Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 24.05.2019, 19:13   #1
KovalskiDK
 
Аватар для KovalskiDK
 
Регистрация: 23.05.2019
Адрес: Almaty
Сообщений: 6
По умолчанию Отваливается Локальная сеть Kerio control

Здравствуйте!
Для начала расскажу вам построение моей сети и остального.

Имеется - 3 физических сервера(ESXi 6.5), 2 пула из 8 айпи адресов (16-8системных=8 айпишников)
На Сервере N1 - расположены 6 виртуальных машин, на Windows, Linux. (сервер имеет 1 физический wan)
На сервере N2 - репликация с сервера N1, полностью аналогичны.(сервер имеет 1 физический wan)
На сервере N3 - Сервер собрал для бэкапов, имеется 1 виртуальная машиная, на которой Veeam.(сервер имеет 1 физический wan)

Между тремя серверами оба блока айпи адресов работают, то есть
- 1 блок = 10.10.10.10/29
- 2 блок = 20.20.20.20/29

Какой айпи на какой сервер повешать - значения не имеет.

На каждой виртуальной машине установлен адаптер VMXNET3 + установлены vmware tools.

На сервере N1 - установлен Kerio Control Appliance, последней версии 9.3.0 build 3273(Licensed***Crack****)
на Kerio установлены 8 интерфейсов VMXnet3, 7 из них имеют внешние айпи адреса, 1 локальный.
Локальный интерфейс назначен 10.8.39.1/24 без шлюза , днс 8.8.8.8

На каждой виртуальной машине на 1 сервере прописана статика изнутри.

так вот, столкнулся с такой проблемой.
Виртуалки переодически отваливаются от сети, шлюз перестает пинговаться, интернета нет.
Порядок перебоев абсолютно разные - 3 виртуалки могут работать нормально, 2 отвалиться(4р-1нераб, 1 раб - 4 нераб)

В логах Керио ничего нет из того, что могло бы Вам и мне тут помочь.

В правилах трафика почти все по стандарту, добавил только доступы РДП, ну и указал маршруты кто через какой айпи ходит.
[Для просмотра данной ссылки нужно зарегистрироваться]
KovalskiDK вне форума   Ответить с цитированием Вверх
Старый 24.05.2019, 23:09   #2
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,421
По умолчанию Re: Отваливается Локальная сеть Kerio control

Цитата
Сообщение от KovalskiDK Посмотреть сообщение
репликация с сервера N1
какими средствами репликация? vmware HA? FT? что-то другое?
Цитата
Сообщение от KovalskiDK Посмотреть сообщение
Имеется - 3 физических сервера(ESXi 6.5)
на каждом из которых есть vswitch, а на некоторых по два
и хз какая виртуальная машина в каком vswitch сидит
и вланов еще может насыпано до кучи
но эту военную тайну мы не раскроем?
Цитата
Сообщение от KovalskiDK Посмотреть сообщение
Между тремя серверами оба блока айпи адресов работают, то есть
- 1 блок = 10.10.10.10/29
- 2 блок = 20.20.20.20/29
что такое "работает"? распределяется по dhcp?
а это что:
Цитата
Сообщение от KovalskiDK Посмотреть сообщение
На каждой виртуальной машине на 1 сервере прописана статика изнутри.
так как блоки работают?
Цитата
Сообщение от KovalskiDK Посмотреть сообщение
Какой айпи на какой сервер повешать - значения не имеет.
не понял смысла этой фразы
Цитата
Сообщение от KovalskiDK Посмотреть сообщение
на Kerio установлены 8 интерфейсов VMXnet3, 7 из них имеют внешние айпи адреса, 1 локальный.
Локальный интерфейс назначен 10.8.39.1/24 без шлюза , днс 8.8.8.8
а при чем тут вообще керио, если сервера через него не ходят, т.к. в твоих "блоках" и на локальном интерфейсе керио разные подсети?
Цитата
Сообщение от KovalskiDK Посмотреть сообщение
Виртуалки переодически отваливаются от сети, шлюз перестает пинговаться, интернета нет.
Порядок перебоев абсолютно разные - 3 виртуалки могут работать нормально, 2 отвалиться(4р-1нераб, 1 раб - 4 нераб)
при этом поднимаются реплицированные виртуалки?
от какой сети они отваливаются? откуда у них интернет? (см абзац ранее)
Цитата
Сообщение от KovalskiDK Посмотреть сообщение
В логах Керио ничего нет из того, что могло бы Вам и мне тут помочь.
да ты телепат однако - за меня можешь на 100% сказать, что мне в твоих логах ничего не надо
вообще проблема из разряда "у меня все хорошо настроено, только не работает иногда, поэтому давайте поищем под фонарем в правилах файерволла"
Цитата
Сообщение от KovalskiDK Посмотреть сообщение
В правилах трафика почти все по стандарту, добавил только доступы РДП, ну и указал маршруты кто через какой айпи ходит.
правила
первое сверху - никогда не выполнится, т.к. у тебя нет rdp на файере.
правило "rdp for neo" - ты натишь на внешний интерфейс внешнее соединение? (а красные прямоугольники на скрине говорят об этом)
Цитата
Сообщение от KovalskiDK Посмотреть сообщение
Между тремя серверами
дада, "жил-был Али-Админ и сорок админок..."
что за железка (свитч) находится между тремя серверами? Какие у нее настройки по Vlan?
Цитата
Сообщение от KovalskiDK Посмотреть сообщение
сервер имеет 1 физический wan
про количество остальных физических интерфейсов скромно умолчим? и сколько из них куда задействовано? нуачо, проще же про керио спросить, это ж фаер виноват 100%, больше некому...
Цитата
Сообщение от KovalskiDK Посмотреть сообщение
Виртуалки переодически отваливаются от сети
так вот, "с чего начинается Родина" (с):
на нормальной виртуалке
arp -a > c:\arp_normal.txt
после отвала зайди в консоль этой же виртуалки и аналогично
arp -a > c:\arp_zhopa.txt
после чего сравни эти два файла. или тут выложи.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 25.05.2019, 08:48   #3
KovalskiDK
 
Аватар для KovalskiDK
 
Регистрация: 23.05.2019
Адрес: Almaty
Сообщений: 6
По умолчанию Re: Отваливается Локальная сеть Kerio control

Цитата:
Сообщение от exchar Посмотреть сообщение
какими средствами репликация? vmware HA? FT? что-то другое?
Veeam B&R (я не думаю что это основная суть вопроса)

Цитата:
Сообщение от exchar Посмотреть сообщение
Имеется - 3 физических сервера(ESXi 6.5)
3 физ машины, 3 виртуальных свитча, это вполне логично, так как я указал что каждая машина имеет 1 порт физ ван. А Вланы причем?
И Причем тут виртуальные свитчи, если я все конкретно указал, что 5 виртуальных машин сидят на сервере N1 - вполне логично что машины сидят все в одном виртуальном свитче, так как сервер 2 и 3 я не трогаю и про них вообще речь не идет.

Сервера находятся в цоде.

Цитата:
Сообщение от exchar Посмотреть сообщение
что такое "работает"? распределяется по dhcp?
Это значит что внешние айпи из двух блоков работают на всех трех серверах, если на машины прописывать статику внешки, все адреса работают. то есть в одном влане все находится.
Цитата:
Сообщение от exchar Посмотреть сообщение
а при чем тут вообще керио, если сервера через него не ходят, т.к. в твоих "блоках" и на локальном интерфейсе керио разные подсети?
а причем тут мои сервера, если речь идет только про виртуальные машины? которые ходят только через керио????
Цитата:
Сообщение от exchar Посмотреть сообщение
при этом поднимаются реплицированные виртуалки?
от какой сети они отваливаются? откуда у них интернет?
От локальной, перестают видеть шлюз.(Керио)


Цитата:
Сообщение от exchar Посмотреть сообщение
правило "rdp for neo" - ты натишь на внешний интерфейс внешнее соединение? (а красные прямоугольники на скрине говорят об этом)
Так я же указал, внешние айпишники людей которые будут подключаться к РДП, и мои внешние айпишники этих виртуалок.

