на сайт
на сайт

Поиск  Правила  Войти
Главная страница » Главный раздел » Traffic Inspector - технические вопросы.
Страницы: 1 2 След.
RSS
Помогите с настройками
 
#1
0
06.12.2018 11:37:00
Купили TI.


Настраиваю в режиме транспарентного прокси, с пассивной авторизацией через AD+MAC-адреса.
Схема сети такая: Наружу смотрит циска 2921, за ней стоит сервер 2016 с ТИ на борту, второй картой он смотрит на циску 3750. К последней оптикой подключены стэки и отдельный циски 2960 разных версий, далее уже оконечное оборудование.
Сеть внутри:
192.168.ххх.ххх - промышленное оборудование, адреса не сменить.
10.2.ххх.ххх - наше оборудование (несколько тысяч устройств, несколько десятков VLAN).
На сервере поднята служба "маршрутизация и уделенный доступ".
Два интерфейса:
TO_2921 смотрит на роутер
TO_3750 смотрит в локалку
Как только ставлю, что TO_2921 это "Общий интерфейс подключен к Интернету", трафик дальше сервера с ТИ не идет, причем роутер 10.2.1.1 пингуется.
В итоге сейчас оба интерфейса в ТИ настроены как внешние, и трафик естественно не считается.
Упрощенная схема сети

В какую сторону капать? Работать через агент однозначно не будем.
 
 
 
#2
0
06.12.2018 12:34:00
как обычно:
0. настроить БЕЗ ти: 
а. если раньше "бордером" была циска(или что-то другое), а теперь между ней и пользователями машина с ти, то настроить машину с ти прозрачным роутером(просто добавить на циске маршруты на сети пользователей через внешний интерфейс машины с ти) - на машине  ти(при этом) не требуется указывать никакой интерфейс в качестве "Общий интерфейс подключен к Интернету" и даже НАТ настраивать НЕ нужно. 
б. если раньше "бордером" была циска(или что-то другое), и сейчас для всех пользователей(и устройств) именно она является шлюзом, то для того чтобы просто считать трафик(по макам) нужно использовать не такую схему расположения машины с ти(обычно подключается к какому-нибудь порту коммутатора, на который отзеркалирован весь трафик сети в сегменте между пользователями и "бордером").
1. почитать мануал к программе. внимательно(от слова "ОЧЕНЬ"). для начала(при таком количестве устройств в сети) хотя бы проверить на стенде "как оно работает".
2...
... 
N+1..

куда копать? -  в сторону авторизации пользователей как минимум с включением безлимитного типа доступа(по умолчанию тип доступа ""Автоотключение). простейший способ всех авторизовать сразу - диапазон ип адресов.
 
 
 
#3
0
06.12.2018 13:07:00
Раньше с 3750 сразу на 2921 трафик шел, сейчас между ними стоит сервер с ТИ. Трафик я завернул.
а. Именно так и сделано, ТИ трафик не видит, авторизация пользователей не идет.
б. Трафик нужно не считать, а контролировать, просто для подсчета хватило бы сервера на фряхе и настроить netflow.

Проверить на стенде, вы как себе это представляете? У меня завод безостановочно работает круглый год.
  
P.S.
Кто нибудь на 2016 сервере настраивал прозрачный прокси? Не хочется поднимать 2012 для проверки.
P.P.S
И да, документацию я читал.
Опустим грамматические ошибки и содержание








FreeAdm2018-12-06 13:08:26
 
 
 
#4
0
06.12.2018 13:29:00
Если смотреть счетчики, то ТИ трафик видит.
 
 
 
#5
0
06.12.2018 13:29:00
Цитата

Проверить на стенде, вы как себе это представляете? У меня завод безостановочно работает круглый год.
 
ну и что? у большинства оно работает круглый год.. и тем не менее собрать стенд из одного сервака и одного компа воткнутого в ту же самую существующую сеть проблем обычно не возникает.. Админ Вы или нет?(риторический вопрос)...

никто не запрещает ставить программу НЕ на сервер для нее предназначенный.. и есть для этого даже деморежим. . . да чего это я.. хотели бы проверить - проверили бы предварительно.


