Jump to content
Sign in to follow this  
lagster

Hw1000 2 Координатора Не Видят Друг Друга

Recommended Posts

Добрый день. Возник небольшой вопрос:

Есть 2 координатора HW1000

HW1000-1 :

eth0. IP: 192.168.1.4 - выходит в интернет через маршрутизатор (192.168.1.1) (4 режим)

eth1. IP: 10.32.1.6 (Смотрит в свою сеть) (4 режим)

GW: 192.168.1.1

В firewall.conf для выход а в интернет дописал:

[nat]

rule= change src=192.168.1.4:dynamic proto any from 10.32.1.0/24 to anyip

[forward]

rule= proto any from 10.32.1.0/24 to anyip pass

в конфигурации дописал туннели:

Для себя:

tunnel= 10.32.1.1-10.32.1.5 to 10.32.1.1 to 10.32.1.5

tunnel= 10.32.1.7-10.32.1.255 to 10.32.1.7-10.32.1.255

Для второго координатора:

tunnel= 172.15.1.2-172.15.1.255 to 172.15.1.2-172.15.2-255

HW1000-2:

eth0. IP: 190.20.30.40 смотрит в интернет (4 режим)

eth1. IP: 172.15.1.1 (Смотрит в свою сеть) (4 режим)

GW: 190.20.30.50

В firewall.conf для выход а в интернет дописал:

[nat]

rule= change src=190.20.30.40:dynamic proto any from 172.15.1.0/24 to anyip

[forward]

rule= proto any from 172.15.1.0/24 to anyip pass

в конфигурации дописал туннели:

Для себя:

tunnel= 172.15.1.2-172.15.1.255 to 172.15.1.2-172.15.2-255

Для второго координатора:

tunnel= 10.32.1.1-10.32.1.5 to 10.32.1.1-10.32.1.5

tunnel= 10.32.1.7-10.32.1.255 to 10.32.1.7-10.32.1.255

Оба координатора нормально выходят в интернет, все пинги проходят быстро и без проблем)

Клиент подключенный к первой сети через шлюз 10.32.1.6 выходит в интернет без проблем, во второй сети также, подключенные клиенты без проблем имеют доступ в интернет. Но координаторы друг друга не видят, соответственно и клиенты одной сети не видят клиентов другой сети.

Может я какую-то ошибку допустил в настройках? Или что-то упустил.. просто не до кона понимаю принцип его работы

Share this post


Link to post
Share on other sites

HW1000-1 :

eth0. IP: 192.168.1.4 - выходит в интернет через маршрутизатор (192.168.1.1) (4 режим)

Смотрите прежде всего журналы пакетов на координаторах.

Судя по всему этот маршрутизатор выполняет функции NAT-устройства.

Разрешен через него трафик UDP 55777?

Для входящих из инета пакетов UDP 55777 сделано ли на маршрутизаторе NAT-правило, перенаправляющее их на внешний интерфейс HW1000-1?

Вам необходимо на HW1000-1 сделать настройки для Координатора, работающего за файерволлом со статическим или динамическим NAT (в зависимости от того как у вас ваш маршрутизатор работает). В документации порядок настройки довольно подробно расписан.

Share this post


Link to post
Share on other sites

да, траффик разрешен, могу через путти зайти на второй координатор по внешнему IP по ssh с клиента, находящегося в сети первого координатора (при условии, что отключен монитор), но с узла, подключенного ко второй сети, не могу зайти на первый координатор.

А не могли бы вы по-подробнее рассказать про особенности настройки координатора, работающего через firewall. А то я не смог в доках ничего внятного по этому поводу найти. Заранее спасибо

Share this post


Link to post
Share on other sites

Из документации:

Настройка режима "Со статической трансляцией адресов"

Если ПАК установлен за Firewall (устройством) c трансляцией адресов (NAT), на котором можно настроить статические правила NAT, то на ПАК нужно произвести настройки режима работы со статическим NAT.

В этом случае IP-адрес ПАК и порт доступа к нему должны быть жестко заданы на Firewall. Кроме того, на ПАК необходимо настроить маршрутизацию на внешний Firewall (шлюз по умолчанию или маршруты для удаленных подсетей).

Для пропуска пакетов на Firewall (или устройстве с NAT), на котором можно настроить статические правила NAT, должен быть обеспечен:
  • Пропуск исходящих UDP-пакетов с IP-адресом и портом ПАК (Source-порт) на любой внешний адрес и порт (с подменой адреса источника на внешний адрес NAT- устройства).
  • Пропуск и перенаправление входящих UDP-пакетов с портом ПАК (Destination- порт) на IP-адрес ПАК.

Для настройки работы ПАК через Firewall со статическим NAT необходимо установить следующие параметры в файле iplir.conf:
  • В секции [id], описывающей ПАК, параметр usefirewall выставить в значение on.
  • В секции [dynamic] параметр dynamic_proxy выставить в значение off.
  • В секции [adapter], соответствующей сетевому интерфейсу, со стороны которого установлен внешний Firewall, установить значение параметра type в external.
  • В секции [id], описывающей ПАК, значение параметра proxyid выставить равным 0; при необходимости значение параметра port выбрать из диапазона 1-65535 (по умолчанию 55777). Этот параметр определяет номер порта, от которого преобразованные в UDP-формат пакеты уходят с ПАК (Source-порт) и на который такие пакеты приходят на ПАК (Destination-порт). Номер порта имеет смысл изменять, только если внутри локальной сети через один Firewall (или устройство с NAT) работает несколько сетевых узлов. В этом случае у всех таких узлов номера портов должны быть разные.

В случае если на внешнем Firewall с NAT есть возможность настроить статические правила только для входящих пакетов, предназначенных ПАК, то есть обеспечить пропуск пакетов, имеющих заданный адрес и порт назначения, а также их перенаправление на адрес ПАК, следует задать значение параметра fixfirewall равное on. В этом случае IP-адрес ПАК и порт доступа к нему должны быть жестко заданы на Firewall и их необходимо прописать в параметрах firewallip и port в секции [id], описывающей ПАК.

Если правила на внешнем Firewall с NAT настроены для исходящих пакетов ПАК и порт источника пакета при прохождении через Firewall не подменяется, то следует задать значение параметра fixfirewall равное off. В этом случае на других узлах параметры доступа к ПАК будут регистрироваться по внешним параметрам пакета. Параметр firewallip в данном режиме определяется автоматически по информации, полученной от узлов, находящихся во внешней сети, поэтому редактировать его вручную не следует.

Информация об IP-адресе Firewall и порте доступа сообщается программой всем остальным узлам, с которыми связан ПАК.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.