Содержание
Ты помнишь, как все начиналось?
Защищенная сеть партнера построена на базе решения ViPNet от отечественного производителя — компании Инфотекс. До недавнего времени использовались индивидуальные клиенты ViPNet client с именными ключами. Однако сотрудников у нас много, а ключей — всего десять, больше партнер не дает. Как-то справлялись, но было жутко неудобно, поэтому решили ставить выделенный шлюз. После переговоров с менеджером Инфотекса и специалистами партнера остановились на ПАК ViPNet Coordinator HW1000 на базе сервера Aquarius. Импортозамещение же Внутри этого ПАК — обычный debian-based линукс с собственным шеллом (можно выйти в bash) и установленным софтом ViPNet Coordinator (тестовую версию можно скачать в виде пакета). Т.к. рынок таких решений крайне небольшой, то стандартизацией там и не пахнет. Ты должен купить железку у того же производителя, что и твой партнер, иначе ничего не получится. Отсюда и уровень сервиса — никаких тебе NBD (хотя стоимость поддержки далеко не копеечная), хотя саппорт отвечает довольно оперативно, стоит отметить, чего, порой, не скажешь о менеджерах. Первым «открытием» после получения оборудования было то, что управляющий софт требует для своей работы 16-bit MS-DOS подсистему (!). Учитывая, что программ две («Центр Управления Сетью» и «Удостоверяющий и Ключевой Центр»), используют они общие папки (хотя в документации описано их разнесение на разные АРМ), то наименее геморройным вариантом стала установка виртуалки с Win2003 x32. 2015й год говорите? x86-64? Не, не слышали. Версия софта, поддерживающего 64-битные ОС, в настоящий момент проходит сертификацию органами — был ответ саппорта. Инструкция пользователя подробна и многостранична, а описание готовых схем занимает едва ли полтора десятка страниц и наполовину состоит из рисунков. Если бы не помощь коллег, которые уже запускали подобные ПАК (Саша, спасибо!), то процесс только настройки и освоения документации затянулся бы, думаю, на месяц-другой. Сам же Инфотекс настоятельно рекомендует пройти пятидневные курсы (разумеется, платные, но относительно дешевые), либо воспользоваться услугами интегратора. Но мы ведь не ищем легких путей, правда? 🙂 К слову, краткую инструкцию саппорт мне, все же, прислал.
Поехали!
Начинается все с установки ПО администратора: Центр Управления Сетью (ЦУС), Удостоверяющий и Ключевой Центр (УКЦ) и ViPNet Client, которым мы будем проверять наш канал. Для работы потребуется лицензия (идет вместе с ПАК). Клиент пока не запускаем, нам для него еще ключи надо сделать. Файлик лицензии копируем в C:Program filesInfoTecs{NCC,KC}. Ребутаемся.Запускаем ЦУС.Интерфейс ЦУС Принимаем настройки по умолчанию. Открываем Службы -> адресная администрация -> Структура сети ViPNet. Создаем сервер-маршрутизатор (СМ). В подавляющем большинстве случаев он понадобится один, даже если у вас кластерная конфигурация. В СМ создаем Абонентский Пункт (АП) admin.Структура сети ViPNet Проверяем командой «Выдать таблицы маршрутизации«. Далее все в том же меню «Службы«:Групповая регистрация узлов в задачах -> Coordinator -> добавляем наши СМ.Индивидуальная регистрация в задачах -> admin -> добавляем галки ЦУС + УКЦ.Регистрация типов коллективов — admin -> связи -> добавляем СМ.Регистрация пользователей -> Добавляем еще одного пользователя в ТК admin и vpn1000Групповая регистрация узлов в задачах -> Coordinator -> регистрация в задаче hw1000 -> выбираем нужный СМ -> ip адреса -> вводим IP-адреса. (См. в документации «ViPNet NCC» пп. 13.4.2.1 и 13.5). Здесь нужно указать внутренний и внешний адрес нашего координатора и туннелируемые сети.