Решение задач vipnet linux. vipnet_linux решение задач. Руководство администратора

ViPNet Coordinator Linux. Руководство администратора
|
68
Секция [dynamic]
Секция
[dynamic]
содержит параметры, необходимые для настройки режима С
динамической трансляцией адресов (см. «
Настройка режима „С динамической трансляцией адресов“
» на стр. 109):

dynamic_proxy
– включение или выключение режима С динамической
трансляцией адресов на собственном узле. Этот параметр может принимать значение on или off
, что соответствует включению или выключению данного режима. По умолчанию значение параметра off
В предыдущих версиях ViPNet Coordinator Linux данный параметр находился в секции
[misc]
, поэтому при переходе на текущую версию он автоматически переносится в секцию
[dynamic]
, о чем записывается соответствующее предупреждение в системном журнале. Описание выбора различных режимов для собственного узла приведено ниже (см. «
Настройка режимов работы через межсетевой экран
» на стр. 105).

firewallip
– внешний IP-адрес доступа к собственному узлу, работающему в режиме С динамической трансляцией адресов, со стороны других сетевых узлов.
В предыдущих версиях ViPNet Coordinator Linux данный параметр находился в секции
[id]
для собственного узла и назывался dynamic_firewallip
, поэтому при переходе на текущую версию он автоматически переносится в секцию
[dynamic]
, о чем записывается соответствующее предупреждение в системном журнале.
Внимание! Параметр firewallip определяется автоматически, редактировать его вручную не следует.

port
– порт назначения, на который следует посылать пакеты для собственного узла, работающего в режиме С динамической трансляцией адресов.
В предыдущих версиях ViPNe tCoordinator Linux данный параметр находился в секции
[id]
для собственного узла и назывался dynamic_port
, поэтому при переходе на текущую версию он автоматически переносится в секцию
[dynamic]
, о чем записывается соответствующее предупреждение в системном журнале.
Внимание! Параметр port определяется автоматически, редактировать его вручную не следует.

ViPNet Coordinator Linux. Руководство администратора
|
69

forward_id
– идентификатор Координатора, находящегося во внешней сети и используемого для организации входящих соединений собственным узлом, работающим в режиме С динамической трансляцией адресов. Идентификатор записывается в шестнадцатеричном формате, при этом перед значением ставится префикс
0x
. Описание установки данного параметра приведено ниже (см. «
Настройка режима „С динамической трансляцией адресов“
» на стр. 109).

always_use_server
– включение или выключение режима, при котором любой трафик с внешними узлами направляется через Координатор, выбранный в параметре forward_id данной секции, т.е. все соединения с другими узлами будут происходить только через внешний Координатор. Этот параметр может принимать значение on или off
. По умолчанию значение параметра off
. Описание установки данного параметра приведено ниже (см. «
Настройка режима „С динамической трансляцией адресов“
» на стр. 109).

timeout
– период опроса (в секундах) Координатора для обеспечения пропуска входящего трафика через межсетевой экран. По умолчанию значение параметра 25 секунд. Описание установки данного параметра приведено ниже (см. «
Настройка режима „С динамической трансляцией адресов“
» на стр. 109).
Секция [misc]
Секция
[misc]
описывает различные дополнительные параметры:

packettype
– формат шифрованных пакетов. В качестве формата пакетов могут быть выбраны
4.0
или
4.1
. По умолчанию устанавливается формат
4.1
Примечание. Установка формата
4.0
совместно с алгоритмом шифрования AES не допускается (см. описание параметра ciphertype
).
Установка параметра packettype влияет только на формат пакетов, посылаемых данным сетевым узлом. Формат входящих пакетов определяется автоматически, и их расшифровка производится вне зависимости от установленного значения параметра packettype
. Рекомендуется устанавливать формат
4.1
, однако если необходимо связываться с узлами, на которых установлены старые версии ПО
ViPNet, не поддерживающие формат
4.1
, то необходимо установить формат пакетов
4.0

ciphertype
– алгоритм шифрования для исходящих пакетов, адресованных сетевым узлам ViPNet. Параметр может принимать следующие значения:

