Jump to content

Recommended Posts

Добрый день!

Сегодня столкнулся с такой штукой: есть 3 сети версии 3.х который необходимо обновить до 4.х. Во всех сетях стоят Linux Coordinator 3.7.5 на Oracle Linux 2011 года (4 идентичных с точки зрения софта и железа). Естественно 32 бита. Решили, что при обновлении обновим и ОС путем установки с нуля на подменный сервер. Итого: собрали новый сервер, накатили Oracle Linux x64 7.4 и поставили координатор версии 4.2.5. Проинициализировали .dst фалом и все работает. Решили записать правила фаервола и тут мне стало как-то не хорошо - 422 строки правил переносить руками не хочется. ТП Инфотекса ссылается на документацию в которой говорится про конвертацию правил при обновлении, но у меня не обновление, а новая установка.

Вопрос: при обновлении же правила конвертируются не с божей помощью, а конкретным скриптом, программой и т.д. находящейся в дистрибутиве. Как инициировать конвертацию правил при новой установке?

Нашел вот такой файлик:

./firewall-config-converter --help
Convert firewall settings from ViPNet CUSTOM 3.6.x, 3.7.x to ViPNet CUSTOM 4.0

Usage: firewall-config-converter <--config> <--xml> <--crg> <--objects-xml> <--objects-crg> [<--xsd-path>]
Possible options:
-h [ --help ] produce help message
--usage the same as --help
--config arg old conf dir path
--xml arg output xml file path
--crg arg output crg file path
--objects-xml arg output objects xml file path
--objects-crg arg output objexts crg file path
--xsd-path arg full rules.xsd path

Но чего ему отдать на параметры пока не понял.

Share this post


Link to post
Share on other sites

А если сделать сохранения на старой и подгрузить в новую - она разве не должна так принимать? Я думал это именно так работает. Благо у меня был только случай где правил не больше 10-ка и понятно быстрее переписать было руками, ну и за одно хоть вспомнить как это делается :rolleyes:

Share this post


Link to post
Share on other sites

Добрый день.

Та же самая проблема. Что можно скормить firewall-config-converter для конвертации старого firewall.conf в формат ViPNet 4?

Старые координаторы на х86, обновлять до 4 смысла на данной системе нет. Пока пытаемся сделать следующим образом:

1. на старой системе обновляем до 4. Сохраняем конфиги

2. ставим новую систему х86_64

3. ставим с нуля 4

4. подкладываем сохраненные конфиги

Даже если это все верно и будет работать, то для более чем 50 координаторов это слишком затратно по времени.

Если есть возможность сконвертить конфиги от 3, то это упростит переход на новую версию.

 

Вопрос к знатокам: каким образом?

--

С уважением, Кабулов М.В.

 

Share this post


Link to post
Share on other sites

 Можно попробовать скопировать каталог установки ПО (обычно /etc/vipnet) и файлы из /etc, начинающиеся с iplir + failover.ini с 3.х на новый ПК. Положить в теже самые директории, запустить установку 4.х версии, она должна подхватить старую конфигурацию и сконвертировать правила. Т.е. произойдёт практически "обновление".

  

   

Share this post


Link to post
Share on other sites

Может кому и пригодится. Решил задачку.

Дано:

60-70 координаторов 3.7.4. Координаторы типовые по железу. 20-80 правил на каждом.

Требуется обновить до 4.1.4.

Решение:

Готовим образ с системой х86_64. 

firewall-config-converter (лежит в distribute/distribute.tar.gz/application/)  извлекаем в каталог со скриптом.

cat upgrade.sh

#!/bin/bash

VIPNET_DIR='/etc/vipnet'
OLD_CONF_DIR='/user/user/upgrade'
INSTALL_LOG='/var/log/vipnet_upgrade.log'

./firewall-config-converter \
            --config $OLD_CONF_DIR \
            --xml $VIPNET_DIR/user/user.xml \
            --crg $VIPNET_DIR/user/user.crg \
            --objects-xml $VIPNET_DIR/user/objects.xml \
            --objects-crg $VIPNET_DIR/user/objects.crg \
               >> $INSTALL_LOG

# Просмотр результата импорта правил
cat $INSTALL_LOG

На каждом координаторе сохраняем конфиги на носитель (достаточно iplir.conf, firewall.conf), но я делаю

sudo cp -f /etc/vipnet/user/*.* /mnt/usb/

Развертываем образ. Копируем старые конфиги

sudo cp -f /mnt/usb/*.* /user/user/upgrade/

Устанавливаем с нуля Координатор4 с новой dst. По окончанию установки - запуск автоматически, подождать пару минут, пока установит связь с головным координатором.

Ну и

sudo vipnet stop 
sudo ./upgrade.sh 
sudo vipnet start

Может это и костыль, но экономит время при обновлении большого количества координаторов и правила сохраяются.

 

Share this post


Link to post
Share on other sites

>sudo cp -f /mnt/usb/*.* /user/user/upgrade/

  Если имеются файлы со старого ПК, то проще сразу подложить их в правильные папки и новая установка их увидит и конвертирует штатно всю конфигурацию при установке.

Вы потом в ТП не объясните как переносили конфигурацию, а по логу будет сразу видно, что нештатно.

Share this post


Link to post
Share on other sites
1 минуту назад, zero сказал:

Если имеются файлы со старого ПК, то проще сразу подложить их в правильные папки и новая установка их увидит и конвертирует штатно всю конфигурацию при установке.

Вы потом в ТП не объясните как переносили конфигурацию, а по логу будет сразу видно, что нештатно.

ТП - это я сам. А если подложить старые файлу, то по какой-то причине при старте координатора после установки и конвертации ключей падает ошибка crg. Пробовал разные варианты, крутил как только можно.

Share this post


Link to post
Share on other sites

 Под ТП подразумевается ТП производителя - ИнфоТеКС. Вы в неё обращались? По поводу crg?

 

Share this post


Link to post
Share on other sites

 

В 2/22/2018 в 11:05, zero сказал:

Под ТП подразумевается ТП производителя - ИнфоТеКС. Вы в неё обращались? По поводу crg?

Добрый день. Нет, не обращался. Решил проблему другим способом.

Share this post


Link to post
Share on other sites
23 часа назад, Vintik сказал:

Ну так пишите каким раз всех на уши подняли.

Добрый день. Ну, во-первых, никого никуда не поднимал, во вторых - выше отписал, каким образом я вышел из сложившейся ситуации.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.