Перейти к контенту

Настройка Связи Двух Координаторов Через Интернет


Рекомендуемые сообщения

Здравствуйте.

Ситуация следующая.

Имеется головной координатор (УЦЗН). У него белый ip (91.хх.хх.хх). Смотрит в интернет без какого-либо с нашей стороны межсетевого экрана.

В подведомственной организации (цзн) координатор стоит за межсетевым экраном под Usergate. Прокси стоит вне сети. Прокси на координатор ходит без ограничений.

Необходимо организовать связь между ними через интернет.

На координаторе (цзн) выставлена в настройках работа через межсетевой экран с динамической трансляцией адресов.

В настройках узла, на закладке межсетевой экран ip-адрес доступа выставлен адрес координатора УЦЗН (91.хх.хх.хх) . Настроено использовать виртуальные адреса. На тот же адрес.

В целом, с другими подведомственными организациями такая настройка в итоге дает связь через интернет. Даже без особых настроек прокси

Однако в этом случае связь не появляется.

В журнале на головном координаторе появляются следующие блокированные пакеты:

Событие 1 - не найден ключ для сетевого узла

Сетевой интерфейс NIC2: Intel 21143-Based PCI Fast Ethernet адаптер (Универсальный) (91.хх. хх. хх)

Узел источника [ххххх 170] СМ Координатор ЦЗН

Ip-адрес источника 89. хх. хх. хх (похоже что это ip провайдера)

Узел назначения [ххххх00A] СМ Координатор УЦЗН

Ip-адрес назначения 91. хх. хх. хх

Протокол TCP

Порт источника 3051

Порт назначения 55777

Однако время от времени связь все-таки появляется. Входящий пропущенный пакет в этом случае выдает следующее сообщение

Событие 40 – пропущен зашифрованный пакет

Сетевой интерфейс NIC2: Intel 21143-Based PCI Fast Ethernet адаптер (Универсальный) (91.хх. хх. хх)

Узел источника [ххххх 170] СМ Координатор ЦЗН

Ip-адрес источника 11. хх. хх. хх (виртуальный адрес сети vipnet)

Узел назначения [ххххх00A] СМ Координатор УЦЗН

Ip-адрес назначения 91. хх. хх. хх

Протокол TCP

Порт источника 5000

Порт назначения 4691

Ключевые наборы на обоих координаторах свежие. С актуальным списком отозванных сертификатов.

В руководстве по координатору был следующий абзац:

«Если между сетевыми узлами находится межсетевой экран, выполняющий преобразование сетевых адресов (в том числе координатор ViPNet), автоматически используется протокол UDP, который позволяет IP-пакетам проходить через межсетевые экраны. Исходный пакет после шифрования упаковывается в UDP-пакет. Для настройки соединения между узлами на межсетевом экране необходимо указать разрешающее ViPNet Coordinator правило для UDP-протокола с фиксированным портом источника. Порт назначения в общем случае не задается, поскольку он регистрируется по пакетам от узла получателя.»

На прокси подведомственной организации создано соответствующее правило. Блокированные пакеты теперь имеют вид:

Событие 1 - не найден ключ для сетевого узла

Сетевой интерфейс NIC2: Intel 21143-Based PCI Fast Ethernet адаптер (Универсальный) (91.хх. хх. хх)

Узел источника [ххххх 170] СМ Координатор ЦЗН

Ip-адрес источника 89. хх. хх. хх (похоже что это ip провайдера)

Узел назначения [ххххх00A] СМ Координатор УЦЗН

Ip-адрес назначения 91. хх. хх. хх

Протокол UDP

Порт источника 3591

Порт назначения 55777

Может кто-нибудь подсказать в чем может быть проблема?

Ссылка на комментарий
Поделиться на других сайтах

Судя по описанию события - УЦЗН не видит ключ ЦЗН.

1. Проверьте наверняка, в настройках параметров безопасности ЦЗН присутствует ли ключ пользователя.

2. Если присутствует, значит на УЦЗН всё же не пришли обновления ключей, вышлите через ЦУС.

Ссылка на комментарий
Поделиться на других сайтах

1ое событие однозначно говорит о том, что на координаторе УЦЗН нет ключей для ЦЗН.

Почему 40ое событие на mftp трафик для меня загадка.

В iplir.conf на обоих координаторах есть секции соседнего?

Что делать?

1. В ЦУС пересоздать ключи: Ключи для УКЦ - ключей узлов.

2. В УКЦ Создать ключевые наборы (не обновления ключей!).

3. В ЦУС выслать ключи.

4. В ЦУС в журнале запросов/ответов убедиться, что обновления дошли и применились +U.

Далее смотреть журналы на обеих нодах, с указанием на каком смотрим.

Ссылка на комментарий
Поделиться на других сайтах

Админ ЦЗН поставил Usergate посвежее. Связь появилась, однако в целом ситуация не изменилась.

Когда я говорил о том, что ключевые наборы свежие, я учел сообщение о том, что не найден ключ для сетевого узла. и очень удивился, потому как обновление через первичную инициализацию прошло недавно.

Скорее всего, дело в трансляции адресов на прокси. Теперь пакеты на 55777 порт так и блокируются, а вот по UDP на 2046 и по TCP с 5000 порта проходят.

Кто-нибудь настраивал usergate для vipnet-a?

Ссылка на комментарий
Поделиться на других сайтах

Добрый день!

Настраивал, в принципе все работает пока, жалоб не было

А можете поделиться секретами мастерства? :)

Какие-то особенные правила нужны?

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...

Важная информация

Продолжая пользоваться сайтом вы принимаете Условия использования.