ViPNet Coordinator Linux. Руководство администратора
|
70
o gost
– шифрование с помощью алгоритма ГОСТ; o aes
– шифрование с помощью алгоритма AES.
Значение параметра по умолчанию устанавливается в зависимости от следующих условий: o если ключевые наборы для данного узла были созданы с использованием ПО
ViPNet Manager, входящего в состав пакета ViPNet OFFICE, то значение параметра по умолчанию aes;
o если ключевые наборы для данного узла были созданы с использованием ПО
ViPNet Administrator [Центр Управления Сетью], то значение параметра по умолчанию gost
Примечание. Установка параметра ciphertype влияет только на шифрование исходящего трафика.

timediff
– максимально допустимая разница во времени между сетевыми узлами.
Из соображений безопасности ViPNet запрещает прохождение пакетов от сетевого узла, если его время отличается от времени собственного узла более, чем на число секунд, указанное в параметре timediff
. По умолчанию его значение равно 7200, то есть два часа. При работе с узлами, находящимися в разных часовых поясах, это значение следует увеличить.

server_pollinterval
, client_pollinterval
– интервалы времени опроса неактивных сетевых узлов. Сетевые узлы периодически обмениваются служебными пакетами, чтобы иметь информацию о том, работает какой-либо узел или нет.
Клиенты обмениваются такой информацией только со своим Координатором –
Сервером IP-адресов, а Координаторы – между собой. Параметр server_pollinterval отвечает за интервал опроса Координаторов со стороны данного узла. Параметр client_pollinterval отвечает за интервал опроса данного узла со стороны Клиентов, выбравших его в качестве Сервера IP-адресов, и сообщается им в каждом сеансе работы. Если от какого-либо узла, который должен обмениваться такими пакетами с данным узлом, не было получено никаких служебных пакетов в течение времени, указанного в соответствующем параметре pollinterval
, то в адрес такого узла посылается специальный пакет, на который должен придти ответ. Если ответ не приходит, то узел считается выключенным.
Значение параметров указывается в секундах и по умолчанию устанавливается в 900 секунд (15 минут) для Координаторов (
server_pollinterval
) и 300 секунд (5 минут) для Клиентов (
client_pollinterval
). Установка параметров в меньшие значения позволит более оперативно определять неработоспособность узла, но повысит объем служебного трафика, и наоборот.

ViPNet Coordinator Linux. Руководство администратора
|
71

iscaggregate
– накопление служебного трафика, обрабатываемого на координаторе. Может принимать следующие значения: o on – накопление служебного трафика с последующей рассылкой на узлы не чаще, чем 1 раз в минуту (установлено по умолчанию);
o off – накопление служебного трафика отключено.
Включение опции iscaggregate позволяет уменьшить объем служебного трафика.

iparponly
– включение или выключение блокировки пакетов, не принадлежащих IP- протоколу. ViPNet предназначен для анализа пакетов IP и по умолчанию пропускает все пакеты других протоколов, что соответствует установке параметра iparponly в значение off
. Если установить этот параметр в значение on
, то ViPNet будет блокировать пакеты всех протоколов, кроме IP, ARP и RARP. Пакеты протоколов
ARP и RARP пропускаются всегда, поскольку их прохождение необходимо для успешного функционирования протокола IP.

ifcheck_timeout
– интервал опроса (в секундах) параметров адаптеров, известных управляющему демону. По умолчанию значение данного параметра 30 секунд.

warnoldautosave
– включение или выключение предупреждения о наличии старых автосохраненных конфигураций ViPNet (см. «
Программа работы с конфигурациями
ViPNet
» на стр. 142). Может принимать значение on или off
. Если значение параметра on
, то при старте управляющего демона будут выдаваться предупреждения о наличии автоматически сохраненных конфигураций, дата сохранения которых меньше текущей даты более чем на один месяц.