у Вас есть нат на циске.. зачем Вам двойной нат? просто циска не знает ГДЕ искать Ваши внутренние сети.

ти(две службы) на машине остановите, галки драйвера ти на сетевых интерфейсах снимите(всё временно) и настройте машину с ти и циску так, чтобы заработал инет у пользователей. 
с ти потом можно разобраться..

службы маршрутизации у вин серии 2кХХ врядли принципиально(!) отличаются друг от друга. как и ICS.
включаете маршрутизацию и удаленный доступ в ролях, НИКАКИХ сетевых интерфейсов в этой оснастке НЕ добавляете. на циске пишете маршруты(тут вероятно сложностей не должно быть.. или есть?) на сети пользователей через машину с ти.. - пользователи начинают работать в инете.. портом запускаете ти, заводите несколько пользователей с авторизацией по диапазону ип(и ТОЛЬКО! БЕЗ МАКОВ И ПАРОЛЕЙ!) и типом доступа "безлимитный"  - эти диапазоны - Ваши внутренние сети. все выходят в инет. начинаете читать мануал более внимательно(одного десятка раз маловато - хотя, если знакомы с iptables - логика правил одинакова - может хватить и пары раз) и настраивать более предметно каждого нужного пользователя(если количество в лиц-ии ти не мало).








DmitryPC2018-12-06 13:41:06
 
 
 
#6
0
06.12.2018 13:52:00
DmitryPC
у меня работает интернет у пользователей. 
Мне не нужен двойной нат. 2016 сервер настроен как шлюз.

Цитата
на сети пользователей через машину с ти.. - пользователи начинают работать в инете.. 
Зачем городить такой огород? Шлюз для каждого VLAN это 3750, иначе какой смысл в маршрутизаторе третьего уровня?
Он весь внешний трафик отправляет на сервер ТИ сам
Цитата
router ospf 100
 redistribute connected subnets
 redistribute static subnets
 network 10.2.0.0 0.0.255.255 area 0
!
ip route 0.0.0.0 0.0.0.0 10.2.2.1

Не работает именно прозрачное проксирование, как следствие не идет авторизация т.к. трафик не заворачивает на прокси. Тут или дело в настройках или драйвере TI. 
Завтра утром попробую 233 бета версию поставить, может в этом дело.
 
 
 
#7
0
06.12.2018 14:02:00
какой огород? циска(2921) знает где искать сети пользователей(если ти для пользователей шлюз в конечном итоге..)?

как вариант(предполагаю): у Вас внутренний интерфейс и внешний в одной подсети лежат.. а должны быть в разных.  
Код
</div><div><div>router ospf 100</div><div>&nbsp;redistribute connected subnets</div><div>&nbsp;redistribute static subnets</div><div>&nbsp;network 10.2.0.0 0.0.255.255 area 0</div><div>!</div><div>ip route 0.0.0.0 0.0.0.0 10.2.2.1</div></div><div>
 
ну и напишите на 2921 что-то типа
ip route 10.2.2.0 255.255.255.0 10.2.1.8 для каждой сети за 3750






DmitryPC2018-12-06 14:13:01
 
 
 
#8
0
06.12.2018 14:26:00
Я еще раз повторю. Интернет работает у всех, трафик ходит как изнутри наружу, так и снаружи внутрь (vpn туннели, терминальщики, почта, вэб порталы и тд и тп.).
Роутер на циске 2921 знает куда и что распихивать. 
ТИ видит проходящий трафик, но не заворачивает его на прокси.

P.S.
Зачем для каждой сети такое писать?
Вполне достаточно написать: ip route 10.2.0.0 255.255.0.0 10.2.1.8 
P.P.S
В разных подсетях интерфейсы, третий октэт посмотрите. 
 
 
 
#9
0
06.12.2018 14:41:00
консоль\пользователи и группы - пкм "свойства" - вкладка "http мимо прокси"
 
 
 
#10
0
06.12.2018 15:06:00
Все галочки стоят, в том числе для не авторизованных.



Попробую еще ESET снести, может его драйвер мешает
FreeAdm2018-12-06 15:07:34
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 2)