Цитата:
Сообщение от exchar Посмотреть сообщение
что за железка (свитч) находится между тремя серверами? Какие у нее настройки по Vlan?
ЦОД, этих данных не знаю.


Цитата:
Сообщение от exchar Посмотреть сообщение
про количество остальных физических интерфейсов скромно умолчим? и сколько из них куда задействовано? нуачо, проще же про керио спросить, это ж фаер виноват 100%, больше некому
Очень смешно.
Зачем мне писать про остальные порты если они не задействованы?
Слишком много лишней информации указываю сейчас.
KovalskiDK вне форума   Ответить с цитированием Вверх
Старый 25.05.2019, 10:09   #4
KovalskiDK
 
Аватар для KovalskiDK
 
Регистрация: 23.05.2019
Адрес: Almaty
Сообщений: 6
По умолчанию Re: Отваливается Локальная сеть Kerio control

Цитата:
Сообщение от exchar Посмотреть сообщение
после чего сравни эти два файла. или тут выложи.
Вот, нерабочий [Для просмотра данной ссылки нужно зарегистрироваться]


Вот рабочий на данный момент [Для просмотра данной ссылки нужно зарегистрироваться]

Вот пинг не рабочего[Для просмотра данной ссылки нужно зарегистрироваться]

Начал пинговать со стороны керио машину, интернет на ней появился.......
KovalskiDK вне форума   Ответить с цитированием Вверх
Старый 25.05.2019, 13:36   #5
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,421
По умолчанию Re: Отваливается Локальная сеть Kerio control

Цитата
Сообщение от KovalskiDK Посмотреть сообщение
Вот, нерабочий
Вот рабочий на данный момент
теперь сравни мак-адреса для 10.8.39.1 на этих скринах
они внезапно немного разные, а так быть не должно в общем случае
как пофиксить: больше не втыкай wan и lan интерфейсы керио в один свитч/один влан и всё будет хорошо.
почему нельзя так втыкать: из-за особенности работы arp на ОС виртуалки с керио (и в общем на линуксах). Кратко - на один arp-запрос приходит несколько arp-одветов - со всех интерфейсов керио, воткнутых "туда же", откуда пришел запрос (ответы на запрос с виртуалки). Из пачки ответов последний пришедший на виртуалку ответ будет (как и все до него) записан в ее таблицу arp и станет использоваться дальше. Ответы приходят в условно-случайном порядке.
Для керио есть команда (гуглится на форуме), которая запрещает такое порно, но она работает до перезагрузки керио, а потом нужно вводить по новой. Оффподдержка грит, что это не баг и так оно должно работать.
Цитата
Сообщение от KovalskiDK Посмотреть сообщение
3 физ машины, 3 виртуальных свитча, это вполне логично
керио виртуализована, внешние интерфейсы прокидываются через отдельные вланы и возможно отдельные виртуальные свитчи, поэтому "нифига не логично"
Цитата
Сообщение от KovalskiDK Посмотреть сообщение
каждая машина имеет 1 порт физ ван. А Вланы причем?
дада, и все интерфейсы керио висят на vmnetwork еще скажи =)
Цитата
Сообщение от KovalskiDK Посмотреть сообщение
а причем тут мои сервера, если речь идет только про виртуальные машины?
при том, что периодический отвал случайных хостов в локальной сети - это симптом проблем с arp, а лечить это нужно понимая что и с чем скоммутировано. т.е. линки, вланы, вирт. и железные свитчи. у тебя же есть такая схема - чисто для себя, правда?
Цитата
Сообщение от KovalskiDK Посмотреть сообщение
Зачем мне писать про остальные порты если они не задействованы?
а я телепат что ли - знать, задействованы они или нет?
Цитата
Сообщение от KovalskiDK Посмотреть сообщение
Слишком много лишней информации указываю сейчас.
скорее, слишком мало нужной информации
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 25.05.2019, 18:00   #6
KovalskiDK
 
Аватар для KovalskiDK
 
Регистрация: 23.05.2019
Адрес: Almaty
Сообщений: 6
По умолчанию Re: Отваливается Локальная сеть Kerio control