ipforwarding
– управление включением IP-форвардинга в системе. Может принимать следующие значения: o on
– принудительно включать IP-форвардинг при старте управляющего демона; o off
– принудительно выключать IP-форвардинг при старте управляющего демона; o system
– не изменять настройки форвардинга при старте управляющего демона.
Примечание. Рекомендуется выставлять значение on
, так как при отключенном форвардинге не будет работать проксирование и туннелирование. Значения off и system рекомендуется использовать только при отладке.

mssdecrease
– число байт, на которое будет уменьшен параметр MSS
(максимальный размер сегмента) протокола TCP (см. «
Фрагментирование шифрованных ViPNet-пакетов
» на стр. 149) для исключения фрагментации

ViPNet Coordinator Linux. Руководство администратора
|
72
шифрованных ViPNet-пакетов. Значение по умолчанию
0
. В случае, если проверка соединения между узлами (ping) или туннелируемыми ресурсами проходит нормально, но TCP-соединения не устанавливаются, то, скорее всего, по пути следования пакетов на каких-то устройствах производится фрагментация пакетов и их блокировка. Для устранения таких проблем рекомендуется уменьшить значение
MSS, например, на 20-40. Уменьшение параметра MSS достаточно произвести только с одной стороны. Данная настройка на Координаторе обеспечивает работоспособность как для узлов, взаимодействующих с Координатором, так и для туннелируемых устройств, стоящих за ним. Настройка на Координаторе не действует на узлы, стоящие за ним. Для таких узлов данный параметр следует изменять непосредственно на самих этих узлах или на других узлах, взаимодействующих с ними.
Внимание! Менять параметр mssdecrease без крайней необходимости не следует.
Секция [servers]
Секция
[servers]
содержит список Координаторов, известных данному сетевому узлу. В этой секции присутствуют следующие параметры:

server
– описывает один из известных Координаторов. Значением каждого такого параметра является строка, где через запятую указаны идентификатор этого
Координатора и его имя. Менять эти параметры не рекомендуется.
Секция [channels]
Секция
[channels]
определяет список альтернативных каналов доступа к ViPNet- координаторам со стороны данного узла, а также регистрацию групп Координаторов для работы через альтернативные каналы (см. «
Настройка работы с удаленным
Координатором через фиксированный альтернативный канал
» на стр. 112). Секция
[channels]
является необязательной, если она не задана, то считается, что ни один канал не определен. Если секция
[channels]
присутствует, но в ней нет ни одного параметра channel
, то секция автоматически удаляется. Данная секция может содержать один или несколько параметров channel
. Значение параметра channel должно иметь следующий формат:
<имя канала>, <список групп узлов, работающих через этот канал, разделенных запятыми>

ViPNet Coordinator Linux. Руководство администратора
|
73
Имя канала является его уникальным идентификатором. Имена групп узлов определяются в секциях
[id]
(см. «
Секция [id]
» на стр. 56). Пример задания параметров в этой секции:
[channels]
channel= LocalNet, WorkDepartmentGroup, OtherGroup channel= ReservLocalNet channel= Internet, SalesDepartmentGroup
Именем канала может быть произвольная строка, состоящая из символов латинского алфавита, цифр и знаков дефис, подчеркивание и точка. В имени канала учитывается регистр символов. Указание списка имен групп после имени канала является необязательным.
Ошибками для конфигурации секции
[channels]
являются следующие:

Для какого-либо параметра channel указана группа, которая не задана ни в одной секции
[id]

Для двух или более параметров channel заданы одинаковые имена групп, т.е. группа узлов не может одновременно быть зарегистрирована для нескольких каналов.

Для двух или более параметров channel заданы одинаковые имена каналов.
Логика выбора работы с удаленным Координатором через заданный канал подробно описана ниже (см. «
Настройка работы с удаленным Координатором через фиксированный альтернативный канал
» на стр. 112).
Секция [service]
Секция
[service]
определяет один из сервисов. Сервис – это именованная совокупность фильтров, которые затем применяются для каких-либо сетевых узлов как единое целое путем указания параметра filterservice
(см. «
Секция [id]
» на стр. 56). В файле конфигурации может быть сколько угодно секций
[service]
. Рекомендуется, чтобы они предшествовали любым другим секциям; по крайней мере, они должны быть определены раньше, чем будут использоваться в параметрах filterservice
. После старта управляющего демона все определения сервисов автоматически помещаются в начало файла.

