Jump to content
maverlife

Mftp-Конверты Не Доходят До Координаторов

By maverlife, in Общие вопросы по продуктовому ряду ViPNet для корпоративных пользователей

Recommended Posts

maverlife    0

maverlife
Posted

Добрый день.

Имеем следующую схему сети: http://postimg.org/image/r0gdgxt4x/

Координатор HW1000: в eth0 подключена тунелируемая сеть 0, в eth1 - реальная сеть (интернет), в eth2 частная транспортная сеть.

Часть координаторов подключена по примеру сети 1 - роутер на границе реальной сети с динамическим nat, координатор hw100 и собственно сама тунелируемая сеть 1, все прекрасно работает.

Часть по примеру сети 2 - на интерфейсе eth2 координатора HW1000 серый адрес, роутер 2 с двумя интерфейсами с серыми опять же адресами (без nat), координатор HW100 с серым адресом и тунелируемая сеть 2. После включения подключение между HW1000 и HW100-2 устанавливается, пинги (iplir, inet) проходят прекрасно, НО обновления ключей и другие mftp-конверты не уходят с HW1000 в сторону координатора HW100-2, в сторону 1 уходят и обратно соответственно тоже. Эти конверты видно в очереди конвертов на HW1000. Убираем роутер 2 между координаторами и сразу же конверты начинают проходить нормально. Пробовал уменьшать mtu на внешнем интерфейсе HW100-2, не помогло. Что еще можно предпринять или попробовать?

Share this post

Link to post
Share on other sites

slavanchuk    0

slavanchuk
Posted

Рекомендую посмотреть настройки mftp - по какому адресу он пытается достучаться до HW100-2. Посмотрите журнал mftp.

Share this post

Link to post
Share on other sites

slavanchuk    0

slavanchuk
Posted

Mftp config

Share this post

Link to post
Share on other sites

maverlife    0

maverlife
Posted

на мой взгляд в конфигурационных файлах все в порядке, адреса виртуальные 10.0.0.1 и т.п. они пингуются. возможно я неправильно пытался управлять mtu - выходил из vipnet-shell командой admin esc и задавал ifconfig на нужном интерфейсе. может есть другие варианты?

Share this post

Link to post
Share on other sites

slavanchuk    0

slavanchuk
Posted

Может, Вам нужен был параметр mssdecrease в iplir config? Или Вы про MTU для нешифрованных пакетов? Для нешифрованных пакетов MTU, скорее всего, только средствами ОС можно изменить.

P.S. А что журнал mftp говорит про данную ситуацию?

Share this post

Link to post
Share on other sites

maverlife    0

maverlife
Posted

уменьшал последовательно на 20, 40, 200 - не помогло. mftp view говорит, что конвертов не было с того момента, как последний раз напрямую координаторы подключил. о попытках отправки судить не могу, так как вычленить из общего потока пакетов, отправленных в сторону проблемного координатора, те, что содержат конверты mftp тоже не знаю как.

Share this post

Link to post
Share on other sites

slavanchuk    0

slavanchuk
Posted

Попробуйте выйти в командную оболочку и перейти в /var/log/mftpenv.log . Вы смотрите не конверты, а попытки соединения и что в итоге получилось.

Share this post

Link to post
Share on other sites

maverlife    0

maverlife
Posted

это аналогично команде mftp view, отображаются именно подтвержденные события, а не попытки. в общем не видно по журналу, что были попытки отправить конверты.

Share this post

Link to post
Share on other sites

slavanchuk    0

slavanchuk
Posted

А там ещё должен быть один тип логов в префиксом mftp (по аналогии с linux-координатором). В одном из них - пакеты. В другом - сообщения по попыткам передачи.

Share this post

Link to post
Share on other sites

AnTonN(c)    0

AnTonN(c)
Posted

....возможно я неправильно пытался управлять mtu....

мне вот интересно зачем вы mtu трогали...

спасут только логи. все (iplircfg, failoverd и mftpd) пишутся в /var/log/everything.log. Ищите по названию конверта.

пришлите конфиг mftp на hw1000 для hw100.

в ЦУС как межсерверные каналы устроены?

Share this post

Link to post
Share on other sites

maverlife    0

maverlife
Posted

трогал потому что изначально подозрение пало на непрохождение пакетов из-за некорректного mtu.

вопрос решил переведя HW100-2 и ему подобные в режим работы "за координатор" HW1000.

для меня так и остается загадкой, почему при фактически прямой доступности координаторов по "реальным" адресам, работа возможна только по данной схеме.

Share this post

Link to post
Share on other sites

slavanchuk    0

slavanchuk
Posted

Да, можно по-разному. В зависимости от настроек каналов пакеты MFTP ходят по тому или иному маршруту.

Share this post

Link to post
Share on other sites

slavanchuk    0

slavanchuk
Posted

Может быть.... кто на что горазд.

Share this post

Link to post
Share on other sites

slavanchuk    0

slavanchuk
Posted

Нет. просто говорю, что настроить каналы можно по-разному. И от этой настройки зависит то, по какому именно маршруту будут ходить MFTP пакеты - и ничего более. Поэтому Anton© и спросил как они у Вас устроены. Прошу прощения, если это грубо прозвучало.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go To Topic Listing
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.

  I accept