Как узнать откуда взялся IP

[Vasilich71]

Добрый день.

Есть основной офис. В нём адреса 192.168.1.X..В интернет он ходит через Kerio Control. Есть несколько удалённых площадок c локальными адресами 192.168.N.X (N <> 1 и у всех разные). которые подключены к офису через Kerio VPN. У VPN адреса 10.253.194.X.

Проблема такая. В удалённом месте забираю компьютер на ремонт/профилактику/e.t.c. Он получает в офисе адрес вида 192.168.1.X после манипуляций возвращаем комп на место, он получает локальный адрес и работает дальше. Но с соседнего компьютера у которого тоже подключен VPN клиент, к нему не достучаться. Потому, что для него резолвится IP из центрального офиса. А его там уже нет. Он рядом в локальной сети. Если отключить VPN клиент, то IP возвращается локальный.

Через некоторое время в офисе этот адрес умирает и всё работает хорошо.
Во время борьбы с этой проблемой я во всём до чего дотянулся очищал кэши, удалял адреса в DNS серверах. Но закономерности так и не нашёл.

Где оно живёт? Где ещё почистить?

Пытался загуглить, но сформулировать вопрос, чтобы он не предлагал GEO IP не смог.

[exchar]

Цитата

Сообщение от Vasilich71

Но с соседнего компьютера... к нему не достучаться.

"к нему" - это к тому компу, который возили на ремонт в головной офис?

[Vasilich71]

Да.

[exchar]

Цитата

Сообщение от Vasilich71

Да.

в таком случае, это неправильно с точки зрения архитектуры.
впн-клиенты керио проектировались как оконечные точки для пользовательских хостов. не для серверов. в именно таком виде они работают нормально.

далее, даже с самой общей с точки зрения ИБ, размещение любого сервиса на пользовательском хосте - нонсенс.

Цитата

Сообщение от Vasilich71

с соседнего компьютера у которого тоже подключен VPN клиент, к нему не достучаться

вы хотите сэкономить на количестве впн-серверов вендора (ну и на железе под них), рассыпав везде впн-клиенты (вместо тоннелей контрол<->контрол и минимуме клиентов), но напоролись на архитектурные грабли.

Цитата

Сообщение от Vasilich71

Через некоторое время в офисе этот адрес умирает

5-30 минут или около? или гораздо дольше?

Цитата

Сообщение от Vasilich71

Во время борьбы с этой проблемой я во всём до чего дотянулся очищал кэши, удалял адреса в DNS серверах. Но закономерности так и не нашёл.

вы настолько часто тягаете туда-сюда пользовательские хосты, на каждом из которых висит нужный соседним хостам сервис? может таки запроектировать сервера в филиалы и поправить архитектурку? =)

[Vasilich71]

Цитата:

Сообщение от exchar

в таком случае, это неправильно с точки зрения архитектуры.
впн-клиенты керио проектировались как оконечные точки для пользовательских хостов. не для серверов. в именно таком виде они работают нормально.
далее, даже с самой общей с точки зрения ИБ, размещение любого сервиса на пользовательском хосте - нонсенс.

В принципе оно, конечно так. Абсолютно согласен. Но жизнь вносит коррективы. В нашем случае это железяка и результат(журнал) её работы забирает 1Ц. В работу железяки и ПО вмешаться вообще никак. Даже это мы методом взлома получили.

Цитата:

Сообщение от exchar

вы хотите сэкономить на количестве впн-серверов вендора (ну и на железе под них), рассыпав везде впн-клиенты (вместо тоннелей контрол<->контрол и минимуме клиентов), но напоролись на архитектурные грабли.

Вообще нет. Масштабы не те. В былые времена я задумывался про тоннели контрол<->контрол, но как то так и не доросли.
Сейчас это, скорее, удобство администрирования. Всё, что есть подключено как клиенты VPN. Очень удобно. Но иногда всплывает эта проблема.

Цитата:

Сообщение от exchar

5-30 минут или около? или гораздо дольше?

Несколько часов. Не понять сколько именно.

Цитата:

Сообщение от exchar

вы настолько часто тягаете туда-сюда пользовательские хосты, на каждом из которых висит нужный соседним хостам сервис? может таки запроектировать сервера в филиалы и поправить архитектурку? =)

В том и проблема, что нет. Не настолько напрягает, чтобы решить это. Просто сегодня опять так получилось, уже сутки как. Этот, правда действительно сервер и у него был static ip в офисе. Вот я и подумал, что может кто-то уже боролся с этим и решил. :-) или хотя бы место нашёл где именно оно остаётся.
Технически клиент VPN получает по имени сервера его IP адрес. И сначала он получает ответ из сети где стоит Kerio control. При этом соответствие имя-адрес где-то закэшировалось. Не понять где. Удаляешь его везде, в какой-то момент, раз и заработало.

