Конвертация firewall.conf для 4.х

[KIV]

Добрый день!

Сегодня столкнулся с такой штукой: есть 3 сети версии 3.х который необходимо обновить до 4.х. Во всех сетях стоят Linux Coordinator 3.7.5 на Oracle Linux 2011 года (4 идентичных с точки зрения софта и железа). Естественно 32 бита. Решили, что при обновлении обновим и ОС путем установки с нуля на подменный сервер. Итого: собрали новый сервер, накатили Oracle Linux x64 7.4 и поставили координатор версии 4.2.5. Проинициализировали .dst фалом и все работает. Решили записать правила фаервола и тут мне стало как-то не хорошо - 422 строки правил переносить руками не хочется. ТП Инфотекса ссылается на документацию в которой говорится про конвертацию правил при обновлении, но у меня не обновление, а новая установка.

Вопрос: при обновлении же правила конвертируются не с божей помощью, а конкретным скриптом, программой и т.д. находящейся в дистрибутиве. Как инициировать конвертацию правил при новой установке?

Нашел вот такой файлик:

./firewall-config-converter --help
Convert firewall settings from ViPNet CUSTOM 3.6.x, 3.7.x to ViPNet CUSTOM 4.0

Usage: firewall-config-converter <--config> <--xml> <--crg> <--objects-xml> <--objects-crg> [<--xsd-path>]
Possible options:
-h [ --help ] produce help message
--usage the same as --help
--config arg old conf dir path
--xml arg output xml file path
--crg arg output crg file path
--objects-xml arg output objects xml file path
--objects-crg arg output objexts crg file path
--xsd-path arg full rules.xsd path

Но чего ему отдать на параметры пока не понял.

[Vintik]

А если сделать сохранения на старой и подгрузить в новую - она разве не должна так принимать? Я думал это именно так работает. Благо у меня был только случай где правил не больше 10-ка и понятно быстрее переписать было руками, ну и за одно хоть вспомнить как это делается 

[mkabulov]

Добрый день.

Та же самая проблема. Что можно скормить firewall-config-converter для конвертации старого firewall.conf в формат ViPNet 4?

Старые координаторы на х86, обновлять до 4 смысла на данной системе нет. Пока пытаемся сделать следующим образом:

1. на старой системе обновляем до 4. Сохраняем конфиги

2. ставим новую систему х86_64

3. ставим с нуля 4

4. подкладываем сохраненные конфиги

Даже если это все верно и будет работать, то для более чем 50 координаторов это слишком затратно по времени.

Если есть возможность сконвертить конфиги от 3, то это упростит переход на новую версию.

 

Вопрос к знатокам: каким образом?

--

С уважением, Кабулов М.В.

 

[zero]

 Можно попробовать скопировать каталог установки ПО (обычно /etc/vipnet) и файлы из /etc, начинающиеся с iplir + failover.ini с 3.х на новый ПК. Положить в теже самые директории, запустить установку 4.х версии, она должна подхватить старую конфигурацию и сконвертировать правила. Т.е. произойдёт практически "обновление".

  

   

[mkabulov]

Может кому и пригодится. Решил задачку.

Дано:

60-70 координаторов 3.7.4. Координаторы типовые по железу. 20-80 правил на каждом.

Требуется обновить до 4.1.4.

Решение:

Готовим образ с системой х86_64. 

firewall-config-converter (лежит в distribute/distribute.tar.gz/application/)  извлекаем в каталог со скриптом.

cat upgrade.sh

#!/bin/bash

VIPNET_DIR='/etc/vipnet'
OLD_CONF_DIR='/user/user/upgrade'
INSTALL_LOG='/var/log/vipnet_upgrade.log'

./firewall-config-converter \
            --config $OLD_CONF_DIR \
            --xml $VIPNET_DIR/user/user.xml \
            --crg $VIPNET_DIR/user/user.crg \
            --objects-xml $VIPNET_DIR/user/objects.xml \
            --objects-crg $VIPNET_DIR/user/objects.crg \
               >> $INSTALL_LOG

# Просмотр результата импорта правил
cat $INSTALL_LOG

На каждом координаторе сохраняем конфиги на носитель (достаточно iplir.conf, firewall.conf), но я делаю

sudo cp -f /etc/vipnet/user/*.* /mnt/usb/

Развертываем образ. Копируем старые конфиги

sudo cp -f /mnt/usb/*.* /user/user/upgrade/

Устанавливаем с нуля Координатор4 с новой dst. По окончанию установки - запуск автоматически, подождать пару минут, пока установит связь с головным координатором.

Ну и

sudo vipnet stop 
sudo ./upgrade.sh 
sudo vipnet start

Может это и костыль, но экономит время при обновлении большого количества координаторов и правила сохраяются.

 

[zero]

>sudo cp -f /mnt/usb/*.* /user/user/upgrade/

  Если имеются файлы со старого ПК, то проще сразу подложить их в правильные папки и новая установка их увидит и конвертирует штатно всю конфигурацию при установке.

Вы потом в ТП не объясните как переносили конфигурацию, а по логу будет сразу видно, что нештатно.

[mkabulov]

  22.02.2018 в 07:47, zero сказал:

Если имеются файлы со старого ПК, то проще сразу подложить их в правильные папки и новая установка их увидит и конвертирует штатно всю конфигурацию при установке.

Вы потом в ТП не объясните как переносили конфигурацию, а по логу будет сразу видно, что нештатно.

Расширить  

ТП - это я сам. А если подложить старые файлу, то по какой-то причине при старте координатора после установки и конвертации ключей падает ошибка crg. Пробовал разные варианты, крутил как только можно.

[zero]

 Под ТП подразумевается ТП производителя - ИнфоТеКС. Вы в неё обращались? По поводу crg?

 

[mkabulov]

 

  22.02.2018 в 08:05, zero сказал:

Под ТП подразумевается ТП производителя - ИнфоТеКС. Вы в неё обращались? По поводу crg?

Расширить  

Добрый день. Нет, не обращался. Решил проблему другим способом.

[Vintik]

Ну так пишите каким раз всех на уши подняли.

[mkabulov]

  26.02.2018 в 10:58, Vintik сказал:

Ну так пишите каким раз всех на уши подняли.

Расширить  

Добрый день. Ну, во-первых, никого никуда не поднимал, во вторых - выше отписал, каким образом я вышел из сложившейся ситуации.

[Vintik]

Так это было решение окончательное - ясно. Спасибо.