Шлюз VIPnet для работы с ЭТРАН

[Barvinok]

Доброго дня (GMT+03)!

Подключаем ЭТРАН.
В силу особенностей работы (терминальный сервер+тонкие клиенты с загрузкой PXE) хочу установить VIPnet-клиент на отдельный хост:  x86 неттоп, Ubuntu 20.04.1 LTS, версия без графического интерфейса с криптографией ГОСТ.

В моём случае VIPnet-шлюз имеет один интерфейс, подключенный к локальной сети.
Значит пользователь должен либо обратиться к нему явно (Пользователь вводит в браузере адрес VIPnet-шлюза, тот заворачивает обращение в свой туннель и отправляет на адрес  10.248.35.9.), либо я заверну этот запрос правилом на маршрутизаторе.

Техподдержка ЭТРАН чувствует себя не уверенно и отвечает так:

Цитата

ЭТРАН должен запускаться с той машины, на которой випнет запущен. В клиента с другой машины вы ничего не завернете. нужно разворачивать свою собственную сеть випнет. Предлагаю вопрос этот обсудить с инфотексом

Возможен ли такой способ работы?
Есть ли готовое руководство по настройке?

[R.Sheyn]

Что вы подразумеваете под vipnet-шлюзом?

vipnet-клиент вообще не предназначен для маршрутизации трафика, но в принципе это реализовать возможно, если у вас http трафик, то проще всего поставить прокси на машину с клиентом, правда вы будете нарушать правила пользования.

[Barvinok]

1 час назад, R.Sheyn сказал:

Что вы подразумеваете под vipnet-шлюзом?

Просто хост в локальной сети:  x86 неттоп, Ubuntu 20.04.1 LTS, ViPNet Client 4U for Linux без графического интерфейса, который будет заворачивать трафик клиента в сеть VIPnet.
Так же, как ЭТРАН работает на обычной локальной машине, просто я хочу разнести клиента (браузер) и шлюз VIPnet.
 

Я представляю VIPnet-клиента как точку входа в защищённую сеть. Вопрос лишь в том, как направить в неё трафик?

• В адресной строке браузера указывать сервер ЭТРАН (10.248.35.9), а в качестве прокси указать хост с VIPnet-клиентом (192.168.15.200)?
• В адресной строке браузера указывать адрес VIPnet-хоста, на котором, в свою очередь, уже настроить маршрутизацию на сервер ЭТРАНА?
• В адресной строке браузера указывать адрес сервера ЭТРАН, а на маршрутизаторе настроить правило DNAT, которое будет заворачивать этот трафик на хост VIPnet?

Где взять дистрибутив? Как я понял, они раздаются строго под отчёт ФСБ и я не могу просто взять и скачать..?

Так же не совсем понятно, что именно я нарушаю. Нельзя разносить клиента ЭТРАН и VIPnet клиент на разные хосты?

[R.Sheyn]

20 часов назад, Barvinok сказал:

Где взять дистрибутив? Как я понял, они раздаются строго под отчёт ФСБ и я не могу просто взять и скачать..?

Технически взять и скачать вы можете из раздела демо-версии, с "боевыми" ключами она становятся полноценными, однако использовать вы обязаны сертифицированную версию, которую необходимо купить на диске. + надо еще понимать для какой ОС Этран выдал вам ключи, ключи для windows версии к линуксовой не подойдут, на линксовую отдельная лицензия.

20 часов назад, Barvinok сказал:

Так же не совсем понятно, что именно я нарушаю. Нельзя разносить клиента ЭТРАН и VIPnet клиент на разные хосты?

Нарушаете вы правила пользования на випнет клиент, которые установлены производителем(а их в свою очередь обязал ФСБ). А также лицензионные ограничения. Машина с випнет клиентом не должна маршрутизировать трафик(т.е. быть точкой доступа). Для таких целей предназначен отдельный продукт - випнет координатор.

 

Резюмируя, если вы не боитесь проверки ФСБ и гнева производителя, то технически все можно реализовать и с помощью випнет клиента. Как я уже писал проще всего с помощью прокси сервера.