Jump to content

Recommended Posts

Добрый день!

Подскажите пожалуйста, правильно ли выбран режим и настройка для клиента vipnet linux.

Координатор и клиент имеют серые адреса, но видят друг друга без ната через маршрутизатор(ы). На клиенте имеется несколько сетевых интерфейсов, Координатор доступен по отдельному маршруту, не дефолтному. На клиенте выбран режим Координатор. снифер показывает пакеты udp 55777 на клиенте в обе стороны на нужном интерфейсе, но клиент не видит Координатор, iplir view не показывает ни одного зашифрованного пакета. В accessip везде реальные адреса, а нужны виртуальные

Share this post


Link to post
Share on other sites

Т.е. Координатор и Клиент в разных подсетях? Нужно смотреть журнал ip-пакетов на обоих концах - есть ли исходящие пакеты от Клиента в сторону Координатора, есть ли на Координаторы входящие и ответы на него...

Share this post


Link to post
Share on other sites

Да, в разных, но видят друг друга без ната. Пакеты с событием 40 (Encrypted packet allowed) приходят от координатора, клиент не отвечает, когда клиент пингует координатор, то исходящие есть тоже с событием 40.

Суть в том, что Координатор находится на интерфейсе, отличном от интерфейса маршрута по умолчанию. Это что, как раз тот случай, когда NETFILTER не подходит, и придется менять ядро на официальное с випнетовским патчем? что-то мне кажется, что ОС (RedHat) вообще с ним не заработает... У кого-нить был опыт такой установки? Все-таки официальное ядро брать или редхатовское патчить?

Share this post


Link to post
Share on other sites

Помогите кто может, уже не знаю что делать. Ядро пересобрала (официальное 3.4.91 c kernel.org), при установке випнета определился патч, все установилось (с ворнингами в логе, правда). И все то же самое! Режим Координатор - который по логике должен быть, если клиент и Координатор видят друг друга без ната - пакеты идут в одну сторону - уходят и тишина. Если ставлю dynamic_proxy=on - iplir view видит Echo reply, а пинг в терминале ответы не показывает, порты не отвечают :wacko::(

Share this post


Link to post
Share on other sites


Суть в том, что Координатор находится на интерфейсе, отличном от интерфейса маршрута по умолчанию.

Т.е. у Клиента только шлюз по-умолчанию задан? Тогда надо статический маршрут прописать - как до Координатора добраться, если маршрут по-умолчанию не помогает.


Это что, как раз тот случай, когда NETFILTER не подходит, и придется менять ядро на официальное с випнетовским патчем?

Это случай когда надо взять лист бумаги, нарисовать схему, указать адреса и задать себе вопрос, а как будь я ip-пакетом смог бы попасть туда-то. Ну как в детстве - помоги мышке попасть в норку...

Share this post


Link to post
Share on other sites
Т.е. у Клиента только шлюз по-умолчанию задан? Тогда надо статический маршрут прописать - как до Координатора добраться, если маршрут по-умолчанию не помогает.

Нет, с маршрутами все в порядке, Координатор видит пакеты от клиента, и отвечает на них. В обратную сторону, если застопить випнет, tcpdump показывает пакеты с координатора UDP 55777. Между Координатором и клиентом НАТа НЕТ, т.е. пакеты приходят с неизменными адресами.

Режим какой ставить, не пойму. Схема:

7dc44baff6e2.png

Share this post


Link to post
Share on other sites

Т.е. на Клиент есть статический маршрут типа - если хочешь в 10.10.10.10 то используй шлюз 10.20.20.1?

Share this post


Link to post
Share on other sites

Да, конечно, иначе как бы пакеты доходили до Координатора

Share this post


Link to post
Share on other sites

Проблема не решилась... как так может быть, что iplir view показывает Echo Reply, а команда ping - нет? с чем может быть связано?

Share this post


Link to post
Share on other sites

Проблема не решилась... как так может быть, что iplir view показывает Echo Reply, а команда ping - нет? с чем может быть связано?

А с каким событием эти reply фиксируются?

Share this post


Link to post
Share on other sites

А с каким событием эти reply фиксируются?

40 (Encrypted IP packet allowed)

В конфиге везде filterdefault=pass

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.