Аномалия

[KostiK2011IT]

Доброго дня!

Помогите осмыслить ...

Предистория: развернута защищенная сеть ViPNet 30+ координаторов HW, 150 + клиентов, функционировала штатно. В один прекрасный день упал администратор. Восстановить получилось только резервную копию трехмесячной давности (восстанавливали из резервного образа всей машины), в итоге за эти три месяца изменения в ЦУСе были утеряны. С клиентом сверили списки узлов созданных в этот период, убрали лишние узлы, внесли этот список в ЦУС. При добавлении узлов в ЦУС после сбоя временну'ю последовательность внесения не соблюдали, т.е. названия узлов до сбоя и после сбоя одни и теже, а идентификаторы разные. Полный список узлов стал на десяток машин меньше, чем был до сбоя администратора. Выдали новые dst для восстанновленных узлов, развернули эти dst на машинах (некоторые узлы клиент развернул на других машинах), справочники и ключи разослали по защищенной сети. Восстановленные узлы работают.  Сейчас потребовалось добавить несколько новых узлов. Добавили узлы в ЦУС, сформировали связи, разослали справочник по координаторам и узлам.

Сама аномалия - в защищенной сети в ViPNet Client Монитор на администраторе засветился узел (проверка защищенного соединения прошла, статус доступен), которому только что выдали dst, но еще не инициализировали этот dst ни на одном АРМ.

Полезли проверять :

В ЦУС идентификатор нового узла сделанного после восстановления после сбоя совпадает с идентификатором узла, который создавался до сбоя, но в текущем списке не было (т.к. количество узлов стало меньше). DST узла созданного до сбоя развернут на каком-то компьютере и это компьютер работает.

На Координаторе в событиях до того как пришли новые справочники (с только что созданными новыми узлами) - блокированные пакеты с событием 9 - не известный идентификатор узла, после того как пришли справочники, пакеты от этого же узла перестали блокироваться - события 40 и 44 (новый dst еще не развернут ни на одном компьютере).

Получается, что ключи в dst файле выданном до сбоя совпадают с ключами узла в dst выданном после восстановления? Так ли это? Ключ для узлов с одинаковым идентификатором вырабатывается один и тот же? (смены мастер ключей не было)

Может я запутано все написал... но может кто-нибудь подскажет... Заранее благодарен!

[R.Sheyn]

32 минуты назад, KostiK2011IT сказал:

Получается, что ключи в dst файле выданном до сбоя совпадают с ключами узла в dst выданном после восстановления?

получается, что так. Здесь вы врядли получите ответ. Механизм генерации ключей знают только разработчики, а они сюда не заходят.

Понятно, конечно, что ключ генерируется с учетом идентификатора, я правда считал всегда, что добавляется какая-то случайная величина как раз, чтобы избежать таких ситуаций.

[Заикающийся]

На корды делали новые dst? Начиная с центрального и по дереву вниз. Была такая же ситуация, только у меня координаторов намного меньше.

И начните хранить уже бэкапы на стороннем ресурсе. Подняли тачку иэ бэкапа образа, накатили настройки из вчерашнего. Делов-то на 10 минут, даже валидол не нужен.

[KostiK2011IT]

DST для координаторов не делали. С бэкапами не все так просто, самовольничать нельзя, по шапке прилетит, клиент был озадачен резервированием, но облажался...

[KostiK2011IT]

А косячный старый узел в сети так и светится...(

Может все-таки разработчики увидят эту ветку...(

[zero]

30 минут назад, KostiK2011IT сказал:

А косячный старый узел в сети так и светится...(

Может все-таки разработчики увидят эту ветку...(

не увидят, напишите на hotline@infotecs.ru

[KostiK2011IT]

Где-то прочитал/слышал (могу ошибаться, т.к. не помню где и не нашел источник), что сейчас реализован механизм заполнения "пробелов" между идентификаторами, при не хватке свободных т.е. сеть должна быть очень большой - 65535+ узлов (или много раз переделывалась), чтобы механизм начал работать. Возникает проблема в связи с этой аномалией (а может так и должно быть). Хотя если все всегда правильно эксплуатировать...

 

[fedor]

Вы не ответили на основной вопрос, который стоило проверить, после того как вы отправили новые справочники на ViPNet Coordinator со старого   ViPNet Client связь с координатором удается получить? Или пакеты блокируются? Скорее всего будут блокироваться.

А связи проверяются, каким-то хитрым способом. Так как раньше можно было разослать обновление справочников по всей сети. На координатор отправить новые ключи. Развернуть новый узел. И с произвольной машины (где есть связь с новым узлом). Увидеть, что узел горит фиолетовым (как бы доступен). Так что тут не все однозначно.

[KostiK2011IT]

23.04.2021 в 15:14, KostiK2011IT сказал:

На Координаторе в событиях до того как пришли новые справочники (с только что созданными новыми узлами) - блокированные пакеты с событием 9 - не известный идентификатор узла, после того как пришли справочники, пакеты от этого же узла перестали блокироваться - события 40 и 44 (новый dst еще не развернут ни на одном компьютере).

горит не просто фиолетовым, а проходит проверку и имя во время проверки отображается старой машины, а не текущей