demda Опубликовано 30 Июля 2013 Жалоба Поделиться Опубликовано 30 Июля 2013 Доброго времени суток. Имеется координатор HW 100A (4 LAN интерфейса) . Работал за статическим НАТ (порт UDP 55777 проброшен). Одим интерфейсом в LAN другим к роутеру (iptables) Все было нормально пока не решили активировать третий интерфейс. Выставили адреса, подняли интерфейс, все заработало и ..... вдруг часа через 4 он (координатор) перестает быть доступным узлам из вне сети (при этом клиентам, которые внутри сети LAN он продолжает быть доступным). Сначала грешили на роутер (iptables) проверили, перезапустили - нет результата, взяли на время другой роутер (железный) настроили все на нем (в т. ч. проброс) вместо iptables поставили - нет результата. Проверили все настройки в iplir.conf (usefirewall, proxy_id , port, firewallip, mode=external и.т.д.). Ничего не поменялось все как было так и есть. Режим 3-й. Маршруты настроены. При этом при всем открытый трафик продолжает ходить нормально через него. Информацию об адресах он предоставляет внешним узлам. Третий интерфейс потом ввели в down - не помогло. При этом при всем интерфейс в downе а инфа об адресе распостраняется. Непонятно можно ли основной адрес убрать с интерфейса? В журнале пакетов (его и других узлов) странно как-то - отправлено им к примеру N-пакетов по порту 2046, получено другим узлом M пакетов при этом при всем M<N (и на много меньше) событие 40 - типа все норм. наоборот такая -же ситуация НО узел недоступен и с него узлы тоже недоступны. Прошу помощи..... Может кто то сталкивался с подобным. Заранее благодарен. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 30 Июля 2013 Жалоба Поделиться Опубликовано 30 Июля 2013 Во-первых, я бы не стал связывать эти события, особенно потому, что проблема появилась через 4 часа. Если что-то с маршрутами портится, то портится сразу. Если исключить аппаратные проблемы и проблемы с проводом и роутером (так как Вы меняли роутер), то стоит посмотреть:Были ли обновления ключей или адресных справочников;Добавились ли какие-то новые туннели у взаимодействующих координаторов (которые бы перекрывали Ваши адреса и портили маршрутизацию). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ksardex Опубликовано 30 Июля 2013 Жалоба Поделиться Опубликовано 30 Июля 2013 Добавились ли какие-то новые туннели у взаимодействующих координаторов (которые бы перекрывали Ваши адреса и портили маршрутизацию).А вот это очень важное замечание, сталкивался с такой проблемой, ошиблись в диапазоне адресов в туннеле, что перекрыло нашу адресацию и все рухнуло Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
demda Опубликовано 30 Июля 2013 Автор Жалоба Поделиться Опубликовано 30 Июля 2013 Во-первых, я бы не стал связывать эти события, особенно потому, что проблема появилась через 4 часа. Если что-то с маршрутами портится, то портится сразу. Если исключить аппаратные проблемы и проблемы с проводом и роутером (так как Вы меняли роутер), то стоит посмотреть:Были ли обновления ключей или адресных справочников;Добавились ли какие-то новые туннели у взаимодействующих координаторов (которые бы перекрывали Ваши адреса и портили маршрутизацию).Никаких тунелей не добавлялось, я наверно не правильно выразился. Через 4 часа обнаружили, что рухнуло. Возможно, что и раньше.Есть еще варианты? Ситуация не исправилась.... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
demda Опубликовано 30 Июля 2013 Автор Жалоба Поделиться Опубликовано 30 Июля 2013 Никаких тунелей не добавлялось, я наверно не правильно выразился. Через 4 часа обнаружили, что рухнуло. Возможно, что и раньше.Есть еще варианты? Ситуация не исправилась....Ключи и адресные справочники не обновлялись и не менялись. И вопрос открыт: можно ли на интерфейсе убрать основной ip-адрес? Интерфейс отключен а адреса выкатываются Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 30 Июля 2013 Жалоба Поделиться Опубликовано 30 Июля 2013 ....можно ли на интерфейсе убрать основной ip-адрес?...Можно. При этом слетит шлюз.Ситуация интересная...есть одно предположение...только:1. Является ли этот координатор сервером ip-адресов для клиентов?2. Скольких клиентов?3. Какой адрес видимости этих клиентов в iplir.conf?4. Какая прошивка?Из admin esc предоставьте вывод командыiplirdiag -s ipsettings --node-info 0x00000000, где 0x00000000 идентификатор выбранного "неработающего" узла. Интересует параметр visability. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Kurtasanov Опубликовано 30 Июля 2013 Жалоба Поделиться Опубликовано 30 Июля 2013 Как со временем на HW? Возможно часовой пояс был неправильно установлен, а после активации 3-го интерфейса стал доступен NTP сервер. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