Теперь проверяем:Проверка конфигурацииСформировать все справочникиС ЦУС пока закончили, запускаем наш УКЦВнешний вид УКЦ Первичная настройка происходит с помощью незамысловатого мастера. Описывать каждую кнопку не буду, пробегусь кратко. Пользователь которого назначаем админом сети — admin, параметры по умолчанию не меняем. Отмечаем галкой «создать ассиметричный мастер ключ» Задать пароль администратора для группы «Вся сеть» (в эту группу по умолчанию входят все сетевые узлы), который используется для входа в режим администратора на Сетевых Узлах (наших координаторах). Созданные дистрибутивы будут отображены в УКЦ в разделе Ключевой центр > Своя сеть ViPNet > Ключи > Дистрибутивы ключей. После этого перезапускаем УКЦ — он спросит пароль. Вводим тот самый пароль администратора, который только что сгенерировали. Маленькая ремарка: если при первой установке какой-то из паролей вы вдруг забыли, то проще всего будет перенастроить все заново (удалить ЦУС и УКЦ, удалить папку InfoTecs) — со второго-третьего раза настройка занимает минут пятнадцать и идет почти на автомат). Формируем экспорт для сети нашего партнера. В ЦУС: Службы -> Экспорт. Т.к. у нас пока ничего нет, добавляем сеть для экспорта (это доверенная сеть вашего партнера). Добавляем туда все наши СУ и все ТК. Жмем Копировать. Полученные файлики нужно будет забрать в папке NCCEXPORT, запихнуть в зашифрованный архив и передать администратору сети-партнера. Принимаем импорт. Копируем содержимое архива в папку IMPORT, перезпускаем ЦУС. Службы -> необработанный импорт.Возвращаемся в УКЦ Принимаем симметричный мастер-ключ (см. мануал по УКЦ) либо создаем свой — тут как договоритесь с партнером Создаем ключи узлов (см. мануал по УКЦ)Своя сеть -> Ключи -> Ключи узлов. На каждом узле ПКМ -> перенести в ЦУСЦУС Сформировать все справочники, затем делаем повторный экспорт и отсылаем партнеру. Принимаем импорт.Готовим дистрибутивы ключейУКЦ -> КЦ -> СУ -> Открыть. Задаем пароль администратора.ЦУС -> Службы -> Файлы для… УКЦ -> Дистрибутивов… (копируем оба СУ: VPN1000 и admin)УКЦ -> Сервис -> Автоматически создать -> Дистрибутивы ключей Переносим дистрибутивы (файлы *.dst) на съемный носитель (с помощью команды Перенести в папку в контекстном меню). Копируем на этот же носитель пароли пользователей (меню Сервис > Сохранить пароли в файле > Пароли пользователей).Импортируем сертификатыУКЦ -> УЦ -> Доверенные сети -> Входящие. Импортируем все сертификатыНаконец, добираемся, собственно, до железа Импортируем ключи и справочники на HW. С помощью мастера настраиваем сетевые интерфейсы. Это можно будет сделать позже из консоли. Пароль по умолчанию для входа vipnet/vipnet После установки ключей логин: vipnet, пароль: пароль от дистрибутива с ключами СМ, enable: пароль администратора СУ (тот что для УКЦ). В ЦУС добавляем связи между импортированным ТК и своими. Снова делаем у себя экспорт и принимаем импорт. Импорт-экспорт повторяем, пока с обеих сторон не прекратятся аномалии. После каждого импорта делаем «Сформировать все справочники», Управление -> Отправить измененные файлы -> Справочники узлов -> выбираем наши СУ (admin, vpn1000) и отправляем. В ViPNet-клиенте при этом должно появиться сообщение об обновлении адресных справочников и появиться координатор, с которым мы связываемся.ЦУС -> Управление -> Отправить измененные файлы -> Ключи узлов. Отправляем ключи на координатор и клиент.Краткая инструкция для лентяев
Поехали!
Начинается все с установки ПО администратора: Центр Управления Сетью (ЦУС), Удостоверяющий и Ключевой Центр (УКЦ) и ViPNet Client, которым мы будем проверять наш канал. Для работы потребуется лицензия (идет вместе с ПАК). Клиент пока не запускаем, нам для него еще ключи надо сделать. Файлик лицензии копируем в C:Program filesInfoTecs{NCC,KC}. Ребутаемся.Запускаем ЦУС.Интерфейс ЦУС Принимаем настройки по умолчанию. Открываем Службы -> адресная администрация -> Структура сети ViPNet. Создаем сервер-маршрутизатор (СМ). В подавляющем большинстве случаев он понадобится один, даже если у вас кластерная конфигурация. В СМ создаем Абонентский Пункт (АП) admin.Структура сети ViPNet Проверяем командой «Выдать таблицы маршрутизации«. Далее все в том же меню «Службы«:Групповая регистрация узлов в задачах -> Coordinator -> добавляем наши СМ.Индивидуальная регистрация в задачах -> admin -> добавляем галки ЦУС + УКЦ.Регистрация типов коллективов — admin -> связи -> добавляем СМ.Регистрация пользователей -> Добавляем еще одного пользователя в ТК admin и vpn1000Групповая регистрация узлов в задачах -> Coordinator -> регистрация в задаче hw1000 -> выбираем нужный СМ -> ip адреса -> вводим IP-адреса. (См. в документации «ViPNet NCC» пп. 13.4.2.1 и 13.5). Здесь нужно указать внутренний и внешний адрес нашего координатора и туннелируемые сети.