niv71 Опубликовано 28 Февраля 2014 Жалоба Поделиться Опубликовано 28 Февраля 2014 Добрый день.Имеется сеть с центральным координатором HW2000 и порядка 80ю HW100, подключающихся к нему. Координаторы HW100 покупали не все скопом, а в несколько приемов, что привело к тому, что имеются координаторы HW100 с версией ПО 3.6.4(2374) - 2.12(1025) - 3.00(440) и несколько с версией ПО 3.2.0(254) - 3.0.0(670) - 3.03(3). В случае с первыми - никаких проблем не возникает, однако те несколько с версией 3.2.0... ПО не туннелируют траффик. Сами координаторы видны и доступны через VipNet Client Monitor Администратора. Сама защищенная сеть предназначена для доступа к двум физическим серверам, расположенных за HW2000: DNS серверу и серверу с web-сайтами на Nginx. Доступ производится с клиентов, расположенных за координаторами HW100. Собственно доступ к серверам за HW2000 с клиентов за координаторами с ПО 3.6.4... есть, с 3.2.0... доступа нет. Принципиальных отличий в конфигурациях HW100 разных версий ПО - нет.Ниже частично привожу конфигурации координаторов:HW100[id]id= 0x0b64038bname= <учреждение1>filterdefault= passip= 10.254.1.1ip= 192.168.16.152tunnel= 10.254.1.2-10.254.1.90 to 10.254.1.2-10.254.1.90firewallip= 192.168.16.152port= 55777proxyid= 0x00000000usefirewall= onfixfirewall= offvirtualip= 10.0.0.1version= 3.0-670[id]id= 0x0b64000cname=<HW2000>filterdefault= passip= <внешний адрес 1>ip= <внешний адрес 2>accessip= 10.0.0.2tunnel= <туннель для адреса DNS сервера>tunnel= <туннель для адреса сервера с Nginx>firewallip= <внешний адрес 1>port= 55777proxyid= 0xfffffffedynamic_timeout= 0usefirewall= onvirtualip= 10.0.0.2version= 2.12-1025[adapter]name= eth1ip= 192.168.16.152allowtraffic= ontype= external[adapter]name= eth0allowtraffic= ontype= internal[adapter]name= eth2ip= 10.254.1.1allowtraffic= ontype= internal[adapter]name= eth3allowtraffic= ontype= internal[dynamic]dynamic_proxy= onfirewallip= 192.168.16.152port= 55777forward_id= 0x0b64000calways_use_server= offtimeout= 25HW2000[id]id= 0x0b64000cname=<HW2000>filterdefault= passip= <внешний адрес 1>ip= <внешний адрес 2>tunnel= <туннель для адреса DNS сервера>tunnel= <туннель для адреса сервера с Nginx>firewallip= <внешний адрес 1>port= 55777proxyid= 0x00000000usefirewall= onfixfirewall= offvirtualip= 10.0.0.1version= 2.12-1025[id]id= 0x0b64038bname= <название учреждения>filterdefault= passip= 192.168.16.152ip= 10.254.1.1accessip= 10.0.3.100firewallip= 192.168.16.152port= 55777proxyid= 0xfffffffedynamic_timeout= 25usefirewall= onvirtualip= 10.0.3.100version= 3.0-670Собственно вопросы по всему вышеперечисленные следующие:- в чём разница между построением защищённой сети в разных версиях ПО координаторов?-есть ли способ поправить конфигурацию для функционирования защищённой сети на координаторах версии ПО 3.2.0...?-есть ли возможность отката/обновления ПО координатора, и, если да, то как и где получить файл обновления? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
intellegent Опубликовано 13 Марта 2014 Жалоба Поделиться Опубликовано 13 Марта 2014 Разницы между 3.0 и 3.2 такой как Вы описываете нет. Журнал ip-пакетов смотрели? HW2000 какой версии? Какой на HW2000 режим шифрования CTR/CFB? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ingenico Опубликовано 14 Марта 2014 Жалоба Поделиться Опубликовано 14 Марта 2014 HW2000..........[id]id= 0x0b64038bname= <название учреждения>filterdefault= passip= 192.168.16.152ip= 10.254.1.1accessip= 10.0.3.100firewallip= 192.168.16.152port= 55777proxyid= 0xfffffffedynamic_timeout= 25usefirewall= onvirtualip= 10.0.3.100version= 3.0-670...........А где параметр tunnel для этой секции? Может в этом причина? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
intellegent Опубликовано 19 Марта 2014 Жалоба Поделиться Опубликовано 19 Марта 2014 Да, должен быть параметр tunnel, иначе не понятно, что открытый трафик надо шифровать. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
niv71 Опубликовано 28 Марта 2014 Автор Жалоба Поделиться Опубликовано 28 Марта 2014 Да, должен быть параметр tunnel, иначе не понятно, что открытый трафик надо шифровать.Все координаторы настроены на выдачу клиентам адресов из сети 10.254.1.0, учитывая это, прописать в соответствующих координаторам HW100 секциях конфига HW2000 туннели проблематично. При этомРазницы между 3.0 и 3.2 такой как Вы описываете нет.но открытый трафик для координаторов с прошивкой 3.0 шифруется без указания туннелируемых адресов клиентов.Журнал ip-пакетов смотрели? HW2000 какой версии? Какой на HW2000 режим шифрования CTR/CFB?В журнале ip-пакетов на HW2000 все в порядке, на HW100 с прошивкой 3.2 - большое количество заблокированных нешифрованных пакетов, что понятно по логике, но не понятно, почему для 3.0 ситуация другая.Вывод version:HW2000 G2 version: 3.0 (67)Version of ViPNet Coordinator: 3.7.0-(1825)Version of ViPNet iplir daemon: 2.12-1025Version of ViPNet mftp daemon: 3.53-60Version of ViPNet failover daemon: 1.5-1Version of ViPNet drivers:Iplir:3.3.3Watchdog:1.0.5Version of HW2000 ViPNet shell 1.2-11Режим шифрования CFB. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
intellegent Опубликовано 1 Апреля 2014 Жалоба Поделиться Опубликовано 1 Апреля 2014 но открытый трафик для координаторов с прошивкой 3.0 шифруется без указания туннелируемых адресов клиентов.Чудеса да и только . Без заполненного параметра tunnel в соответствующей секции координатора в конфиге iplir.conf HW не будет шифровать трафик от открытых узлов. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
intellegent Опубликовано 1 Апреля 2014 Жалоба Поделиться Опубликовано 1 Апреля 2014 Что нужно сделать - прописать в конфиге HW2000 всем HW100 туннели, но с отображением их в виртуальные адреса, т.к. Вы пытаетесь туннелировать один и тот же диапазон из двух и более мест. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.