Jump to content

Recommended Posts

Здравствуйте.

Ситуация следующая: Сеть удаленного филиала соединена с головным офисом через шлюз с установленным ViPNet _Coordinator_Linux_3.7.1_(2757). ОС Ubuntu 10.04.4 LTS. Интерфейсы: eth0 - внешний (интернет), eth1 - внутренняя локальная сеть, vpn_tap_0 - VPN интерфейс для незащищенного (открытого трафика).

Туннелируемые ресурсы и защищенная сеть работают нормально. Во внутренней сети филиала работает веб сервер. С головного офиса пинг к нему через впн туннель проходит нормально. Но при попытке подключения по RDP или к веб сервису, трафик блокируется на VPN интерфейсе, в журнале пакетов ошибка:

104 Соединение уже существует Для создаваемого соединения параметры исходящих пакетов (socketpair) совпадают с уже существующими, такое соединение блокируется.

Та же ошибка при попытке доступа по RDP на другие внутренние не защищенные и не туннелируемые ресурсы.

В других филиалах конфигурация аналогична, все работает без проблем.

Share this post


Link to post
Share on other sites

Похожая тема была тут - http://www.infotecs.ru/forum/index.php?showtopic=8074

Я сам сталкивался с такой ошибкой в 2014 году при настройке статического NAT (как раз доступ по RDP на незащищенный внутренний сервер) на дистрибутиве Coordinator Linux 3.7.4-4464.

Ранее использовали Coordinator Linux 3.6.X - там таких ошибок не было.

Техподдержка подтвердила что это действительно ошибка. Получили от них дистрибутив Coordinator Linux 3.7.5(6980).

С ним таких проблем уже не было.

Вот его changelog, там как раз пофиксена ошибка 104:

Linux Coordinator 3.7.5-6980

Список изменений

Id Type Title 109571 Issue Проблема с кластером ФССП HW 1000 110405 Issue Останавливается служба failover 105603 Issue Found coredump file 109934 Issue Во 2 режиме безопасности пассивная нода не проверяет arp активной. 110543 Bug Кодировка в журналах mftp 110546 Bug Проблемы 3.7.4: При очереди писем около 14000 нагрузка возросла до 100% 62142 Bug Проблема с дублем IP на узлах при старте iplir 84283 Bug Координатор сбрасывает firewall-ip при смене настроек адаптера 85468 Bug Падение iplircfg при обработке UDB команды 300 89611 Issue 1 событие с новыми АП после обновления СМ с 3.5.2 до 3.7.4 90846 Issue разница в pacettype v 3.6.5 и 3.7.4 91409 Issue странности в работе ПО 96699 Bug 3.7: unmerge segmentation fault на dst 2.8 96926 Issue Cвязка Администратор 2.8 + Linux Coordinator 3.7.5 97253 Bug 100% загрузка демоном iplircfg после старта на ARM координаторе 97904 Issue Ошибка при установке Vipnet Coordinator Linux 98360 Issue 104-событие при прохождении транзитного открытого трафика 99381 Issue Проблема с работой ПО в условиях переключения каналов доступа 99806 Issue Coordinator Linux: Разворачивание dst с количеством связей в 20000

Обращайтесь в техподдержку за свежей версией дистрибутива.

Share this post


Link to post
Share on other sites

Подниму ка тему. Имеется координатор HW1000 (4.2.4) Периодически на нём выскакивает  данное событие 104 Соединение заблокировано, так как параметры исходящих пакетов (socketpair) для этого соединения совпадают с такими параметрами для ранее установленного соединения.

Схема проста: в координатор приходит 2 провода. Eth0 -локалка, eth1- соединение с прокси сервером, прямым кабелем.

Так вот некоторые клиенты из локалки, при обращении к прокси получают "отказ". Пинга до прокси нет. Стоит выполнить трассировку, она выполняется успешно и пинг возобновляется, соответственно интернет появляется.

В фаерволле всё открыто, NAT не используется на координаторе. У клиентов координатор -шлюз по умолчанию, у координатора - прокси. У прокси обратный маршрут имеется.

Куда копать?

Share this post


Link to post
Share on other sites

Можете в журнал ip пакетов посмотреть, на предмет есть ли два одинаковых соединения.

Share this post


Link to post
Share on other sites

IP источника разные, но порты источника одинаковые. IP адреса назначения есть как одинаковые так и разные.

Share this post


Link to post
Share on other sites
22 часа назад, spec89 сказал:

Куда копать?

Думаю, что разумно копать в ТП. Сомневаюсь, что кто-то на форуме будет бесплатно и профессионально анализировтаь Ваш журнал ip-пакетов на предмет совпадения записей.  Тут нужен полноценный анализ и эксперт, тем более, что версия у Вас довольно свежая.

Share this post


Link to post
Share on other sites

Такая же проблема, через тунель подымаем ВПН, с одной машины все окей, если подымаем со второй то получаем такую ошибку

err104.thumb.jpg.5c1dce61a881c474771fedbf3c9f9ac3.jpg

Share this post


Link to post
Share on other sites

Вы хоть схемку накидайте примерно, где этот координатор в схеме, что за координатор, версия.

Вообще такая проблема с GRE существует.

Share this post


Link to post
Share on other sites

filtr.jpg.20c262567ad94a5f53edf2a734e8633b.jpg

24 минуты назад, R.Sheyn сказал:

Вы хоть схемку накидайте примерно, где этот координатор в схеме, что за координатор, версия.

Вообще такая проблема с GRE существует.

Випнет клиент:

Версия ПО: 4.3(2.46794) RUS
Версия ОС: Microsoft Windows Server 2012 R2 Server Standard Edition (full installation), 64-bit (build 9600.winblue_r4.141028-1500)

Випнет Координатор:

Версия ПО: 4.3(2.37273) RUS
Версия ОС: Microsoft Windows 7 Ultimate Edition, 32-bit Service Pack 1 (build 7601.win7sp1_ldr_escrow.180422-1430)

 

2062332933_(1).jpg.30cf9df3274a2ff0c6e481d410715cac.jpg

filtr.jpg.20c262567ad94a5f53edf2a734e8633b.jpg

trans.jpg.09dbeef2b59fae1127a40efe06c4f003.jpg

Share this post


Link to post
Share on other sites
14 минут назад, metlt сказал:

filtr.jpg.20c262567ad94a5f53edf2a734e8633b.jpg

Випнет клиент:

Версия ПО: 4.3(2.46794) RUS
Версия ОС: Microsoft Windows Server 2012 R2 Server Standard Edition (full installation), 64-bit (build 9600.winblue_r4.141028-1500)

Випнет Координатор:

Версия ПО: 4.3(2.37273) RUS
Версия ОС: Microsoft Windows 7 Ultimate Edition, 32-bit Service Pack 1 (build 7601.win7sp1_ldr_escrow.180422-1430)

 

2062332933_(1).jpg.30cf9df3274a2ff0c6e481d410715cac.jpg

filtr.jpg.20c262567ad94a5f53edf2a734e8633b.jpg

trans.jpg.09dbeef2b59fae1127a40efe06c4f003.jpg

Т.е. Вы с випнет клиента поднимаете GRE туннель до туннелируемого узла, потом с другого випнет клиента тоже пытаетесь поднять gre туннель до этого узла? И при этом на координатора у вас сорс нат? Да, в этом случае нормально, что вы получаете 104 событие, отключайте нат.

Share this post


Link to post
Share on other sites
22 минуты назад, R.Sheyn сказал:

Т.е. Вы с випнет клиента поднимаете GRE туннель до туннелируемого узла, потом с другого випнет клиента тоже пытаетесь поднять gre туннель до этого узла?

да все верно

23 минуты назад, R.Sheyn сказал:

 И при этом на координатора у вас сорс нат? Да, в этом случае нормально, что вы получаете 104 событие, отключайте нат.

если я отключу нат, сеть развалится

Объясню зачем подымаем впн, на випнет клиенте крутится база 1с, по виртуальному ип адресу к базе не могу подключиться, а локальные сети пересекаются адресацией, придумал только так, может вы подскажите как разрулить эту тему

Share this post


Link to post
Share on other sites
12 минут назад, metlt сказал:

на випнет клиенте крутится база 1с,

т.е. на двух випнет клиентах? если вы пытаетесь поднять два туннеля с двух клиентов?

12 минут назад, metlt сказал:

по виртуальному ип адресу к базе не могу подключиться

поясните пожалуйста.

Я так понимаю, у вас default gw для туннелируемого узла не координатор? что мешает на маршрутизаторе, который является default gw написать статический маршрут на виртуальные адреса через координатор? или написать статику на самом туннелируемом узле.

