Shatailo Опубликовано 30 Ноября 2015 Жалоба Поделиться Опубликовано 30 Ноября 2015 (изменено) Ребята, здравствуйте! В результате переезда серверной пришлось сменить внешние IP адреса на ПАК HW 1000. После чего столкнулся с проблемой: Внешние пользователи, работающие через Vipnet Monitor с динамической трансляцией IP адресов, видят координатор. Пинги проходят на его внешний адрес и виртуальный, но на внутрений нет, да и вообще внутрениию сеть они не видят. При это тунели все прописаны. Самое интересное, что внешние пользователи видят компы у которых шлюз стоит внутренний адрес самого координатора. Со старыми внешними IP адресами все работало. Так же настроен дополнительный внешний интерфейс, через который транслируется трафик для публикации (и он тоже перестал работать). В конфигурации iplir firewall все в порядке. Ах да, сам ПАК работает без МЭ. Подскажите пожалуйста куда мне копать. Уже все что возможно перерыл, не хочет нормально работать, хоть и тресни. Заранее благодарю за ответ! С уважением, Юрий Изменено 30 Ноября 2015 пользователем Shatailo Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 30 Ноября 2015 Жалоба Поделиться Опубликовано 30 Ноября 2015 Здраствуйте. На туннелях или в сети нет обратного маршрута на виртуальные ip-адреса через координатор. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Artyom Опубликовано 1 Декабря 2015 Жалоба Поделиться Опубликовано 1 Декабря 2015 11 час назад, AnTonN(c) сказал: Здраствуйте. На туннелях или в сети нет обратного маршрута на виртуальные ip-адреса через координатор. Что имеется ввиду на "туннелях" ? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Shatailo Опубликовано 1 Декабря 2015 Автор Жалоба Поделиться Опубликовано 1 Декабря 2015 Огромное спасибо за ответ! Но мне немного не понятно что имеется в виду? Не хватает просто маршрута или требуется в конфигурации iplir firewall добавить правило? По поводу маршрута: У меня как и до переезда маршруты по умолчанию плюс статический маршрут на шлюз провайдера, необходимый для работы интернета. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 1 Декабря 2015 Жалоба Поделиться Опубликовано 1 Декабря 2015 Да. Дело в маршруте раз шлюз смотрит не на координатор. Короче, на координаторе посмотрите какая виртуальная сеть выбрана (скорей всего 11.0.0.0/х. На туннеле пропишите route add -p 11.0.0.0/24 x.x.x.x, где x.x.x.x ip-адрес внутреннего интерфейса координатора. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Shatailo Опубликовано 1 Декабря 2015 Автор Жалоба Поделиться Опубликовано 1 Декабря 2015 3 часа назад, AnTonN(c) сказал: Да. Дело в маршруте раз шлюз смотрит не на координатор. Короче, на координаторе посмотрите какая виртуальная сеть выбрана (скорей всего 11.0.0.0/х. На туннеле пропишите route add -p 11.0.0.0/24 x.x.x.x, где x.x.x.x ip-адрес внутреннего интерфейса координатора. Попробовал не сработало. Раньше не надо было ни каких маршрутов на туннель прописывать. В общем я сделал схемку может так будет больше понятно как у нас все реализовано Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 2 Декабря 2015 Жалоба Поделиться Опубликовано 2 Декабря 2015 1. 31 событие - это блокировка ОТКРЫТОГО трафика. Значит нужны фильтры forward. Что-то в них не то. 2. Давайте изучать журналы ip-пакетов: а. Пинг с клиента на туннель. б. У клиента смотрим журнал. В нем должны быть событие 40. Исходящий. Src сам клиент. Dst координатор. В подробностях dst ip - адрес туннеля. Протокол icmp echo request. Если все присутствует идем дальше. в. На координаторе: - на внешнем интерфейсе входящий ip-пакет (eth1) 63 событие. src клиент, dst координатор. Протокол icmp echo request; - на внутреннем интерфейсе исходящий ip-пакет (eth2) 45 событие. src виртуальный клиента, dst туннель. Протокол icmp echo request; - на внутреннем интерфейсе входящий ip-пакет (eth2) 45 событие. src туннель , dst виртуальный клиента. Протокол icmp echo reply. (Вот здесь скорей всего не будет входящего что значит проблемы с обратными ip-пакетами, то есть маршрутизация); - на внешнем интерфейсе исходящий ip-пакет (eth1) 63 событие. src клиент, dst координатор. Протокол icmp echo reply. Выполнять обязательно последовательно. И можно использовать этот алгоритм для диагностики проблемы доступа к туннелям. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Shatailo Опубликовано 2 Декабря 2015 Автор Жалоба Поделиться Опубликовано 2 Декабря 2015 Огромное спасибо за ответ! 45 минуты назад, AnTonN(c) сказал: 2. Давайте изучать журналы ip-пакетов: а. Пинг с клиента на туннель. б. У клиента смотрим журнал. В нем должны быть событие 40. Входящий. Src сам клиент. Dst координатор. В подробностях dst ip - адрес туннеля. Протокол icmp echo request. Попробовал и вот что у меня фиксируется в журнале: 1. Пинг на внутренний адрес координатора 191.1.7.116: есть только Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.7.116. Протокол icmp, код 8-Echo 2. Пинг на IP адрес в туннеле 191.1.3.212: есть только Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.3.212 Протокол icmp, код 8-Echo 3. Пинг на IP адрес в туннеле 191.1.10.235 у которого GW 191.1.7.116: Входящий пакет, событие 40 Src координатор Dst сам клиент. В подробностях dst ip клиента Протокол icmp, код 0-Echo Reply Входящий пакет, событие 47 Src координатор Dst сам клиент. В подробностях dst ip клиента Протокол icmp, код 0-Echo Reply Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.10.235 Протокол icmp, код 8-Echo Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 2 Декабря 2015 Жалоба Поделиться Опубликовано 2 Декабря 2015 Вот в чем дело > событие 47 Src координатор Dst сам клиент У вас координатор в динамике стоит... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Shatailo Опубликовано 3 Декабря 2015 Автор Жалоба Поделиться Опубликовано 3 Декабря 2015 Здравствуйте! Попробовал вчера вечером еще раз изучить журнал на клиенте и координаторе, и вот что получается. Пинг с клиента ( в настройках Vipnet Client в параметрах защищенной сети поставил галку "Весь трафик с внешними сетевыми узлами направлять через координатор" и после этого, при пинге на туннель, события 47 не было). 1. Пинг на внутренний адрес координатора 191.1.7.116: есть только Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.7.116. Протокол icmp, код 8-Echo 2. Пинг на IP адрес в туннеле 191.1.10.101: есть только Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.10.101 Протокол icmp, код 8-Echo 3. Пинг на IP адрес в туннеле 191.1.10.237 у которого GW 191.1.7.116: Входящий пакет, событие 40 Src координатор ip (в подробностях ip 191.1.10.237) Dst сам клиент. В подробностях dst ip клиента Протокол icmp, код 0-Echo Reply Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.10.237 Протокол icmp, код 8-Echo Просмотр журнала на координаторе. 1. на внешнем интерфейсе входящий ip-пакет (eth1) 63 событие НЕТУ, А ЕСТЬ: - на внутреннем интерфейсе входящий ip-пакет (eth2) 63 событие. src клиент (ip виртуальный 10.0.0.119), dst координатор (ip 191.1.10.101). Протокол icmp, код 8-Echo; - на внутреннем интерфейсе входящий ip-пакет (eth2) 63 событие. src клиент (ip виртуальный 10.0.0.119), dst координатор (ip 191.1.10.237). Протокол icmp, код 8-Echo; 2. на внутреннем интерфейсе исходящий ip-пакет (eth2) 45 событие НЕТУ, А ЕСТЬ: - на внешнем интерфейсе исходящий ip-пакет (eth1) 45 событие. src виртуальный клиента (ip 10.0.0.119), dst туннель (ip 191.1.7.116). Протокол icmp, код 8-Echo; - на внешнем интерфейсе исходящий ip-пакет (eth1) 45 событие. src виртуальный клиента (ip 10.0.0.119), dst туннель (ip 191.1.10.101). Протокол icmp, код 8-Echo; - на внешнем интерфейсе исходящий ip-пакет (eth1) 45 событие. src виртуальный клиента (ip 10.0.0.119), dst туннель (ip 191.1.10.237). Протокол icmp, код 8-Echo; 3. на внутреннем интерфейсе входящий ip-пакет (eth2) 45 событие НЕТУ, А ЕСТЬ: - на внешнем интерфейсе входящий ip-пакет (eth1) 45 событие. src туннель (ip 191.1.10.237) , dst виртуальный клиента (ip 10.0.0.119). Протокол icmp, код 0-Echo reply. 4. на внешнем интерфейсе исходящий ip-пакет (eth1) 63 событие НЕТУ, А ЕСТЬ: - на внутреннем интерфейсе исходящий ip-пакет (eth2) 63 событие. src клиент (ip 191.1.10.237), dst координатор (виртуальный ip клиента 10.0.0.119. Протокол icmp, код 0-Echo reply. Вот как то так. Я так понимаю что не правильно ходит трафик не по тем интерфейсам? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 7 Декабря 2015 Жалоба Поделиться Опубликовано 7 Декабря 2015 Да, дело в маршрутах. Сами же написали: В 03.12.2015, 12:10:36, Shatailo сказал: 2. Пинг на IP адрес в туннеле 191.1.10.101: есть только Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.10.101 Протокол icmp, код 8-Echo 3. Пинг на IP адрес в туннеле 191.1.10.237 у которого GW 191.1.7.116: Входящий пакет, событие 40 Src координатор ip (в подробностях ip 191.1.10.237) Dst сам клиент. В подробностях dst ip клиента Протокол icmp, код 0-Echo Reply Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.10.237 Протокол icmp, код 8-Echo Моя ошибка была в том, что виртуальная сеть у Вас 10.х.х.х. Вобщем, route add -p 10.0.0.0/24 x.x.x.x, где x.x.x.x ip-адрес внутреннего интерфейса координатора. И еще. Я Вас обманул насчет событий. 45 - на внешнем должно быть (шифрование/расшифрование), 63 - на внутреннем (fw для туннелей). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Shatailo Опубликовано 9 Декабря 2015 Автор Жалоба Поделиться Опубликовано 9 Декабря 2015 Огромное спасибо за ответ! В 07.12.2015, 17:42:14, AnTonN(c) сказал: Вобщем, route add -p 10.0.0.0/24 x.x.x.x, где x.x.x.x ip-адрес внутреннего интерфейса координатора. Если я правильно понял, то я данный маршрут добавил на удаленной машине с Vipnet Monitor и не помогло. Не проходит пинг в туннель. Как я до этого писал внутренний интерфейс координатора (191.1.7.116) не доступен для удаленных машин. Может ли быть проблема в конфигурации iplir config? Не правильно указаны в параметрах интерфейсов internal или external. Или же режимы работы интерфейсов. Данный ПАК настраивал не я, обслуживание досталось мне после штатных изменений. И стараюсь разобраться в чем проблема. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 10 Декабря 2015 Жалоба Поделиться Опубликовано 10 Декабря 2015 Маршрут не на клиенте. Удалите его обязательно. На туннеле нужен маршрут... Рекомендую изучить packet tracer, перед этим изучив принципы маршрутизации. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Shatailo Опубликовано 27 Августа 2016 Автор Жалоба Поделиться Опубликовано 27 Августа 2016 Огромное спасибо за помощь. Нашел в чем проблема. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.