[exchar]

Цитата

Сообщение от Vasilich71

Несколько часов.

а какой точный релиз керио? и впн-клиент от этого же релиза керио или другой версии (какой)?

Цитата

Сообщение от Vasilich71

Даже это мы методом взлома получили.

да, "издержки профессии" =)

Цитата

Сообщение от Vasilich71

В нашем случае это железяка и результат(журнал) её работы забирает 1Ц. В работу железяки и ПО вмешаться вообще никак.

но впн-клиент навесить сверху получилось же.
касса какая-то? вендинг может быть? )

Цитата

Сообщение от Vasilich71

Технически клиент VPN получает по имени сервера его IP адрес. И сначала он получает ответ из сети где стоит Kerio control. При этом соответствие имя-адрес где-то закэшировалось. Не понять где. Удаляешь его везде, в какой-то момент, раз и заработало.

dns-форвардер из керио используется?
как вообще ходят запросы dns в основной конторе?

[naliman]

Цитата:

Сообщение от exchar

dns-форвардер из керио используется?
как вообще ходят запросы dns в основной конторе?

вот да!

судя по этому:

Цитата

Сообщение от Vasilich71

Но с соседнего компьютера у которого тоже подключен VPN клиент, к нему не достучаться. Потому, что для него резолвится IP из центрального офиса.

выходит что локальный ДНС в "филиале" никто из клиентов не использует при подключеннов ВПН-клиенте, потому как используется ДНС "головняка"

так может быть покрутить что-то в филармонии ДНС???
например репликации зон приделать из головняка в филиалы и обратно?
и не использовать ДНС который получает ДНС-клиент????

однако судя по :

Цитата

Сообщение от Vasilich71

В работу железяки и ПО вмешаться вообще никак. Даже это мы методом взлома получили.

вы никакого доступа не имеете и поэтому у вас есть полное право выполаскивать мозг тем у кого этот доступ есть видимо админам "головняка"

[Vasilich71]

Цитата:

Сообщение от exchar

а какой точный релиз керио? и впн-клиент от этого же релиза керио или другой версии (какой)?

Kerio Control 7.3.0 build 3861
VPN 8.4.2.2869, 6.7.1.6544
Подозреваю, что это без разницы.

Цитата:

Сообщение от exchar

но впн-клиент навесить сверху получилось же.
касса какая-то? вендинг может быть? )

Колеровочная машина.

Цитата:

Сообщение от exchar

dns-форвардер из керио используется?
как вообще ходят запросы dns в основной конторе?

Форвардер не включён.
В голове свой DNS сервер в локальной сети. А он уже лезет наружу когда нужно.

[Vasilich71]

Цитата:

Сообщение от naliman

выходит что локальный ДНС в "филиале" никто из клиентов не использует при подключеннов ВПН-клиенте, потому как используется ДНС "головняка"

Похоже на то.
Но у меня проблема в том, что даже когда устаревшую запись убиваешь в этом DNS. Клиент её упорно где-то получает заново. Всякие /flushdns не помогают.
А вот сейчас чётко отработало. Убил запись в DNS и проверил на клиенте что ему вернут.Сразу получил локальный адрес.

[exchar]

Цитата

Сообщение от Vasilich71

А вот сейчас чётко отработало. Убил запись в DNS и проверил на клиенте что ему вернут.Сразу получил локальный адрес.

а vpn-клиент какой версии там стоял?.. )
[Для просмотра данной ссылки нужно зарегистрироваться]

Цитата

Version 7.3.1 - April 24, 2012
+ VPN Client can now use VPN as a default route (based on VPN Server configuration, both VPN Client and VPN Server must run version 7.3.1 or newer)
* Computer connected through Kerio VPN now prefers DNS server accessible through the VPN instead of the local one.
...

предполагаю что сие больше относится к ПО самих впн-клиентов
то есть
клиент 8.4.2.2869 - ставит предпочтительным dns-сервер из головного офиса (после подключения к нему по vpn)
клиент 6.7.1.6544 - еще не умеет такой финт ушами.

