Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 09.10.2019, 13:09   #1
serg.
 
Аватар для serg.
 
Регистрация: 27.07.2012
Сообщений: 17
По умолчанию 2 vlan и связь между ними

Добрый день.
Есть 2 vlan, на них разные ip, в керио, есть субинтерфейсы для этих vlan.
Проблема в том что не могу обоюдно пропинговать компы из одной vlan в другойю То есть
10.240.0.6 to 10.200.0.6 пинг есть
10.200.0.6 to 10.240.0.6
если начать одновременно пинговать 10.200.0.6 to 10.240.0.6 пинг будет только с одной стороны по принципу кто первый встал тому и тапки.
В керио выключены все ограничения на кол-во подключений., ТИ выключен, мак адреса субинтерфейсов разные, брендмауэры выключены.
Дело не только в пинге. если открывать обоюдно ресурсы, то с одной стороны откроются, с другой будут долго тупить. При этом (два разных леса и домена) настроены доверия и они нормально (вроде) отрабатывают.

В какой цепочке ДНК моей косяк ? ))
Изображения
Тип файла: jpg ta-tk.jpg (14.6 Кб, 5 просмотров)
serg. вне форума   Ответить с цитированием Вверх
Старый 09.10.2019, 13:20   #2
serg.
 
Аватар для serg.
 
Регистрация: 27.07.2012
Сообщений: 17
По умолчанию Re: 2 vlan и связь между ними

Субинтерфейсы, в которых влан, не вынесены в локальные доверенные интерфейсы.
serg. вне форума   Ответить с цитированием Вверх
Старый 09.10.2019, 13:26   #3
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,683
По умолчанию Re: 2 vlan и связь между ними

Цитата
Сообщение от serg. Посмотреть сообщение
если начать одновременно пинговать 10.200.0.6 to 10.240.0.6 пинг будет только с одной стороны по принципу кто первый встал тому и тапки.
т.е. есть два конкретных хоста А и Б в разных влан
пингуем A -> Б пинг есть, но если после него сделать Б -> А то этого не будет.
проходит какое-то время
без изменения любых настроек на хостах и файерволле
пингуем Б -> А пинг есть, но если после сделать А -> Б то этого пинга не будет.
правильно?
Цитата
Сообщение от serg. Посмотреть сообщение
В какой цепочке ДНК моей косяк ? ))
предлагаю оставить этот вариант резервным =)
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 09.10.2019, 13:35   #4
serg.
 
Аватар для serg.
 
Регистрация: 27.07.2012
Сообщений: 17
По умолчанию Re: 2 vlan и связь между ними

Да, верно, даже Если одновременно пинговать эти устройства А к Б и Б к А в разных влан, то пинг будет с одной только стороны. И ваш вариант также.

Добавлено через 5 минут

Но это касается только устройств, которые пингую попарно, односторонний пинг на устройство В ( в другом влан)- пинг ок. Блин, если не запутал вас то Гуд)

Последний раз редактировалось serg.; 09.10.2019 в 13:35. Причина: Добавлено сообщение
serg. вне форума   Ответить с цитированием Вверх
Старый 09.10.2019, 13:53   #5
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,683
По умолчанию Re: 2 vlan и связь между ними

Цитата
Сообщение от serg. Посмотреть сообщение
Если одновременно пинговать эти устройства
одновременного пинга не существует, все равно один раньше пройдет по факту )
Цитата
Сообщение от serg. Посмотреть сообщение
Но это касается только устройств, которые пингую попарно, односторонний пинг на устройство В ( в другом влан)- пинг ок. Блин, если не запутал вас то Гуд)
продолжаем копать:
с последних пингов ждем минут 10
пингуем vlan1.A -> vlan2.Б, пинг есть
затем (как первый пинг появился) пингуем vlan2.C -> vlan1.Д, тут пинг есть?
ну и собственно,
керио виртуализован? чем конкретно (вангую что гиперв)?
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 09.10.2019, 13:57   #6
serg.
 
Аватар для serg.
 
