Решение задач vipnet linux. vipnet_linux решение задач. Руководство администратора
Скачать 1.91 Mb.
|
partial). При откате с версии 3.5.2 на более старую версию необходимо после установки старой версии вручную заменить в файле /etc/iplirpsw зашифрованный пароль на незашифрованный (см. « Ручное конфигурирование ViPNet Coordinator Linux » на стр. 44). Если после установки новой версии в работе ПО возникли проблемы и решено произвести откат на старую версию, следует после установки старой версии поверх новой вручную восстановить сохраненные файлы конфигурации, и только после этого производить запуск служб ViPNet. ПО ViPNet Coordinator Linux позволяет производить откат на предыдущие версии с автоматическим восстановлением конфигурации. Для этого используются так называемые rollback-конфигурации, сохраняемые инсталлятором при установке ПО. При установке в случае отсутствия предыдущих версий инсталлятор записывает на диск версию устанавливаемого ПО. При установке поверх уже установленного ПО инсталлятор считывает версию ПО, которое было установлено ранее, и сохраняет в частичную (partial) конфигурацию (см. « Программа работы с конфигурациями ViPNet » на стр. 142), записывая номер версии того ПО, которое было установлено ранее и к которому относится конфигурация. Этой конфигурации присваивается имя rollback- <год>-<месяц>-<день> . При последующих установках старой версии ПО поверх более новой инсталлятор предложит пользователю восстановить ту конфигурацию, которая относится к устанавливаемой версии, если такая конфигурация найдена (см. « Инсталляция ПО ViPNet Coordinator Linux » на стр. 40). ViPNet Coordinator Linux. Руководство администратора | 52 Таким образом, данный механизм облегчает работу пользователя по ручному сохранению и восстановлению конфигураций при откате на старые версии ПО. Например, на компьютере была установлена версия 3.0.1. Затем ее обновили на версию 3.0.3, а потом решили поставить версию 3.0.2, которая считается более стабильной, чем 3.0.3, но исправляет критические ошибки версии 3.0.1. В этом случае при установке версии 3.0.2 будет обнаружена сохраненная rollback-конфигурация от версии 3.0.1, и инсталлятор предложит ее восстановить. Данный сценарий отработает корректно, так как файлы конфигурации совместимы снизу вверх – более новые версии не считают ошибками все параметры, когда-либо использовавшиеся в старых версиях, даже если они уже не используются. В случае, если существует несколько подходящих rollback-конфигураций, то будет выбрана та, у которой дата сохранения наиболее поздняя. Примечание. Для эффективной работы с конфигурациями при откате на старые версии ПО удалять rollback-конфигурации вручную не рекомендуется. ViPNet Coordinator Linux. Руководство администратора | 53 Настройка ViPNet Coordinator Linux Общие принципы настройки 54 Настройка параметров защищенной сети 56 Настройка правил обработки открытых IP-пакетов 79 Настройка параметров сетевых интерфейсов 99 Работа с политиками безопасности 102 Настройка режимов работы через межсетевой экран 105 Настройка работы с удаленным Координатором через фиксированный альтернативный канал 112 Настройка Координатора, выполняющего функции Сервера Открытого Интернета 115 4 ViPNet Coordinator Linux. Руководство администратора | 54 Общие принципы настройки Настройка ViPNet Coordinator Linux производится путем редактирования файлов конфигурации iplir.conf , iplir.conf-<интерфейс> и firewall.conf . Перед редактированием файлов необходимо остановить управляющий демон командой iplir stop , произвести необходимые изменения и затем снова запустить управляющий демон командой iplir start . Остановка управляющего демона необходима потому, что он сам производит обновление информации в этих файлах по мере необходимости. Например, когда управляющий демон получает информацию от других Координаторов об изменениях IP-адресов Клиентов, он записывает обновленную информацию в файл iplir.conf . Поэтому перед редактированием этого файла управляющий демон должен быть остановлен. Файлы iplir.conf и iplir.conf-<интерфейс> состоят из секций, каждая из которых содержит один или несколько параметров. Каждая строка содержит либо имя секции, заключенное в квадратные скобки, либо имя одного параметра вместе со значением. В имени секции нельзя использовать пробелы, табуляции и так далее. Строка с именем секции считается началом секции. Секция заканчивается там, где начинается следующая секция, или в конце файла. Все имена секций, параметров, названия протоколов и т.п., кроме имен сетевых узлов, должны быть написаны строчными буквами. Любая строка в файле, начинающаяся с символа «#», считается комментарием пользователя и не учитывается при интерпретации файла. При обновлении файла управляющим демоном комментарии автоматически переносятся в начало секции, к которой они относятся. Любая строка в файле, начинающаяся с символа «;», считается служебным комментарием. Эти строки добавляются в некоторых случаях автоматически при старте управляющего демона или в процессе его работы и служат для информирования пользователя о некритических ошибках конфигурации, о значении фильтров по каким- либо сервисам и т.д. Пользователю не следует добавлять служебные комментарии самостоятельно, они будут потеряны после следующего старта управляющего демона. Каждая секция содержит один или несколько параметров. Имя параметра стоит первым словом в строке, за ним следует знак «=», затем пробел, затем значение параметра. Если значение состоит из нескольких частей, то они разделяются запятой, после которой следует пробел. Файл конфигурации firewall.conf состоит из секций, содержащих одно или несколько правил обработки открытых IP-пакетов. Синтаксис файла firewall.conf отличается от синтаксиса файлов iplir.conf и iplir.conf-<интерфейс> , его описание приведено в ViPNet Coordinator Linux. Руководство администратора | 55 разделе Настройка правил обработки открытых IP-пакетов (на стр. 79). Настройку правил обработки открытых IP-пакетов можно производить не только путем редактирования файла firewall.conf , но также с помощью апплета SGA (кроме правил обработки туннелируемых пакетов). Описание работы с апплетом SGA содержится в документе «Апплет мониторинга и управления ViPNet-координатором. Руководство пользователя». ViPNet Coordinator Linux. Руководство администратора | 56 Настройка параметров защищенной сети Параметры настройки защищенной сети содержатся в фале iplir.conf . Этот файл может содержать секции, описанные ниже. Секция [id] Секция [id] используется для описания адресных настроек и фильтров доступа к какому- либо защищенному сетевому узлу. Каждому узлу, с которым может связываться данный узел, соответствует своя секция [id] . Одна из секций [id] соответствует собственным настройкам (собственная секция). Секция [id] содержит следующие параметры: id – уникальный идентификатор сетевого узла. По этому параметру управляющий демон отличает одну секцию [id] от другой. Идентификатор узла является единым для всей корпоративной сети, поэтому менять этот параметр нельзя. В каждой секции [id] может быть только один параметр id name – имя данного узла. Этот параметр задается администратором сети ViPNet. Смысловой нагрузки он не несет и предназначен только для удобства настройки. Данный параметр записывается в файл конфигурации автоматически при его сохранении, редактировать его вручную не следует. В каждой секции [id] может быть только один параметр name group – имя группы, в которую входит данный узел. Имя группы задается в случае необходимости использования альтернативного канала для взаимодействия с данным узлом (см. « Настройка работы с удаленным Координатором через фиксированный альтернативный канал » на стр. 112). Все узлы, у которых присутствует параметр group и совпадает имя группы, считаются входящими в соответствующую группу. Узлы, у которых отсутствует данный параметр, считаются не входящими ни в какую группу. Именем группы может быть произвольная строка, состоящая из символов латинского алфавита, цифр и знаков дефис, подчеркивание и точка. В имени группы учитывается регистр символов. Параметр group является необязательным и может указываться в каждой секции [id] только один раз; указание нескольких таких параметров считается ошибкой. ViPNet Coordinator Linux. Руководство администратора | 57 Кроме того, запрещено использование данного параметра в секции [id] для собственного узла, а также в секциях [id] для служебных фильтров. По умолчанию параметр group отсутствует в секции [id] ip – IP-адрес данного узла. В случае присутствия в секции [id] параметра secondaryvirtual (см. ниже) со значением on , через запятую после реального адреса указывается соответствующий ему виртуальный адрес, причем первым идет реальный адрес, а за ним виртуальный. Например: ip= 192.168.201.10, 10.1.0.5 Назначение виртуальных адресов более подробно описано ниже (см. « Общие принципы назначения виртуальных адресов » на стр. 76). В каждой секции [id] может быть несколько параметров ip в тех случаях, когда описываемый узел имеет несколько сетевых интерфейсов или несколько IP-адресов на интерфейсе. Первым должен быть указан ближайший адрес, по которому есть доступ к данному узлу. При автоматическом обновлении адресов ближайший адрес помещается первым автоматически. При изменении порядка следования адресов сохраняется их привязка к виртуальным адресам (при наличии secondaryvirtual= on ), т.