Vipnet Administrator И Vipnet Coordinator

[nvs]

Добрый день, хотел бы проконсультироваться по следующему вопросу.

Для построение VNP сети нашей организацией были выбраны продукты VipNet Client на рабочие места, VipNet Coordinator (программный) и соответственно VipNet Administrator. В организации существует сервер резервного копирования (в ЦОД), на который планируется (по защищенному каналу) заливать резервные копии с рабочих станций. Скажите пожалуйста, возможно ли на этот сервер резервного копирования установить одновременно и VipNet Coordinator и VipNet Administrator? Будет ли это правильным решением, или для установки данного ПО необходимо использовать отдельный сервер?

[xrays72]

Добрый день, хотел бы проконсультироваться по следующему вопросу.

Для построение VNP сети нашей организацией были выбраны продукты VipNet Client на рабочие места, VipNet Coordinator (программный) и соответственно VipNet Administrator. В организации существует сервер резервного копирования (в ЦОД), на который планируется (по защищенному каналу) заливать резервные копии с рабочих станций. Скажите пожалуйста, возможно ли на этот сервер резервного копирования установить одновременно и VipNet Coordinator и VipNet Administrator? Будет ли это правильным решением, или для установки данного ПО необходимо использовать отдельный сервер?

1. Cеть VPN, а не VNP.
   
2. VipNet Coordinator и VipNet Administrator нельзя поставить на 1 сервер, потому что в обоих используется VipNet monitor.
   
3. VipNet Coordinator и VipNet Administrator выполняют разные задачи, грубо говоря VipNet Administrator рулит сетью, а VipNet Coordinator просто связывает удаленных клиентов с локальными. Поэтому когда поставите VipNet Client на сервер резервного копирования (в ЦОД), то чтобы он увидел других VipNet Client'ов, то сначала он должен увидить VipNet Coordinator, который и свяжет всех в единую виртуальную сеть.
   
4. Правильным решением будет ставить VipNet Coordinator на отдельный сервер, а VipNet Administrator на рабочую станцию вашего администратора.
   

[slavanchuk]

1. Cеть VPN, а не VNP.
   
   
2. VipNet Coordinator и VipNet Administrator нельзя поставить на 1 сервер, потому что в обоих используется VipNet monitor.
   
   
3. VipNet Coordinator и VipNet Administrator выполняют разные задачи, грубо говоря VipNet Administrator рулит сетью, а VipNet Coordinator просто связывает удаленных клиентов с локальными. Поэтому когда поставите VipNet Client на сервер резервного копирования (в ЦОД), то чтобы он увидел других VipNet Client'ов, то сначала он должен увидить VipNet Coordinator, который и свяжет всех в единую виртуальную сеть.
   
   
4. Правильным решением будет ставить VipNet Coordinator на отдельный сервер, а VipNet Administrator на рабочую станцию вашего администратора.
   

Согласен. Правильно будет поставить VipNet Administrator на отдельный сервер. Но от себя ещё добавлю. Лучше даже прочитать регламент безопасности сети VipNet. Там написано как правильно и безопасно будет организовывать защиту (согласованные с ФСБ правила эксплуатации). Но, если в теории, то их можно запихать на одну машину. VipNet Client из состава администратора ставить не обязательно. Но это будет совсем неправильно.

Что касается доступности координатора, то это верно в случае, если ПК не в одной локальной сети. В одной локалке они должны увидеть друг друга.

У Вас VipNet используется для защиты персональных данных или VipNet был просто выбран стандартом VPN в организации?

[xrays72]

Но, если в теории, то их можно запихать на одну машину. VipNet Client из состава администратора ставить не обязательно. Но это будет совсем неправильно.

Как же тогда заработает транспортный модуль mftp если VipNet Client не поставить на рабочую станцую администратора после установки на него ЦУСа и УКЦ, входящих в VipNet Administrator?

Без этого транспортного модуля вообще работа VipNet сети встанет, потому что любые обновления(ключи, справочники прочее) просто ни как не разошлются.

