Установка ViPNet Client 4. x

Спикер: Дмитрий Ипатов, специалист техподдержки компании «ИнфоТеКС»

Мы решили обобщить вопросы, связанные с виртуализированным криптографическим шлюзом ViPNet Coordinator VA версии 4.5.1 (далее координатор), которые часто получают сотрудники нашей техподдержки. В этой статье мы рассмотрим наиболее распространенные схемы внедрения, научимся пользоваться первичными средствами диагностики прохождения трафика, увидим с помощью tcpdump, как устанавливается защищенное соединение, с точки зрения сетевого оборудования.

Оговоримся сразу, не важно, насколько вы опытны в настройке и использовании СКЗИ, однако наличие базовых понятий о сетях ViPNet (практический опыт по созданию топологии защищенной сети, файлов первичной инициализации DST, установке и настройке координаторов) очень желательны.

С основной терминологией, используемой в данной статье, вы можете ознакомиться в глоссарии, размещенном в конце данной статьи.

Для подключения координатора к внешней сети предусмотрено четыре режима работы:

1. «Со статической трансляцией адресов» — подключение через внешний межсетевой экран (устройство) с трансляцией адресов (NAT), на котором возможна настройка статических правил трансляции адресов. Также данный режим можно использовать для прямого подключения к сети Интернет, без использования межсетевого экрана (МЭ).
2. «С динамической трансляцией адресов» — подключение через внешний межсетевой экран (устройство) с трансляцией адресов (NAT), на котором возможна настройка только динамических правил трансляции адресов. «Со статической трансляцией адресов», с которым данный координатор поддерживает постоянное соединение.
3. «Координатор» — подключение координатора через другой координатор. Сейчас данный режим полностью заменен режимом «с динамической трансляцией адресов и передачей всего трафика через сервер соединений».
4. «Без использования межсетевого экрана» — координатор имеет прямое подключение к внешней сети.

В текущем документе все настройки производятся через командный интерпретатор, так называемую командную строку, имеющую свой особый синтаксис. С помощью командного интерпретатора можно получить доступ ко всем настройкам координатора. Рассмотрим подробнее режимы подключения.

Ограничения

• На компьютере не должно быть установлено никаких программ КриптоПро.
• На компьютере должно быть установлено точное время.

Зайдите на диск с установочным файлом ViPNet Client, после чего запустите с диска установщик «ViPNet Client 4.x».

Установка очень простая и не составит сложности.

В окне «Установка ViPNet Client» ставим галочку «Я принимаю это соглашение» и нажимаем на кнопку «Продолжить».

В следующем окне жмем по кнопке «Установить сейчас» и ждем, пока «ViPNet Client» установится на ваш компьютер.

Если средство криптографической защиты информации установится на ваш компьютер без ошибок, то появится окно об успешной установке программы.

«Континент АП»

Установку лучше производить командой:

Данный набор букв установит только VPN клиент, Биологический ДСЧ, Континент CSP и без межсетевого экрана.

Поскольку адрес по умолчанию 0.0.0.0, то для дозвона до серверов СУФД необходимо в настройке соединения указать серверы доступа

Влияние ViPNet на производительность системы

ViPNet имеет минимальное влияние на KPI системы. При реальной скорости в 88 Мбит в секунду (с пропускной способностью 100 Мбит/с) после установки программы скорость может уменьшиться до 80 Мбит/с. Аппаратная платформа непосредственно влияет на скорость зашифровки трафика.

ViPNet Client — модуль обеспечения, разработанный с целью обезопасить рабочее пространство пользователя или сервера, где установлено прикладное программное обеспечение. Программа сортирует весь входящий и исходящий поток.

Установка ViPNet Client не составит трудностей. Непосредственно перед установкой нужно проверить сетевые настройки, наличие подсоединения к интернету, дату, время и месторасположение.

Также важно перепроверить, открыт ли порт UDP 55777 на всех сетевых устройствах.

ВипНет Клиент может некорректно работать с антивирусами, перед установкой его лучше удалить. Программа создаёт личный межсетевой экран ViPNet Firewall.

VipnetClient с командной строкой

Откройте терминал Fly и установите dst-ключ для VipNet Сlient:

После чего следует ввести парольную фразу для dst ключа

Для старта vipnetclient следует воспользоваться командой:

DST-ключ должен быть выпущен для LINUX-машин

При установке dst ключа суперпользователем root, подключение к защищенной сети будет действовать для всех пользователей

Пересечения адресов

В нашей практике нередко встречается пересечение туннелируемых адресов за разными координаторами.