Цитата:
Сообщение от exchar Посмотреть сообщение
дада, и все интерфейсы керио висят на vmnetwork еще скажи =)
[Для просмотра данной ссылки нужно зарегистрироваться]
KovalskiDK вне форума   Ответить с цитированием Вверх
Старый 25.05.2019, 18:01   #7
KovalskiDK
 
Аватар для KovalskiDK
 
Регистрация: 23.05.2019
Адрес: Almaty
Сообщений: 6
По умолчанию Re: Отваливается Локальная сеть Kerio control

Цитата:
Сообщение от exchar Посмотреть сообщение
при том, что периодический отвал случайных хостов в локальной сети - это симптом проблем с arp, а лечить это нужно понимая что и с чем скоммутировано. т.е. линки, вланы, вирт. и железные свитчи. у тебя же есть такая схема - чисто для себя, правда?
я же пытаюсь внутри одного сервера настроить это
KovalskiDK вне форума   Ответить с цитированием Вверх
Старый 25.05.2019, 18:13   #8
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,421
По умолчанию Re: Отваливается Локальная сеть Kerio control

Цитата
Сообщение от KovalskiDK Посмотреть сообщение
я же пытаюсь внутри одного сервера настроить это
а в чем разница?
если свитч виртуальный, то типа там вместо arp работает некая проприетарная магия от vmware?
посмотри внимательно на свой последний скриншот:
все виртуальные машины и все интерфейсы керио (включая пачку wan судя по количеству) висят на vmnetwork vlan 0.
...
да и с точки зрения ИБ втыкание wan от провайдера в свитч локальной сети - нутыпонел.
в общем есить чем заняться.


P.S. Если не веришь - поставь на любую отваливающуюся виртуалку wireshark и слови момент отвала, потом сделай фильтр по arp - там будет видно.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 25.05.2019, 18:30   #9
KovalskiDK
 
Аватар для KovalskiDK
 
Регистрация: 23.05.2019
Адрес: Almaty
Сообщений: 6
По умолчанию Re: Отваливается Локальная сеть Kerio control

Цитата:
Сообщение от exchar Посмотреть сообщение
а в чем разница?
если свитч виртуальный, то типа там вместо arp работает некая проприетарная магия от vmware?
посмотри внимательно на свой последний скриншот:
все виртуальные машины и все интерфейсы керио (включая пачку wan судя по количеству) висят на vmnetwork vlan 0.
...
да и с точки зрения ИБ втыкание wan от провайдера в свитч локальной сети - нутыпонел.
в общем есить чем заняться.


P.S. Если не веришь - поставь на любую отваливающуюся виртуалку wireshark и слови момент отвала, потом сделай фильтр по arp - там будет видно.
То есть, вы предлагаете сделать отдельный виртуальный свитч, и повешать все на него? или как?
KovalskiDK вне форума   Ответить с цитированием Вверх
Старый 25.05.2019, 22:12   #10
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,421
По умолчанию Re: Отваливается Локальная сеть Kerio control

Цитата
Сообщение от KovalskiDK Посмотреть сообщение
То есть, вы предлагаете сделать отдельный виртуальный свитч, и повешать все на него?
как минимум, wan-интерфейсы керио повесить на отдельный виртуальный свитч, на который идет отдельный линк от провайдера через отдельный физический интерфейс (это если для всех семи wan интерфейсов один и тот же провайдер)
локальный же интерфейс керио должен висеть на другом виртуальном свитче, на нем же будут висеть виртуалки (да хоть тот же свитч с portgroup "vmnetwork")

Добавлено через 2 минуты

это если про вланы не думать вообще - я ж не знаю, что у тебя там в реальности

вот для себя нарисуй на бумажке схему, где внутри трех прямоугольников-серверов накиданы виртуалки с линками на свитчи (виртуальные и не очень) и чтобы видеть линки с виртуальных свитчей на реальные сетевухи серверов.
тогда будет яснее

небольшой хинт, если у тебя там вланы таки есть внезапно:
portgroup - это группа access-портов конкретного vlan для конкретного виртуального свитча.
линк от вирт. свитча на реальную сетевуху - транк порт.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы

Последний раз редактировалось exchar; 25.05.2019 в 22:24. Причина: Добавлено сообщение
exchar вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 00:31. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях