Добавил второй WAN -почему-то проблемы в работе VPN по нему

[alexnasa]

Добрый день, уважаемые камрады!
Прошу совета, по пустячному поводу (как мне казалось пустячному).
Пока еще имеется WAN1 (статика) 195.***.***.** и все филиалы (туннели VPN IPSec) работают прекрасно!
Но пришла пора менять этот адрес (принадлежал прову, которого РТ поглотил и давно хочет убрать это оборудование). Откладывалось 4 года, и вот пора переезжать.
РТ подогнал вторую витуху и появился второй WAN2 PPOE 212.**.***.***
Первый ждет отключения, при удачном переезде.

Как я представлял себе- просто зайду в Кинетики филиалов и сменю в настройках VPN IPSec старый IP ц.офиса на новый. НО! Есть нюанс. Сразу же вижу, что смена ИП в туннеле несет мне некоторую утрату! По второму WAN2 адресу перестают и пинговаться и т.п. из сети КК (ц.офиса) хосты моих филиалов. Что за наваждение? Ведь второй WAN просто добавил бы мне шансов выживать, при условном падении первого, так?

Все работает нормально, при возвращении IP в настройках туннеля в Кинетике на старый адрес.
В правилах VPN фигурирует именно сам КК, а не его WANы [Для просмотра данной ссылки нужно зарегистрироваться]

[exchar]

Цитата:

Сообщение от alexnasa

пинговаться и т.п.

что скрывается за "т.п."?
кроме пингов что еще недоступно?

[alexnasa]

Цитата:

Сообщение от exchar

что скрывается за "т.п."?
кроме пингов что еще недоступно?

За т.п. скрывается, что все недоступно и rdp и пинги тоже..

[exchar]

Цитата:

Сообщение от alexnasa

За т.п. скрывается, что все недоступно и rdp и пинги тоже..

а туннель действительно поднимается?

[alexnasa]

из сетей (филиалов), что подняли туннель на КК ц.офиса хосты получаем ок! И Астериск с его SIP телефонией ок и rdp и все вообще.
Зато ц.офис не может юзать филиал. Например в вебку IP телефона, находящегося в филиале, уже не зайдешь..

[exchar]

Цитата:

Сообщение от alexnasa

из сетей, что подняли туннель на КК ц.офис получаем ок! И SIP телефония ок и rdp и все вообще.

у попа была собака...
у тебя был туннель. он поднимался.
ты на удаленной точке (кинетике) поменял ip-адрес (на новый адрес головного офиса)
и больше ничего не делал
после этого туннель поднимается?

Добавлено через 38 секунд

Цитата:

Сообщение от alexnasa

Зато ц.офис не может юзать филиал. Например в вебку IP телефона, находящегося в филиале, уже не зайдешь..

а, понял

Добавлено через 58 секунд

а трассировка из головного офиса на хост в сети филиала (на любой) на чем валится?

[alexnasa]

1 * <1 мс <1 мс ИП локалки порта КК
2 5 ms 5 ms 5 ms 88.200.185.239
3 6 ms 5 ms 5 ms 80.234.83.90
4 6 ms 6 ms 9 ms 88.200.185.17
5 6 ms 5 ms 6 ms 88.200.185.10
6 6 ms 5 ms 5 ms 88.200.183.33
дальше обрыв

Добавлено через 1 минуту

Цитата:

Сообщение от exchar

ты на удаленной точке (кинетике) поменял ip-адрес (на новый адрес головного офиса)

я бы сказал на еще один ван адрес (к стати обе витухи идут в РТ)

Добавлено через 3 минуты

Самое удивительное (!!!) SIP работает (и филиал коннектится к Астеру в офис, НО и Астер успешно посылает ответные UDP пакеты вызова и голоса и микрофона в телефон филиала)!
Неужто РТ дал залимитированый канал а?

[exchar]

Цитата:

Сообщение от alexnasa

дальше обрыв

а теперь для сравнения трассировку с прошлого ip, когда все работало нормально
проверим что все рубится на белом ip кинетика

на самом кинетике в правилах файерволла нет случаем "хитрого" правила запрещающего по конкретному ip?

Добавлено через 1 минуту

Цитата:

Сообщение от alexnasa

и филиал коннектится к Астеру и Астер успешно посылает пакеты вызова и голоса и микрофона в телефон филиала

предположу, что это все летает исключительно по udp...

