DG
обновление занимает 2 ребута.
Size: a a a
2020 September 24
A
Если видите UDP 10000, то там тестовые туннельные пакеты каждые 10 секунд ходят. У вас видимо настроены связи, а защищаемых объектов нету.
Как-то много ходят, забивают весь канал. У КШ 10 связей, но пакеты ходят только от 3-х КШ.. вопрос: почему?
И почему в Журнала записи "не соответствует ни одному правилу фильтрации"
И почему в Журнала записи "не соответствует ни одному правилу фильтрации"
АМ
обновление занимает 2 ребута.
А ЦУС обновить до 3.9 удаленно есть возможность? или обязательно только локально?
DG
неа :(
DG
ЦУС только локально
DG
ты снимаешь бекап конфигурации ЦУС, локально перезаливаешь ПО на КШ ЦУС и подсовываешь бекап
DG
дальше подключаешься новой версией ПУ к обновленному КШ ЦУС
A
Если видите UDP 10000, то там тестовые туннельные пакеты каждые 10 секунд ходят. У вас видимо настроены связи, а защищаемых объектов нету.
Защищенные объекты настроены между подсетями. Есть подозрение, что прилетают пакеты из подсетей (например подсети от виртуалок), которых нет в сетевых объектах.
АМ
Если между двумя КШ есть связь, при обновлении одного из кш до 3.9 будет ли работать шифрование с этим КШ на 3.7?
SZ
Как-то много ходят, забивают весь канал. У КШ 10 связей, но пакеты ходят только от 3-х КШ.. вопрос: почему?
И почему в Журнала записи "не соответствует ни одному правилу фильтрации"
И почему в Журнала записи "не соответствует ни одному правилу фильтрации"
Ну если связи есть с 10, то и тестовые туннельные пакеты должны с 10 КШ ходить. Попробуйте tcpdump на внешнем интерфейсе запустить с фильтром port 10000 пакетов на 300,
SZ
Защищенные объекты настроены между подсетями. Есть подозрение, что прилетают пакеты из подсетей (например подсети от виртуалок), которых нет в сетевых объектах.
тут может быть что в одну сторону шифрует, а в другую нет.
SZ
Если туннельные пакеты не ходят 10 секунд, то VPN уже считается сломанным. Если идет боевой трафик, то тестовые туннельные пакеты не ходят дополнительно.
DG
Если между двумя КШ есть связь, при обновлении одного из кш до 3.9 будет ли работать шифрование с этим КШ на 3.7?
да, 3.9 с 3.7 канал строит
DG
а платформа и версия какие?
A
Ну если связи есть с 10, то и тестовые туннельные пакеты должны с 10 КШ ходить. Попробуйте tcpdump на внешнем интерфейсе запустить с фильтром port 10000 пакетов на 300,
смотрел дампы, прилетают пакеты в основном от трёх КШ, от других КШ не встречается инфы в дампах
A
Если туннельные пакеты не ходят 10 секунд, то VPN уже считается сломанным. Если идет боевой трафик, то тестовые туннельные пакеты не ходят дополнительно.
на одном КШ был боевой трафик от АТС, около 500Кб/с, но вот входящий трафик составлял 25 Мб/с
SZ
Если эти пакеты зашифрованны, то посмотреть их не получиться. Но можете попробовать вывести из эксплуатации и снять дамп в двоичном формате, а уже потом его в wireshark посмотреть.