Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 12.06.2019, 22:41   #21
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,380
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от Putin Посмотреть сообщение
Да, галочка есть уже такая - HA, уже включил её )
и что в логе после этого?
Цитата:
Сообщение от Putin Посмотреть сообщение
"Интерфейс состояния/синхронизации" же должен быть интерфейс, который соединяет 2 керио шлюза напрямую ?
да
Цитата:
Сообщение от Putin Посмотреть сообщение
А внизу с галочкой и виртуальным IP-адресом должен быть интерфейс локальной сети, верно ?
не обязательно внизу, а так - да
Цитата:
Сообщение от Putin Посмотреть сообщение
Два керио шлюза соединять обычным патч-кордом между собой (интерфейс Sync/Status) ? Или обратной обжаткой?
я бы посоветовал кроссовер
но в целом от сетевух и их драйверов зависит, попробуй оба варианта
Цитата:
Сообщение от Putin Посмотреть сообщение
Сети (HA и LAN) должны быть разными или в принципе не важно совсем ?
обязательно должны быть разными
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 13.06.2019, 23:48   #22
Putin
Навичёг
 
Аватар для Putin
 
Регистрация: 28.09.2013
Сообщений: 31
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Короче говоря, рассказываю продолжение эксперимента, уже с разными заведомо рабочими сетевыми картами и обжатыми и проверенными патч-кордами, дополнительным коммутатором!
Эксперимент выявил в итоге после долгих мучений неисправность встроенной сетевухи на одном из компов, вот такие дела ( Именно она не давала корректно пройти сигналу HA и были такие вот артефакты. Сейчас вроде норм, настроил с горем пополам HA. Буду дальше проверять.
Putin вне форума   Ответить с цитированием Вверх
Старый 14.06.2019, 01:21   #23
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,380
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от Putin Посмотреть сообщение
настроил с горем пополам HA
заметим, что пока это горе непосредственно к качеству реализации HA в керио контрол не относится

Добавлено через 2 минуты

Цитата:
Сообщение от Putin Посмотреть сообщение
неисправность встроенной сетевухи на одном из компов, вот такие дела ( Именно она не давала корректно пройти сигналу HA и были такие вот артефакты.
а я говорил же,

Цитата:
Сообщение от exchar Посмотреть сообщение
а вообще предполагаю, что косо настроено соединение под HA - лагает оно или еще что.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы

Последний раз редактировалось exchar; 14.06.2019 в 01:22. Причина: Добавлено сообщение
exchar вне форума   Ответить с цитированием Вверх
Старый 15.06.2019, 01:01   #24
Putin
Навичёг
 
Аватар для Putin
 
Регистрация: 28.09.2013
Сообщений: 31
По умолчанию Re: 9.3 керио и вкладка высокая доступность

exchar, спасибо за подсказки
Теперь вот ближе к реализации самой HA. Начал тестировать VPN-туннели и тут самое страшное - посыпались сообщения о разрывах (( Неужели эти GFIйовцы не могли продумать этот момент с туннелями активными ? Получается, что и с мастера и со слейва идёт подключение VPN туннеля и друг друга каждую минуту они перебивают и происходят разрывы, вся почта в сообщениях о разрыве и подключении туннеля. Это просто fail что делать-то и у кого какие мысли по этому поводу ? Ведь получается, что ни всегда надо прям повторять команду и ВСЁ ТУПО дублировать при режиме High Availability (
Putin вне форума   Ответить с цитированием Вверх
Старый 15.06.2019, 12:05   #25
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,380
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от Putin Посмотреть сообщение
посыпались сообщения о разрывах
что в статусе HA?
что в логе HA?
wan интерфейсы на обоих керио точно называются одинаково?

попробуй поставить галку на wan (как на lan ставил)
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 16.06.2019, 13:51   #26
Putin
Навичёг
 
Аватар для Putin
 
Регистрация: 28.09.2013
Сообщений: 31
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от exchar Посмотреть сообщение
что в статусе HA?
что в логе HA?
wan интерфейсы на обоих керио точно называются одинаково?
В статусе HA всё чётко, успешное зелёненькое соединение с двух сторон.
ВАН интерфейсы точно называются одинаково, иначе бы он написал бы ошибку в HA.

В логе на мастере следующее (Активный туннель):



В логе на Пассивном Туннеле:



Разница во времени из-за того, что неверные часы на пассиве были.

А вообще - разве может быть беспроблемное одновременное такое VPN соединение с одинаковыми отпечатками ?

Цитата:
Сообщение от exchar Посмотреть сообщение
попробуй поставить галку на wan (как на lan ставил)
В HA? Так там же надо виртуальный IP адрес тогда поставить. По-моему это не надо делать, или же указать и там и там какой-то один IP на ване ?
Putin вне форума   Ответить с цитированием Вверх
Старый 16.06.2019, 14:08   #27
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,380
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от Putin Посмотреть сообщение
В HA? Так там же надо виртуальный IP адрес тогда поставить.
попробуй без виртуального адреса сначала
с галкой, но без адреса - отработает?
Цитата:
Сообщение от Putin Посмотреть сообщение
По-моему это не надо делать, или же указать и там и там какой-то один IP на ване ?
к провайдеру как подключен?
внезапно статика?
есть ли еще пара ваще ненужных адресов в сети провайдера чтобы нарисовать виртуальный ip на wan аналогично lan (может у вас там рояли в кустах штабелями валяются...)?
Цитата:
Сообщение от Putin Посмотреть сообщение
[15/Jun/2019 13:19:46] {vpntunnel} Tunnel[0004]('VPN-Tunnel-Active') - flushing ARP cache for adapter 0x5, IP 0.0.0.0
[15/Jun/2019 13:19:46] {vpntunnel} Tunnel[0004]('VPN-Tunnel-Active') - tunnel closed
белый полярный лис для туннеля приходит при сбросе кэша arp
я бы помониторил поведение arp-таблиц на обоих керио и свитче в контексте mac-адресов wan-интерфейсов (да и не обязательно wan...).
взял бы за один период одновременно на обоих керио дампы трафика в pcap и сделал бы фильтр по arp

