Проблема Доступа Hw 100 A

[demda]

Доброго времени суток. Имеется координатор HW 100A (4 LAN интерфейса) . Работал за статическим НАТ (порт UDP 55777 проброшен). Одим интерфейсом в LAN другим к роутеру (iptables) Все было нормально пока не решили активировать третий интерфейс. Выставили адреса, подняли интерфейс, все заработало и ..... вдруг часа через 4 он (координатор) перестает быть доступным узлам из вне сети (при этом клиентам, которые внутри сети LAN он продолжает быть доступным). Сначала грешили на роутер (iptables) проверили, перезапустили - нет результата, взяли на время другой роутер (железный) настроили все на нем (в т. ч. проброс) вместо iptables поставили - нет результата. Проверили все настройки в iplir.conf (usefirewall, proxy_id , port, firewallip, mode=external и.т.д.). Ничего не поменялось все как было так и есть. Режим 3-й. Маршруты настроены. При этом при всем открытый трафик продолжает ходить нормально через него. Информацию об адресах он предоставляет внешним узлам. Третий интерфейс потом ввели в down - не помогло. При этом при всем интерфейс в downе а инфа об адресе распостраняется. Непонятно можно ли основной адрес убрать с интерфейса? В журнале пакетов (его и других узлов) странно как-то - отправлено им к примеру N-пакетов по порту 2046, получено другим узлом M пакетов при этом при всем M<N (и на много меньше) событие 40 - типа все норм. наоборот такая -же ситуация НО узел недоступен и с него узлы тоже недоступны. Прошу помощи..... Может кто то сталкивался с подобным. Заранее благодарен.

[slavanchuk]

Во-первых, я бы не стал связывать эти события, особенно потому, что проблема появилась через 4 часа. Если что-то с маршрутами портится, то портится сразу. Если исключить аппаратные проблемы и проблемы с проводом и роутером (так как Вы меняли роутер), то стоит посмотреть:

• Были ли обновления ключей или адресных справочников;
  
• Добавились ли какие-то новые туннели у взаимодействующих координаторов (которые бы перекрывали Ваши адреса и портили маршрутизацию).
  

[ksardex]

• Добавились ли какие-то новые туннели у взаимодействующих координаторов (которые бы перекрывали Ваши адреса и портили маршрутизацию).
  

А вот это очень важное замечание, сталкивался с такой проблемой, ошиблись в диапазоне адресов в туннеле, что перекрыло нашу адресацию и все рухнуло

[demda]

Во-первых, я бы не стал связывать эти события, особенно потому, что проблема появилась через 4 часа. Если что-то с маршрутами портится, то портится сразу. Если исключить аппаратные проблемы и проблемы с проводом и роутером (так как Вы меняли роутер), то стоит посмотреть:

• Были ли обновления ключей или адресных справочников;
  
• Добавились ли какие-то новые туннели у взаимодействующих координаторов (которые бы перекрывали Ваши адреса и портили маршрутизацию).
  

Никаких тунелей не добавлялось, я наверно не правильно выразился. Через 4 часа обнаружили, что рухнуло. Возможно, что и раньше.Есть еще варианты? Ситуация не исправилась....

[demda]

Никаких тунелей не добавлялось, я наверно не правильно выразился. Через 4 часа обнаружили, что рухнуло. Возможно, что и раньше.Есть еще варианты? Ситуация не исправилась....

Ключи и адресные справочники не обновлялись и не менялись. И вопрос открыт: можно ли на интерфейсе убрать основной ip-адрес? Интерфейс отключен а адреса выкатываются

[AnTonN(c)]

....можно ли на интерфейсе убрать основной ip-адрес?...

Можно. При этом слетит шлюз.

Ситуация интересная...есть одно предположение...только:

1. Является ли этот координатор сервером ip-адресов для клиентов?

2. Скольких клиентов?

3. Какой адрес видимости этих клиентов в iplir.conf?

4. Какая прошивка?

Из admin esc предоставьте вывод команды

iplirdiag -s ipsettings --node-info 0x00000000, где 0x00000000 идентификатор выбранного "неработающего" узла. Интересует параметр visability.

[Kurtasanov]

Как со временем на HW? Возможно часовой пояс был неправильно установлен, а после активации 3-го интерфейса стал доступен NTP сервер.

[demda]

....можно ли на интерфейсе убрать основной ip-адрес?...

Можно. При этом слетит шлюз.

Ситуация интересная...есть одно предположение...только:

1. Является ли этот координатор сервером ip-адресов для клиентов?

2. Скольких клиентов?

3. Какой адрес видимости этих клиентов в iplir.conf?

4. Какая прошивка?

Из admin esc предоставьте вывод команды

iplirdiag -s ipsettings --node-info 0x00000000, где 0x00000000 идентификатор выбранного "неработающего" узла. Интересует параметр visability.

