Hw100 Проблема Туннелирования С Разными Версиями По

[niv71]

Добрый день.

Имеется сеть с центральным координатором HW2000 и порядка 80ю HW100, подключающихся к нему. Координаторы HW100 покупали не все скопом, а в несколько приемов, что привело к тому, что имеются координаторы HW100 с версией ПО 3.6.4(2374) - 2.12(1025) - 3.00(440) и несколько с версией ПО 3.2.0(254) - 3.0.0(670) - 3.03(3). В случае с первыми - никаких проблем не возникает, однако те несколько с версией 3.2.0... ПО не туннелируют траффик. Сами координаторы видны и доступны через VipNet Client Monitor Администратора. Сама защищенная сеть предназначена для доступа к двум физическим серверам, расположенных за HW2000: DNS серверу и серверу с web-сайтами на Nginx. Доступ производится с клиентов, расположенных за координаторами HW100. Собственно доступ к серверам за HW2000 с клиентов за координаторами с ПО 3.6.4... есть, с 3.2.0... доступа нет. Принципиальных отличий в конфигурациях HW100 разных версий ПО - нет.

Ниже частично привожу конфигурации координаторов:

HW100

[id]
id= 0x0b64038b
name= <учреждение1>
filterdefault= pass
ip= 10.254.1.1
ip= 192.168.16.152
tunnel= 10.254.1.2-10.254.1.90 to 10.254.1.2-10.254.1.90
firewallip= 192.168.16.152
port= 55777
proxyid= 0x00000000
usefirewall= on
fixfirewall= off
virtualip= 10.0.0.1
version= 3.0-670
[id]
id= 0x0b64000c
name=<HW2000>
filterdefault= pass
ip= <внешний адрес 1>
ip= <внешний адрес 2>
accessip= 10.0.0.2
tunnel= <туннель для адреса DNS сервера>
tunnel= <туннель для адреса сервера с Nginx>
firewallip= <внешний адрес 1>
port= 55777
proxyid= 0xfffffffe
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.2
version= 2.12-1025
[adapter]
name= eth1
ip= 192.168.16.152
allowtraffic= on
type= external
[adapter]
name= eth0
allowtraffic= on
type= internal
[adapter]
name= eth2
ip= 10.254.1.1
allowtraffic= on
type= internal
[adapter]
name= eth3
allowtraffic= on
type= internal
[dynamic]
dynamic_proxy= on
firewallip= 192.168.16.152
port= 55777
forward_id= 0x0b64000c
always_use_server= off
timeout= 25

HW2000

[id]
id= 0x0b64000c
name=<HW2000>
filterdefault= pass
ip= <внешний адрес 1>
ip= <внешний адрес 2>
tunnel= <туннель для адреса DNS сервера>
tunnel= <туннель для адреса сервера с Nginx>
firewallip= <внешний адрес 1>
port= 55777
proxyid= 0x00000000
usefirewall= on
fixfirewall= off
virtualip= 10.0.0.1
version= 2.12-1025
[id]
id= 0x0b64038b
name= <название учреждения>
filterdefault= pass
ip= 192.168.16.152
ip= 10.254.1.1
accessip= 10.0.3.100
firewallip= 192.168.16.152
port= 55777
proxyid= 0xfffffffe
dynamic_timeout= 25
usefirewall= on
virtualip= 10.0.3.100
version= 3.0-670

Собственно вопросы по всему вышеперечисленные следующие:

- в чём разница между построением защищённой сети в разных версиях ПО координаторов?

-есть ли способ поправить конфигурацию для функционирования защищённой сети на координаторах версии ПО 3.2.0...?

-есть ли возможность отката/обновления ПО координатора, и, если да, то как и где получить файл обновления?

[intellegent]

Разницы между 3.0 и 3.2 такой как Вы описываете нет. Журнал ip-пакетов смотрели? HW2000 какой версии? Какой на HW2000 режим шифрования CTR/CFB?

[ingenico]

HW2000

..........

[id]

id= 0x0b64038b

name= <название учреждения>

filterdefault= pass

ip= 192.168.16.152

ip= 10.254.1.1

accessip= 10.0.3.100

firewallip= 192.168.16.152

port= 55777

proxyid= 0xfffffffe

dynamic_timeout= 25

usefirewall= on

virtualip= 10.0.3.100

version= 3.0-670

...........

А где параметр tunnel для этой секции? Может в этом причина?

[intellegent]

Да, должен быть параметр tunnel, иначе не понятно, что открытый трафик надо шифровать.

[niv71]

Да, должен быть параметр tunnel, иначе не понятно, что открытый трафик надо шифровать.

Все координаторы настроены на выдачу клиентам адресов из сети 10.254.1.0, учитывая это, прописать в соответствующих координаторам HW100 секциях конфига HW2000 туннели проблематично. При этом

Разницы между 3.0 и 3.2 такой как Вы описываете нет.

но открытый трафик для координаторов с прошивкой 3.0 шифруется без указания туннелируемых адресов клиентов.

Журнал ip-пакетов смотрели? HW2000 какой версии? Какой на HW2000 режим шифрования CTR/CFB?

В журнале ip-пакетов на HW2000 все в порядке, на HW100 с прошивкой 3.2 - большое количество заблокированных нешифрованных пакетов, что понятно по логике, но не понятно, почему для 3.0 ситуация другая.

Вывод version:

HW2000 G2 version: 3.0 (67)
Version of ViPNet Coordinator: 3.7.0-(1825)
Version of ViPNet iplir daemon: 2.12-1025
Version of ViPNet mftp daemon: 3.53-60
Version of ViPNet failover daemon: 1.5-1
Version of ViPNet drivers:
Iplir:
3.3.3
Watchdog:
1.0.5
Version of HW2000 ViPNet shell 1.2-11

Режим шифрования CFB.

[intellegent]

но открытый трафик для координаторов с прошивкой 3.0 шифруется без указания туннелируемых адресов клиентов.

Чудеса да и только . Без заполненного параметра tunnel в соответствующей секции координатора в конфиге iplir.conf HW не будет шифровать трафик от открытых узлов.

[intellegent]

Что нужно сделать - прописать в конфиге HW2000 всем HW100 туннели, но с отображением их в виртуальные адреса, т.к. Вы пытаетесь туннелировать один и тот же диапазон из двух и более мест.