Регистрация: 27.07.2012
Сообщений: 17
По умолчанию Re: 2 vlan и связь между ними

пинг есть,
керио не виртуализован.
пинговал vlan1.д в vlan1.A
serg. вне форума   Ответить с цитированием Вверх
Старый 09.10.2019, 14:06   #7
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,683
По умолчанию Re: 2 vlan и связь между ними

Цитата
Сообщение от serg. Посмотреть сообщение
пинг есть,
керио не виртуализован.
короче, проблема с arp
смысл в том, что эти два влан соединены в какой-то точке. это может быть какой-нибудь неуправляемый свитч или настройки управляемого свитча.
керио (а точнее его линух) настроен так, что на arp-запрос он дает ответы со всех интерфейсов, на которые этот запрос приходит.
для исправления нужно тупо разделить вланы физически

Добавлено через 1 минуту

Цитата
Сообщение от serg. Посмотреть сообщение
пинговал vlan1.д в vlan1.A
там была буква С, ну пофиг
все равно для чистоты эксперимента лучше было грохнуть записи arp
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы

Последний раз редактировалось exchar; 09.10.2019 в 14:06. Причина: Добавлено сообщение
exchar вне форума   Ответить с цитированием Вверх
Старый 09.10.2019, 14:07   #8
serg.
 
Аватар для serg.
 
Регистрация: 27.07.2012
Сообщений: 17
По умолчанию Re: 2 vlan и связь между ними

сейчас наложил последний релиз, ребутнул, жду.
я подозревал что арп, пока не могу понять где и как.

релиз ничего не поменял.
serg. вне форума   Ответить с цитированием Вверх
Старый 09.10.2019, 14:32   #9
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,683
По умолчанию Re: 2 vlan и связь между ними

Цитата
Сообщение от serg. Посмотреть сообщение
релиз ничего не поменял.
и не поменяет
"этавсёлинухонтакой" (с) поддержка керио
Цитата
Сообщение от serg. Посмотреть сообщение
я подозревал что арп, пока не могу понять где и как.
там все просто
линух керио отвечает на arp-запросы с любого интерфейса, на который пришел запрос -

даже если ip-адрес не совпадает с адресом в запросе, он отвечает мак-адресом своего интерфейса куда пришел запрос. отвечает для ip из запроса, ага.
и какой ответ придет позднее (на доли секунды), тот и останется в таблице arp у спрашивающего хоста (или свитча).
этопорно sad, but true
есть команда, которая устраняет такое безобразие, но она действует до перезагрузки шлюза, а потом ее надо вводить по новой.
так что адекватное решение проблемы это таки проверить разделение вланов (если я прав с диагнозом)

Добавлено через 13 минут

для проверки на одном и том же хосте можно при наличии и при отсутствии пинга сравнить мак-адрес шлюза по команде
arp -a
а так же пронаблюдать все запрос-ответ[ы] arp в wireshark на хосте
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы

Последний раз редактировалось exchar; 09.10.2019 в 14:44. Причина: Добавлено сообщение
exchar вне форума   Ответить с цитированием Вверх
Старый 10.10.2019, 07:55   #10
©©©®
Песака
 
Аватар для ©©©®
 
Регистрация: 01.07.2015
Адрес: 620000
Сообщений: 50
По умолчанию Re: 2 vlan и связь между ними

Опишите полностью структуру сети.
Vlan-ы созданы изначально на самом Керио? коммутаторы какие вы используете и есть ли на них дополнительные настройки Vlan-ов?
У Vlan-а 10.240.0.0/24 кто является гейтом?
У Vlan-а 10.200.0.0/24 кто является гейтом?
©©©® вне форума   Ответить с цитированием Вверх
Старый 10.10.2019, 09:31   #11
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,683
По умолчанию Re: 2 vlan и связь между ними

Цитата
Сообщение от ©©©® Посмотреть сообщение
Vlan-ы созданы изначально на самом Керио?
он же написал, что в керио субинтерфейсы
Цитата
Сообщение от ©©©® Посмотреть сообщение
Опишите полностью структуру сети.
будет что-то в стиле "магистраль[1..100] <-> умный доступ[A...Z] <-> опционально тупой доступ [1...1000]" и что это даст?

смысл проблемы от структуры не меняется
на сами грабли с таким поведением arp керио я наступал неоднократно.
Цитата
Сообщение от ©©©® Посмотреть сообщение
и есть ли на них дополнительные настройки Vlan-ов?
если он делал эти допнастройки, то он в курсе, есть на свитчах коммутация вланов в любом виде или нет )
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 10.10.2019, 11:28   #12
serg.
 
Аватар для serg.
 
Регистрация: 27.07.2012
Сообщений: 17
По умолчанию Re: 2 vlan и связь между ними

Цитата
Сообщение от serg. Посмотреть сообщение
Добрый день.


В какой цепочке ДНК моей косяк ? ))
в днк то и косяк.

разобрался сам, накосячил. Правила и временами кривые руки сделали свое дело наполнили непонятными arp и с горя опустошили таки бутыль метаксы.
Здесь несколько шире сеть чем что я написал-укоротив ее, но суть была одна.
В любом случае, спасибо за помощь!
serg. вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 23:55. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях