Координатор С Несколькими Сетевыми Интерфейсами

[gotovtsev]

Доброго дня!

Имеется сеть vipnet. Один координатор с несколькими сетевыми интерфейсами.

Клиенты из одной сети сети (которые обращаются к координатору через один сетевой интерфейс) "видят" друг друга, если нажать "проверить соединение". Но при этом клиент из одной сети, не "видит" клиента из другой сети.

Подскажите пожалуйста, какие настройки нужно выполнить для того, чтобы все клиенты "видели" друг друга?

Спасибо!

[petrowich]

Если есть возможность, то лучше настроить маршрутизацию между этими сетями (не затрагивая випнет). Тогда клиенты смогут общаться по реальным адресам и не будут лишний траффик ходить через координатор.

Если такой возможности нет, то необходимо использовать режим работы клиентов "с использованием межсетевого экрана" (сервис-настройки-защищенная сеть). Конкретный режим работы межсетевого экрана (координатор, динамическая/статическая трансляция) сказать не могу, т. к. недостаточно информации о структуре вашей сети. Вам проще вяснить это в своей сети на практике. Главное, после изменения этих настроек делать перерыв хотя бы на 1 минуту, т.к. смена маршрутизации происходит не мгновенно.

[gotovtsev]

Если есть возможность, то лучше настроить маршрутизацию между этими сетями (не затрагивая випнет). Тогда клиенты смогут общаться по реальным адресам и не будут лишний траффик ходить через координатор.

Если такой возможности нет, то необходимо использовать режим работы клиентов "с использованием межсетевого экрана" (сервис-настройки-защищенная сеть). Конкретный режим работы межсетевого экрана (координатор, динамическая/статическая трансляция) сказать не могу, т. к. недостаточно информации о структуре вашей сети. Вам проще вяснить это в своей сети на практике. Главное, после изменения этих настроек делать перерыв хотя бы на 1 минуту, т.к. смена маршрутизации происходит не мгновенно.

спасибо!

маршрутизацию между этими сетями настроить возможности нет, ибо сеть у нас специально разделяется на разные vlan'ы на маршрутизаторе.

в настройках вроде и так установлено использование межсетевого экрана.

сеть у нас организована таким образом: существует локальная сеть, разделенная на несколько vlan'ов + несколько филиалов, имеющих доступ в интернет через 3g-модемы. клиенты из одного vlan'а друг друга прекрасно "видят". так же "видят" друг друга и клиенты из филиалов.

:-/

[MORO]

Если я правильно понял, то:

• Координатор "смотрит" в Сеть 1 (назовём так для краткости) одним своим интерфейсом (условно Eth1), в Сеть 2 - другим (Eth2);
  
• соответственно, Клиенты Сети 1 "видят" Eth1 Координатора, Клиенты Сети 2 - Eth2;
  
• Eth1 Координатора включён в VLAN1 (условно), Eth2 - в VLAN2.
  

Если я понял верно, то вопросы:

1. Координатор точно включён в оба VLANа (Eth1 в VLAN1, Eth2 в VLAN2)?
   
2. Координатор успешно "видит" (Проверка соединения") и Клиентов Сети 1 и Клиентов Сети 2?
   
3. Какой режим работы через МСЭ (точно! не "вроде"!) установлен на Координаторе?
   
4. Какой режим работы через МСЭ (точно! не "вроде"!) установлен на Клиентах Сети 1 и Клиентах Сети 2?
   

[gotovtsev]

Добрый день! Сразу же отвечать не получается (у меня пока что лимит - 2 сообщения в сутки).

1.Координатор абсолютно точно включен во все vlan’ы.

2.Координатор успешно «видит» клиентов во всех сетях.

3.На координаторе установлен режим «со статической трансляцией адресов» (скриншот).

4.На клиентах в vlan’ах установлен режим «тип межсетевого экрана: координатор», на клиентах в филиалах установлен режим «использовать межсетевой экран с динамической трансляцией адресов».

Сеть организована таким образом:

[petrowich]

И тем не менее, если внешние клиенты приходят к вам из ваших вланов и конечные маршрутизаторы в филиалах под вашим управлением, то гораздо проще настроить маршрутизацию на сетевом оборудовании, а не на координаторе. Ведь известно адресное пространство которое раздается в том или ином филиале.

А вот если внешние клиенты просто подключаются через Интернет на "внешний" интерфейс координатора (пусть и стоящий за NATом), то попробуйте вот так:

Координатор "без МСЭ", внутренние клиенты "режим МСЭ через координатор", внешние клиенты "динамическая трансляция"

Ну и соответственно должны использоваться виртуальные адреса у внешних клиентов.

Внутренние клиенты смогут общаться друг с другом без координатора по реальным адресам, а при обращении к виртуальным адресам клиентов внешней сети трафик будет заворачиваться через координатор. Внешние клиенты будут ко всем обращаться через виртуальные адреса, соответственно общаться будут через координатор.

[MORO]

Согласен по всем пунктам.

[gotovtsev]

попробовал на координаторе убрать галочку "использовать внешний межсетевой экран".

в таком режиме он сразу перестаёт видеть клиентов в филиалах.

филиалы подключаются не через vlan'ы, а на отдельный интерфейс, который смотрит "во внешний мир".

не совсем понял про маршрутизацию на сетевом оборудовании - имеете ввиду сделать так, чтобы машины из разных vlan'ов

видели друг друга без vipnet'а?

[petrowich]

Судя по Вашим ответам, координатор у вас стоит за NATом. Тогда координатор будет работать с внешними клиентами только в режиме "статической передадресации", более того.

Сказать Вам точный ответ на вопрос не получится, так как нужно еще очень много информации об устройстве вашей сети и, самое главное, непосредственный доступ к вашим логам, только после них будет ясно в чем причина.

Копайте в сторону реальных/виртуальных адресов. Заодно посмотрите правила NATа. Плюс можете попробовать на внешних клиентах включить "весь траффик на координатор" для проверки.

Сколько у вашей организации внешних IP-адресов?

Координатор висит на отдельном внешнем адресе или только определенные порты перенаправляются?

Ну и самое главное: точно клиенты не видят друг-друга? (прям написано "недоступен" или же долго проверяет и вы не ждали? там ведь еще может быть вариант "связь только через VPN")

Бывали ситуации когда справочники обновлялись, а ключи шифрования нет и пакеты отбрасывались уже на стороне принимающего клиента. Тут поможет журнал IP-пакетов на клиентах и координаторе.

Поиск неисправности должен быть в следующем порядке:

реальные/виртуальные адреса на внутреннем клиенте, коллизии адресного пространства у клиентов, статические маршруты и т.д. -> смотрите журнал, куда уходят пакеты, добиваетесь что бы пакеты шли на координатор -> аналогичные проверки на координаторе, добиваетесь что бы пакеты уходили в сторону внешних клиентов -> смотрите правила на NATе -> смотрите журнал на внешнем клиенте.

[gotovtsev]

взял два клиента из разных vlan'ов.

клиенты точно не видят друг друга (написано "недоступен"), но при этом в журнале регистрации пакетов есть пропущенные в обе стороны пакеты

[gotovtsev]

блин. чудеса какие-то. вообще вся проблема на данный момент в том, что все филиалы должны видеть одну машину клиента из определенного vlan'а. на этой машине копался сейчас в настройках vipnet - сперва убрал настройку использовать межсетевой экран, затем через несколько минут поставил обратно. и после этого филиалы стали прекрасно "видеть" эту машину..