Проблемы с туннелем

[Shatailo]

Ребята, здравствуйте!

В результате переезда серверной пришлось сменить внешние IP адреса на ПАК HW 1000. После чего столкнулся с проблемой:

Внешние пользователи, работающие через Vipnet Monitor с динамической трансляцией IP адресов, видят координатор. Пинги проходят на его внешний адрес и виртуальный, но на внутрений нет, да и вообще внутрениию сеть они не видят. При это тунели все прописаны. Самое интересное, что внешние пользователи видят компы у которых шлюз стоит внутренний адрес самого координатора. Со старыми внешними IP адресами все работало. Так же настроен дополнительный внешний интерфейс, через который транслируется трафик для публикации (и он тоже перестал работать). В конфигурации iplir firewall все в порядке.

Ах да, сам ПАК работает без МЭ.

Подскажите пожалуйста куда мне копать. Уже все что возможно перерыл, не хочет нормально работать, хоть и тресни.

 

Заранее благодарю за ответ!

 

С уважением, Юрий

Изменено 30 Ноября 2015 пользователем Shatailo

[AnTonN(c)]

Здраствуйте. 

На туннелях или в сети нет обратного маршрута на виртуальные ip-адреса через координатор. 

[Artyom]

11 час назад, AnTonN(c) сказал:

Здраствуйте. 

На туннелях или в сети нет обратного маршрута на виртуальные ip-адреса через координатор. 

Что имеется ввиду на "туннелях" ?

[Shatailo]

Огромное спасибо за ответ!

Но мне немного не понятно что имеется в виду? Не хватает просто маршрута или требуется в конфигурации iplir firewall добавить правило?

По поводу маршрута:

У меня как и до переезда маршруты по умолчанию плюс статический маршрут на шлюз провайдера, необходимый для работы интернета.

[AnTonN(c)]

Да. Дело в маршруте раз шлюз смотрит не на координатор. 

 Короче, на координаторе посмотрите какая виртуальная сеть выбрана (скорей всего 11.0.0.0/х. 

На туннеле пропишите route add -p 11.0.0.0/24 x.x.x.x, где x.x.x.x ip-адрес внутреннего интерфейса координатора. 

 

[Shatailo]

3 часа назад, AnTonN(c) сказал:

Да. Дело в маршруте раз шлюз смотрит не на координатор. 

 Короче, на координаторе посмотрите какая виртуальная сеть выбрана (скорей всего 11.0.0.0/х. 

На туннеле пропишите route add -p 11.0.0.0/24 x.x.x.x, где x.x.x.x ip-адрес внутреннего интерфейса координатора. 

 

Попробовал не сработало. Раньше не надо было ни каких маршрутов на туннель прописывать.

В общем я сделал схемку может так будет больше понятно как у нас все реализовано

 

 

 

[AnTonN(c)]

1. 31 событие - это блокировка ОТКРЫТОГО трафика. Значит нужны фильтры forward. Что-то в них не то.

2. Давайте изучать журналы ip-пакетов:

    а. Пинг с клиента на туннель.

    б. У клиента смотрим журнал. В нем должны быть событие 40. Исходящий. Src сам клиент. Dst координатор. В подробностях dst ip - адрес туннеля. Протокол icmp echo request.

Если все присутствует идем дальше.

    в. На координаторе:

        - на внешнем интерфейсе входящий ip-пакет (eth1) 63 событие. src клиент, dst координатор. Протокол icmp echo request;

        - на внутреннем интерфейсе исходящий ip-пакет (eth2) 45 событие. src виртуальный клиента, dst туннель. Протокол icmp echo request;

        - на внутреннем интерфейсе входящий ip-пакет (eth2) 45 событие. src туннель , dst виртуальный клиента. Протокол icmp echo reply. (Вот здесь скорей всего не будет входящего что значит проблемы с обратными ip-пакетами, то есть маршрутизация);

        - на внешнем интерфейсе исходящий ip-пакет (eth1) 63 событие. src клиент, dst координатор. Протокол icmp echo reply.

 

Выполнять обязательно последовательно. И можно использовать этот алгоритм для диагностики проблемы доступа к туннелям.

[Shatailo]

Огромное спасибо за ответ!

45 минуты назад, AnTonN(c) сказал:

2. Давайте изучать журналы ip-пакетов:

    а. Пинг с клиента на туннель.

    б. У клиента смотрим журнал. В нем должны быть событие 40. Входящий. Src сам клиент. Dst координатор. В подробностях dst ip - адрес туннеля. Протокол icmp echo request.

Попробовал и вот что у меня фиксируется в журнале:

1. Пинг на внутренний адрес координатора 191.1.7.116:

есть только Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.7.116. Протокол icmp, код 8-Echo

2. Пинг на IP адрес в туннеле 191.1.3.212:

есть только Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.3.212 Протокол icmp, код 8-Echo

3. Пинг на IP адрес в туннеле 191.1.10.235 у которого GW 191.1.7.116:

Входящий пакет, событие 40 Src координатор Dst сам клиент. В подробностях dst ip клиента Протокол icmp, код 0-Echo Reply

Входящий пакет, событие 47 Src координатор Dst сам клиент. В подробностях dst ip клиента Протокол icmp, код 0-Echo Reply

Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.10.235 Протокол icmp, код 8-Echo

 

[AnTonN(c)]

Вот в чем дело

>  событие 47 Src координатор Dst сам клиент

 

У вас координатор в динамике стоит...