1-3 вопрос не является сервером ip адресов ни для кого.

3. Вывод прошивки 3.7.1 (3896) - 3.00 (670) - 3.03 (3)

Admin escape:

Node row

node: 06070133

proxyType: None

visibility: Real

methodIpAccess: RealIp

numRealIps: 0

numTunnelingIps: 0

firstVirtualIp: 10.0.1.33

firewallIp: 0.0.0.0

accessUdpPort: 55777

proxyId: 00000000

forwardId: 00000000

forwardIdExist: 0

incType: (0x0)

properties: Elapse (0x2)

timeout: 0

timestamp: 0

lastAdapterNumber: -1

m_ForwardIp (obs): 0.0.0.0

Access point for node: 06070133

node: 06070133

ipAddress: 0.0.0.0

udpPort: 55777

The ip address table for node 06070133(rows 0):

Real Visibility

The tunneling ip address table for node 06070133(rows 0):

Begin real End real Begin visibility End visibility

[demda]

1-3 вопрос не является сервером ip адресов ни для кого.

3. Вывод прошивки 3.7.1 (3896) - 3.00 (670) - 3.03 (3)

Admin escape:

Node row

node: 06070133

proxyType: None

visibility: Real

methodIpAccess: RealIp

numRealIps: 0

numTunnelingIps: 0

firstVirtualIp: 10.0.1.33

firewallIp: 0.0.0.0

accessUdpPort: 55777

proxyId: 00000000

forwardId: 00000000

forwardIdExist: 0

incType: (0x0)

properties: Elapse (0x2)

timeout: 0

timestamp: 0

lastAdapterNumber: -1

m_ForwardIp (obs): 0.0.0.0

Access point for node: 06070133

node: 06070133

ipAddress: 0.0.0.0

udpPort: 55777

The ip address table for node 06070133(rows 0):

Real Visibility

The tunneling ip address table for node 06070133(rows 0):

Begin real End real Begin visibility End visibility

странный вывод....

[AnTonN(c)]

это вывод для клиента, который находится в Интернете???

[demda]

это вывод для клиента, который находится в Интернете???

это вывод для неработающего координатора, с другого координатора, который в интернете и сним связан по ТК

[demda]

это вывод для неработающего координатора, с другого координатора, который в интернете и сним связан по ТК

Может быть надо сделать вывод с неработающего координатора для какого нибудь узла в интернете?

[AnTonN(c)]

....Может быть надо сделать вывод с неработающего координатора для какого нибудь узла в интернете? ....

Да!

И еще:

явно с настройками на неработающем координаторе. Почему какой-то координатор в интернете видит его по реальным адресам?? Только если он работает "без МЭ", что есть неправильно.

[demda]

....Может быть надо сделать вывод с неработающего координатора для какого нибудь узла в интернете? ....

Да!

И еще:

явно с настройками на неработающем координаторе. Почему какой-то координатор в интернете видит его по реальным адресам?? Только если он работает "без МЭ", что есть неправильно.

С настройками все в порядке. Проверили несколько раз

[demda]

С настройками все в порядке. Проверили несколько раз

Вот вывод команды с неработающего координатора: к узлу в интернете

Node row

node: 060700DF

proxyType: None

visibility: Virtual

methodIpAccess: FirewallIp

numRealIps: 4

numTunnelingIps: 4

firstVirtualIp: 10.0.0.6

firewallIp: 83.246.160.242

accessUdpPort: 55777

proxyId: 060700DF

forwardId: 00000000

forwardIdExist: 0

incType: (0x0)

properties: Elapse (0x2)

timeout: 0

timestamp: 0

Вот его собственная секция id

[id]

id= 0x06070132

name= HW100A ▒.▒▒▒▒▒▒▒▒▒▒▒

filterdefault= pass

ip= 172.16.100.2

ip= 192.168.0.100

ip= 192.168.252.1

tunnel= 192.168.0.2-192.168.0.2 to 192.168.0.2-192.168.0.2

firewallip= 172.16.100.2

port= 55777

proxyid= 0x00000000

usefirewall= on

fixfirewall= on

virtualip= 10.0.0.1

version= 3.0-670

Вот адаптер секция

[adapter]

name= eth0

ip= 172.16.100.2

allowtraffic= on

type= external

все остальные internal

[AnTonN(c)]

firewallip в собственной секции поменяйте на внешний адрес NAT.

[demda]

firewallip в собственной секции поменяйте на внешний адрес NAT.

Меняли... после старта iplir становится таким

[AnTonN(c)]

Блин, уберите параметр fixfirewall= off

[demda]

Блин, уберите параметр fixfirewall= off

Спасибо, ситуация решлась!!! Последний Ваш совет и почему-то интерфейс в 1-й режим ушел

[AnTonN(c)]

сам по себе параметр не мог поменяться....видимо из цуса выслали конфиг.