Именно для таких случаев в продуктах ViPNet существует виртуализация адресов. Виртуализация – это своеобразный NAT без контроля состояния соединения один к одному или диапазон в диапазон. По умолчанию на координаторах эта функция выключена, хотя потенциальные виртуальные адреса вы можете найти в iplir.conf в строке «tunnel» после «to» в секциях соседних координаторов. Для того, чтобы включить виртуализацию глобально для всего списка, необходимо в секции [visibility] изменить параметр «tunneldefault» на «virtual». Если же хотите включить для конкретного соседа, то необходимо в его секцию [id] добавить параметр «tunnelvisibility=virtual». Также стоит убедиться, что параметр tunnel_local_networks находится в значении «on». Для редактирования виртуальных адресов параметр tunnel_virt_assignment необходимо перевести в режим «manual». На противоположной стороне нужно выполнить аналогичные действия. За настройки туннелей также отвечают параметры «usetunnel» и «exclude_from_tunnels». Результат выполненной работы можно проверить с помощью утилиты «iplirdiag», о которой я говорил выше.

Конечно, виртуальные адреса приносят некоторые неудобства, поэтому администраторы инфраструктуры предпочитают минимизировать их использование. Например, при подключении организаций к информационным системам (ИС) некоторых госорганов этим организациям выдается DST-файл c фиксированным диапазоном туннелей из адресного плана ИС. Как мы видим, пожелания подключающегося при этом не учитываются. Как вписываться в этот пул, каждый решает для себя сам. Кто-то мигрирует рабочие станции на новую адресацию, а кто-то использует SNAT на пути от хостов к координатору. Не секрет, что некоторые администраторы применяют SNAT для обхода лицензионных ограничений младших платформ. Не беремся оценивать этичность такого «лайфхака», однако не стоит забывать, что производительность самих платформ все-таки имеет предел, и при перегрузке начнется деградация качества канала связи.

Ограничения

• На компьютере не должно быть установлено никаких программ КриптоПро.
• На компьютере должно быть установлено точное время.

Зайдите на диск с установочным файлом ViPNet Client, после чего запустите с диска установщик «ViPNet Client 4.x».

Установка очень простая и не составит сложности.

В окне «Установка ViPNet Client» ставим галочку «Я принимаю это соглашение» и нажимаем на кнопку «Продолжить».

В следующем окне жмем по кнопке «Установить сейчас» и ждем, пока «ViPNet Client» установится на ваш компьютер.

Если средство криптографической защиты информации установится на ваш компьютер без ошибок, то появится окно об успешной установке программы.

В окне «Установка ViPNet Client» жмем по кнопке «Закрыть».

Нет связи с ресурсами компании

Предположим, у нас есть веб-сайт, который открывается только при наличии VPN подключения через Vipnet клиент. Данный веб-сайт вчера открывался, а сегодня «внезапно» перестал. Чтож, идём в пуск — Vipnet — vipnet client — Монитор.

p, blockquote 3,0,0,0,0 —>

При открытии VipNet монитора видим, что все узлы у нас серые, а при проверке имеют статус «Недоступен». Защищённые ресурсы компании, находящиеся в пределах VPN не открываются, однако интернет у нас на месте. Для диагностики проблемы идём в журнал IP-пакетов, устанавливаем желаемый промежуток времени и жмём поиск:

p, blockquote 4,0,0,0,0 —>

В логах причина вполне очевидна — «Слишком большая разница во времени».

p, blockquote 5,1,0,0,0 —>

Если время на сервере отличается от времени на устройстве, VipNet клиент работать не будет. Сам постоянно грешу и забываю в первую же очередь проверить время на устройстве, однако в последнем обращении клиентов с такой проблемой наблюдал забавную фишку. Время на компе было вписано якобы правильно. Точнее цифры то правильные, а часовой пояс неверный. Короче меняем время в системе. Делаем правый тык на часах ->настройка даты и времени, проверяем что часовой пояс верный. На верочку так же можно включить автоматическую установку времени и дополнительно его синхронизировать.

Популярные сообщения из этого блога

Вашему вниманию представляется программа, которая предназначена для создания, редактирования и экспорта блок-схем алгоритмов. Пользователю не нужно заботиться о размещении и выравнивании объектов, программа автоматически разместит все блоки. Редактор позволит экспортировать блок-схему в исходный текст программы для разных языков программирования (Pascal, C/C++, Алгоритмический язык). Редактор блок-схем позволяет экспортировать изображение схемы в различные графические форматы: BMP, JPEG, PNG, TIFF, ICO, PPM, XBM, XPM, SVG. Программа распространяется на условиях лицензии GNU General Public License (GPL). Программа написана на языке C++ на основе библиотеки Qt. Доступны бинарные сборки как для GNU/Linux, так и Microsoft Windows (2000/XP/2003/2008/Vista/7). Возможности генерация исходного кода на основе блок-схемы в различные языки программирования; автоматическое размещение блоков на схеме; экспорт схемы в популярные растровые форматы; экспорт схем в векторный формат SVG; воз