Jump to content

Recommended Posts

Приветствую.

В собственном интранете существует сеть на линукс-координаторах. Схема классическая: удалённые координаторы устанавливают туннели к центральному.

Появилась задача по подключению к центральному координатору удалённых координаторов через сеть интернет. Т.е. центральный координатор должен одновременно работать с координаторами в интранете (реальные ип) и с координаторами в интернете (через статический нат).

Настроил по документации статический нат на центральном координаторе. Тестовый координатор через интернет (динамический нат) подключился штатно. Координаторы в интранете не подключаются, т.к. изменился proxyid= на 0. А при сохранении proxyid= в стандартном значении не включается usefirewall= и тут координаторы в интранет работают и в интернет нет.

Как настроить одновременную работу координаторов и через интранет и через интернет?

Share this post


Link to post
Share on other sites

Здравствуйте.

На центральном координаторе выставить режим работы "со статической трансляций без фиксации адреса". Шлюз во внешку, статические маршруты во внутрь.

Share this post


Link to post
Share on other sites

Курю ViPNet Coordinator Linux. Руководство администратора. На стр. 105 Настройка режима «Со статической трансляцией адресов».

Что то не нашёл "без фиксации адреса". Где смотреть?

Share this post


Link to post
Share on other sites

В собственной секции:

Proxyid= 0

Usefirefall= on

Fixfirewall= off

Секция внешнего адаптера:

Type= external

Share this post


Link to post
Share on other sites

UP

Приветствую.

Есть удалённые координаторы, которые через сеть ИНтернет через динамический НАТ подключены к центральному координатору. Центральный координатор находится за статическим НАТ.

На удалённом координаторе настройки центрального выглядят так:

[id]

id= 0x08f3000a

name= 12345678

filterdefault= pass

ip= 192.168.170.7

ip= 10.41.162.4

accessip= 10.0.0.2

tunnel= 10.62.0.55-10.62.0.55 to 10.62.0.55-10.62.0.55

tunnel= 10.62.225.129-10.62.225.129 to 10.62.225.129-10.62.225.129

firewallip= Х.Х.Х.Х

port= 55777

proxyid= 0xfffffffe

dynamic_timeout= 0

usefirewall= on

virtualip= 10.0.0.2

version= 2.12-1025

Где Х.Х.Х.Х - белый IP центрального координатора на МСЭ.

Проблема:

Если на удалённом координаторе пропадает доступ в сеть ИНтернет, випнет изменяет поле firewallip= с Х.Х.Х.Х на 192.168.170.7. естественно туннель до центрального координатора не устанавливается. Приходится альтернативным способом заходить на координатор и править конфиг.

Вопросы:

Почему координатор так делает? Как ему запретить править конфиг? Пришла в голову идея натить дестинейшн 192.168.170.7 в Х.Х.Х.Х))) Но это костыль.

Share this post


Link to post
Share on other sites

Добрый день.

Ключевая фраза 'Если на удалённом координаторе пропадает доступ в сеть ИНтернет'.

В технологиях ViPNet есть служебные пакеты и заложена следующая логика:

Раз в serverpollinterval происходит опрос координаторов, с которыми имеется связь. При отсутствии соединения координатор пытается связаться с другими координатами по всем известным ему ip.

Так что максимум через промежуток serverpollinterval связь должна восстановиться. При условии, конечно, что удалённый координатор имеет доступ в Интернет.

Share this post


Link to post
Share on other sites

Логика опроса понятна. Но зачем менять поле firewallip= ? После измемнения этого поля искомый координатор после восстановления доступа в сеть интернет уже не знает как попасть на центральный. Ибо центральный доступен по X.X.X.X, а подопытный лезет на 192.168.170.7 (firewallip=192.168.170.7) и 10.41.162.4.

Share this post


Link to post
Share on other sites

Если в справочниках присутствует внешний ip для центрального координатора, то связь восстановится.

Центр находится в режиме статика без фиксации. Это означает, что должен присутствовать на других узлах параметр firewallip. В случае "отказа" будут по очереди браться параметры ip из секции центра и параметры из справочников до восстановления связи.

Share this post


Link to post
Share on other sites

Если в справочниках присутствует внешний ip для центрального координатора, то связь восстановится.

Мне сразу пришла в голову эта мысль. Но не получилось.

Центральному координатору в ЦУС добавил адрес Х.Х.Х.Х вдобавок к существующим 192.168.170.7 и 10.41.162.4. Обновления прошли, но адрес в настройках не прописывается. Если на удалённом координаторе в настройках, описывающих центральный координатор, прописать вручную ip= Х.Х.Х.Х, через некоторое время эта строка исчесзнет.

Может я что не так делал?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.