Hw1000 2 Координатора Не Видят Друг Друга

[lagster]

Добрый день. Возник небольшой вопрос:

Есть 2 координатора HW1000

HW1000-1 :

eth0. IP: 192.168.1.4 - выходит в интернет через маршрутизатор (192.168.1.1) (4 режим)

eth1. IP: 10.32.1.6 (Смотрит в свою сеть) (4 режим)

GW: 192.168.1.1

В firewall.conf для выход а в интернет дописал:

[nat]

rule= change src=192.168.1.4:dynamic proto any from 10.32.1.0/24 to anyip

[forward]

rule= proto any from 10.32.1.0/24 to anyip pass

в конфигурации дописал туннели:

Для себя:

tunnel= 10.32.1.1-10.32.1.5 to 10.32.1.1 to 10.32.1.5

tunnel= 10.32.1.7-10.32.1.255 to 10.32.1.7-10.32.1.255

Для второго координатора:

tunnel= 172.15.1.2-172.15.1.255 to 172.15.1.2-172.15.2-255

HW1000-2:

eth0. IP: 190.20.30.40 смотрит в интернет (4 режим)

eth1. IP: 172.15.1.1 (Смотрит в свою сеть) (4 режим)

GW: 190.20.30.50

В firewall.conf для выход а в интернет дописал:

[nat]

rule= change src=190.20.30.40:dynamic proto any from 172.15.1.0/24 to anyip

[forward]

rule= proto any from 172.15.1.0/24 to anyip pass

в конфигурации дописал туннели:

Для себя:

tunnel= 172.15.1.2-172.15.1.255 to 172.15.1.2-172.15.2-255

Для второго координатора:

tunnel= 10.32.1.1-10.32.1.5 to 10.32.1.1-10.32.1.5

tunnel= 10.32.1.7-10.32.1.255 to 10.32.1.7-10.32.1.255

Оба координатора нормально выходят в интернет, все пинги проходят быстро и без проблем)

Клиент подключенный к первой сети через шлюз 10.32.1.6 выходит в интернет без проблем, во второй сети также, подключенные клиенты без проблем имеют доступ в интернет. Но координаторы друг друга не видят, соответственно и клиенты одной сети не видят клиентов другой сети.

Может я какую-то ошибку допустил в настройках? Или что-то упустил.. просто не до кона понимаю принцип его работы

[ingenico]

HW1000-1 :

eth0. IP: 192.168.1.4 - выходит в интернет через маршрутизатор (192.168.1.1) (4 режим)

Смотрите прежде всего журналы пакетов на координаторах.

Судя по всему этот маршрутизатор выполняет функции NAT-устройства.

Разрешен через него трафик UDP 55777?

Для входящих из инета пакетов UDP 55777 сделано ли на маршрутизаторе NAT-правило, перенаправляющее их на внешний интерфейс HW1000-1?

Вам необходимо на HW1000-1 сделать настройки для Координатора, работающего за файерволлом со статическим или динамическим NAT (в зависимости от того как у вас ваш маршрутизатор работает). В документации порядок настройки довольно подробно расписан.

[lagster]

да, траффик разрешен, могу через путти зайти на второй координатор по внешнему IP по ssh с клиента, находящегося в сети первого координатора (при условии, что отключен монитор), но с узла, подключенного ко второй сети, не могу зайти на первый координатор.

А не могли бы вы по-подробнее рассказать про особенности настройки координатора, работающего через firewall. А то я не смог в доках ничего внятного по этому поводу найти. Заранее спасибо

[ingenico]

Из документации:

Настройка режима "Со статической трансляцией адресов"

Если ПАК установлен за Firewall (устройством) c трансляцией адресов (NAT), на котором можно настроить статические правила NAT, то на ПАК нужно произвести настройки режима работы со статическим NAT.

В этом случае IP-адрес ПАК и порт доступа к нему должны быть жестко заданы на Firewall. Кроме того, на ПАК необходимо настроить маршрутизацию на внешний Firewall (шлюз по умолчанию или маршруты для удаленных подсетей).

Для пропуска пакетов на Firewall (или устройстве с NAT), на котором можно настроить статические правила NAT, должен быть обеспечен:

• Пропуск исходящих UDP-пакетов с IP-адресом и портом ПАК (Source-порт) на любой внешний адрес и порт (с подменой адреса источника на внешний адрес NAT- устройства).
  
• Пропуск и перенаправление входящих UDP-пакетов с портом ПАК (Destination- порт) на IP-адрес ПАК.
  

Для настройки работы ПАК через Firewall со статическим NAT необходимо установить следующие параметры в файле iplir.conf:

• В секции [id], описывающей ПАК, параметр usefirewall выставить в значение on.
  
• В секции [dynamic] параметр dynamic_proxy выставить в значение off.
  
• В секции [adapter], соответствующей сетевому интерфейсу, со стороны которого установлен внешний Firewall, установить значение параметра type в external.
  
• В секции [id], описывающей ПАК, значение параметра proxyid выставить равным 0; при необходимости значение параметра port выбрать из диапазона 1-65535 (по умолчанию 55777). Этот параметр определяет номер порта, от которого преобразованные в UDP-формат пакеты уходят с ПАК (Source-порт) и на который такие пакеты приходят на ПАК (Destination-порт). Номер порта имеет смысл изменять, только если внутри локальной сети через один Firewall (или устройство с NAT) работает несколько сетевых узлов. В этом случае у всех таких узлов номера портов должны быть разные.
  

В случае если на внешнем Firewall с NAT есть возможность настроить статические правила только для входящих пакетов, предназначенных ПАК, то есть обеспечить пропуск пакетов, имеющих заданный адрес и порт назначения, а также их перенаправление на адрес ПАК, следует задать значение параметра fixfirewall равное on. В этом случае IP-адрес ПАК и порт доступа к нему должны быть жестко заданы на Firewall и их необходимо прописать в параметрах firewallip и port в секции [id], описывающей ПАК.

Если правила на внешнем Firewall с NAT настроены для исходящих пакетов ПАК и порт источника пакета при прохождении через Firewall не подменяется, то следует задать значение параметра fixfirewall равное off. В этом случае на других узлах параметры доступа к ПАК будут регистрироваться по внешним параметрам пакета. Параметр firewallip в данном режиме определяется автоматически по информации, полученной от узлов, находящихся во внешней сети, поэтому редактировать его вручную не следует.

Информация об IP-адресе Firewall и порте доступа сообщается программой всем остальным узлам, с которыми связан ПАК.