е. виртуальный адрес перемещается вслед за своим реальным. Если указан только реальный адрес (запятой в этом случае нет) и присутствует secondaryvirtual= on , то считается, что этому адресу еще не сопоставлен виртуальный. Внимание! Менять виртуальный адрес вручную не следует, он назначается автоматически. accessip – текущий IP-адрес доступа к данному узлу со стороны собственного узла, т.е. тот IP-адрес, который в текущий момент используется для связи с данным узлом. Может принимать значение одного из реальных IP-адресов данного узла или значение виртуального IP-адреса, в зависимости от физической топологии сети и режимов функционирования (см. « Режимы работы ПО ViPNet через межсетевой экран » на стр. 27) собственного узла и данного узла. Этот параметр носит информативный характер и служит для того, чтобы администратор в процессе работы мог узнать, по какому IP-адресу следует обращаться к данному узлу в текущий момент. Внимание! Менять параметр accessip вручную не следует, он определяется автоматически. ViPNet Coordinator Linux. Руководство администратора | 58 firewallip – для всех секций [id] , кроме собственной, данный параметр определяет внешний IP-адрес доступа к данному узлу в случае, если этот узел находится за каким-либо межсетевым экраном (см. « Режимы работы ПО ViPNet через межсетевой экран » на стр. 27). При работе с узлом, установленным за межсетевым экраном, все направленные к нему зашифрованные пакеты инкапсулируются в единый тип – UDP с адресом назначения, равным адресу, указанному в параметре firewallip , и портом назначения, равным порту, указанному в параметре port (см. ниже). Распознавание используемого типа межсетевого экрана осуществляется по совокупности дополнительных параметров ( proxyid , dynamic_timeout и т.д.) в этой же секции (см. ниже). Использование данного параметра для собственной секции [id] описано ниже (см. « Настройка режимов работы через межсетевой экран » на стр. 105). Каждая секция [id] имеет только один параметр firewallip . Если параметр установлен в значение 0.0.0.0, то считается, что данный узел не находится за межсетевым экраном. port – для всех секций [id] , кроме собственной, данный параметр определяет порт назначения, на который следует посылать пакеты для данного узла, если он работает в одном из режимов с использованием межсетевого экрана (см. « Режимы работы ПО ViPNet через межсетевой экран » на стр. 27). Каждая секция [id] имеет только один параметр port . Использование данного параметра для собственной секции [id] описано ниже (см. « Настройка режимов работы через межсетевой экран » на стр. 105). channelfirewallip – внешний IP-адрес доступа к данному узлу для альтернативного канала в случае включения работы через указанный альтернативный канал (см. « Настройка работы с удаленным Координатором через фиксированный альтернативный канал » на стр. 112). Значение этого параметра состоит из 2-х частей, разделенных запятой: имя канала и внешний IP-адрес доступа для данного канала. В качестве имени канала должен быть указан один из каналов, определенных в секции [channels] (см. « Секция [channels] » на стр. 72). Указание любых других значений считается ошибкой. Кроме того, ошибкой считается указание в одной секции [id] нескольких параметров channelfirewallip с одинаковым именем канала, а также использование данного параметра в собственной секции [id] и в секциях [id] для служебных фильтров. Данный параметр является необязательным и по умолчанию отсутствует в секциях [id] channelport – порт доступа к данному узлу для альтернативного канала в случае включения работы через указанный альтернативный канал (см. « Настройка работы с удаленным Координатором через фиксированный альтернативный канал » на стр. 112). Значение этого