Segnetics

Вернуться   Segnetics > Форум Segnetics > Связь с внешним миром > SMConnect & SMConfig

SMConnect & SMConfig VPN-сервер на базе SMH-2Gi, Trim5 и SMH4 и средство удалённой настройки контроллера

Ответ
 
Опции темы Поиск в этой теме Опции просмотра
Старый 10.09.2018, 00:11   #1
AlexSE
Новичок
 
Регистрация: Jun 2012
Сообщения: 20
Благодарил(а): 0 раз(а)
Поблагодарили: 0 раз(а) в 0 сообщениях
По умолчанию VPN связь

Всем добрый день!
Появилась проблема, как ее решить пока не знаю, может тут подскажут)
Итак, начнем с истории:
Раньше стоял контроллер VPN сервер SMH2Gi 002031 2 , со старой прошивкой software 264.100. В сети примерно было около 50 клиентов - это и рабочие станции на базе Windows, Linux и контроллеры клиенты SMH2Gi с прошивкой 264.100 и более новые. Все в принципе было хорошо, ну почти))) бывало отваливались клиенты, из-за не стабильного интернета но не критично, после перезагрузки, вуаля они снова с нами.
Несколько дней назад, отвалились все клиенты, в итоге оказалось что контроллер VPN завис и не отвечал никак, помогла только принудительная перезагрузка его(отключения питания). Раз такое дело, решил поменять его на другой с последней актуальной прошивкой 265.834. Подключил, запустил , добавил клиентов которые отправили запросы, все ок. Правда есть контроллеры которые только после перезагрузке подключаются, где-то читал вроде уже на этом форуме что проблема заключается скорее всего в FBD проекте, отсюда вопрос как понять что дело в проекте и как это исправить, куда смотреть и что делать?
Кстати в сети находятся на данный момент контроллеры с разными прошивками, а проблема это как и у тех так и у других, короче не зависит от прошивки.
Теперь второй момент:
Так же с недавних пор, VPN сервер, через какое-то время перестает пускать в сеть, на клиенте пишет такое сообщение TCP/UDP: Closing socket(даже клиенты которые находятся с ним в одной локальной сети), только после перезапуска VPN сервера, начинает работать. Залез в логи сервера и увидел что ко мне стучатся всякие из-за бугра "редиски". Здесь мой косяк, признаю, надо было сразу запретить все, что не разрешено- а именно пускать на порты впн только избранные IP, уже исправляюсь. Но напрягает в тех же логах сообщения типа : read UDPv4 [ECONNREFUSED]: Connection refused (code=111) , read UDPv4 [EHOSTUNREACH]: No route to host (code=113) и такие сообщения я встречал при подключении с ip клиента которого я знаю и после перезапуска ВПН. Возможно это все из-за флуда на него, я надеюсь что это так, я правильно понимаю? Буду держать в курсе событий.
В принципе меня волнует пока первый вопрос, почему некоторые контроллеры сами не стучатся, а только после перезапуска?
Вложения
Тип файла: zip log.zip (22.7 Кбайт, 4 просмотров)
AlexSE вне форума   Ответить с цитированием
Старый 10.09.2018, 10:13   #2
AlexSE
Новичок
 
Регистрация: Jun 2012
Сообщения: 20
Благодарил(а): 0 раз(а)
Поблагодарили: 0 раз(а) в 0 сообщениях
По умолчанию Ответ: VPN связь

Меня тут осенило, что некоторые сообшения по 2 вопросу возникают из-за того что я ещё не все обновил ключи на рабочих станциях, но то что стучатся из других стран это факт. Работаю над этим. Все ещё напрягает первый вопрос.
AlexSE вне форума   Ответить с цитированием
Старый 10.09.2018, 13:39   #3
Max2114
Senior Member
 
Регистрация: Jun 2007
Адрес: Tyumen
Сообщения: 2 052
Благодарил(а): 20 раз(а)
Поблагодарили: 21 раз(а) в 21 сообщениях
По умолчанию Ответ: VPN связь

