M
Size: a a a
2020 December 10
ВП
Коллеги, добрый день! Подскажите, куда копать? Стенд: имеется ЦУС за проводным интернетом с белым IP и КШ за 3g/4g-роутером (ростелеком, ZTE MF283). ЦУС видит этот КШ и может им управлять, но вот построить связи не получается - в столбце "Каналы VPN" выставляются восклицательные знаки, и соответственно до ресурсов, расположенных за ЦУС, из сети за КШ достучаться невозможно. С какими значениями стоит поиграть? На роутере всякие фильтрации портов выключены. Континент 3.7
K
Владимир Петров
Коллеги, добрый день! Подскажите, куда копать? Стенд: имеется ЦУС за проводным интернетом с белым IP и КШ за 3g/4g-роутером (ростелеком, ZTE MF283). ЦУС видит этот КШ и может им управлять, но вот построить связи не получается - в столбце "Каналы VPN" выставляются восклицательные знаки, и соответственно до ресурсов, расположенных за ЦУС, из сети за КШ достучаться невозможно. С какими значениями стоит поиграть? На роутере всякие фильтрации портов выключены. Континент 3.7
посмотри в диагностике отчеты шифратора для ЦУСа и этого КШ, как они друг друга видят, по каким адресам. Запускай дампы на внешнем интерфейсе и смотри трафик по UDP 10000
ВП
в шифраторе на КШ увидел, что идет отбращение к 10000 порту ЦУСа через IP 2го внешнего интерфейса (этот интерфейс для MPLS сети между филиалами у нас). как сказать КШ ломиться на 10000 порт по белому айпи ЦУСа?
ВП
igb2 - внешний в сторону мплс, igb7 - в сторону интернета
SZ
Владимир Петров
в шифраторе на КШ увидел, что идет отбращение к 10000 порту ЦУСа через IP 2го внешнего интерфейса (этот интерфейс для MPLS сети между филиалами у нас). как сказать КШ ломиться на 10000 порт по белому айпи ЦУСа?
Вы могли бы использовать STUN сервер, но тогда все КШ в MPLS пойдут тоже на белый IP. У вас на цус есть маршрут до этого КШ через интернет канал?
ВП
Вы могли бы использовать STUN сервер, но тогда все КШ в MPLS пойдут тоже на белый IP. У вас на цус есть маршрут до этого КШ через интернет канал?
на ЦУСе шлюзом по умолчанию стоит интернет, а в сторону мплс - отдельный маршрут прописан.
SZ
а на этом КШ один внешний интерфейс? Если да, то должно и так у Вас все работать. У вас же этот КШ в статусе активном в ПУ ЦУС, а значит он управляется через этот канал и поидее сам ЦУС должен строить канал по интернету. Мне кажется у Вас либо сейчас какие-то проблемы с каналом, либо были проблемы и туннель правильно не перестроился. Вы пробовали пересоздать парную связь между ЦУС и этим КШ?
ВП
на кш - да, единственный внешний интерфейс, уходящий в роутер. пересоздавать парную связь пробовал несколько раз, но сейчас еще раз попробую - вдруг он решит, что я достаточно настрадался
ВП
не, чуда не случилось. в шифраторе ЦУС в сторону КШ идет по интернет-адресу, а у КШ в сторону ЦУС - по адресу из МПЛС
SZ
а КШ сидит за NAT получается? У ЦУС в шифраторе правильный адрес? Посмотрите дамп трафика на внешнем интерфейсе КШ, туда должны доходить пакеты от ЦУС UDP10000. В вашем случае они похоже не доходят
ВП
а КШ сидит за NAT получается? У ЦУС в шифраторе правильный адрес? Посмотрите дамп трафика на внешнем интерфейсе КШ, туда должны доходить пакеты от ЦУС UDP10000. В вашем случае они похоже не доходят
да, КШ сидит за NAT
SZ
как говорил Кирилл выше из-за нумерации интерфйесов на ЦУСе инициатором VPN в данном случае может быть только сам ЦУС. Вам нужно пробросить пакеты на роутере идущие на белый IP роутера UDP 10000 к внешнему адресу КШ.
ВП
понял, сейчас пойду вертеть роутер. Кирилл, Всеволод, спасибо большое!
ИИ
Добрый день! Есть цус с двумя внешними каналами, мультиван - передавать в соответствии с таблицей маршрутизации. На одном интерфейсе пропал адрес. Попытки добавить его заново не удаются. Выдает ошибку - на интерфейсе мультиван должны быть установлены адреса. на любые действия из пу ругается этой ошибкой, никакие изменения не применяются. Что можно сделать?
FK
Коллеги, добрый день. Подскажите пожалуйста как реализовать взаимодействие между 2 серверами по определенным портам. 1 сервер находится во внутренней сети, второй во внешней. Поможет ли мне в этом NAT 1:1?