Обновление с 3 до 4 версии

[Vintik]

Есть возможность запросить новую ДСТ? Если да то консервируйте 3,2 и ставьте на чистую 4. 

Я уже не раз заметил, после "глобального" обновления, что как бы хорошо не проходили обновления в итоге начинаются проблемы. То в ДП что то не так, то перестаёт корректно запускаться сам клиент... т.е. в итоге понял не чего хорошего и потом приходится решить эти проблемы.

[R.Sheyn]

А с какой на какую версии конкретно обновлялись и какая ОС? На 4.3.3 например нельзя обновляться напрямую с 3.2.

[cypma4]

В 29.04.2018 в 17:51, Vintik сказал:

А кто не будь практиковал по сети раскидывать обновления и чтоб они ещё и нормально принялись?

Делал, не очень рекомендую,  первый косяк у меня был когда с 3.1 обновлял до 3.2 hw1000 q2 , обновление через ЦУС не дошло, отменил, обновил с флешки 3.1-3.2-3.3-3.5 и после этого пришло обновление с ЦУС и откатило мне до 3.2

Второй косяк неизвестно когда придет обновление, и нет возможности мониторить процесс.

Я обычно прошу местных админов записать на флешку обновления и вставить в координатор, после этого по SSH делаю бекап настроек, и admin export keys, после этого admin upgrade.

При обновлении локально обязательно сменить пароль!!! иначе потом будет не очень

В 01.06.2018 в 11:58, bmm сказал:

В доке есть такое предупреждение: "Справочники и списки аннулированных сертификатов должны быть отправлены на сетевые узлы до первого запуска УКЦ

и выполнения в программе каких либо действий."  а если в момент отправки какие либо узлы или программные клиенты  не доступны, выключены? В дальнейшем после включения что с ними произойдёт? Связь потеряем?

У меня в двух сетках не терялись. но лучше будет в этот момент как можно больше включить клиентов что бы они сразу получили обновления.

[cypma4]

У меня при обновлении HW1000 с 3.5 до 4.2.2 было несколько багов крайне неприятных

Если забыли изменить пароль перед обновлением с 3.5 до 4.2.2 система не поднимется, необходимо произвести полную перезапись прошивки с USB с первичной инициализацией DST

Если после обновления до 4.х пропало взаимодействие с доверенной сетью, В журнале координатора моей сети блокированные зашифрованные пакеты на СМ Координатор доверенной сети 18-Неизвестный IP-адрес получателя, это баг Vipnet, необходимо изменить в ЦУС шлюзовой координатор на другой , и экспортировать межсетевую информацию в файл, передать в доверенную сеть, получить от них файл с Импортом. после этого можно вернуть шлюзовой координатор в исходное состояние, обменявшись межсетевой информацией.

 

 

[cypma4]

23 минуты назад, R.Sheyn сказал:

А с какой на какую версии конкретно обновлялись и какая ОС? На 4.3.3 например нельзя обновляться напрямую с 3.2.

обновляете Vipnet Client до 3.2.13 потом можно на 4.3.2 а ее на 4.3.3

Vipnet Administrator версии 3.2.х в соответствии с документацией можно конвертировать в 4.6.4.

[R.Sheyn]

23 часа назад, cypma4 сказал:

У меня при обновлении HW1000 с 3.5 до 4.2.2 было несколько багов крайне неприятных

Если забыли изменить пароль перед обновлением с 3.5 до 4.2.2 система не поднимется, необходимо произвести полную перезапись прошивки с USB с первичной инициализацией DST

Если после обновления до 4.х пропало взаимодействие с доверенной сетью, В журнале координатора моей сети блокированные зашифрованные пакеты на СМ Координатор доверенной сети 18-Неизвестный IP-адрес получателя, это баг Vipnet, необходимо изменить в ЦУС шлюзовой координатор на другой , и экспортировать межсетевую информацию в файл, передать в доверенную сеть, получить от них файл с Импортом. после этого можно вернуть шлюзовой координатор в исходное состояние, обменявшись межсетевой информацией.

 

 

1. Это не баг, а фича) данное требование описано в документации. Более того, когда обновляете кластер это необходимо сделать на обеих нодах.

2. Не очень понятно причем здесь роль шлюзового координатора и потеря связи, ведь это влияет только на mftp. Есть какое-нибудь расширенное разъяснение из инфотекса? Что-то мне подсказывает, что просто в справочниках что-то залипло и это не устойчивый баг, а разовый. Изменением в структуре просто сдвинули дело с залипшей точки.

[cypma4]

В 06.06.2018 в 18:02, R.Sheyn сказал:

1. Это не баг, а фича) данное требование описано в документации. Более того, когда обновляете кластер это необходимо сделать на обеих нодах.