Цитата
Сообщение от AlexSE Посмотреть сообщение
Меня тут осенило, что некоторые сообшения по 2 вопросу возникают из-за того что я ещё не все обновил ключи на рабочих станциях, но то что стучатся из других стран это факт. Работаю над этим. Все ещё напрягает первый вопрос.
Я однажды делал котельную на одном из самых первых 2Gi. Подключил его к интернету и прописал в СМсервер компании Сегнетикс. Потом в течении 2 лет мы отлавливали касяки в ядре контроллера совместно с разработчиками компании Сегнетикс. Но сейчас не о том... так вот во время такого ковыряния мы обнаружили что на порты контроллера постоянно долбятся с разных IP из-за бугра. Естественно стоял хороший пароль и эти попытки ни к чему не приводили... так вот я к чему - наверное это обычное дело... разные там кофеварки, взломанные другими приборами сканируют сеть и пытаются подключиться чтобы внедрить вредоносный код и получить контроль над вашим сервером...
Max2114 вне форума   Ответить с цитированием
Старый 12.09.2018, 11:53   #4
Gromov
Уволен из Сегнетикс
 
Регистрация: Nov 2015
Адрес: CПб/ВЛГ
Сообщения: 0
Благодарил(а): 0 раз(а)
Поблагодарили: 1 раз в 1 сообщении
По умолчанию Ответ: VPN связь

У меня роутер microtik с проброшенными наружу портами и без пароля висит в сети.
Без пароля, конечно, не порядок, надо бы поставить.... Но так или иначе, пока что не было проблем с атаками, хотя я знаю, что там есть уязвимости, даже с использованием пароля, надо прошивку обновлять, чтобы всё хорошо было.

Ну а что касается контроллеров, думаю, верная настройка nat на роутере сможет помочь избавить его от спама. Сам с таким не сталкивался...

Цитата
Сообщение от AlexSE Посмотреть сообщение
В принципе меня волнует пока первый вопрос, почему некоторые контроллеры сами не стучатся, а только после перезапуска?
А по этому поводу - давайте информации больше соберём. Контроллеры все 2Gi? Выход в интернет и подключение у коннекту как у них настроено?


__________________
В сегнетиксе не работаю с самого начала 2019 года.

Последний раз редактировалось Gromov, 12.09.2018 в 12:26
Gromov вне форума   Ответить с цитированием
Старый 12.09.2018, 12:51   #5
AlexSE
Новичок
 
Регистрация: Jun 2012
Сообщения: 20
Благодарил(а): 0 раз(а)
Поблагодарили: 0 раз(а) в 0 сообщениях
По умолчанию Ответ: VPN связь

Доберусь до ПК, отпишусь, а то с телефона не удобно)
AlexSE вне форума   Ответить с цитированием
Старый 13.09.2018, 14:13   #6
AlexSE
Новичок
 
Регистрация: Jun 2012
Сообщения: 20
Благодарил(а): 0 раз(а)
Поблагодарили: 0 раз(а) в 0 сообщениях
По умолчанию Ответ: VPN связь

Итак, начнем:
Цитата
Сообщение от Gromov Посмотреть сообщение
А по этому поводу - давайте информации больше соберём. Контроллеры все 2Gi? Выход в интернет и подключение у коннекту как у них настроено?
Все 2Gi- как и старые прошивки, так и новые. Выход в интернет предоставляет заказчик- везде кабельный. Как понять как настроено подключение к коннекту- как обычно во вкладке интернет ----> через SMconnect----> IP. Режим по-умолчанию. С этой проблемой пока не разобраться, если не решить проблему с сетью.


Теперь по-поводу нашей сети:
У нас тоже стоит mikrotik(6.42.7), два интернета - основной и резервный канал, проброшены порты. Так вот сейчас, как я писал выше, проблема в том что контроллер с VPN сервером, через какое-то время закрывает порт(TCP/UDP: Closing socket). В логах постоянно "редиски" всякие:

Sep 13 16:33:23 openvpn[26080]: 139.99.192.56:80 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sep 13 16:33:23 openvpn[26080]: 139.99.192.56:80 TLS Error: TLS handshake failed
Sep 13 16:33:23 openvpn[26080]: 139.99.192.56:80 SIGUSR1[soft,tls-error] received, client-instance restarting
Sep 13 16:33:25 openvpn[26080]: MULTI: multi_create_instance called
Sep 13 16:33:25 openvpn[26080]: 139.99.192.56:80 Re-using SSL/TLS context
Sep 13 16:33:25 openvpn[26080]: 139.99.192.56:80 LZO compression initialized
Sep 13 16:33:25 openvpn[26080]: 139.99.192.56:80 Control Channel MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sep 13 16:33:25 openvpn[26080]: 139.99.192.56:80 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Sep 13 16:33:25 openvpn[26080]: 139.99.192.56:80 Local Options hash (VER=V4): '26e19fc0'
Sep 13 16:33:25 openvpn[26080]: 139.99.192.56:80 Expected Remote Options hash (VER=V4): 'b498be7c'
Sep 13 16:33:25 openvpn[26080]: 139.99.192.56:80 TLS: Initial packet from 139.99.192.56:80, sid=6a22eb44 5adb63fe
Sep 13 16:33:41 openvpn[26080]: 185.200.118.71:60689 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sep 13 16:33:41 openvpn[26080]: 185.200.118.71:60689 TLS Error: TLS handshake failed
Sep 13 16:33:41 openvpn[26080]: 185.200.118.71:60689 SIGUSR1[soft,tls-error] received, client-instance restarting
Sep 13 16:34:25 openvpn[26080]: 139.99.192.56:80 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sep 13 16:34:25 openvpn[26080]: 139.99.192.56:80 TLS Error: TLS handshake failed
Sep 13 16:34:25 openvpn[26080]: 139.99.192.56:80 SIGUSR1[soft,tls-error] received, client-instance restarting
Sep 13 16:34:29 openvpn[26080]: MULTI: multi_create_instance called
Sep 13 16:34:29 openvpn[26080]: 139.99.192.56:80 Re-using SSL/TLS context
Sep 13 16:34:29 openvpn[26080]: 139.99.192.56:80 LZO compression initialized
Sep 13 16:34:29 openvpn[26080]: 139.99.192.56:80 Control Channel MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sep 13 16:34:29 openvpn[26080]: 139.99.192.56:80 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Sep 13 16:34:29 openvpn[26080]: 139.99.192.56:80 Local Options hash (VER=V4): '26e19fc0'
Sep 13 16:34:29 openvpn[26080]: 139.99.192.56:80 Expected Remote Options hash (VER=V4): 'b498be7c'
Sep 13 16:34:29 openvpn[26080]: 139.99.192.56:80 TLS: Initial packet from 139.99.192.56:80, sid=6a22eb44 5adb63fe
Sep 13 16:35:29 openvpn[26080]: 139.99.192.56:80 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sep 13 16:35:29 openvpn[26080]: 139.99.192.56:80 TLS Error: TLS handshake failed
Sep 13 16:35:29 openvpn[26080]: 139.99.192.56:80 SIGUSR1[soft,tls-error] received, client-instance restarting

Почему-то раньше такого не было и вот не понятно что произошло : поменял контроллер на другой с новой прошивкой и обновил роутер. и понеслось((. На данный момент просто блокирую IP. Сегодня, завтра думаю закончим с настройкой, тормозит только то, что у некоторых контроллеров динамический IP. Ну все решаемо) Как только стабилизируется связь, можно будет поиграться с первым вопросом)
AlexSE вне форума   Ответить с цитированием
Старый 02.10.2018, 14:11   #7
AlexSE
Новичок
 
Регистрация: Jun 2012
Сообщения: 20
Благодарил(а): 0 раз(а)
Поблагодарили: 0 раз(а) в 0 сообщениях
По умолчанию Ответ: VPN связь

Наконец-то добрался, обновили правила фаервола, теперь все гуд, контроллер работает стабильно уже как 2 недели и "редисок" нет. Могу с уверенностью сообщить что проблема была еще в том, что пару контроллеров автоматом не удалили старые ключи, пришлось в ручную удалить их, только после этого они отправили запрос новый.
Теперь насчет первого вопроса, тоже пока все гуд, без обрывов, правда есть пару контроллеров которые минуты на 4 отваливаются, могут 1 раз в сутки оборваться, а могут и 5 раз, пока не понятно. Забил пока на них, не критично)))
AlexSE вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать свои сообщения

BB code is Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
SM CONNECT (Подробная инструкция в картинках как настроить) alekseyeve SMConnect & SMConfig 230 Вчера 10:57
VPN и удаленная перезаливка kostkost Связь с внешним миром 21 05.04.2019 15:59
Нестабильная связь с Pixel ngs Вопросы о Pixel 10 10.06.2016 00:48
Пропадает связь со внешними устройствами Михаил Муромцев Вопросы о SMH-2G(i) 8 21.04.2015 17:48
Связь со слэйвом, имеющем другой протокол обмена. Связь через Интернет KVA Связь с внешним миром 4 25.01.2009 12:25


Часовой пояс GMT +4, время: 17:39.


Версия vBulletin: 3.8.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Segnetics 2005 - 2023