 

С натом не получится никак поднять GRE, действительно socketpair совпадает: сорс адрес из-за ната один, протокол один и дест адрес один, полная идентичность. Ну если только натить каждого випнет клиента в разный адрес...

Share this post


Link to post
Share on other sites
Только что, R.Sheyn сказал:

т.е. на двух випнет клиентах? если вы пытаетесь поднять два туннеля с двух клиентов?

 

да забываю сказать, что да, два випнет клиента

Только что, R.Sheyn сказал:

Я так понимаю, у вас default gw для туннелируемого узла не координатор? что мешает на маршрутизаторе, который является default gw написать статический маршрут на виртуальные адреса через координатор? или написать статику на самом туннелируемом узле.

да default gw не координатор, это вообще другая сеть

1 минуту назад, R.Sheyn сказал:

поясните пожалуйста.

я в 1с не селен, но мне админ 1с сказал так, что если я клиентом 1с подключаюсь к базе по виртуальному адресу, то ничего не получается, типа 1с сервер не видит этот виртуальный адрес

Share this post


Link to post
Share on other sites
14 минут назад, metlt сказал:

я в 1с не селен, но мне админ 1с сказал так, что если я клиентом 1с подключаюсь к базе по виртуальному адресу, то ничего не получается, типа 1с сервер не видит этот виртуальный адрес

1с админ очевидно не понимает как это все работает и ему лень вникать.

Не если такое дело, то можно попробовать так.

21 минуту назад, R.Sheyn сказал:

Ну если только натить каждого випнет клиента в разный адрес...

 

Share this post


Link to post
Share on other sites
Только что, R.Sheyn сказал:

1с админ очевидно не понимает как это все работает и ему лень вникать.

т.е. можно все настроить и на виртуальных ип ?

Share this post


Link to post
Share on other sites
13 минут назад, metlt сказал:

т.е. можно все настроить и на виртуальных ип ?

я не вижу проблем, на 1с в клиенте переключаете туннели на виртуальную видимость и снимаете галочку не туннелировать адреса локальной сети(это чтобы побороть пересечение сетей)

на туннеле обращаетесь к клиенту по виртуальному адресу.

Share this post


Link to post
Share on other sites

Помоги еще раз, я реально уже запутался, как мне организовать лучше доступ из открытой сети до випнет клиента ?

Set.jpg.5644f98cb3ad4d2c692d43d35ca8b352.jpg

Share this post


Link to post
Share on other sites

Из открытой сети идете на виртуальный адрес випнет клиента. На самом випнет клиенте выставляете для туннелей координатора виртуальную видимость и выключаете галочку не туннелировать адреса локальной сети.

Share this post


Link to post
Share on other sites
11 минут назад, R.Sheyn сказал:

Из открытой сети идете на виртуальный адрес випнет клиента. На самом випнет клиенте выставляете для туннелей координатора виртуальную видимость и выключаете галочку не туннелировать адреса локальной сети.

Смотрите, на маршрутизаторе(192.168.0.1) я создаю маршрут 11 сети до 192.168.0.12, на координаторе (192,168,0,12) я создаю туннель 

tunnel.jpg.c14e1bfbc0508b1301e9dde798b19a37.jpg

правильно ?

Share this post


Link to post
Share on other sites
28 минут назад, metlt сказал:

Смотрите, на маршрутизаторе(192.168.0.1) я создаю маршрут 11 сети до 192.168.0.12, на координаторе (192,168,0,12) я создаю туннель 

tunnel.jpg.c14e1bfbc0508b1301e9dde798b19a37.jpg

правильно ?

Адреса с которых вы будете обращаться добавляется в туннель на координаторе через ЦУС. Да, на маршрутизаторе пишете маршрут на 11 сеть через координатор. Нат вам не нужен.

Share this post


Link to post
Share on other sites
В 27.11.2019 в 12:04, R.Sheyn сказал:

Адреса с которых вы будете обращаться добавляется в туннель на координаторе через ЦУС. Да, на маршрутизаторе пишете маршрут на 11 сеть через координатор. Нат вам не нужен.

Спасибо за помощь, с маршрутизатора 192.168.0.пинг на 1 11.0.0.70 есть, а например машина за маршрутизатором 192.168.0.50 уже нет, я так думаю потому что 11.0.0.70 не знает о 0.150

Вот такие события на коордианторе 0.12

ping.thumb.jpg.bdaad473862bf2246f39bfe3daf94415.jpg

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.