Jump to content
maverlife

Mftp-Конверты Не Доходят До Координаторов

By maverlife, in Общие вопросы по продуктовому ряду ViPNet для корпоративных пользователей

Recommended Posts

maverlife    0

maverlife
Posted

Добрый день.

Имеем следующую схему сети: http://postimg.org/image/r0gdgxt4x/

Координатор HW1000: в eth0 подключена тунелируемая сеть 0, в eth1 - реальная сеть (интернет), в eth2 частная транспортная сеть.

Часть координаторов подключена по примеру сети 1 - роутер на границе реальной сети с динамическим nat, координатор hw100 и собственно сама тунелируемая сеть 1, все прекрасно работает.

Часть по примеру сети 2 - на интерфейсе eth2 координатора HW1000 серый адрес, роутер 2 с двумя интерфейсами с серыми опять же адресами (без nat), координатор HW100 с серым адресом и тунелируемая сеть 2. После включения подключение между HW1000 и HW100-2 устанавливается, пинги (iplir, inet) проходят прекрасно, НО обновления ключей и другие mftp-конверты не уходят с HW1000 в сторону координатора HW100-2, в сторону 1 уходят и обратно соответственно тоже. Эти конверты видно в очереди конвертов на HW1000. Убираем роутер 2 между координаторами и сразу же конверты начинают проходить нормально. Пробовал уменьшать mtu на внешнем интерфейсе HW100-2, не помогло. Что еще можно предпринять или попробовать?

Share this post

Link to post
Share on other sites

slavanchuk    0

slavanchuk
Posted

Рекомендую посмотреть настройки mftp - по какому адресу он пытается достучаться до HW100-2. Посмотрите журнал mftp.

Share this post

Link to post
Share on other sites

slavanchuk    0

slavanchuk
Posted

Mftp config

Share this post

Link to post
Share on other sites

maverlife    0

maverlife
Posted

на мой взгляд в конфигурационных файлах все в порядке, адреса виртуальные 10.0.0.1 и т.п. они пингуются. возможно я неправильно пытался управлять mtu - выходил из vipnet-shell командой admin esc и задавал ifconfig на нужном интерфейсе. может есть другие варианты?

Share this post

Link to post
Share on other sites

slavanchuk    0

slavanchuk
Posted

Может, Вам нужен был параметр mssdecrease в iplir config? Или Вы про MTU для нешифрованных пакетов? Для нешифрованных пакетов MTU, скорее всего, только средствами ОС можно изменить.

P.S. А что журнал mftp говорит про данную ситуацию?

Share this post

Link to post
Share on other sites

maverlife    0

maverlife
Posted

уменьшал последовательно на 20, 40, 200 - не помогло. mftp view говорит, что конвертов не было с того момента, как последний раз напрямую координаторы подключил. о попытках отправки судить не могу, так как вычленить из общего потока пакетов, отправленных в сторону проблемного координатора, те, что содержат конверты mftp тоже не знаю как.

Share this post

Link to post
Share on other sites

slavanchuk    0

slavanchuk
Posted

Попробуйте выйти в командную оболочку и перейти в /var/log/mftpenv.log . Вы смотрите не конверты, а попытки соединения и что в итоге получилось.

Share this post

Link to post
Share on other sites

maverlife    0

maverlife
Posted

это аналогично команде mftp view, отображаются именно подтвержденные события, а не попытки. в общем не видно по журналу, что были попытки отправить конверты.

Share this post

Link to post
Share on other sites

slavanchuk    0

slavanchuk
Posted

А там ещё должен быть один тип логов в префиксом mftp (по аналогии с linux-координатором). В одном из них - пакеты. В другом - сообщения по попыткам передачи.

Share this post

Link to post
Share on other sites

AnTonN(c)    0

AnTonN(c)
Posted

....возможно я неправильно пытался управлять mtu....

мне вот интересно зачем вы mtu трогали...

спасут только логи. все (iplircfg, failoverd и mftpd) пишутся в /var/log/everything.log. Ищите по названию конверта.

пришлите конфиг mftp на hw1000 для hw100.

в ЦУС как межсерверные каналы устроены?

Share this post

Link to post
Share on other sites

maverlife    0

maverlife
Posted

трогал потому что изначально подозрение пало на непрохождение пакетов из-за некорректного mtu.

вопрос решил переведя HW100-2 и ему подобные в режим работы "за координатор" HW1000.

для меня так и остается загадкой, почему при фактически прямой доступности координаторов по "реальным" адресам, работа возможна только по данной схеме.

Share this post

Link to post
Share on other sites

slavanchuk    0

slavanchuk
Posted

Да, можно по-разному. В зависимости от настроек каналов пакеты MFTP ходят по тому или иному маршруту.

Share this post

Link to post
Share on other sites

slavanchuk    0

slavanchuk
Posted

Может быть.... кто на что горазд.

Share this post

Link to post
Share on other sites

slavanchuk    0

slavanchuk
Posted

Нет. просто говорю, что настроить каналы можно по-разному. И от этой настройки зависит то, по какому именно маршруту будут ходить MFTP пакеты - и ничего более. Поэтому Anton© и спросил как они у Вас устроены. Прошу прощения, если это грубо прозвучало.

Share this post

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Go To Topic Listing Общие вопросы по продуктовому ряду ViPNet для корпоративных пользователей
×

Important Information

By using this site, you agree to our Terms of Use.

  I accept