Jump to content

Recommended Posts

Доброго времени суток. Имеется координатор HW 100A (4 LAN интерфейса) . Работал за статическим НАТ (порт UDP 55777 проброшен). Одим интерфейсом в LAN другим к роутеру (iptables) Все было нормально пока не решили активировать третий интерфейс. Выставили адреса, подняли интерфейс, все заработало и ..... вдруг часа через 4 он (координатор) перестает быть доступным узлам из вне сети (при этом клиентам, которые внутри сети LAN он продолжает быть доступным). Сначала грешили на роутер (iptables) проверили, перезапустили - нет результата, взяли на время другой роутер (железный) настроили все на нем (в т. ч. проброс) вместо iptables поставили - нет результата. Проверили все настройки в iplir.conf (usefirewall, proxy_id , port, firewallip, mode=external и.т.д.). Ничего не поменялось все как было так и есть. Режим 3-й. Маршруты настроены. При этом при всем открытый трафик продолжает ходить нормально через него. Информацию об адресах он предоставляет внешним узлам. Третий интерфейс потом ввели в down - не помогло. При этом при всем интерфейс в downе а инфа об адресе распостраняется. Непонятно можно ли основной адрес убрать с интерфейса? В журнале пакетов (его и других узлов) странно как-то - отправлено им к примеру N-пакетов по порту 2046, получено другим узлом M пакетов при этом при всем M<N (и на много меньше) событие 40 - типа все норм. наоборот такая -же ситуация НО узел недоступен и с него узлы тоже недоступны. Прошу помощи..... Может кто то сталкивался с подобным. Заранее благодарен.

Share this post


Link to post
Share on other sites

Во-первых, я бы не стал связывать эти события, особенно потому, что проблема появилась через 4 часа. Если что-то с маршрутами портится, то портится сразу. Если исключить аппаратные проблемы и проблемы с проводом и роутером (так как Вы меняли роутер), то стоит посмотреть:

  • Были ли обновления ключей или адресных справочников;
  • Добавились ли какие-то новые туннели у взаимодействующих координаторов (которые бы перекрывали Ваши адреса и портили маршрутизацию).

Share this post


Link to post
Share on other sites
  • Добавились ли какие-то новые туннели у взаимодействующих координаторов (которые бы перекрывали Ваши адреса и портили маршрутизацию).

А вот это очень важное замечание, сталкивался с такой проблемой, ошиблись в диапазоне адресов в туннеле, что перекрыло нашу адресацию и все рухнуло

Share this post


Link to post
Share on other sites

Во-первых, я бы не стал связывать эти события, особенно потому, что проблема появилась через 4 часа. Если что-то с маршрутами портится, то портится сразу. Если исключить аппаратные проблемы и проблемы с проводом и роутером (так как Вы меняли роутер), то стоит посмотреть:

  • Были ли обновления ключей или адресных справочников;
  • Добавились ли какие-то новые туннели у взаимодействующих координаторов (которые бы перекрывали Ваши адреса и портили маршрутизацию).

Никаких тунелей не добавлялось, я наверно не правильно выразился. Через 4 часа обнаружили, что рухнуло. Возможно, что и раньше.Есть еще варианты? Ситуация не исправилась....

Share this post


Link to post
Share on other sites

Никаких тунелей не добавлялось, я наверно не правильно выразился. Через 4 часа обнаружили, что рухнуло. Возможно, что и раньше.Есть еще варианты? Ситуация не исправилась....

Ключи и адресные справочники не обновлялись и не менялись. И вопрос открыт: можно ли на интерфейсе убрать основной ip-адрес? Интерфейс отключен а адреса выкатываются

Share this post


Link to post
Share on other sites

....можно ли на интерфейсе убрать основной ip-адрес?...

Можно. При этом слетит шлюз.

Ситуация интересная...есть одно предположение...только:

1. Является ли этот координатор сервером ip-адресов для клиентов?

2. Скольких клиентов?

3. Какой адрес видимости этих клиентов в iplir.conf?

4. Какая прошивка?

Из admin esc предоставьте вывод команды

iplirdiag -s ipsettings --node-info 0x00000000, где 0x00000000 идентификатор выбранного "неработающего" узла. Интересует параметр visability.

Share this post


Link to post
Share on other sites

Как со временем на HW? Возможно часовой пояс был неправильно установлен, а после активации 3-го интерфейса стал доступен NTP сервер.

Share this post


Link to post
Share on other sites

....можно ли на интерфейсе убрать основной ip-адрес?...

Можно. При этом слетит шлюз.

Ситуация интересная...есть одно предположение...только:

1. Является ли этот координатор сервером ip-адресов для клиентов?

2. Скольких клиентов?

3. Какой адрес видимости этих клиентов в iplir.conf?

4. Какая прошивка?

Из admin esc предоставьте вывод команды

iplirdiag -s ipsettings --node-info 0x00000000, где 0x00000000 идентификатор выбранного "неработающего" узла. Интересует параметр visability.

1-3 вопрос не является сервером ip адресов ни для кого.