[Vasilich71]

Цитата:

Сообщение от exchar

а vpn-клиент какой версии там стоял?.. )

8.4.2.2869

[exchar]

Цитата

Сообщение от Vasilich71

8.4.2.2869

значит дело не в версии )

[alexnasa]

Наверняка я ничего не понял и лезу не в своё дело.
Тут прозвучала тема ip адресов, а с этими адресами у меня связано пол жизни было. Т.е. держать надо было их в больной голове, точнее в тетради. Но то были времена KWF. А в КК наконец то смогли перейти на мак адреса и забить забыть про какие-то там айпишники так? Т.е. обращение даже к принтеру у меня (например) теперь по хостнейму в локалке. Короче я не в тему?

[naliman]

Цитата:

Сообщение от alexnasa

А в КК наконец то смогли перейти на мак адреса и забить забыть про какие-то там айпишники так? Т.е. обращение даже к принтеру у меня (например) теперь по хостнейму в локалке. Короче я не в тему?

чет ты лютого наплёл ...

[alexnasa]

Цитата:

Сообщение от naliman

лютого наплёл

Догадываюсь, что мои сети слишком малы (число хостов в каждом локальном сегменте) для понимания подобных проблем.

[naliman]

не, на пальцах:
МАК-адрес это уникальный идентификатор сетевого устройства (интерфейса)
если угодно - физический адрес устройства

IP-адрес это уникальный сетевой адрес узла в компьютерной сети TCP/IP
если угодно - логический адрес устройства

хостнейм (имя) - человекоудобный идентификатор устройства в сети ( что б кучу цифирей не запоминать и не писать)
если угодно - человекопонятный псевдоним IP-ареса
взаимосвязь второго и третьего обеспечивает DNS


никто ни от чего не уходил, это вещи заложенные в основу

[exchar]

Цитата:

Сообщение от alexnasa

Наверняка я ничего не понял и лезу не в своё дело.
Тут прозвучала тема ip адресов, а с этими адресами у меня связано пол жизни было. Т.е. держать надо было их в больной голове, точнее в тетради. Но то были времена KWF. А в КК наконец то смогли перейти на мак адреса и забить забыть про какие-то там айпишники так? Т.е. обращение даже к принтеру у меня (например) теперь по хостнейму в локалке. Короче я не в тему?

тот случай, когда лучше сначала писать на форум, а потом уже... предположительно понижать градус.
а никак не наоборот. прямо вот делаю скидку на новогодние исключительно, ибо это детсад и азы.

Цитата:

Сообщение от naliman

на пальцах

именна.
а про ARP я думаю он и сам почитает [Для просмотра данной ссылки нужно зарегистрироваться]. после чего вопросы снова будут умными, 100%.
Ну [Для просмотра данной ссылки нужно зарегистрироваться] там, у Толстого.

[alexnasa]

Цитата:

Сообщение от naliman

если угодно - человекопонятный псевдоним IP-ареса
взаимосвязь второго и третьего обеспечивает DNS

Ну это мы проходили ещё в первых классах.
ARP таблицами я конечно пользуюсь в свичах, когда ищу в каком порту какого свича торчит повисшая камера.
Я о другом.
Например -в небольшой конторе, мои хостнеймы+ипадреса я не прописывал в серверах днс (которых и нет у меня). У меня просто имена компов и принтеров прописаны в их OS. По ним можно обращаться к хосту и получать его ресурсы (или просто пинговать хост), но только внутри одного локального сегмента.
Это я к тому - что именно этими именами я и пользуюсь в пределах небольшого предприятия. Без сервиса днс сервера. Но и да- реально получается игнорировать ип адреса хостов. Например печатать на принтер у которого ип адрес меняется 2 раза в день и мало кому интересен.

[exchar]

Цитата:

Сообщение от alexnasa

Это я к тому - что именно этими именами я и пользуюсь в пределах небольшого предприятия. Без сервиса днс сервера. Но и да- реально получается игнорировать ип адреса хостов. Например печатать на принтер у которого ип адрес меняется 2 раза в день и мало кому интересен.

есть такая штука, называется LLMNR, в этом случае работает именно она.
а раньше был netbios через tcp/ip

Цитата:

Сообщение от alexnasa

Мне просто не с кем встретить НГ.

я так и понял.
ну, с наступившим тебя )

[alexnasa]

Цитата:

Сообщение от exchar

а раньше был netbios через tcp/ip

Ну вот именно им и пользуюсь я всю жизнь 139 tcp?

Добавлено через 1 минуту

Цитата:

Сообщение от exchar

ну, с наступившим тебя )

И всех форумчан с наступившим!!!!!!