Jump to content
olphin

Настройка Связи Двух Координаторов Через Интернет

Recommended Posts

Здравствуйте.

Ситуация следующая.

Имеется головной координатор (УЦЗН). У него белый ip (91.хх.хх.хх). Смотрит в интернет без какого-либо с нашей стороны межсетевого экрана.

В подведомственной организации (цзн) координатор стоит за межсетевым экраном под Usergate. Прокси стоит вне сети. Прокси на координатор ходит без ограничений.

Необходимо организовать связь между ними через интернет.

На координаторе (цзн) выставлена в настройках работа через межсетевой экран с динамической трансляцией адресов.

В настройках узла, на закладке межсетевой экран ip-адрес доступа выставлен адрес координатора УЦЗН (91.хх.хх.хх) . Настроено использовать виртуальные адреса. На тот же адрес.

В целом, с другими подведомственными организациями такая настройка в итоге дает связь через интернет. Даже без особых настроек прокси

Однако в этом случае связь не появляется.

В журнале на головном координаторе появляются следующие блокированные пакеты:

Событие 1 - не найден ключ для сетевого узла

Сетевой интерфейс NIC2: Intel 21143-Based PCI Fast Ethernet адаптер (Универсальный) (91.хх. хх. хх)

Узел источника [ххххх 170] СМ Координатор ЦЗН

Ip-адрес источника 89. хх. хх. хх (похоже что это ip провайдера)

Узел назначения [ххххх00A] СМ Координатор УЦЗН

Ip-адрес назначения 91. хх. хх. хх

Протокол TCP

Порт источника 3051

Порт назначения 55777

Однако время от времени связь все-таки появляется. Входящий пропущенный пакет в этом случае выдает следующее сообщение

Событие 40 – пропущен зашифрованный пакет

Сетевой интерфейс NIC2: Intel 21143-Based PCI Fast Ethernet адаптер (Универсальный) (91.хх. хх. хх)

Узел источника [ххххх 170] СМ Координатор ЦЗН

Ip-адрес источника 11. хх. хх. хх (виртуальный адрес сети vipnet)

Узел назначения [ххххх00A] СМ Координатор УЦЗН

Ip-адрес назначения 91. хх. хх. хх

Протокол TCP

Порт источника 5000

Порт назначения 4691

Ключевые наборы на обоих координаторах свежие. С актуальным списком отозванных сертификатов.

В руководстве по координатору был следующий абзац:

«Если между сетевыми узлами находится межсетевой экран, выполняющий преобразование сетевых адресов (в том числе координатор ViPNet), автоматически используется протокол UDP, который позволяет IP-пакетам проходить через межсетевые экраны. Исходный пакет после шифрования упаковывается в UDP-пакет. Для настройки соединения между узлами на межсетевом экране необходимо указать разрешающее ViPNet Coordinator правило для UDP-протокола с фиксированным портом источника. Порт назначения в общем случае не задается, поскольку он регистрируется по пакетам от узла получателя.»

На прокси подведомственной организации создано соответствующее правило. Блокированные пакеты теперь имеют вид:

Событие 1 - не найден ключ для сетевого узла

Сетевой интерфейс NIC2: Intel 21143-Based PCI Fast Ethernet адаптер (Универсальный) (91.хх. хх. хх)

Узел источника [ххххх 170] СМ Координатор ЦЗН

Ip-адрес источника 89. хх. хх. хх (похоже что это ip провайдера)

Узел назначения [ххххх00A] СМ Координатор УЦЗН

Ip-адрес назначения 91. хх. хх. хх

Протокол UDP

Порт источника 3591

Порт назначения 55777

Может кто-нибудь подсказать в чем может быть проблема?

Share this post


Link to post
Share on other sites

Добрый день!

Проблема скорее всего в UserGate. Необходимо его настраивать.

Share this post


Link to post
Share on other sites

Судя по описанию события - УЦЗН не видит ключ ЦЗН.

1. Проверьте наверняка, в настройках параметров безопасности ЦЗН присутствует ли ключ пользователя.

2. Если присутствует, значит на УЦЗН всё же не пришли обновления ключей, вышлите через ЦУС.

Share this post


Link to post
Share on other sites

1ое событие однозначно говорит о том, что на координаторе УЦЗН нет ключей для ЦЗН.

Почему 40ое событие на mftp трафик для меня загадка.

В iplir.conf на обоих координаторах есть секции соседнего?

Что делать?

1. В ЦУС пересоздать ключи: Ключи для УКЦ - ключей узлов.

2. В УКЦ Создать ключевые наборы (не обновления ключей!).

3. В ЦУС выслать ключи.

4. В ЦУС в журнале запросов/ответов убедиться, что обновления дошли и применились +U.

Далее смотреть журналы на обеих нодах, с указанием на каком смотрим.

Share this post


Link to post
Share on other sites

Админ ЦЗН поставил Usergate посвежее. Связь появилась, однако в целом ситуация не изменилась.

Когда я говорил о том, что ключевые наборы свежие, я учел сообщение о том, что не найден ключ для сетевого узла. и очень удивился, потому как обновление через первичную инициализацию прошло недавно.

Скорее всего, дело в трансляции адресов на прокси. Теперь пакеты на 55777 порт так и блокируются, а вот по UDP на 2046 и по TCP с 5000 порта проходят.

Кто-нибудь настраивал usergate для vipnet-a?

Share this post


Link to post
Share on other sites

Добрый день!

Настраивал, в принципе все работает пока, жалоб не было

Share this post


Link to post
Share on other sites

Добрый день!

Настраивал, в принципе все работает пока, жалоб не было

А можете поделиться секретами мастерства? :)

Какие-то особенные правила нужны?

Share this post


Link to post
Share on other sites

дак никакого мастерства. Правило трансляции и назначение портов.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.