[alexnasa]

вариант с прошлого (нормального во всех смыслах) ИП WAN1

1 <1 мс <1 мс <1 мс 192.168.лок адр КК
2 6 ms 6 ms * 192.168.ИП лок адр кинетика в филиале
3 294 ms 7 ms 7 ms 192.168.один из хостов филиала

Хитрого правила блокировок адресов в файерволле в Кинетике я не писал - не умею..

[exchar]

Цитата:

Сообщение от alexnasa

вариант с прошлого (нормального во всех смыслах) ИП WAN1
1 <1 мс <1 мс <1 мс 192.168.лок адр КК
2 6 ms 6 ms * 192.168.ИП лок адр кинетика в филиале
3 294 ms 7 ms 7 ms 192.168.один из хостов филиала

тогда

Цитата:

Сообщение от alexnasa

1 * <1 мс <1 мс ИП локалки порта КК
2 5 ms 5 ms 5 ms 88.200.185.239

почему у тебя трассировка с керио

с локального адреса 192.168.лок адр КК
на локальный же адрес 192.168.один из хостов филиала
уходит в 88.200.185.239 т.е. в интернет [Для просмотра данной ссылки нужно зарегистрироваться]?
есть какие-то правила с NAT выше на керио, которые так отрабатывают?
и что и как прописано в маршрутах на керио?

[alexnasa]

Цитата:

Сообщение от exchar

уходит в 88.200.185.239 т.е. в интернет марсианскими пакетами?

ВНИМАНИЕ! Забыли про туннели! Виндовый клиент КК (по этой - новой линии) тоже работать стал ТУПО только в сторону КК. А ответно ПК (пров- "Аист") с этим клиентом по rdp или VNC не доступен!

1 <1 мс <1 мс <1 мс 192.168.ИП КК
2 6 ms 6 ms 7 ms 88.200.185.239
3 6 ms 5 ms 5 ms 213.59.233.162
4 5 ms 6 ms 5 ms 188.254.15.71
5 10 ms 10 ms 10 ms 79.133.89.94
6 9 ms 9 ms 9 ms vpn-4.tlt.aist.net.ru [81.28.160.84]
7 * * * Превышен интервал ожидания для запроса.
8 * * * Превышен интервал ожидания для запроса.
9 * * * Превышен интервал ожидания для запроса.

[exchar]

Цитата:

Сообщение от alexnasa

ВНИМАНИЕ! Забыли про туннели! Виндовый клиент КК (по этой - новой линии) тоже работать стал ТУПО только в сторону КК.

с тебя скрин трафикполиси и маршрутов на керио

[alexnasa]

Цитата:

Сообщение от exchar

с тебя скрин трафикполиси и маршрутов на керио

[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]

[exchar]

Цитата:

Сообщение от alexnasa

https://skr.sh/i/080920/piCJ2MSy.jpg

статические маршруты добавлялись? (внизу скрин обрезан)

Цитата:

Сообщение от alexnasa

https://skr.sh/i/080920/ygfKrsoT.jpg

подними это правило на самый верх

[alexnasa]

Цитата:

Сообщение от exchar

внизу скрин обрезан

там пусто

Добавлено через 28 секунд

Цитата:

Сообщение от exchar

подними это правило на самый верх

ессно это первое что делаю при глюках

[exchar]

и как насчет маршрутов когда происходит жопа, а не когда все работает (выложены последние)

Добавлено через 4 минуты

а покажи-ка, скрин с настройками интерфейса totel
особенно интересует содержимое по кнопке "дополнительно" (или как ее там) там где доп. ip прописываются

[alexnasa]

Цитата:

Сообщение от exchar

насчет маршрутов когда происходит жопа, а не когда все работает (выложены последние)

они видимо похожи - ведь ничего в КК я не делаю А делаю только смену адреса в клиенте КК

[exchar]

Цитата:

Сообщение от alexnasa

они видимо похожи - ведь ничего в КК я не делаю А делаю только смену адреса в клиенте КК

я добавил кой-что в мой предыдущий коммент, проверь ниже )

[alexnasa]

Цитата:

Сообщение от exchar

а покажи-ка, скрин с настройками интерфейса totel
особенно интересует содержимое по кнопке "дополнительно" (или как ее там) там где доп. ip прописываются

тотел как раз красавчик -он старик он уходит и в "дополнительно" я ничего не прописывал -там пустые обе птицы
[Для просмотра данной ссылки нужно зарегистрироваться]

[exchar]

Цитата:

Сообщение от alexnasa

https://skr.sh/i/080920/u7puixTL.jpg

на этом скрине что видно после нажатия на кнопку "определить дополнительные ip-адреса"?

Цитата:

Сообщение от alexnasa

тотел как раз красавчик -он старик он уходит

не все так просто )