[Shatailo]

Здравствуйте!

Попробовал вчера вечером еще раз изучить журнал на клиенте и координаторе, и вот что получается.

Пинг с клиента ( в настройках Vipnet Client в параметрах защищенной сети поставил галку "Весь трафик с внешними сетевыми узлами направлять через координатор" и после этого, при пинге на туннель, события 47 не было).

1. Пинг на внутренний адрес координатора 191.1.7.116:

есть только Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.7.116. Протокол icmp, код 8-Echo

2. Пинг на IP адрес в туннеле 191.1.10.101:

есть только Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.10.101 Протокол icmp, код 8-Echo

3. Пинг на IP адрес в туннеле 191.1.10.237 у которого GW 191.1.7.116:

Входящий пакет, событие 40 Src координатор ip (в подробностях ip 191.1.10.237) Dst сам клиент. В подробностях dst ip клиента Протокол icmp, код 0-Echo Reply

Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.10.237 Протокол icmp, код 8-Echo

Просмотр журнала на координаторе.

1. на внешнем интерфейсе входящий ip-пакет (eth1) 63 событие НЕТУ, А ЕСТЬ:

 - на внутреннем интерфейсе входящий ip-пакет (eth2) 63 событие. src клиент (ip виртуальный 10.0.0.119), dst координатор (ip 191.1.10.101). Протокол icmp, код 8-Echo;

 - на внутреннем интерфейсе входящий ip-пакет (eth2) 63 событие. src клиент (ip виртуальный 10.0.0.119), dst координатор (ip 191.1.10.237). Протокол icmp, код 8-Echo;

2. на внутреннем интерфейсе исходящий ip-пакет (eth2) 45 событие НЕТУ, А ЕСТЬ:

-  на внешнем интерфейсе исходящий ip-пакет (eth1) 45 событие. src виртуальный клиента (ip 10.0.0.119), dst туннель (ip 191.1.7.116). Протокол icmp, код 8-Echo;

-  на внешнем интерфейсе исходящий ip-пакет (eth1) 45 событие. src виртуальный клиента (ip 10.0.0.119), dst туннель (ip 191.1.10.101). Протокол icmp, код 8-Echo;

-  на внешнем интерфейсе исходящий ip-пакет (eth1) 45 событие. src виртуальный клиента (ip 10.0.0.119), dst туннель (ip 191.1.10.237). Протокол icmp, код 8-Echo;

3.  на внутреннем интерфейсе входящий ip-пакет (eth2) 45 событие НЕТУ, А ЕСТЬ:

- на внешнем интерфейсе входящий ip-пакет (eth1) 45 событие. src туннель (ip 191.1.10.237)  , dst виртуальный клиента (ip 10.0.0.119). Протокол icmp, код 0-Echo reply.

  4.  на внешнем интерфейсе исходящий ip-пакет (eth1) 63 событие НЕТУ, А ЕСТЬ:

- на внутреннем интерфейсе исходящий ip-пакет (eth2) 63 событие. src клиент (ip 191.1.10.237), dst координатор (виртуальный ip клиента 10.0.0.119. Протокол icmp, код 0-Echo reply.

Вот как то так.

Я так понимаю что не правильно ходит трафик не по тем интерфейсам?

[AnTonN(c)]

Да, дело в маршрутах. Сами же написали:

В 03.12.2015, 12:10:36, Shatailo сказал:

2. Пинг на IP адрес в туннеле 191.1.10.101:

есть только Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.10.101 Протокол icmp, код 8-Echo

3. Пинг на IP адрес в туннеле 191.1.10.237 у которого GW 191.1.7.116:

Входящий пакет, событие 40 Src координатор ip (в подробностях ip 191.1.10.237) Dst сам клиент. В подробностях dst ip клиента Протокол icmp, код 0-Echo Reply

Исходящий пакет, событие 40 Src сам клиент Dst координатор. В подробностях dst ip - 191.1.10.237 Протокол icmp, код 8-Echo

Моя ошибка была в том, что виртуальная сеть у Вас 10.х.х.х.

Вобщем,  route add -p 10.0.0.0/24 x.x.x.x, где x.x.x.x ip-адрес внутреннего интерфейса координатора.

И еще. Я Вас обманул насчет событий. 45 - на внешнем должно быть (шифрование/расшифрование), 63 - на внутреннем (fw для туннелей). 

[Shatailo]

Огромное спасибо за ответ!

В 07.12.2015, 17:42:14, AnTonN(c) сказал:

Вобщем,  route add -p 10.0.0.0/24 x.x.x.x, где x.x.x.x ip-адрес внутреннего интерфейса координатора.

Если я правильно понял, то я данный маршрут добавил на удаленной машине с Vipnet Monitor и не помогло. Не проходит пинг в туннель. Как я до этого писал внутренний интерфейс координатора (191.1.7.116) не доступен для удаленных машин.

Может ли быть проблема в конфигурации iplir config? Не правильно указаны в параметрах интерфейсов internal или external. Или же режимы работы интерфейсов. 

Данный ПАК настраивал не я, обслуживание досталось мне после штатных изменений. И стараюсь разобраться в чем проблема.

[AnTonN(c)]

Маршрут не на клиенте. Удалите его обязательно.

На туннеле нужен маршрут... 

Рекомендую изучить packet tracer, перед этим изучив принципы маршрутизации.

[Shatailo]

Огромное спасибо за помощь. Нашел в чем проблема.