2. Не очень понятно причем здесь роль шлюзового координатора и потеря связи, ведь это влияет только на mftp. Есть какое-нибудь расширенное разъяснение из инфотекса? Что-то мне подсказывает, что просто в справочниках что-то залипло и это не устойчивый баг, а разовый. Изменением в структуре просто сдвинули дело с залипшей точки.

с первым пунктом согласен. Однако этот пункт в документации надо было как то выделить

со Вторым у меня это случалось с тремя координаторами с доверенными сетями которые были на версии 3.х, развернутого ответа получить не удалось, так как собранные логи и конфиги не помогли, а из доверенной сети мне их не предоставляли, да и заниматься этим не было времени, так как надо было работу восстановить

[bmm]

В 03.05.2018 в 10:17, Xenobius сказал:

Успешно обновили АРМ Администратора, два HW1000 Q4 и один HW2000 Q3 в ночь с 27 на 28 апреля. На координаторах вообще ничего не пришлось прописывать руками, всё успешно конвертировалось, взлетело и работает как часы.

И все правила для ната и локальных фильтров перенеслись? У меня вот почему то на HW 1000 всё что было в iplir firewall config ничего не перенеслось, всё чистое как по умолчанию.

[R.Sheyn]

Проблемы могут возникать или не возникать в зависимости от "истории" ПАКа. Если все сразу разворачивалось и настраивалось на 3.5, то на 4.2 переедет без проблем(% неудачи стремиться к нулю).

Если же ПАК изначально был допустим с прошивкой 2.1, а потом его обновляли до 3.5, тогда вероятность проблем увеличивается. Еще более многократно увеличивается вероятность, если пренебрегать ступеньками обновления(что многие часто делают) и обновлять допустим с 2.1 сразу на 3.1, потом на 3.5. На первый взгляд обновление может и пройти и даже все будет работать, но потом вылезет например при обновлении на 4.2 или позднее.

[Xenobius]

В 13.06.2018 в 10:23, bmm сказал:

И все правила для ната и локальных фильтров перенеслись? У меня вот почему то на HW 1000 всё что было в iplir firewall config ничего не перенеслось, всё чистое как по умолчанию.

Да, все правила успешно перенеслись. Уверен, что успешное обновление было как раз из-за того, что ПАК относительно новый (в 2016 устанавливался) и был установлен изначально с актуальным обновлением ПО.

[bmm]

В 22.06.2018 в 09:12, Xenobius сказал:

Да, все правила успешно перенеслись. Уверен, что успешное обновление было как раз из-за того, что ПАК относительно новый (в 2016 устанавливался) и был установлен изначально с актуальным обновлением ПО. 

У меня тоже успешно перенеслись, после того как обновил до 3.5 а затем до 4.2, а вот с 3.2 до 4.2 правила не переносились, хотя остальное вроде путём.

[R.Sheyn]

1 час назад, bmm сказал:

а вот с 3.2 до 4.2 правила не переносились

Потому, что так делать нельзя.

[Vintik]

4 часа назад, bmm сказал:

осле того как обновил до 3.5 а затем до 4.2, а вот с 3.2 до 4.2 п

Это вы про что про HW-шки?

Если просто клиенты випнет то там нет 3,5 )

[bmm]

Да, HW.

[novsys]

Цитата

 

Коллеги,посоветуйте как быть

Имеется сеть : Клиенты версии 4-4.2 , ЦУС и УКЦ версия 3.2, HW 1000 Q1 версия 3.3 , лицензия (infotecs.reg) до 4.9

Стоит задача - заменить HW 1000 Q1 на новый HW1000 Q4 (версия 4.2.2)

Пытались двумя путями
1 На старом HW 1000 в ком строке командой admin export keys binary-encrypted
получили на флешке vbe файл.
при импорте на новом координаторе cannot remove/****iplirconfig.backup.db -см скрин 1

2 Сделали из ЦУС и УКЦ dst файл.При импорте в новый координатор error checking product integfity :failovered-config.crg code 17
product integfity check error

С чего начать?

[Vintik]

7 часов назад, novsys сказал:

Стоит задача - заменить HW 1000 Q1 на новый HW1000 Q4 (версия 4.2.2)

Вы саму железку меняете или её пытаетесь обновить до 4?

На сапорт инфотекса писали, что они порекомендуют?