а вообще, это к кериотам в оффподдержку уже напрашивается вопрос.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 16.06.2019, 15:31   #28
Putin
Навичёг
 
Аватар для Putin
 
Регистрация: 28.09.2013
Сообщений: 31
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от exchar Посмотреть сообщение
попробуй без виртуального адреса сначала
с галкой, но без адреса - отработает?
Не, так не работает, пишет виртуальный IP адрес должен быть обязательно!( Получается, там только локальную сеть надо использовать в этом поле.

Цитата:
Сообщение от exchar Посмотреть сообщение
к провайдеру как подключен?
внезапно статика?
есть ли еще пара ваще ненужных адресов в сети провайдера чтобы нарисовать виртуальный ip на wan аналогично lan (может у вас там рояли в кустах штабелями валяются...)?
К провайдеру статика IPoE на одном конце, на втором - статика PPPoE.
Про свободные IP не в курсе ) и есть ли смысл подбирать их ? )

Цитата:
Сообщение от exchar Посмотреть сообщение
белый полярный лис для туннеля приходит при сбросе кэша arp
я бы помониторил поведение arp-таблиц на обоих керио и свитче в контексте mac-адресов wan-интерфейсов (да и не обязательно wan...).
взял бы за один период одновременно на обоих керио дампы трафика в pcap и сделал бы фильтр по arp

а вообще, это к кериотам в оффподдержку уже напрашивается вопрос.
Сложная схема по поиску проблемы ) попробую действительно написать в тех.поддержку эту GFI, пусть решают вопрос. Просто я думаю, что правильнее было бы одно соединение по туннелю на мастере, затем что-то с мастером случается и всё управление переходит на слейв и там "просыпается" тот туннель и начинается своё соединение, а не как щас - сразу с двух компов пытается он подключиться к одному пассивному туннелю-то, это ж ненормально !?
Putin вне форума   Ответить с цитированием Вверх
Старый 16.06.2019, 22:15   #29
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,380
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от Putin Посмотреть сообщение
Не, так не работает, пишет виртуальный IP адрес должен быть обязательно!
абидна
Цитата:
Сообщение от Putin Посмотреть сообщение
Получается, там только локальную сеть надо использовать в этом поле
или подсеть от провайдера + статика на подключении
Цитата:
Сообщение от Putin Посмотреть сообщение
и есть ли смысл подбирать их ? )
нет! хотя я так развлекался когда-то )))
Цитата:
Сообщение от Putin Посмотреть сообщение
Сложная схема по поиску проблемы )
схема соответствует размеру проблемы, не более
и снять два дампа с двух керио, поставить фильтр и сравнить - это 5 минут
еще минут 20 - понять почему arp не робит
Цитата:
Сообщение от Putin Посмотреть сообщение
попробую действительно написать в тех.поддержку эту GFI, пусть решают вопрос.
скажи потом чем дело кончится в плане поддержки
Цитата:
Сообщение от Putin Посмотреть сообщение
Просто я думаю, что правильнее было бы одно соединение по туннелю на мастере, затем что-то с мастером случается и всё управление переходит на слейв и там "просыпается" тот туннель и начинается своё соединение
+100500
Цитата:
Сообщение от Putin Посмотреть сообщение
а не как щас - сразу с двух компов пытается он подключиться к одному пассивному туннелю-то, это ж ненормально !?
не нормально
интересно, что по этому поводу думает Кальтенбруннер ответит так же поддержка керио на этот вопрос?..
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 16.06.2019, 23:24   #30
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,367
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от exchar Посмотреть сообщение
что по этому поводу думает Кальтенбруннер
За окном шёл снег и рота солдат ...
Товарищ Жюков, дайте закурить!
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 16.06.2019, 23:28   #31
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,380
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от naliman Посмотреть сообщение
За окном шёл снег и рота солдат ...
Товарищ Жюков, дайте закурить!
вот по памяти

За окном шёл снег и рота красноармейцев.
- Товарищ Жюков, вас еще не убили?
- Эм... Никак нет, товарищ Сталин!
- Тогда дайте закурить.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 16.06.2019, 23:46   #32
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,367
По умолчанию Re: 9.3 керио и вкладка высокая доступность

ну да, точно так!
я сильно упростил
было 3 книжки, давно ещё в 90-х, но куда то про...терялись
жаль очень, куча эмоций тогда получалась от чтения

Добавлено через 2 минуты

оно конечно нынче в интонентах есть всё...
но в бумаге оно просто бесценно
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу

Последний раз редактировалось naliman; 16.06.2019 в 23:46. Причина: Добавлено сообщение
naliman вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 12:41. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях