Проблема С Созданием Тонелей Между Сетями

[vasiliy]

Всем доброго времени суток.

При развертывании сети VipNet столкнулся со следующей проблемой:

Есть три сети, которые необходимо объединить в VPN (тунелирование производится только между координаторами, клиенты на рабочие машины не ставяться), координаторами являются HW1000 (центральный координатор, 192.168.1.1) и два HW100B (192.168.2.1 и 192.168.3.1 соответственно).

Производилась следующая настройка в ЦУСе:

На HW1000 добавленны S:192.168.1.3-192.168.1.254, S:192.168.2.2-192.168.2.254, 192.168.3.2-192.168.3.254

На первый HW100 добавленны S:192.168.2.2-192.168.2.254

На второй HW100 добавленны S:192.168.3.2-192.168.3.254

Координаторы видят друг друга (inet ping ...), но при выполнении iplir view все пакеты (в часности icmp) стоят с признаком Enrypt:No.

Прошу Вашего совета, почему не поднимаются каналы VPN.

Подозреваю, что я не указал количество VPN каналов в ЦУСе, но при создании сети, в групповой регистрации, кнопки "Тонель VPN" не присутствовала. Есть ли возможность вручную изменить эту настройку уже на HW100 (как я понял, HW1000 такая настройка не требуется), например с помощью Conf.

Заранее благодарен за помощь!

[ingenico]

Производилась следующая настройка в ЦУСе:

На HW1000 добавленны S:192.168.1.3-192.168.1.254, S:192.168.2.2-192.168.2.254, 192.168.3.2-192.168.3.254

На первый HW100 добавленны S:192.168.2.2-192.168.2.254

На второй HW100 добавленны S:192.168.3.2-192.168.3.254

На HW1000 должно быть только S:192.168.1.3-192.168.1.254

Количество туннелей для HW1000 неограниченно. Для HW100B - 5 одновременных туннелей. Эти значения определяются прикладными задачами и не редактируются ни в ЦУС ни в конфигах Координаторов.

[vasiliy]

Благодарю за ответ.

То есть мне необходимо через iplir conf на HW1000 в своем tunnel, только свою подсеть, то же самое сделать и во всех остальных координаторах? В conf всех координаторах у HW1000 стоят все три туннеля.

Прошу прощения за такие вопросы. В VipNete новичок.

[slavanchuk]

Да, на конкретном устройстве прописывается только так подсеть, стоит непосредственно за данным устройством. Даже не подсеть, а диапазон адресов. И для HW100B желательно, чтобы он не превышал 5-ти. Больше он всё равно не сможет туннелировать.

[vasiliy]

Еще раз спасибо.

У меня еще один вопрос. Вернее два

1) Если я оставлю диапазон адресов тот же (с 2 по 254) - не будет ли ошибки? Я как понимаю туннель формируется на сеть, рабочих машин более чем 5 в каждой сети. Соответственно на координатор будут приходить пакеты от различных машин.

2) Планируется в будущем связать еще одну сеть, поставив еще один координатор (какой именно будет HW1000, HW100A, HW100B или HW100C не известно), в ЦУСе для HW1000 уже прописаны все туннели. Соответственно после создания еще одного координатора в ЦУСе и УЦ мне потом руками нужно будет редактировать туннель для HW1000? Или проще удалить в ЦУСе все неправильные туннели и обновить УЦ? Если можно обновить без ручного вмешательства, то просьба, подскажите источники, в литературе по ЦУСу я подобной информации не нашел.

[slavanchuk]

Если подключаемый диапазон больше, чем ограничение по туннелям в координаторе, то остальные соединения не будут работать. Единственное, что я не помню - то ли он возьмёт первую часть диапазона (по размеру не превышающего максимальное количество туннелей), то ли он будет блокировать, если количество соединений больше допустимого. Как-то давно проверяли. Лучше указать конкретные адреса.

Если у Вас появится ещё один координатор, то вы для этого координатора прописываете его туннели - и всё. УЦ обновлять не нужно - он занимается только ключами. Все настройки производятся в ЦУСе по мере надобности. Также можно прописывать туннели напрямую на координаторе (но не рекомендуется).

