Jump to content
Sign in to follow this  
niv71

Hw100 Проблема Туннелирования С Разными Версиями По

Recommended Posts

Добрый день.

Имеется сеть с центральным координатором HW2000 и порядка 80ю HW100, подключающихся к нему. Координаторы HW100 покупали не все скопом, а в несколько приемов, что привело к тому, что имеются координаторы HW100 с версией ПО 3.6.4(2374) - 2.12(1025) - 3.00(440) и несколько с версией ПО 3.2.0(254) - 3.0.0(670) - 3.03(3). В случае с первыми - никаких проблем не возникает, однако те несколько с версией 3.2.0... ПО не туннелируют траффик. Сами координаторы видны и доступны через VipNet Client Monitor Администратора. Сама защищенная сеть предназначена для доступа к двум физическим серверам, расположенных за HW2000: DNS серверу и серверу с web-сайтами на Nginx. Доступ производится с клиентов, расположенных за координаторами HW100. Собственно доступ к серверам за HW2000 с клиентов за координаторами с ПО 3.6.4... есть, с 3.2.0... доступа нет. Принципиальных отличий в конфигурациях HW100 разных версий ПО - нет.

Ниже частично привожу конфигурации координаторов:

HW100


[id]
id= 0x0b64038b
name= <учреждение1>
filterdefault= pass
ip= 10.254.1.1
ip= 192.168.16.152
tunnel= 10.254.1.2-10.254.1.90 to 10.254.1.2-10.254.1.90
firewallip= 192.168.16.152
port= 55777
proxyid= 0x00000000
usefirewall= on
fixfirewall= off
virtualip= 10.0.0.1
version= 3.0-670
[id]
id= 0x0b64000c
name=<HW2000>
filterdefault= pass
ip= <внешний адрес 1>
ip= <внешний адрес 2>
accessip= 10.0.0.2
tunnel= <туннель для адреса DNS сервера>
tunnel= <туннель для адреса сервера с Nginx>
firewallip= <внешний адрес 1>
port= 55777
proxyid= 0xfffffffe
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.2
version= 2.12-1025
[adapter]
name= eth1
ip= 192.168.16.152
allowtraffic= on
type= external
[adapter]
name= eth0
allowtraffic= on
type= internal
[adapter]
name= eth2
ip= 10.254.1.1
allowtraffic= on
type= internal
[adapter]
name= eth3
allowtraffic= on
type= internal
[dynamic]
dynamic_proxy= on
firewallip= 192.168.16.152
port= 55777
forward_id= 0x0b64000c
always_use_server= off
timeout= 25

HW2000


[id]
id= 0x0b64000c
name=<HW2000>
filterdefault= pass
ip= <внешний адрес 1>
ip= <внешний адрес 2>
tunnel= <туннель для адреса DNS сервера>
tunnel= <туннель для адреса сервера с Nginx>
firewallip= <внешний адрес 1>
port= 55777
proxyid= 0x00000000
usefirewall= on
fixfirewall= off
virtualip= 10.0.0.1
version= 2.12-1025
[id]
id= 0x0b64038b
name= <название учреждения>
filterdefault= pass
ip= 192.168.16.152
ip= 10.254.1.1
accessip= 10.0.3.100
firewallip= 192.168.16.152
port= 55777
proxyid= 0xfffffffe
dynamic_timeout= 25
usefirewall= on
virtualip= 10.0.3.100
version= 3.0-670

Собственно вопросы по всему вышеперечисленные следующие:

- в чём разница между построением защищённой сети в разных версиях ПО координаторов?

-есть ли способ поправить конфигурацию для функционирования защищённой сети на координаторах версии ПО 3.2.0...?

-есть ли возможность отката/обновления ПО координатора, и, если да, то как и где получить файл обновления?

Share this post


Link to post
Share on other sites

Разницы между 3.0 и 3.2 такой как Вы описываете нет. Журнал ip-пакетов смотрели? HW2000 какой версии? Какой на HW2000 режим шифрования CTR/CFB?

Share this post


Link to post
Share on other sites

HW2000

..........

[id]

id= 0x0b64038b

name= <название учреждения>

filterdefault= pass

ip= 192.168.16.152

ip= 10.254.1.1

accessip= 10.0.3.100

firewallip= 192.168.16.152

port= 55777

proxyid= 0xfffffffe

dynamic_timeout= 25

usefirewall= on

virtualip= 10.0.3.100

version= 3.0-670

...........

А где параметр tunnel для этой секции? Может в этом причина?

Share this post


Link to post
Share on other sites

Да, должен быть параметр tunnel, иначе не понятно, что открытый трафик надо шифровать.

Все координаторы настроены на выдачу клиентам адресов из сети 10.254.1.0, учитывая это, прописать в соответствующих координаторам HW100 секциях конфига HW2000 туннели проблематично. При этом

Разницы между 3.0 и 3.2 такой как Вы описываете нет.

но открытый трафик для координаторов с прошивкой 3.0 шифруется без указания туннелируемых адресов клиентов.

Журнал ip-пакетов смотрели? HW2000 какой версии? Какой на HW2000 режим шифрования CTR/CFB?

В журнале ip-пакетов на HW2000 все в порядке, на HW100 с прошивкой 3.2 - большое количество заблокированных нешифрованных пакетов, что понятно по логике, но не понятно, почему для 3.0 ситуация другая.

Вывод version:


HW2000 G2 version: 3.0 (67)
Version of ViPNet Coordinator: 3.7.0-(1825)
Version of ViPNet iplir daemon: 2.12-1025
Version of ViPNet mftp daemon: 3.53-60
Version of ViPNet failover daemon: 1.5-1
Version of ViPNet drivers:
Iplir:
3.3.3
Watchdog:
1.0.5
Version of HW2000 ViPNet shell 1.2-11

Режим шифрования CFB.

Share this post


Link to post
Share on other sites


но открытый трафик для координаторов с прошивкой 3.0 шифруется без указания туннелируемых адресов клиентов.

Чудеса да и только :). Без заполненного параметра tunnel в соответствующей секции координатора в конфиге iplir.conf HW не будет шифровать трафик от открытых узлов.

Share this post


Link to post
Share on other sites

Что нужно сделать - прописать в конфиге HW2000 всем HW100 туннели, но с отображением их в виртуальные адреса, т.к. Вы пытаетесь туннелировать один и тот же диапазон из двух и более мест.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.