параметра состоит из 2-х частей, разделенных запятой: имя канала и порт доступа для данного канала. В качестве имени канала должен быть указан один из каналов, определенных в секции [channels] (см. « Секция [channels] » на стр. 72). Указание любых других значений считается ошибкой. Допускается указание данного параметра только в случае, если в этой же секции [id] указан ViPNet Coordinator Linux. Руководство администратора | 59 параметр channelfirewallip для этого же канала. Кроме того, ошибкой считается указание в одной секции [id] нескольких параметров channelport с одинаковым именем канала, а также использование данного параметра в собственной секции [id] и в секциях [id] для служебных фильтров. Данный параметр является необязательным и по умолчанию отсутствует в секциях [id] proxyid – тип используемого режима работы данного узла через межсетевой экран (см. « Режимы работы ПО ViPNet через межсетевой экран » на стр. 27). Для всех секций [id] , кроме собственной, данный параметр может принимать различные значения в зависимости от установленного режима. Использование данного параметра для собственной секции [id] описано ниже (см. « Настройка режимов работы через межсетевой экран » на стр. 105). Для удобства восприятия идентификаторы записываются в шестнадцатеричном формате как в параметре id , так и в параметре proxyid , при этом перед значением ставится префикс 0x . Каждая секция [id] имеет только один параметр proxyid В большинстве случаев значения параметров firewallip , port и proxyid определяются автоматически по информации, полученной от других узлов. Если по каким-то причинам данные параметры неизвестны, их можно задать вручную. Если для узла (кроме собственного узла) какой-либо из параметров firewallip , port и proxyid имеет нулевое значение, то он не записывается в конфигурационный файл. dynamic_timeout – период опроса (в секундах) ViPNet-координатора, выбранного в качестве межсетевого экрана для данного узла, для обеспечения пропуска входящего трафика через межсетевой экран (см. « Настройка режима „С динамической трансляцией адресов“ » на стр. 109). Данный параметр присутствует во всех секциях [id] , кроме собственной. Внимание! Менять параметр dynamic_timeout вручную не следует, он определяется автоматически. usefirewall – для всех секций [id] , кроме собственной, этот параметр отвечает за использование настроек работы через межсетевой экран с данным узлом. Он может принимать значение on или off . Если он установлен в off , то параметры firewallip , port и proxyid для этой секции игнорируются, и работа с данным узлом будет возможна только по одному из его реальных IP-адресов. Для собственного узла данный параметр определяет использование внешнего межсетевого экрана, т.е. если параметр выставлен в значение off , то внешний межсетевой экран использоваться не будет. Значение on должно использоваться для всех остальных режимов работы. Использование данного параметра для настройки режима работы собственного узла через межсетевой экран описано ниже (см. « Настройка режимов работы через межсетевой экран » на стр. 105). ViPNet Coordinator Linux. Руководство администратора | 60 fixfirewall – присутствует только в собственной секции [id] . Определяет режим фиксации настроек работы собственного узла через межсетевой экран. Может принимать значение on или off . По умолчанию значение параметра off Использование данного параметра описано ниже (см. « Настройка режимов работы через межсетевой экран » на стр. 105). virtualip – базовый виртуальный адрес данного узла. Назначение данного параметра описано ниже (см. « Общие принципы назначения виртуальных адресов » на стр. 76). Каждая секция [id] имеет только один параметр virtualip Внимание! Менять базовый виртуальный адрес узла вручную не следует, он назначается автоматически. forcereal – позволяет всегда обращаться к данному узлу по его реальному адресу, даже в тех случаях, когда он должен быть виден только по виртуальному (о правилах адресации узлов см. ниже). Этот параметр может принимать значение on или off , значение off равноценно отсутствию этого параметра в секции (при этом параметр удаляется из секции при следующем запуске управляющего демона). Использовать этот параметр нужно с осторожностью, так как у сетевых узлов, которые видны по виртуальным адресам, могут совпадать реальные адреса (если эти узлы находятся в частных сетях). |