Здравствуйте!
Столкнулся с проблемой подключения к серверу 1С, расположенному в основной сети (подсеть 192.168.1.0/24, IP сервера 1С: 192.168.1.99), с компьютера, находящегося в отдельном VLAN (подсеть 192.168.10.0/24). Управляю сетью с помощью MikroTik.
На уровне IP связь между сетями есть: с компьютера в VLAN 10 успешно пингуется сервер 1С (192.168.1.99) и шлюз основной сети (192.168.1.1).
Предпринятые действия:
Firewall MikroTik:
Изначально была блокировка всего трафика из подсети VLAN 10 в основную.
Добавлено разрешающее правило в forward для трафика с моего рабочего IP (192.168.1.252) в основную сеть, которое работало.
Добавлены разрешающие правила в forward для TCP портов, используемых 1С (1540, 1541, диапазон 1560-1591) в обоих направлениях между подсетью VLAN 10 и IP-адресом сервера 1С (192.168.1.99).
Проверял порядок правил, разрешающие правила находятся выше блокирующих (сейчас правило блокировки вообще отключено для тестов).
Firewall сервера 1С (Windows Firewall):
Проверены правила для входящих подключений на TCP порты 1540, 1541, 1560-1591. Разрешены подключения с любых IP-адресов (для тестов) и с подсети 192.168.10.0/24.
Временно отключал Firewall Windows на сервере 1С полностью для диагностики - проблема оставалась.
DNS:
MikroTik настроен как DNS-сервер для VLAN 10, с пересылкой запросов на основной DNS-сервер (192.168.1.1).
Проверена доступность основного DNS-сервера с MikroTik (пинг проходит).
Команда /resolve srv1 на MikroTik возвращает "failure: dns name does not exist".
В настройках подключения клиента 1С пробовал указывать как имя сервера (srv1), так и IP-адрес (192.168.1.99) с указанием порта менеджера кластера (1541).
Тестирование подключения:
С компьютера в VLAN 10 успешно проходит ping 192.168.1.99.
С компьютера в VLAN 10 успешно устанавливается telnet 192.168.1.99 1541.
Текущая ситуация:
Несмотря на то, что сетевая связь на уровне IP и TCP (через telnet на порт 1541) работает, подключиться к 1С из клиента в VLAN 10 не удается. При возвращении компьютера в основную сеть (подключение к той же подсети, что и сервер 1С) подключение к 1С работает без проблем.
Вопросы:
Что еще может блокировать подключение к 1С именно из VLAN, если основные порты открыты и связь на уровне TCP есть?
Могут ли быть какие-то особенности протокола 1С, которые требуют дополнительных настроек?
Есть ли какие-то специфические настройки на MikroTik, которые могут влиять на работу приложений, даже если базовый TCP-трафик проходит?
Какие еще инструменты диагностики я могу использовать для выявления проблемы?
Буду очень благодарен за любую помощь и идеи!
А если прописать на клиенте статически соответствие srv1 и 192.168.1.99 в (LM)HOSTS ?
А на сервере 1С (именно в 1С) нет никаких ограничений?
А обратный пинг - с сервера на клиентскую станцию,- тоже без проблем? на сервере есть маршрут в 192.168.10.0/24?
Микротик именно маршрутизирует, без NAT?
Вообще мне как-то сомнительно, что проблема именно в Микротике... и не понимаю, почему не отрабатывает разрешение имени сервера в адрес, попробуйте, выполняется ли разрешение полного имени.
В настройках подключения клиента 1С пробовал указывать как имя сервера (srv1), так и IP-адрес (192.168.1.99) с указанием порта менеджера кластера (1541).
Тестирование подключения:
С компьютера в VLAN 10 успешно проходит ping 192.168.1.99.
С компьютера в VLAN 10 успешно устанавливается telnet 192.168.1.99 1541.
Важны настройки самого кластера 1С. Если там указан не адрес "192.168.1.99", а имя "srv1", то именно его и нужно пинговать. Это особенность работы кластера. по адресу в 1С клиенте вы стучитесь на службу агента, который смотрит настройки своего кластера и сообщает вам адрес менеджера, чтобы уже он сообщил адрес свободного rphost. Если хоть какой-то из адресов будет недоступен, то соединение не установится.
Пропишите имя и адрес в файл hosts. Вам это в первом же комментарии предложили. Конечно, правильнее было бы заставить нормально работать DNS, но поиск косяков в DNS может затянуться, а прописать в hosts - полминуты.
Простой
Простой