[AnTonN(c)]

Можно поставить координатор на админа и даже заставить его работать, НО! если что-то будет меняться в отношении mftp (программный код), то не факт, что заработает в новых версиях. Это теория и стендовая практика. Однозначно необходимо на админа ставить клиента.

[nvs]

Согласен. Правильно будет поставить VipNet Administrator на отдельный сервер. Но от себя ещё добавлю. Лучше даже прочитать регламент безопасности сети VipNet. Там написано как правильно и безопасно будет организовывать защиту (согласованные с ФСБ правила эксплуатации). Но, если в теории, то их можно запихать на одну машину. VipNet Client из состава администратора ставить не обязательно. Но это будет совсем неправильно.

Что касается доступности координатора, то это верно в случае, если ПК не в одной локальной сети. В одной локалке они должны увидеть друг друга.

У Вас VipNet используется для защиты персональных данных или VipNet был просто выбран стандартом VPN в организации?

VIpNet ставится как раз для защиты персональных данных. То есть будут передаваться резервные копии, содержащие персональные данные.

Спасибо большое за ответы.

[slavanchuk]

VIpNet ставится как раз для защиты персональных данных. То есть будут передаваться резервные копии, содержащие персональные данные.

Спасибо большое за ответы.

В таком случае ставьте только сертифицированные сборки VipNet и настраивайте строго в соответствии с регламентом информационной безопасности, приложенном на диске с сертифицированной ФСБ сборкой.

[nvs]

В таком случае ставьте только сертифицированные сборки VipNet и настраивайте строго в соответствии с регламентом информационной безопасности, приложенном на диске с сертифицированной ФСБ сборкой.

Скажите пожалуйста, при первоначальной настройке сети, рабочая машина администратора с установленным ПО VipNet Administrator, должна напрямую быть подключена к серверу, где стоит координатор? Или же Администратор может находиться в офисе, а координатор в ЦОД?

[slavanchuk]

Скажите пожалуйста, при первоначальной настройке сети, рабочая машина администратора с установленным ПО VipNet Administrator, должна напрямую быть подключена к серверу, где стоит координатор? Или же Администратор может находиться в офисе, а координатор в ЦОД?

Они могут находиться где угодно и как угодно далеко друг от друга. Главное - чтобы они могли установить друг с другом связь. В частности, координатор должен иметь белый IP-адрес (если у Вас связь через Интернет), а если по VPN, то он так же должен иметь постоянный IP адрес, по которому администратор сможет к нему достучаться. При разворачивании сети не требуется связь, Вы после генерации справочников, маршрутов, ключей и тому подобного перенесёте на съёмном носителе инициализационный файл для ввода в действие координатора. До этого связь между ними будет бесполезной. А после разворачивания - если вы не хотите вручную переносить ключи и справочники на координатор - между ними должна быть связь.

[RedraBBit]

здравствуйте!

Вопрос схожий. Необходимо настроить сеть для функционирования в качестве УЦ.

Были приобретены ViPNet Coordinator, Administrator, Registration point.

как ПРАВИЛЬНО построить сеть? Пробовал на 1 машине ставить Администратор+Координатор, на другой- Точку регистрации+Клиент. До УКЦ не доходит запрос на серт. Другой вариант: на 1 машине Администратор+Координатор, на другой- Точка регистрации(взаимодействие через транспортный модуль в комплекте) - та же песня. Третий вариант - на 1 машине Администратор+Клиент, на другой- Точка регистрации, Координатор - на третьей. Снова ничего не вышло. Все машины в 1 локальной сети.В будущем планируется открыть точку доступа в другом городе. но пока даже в локалке не работает. Операционные системы: УКЦ и ЦУС ставлю на Server 2008 32bit. Registration Point на Widows 8. Еще пробовал Координатор ставить на windows 7.

Что странно: во всех случаях Координатор и Клиент видят друг друга. Файлы передаются, посылаются сообщения. Но запрос на сертификат не проходит. Всю голову сломал. Бьюсь уже 2 недели, а сроки поджимают! Очень надеюсь на Вашу поддержку. С ВиПНетом работаю впервые. Заранее огромное спасибо!

[slavanchuk]

здравствуйте!

Вопрос схожий. Необходимо настроить сеть для функционирования в качестве УЦ.

Были приобретены ViPNet Coordinator, Administrator, Registration point.

как ПРАВИЛЬНО построить сеть? Пробовал на 1 машине ставить Администратор+Координатор, на другой- Точку регистрации+Клиент. До УКЦ не доходит запрос на серт. Другой вариант: на 1 машине Администратор+Координатор, на другой- Точка регистрации(взаимодействие через транспортный модуль в комплекте) - та же песня. Третий вариант - на 1 машине Администратор+Клиент, на другой- Точка регистрации, Координатор - на третьей. Снова ничего не вышло. Все машины в 1 локальной сети.В будущем планируется открыть точку доступа в другом городе. но пока даже в локалке не работает. Операционные системы: УКЦ и ЦУС ставлю на Server 2008 32bit. Registration Point на Widows 8. Еще пробовал Координатор ставить на windows 7.

Что странно: во всех случаях Координатор и Клиент видят друг друга. Файлы передаются, посылаются сообщения. Но запрос на сертификат не проходит. Всю голову сломал. Бьюсь уже 2 недели, а сроки поджимают! Очень надеюсь на Вашу поддержку. С ВиПНетом работаю впервые. Заранее огромное спасибо!

Во-первых, координатор и администратор на одну машину ставить нельзя. На машину с администратором ставится клиент. Также клиент ставится на машину с registration point. Координатор ставится на отдельную машину. Связь между координатором и администратором, а также между regpoint и координатором должна быть (проверка соединения). Тогда запрос дойдёт. Смотрите журнал MFTP пакетов - увидите где застревает ваш запрос.

[RedraBBit]

Во-первых, координатор и администратор на одну машину ставить нельзя. На машину с администратором ставится клиент. Также клиент ставится на машину с registration point. Координатор ставится на отдельную машину. Связь между координатором и администратором, а также между regpoint и координатором должна быть (проверка соединения). Тогда запрос дойдёт. Смотрите журнал MFTP пакетов - увидите где застревает ваш запрос.

А регистрация АП для Registration Point в ПЗ Защита трафика обязательна? Без этой ПЗ запросы будут проходить?

[AnTonN(c)]

ПЗ Защита трафика нужна для того, чтобы запустить ViPNet Client Monitor. RegPoint'у эта ПЗ не нужна. Только в случае, если RegPoint используется совместно с ViPNet Client как один АП необходимо выбрать ПЗ защита трафика и центр регистрации.

[RedraBBit]

ПЗ Защита трафика нужна для того, чтобы запустить ViPNet Client Monitor. RegPoint'у эта ПЗ не нужна. Только в случае, если RegPoint используется совместно с ViPNet Client как один АП необходимо выбрать ПЗ защита трафика и центр регистрации.

Но в случае, когда на 1 машине Администратор+Клиент, на другой- Точка регистрации, Координатор - на третьей - запросы все равно не проходят( настройки не трогал. ведь по идее все должно работать?

[AnTonN(c)]

Конечно нет. Все зависит от того как RP соединяется с админом: через сервер или mftp. Если через сервер, то у RP должны быть адреса доступа к нему (mftp) и на координаторе должны быть соответствующие фильтры (если конечно по глупости используется 4 режим безопасности, то фильтры не нужны). Если по mftp, то фильтры нужны на нем (если конечно по глупости используется 4 режим безопасности, то фильтры не нужны).

[RedraBBit]

Проблема такая: mftp RP не видит координатор. Настройки не трогал. В чем может быть причина? Это может быть из-за отсутствия необходимых настроек фильтров? Соединение через сервер.

Вот, что говорит mftp RP:

Connection timed out: Узел недоступен.

18.03.2013 13:42:26.013 844 Closed

18.03.2013 13:42:26.019 844 Free

18.03.2013 13:42:26.026 DecHOC=0

18.03.2013 13:42:27.016 Poll for 0C230027

18.03.2013 13:42:27.021 Get IP for 0C230027

18.03.2013 13:42:27.027 IP for 0C230027=

18.03.2013 13:42:27.032 Start connect to 172.19.34.18 on port #5001

18.03.2013 13:42:27.041 1580 Connecting to 172.19.34.18 ... HOC=1

18.03.2013 13:42:48.048 1580 Error 10060 in function FD_CONNECT

Connection timed out: Узел недоступен.

18.03.2013 13:42:48.054 1580 Closed

18.03.2013 13:42:48.060 1580 Free

18.03.2013 13:42:48.105 DecHOC=0

18.03.2013 13:42:48.112 Set Error for 0C230027 for 60 sec

[RedraBBit]

А установленный с RP Cliet помог бы решить проблему? просто лицензия позволяет создать только 1 АП с ПЗ "защита трафика".

[RedraBBit]

Создал правило на координаторе, которое позволяет пропускать все пакеты в локальной сети. MFTP RP теперь видит координатор. Но запрос на сертификат по-прежнему не проходит. Где же собака зарыта?

[slavanchuk]

Создал правило на координаторе, которое позволяет пропускать все пакеты в локальной сети. MFTP RP теперь видит координатор. Но запрос на сертификат по-прежнему не проходит. Где же собака зарыта?

По защищённой сети и так должно работать - без особых правил. А почему узел недоступен - нужно смотреть журнал координатора.

[RedraBBit]

По защищённой сети и так должно работать - без особых правил. А почему узел недоступен - нужно смотреть журнал координатора.

У нас RP установлен без клиента,т.к. лицензия позволяет создать только 1 АП с ПЗ "Защита трафика". Эту ПЗ я отдал АП с УКЦ. Поэтому RP связывается только посредством mftp.

[slavanchuk]

У нас RP установлен без клиента,т.к. лицензия позволяет создать только 1 АП с ПЗ "Защита трафика". Эту ПЗ я отдал АП с УКЦ. Поэтому RP связывается только посредством mftp.

Так, получается пакеты после открытия правил успешно проходят? Запрос не зависает на координаторе? Что говорится в журнале MFTP на компьютере с УКЦ? Пакеты не ушли в битые или некорректные?

[RedraBBit]

Так, получается пакеты после открытия правил успешно проходят? Запрос не зависает на координаторе? Что говорится в журнале MFTP на компьютере с УКЦ? Пакеты не ушли в битые или некорректные?

если бы я знал, как проверить. mftp RP говорит,что к координатору подключился.mftp УКЦ тоже,координатор доступен.

Журнал mftp RP пуст.Журнал mftp компьютера с УКЦ пуст. сейчас все участники ViPNet-сети включены в локалку, поэтому Координатор блокирует кучу пакетов. а как проследить запрос на сертификат?

[RedraBBit]

т.е. mftp RP и mftp УКЦ подключены к координатору. Но складывается впечатление, что запросы с RP не уходят(т.к.журнал пуст).

Выходит,что связь есть, но при этом не функционирует, как положено(

где я скриворучил?

[slavanchuk]

т.е. mftp RP и mftp УКЦ подключены к координатору. Но складывается впечатление, что запросы с RP не уходят(т.к.журнал пуст).

Выходит,что связь есть, но при этом не функционирует, как положено(

где я скриворучил?

Хороший вопрос. MFTP-то вообще функционирует? Пакеты формируются? Если журнал пуст, то посмотрите очередь сообщений - может быть, они там висят. Если висят, то нужно смотреть журнал MFTP на предмет того почему они не отправляются.

[RedraBBit]

Хороший вопрос. MFTP-то вообще функционирует? Пакеты формируются? Если журнал пуст, то посмотрите очередь сообщений - может быть, они там висят. Если висят, то нужно смотреть журнал MFTP на предмет того почему они не отправляются.

Очередь сообщений тоже пуста. А по каким причинам mftp может не работать?