Теперь проверяем:Проверка конфигурацииСформировать все справочникиС ЦУС пока закончили, запускаем наш УКЦВнешний вид УКЦ Первичная настройка происходит с помощью незамысловатого мастера. Описывать каждую кнопку не буду, пробегусь кратко. Пользователь которого назначаем админом сети — admin, параметры по умолчанию не меняем. Отмечаем галкой «создать ассиметричный мастер ключ» Задать пароль администратора для группы «Вся сеть» (в эту группу по умолчанию входят все сетевые узлы), который используется для входа в режим администратора на Сетевых Узлах (наших координаторах). Созданные дистрибутивы будут отображены в УКЦ в разделе Ключевой центр > Своя сеть ViPNet > Ключи > Дистрибутивы ключей. После этого перезапускаем УКЦ — он спросит пароль. Вводим тот самый пароль администратора, который только что сгенерировали. Маленькая ремарка: если при первой установке какой-то из паролей вы вдруг забыли, то проще всего будет перенастроить все заново (удалить ЦУС и УКЦ, удалить папку InfoTecs) — со второго-третьего раза настройка занимает минут пятнадцать и идет почти на автомат). Формируем экспорт для сети нашего партнера. В ЦУС: Службы -> Экспорт. Т.к. у нас пока ничего нет, добавляем сеть для экспорта (это доверенная сеть вашего партнера). Добавляем туда все наши СУ и все ТК. Жмем Копировать. Полученные файлики нужно будет забрать в папке NCCEXPORT, запихнуть в зашифрованный архив и передать администратору сети-партнера. Принимаем импорт. Копируем содержимое архива в папку IMPORT, перезпускаем ЦУС. Службы -> необработанный импорт.Возвращаемся в УКЦ Принимаем симметричный мастер-ключ (см. мануал по УКЦ) либо создаем свой — тут как договоритесь с партнером Создаем ключи узлов (см. мануал по УКЦ)Своя сеть -> Ключи -> Ключи узлов. На каждом узле ПКМ -> перенести в ЦУСЦУС Сформировать все справочники, затем делаем повторный экспорт и отсылаем партнеру. Принимаем импорт.Готовим дистрибутивы ключейУКЦ -> КЦ -> СУ -> Открыть. Задаем пароль администратора.ЦУС -> Службы -> Файлы для… УКЦ -> Дистрибутивов… (копируем оба СУ: VPN1000 и admin)УКЦ -> Сервис -> Автоматически создать -> Дистрибутивы ключей Переносим дистрибутивы (файлы *.dst) на съемный носитель (с помощью команды Перенести в папку в контекстном меню). Копируем на этот же носитель пароли пользователей (меню Сервис > Сохранить пароли в файле > Пароли пользователей).Импортируем сертификатыУКЦ -> УЦ -> Доверенные сети -> Входящие. Импортируем все сертификатыНаконец, добираемся, собственно, до железа Импортируем ключи и справочники на HW. С помощью мастера настраиваем сетевые интерфейсы. Это можно будет сделать позже из консоли. Пароль по умолчанию для входа vipnet/vipnet После установки ключей логин: vipnet, пароль: пароль от дистрибутива с ключами СМ, enable: пароль администратора СУ (тот что для УКЦ). В ЦУС добавляем связи между импортированным ТК и своими. Снова делаем у себя экспорт и принимаем импорт. Импорт-экспорт повторяем, пока с обеих сторон не прекратятся аномалии. После каждого импорта делаем «Сформировать все справочники», Управление -> Отправить измененные файлы -> Справочники узлов -> выбираем наши СУ (admin, vpn1000) и отправляем. В ViPNet-клиенте при этом должно появиться сообщение об обновлении адресных справочников и появиться координатор, с которым мы связываемся.ЦУС -> Управление -> Отправить измененные файлы -> Ключи узлов. Отправляем ключи на координатор и клиент.Краткая инструкция для лентяев
Первый способ как перенести Vipnet Client на другой компьютер
Первый способ можно использовать если на узле нет сложных настроек, а письма, сохраненные в VipNet «Деловая почта», не важны и их не нужно хранить, или когда на узле вообще нет писем.
Как Вы поняли, этот способ подразумевает обычную установку VipNet Client на новом компьютере. Единственное, что Вам понадобится сделать, это подгрузить в программу ключевой дистрибутив (*.dst) сетевого узла, который использовался на старом ПК . Лучше всего попросить администратора сети VipNet сформировать и выдать Вам новый дистрибутив, но можно попробовать воспользоваться тем, который Вам выдали изначально, если он не устарел.
Если Вы не знаете, где Ваш дистрибутив (такое бывает), и администратор не спешит выслать Вам новый, то переходите ко второму способу.
Итак, первый способ перенести VipNet на другой компьютер:
- Отключите старый компьютер от локальной сети или полностью выключите на нём Vipnet Client. Два одинаковых узла не могут одновременно находиться в одной виртуальной сети Vipnet ;
- Установите на новом компьютере Vipnet Client;
- Установите в Vipnet Client ключевой дистрибутив узла? который использовался на старом компьютере;
- Установите требуемые настройки VipNet Client;
- Теперь, если всё работает, можно удалить Vipnet Client со старого ПК.
Бонус
Failover подразумевает, что железок у вас две, и они работают вместе, представляясь как один кластер. Работа основана на VRRP плюс синхронизация криптосессий.Настройка failover
[network] checktime = 10 timeout = 2 activeretries = 3 channelretries = 3 synctime = 5 fastdown = yes [channel] device = eth1 ident = iface-1 activeip = 192.168.1.3 passiveip = 192.168.1.1 testip = 192.168.1.4 checkonlyidle = yes [channel] device = eth2 ident = iface-2 activeip = 1.2.3.3 passiveip = 1.2.3.1 testip = 1.2.3.4 checkonlyidle = yes [sendconfig] activeip = 192.168.2.2 sendtime = 60 device = eth0 config = yes keys = yes journals = yes port = 10090 [misc] activeconfig = /etc/iplirpsw passiveconfig = /etc/iplirpsw maxjournal = 30 #days reboot = no [debug] debuglevel = 3 debuglogfile = syslog:daemon.debug [events]
### eth1 — это линк в сторону наших внутренних сетей 192.168.1.3 — это внутренний IP кластера 192.168.1.1 — это внутренний IP ноды 192.168.1.4 — это IP-адрес шлюза, через который мы видим клиентские сети eth2 — линк в сторону интернета 1.2.3.3 — это внешний IP кластера 1.2.3.1 — это внешний IP ноды 1.2.3.4 — это IP шлюза по-умолчанию eth0 — это интерконнект между нодами кластера 192.168.2.2 — это IP-адрес второй ноды кластера Обратите внимание на секцию [misc] и опцию «reboot = no». По умолчанию она установлена в yes, и если failover с первого раза не запустится, то вам придется переустанавливать ОС ПАК заново из образа. При этом в инструкции указано, что значение по умолчанию именно «no». Возможно, это уже пофиксили, но вы все равно имейте ввиду. Проверяем, что и у вас и у партнера установлен одинаковый тип шифрования:iplir set cipher-mode cfb
Еще из полезного, настройки модуля шифрования:iplir show config
После всех импортов-экспортов тут должны быть ваши сети и сети партнера, между которым нужно настроить обмен. Ну и не забудьте правильно настроить маршрутизацию, чтобы трафик на узлы партнера заворачивался в координатор.
Второй способ как перенести Vipnet Client на другой компьютер
Второй способ перенести Vipnet Client подойдет, если Вам нужно перенести все настройки программы и письма со старого компьютера на новый. Он заключается в том, чтобы скопировать файлы конфигурации на новый компьютер и поверх них установить VipNet Client.
Тут всё просто. Нужно скопировать папку «%ProgramFiles%InfoTeCSViPNet Client» в то же самое место на новом компьютере. А потом установить Vipnet Client той же, или более новой версии , в ту же самую папку.
Важно — в ту же самую папку! Если на старом компьютере VipNet был установлен в «C:Program FilesInfoTeCSViPNet Client», то и устанавливать его нужно в «C:Program FilesInfoTeCSViPNet Client». И если программа установки предлагает в качестве пути установки «C:Program Files(x86)InfoTeCSViPNet Client», то это нужно поправить ручками.
Порядок установки, в таком случае, может выглядеть следующим образом:
- На старом компьютере отключите полностью Vipnet Client;
- Скопируйте файлы и папки из директории старого компьютера «C:Program FilesInfoTeCSViPNet Client» на флешку;
- Создайте на новом компьютере папку «C:Program FilesInfoTeCSViPNet Client», скопируйте в неё файлы с флешки;
- Начните установку Vipnet Client, укажите в качестве пути для установки программы папку «C:Program FilesInfoTeCSViPNet Client».
- Перезагрузите компьютер;
- Убедитесь, что всё работает. Удалите VipNet со старого компьютера.
Используемые источники:
- https://m.habr.com/ru/company/billing/blog/260415/
- https://habr.com/post/260415/
- https://yuconsult.ru/vipnet-parol-konteinera-klyuchei-po-umolchaniyu.html