demda Опубликовано 30 Июля 2013 Автор Жалоба Поделиться Опубликовано 30 Июля 2013 ....можно ли на интерфейсе убрать основной ip-адрес?...Можно. При этом слетит шлюз.Ситуация интересная...есть одно предположение...только:1. Является ли этот координатор сервером ip-адресов для клиентов?2. Скольких клиентов?3. Какой адрес видимости этих клиентов в iplir.conf?4. Какая прошивка?Из admin esc предоставьте вывод командыiplirdiag -s ipsettings --node-info 0x00000000, где 0x00000000 идентификатор выбранного "неработающего" узла. Интересует параметр visability.1-3 вопрос не является сервером ip адресов ни для кого.3. Вывод прошивки 3.7.1 (3896) - 3.00 (670) - 3.03 (3)Admin escape:Node rownode: 06070133proxyType: Nonevisibility: RealmethodIpAccess: RealIpnumRealIps: 0numTunnelingIps: 0firstVirtualIp: 10.0.1.33firewallIp: 0.0.0.0accessUdpPort: 55777proxyId: 00000000forwardId: 00000000forwardIdExist: 0incType: (0x0)properties: Elapse (0x2)timeout: 0timestamp: 0lastAdapterNumber: -1m_ForwardIp (obs): 0.0.0.0Access point for node: 06070133node: 06070133ipAddress: 0.0.0.0udpPort: 55777The ip address table for node 06070133(rows 0):Real VisibilityThe tunneling ip address table for node 06070133(rows 0):Begin real End real Begin visibility End visibility Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
demda Опубликовано 30 Июля 2013 Автор Жалоба Поделиться Опубликовано 30 Июля 2013 1-3 вопрос не является сервером ip адресов ни для кого.3. Вывод прошивки 3.7.1 (3896) - 3.00 (670) - 3.03 (3)Admin escape:Node rownode: 06070133proxyType: Nonevisibility: RealmethodIpAccess: RealIpnumRealIps: 0numTunnelingIps: 0firstVirtualIp: 10.0.1.33firewallIp: 0.0.0.0accessUdpPort: 55777proxyId: 00000000forwardId: 00000000forwardIdExist: 0incType: (0x0)properties: Elapse (0x2)timeout: 0timestamp: 0lastAdapterNumber: -1m_ForwardIp (obs): 0.0.0.0Access point for node: 06070133node: 06070133ipAddress: 0.0.0.0udpPort: 55777The ip address table for node 06070133(rows 0):Real VisibilityThe tunneling ip address table for node 06070133(rows 0):Begin real End real Begin visibility End visibilityстранный вывод.... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 30 Июля 2013 Жалоба Поделиться Опубликовано 30 Июля 2013 это вывод для клиента, который находится в Интернете??? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
demda Опубликовано 30 Июля 2013 Автор Жалоба Поделиться Опубликовано 30 Июля 2013 это вывод для клиента, который находится в Интернете???это вывод для неработающего координатора, с другого координатора, который в интернете и сним связан по ТК Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
demda Опубликовано 30 Июля 2013 Автор Жалоба Поделиться Опубликовано 30 Июля 2013 это вывод для неработающего координатора, с другого координатора, который в интернете и сним связан по ТКМожет быть надо сделать вывод с неработающего координатора для какого нибудь узла в интернете? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 30 Июля 2013 Жалоба Поделиться Опубликовано 30 Июля 2013 ....Может быть надо сделать вывод с неработающего координатора для какого нибудь узла в интернете? ....Да!И еще:явно с настройками на неработающем координаторе. Почему какой-то координатор в интернете видит его по реальным адресам?? Только если он работает "без МЭ", что есть неправильно. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
demda Опубликовано 30 Июля 2013 Автор Жалоба Поделиться Опубликовано 30 Июля 2013 ....Может быть надо сделать вывод с неработающего координатора для какого нибудь узла в интернете? ....Да!И еще:явно с настройками на неработающем координаторе. Почему какой-то координатор в интернете видит его по реальным адресам?? Только если он работает "без МЭ", что есть неправильно.С настройками все в порядке. Проверили несколько раз Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
demda Опубликовано 30 Июля 2013 Автор Жалоба Поделиться Опубликовано 30 Июля 2013 С настройками все в порядке. Проверили несколько разВот вывод команды с неработающего координатора: к узлу в интернетеNode rownode: 060700DFproxyType: Nonevisibility: VirtualmethodIpAccess: FirewallIpnumRealIps: 4numTunnelingIps: 4firstVirtualIp: 10.0.0.6firewallIp: 83.246.160.242accessUdpPort: 55777proxyId: 060700DFforwardId: 00000000forwardIdExist: 0incType: (0x0)properties: Elapse (0x2)timeout: 0timestamp: 0Вот его собственная секция id[id]id= 0x06070132name= HW100A ▒.▒▒▒▒▒▒▒▒▒▒▒filterdefault= passip= 172.16.100.2ip= 192.168.0.100ip= 192.168.252.1tunnel= 192.168.0.2-192.168.0.2 to 192.168.0.2-192.168.0.2firewallip= 172.16.100.2port= 55777proxyid= 0x00000000usefirewall= onfixfirewall= onvirtualip= 10.0.0.1version= 3.0-670Вот адаптер секция[adapter]name= eth0ip= 172.16.100.2allowtraffic= ontype= externalвсе остальные internal Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 30 Июля 2013 Жалоба Поделиться Опубликовано 30 Июля 2013 firewallip в собственной секции поменяйте на внешний адрес NAT. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
demda Опубликовано 30 Июля 2013 Автор Жалоба Поделиться Опубликовано 30 Июля 2013 firewallip в собственной секции поменяйте на внешний адрес NAT.Меняли... после старта iplir становится таким Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 30 Июля 2013 Жалоба Поделиться Опубликовано 30 Июля 2013 Блин, уберите параметр fixfirewall= off Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
demda Опубликовано 30 Июля 2013 Автор Жалоба Поделиться Опубликовано 30 Июля 2013 Блин, уберите параметр fixfirewall= off Спасибо, ситуация решлась!!! Последний Ваш совет и почему-то интерфейс в 1-й режим ушел Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 30 Июля 2013 Жалоба Поделиться Опубликовано 30 Июля 2013 сам по себе параметр не мог поменяться....видимо из цуса выслали конфиг. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.