Hw100 И Hw1000 В Одной Сети.

[tehnik]

Есть такая схема. Как видно это локальная сеть. Нужно с адреса 192.168.100.25 попадать на туннелируемые ресурсы. Проблема: С 1000 пинги идут на все сотки, а на туннели нет. В администраторе видны все координаторы. Я думаю, что проблема в том что у 1000 отсутствует шлюз по умолчанию (т.к. локалка только) и он не знает как ему из сети 192.168.100.0 попасть на 172.16.0.0. На 1000 в iplir view регистрируются события с кодом 2: not enencrypte packet.

Что посоветуете?

[tehnik]

Up

[ingenico]

Если HW1000 реально не знает о маршрутах к туннелируемым узлам в сети 172.16 , то почему бы не завести эти маршруты на нем?

Также и Файл-сервер должен понимать куда слать пакеты предназначенные сети 172.16 (слать на координатор HW1000).

[tehnik]

А какие маршруты указать в 1000?

[ingenico]

Например такой маршрут:

inet route add 172.16.0.11 192.168.100.111 netmask 255.255.255.255

А возможно и не в маршрутах дело.

Проверьте, правильно ли заведены туннелируемые ресурсы в настройках всех Координаторов.

HW1000 в своем iplir.conf должен иметь секции, описывающие все HW100, со всеми адресами и туннелями.

В итоге HW1000 и так будет понимать, что попасть на 172.16.0.11 можно только через Координатор 192.168.100.111.

Аналогично и на других координаторах должно быть.

Смотрите журналы IP-пакетов на координаторах.

Только так можно понять проблему.

[tehnik]

Не добавляется маршрут типа 172.16.0.11 gw 192.168.100.111 netmask 255.255.255.0. Пишет ошибку. Все туннели прописаны верно. С координатора пингуются оба интерфейса сотки. А вот туннель нет

[ingenico]

netmask 255.255.255.255

вы же маршрут для хоста добавляете, а не для сети

Что в журнале пакетов HW100 при пинге с файл-сервера на туннелируемый узел?

[tehnik]

В журнале пакетов сотки записи о том что пакет пропущен туннельным фильтром. Но в реале пинги нет и на ресурс не попасть

[tehnik]

Самое интересное что пинг до 172.16.0.111 идет, а на туннель нет

[ingenico]

Ресурс 172.16.0.11 имеет шлюзом по умолчанию адрес 172.16.0.111 ?

Проверьте маршрутизацию везде.

[tehnik]

На этой сотке шлюзом по умолчанию стоит тысячник

[ingenico]

У файл-сервера должен быть шлюз по умолчанию на HW1000 или маршрут для 172.16 на HW1000.

У HW1000 должны быть маршруты на туннелируемые координаторами HW100 узлы, через эти координаторы.

У HW100 должен быть шлюз по умолчанию на HW1000.

У туннелируемых узлов в 172.16-сетках должны быть шлюзами по умолчанию соответствующие HW100.

Как то так.

[tehnik]

Вроде так все и есть.у файл сервера и у соток шлюз 192.168.100.110. У камеры шлюз 172.16.0.111. Маршрут на 1000 172.16.0.11 gw 192.168.100.111

[tehnik]

Что самое интересное на сотке в iplir view пишет что пришел пакет от 1000 на адрес 172.16.0.11 и был пропущен туннельным фильтром. А по факту ничего.

[ingenico]

а камера точно может пинговаться напрямую? или, к примеру, пускать на свой веб-интерфейс (или что там у неё есть)?

[tehnik]

может. С сотки пингуется. И веб интерфейс есть, до соток напрямую работали

[ingenico]

Что самое интересное на сотке в iplir view пишет что пришел пакет от 1000 на адрес 172.16.0.11 и был пропущен туннельным фильтром. А по факту ничего.

В каком режиме стоит сетевой интерфейс 172.16.0.111 на сотке? Мож блокирует ответный пакет от камеры? В журнале все события регистрируются?

[ingenico]

А может дело в сетевой топологии.

Файл-сервер стоит в одной сети со всеми координаторами. Не очень хорошо для туннелирования.

Может стоить вынести его за HW1000 в другую подсеть.

[Vanish1990]

Файл сервер туннелите или нет?