Jump to content

Recommended Posts

Добрый день!

Сегодня столкнулся с такой штукой: есть 3 сети версии 3.х который необходимо обновить до 4.х. Во всех сетях стоят Linux Coordinator 3.7.5 на Oracle Linux 2011 года (4 идентичных с точки зрения софта и железа). Естественно 32 бита. Решили, что при обновлении обновим и ОС путем установки с нуля на подменный сервер. Итого: собрали новый сервер, накатили Oracle Linux x64 7.4 и поставили координатор версии 4.2.5. Проинициализировали .dst фалом и все работает. Решили записать правила фаервола и тут мне стало как-то не хорошо - 422 строки правил переносить руками не хочется. ТП Инфотекса ссылается на документацию в которой говорится про конвертацию правил при обновлении, но у меня не обновление, а новая установка.

Вопрос: при обновлении же правила конвертируются не с божей помощью, а конкретным скриптом, программой и т.д. находящейся в дистрибутиве. Как инициировать конвертацию правил при новой установке?

Нашел вот такой файлик:

./firewall-config-converter --help
Convert firewall settings from ViPNet CUSTOM 3.6.x, 3.7.x to ViPNet CUSTOM 4.0

Usage: firewall-config-converter <--config> <--xml> <--crg> <--objects-xml> <--objects-crg> [<--xsd-path>]
Possible options:
-h [ --help ] produce help message
--usage the same as --help
--config arg old conf dir path
--xml arg output xml file path
--crg arg output crg file path
--objects-xml arg output objects xml file path
--objects-crg arg output objexts crg file path
--xsd-path arg full rules.xsd path

Но чего ему отдать на параметры пока не понял.

Share this post


Link to post
Share on other sites

А если сделать сохранения на старой и подгрузить в новую - она разве не должна так принимать? Я думал это именно так работает. Благо у меня был только случай где правил не больше 10-ка и понятно быстрее переписать было руками, ну и за одно хоть вспомнить как это делается :rolleyes:

Share this post


Link to post
Share on other sites

Добрый день.

Та же самая проблема. Что можно скормить firewall-config-converter для конвертации старого firewall.conf в формат ViPNet 4?

Старые координаторы на х86, обновлять до 4 смысла на данной системе нет. Пока пытаемся сделать следующим образом:

1. на старой системе обновляем до 4. Сохраняем конфиги

2. ставим новую систему х86_64

3. ставим с нуля 4

4. подкладываем сохраненные конфиги

Даже если это все верно и будет работать, то для более чем 50 координаторов это слишком затратно по времени.

Если есть возможность сконвертить конфиги от 3, то это упростит переход на новую версию.

 

Вопрос к знатокам: каким образом?

--

С уважением, Кабулов М.В.

 

Share this post


Link to post
Share on other sites

 Можно попробовать скопировать каталог установки ПО (обычно /etc/vipnet) и файлы из /etc, начинающиеся с iplir + failover.ini с 3.х на новый ПК. Положить в теже самые директории, запустить установку 4.х версии, она должна подхватить старую конфигурацию и сконвертировать правила. Т.е. произойдёт практически "обновление".

  

   

Share this post


Link to post
Share on other sites

Может кому и пригодится. Решил задачку.

Дано:

60-70 координаторов 3.7.4. Координаторы типовые по железу. 20-80 правил на каждом.

Требуется обновить до 4.1.4.

Решение:

Готовим образ с системой х86_64. 

firewall-config-converter (лежит в distribute/distribute.tar.gz/application/)  извлекаем в каталог со скриптом.

cat upgrade.sh

#!/bin/bash

VIPNET_DIR='/etc/vipnet'
OLD_CONF_DIR='/user/user/upgrade'
INSTALL_LOG='/var/log/vipnet_upgrade.log'

./firewall-config-converter \
            --config $OLD_CONF_DIR \
            --xml $VIPNET_DIR/user/user.xml \
            --crg $VIPNET_DIR/user/user.crg \
            --objects-xml $VIPNET_DIR/user/objects.xml \
            --objects-crg $VIPNET_DIR/user/objects.crg \
               >> $INSTALL_LOG

# Просмотр результата импорта правил
cat $INSTALL_LOG

На каждом координаторе сохраняем конфиги на носитель (достаточно iplir.conf, firewall.conf), но я делаю

sudo cp -f /etc/vipnet/user/*.* /mnt/usb/

Развертываем образ. Копируем старые конфиги

sudo cp -f /mnt/usb/*.* /user/user/upgrade/

Устанавливаем с нуля Координатор4 с новой dst. По окончанию установки - запуск автоматически, подождать пару минут, пока установит связь с головным координатором.

Ну и

sudo vipnet stop 
sudo ./upgrade.sh 
sudo vipnet start

Может это и костыль, но экономит время при обновлении большого количества координаторов и правила сохраяются.

 

Share this post


Link to post
Share on other sites

>sudo cp -f /mnt/usb/*.* /user/user/upgrade/

  Если имеются файлы со старого ПК, то проще сразу подложить их в правильные папки и новая установка их увидит и конвертирует штатно всю конфигурацию при установке.

Вы потом в ТП не объясните как переносили конфигурацию, а по логу будет сразу видно, что нештатно.

Share this post


Link to post
Share on other sites
1 минуту назад, zero сказал:

Если имеются файлы со старого ПК, то проще сразу подложить их в правильные папки и новая установка их увидит и конвертирует штатно всю конфигурацию при установке.

Вы потом в ТП не объясните как переносили конфигурацию, а по логу будет сразу видно, что нештатно.

ТП - это я сам. А если подложить старые файлу, то по какой-то причине при старте координатора после установки и конвертации ключей падает ошибка crg. Пробовал разные варианты, крутил как только можно.

Share this post


Link to post
Share on other sites

 Под ТП подразумевается ТП производителя - ИнфоТеКС. Вы в неё обращались? По поводу crg?

 

Share this post


Link to post
Share on other sites

 

В 2/22/2018 в 11:05, zero сказал:

Под ТП подразумевается ТП производителя - ИнфоТеКС. Вы в неё обращались? По поводу crg?

Добрый день. Нет, не обращался. Решил проблему другим способом.

Share this post


Link to post
Share on other sites
23 часа назад, Vintik сказал:

Ну так пишите каким раз всех на уши подняли.

Добрый день. Ну, во-первых, никого никуда не поднимал, во вторых - выше отписал, каким образом я вышел из сложившейся ситуации.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.