Jump to content

Recommended Posts

Доброго дня!

Помогите осмыслить ...

Предистория: развернута защищенная сеть ViPNet 30+ координаторов HW, 150 + клиентов, функционировала штатно. В один прекрасный день упал администратор. Восстановить получилось только резервную копию трехмесячной давности (восстанавливали из резервного образа всей машины), в итоге за эти три месяца изменения в ЦУСе были утеряны. С клиентом сверили списки узлов созданных в этот период, убрали лишние узлы, внесли этот список в ЦУС. При добавлении узлов в ЦУС после сбоя временну'ю последовательность внесения не соблюдали, т.е. названия узлов до сбоя и после сбоя одни и теже, а идентификаторы разные. Полный список узлов стал на десяток машин меньше, чем был до сбоя администратора. Выдали новые dst для восстанновленных узлов, развернули эти dst на машинах (некоторые узлы клиент развернул на других машинах), справочники и ключи разослали по защищенной сети. Восстановленные узлы работают.  Сейчас потребовалось добавить несколько новых узлов. Добавили узлы в ЦУС, сформировали связи, разослали справочник по координаторам и узлам.

Сама аномалия - в защищенной сети в ViPNet Client Монитор на администраторе засветился узел (проверка защищенного соединения прошла, статус доступен), которому только что выдали dst, но еще не инициализировали этот dst ни на одном АРМ.

Полезли проверять :

В ЦУС идентификатор нового узла сделанного после восстановления после сбоя совпадает с идентификатором узла, который создавался до сбоя, но в текущем списке не было (т.к. количество узлов стало меньше). DST узла созданного до сбоя развернут на каком-то компьютере и это компьютер работает.

На Координаторе в событиях до того как пришли новые справочники (с только что созданными новыми узлами) - блокированные пакеты с событием 9 - не известный идентификатор узла, после того как пришли справочники, пакеты от этого же узла перестали блокироваться - события 40 и 44 (новый dst еще не развернут ни на одном компьютере).

Получается, что ключи в dst файле выданном до сбоя совпадают с ключами узла в dst выданном после восстановления? Так ли это? Ключ для узлов с одинаковым идентификатором вырабатывается один и тот же? (смены мастер ключей не было)

Может я запутано все написал... но может кто-нибудь подскажет... Заранее благодарен!

Share this post


Link to post
Share on other sites
32 минуты назад, KostiK2011IT сказал:

Получается, что ключи в dst файле выданном до сбоя совпадают с ключами узла в dst выданном после восстановления?

получается, что так. Здесь вы врядли получите ответ. Механизм генерации ключей знают только разработчики, а они сюда не заходят.

Понятно, конечно, что ключ генерируется с учетом идентификатора, я правда считал всегда, что добавляется какая-то случайная величина как раз, чтобы избежать таких ситуаций.

Share this post


Link to post
Share on other sites

На корды делали новые dst? Начиная с центрального и по дереву вниз. Была такая же ситуация, только у меня координаторов намного меньше.

И начните хранить уже бэкапы на стороннем ресурсе. Подняли тачку иэ бэкапа образа, накатили настройки из вчерашнего. Делов-то на 10 минут, даже валидол не нужен.

Share this post


Link to post
Share on other sites

DST для координаторов не делали. С бэкапами не все так просто, самовольничать нельзя, по шапке прилетит, клиент был озадачен резервированием, но облажался...

Share this post


Link to post
Share on other sites

А косячный старый узел в сети так и светится...(

Может все-таки разработчики увидят эту ветку...(

Share this post


Link to post
Share on other sites
30 минут назад, KostiK2011IT сказал:

А косячный старый узел в сети так и светится...(

Может все-таки разработчики увидят эту ветку...(

не увидят, напишите на hotline@infotecs.ru

Share this post


Link to post
Share on other sites

Где-то прочитал/слышал (могу ошибаться, т.к. не помню где и не нашел источник), что сейчас реализован механизм заполнения "пробелов" между идентификаторами, при не хватке свободных т.е. сеть должна быть очень большой - 65535+ узлов (или много раз переделывалась), чтобы механизм начал работать. Возникает проблема в связи с этой аномалией (а может так и должно быть). Хотя если все всегда правильно эксплуатировать...

 

Share this post


Link to post
Share on other sites

Вы не ответили на основной вопрос, который стоило проверить, после того как вы отправили новые справочники на ViPNet Coordinator со старого   ViPNet Client связь с координатором удается получить? Или пакеты блокируются? Скорее всего будут блокироваться.

А связи проверяются, каким-то хитрым способом. Так как раньше можно было разослать обновление справочников по всей сети. На координатор отправить новые ключи. Развернуть новый узел. И с произвольной машины (где есть связь с новым узлом). Увидеть, что узел горит фиолетовым (как бы доступен). Так что тут не все однозначно.

Share this post


Link to post
Share on other sites
23.04.2021 в 15:14, KostiK2011IT сказал:

На Координаторе в событиях до того как пришли новые справочники (с только что созданными новыми узлами) - блокированные пакеты с событием 9 - не известный идентификатор узла, после того как пришли справочники, пакеты от этого же узла перестали блокироваться - события 40 и 44 (новый dst еще не развернут ни на одном компьютере).

горит не просто фиолетовым, а проходит проверку и имя во время проверки отображается старой машины, а не текущей

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.