Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Firebird, InterBase Новый топик    Ответить
 приложения-клиенты не могут подключиться к серверу FB в другой подсети  [new]
panstd
Member

Откуда:
Сообщений: 8
Имеется подсеть, например, 120.20.150.* в которой был сервер с FB 1.5 (физический Win Serv 2003) и все клиенты без проблем подключались. Сервер FB 1.5 перенесли на 120.15.75.* (виртуальный Win Serv 2012), теперь к нему невозможно подключиться , типа connection not established... Пингуется этот сервер отлично с клиентских ПК. На порт 3050 в фаерволе добавлено исключение для всех программ. Я не силен в сетях и портах, поэтому прошу помочь - как определить, кто блокирует соединение? Сервер, или по пути на железном уровне (фаерволы в коммутаторах)? Можно ли определить на сервере, был ли запрос на порт 3050? Завтра попрошу коллег подключится в их подсети 120.15.75.*

п.с. Сеть корпоративная, новые веяния, сервер перенесен по требованию безопасников ... Все манипуляции также проводил с IBExpert, в тулзе проверки соединения работает только пинг. 21 порт, ftp - тоже самое, нет коннекта.
4 окт 17, 21:10    [20843617]     Ответить | Цитировать Сообщить модератору
 Re: приложения-клиенты не могут подключиться к серверу FB в другой подсети  [new]
YuRock
Member

Откуда: Донецк
Сообщений: 2477
panstd
работает только пинг. 21 порт, ftp - тоже самое, нет коннекта.
После этого стало очевидно, что надо идти на форум Firebird.
4 окт 17, 21:13    [20843622]     Ответить | Цитировать Сообщить модератору
 Re: приложения-клиенты не могут подключиться к серверу FB в другой подсети  [new]
panstd
Member

Откуда:
Сообщений: 8
YuRock
panstd
работает только пинг. 21 порт, ftp - тоже самое, нет коннекта.
После этого стало очевидно, что надо идти на форум Firebird.

я же сказал, по сетям я ноль, мне нужна помощь в поиске пробки, а не сарказм
4 окт 17, 21:19    [20843638]     Ответить | Цитировать Сообщить модератору
 Re: приложения-клиенты не могут подключиться к серверу FB в другой подсети  [new]
чччД
Guest
panstd
...Сервер FB 1.5 перенесли на 120.15.75.* (виртуальный Win Serv 2012), теперь к нему невозможно подключиться...

А параметры коннекта на клиентах - поменял?

panstd
...Все манипуляции также проводил с IBExpert, в тулзе проверки соединения работает только пинг. 21 порт, ftp - тоже самое, нет коннекта...

Бессмысленная фраза. Раздели ее на несколько осмысленных.
4 окт 17, 21:19    [20843640]     Ответить | Цитировать Сообщить модератору
 Re: приложения-клиенты не могут подключиться к серверу FB в другой подсети  [new]
panstd
Member

Откуда:
Сообщений: 8
чччД
panstd
...Сервер FB 1.5 перенесли на 120.15.75.* (виртуальный Win Serv 2012), теперь к нему невозможно подключиться...

А параметры коннекта на клиентах - поменял?

panstd
...Все манипуляции также проводил с IBExpert, в тулзе проверки соединения работает только пинг. 21 порт, ftp - тоже самое, нет коннекта...

Бессмысленная фраза. Раздели ее на несколько осмысленных.


Параметры поменял (имя сервера)
Сейчас не могу точно описать (дома с андроида), в IBExpert есть инструмент "проверить подключение", там указываешь имя сервера и вариант подключения (ping, ftp, port 3050...) - ping проходит, все остальное failed
4 окт 17, 21:25    [20843651]     Ответить | Цитировать Сообщить модератору
 Re: приложения-клиенты не могут подключиться к серверу FB в другой подсети  [new]
чччД
Guest
panstd
...в IBExpert есть инструмент "проверить подключение", там указываешь имя сервера и вариант подключения (ping, ftp, port 3050...) - ping проходит, все остальное failed

Сие - бред.

PS: Завтра приходи.
4 окт 17, 21:32    [20843679]     Ответить | Цитировать Сообщить модератору
 Re: приложения-клиенты не могут подключиться к серверу FB в другой подсети  [new]
Ivan_Pisarevsky
Member

Откуда: НН
Сообщений: 7827
Зови сисадмина.

А начни с самого сервера netstat показывает открытый порт 3050?
isql на самом сервере может к локалхосту подключиться?
а по айпи адресу?
4 окт 17, 21:34    [20843686]     Ответить | Цитировать Сообщить модератору
 Re: приложения-клиенты не могут подключиться к серверу FB в другой подсети  [new]
Dimitry Sibiryakov
Member

Откуда:
Сообщений: 43948

panstd
я же сказал, по сетям я ноль, мне нужна помощь в поиске пробки

Ну так иди последовательно по цепочке маршрутизаторов и ищи где пакеты перестают
проходить. Или ты всерьёз рассчитываешь на какое-нибудь магической заклинание?..

Posted via ActualForum NNTP Server 1.5

4 окт 17, 21:37    [20843696]     Ответить | Цитировать Сообщить модератору
 Re: приложения-клиенты не могут подключиться к серверу FB в другой подсети  [new]
panstd
Member

Откуда:
Сообщений: 8
Ivan_Pisarevsky
Зови сисадмина.

А начни с самого сервера netstat показывает открытый порт 3050?
isql на самом сервере может к локалхосту подключиться?
а по айпи адресу?

на локалхосте на сервере все работает (служба сервера firebir работает)
завтра запущу netstat
4 окт 17, 21:46    [20843711]     Ответить | Цитировать Сообщить модератору
 Re: приложения-клиенты не могут подключиться к серверу FB в другой подсети  [new]
panstd
Member

Откуда:
Сообщений: 8
Dimitry Sibiryakov
panstd
я же сказал, по сетям я ноль, мне нужна помощь в поиске пробки

Ну так иди последовательно по цепочке маршрутизаторов и ищи где пакеты перестают
проходить. Или ты всерьёз рассчитываешь на какое-нибудь магической заклинание?..

Вот и вопрос в этом - как это выполнить? ipconfig, netstat, telnet... ткните на другую ветку, где это есть
4 окт 17, 21:49    [20843720]     Ответить | Цитировать Сообщить модератору
 Re: приложения-клиенты не могут подключиться к серверу FB в другой подсети  [new]
panstd
Member

Откуда:
Сообщений: 8
Сие - бред.

PS: Завтра приходи.

Непременно
4 окт 17, 21:53    [20843738]     Ответить | Цитировать Сообщить модератору
 Re: приложения-клиенты не могут подключиться к серверу FB в другой подсети  [new]
Dimitry Sibiryakov
Member

Откуда:
Сообщений: 43948

panstd
Вот и вопрос в этом - как это выполнить?

Берёшь хорошо выдрессированный ноут и втыкаешься прямо в подсеть с сервером. Есть коннект
- хорошо, идешь в следующую от него подсеть и повторяешь процедуру. Нет коннекта - плохо,
начинаешь дрессировать сервер.

Posted via ActualForum NNTP Server 1.5

4 окт 17, 22:05    [20843780]     Ответить | Цитировать Сообщить модератору
 Re: приложения-клиенты не могут подключиться к серверу FB в другой подсети  [new]
o_v_a
Member

Откуда: Тула
Сообщений: 910
Без сисадмина ни сделаешь ничего.
Раз обе подсети в одной организации, то зови сисадмина и говори ему примерно следующее: "Вот с этого компа с IP таким-то" - и далее всех клиентов надо упомянуть, где они могут быть - "не получается выполнить коннект к Firebird SQL на компе с IP таким-то по протоколу TCP порт 3050".
А если еще и события используешь, то надо обозначить ещё и порт, который явно надо в конфиге firebird.conf прописать в параметре RemoteAUXPort.
Пусть настраивает файрвол на сервере или промежуточном маршрутизаторе каком-то, чтоб разрешить прохождение трафика по TCP/3050 и TCP/[RemoteAUXPort] между сетями.
5 окт 17, 08:55    [20844167]     Ответить | Цитировать Сообщить модератору
 Re: приложения-клиенты не могут подключиться к серверу FB в другой подсети  [new]
rdb_dev
Member

Откуда: с болот
Сообщений: 1615
panstd
Пингуется этот сервер отлично с клиентских ПК.
Это свидетельствует только о том, что маршрутизация между подсетями настроена и работает нормально - маршруты на шлюзе прописаны корректно.

panstd
На порт 3050 в фаерволе добавлено исключение для всех программ.
Где? На сервере? А в брандмауэр шлюза кто будет добавлять правило, разрешающее прохождения SYN пакета на порт 3050 сервера из сети 120.20.150.0/24 ???

panstd
Я не силен в сетях и портах, поэтому прошу помочь - как определить, кто блокирует соединение?
Скорее всего, соединение блокирует шлюз между сетями (он же и брандмауэр DMZ).

panstd
п.с. Сеть корпоративная, новые веяния, сервер перенесен по требованию безопасников ...
Эти "новые веяния" пришли как только в ITIL появилось определение словосочетания "demilitarized zone", иными словами - при царе Горохе. DMZ для серверов - вполне себе бонтон.

panstd
Сейчас не могу точно описать (дома с андроида), в IBExpert есть инструмент "проверить подключение", там указываешь имя сервера и вариант подключения (ping, ftp, port 3050...) - ping проходит, все остальное failed
Дык чоб пингу не проходить? Какое отношение имеет ICMP протокол к TCP соединению? Если "безопасники" решили заморочиться с DMZ, значит в компании есть специально обученный сотрудник, который и конфигурил шлюз. Пиши в СБ служебную записку с требованием прописать необходимые правила брандмауэра для организации подключений из сети 120.20.150.0/24 на порт 3050 IP адреса твоего сервера Firebird.
5 окт 17, 09:44    [20844259]     Ответить | Цитировать Сообщить модератору
 Re: приложения-клиенты не могут подключиться к серверу FB в другой подсети  [new]
Ivan_Pisarevsky
Member

Откуда: НН
Сообщений: 7827
А потом автор придет с риторическим: а почему мой новехонький виртуальный сервер тупит до невообразимости, хотя старый железный был вполне себе ничего. Может и хрен с ним, что к нему никак не подключиться?

Да, сисадмина таки придется позвать.
5 окт 17, 10:34    [20844436]     Ответить | Цитировать Сообщить модератору
 Re: приложения-клиенты не могут подключиться к серверу FB в другой подсети  [new]
Ivan_Pisarevsky
Member

Откуда: НН
Сообщений: 7827
rdb_dev
правило, разрешающее прохождения SYN пакета на порт 3050 сервера
а может и не только СИН... степень параноидальности безопасников заранее не известна.
5 окт 17, 10:36    [20844446]     Ответить | Цитировать Сообщить модератору
 Re: приложения-клиенты не могут подключиться к серверу FB в другой подсети  [new]
rdb_dev
Member

Откуда: с болот
Сообщений: 1615
Ivan_Pisarevsky
rdb_dev
правило, разрешающее прохождения SYN пакета на порт 3050 сервера
а может и не только СИН... степень параноидальности безопасников заранее не известна.
Если брандмауэр настроен правильно, то правило типа "allow tcp from any to any established" должно быть прописано одним из первых, после таких как "deny all from any to 127.0.0.0/24 via eth0,eth1", в таком случае, достаточно прописать только правила для прохождения запроса на подключение.
5 окт 17, 10:45    [20844479]     Ответить | Цитировать Сообщить модератору
 Re: приложения-клиенты не могут подключиться к серверу FB в другой подсети  [new]
Ivan_Pisarevsky
Member

Откуда: НН
Сообщений: 7827
rdb_dev
Если брандмауэр настроен правильно, то правило типа "allow tcp from any to any established" должно быть прописано одним из первых, после таких как "deny all from any to 127.0.0.0/24 via eth0,eth1", в таком случае, достаточно прописать только правила для прохождения запроса на подключение.
Да. Хотя я обычно ставлю правило первым, ну еще и релайтед трафик туда же.

Но, встречал как-то бюллетень, где одна из ОСей сходила с ума от получения спецпакета со сброшенным син флагом, хотя должна была тупо оный пакет отбросить, т. к. пакет не относился к установленным соединениям. Учитывая, что в "энтерпрайзе" некоторые ОСи не обновляют десятилетиями... Короче параноики разные бывают. :)
5 окт 17, 11:47    [20844791]     Ответить | Цитировать Сообщить модератору
Все форумы / Firebird, InterBase Ответить