[vasiliy]

Я сомтрел conf HW100B, там при iplir conf указываются все координаторы, между которыми есть связи. В частности в конфе обоих координаторов HW100B есть секции о HW1000 со всем сетями, то есть прописанных S:192.168.1.3-192.168.1.254, S:192.168.2.2-192.168.2.254, 192.168.3.2-192.168.3.254. Вопрос в том - нужно ли удалять ненужные туннели в секции HW1000 у координаторов HW100?

[slavanchuk]

В HW1000 прописываются только те подсети, которые он туннелирует. В него не должны входить подсети, которые стоят за другими координаторами. Каждому координатору - своя подсеть. Редактируется всё через ЦУС. сети 2.2 и 3.2 стоят не за HW1000.

[vasiliy]

Добрый день еще раз, и все таки vpn нет

Зашел на координатор 1000, в собственной секции id удалил все tunnel=, кроме tunnel= 192.168.1.3-192.168.1.254 to 192.168.1.3-192.168.1.254 (забить конкретные ip-адреса не могу, так как они будут меняться), в секциях, описывающих оба 100 оставил все как есть, там стоит туннель по их сетям

В координаторах 100 в секции id, описывающие 1000 так же оставил только одну строчку.

Подключил 1000 и 100, повесил на них по два компьютера, пропинговал их друг с другом, пинги прошли нормально.

Но в iplir view все пакеты icmp так же без признака Enrypt:No

Подскажите, можно ли каким-либо другим образом на координаторах посмотреть подняты ли vpn-каналы между устройствами или нет.

Прошу прощения за глупые вопросы и заранее спасибо за ответы

[slavanchuk]

Добрый вечер! Пакеты от копьютера до координатора и от координатора (второго) до второго компьютера идут открытые. Пакеты между координаторами должны шифроваться. Отметим, что либо координаторы должны быть для них как шлюзы, либо должны быть прописаны маршуты между сетями. Если пакет пришёл на координатор и он пришёл от узла, который он туннелирует и, более того, адрес, к которому обращается компьютер находится в VPN, то пакет будет зашифрован и отправлен на соответствующий координатор.

Таким образом, убедитесь:

1. Координатор стоит как шлюз или прописаны маршруты.
   
2. На каждом из координаторов стоит в собственной секции своя туннелируемая подсеть.
   
3. В чужой секции (Секции другого координатора) должны стоят ip тех подсетей, куда обеспечивается vpn (убедитесь, что справочники разосланы).
   

Насчёт подсетей поэкспериментируйте. Попробуйте пока оставить один ip и только его туннелировать (чтобы исключить проблему с ограничением).

[vasiliy]

Сделал именно так.

Координатор прописан как шлюз, в своей секции координатора только своя сеть, в чужой секции только сеть, обслуживаемая другим координатором. Defaul Getawey прописан на каждом координаторе. Оба координатора на всех портах во втором режиме работы. Рабочая машина одного координатора пингует рабочую станцию другого координатора (обе машины без клиентов vipnet).

Проблема в том, что я не могу отследить, передаются ли пакеты между координаторами в зашифрованном виде, то есть поднят ли vpn туннель.

Единственный вариант, как можно посмотреть, о котором я знаю - это просмотр пакетов через iplir view. Но проблема в том, что по вьюверу получается, в частности, что пакет от от wan hw100 на wan hw1000 передается без признака шифрования.

Команду просмотра активных vpn-каналов я не нашел (в софтовом координаторе проще, там указано "возможных каналов/используемых каналов" в окне координатора).

В этом и загвоздка

Если не сложно, можете сбросить принтскрин свойств пакета либо просто схему свойств пакета, который прошел по каналу, чтобы я смог сравнить со своими пакетами, возможно я бурю в стакане поднял и моя схема работает правильно

[slavanchuk]

Действительно, должно быть написано Encrypted:yes. Также можно понять тип пакета по событию. Если Вам непривычен интерфейс HW1000, то его логи вы можете посмотреть с любого vipnet client или через SGA-апплет. Там всё намного нагляднее. Судя по описанию, у Вас всё правильно.

[AnTonN(c)]

А с каким событием регистрируются пакеты? На каком интерфейсе - внешний, внутренний? Откуда куда и по какому ip идет обращение?