3. Вывод прошивки 3.7.1 (3896) - 3.00 (670) - 3.03 (3)

Admin escape:

Node row

node: 06070133

proxyType: None

visibility: Real

methodIpAccess: RealIp

numRealIps: 0

numTunnelingIps: 0

firstVirtualIp: 10.0.1.33

firewallIp: 0.0.0.0

accessUdpPort: 55777

proxyId: 00000000

forwardId: 00000000

forwardIdExist: 0

incType: (0x0)

properties: Elapse (0x2)

timeout: 0

timestamp: 0

lastAdapterNumber: -1

m_ForwardIp (obs): 0.0.0.0

Access point for node: 06070133

node: 06070133

ipAddress: 0.0.0.0

udpPort: 55777

The ip address table for node 06070133(rows 0):

Real Visibility

The tunneling ip address table for node 06070133(rows 0):

Begin real End real Begin visibility End visibility

Share this post


Link to post
Share on other sites

1-3 вопрос не является сервером ip адресов ни для кого.

3. Вывод прошивки 3.7.1 (3896) - 3.00 (670) - 3.03 (3)

Admin escape:

Node row

node: 06070133

proxyType: None

visibility: Real

methodIpAccess: RealIp

numRealIps: 0

numTunnelingIps: 0

firstVirtualIp: 10.0.1.33

firewallIp: 0.0.0.0

accessUdpPort: 55777

proxyId: 00000000

forwardId: 00000000

forwardIdExist: 0

incType: (0x0)

properties: Elapse (0x2)

timeout: 0

timestamp: 0

lastAdapterNumber: -1

m_ForwardIp (obs): 0.0.0.0

Access point for node: 06070133

node: 06070133

ipAddress: 0.0.0.0

udpPort: 55777

The ip address table for node 06070133(rows 0):

Real Visibility

The tunneling ip address table for node 06070133(rows 0):

Begin real End real Begin visibility End visibility

странный вывод....

Share this post


Link to post
Share on other sites

это вывод для клиента, который находится в Интернете???

Share this post


Link to post
Share on other sites

это вывод для клиента, который находится в Интернете???

это вывод для неработающего координатора, с другого координатора, который в интернете и сним связан по ТК

Share this post


Link to post
Share on other sites

это вывод для неработающего координатора, с другого координатора, который в интернете и сним связан по ТК

Может быть надо сделать вывод с неработающего координатора для какого нибудь узла в интернете?

Share this post


Link to post
Share on other sites

....Может быть надо сделать вывод с неработающего координатора для какого нибудь узла в интернете? ....

Да!

И еще:

явно с настройками на неработающем координаторе. Почему какой-то координатор в интернете видит его по реальным адресам?? Только если он работает "без МЭ", что есть неправильно.

Share this post


Link to post
Share on other sites

....Может быть надо сделать вывод с неработающего координатора для какого нибудь узла в интернете? ....

Да!

И еще:

явно с настройками на неработающем координаторе. Почему какой-то координатор в интернете видит его по реальным адресам?? Только если он работает "без МЭ", что есть неправильно.

С настройками все в порядке. Проверили несколько раз

Share this post


Link to post
Share on other sites

С настройками все в порядке. Проверили несколько раз

Вот вывод команды с неработающего координатора: к узлу в интернете

Node row

node: 060700DF

proxyType: None

visibility: Virtual

methodIpAccess: FirewallIp

numRealIps: 4

numTunnelingIps: 4

firstVirtualIp: 10.0.0.6

firewallIp: 83.246.160.242

accessUdpPort: 55777

proxyId: 060700DF

forwardId: 00000000

forwardIdExist: 0

incType: (0x0)

properties: Elapse (0x2)

timeout: 0

timestamp: 0

Вот его собственная секция id

[id]

id= 0x06070132

name= HW100A ▒.▒▒▒▒▒▒▒▒▒▒▒

filterdefault= pass

ip= 172.16.100.2

ip= 192.168.0.100

ip= 192.168.252.1

tunnel= 192.168.0.2-192.168.0.2 to 192.168.0.2-192.168.0.2

firewallip= 172.16.100.2

port= 55777

proxyid= 0x00000000

usefirewall= on

fixfirewall= on

virtualip= 10.0.0.1

version= 3.0-670

Вот адаптер секция

[adapter]

name= eth0

ip= 172.16.100.2

allowtraffic= on

type= external

все остальные internal

Share this post


Link to post
Share on other sites

firewallip в собственной секции поменяйте на внешний адрес NAT.

Share this post


Link to post
Share on other sites

firewallip в собственной секции поменяйте на внешний адрес NAT.

Меняли... после старта iplir становится таким

Share this post


Link to post
Share on other sites

Блин, уберите параметр fixfirewall= off

Share this post


Link to post
Share on other sites

Блин, уберите параметр fixfirewall= off

Спасибо, ситуация решлась!!! Последний Ваш совет и почему-то интерфейс в 1-й режим ушел

Share this post


Link to post
Share on other sites

сам по себе параметр не мог поменяться....видимо из цуса выслали конфиг.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.