w00dpecker
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Так, самое время извиниться за сумбур и уточнить Значит имеется сеть 192.168.2.0/24 - головной офис. Наружу торчит $EXT_IP1 Сеть 192.168.16.0/24 - удалённый офис. Наружу торчит $EXT_IP2 Между ними ipsec Приведу конфиг с удаленного офиса: Код: ip ipsec peer print Flags: X - disabled, D - dynamic 0 address=$EXT_IP1 local-address=:: passive=no port=500 auth-method=pre-shared-key secret=$IPSECKEY generate-policy=no policy-template-group=LOCAL exchange-mode=main mode-config=request-only send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-256 dh-group=modp1024 lifetime=8h lifebytes=0 dpd-interval=2m dpd-maximum-failures=5 ip ipsec proposal print Flags: X - disabled, * - default 0 name="LOCAL" auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=8h pfs-group=modp1024 Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default 0 T * group=*2 src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes 1 src-address=192.168.16.0/24 src-port=any dst-address=192.168.2.0/24 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=$EXT_IP2 sa-dst-address=$EXT_IP1 proposal=LOCAL priority=0 | В удалённом офисе пара принтеров, 5-6 компьютеров, микротик - DHCP сервер. ДНС пересылается на контроллер домена в головной офис (поднять им локально DC с DHCP и DNS на какой-нибудь CentOS в планах есть, никак не реализуется). Сегодня утром получилось так, что принтеры видны из головного офиса. Принтерам виден головной офис. Вполне можно зайти на вебмордочку. Ни один компьютер не мог соединиться с компьютером в другой сети. В соединениях видны были исходящие пакеты. А в ответ всегда тишина. Ситуация воспроизводилась после перезапуска принтеров, рабочих станций и роутера. Решилось всё удалением и повторной настройкой IPSEC. Вопрос теперь скорее "что это было?!" Чем принтер отличается от рабочей станции с точки зрения IP протокола? И что-делать-куда-смотреть если повторится? Как можно отследить путь пакета (роутер его принял, расшифровал, изучил, маршрутизировал, отправил. Где-то в этой цепочке выяснилось что пакет рожей не вышел. За что и был дропнут)? В общем, последовательность действий для сбора диагностической информации в этом случае какая? |