Jump to content

Recommended Posts

Ребята, здравствуйте!

В результате переезда серверной пришлось сменить внешние IP адреса на ПАК HW 1000. После чего столкнулся с проблемой:

Внешние пользователи, работающие через Vipnet Monitor с динамической трансляцией IP адресов, видят координатор. Пинги проходят на его внешний адрес и виртуальный, но на внутрений нет, да и вообще внутрениию сеть они не видят. При это тунели все прописаны. Самое интересное, что внешние пользователи видят компы у которых шлюз стоит внутренний адрес самого координатора. Со старыми внешними IP адресами все работало. Так же настроен дополнительный внешний интерфейс, через который транслируется трафик для публикации (и он тоже перестал работать). В конфигурации iplir firewall все в порядке.

Ах да, сам ПАК работает без МЭ.

Подскажите пожалуйста куда мне копать. Уже все что возможно перерыл, не хочет нормально работать, хоть и тресни.

 

Заранее благодарю за ответ!

 

С уважением, Юрий

Edited by Shatailo

Share this post


Link to post
Share on other sites

Здраствуйте. 

На туннелях или в сети нет обратного маршрута на виртуальные ip-адреса через координатор. 

Share this post


Link to post
Share on other sites
11 час назад, AnTonN(c) сказал:

Здраствуйте. 

На туннелях или в сети нет обратного маршрута на виртуальные ip-адреса через координатор. 

Что имеется ввиду на "туннелях" ?

Share this post


Link to post
Share on other sites

Огромное спасибо за ответ!

Но мне немного не понятно что имеется в виду? Не хватает просто маршрута или требуется в конфигурации iplir firewall добавить правило?

По поводу маршрута:

У меня как и до переезда маршруты по умолчанию плюс статический маршрут на шлюз провайдера, необходимый для работы интернета.

Share this post


Link to post
Share on other sites

Да. Дело в маршруте раз шлюз смотрит не на координатор. 

 Короче, на координаторе посмотрите какая виртуальная сеть выбрана (скорей всего 11.0.0.0/х. 

На туннеле пропишите route add -p 11.0.0.0/24 x.x.x.x, где x.x.x.x ip-адрес внутреннего интерфейса координатора. 

 

Share this post


Link to post
Share on other sites
3 часа назад, AnTonN(c) сказал:

Да. Дело в маршруте раз шлюз смотрит не на координатор. 

 Короче, на координаторе посмотрите какая виртуальная сеть выбрана (скорей всего 11.0.0.0/х. 

На туннеле пропишите route add -p 11.0.0.0/24 x.x.x.x, где x.x.x.x ip-адрес внутреннего интерфейса координатора. 

 

Попробовал не сработало. Раньше не надо было ни каких маршрутов на туннель прописывать.

В общем я сделал схемку может так будет больше понятно как у нас все реализовано

 

 

 

Схема.jpg

Share this post


Link to post
Share on other sites

1. 31 событие - это блокировка ОТКРЫТОГО трафика. Значит нужны фильтры forward. Что-то в них не то.

2. Давайте изучать журналы ip-пакетов:

    а. Пинг с клиента на туннель.

    б. У клиента смотрим журнал. В нем должны быть событие 40. Исходящий. Src сам клиент. Dst координатор. В подробностях dst ip - адрес туннеля. Протокол icmp echo request.

Если все присутствует идем дальше.

    в. На координаторе:

        - на внешнем интерфейсе входящий ip-пакет (eth1) 63 событие. src клиент, dst координатор. Протокол icmp echo request;

        - на внутреннем интерфейсе исходящий ip-пакет (eth2) 45 событие. src виртуальный клиента, dst туннель. Протокол icmp echo request;

        - на внутреннем интерфейсе входящий ip-пакет (eth2) 45 событие. src туннель , dst виртуальный клиента. Протокол icmp echo reply. (Вот здесь скорей всего не будет входящего что значит проблемы с обратными ip-пакетами, то есть маршрутизация);

        - на внешнем интерфейсе исходящий ip-пакет (eth1) 63 событие. src клиент, dst координатор. Протокол icmp echo reply.

 

Выполнять обязательно последовательно. И можно использовать этот алгоритм для диагностики проблемы доступа к туннелям.

Share this post


Link to post
Share on other sites

Огромное спасибо за ответ!

45 минуты назад, AnTonN(c) сказал:

2. Давайте изучать журналы ip-пакетов:

    а. Пинг с клиента на туннель.

    б. У клиента смотрим журнал. В нем должны быть событие 40. Входящий. Src сам клиент. Dst координатор. В подробностях dst ip - адрес туннеля. Протокол icmp echo request.

Попробовал и вот что у меня фиксируется в журнале:

1. Пинг на внутренний адрес координатора 191.1.7.116:

есть только Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.7.116. Протокол icmp, код 8-Echo

2. Пинг на IP адрес в туннеле 191.1.3.212:

есть только Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.3.212 Протокол icmp, код 8-Echo

3. Пинг на IP адрес в туннеле 191.1.10.235 у которого GW 191.1.7.116:

Входящий пакет, событие 40 Src координатор Dst сам клиент. В подробностях dst ip клиента Протокол icmp, код 0-Echo Reply

Входящий пакет, событие 47 Src координатор Dst сам клиент. В подробностях dst ip клиента Протокол icmp, код 0-Echo Reply

Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.10.235 Протокол icmp, код 8-Echo

 

Share this post


Link to post
Share on other sites

Вот в чем дело

событие 47 Src координатор Dst сам клиент

 

У вас координатор в динамике стоит...

Share this post


Link to post
Share on other sites

Здравствуйте!

Попробовал вчера вечером еще раз изучить журнал на клиенте и координаторе, и вот что получается.

Пинг с клиента ( в настройках Vipnet Client в параметрах защищенной сети поставил галку "Весь трафик с внешними сетевыми узлами направлять через координатор" и после этого, при пинге на туннель, события 47 не было).

1. Пинг на внутренний адрес координатора 191.1.7.116:

есть только Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.7.116. Протокол icmp, код 8-Echo

2. Пинг на IP адрес в туннеле 191.1.10.101:

есть только Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.10.101 Протокол icmp, код 8-Echo

3. Пинг на IP адрес в туннеле 191.1.10.237 у которого GW 191.1.7.116:

Входящий пакет, событие 40 Src координатор ip (в подробностях ip 191.1.10.237) Dst сам клиент. В подробностях dst ip клиента Протокол icmp, код 0-Echo Reply

Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.10.237 Протокол icmp, код 8-Echo

Просмотр журнала на координаторе.

1. на внешнем интерфейсе входящий ip-пакет (eth1) 63 событие НЕТУ, А ЕСТЬ:

 - на внутреннем интерфейсе входящий ip-пакет (eth2) 63 событие. src клиент (ip виртуальный 10.0.0.119), dst координатор (ip 191.1.10.101). Протокол icmp, код 8-Echo;

 - на внутреннем интерфейсе входящий ip-пакет (eth2) 63 событие. src клиент (ip виртуальный 10.0.0.119), dst координатор (ip 191.1.10.237). Протокол icmp, код 8-Echo;

2. на внутреннем интерфейсе исходящий ip-пакет (eth2) 45 событие НЕТУ, А ЕСТЬ:

-  на внешнем интерфейсе исходящий ip-пакет (eth1) 45 событие. src виртуальный клиента (ip 10.0.0.119), dst туннель (ip 191.1.7.116). Протокол icmp, код 8-Echo;

-  на внешнем интерфейсе исходящий ip-пакет (eth1) 45 событие. src виртуальный клиента (ip 10.0.0.119), dst туннель (ip 191.1.10.101). Протокол icmp, код 8-Echo;

-  на внешнем интерфейсе исходящий ip-пакет (eth1) 45 событие. src виртуальный клиента (ip 10.0.0.119), dst туннель (ip 191.1.10.237). Протокол icmp, код 8-Echo;

3.  на внутреннем интерфейсе входящий ip-пакет (eth2) 45 событие НЕТУ, А ЕСТЬ:

- на внешнем интерфейсе входящий ip-пакет (eth1) 45 событие. src туннель (ip 191.1.10.237)  , dst виртуальный клиента (ip 10.0.0.119). Протокол icmp, код 0-Echo reply.

  4.  на внешнем интерфейсе исходящий ip-пакет (eth1) 63 событие НЕТУ, А ЕСТЬ:

- на внутреннем интерфейсе исходящий ip-пакет (eth2) 63 событие. src клиент (ip 191.1.10.237), dst координатор (виртуальный ip клиента 10.0.0.119. Протокол icmp, код 0-Echo reply.

Вот как то так.

Я так понимаю что не правильно ходит трафик не по тем интерфейсам?

Share this post


Link to post
Share on other sites

Да, дело в маршрутах. Сами же написали:

В 03.12.2015, 12:10:36, Shatailo сказал:

2. Пинг на IP адрес в туннеле 191.1.10.101:

есть только Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.10.101 Протокол icmp, код 8-Echo

3. Пинг на IP адрес в туннеле 191.1.10.237 у которого GW 191.1.7.116:

Входящий пакет, событие 40 Src координатор ip (в подробностях ip 191.1.10.237) Dst сам клиент. В подробностях dst ip клиента Протокол icmp, код 0-Echo Reply

Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.10.237 Протокол icmp, код 8-Echo

Моя ошибка была в том, что виртуальная сеть у Вас 10.х.х.х.

Вобщем,  route add -p 10.0.0.0/24 x.x.x.x, где x.x.x.x ip-адрес внутреннего интерфейса координатора.

И еще. Я Вас обманул насчет событий. 45 - на внешнем должно быть (шифрование/расшифрование), 63 - на внутреннем (fw для туннелей). 

Share this post


Link to post
Share on other sites

Огромное спасибо за ответ!

В 07.12.2015, 17:42:14, AnTonN(c) сказал:

Вобщем,  route add -p 10.0.0.0/24 x.x.x.x, где x.x.x.x ip-адрес внутреннего интерфейса координатора.

Если я правильно понял, то я данный маршрут добавил на удаленной машине с Vipnet Monitor и не помогло. Не проходит пинг в туннель. Как я до этого писал внутренний интерфейс координатора (191.1.7.116) не доступен для удаленных машин.

Может ли быть проблема в конфигурации iplir config? Не правильно указаны в параметрах интерфейсов internal или external. Или же режимы работы интерфейсов. 

Данный ПАК настраивал не я, обслуживание досталось мне после штатных изменений. И стараюсь разобраться в чем проблема.

Share this post


Link to post
Share on other sites

Маршрут не на клиенте. Удалите его обязательно.

На туннеле нужен маршрут... 

Рекомендую изучить packet tracer, перед этим изучив принципы маршрутизации.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.