Jump to content

Recommended Posts

подскажите в каком месте искать проблему, и главное какую именно проблему искать.

ситуация

наша сеть (А) подруженна с еще одной сетью (Б).

у меня в сети по мимо моего координатора в филиалах стоят еще координатора. Дружба построенна так что туннели строятся между координаторами сети Б и координаторами в филиалах. При этом мой координатор для всех филиальных является определяющим.

Со всеми связь настроилось и информация передается (там программы межведа между собой общаются) а вот на одном координаторе идет ошибка

Событие - 2 неверное значение имито

Сетевой адрес - ..... (название карты координатора филиала)

Узел источника - имя координатора из сети Б

ip адрес - тут мой реальный белый адрес в интернете через который мой координатор уже выходит в сеть (связь идет через интернет)

ip адрес назначения - ip адрес сетевой карты координатора филиала которая смотрит наружу

протокол UDP

порт источника 55888

порт назначения 55888

тип события - блокирован

направление - входящий

нешироковешательный

локальный

нетранслированный

асимметричные ключи -2 -1

Суть ошибки в принципе понимаю - защищаемые данные или открытая информация криптосистемы были изменены - но не понимаю, как и где, а уж почему совсем не понятно. Между мои координатором и координатором филиала все без проблем ходит шифрованные пакеты, между мной и координатором сети Б тоже, мало того между координатором сети Б и остальными узлами в моей сети тоже зашифрованные пакеты ходят, и только вот тут возникла такая ошибка.

Share this post


Link to post
Share on other sites

а как тут файлы подгружать?)

хотел скрин выложить. и

Share this post


Link to post
Share on other sites

Кстати говоря, реально иногда возникает проблема с имито. Например, у нас в одном из филиалов был реальный случай, когда карта начала выгорать (сетевая) и ряд пакетов просто терялись или приходили битыми. Привозили сервер - подключали напрямую по проводу - пакеты терялись. Поставили вторую сетевую - всё пошло. Поэтому, сначала нужно исключить проблемы со связью в принципе.

Share this post


Link to post
Share on other sites

хорошо, но на какой именно стороне исключить? сервер ни могут привезти - удаленность 400 км.

просто даже не понятно на каком именно узле надо искать решение проблемы(

Share this post


Link to post
Share on other sites

посмотрел журнал ip пакетов на своем координаторе, в условиях поиска установил что устройство 1 это координатор филиала, устройство 2 это координатор сети Б

ни одного красного флага, по времени зафиксированного события 2 на координаторе филиала, у меня зафиксировано событие 44 - осуществлена маршрутизация зашифрованного транзитного ip пакета с изменением его адреса. И такие сообщения идут постоянно.

Share this post


Link to post
Share on other sites

Чтобы исключить проблему с сетевой картой, то попробуйте пинговать внешний ресурс с внутренней сети, которая стоит за координатором. Если пинги теряться не будут, значит с сетевушкой всё в норме.

Share this post


Link to post
Share on other sites

Чтобы исключить проблему с сетевой картой, то попробуйте пинговать внешний ресурс с внутренней сети, которая стоит за координатором. Если пинги теряться не будут, значит с сетевушкой всё в норме.

дело в том что из за этой ошибки - ну мы так все думаем тут - эти два координатора не видят друг друга, нету пингов в принципе, и по F5 не доступны.

Share this post


Link to post
Share on other sites

В первоначальном var файле был этот координатор?

Share this post


Link to post
Share on other sites

В первоначальном var файле был этот координатор?

var это файл первоначального экспорта? нет не было, его в связи добавил позже.

Share this post


Link to post
Share on other sites

Так-так-так.

Еще один момент: на координаторе доверенной сети от проблемного координатора приходят пакеты co 2ым событием?

Какие версии админов?

Share this post


Link to post
Share on other sites

Так-так-так.

Еще один момент: на координаторе доверенной сети от проблемного координатора приходят пакеты co 2ым событием?

Какие версии админов?

входящих пакетов нету, только исходящие. про версии, у нас 3,2 у них ни знаю, если уточню отпишу

Share this post


Link to post
Share on other sites

Есть 2 железных варианта решения по устранению 2ого события. Для диагностики нужны точные версии админов, так как на некоторых известны проблемы с межсетью. Например, с 3.2(3.8432).

1. некорректный var файл.

2. некорректный межсетевой.

Первая проблема решается Экспортом справочников в УКЦ в той сети, для которой возникает 2ое событие. И отсылает экспорт в другую сеть, где обрабатывается экспорт и формируется заново справочно-ключевая информация для "проблемных" узлов.

Вторая проблема требует маленькой диагностики: номера межсетевых ключей должны совпадать. Но бывали случаи, когда совпадали, но межсетевые ключи все равно расходились. Решается путем генерации нового межсетевика.

Общие рекомендации по межсети:

1. Версия админа должна быть как минимум 3.1(15.7621).

2. Если версия админа 3.2, то как минимум лучше использовать 3.2(5.9556).

3. Генерить межесетевик (первичный экспорт) в сети с младшей версионностью админа.

4. Проводить процедуру межсетевого взаимодействия точно по инструкции (той инструкции, которую дают на обучении).

5. Следить за файлами, которые генерятся.

Share this post


Link to post
Share on other sites

у меня версия 3.2 (10.15314)

у сети Б 3.1 (15.7621)

Первичный экспорт делался на моем администраторе и уходил уже в сеть Б.

Вчера добавили в межсетевой еще один узел, сформировал справочники, выслал экспорт, разослал спрвочную и ключевую информацию на координатор филиала. Та же ситуация возникла со вторым событием.

Share this post


Link to post
Share on other sites

1. некорректный var файл. - поясните что это за файл то, ни могу ни вспомнить ни в учебниках найти.

Share this post


Link to post
Share on other sites

Это файл вариантов ключей. Формируется при первичном экспорте или Экспортом справочников в УКЦ.

Если была компрометация узла, то в этом файле отображается какой вариант ключей использовать.

Вот если варианты ключей не совпадут, то и получим 2 событие.

P.S. см. мои рекомендации п.3

Share this post


Link to post
Share on other sites

компрометации узлов точно не было.

а обновление индивидуального симметричного мастер ключа не поможет?

изначально в межсети участвовало 6 узла с нашей стороны и 1 со стороны сети Б связь с ними до сих пор отличная, потом добавили еще 2 узла с моей стороны один работает второй выдает событие 2, на днях добавил еще два узла, один работает второй тоже выдает событие 2.

Как я понимаю ключи то используются во всех случаях одни и те же? Да и добавлял в межсеть (через экспорт) узлы чуть ли не по учебнику, используя один и тот же алгоритм. Сначала в ТК делаю связи, формирую справочники, потом в экспорте добавляю ТК, формирую справочники, отправляю экспорт в сеть Б. Отправляю справочную информацию на свои узлы, отправляю файлы для создания ключей в У КЦ, там делаю обновления у сетевых узлов ключей их отправляю в админ и рассылаю на узлы.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.