ViPNet Coordinator Linux. Руководство администратора
|
74
Секция
[service]
может содержать следующие параметры:

name
– имя сервиса. Имя может включать латинские буквы, цифры, а также знаки дефис и подчеркивание. Этот параметр обязательно должен присутствовать, при этом имя сервиса должно быть уникальным в пределах данного файла конфигурации.

parent
– имя сервиса, наследником которого является данный сервис. Данный параметр необязательный. Если он указан, то его значением должно быть либо имя стандартного сервиса (см. ниже), либо имя сервиса, определенного выше в том же файле конфигурации. Сервис-потомок имеет все фильтры, определенные для его родителя, дополнительно к которым можно определять добавочные фильтры.
Удалять какие-либо фильтры родителя в сервисе-потомке нельзя. Возможно указание нескольких родителей, в этом случае потомок наследует все их фильтры. Сервис- потомок можно использовать как родительский для других сервисов, при этом потомок получает всю цепочку фильтров, унаследованную его родителями. Глубина вложенности никак не ограничивается.

filtertcp, filterudp, filtericmp
– совокупность фильтров, которые будет содержать данный сервис. Синтаксис этих параметров такой же, как и соответствующих параметров в секции
[id]
(см. «
Секция [id]
» на стр. 56), с тем отличием, что в секции
[service]
у этих параметров не указывается третья часть, описывающая действие с пакетами – pass или drop
. Эта часть оставляется пустой, и при указании данного сервиса в filterservice принимает то значение, которое указано в filterservice
Пример описания сервиса:
[service]
name= http filtertcp= 1024-65535, 80, , send filtertcp= 80, 1024-65535, , recv
Кроме сервисов, описанных пользователем, существует набор так называемых стандартных сервисов, определенных в ViPNet. Стандартные сервисы описаны в файле iplir.serv и не могут быть изменены пользователем. Стандартные сервисы считаются изначально описанными во всех файлах конфигурации, и их можно использовать в параметрах filterservice
, а также указывать в параметрах parent секции
[service]
, создавая на их основе сервисы пользователя.

ViPNet Coordinator Linux. Руководство администратора
|
75
Секция [virtualip]
Секция
[virtualip]
содержит установки виртуальных адресов (см. «
Общие принципы назначения виртуальных адресов
» на стр. 76). В ней присутствуют следующие параметры:

startvirtualip
– стартовый адрес для генерации базовых виртуальных адресов.
При смене пользователем параметра startvirtualip назначение всех базовых виртуальных адресов производится заново, как при начальном формировании файлов конфигурации. Кроме того, производится назначение виртуальных адресов в параметрах ip для узлов с secondaryvirtual= on

maxvirtualip
– максимальный адрес для генерации базовых виртуальных адресов.
Данный параметр используется для ограничения диапазона назначаемых базовых виртуальных адресов. По умолчанию параметр maxvirtualip соответствует максимально возможному адресу, то есть адресу, у которого два старших октета совпадают с этими же октетами стартового адреса startvirtualip
, а два младших октета равны 254. Значение по умолчанию можно изменить в сторону уменьшения, при этом необходимо следить за тем, чтобы значение параметра maxvirtualip было больше, чем значение параметра endvirtualip
Примечание. Параметр maxvirtualip поддерживается, начиная с версии 3.6.4.
При обновлении более ранней версии на версию 3.6.4 или более позднюю версию в секцию
[virtualip
] автоматически добавляется параметр maxvirtualip со значением по умолчанию.

endvirtualip
– служебный параметр, в котором хранится следующий за последним назначенным базовый виртуальный адрес. Данный параметр используется в качестве точки отсчета при поиске и назначении базовых виртуальных адресов для новых узлов. При назначении базовых виртуальных адресов сначала производится поиск первого свободного адреса в диапазоне от endvirtualip по maxvirtualip
. Если в этом диапазоне свободных адресов нет, то производится поиск в диапазоне от startvirtualip до endvirtualip