ciphertype= gost

iplir ping <> - проходит

inet ping <virtualip> - ответов нет (2 - Message authentication code is incorrect - на принимающей), с обех сторон одно и тоже...

Делали уже 2 раза начальный и ответный - не помогло.

Что может быть? Куда копать?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.