[R.Sheyn]

15 часов назад, novsys сказал:

Коллеги,посоветуйте как быть

Имеется сеть : Клиенты версии 4-4.2 , ЦУС и УКЦ версия 3.2, HW 1000 Q1 версия 3.3 , лицензия (infotecs.reg) до 4.9

Стоит задача - заменить HW 1000 Q1 на новый HW1000 Q4 (версия 4.2.2)

Пытались двумя путями
1 На старом HW 1000 в ком строке командой admin export keys binary-encrypted
получили на флешке vbe файл.
при импорте на новом координаторе cannot remove/****iplirconfig.backup.db -см скрин 1

2 Сделали из ЦУС и УКЦ dst файл.При импорте в новый координатор error checking product integfity :failovered-config.crg code 17
product integfity check error

С чего начать?

1 вариант само собой не работает, Vbe можно импортировать только на ту версию с которой он снят.

По второму варианту, dst все таки развернулся или нет? в любом случае перепрошить и еще раз попробовать развернуть.

ЦУС какой конкретно 3.2? Какой билд?

7 часов назад, Vintik сказал:

На сапорт инфотекса писали, что они порекомендуют?

Саппорт инфотекса скажет 3я версия Админа снята с поддержки с мае, обновляйтесь. Это кстати будет самым лучшим и правильным вариантом)

[palich.ya]

On ‎7‎/‎11‎/‎2018 at 1:10 PM, R.Sheyn said:

1 вариант само собой не работает, Vbe можно импортировать только на ту версию с которой он снят.

По второму варианту, dst все таки развернулся или нет? в любом случае перепрошить и еще раз попробовать развернуть.

ЦУС какой конкретно 3.2? Какой билд?

Саппорт инфотекса скажет 3я версия Админа снята с поддержки с мае, обновляйтесь. Это кстати будет самым лучшим и правильным вариантом)

ДСТ не развернулся, прошить не получится, на новых ПАКах залочен Биос.

Версия Администратора 3.2.10, вполне вероятно по-быстрому обновиться до 3.2.13

До 4.6 обновление Администратора пока под вопросом. Понятно, что надо бы обновляться до 4.6

Саппорт примерно так и ответил, не гарантируем корректность ДСТ из 3.2 Ошибка не проявилась при тестировании указанных версий.

Может кто знает варианты, как без перепрошивки восстановить целостность failovered-config.crg , ошибка check integrity error вроде часто встречается, но в контексте product непонятно у чему относится, в HW1000 вроде ведь зеркалируются системные файлы. По ошибке саппорт лишь предположил, что возможно повреждены системы.файлы, если так, то к ним шиться, если нет, то заново пытаться развернуть ДСТ и желательно из ЦУС 4.х

UPDATE

ЦУС обновился на 3.2.13, был сгенерирован новый ДСТ, впоследствии без проблем и ошибок развернулся в новом ПАКе 4.2.2

Фактически проблема решена

UPDATE2

Спустя день-другой обновился и ЦУС до 4.6 с 3.2.13 - мало ли кому интересно - без проблем, все строго по инструкции, как говорится "не так страшен черт, как его малюют"

[Vintik]

Отлично

[alex1549]

В 03.05.2018 в 10:05, Sergeyy сказал:

На файловер не рискнули, да и вроде по методичке нельзя, если не путаю.

HW1000 штук 6 обновили и 2 HW100 удаленно.Все боевые. Все норм. Ну как норм, есть нюанс ,что firewallip ставит в своей секции 127.0.0.1. На одном очень старом HW100 после обновления он список туннелей в Ip адреса интерфейсов себе засунул....будто у него 20+ интерфейсов

В общем нормально, практикуем, из серии послали обновление, дождались, ssh, проверили настройки.

Правила Firewall конвертит тоже нормально, правда у нас их не много, проверяем все равно.

 

HW 1000 Q2/Q3 в основном, Q4 уже под 4 пришли зашитые

А есть вариант не обновлять администратора (ЦУС\КЦ) а только клиентов и координаторы и все это сделать удаленно

[R.Sheyn]

47 минут назад, alex1549 сказал:

А есть вариант не обновлять администратора (ЦУС\КЦ) а только клиентов и координаторы и все это сделать удаленно

Можно и не обновлять, вот только на 3го Администратора уже истек сертификат соответствия и закончилась поддержка. Так что если вылезут глюки никто Вам не поможет.

К тому же, если ЭЦП используете, то не сможете на новый гост перейти.

[bmm]

А для HW какая сейчас актуальная версия ПО?

[cypma4]

2 часа назад, bmm сказал:

А для HW какая сейчас актуальная версия ПО?

4.2.4 - не могу сказать сертифицирована она или нет

[bmm]

1 час назад, cypma4 сказал:

4.2.4 - не могу сказать сертифицирована она или нет

Понятно, а кто знает какая последняя сертифицированная?

[R.Sheyn]

Месяца подтора назад были 4.2.0 по фсб, 4.2.1 по фстэк.