Перейти к содержимому


Фото
- - - - -

DirectAccess vs Drweb


  • Please log in to reply
39 ответов в этой теме

#1 N1ke

N1ke

    Member

  • Posters
  • 374 Сообщений:

Отправлено 31 Май 2013 - 16:21

Есть такая зверская технология от мс: http://ru.wikipedia.org/wiki/DirectAccess

 

Фактически это автоматический впн, который при выносе компьютера за пределы локальной сети активируется и компьютер получает доступ ко всем ресурсам локалки. Его особенность в том, что по этому впн ходит только IPv6. IPv4 там просто нету. Для доступа к серверам с IPv4 сервер DirectAccess делает NAT64. При этом, если клиент пытается сразу обратиться по IPv4 адресу - его ждет большой облом. Т.е. при активном туннеле если сделать ping 192.168.0.1 - не получим ничего. При этом, если сделать пинг на адрес днс, который ссылается на 192.168.0.1, то увидим примерно такое:

 

Обмен пакетами с serv.local [fd09:19e6:ef58:7777::c0a8:a609] с 32 байтами данных

 

Связь при этом есть и всё хорошо. Единственное, настройка днс резолвера при этом работает как-то хитро, и тот-же топорный nslookup при попытке зарезолвить serv.local не получает ничего. Т.е. работает всё, что использует резолвер имён оси.

 

Теперь к сути. Можно сделать как-то, чтобы агенты дрвеба корректно разрешали имена за директаксесным туннелем? Сейчас они, судя по всему, пытаются резолвить имя сами, стандартными методами и ничего не получают в ответ. Если руками вписать как адрес сервера - [fd09:19e6:ef58:7777::c0a8:a609], то агент подключается к серверу и нормально работает.

 

К сожалению, оставить его там не получится. Организация довольно большая, компьютеры настраивает много кто, а сервер дрвеб настраиваю только я. По этой причине к группе эвриван прицеплена максимально универсальная конфигурация и следить, на каких компьютерах включили директаксес, ан каких нет, какие переставили, и т.д. нет возможности. Если-же вообще всем клиентам скормить этот ipv6 адрес, на XP начинается циклический реконнект клиентов, поэтому хотелось бы, чтобы всё работало через днс.

 

Может кто уже решал такую задачу?



#2 HHH

HHH

    Massive Poster

  • Posters
  • 2 714 Сообщений:

Отправлено 31 Май 2013 - 16:38

А не решение указать в поле сервер два адреса: serv.local [fd09:19e6:ef58:7777::c0a8:a609]?

 

Тогда агент пойдет к тому, который окажется доступным.



#3 N1ke

N1ke

    Member

  • Posters
  • 374 Сообщений:

Отправлено 31 Май 2013 - 17:00

Нет, т.к. при указании ipv6 адреса агенты на winxp сходят с ума с периодическими крашами.



#4 DoC

DoC

    Добрый Э-э-х

  • Posters
  • 1 474 Сообщений:

Отправлено 03 Июнь 2013 - 10:48

Ресолв внутренних имен будет в том случае, если у Вас будет прописан внутренний DNS сервер.

Или же как вариант - поднимать локальный DNS (например NAMED) с прописыванием вторичной зоны Вашей сети и перезапуском DNS при подключении VPN.

У меня так работают сети на VPN - неудобно, но работает.

Еще как вариант - использовать коннект по IP адресу напрямую. Других решений пока не придумано.

Насчет IP4 - как-то странно - ибо в поддержке IP4 есть. Может не хватает описания маршрутизации или налицо конфликт сетей?


Чукча не читатель! Чукча - писатель!


#5 N1ke

N1ke

    Member

  • Posters
  • 374 Сообщений:

Отправлено 03 Июнь 2013 - 16:06

Там псевдоинтерфейс поднимается, на нем кроме ipv6 ничего нету бай дизайн, поэтому во внутреннюю сеть - только ипв6 с 64nat. Днс работает, сама ось пересылает запросы на определенные домены к корретному днс серверу.



#6 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 327 Сообщений:

Отправлено 03 Июнь 2013 - 16:18

>> Если руками вписать как адрес сервера - [fd09:19e6:ef58:7777::c0a8:a609], то агент подключается к серверу и нормально работает.

>> Если-же вообще всем клиентам скормить этот ipv6 адрес, на XP начинается циклический реконнект клиентов, поэтому хотелось бы, чтобы всё работало через днс

>> Нет, т.к. при указании ipv6 адреса агенты на winxp сходят с ума с периодическими крашами.

 

Безотносительно DirectAccess-а, не могли бы вы отрывочек лога агента с уровнем "Отладка" приложить, для этого случая? Любопытно взглянуть, как именно его плющит.


(exit 0)

#7 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 327 Сообщений:

Отправлено 03 Июнь 2013 - 16:31

>> Связь при этом есть и всё хорошо. Единственное, настройка днс резолвера при этом работает как-то хитро, и тот-же топорный nslookup при попытке зарезолвить serv.local не получает ничего. Т.е. работает всё, что использует резолвер имён оси.

 

ДНС сервер содержит записи об IPv6 адресах?


(exit 0)

#8 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 327 Сообщений:

Отправлено 03 Июнь 2013 - 16:40

Если у вас Microsoft Forefront Unified Access Gateway

можно попробовать прикрутить/настроить там DNS64

http://technet.microsoft.com/en-us/library/ee406236.aspx

http://technet.microsoft.com/en-us/library/ee809079.aspx


(exit 0)

#9 N1ke

N1ke

    Member

  • Posters
  • 374 Сообщений:

Отправлено 03 Июнь 2013 - 17:52

Безотносительно DirectAccess-а, не могли бы вы отрывочек лога агента с уровнем "Отладка" приложить, для этого случая? Любопытно взглянуть, как именно его плющит.
внешне проявляется так-же, как где-то год назад при прописывании в качестве сервера имени, которое в данный момент не резолвится. Лог попробую добыть завтра.

 

Не UAG, используется 2012 сервер, там встроенный функционал, в том числе DNS64 и 64nat, это всё работает, но агент не подключается. Т.е. по адресу ipv6 он успешно подключается. Потом я делаю ping somename.somedomain и вижу, что вот прямо сейчас оно с компьютера резолвится в тот-же адрес. Прописываю в качестве адреса сервера этот somename.somedomain и агент жалуется, что ему никто не отвечает. Там кстати ответ другого типа приходит, не А, а АААА, может в этом проблема со стороны агента?



#10 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 327 Сообщений:

Отправлено 04 Июнь 2013 - 10:26

Если говорить именно за агента, то он не использует свой резольвер, использует системный. Что система отдает, то и используется, вначале DNS, затем hosts. Боюсь, что тут именно XP тяжело работает с IPv6, старовата она для новых фокусов. Но это требует разбирательства. Попробую смоделировать, но скорых результатов обещать не могу :)

 

Тем, не менее, ждем лог агента и уточняющий вопрос - агента на Windows 7 обнаруживает ровно такое же поведение, как и на XP?


(exit 0)

#11 DoC

DoC

    Добрый Э-э-х

  • Posters
  • 1 474 Сообщений:

Отправлено 04 Июнь 2013 - 12:40

Если говорить именно за агента, то он не использует свой резольвер, использует системный. Что система отдает, то и используется, вначале DNS, затем hosts. Боюсь, что тут именно XP тяжело работает с IPv6, старовата она для новых фокусов. Но это требует разбирательства. Попробую смоделировать, но скорых результатов обещать не могу :)

 

Тем, не менее, ждем лог агента и уточняющий вопрос - агента на Windows 7 обнаруживает ровно такое же поведение, как и на XP?

А почему хостс идет ПОСЛЕ днс??? Ведь должно быть наоборот!


Чукча не читатель! Чукча - писатель!


#12 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 327 Сообщений:

Отправлено 04 Июнь 2013 - 12:47

А почему хостс идет ПОСЛЕ днс??? Ведь должно быть наоборот!

 

Вы поймали меня за хвост! :)


(exit 0)

#13 N1ke

N1ke

    Member

  • Posters
  • 374 Сообщений:

Отправлено 04 Июнь 2013 - 12:57

На самом деле даже на WinXP не всегда проверяется, с первого раза добиться не удалось, после перезагрузки машины появилось и уже не отпускало :)

 

В общем в итоге добился постоянного переподключения к серверу с падением службы агента. При переподключениях в лог стал писать ошибку 

 

20130604.134454.05 ERR [ 292 d3c] mth:28 [CFG] "Server" parameter value is incorrect. Refuse to save

 

Параметры подключения на скрине, плюс сделал дамп памяти во время останова службы. Для этого пришлось убить драйвер самозащиты, иначе он при каждом переподключении к серверу оживал, так что на его отсутствие можно не обращать внимание, с ним всё 1 в 1.

 

Сейчас попробую воспроизвести на семерке.

Прикрепленные файлы:



#14 N1ke

N1ke

    Member

  • Posters
  • 374 Сообщений:

Отправлено 04 Июнь 2013 - 13:04

Только сейчас заметил задублированный адрес сервера... Это естественно не верно, но без дубля всё один в один, могу лог без него приложить. Предыдущий лог заканчивается на прерывании работы службы.



#15 DoC

DoC

    Добрый Э-э-х

  • Posters
  • 1 474 Сообщений:

Отправлено 04 Июнь 2013 - 13:07

ИМХО - может имеет смысл режим шифрования выставить в "возможно"? ну и тайминги немного увелиличить, на несколько секунд


Чукча не читатель! Чукча - писатель!


#16 N1ke

N1ke

    Member

  • Posters
  • 374 Сообщений:

Отправлено 04 Июнь 2013 - 13:12

На сервере стоит в возможно, для максимальной совместимости. Если на агентах поставлю возможно - оно включится, а это мне в данный момент не нужно. Там не в таймаутах проблема похоже. Просто агент получает настройки сервера, пытается их применить и в этот момент отрубается. Применить у его не получается и всё повторяется при подключении к серверу. А вот почему служба падает - вопрос :)


Сообщение было изменено N1ke: 04 Июнь 2013 - 13:12


#17 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 327 Сообщений:

Отправлено 04 Июнь 2013 - 13:31

Ага, а настройте-ка, порт для IPv6 протокола не 2193, а, к примеру, 2194.

На сервере и на агенте, соотв.


Сообщение было изменено Kirill Polubelov: 04 Июнь 2013 - 13:31

(exit 0)

#18 N1ke

N1ke

    Member

  • Posters
  • 374 Сообщений:

Отправлено 04 Июнь 2013 - 15:17

Ничего не поменялось. 

 

20130604.161437.57 ERR [ 1456 fb8] mth:9 [CFG] "Server" parameter value is incorrect. Refuse to save



#19 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 327 Сообщений:

Отправлено 04 Июнь 2013 - 15:55

А можно у агента, ненадолго, выставить уровень логгирования в "Отладка" и воспроизвести? Потом уровень можно вернуть к прежнему. А тов приаттаченном мало инфы.


(exit 0)

#20 N1ke

N1ke

    Member

  • Posters
  • 374 Сообщений:

Отправлено 04 Июнь 2013 - 17:16

прицепил

Прикрепленные файлы:

  • Прикрепленный файл  drwagntd.7z   42,09К   2 Скачано раз

Сообщение было изменено N1ke: 04 Июнь 2013 - 17:16



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых