Jump to content

Recommended Posts

Прошу Вас помочь мне ответом на мой вопрос, либо просто выслушать Ваше мнение.

Вопрос:

Если на ПК установлен Vipnet Client и этот ПК по wi-fi подключен к сетевому интерфейсу - ethX координатора. Другой сетевой интерфейс координатора - ethY подключен в доменную сеть (Microsoft Active Directory). Cможет ли этот ПК пройти аутентификацию в домене ?

Для заметок:

В книге "Система защиты информации ViPNet. Курс лекций", авторы: Н.В. Кабакова, А.О. Чефранова, А.В. Уривский, Ю.Ф. Алабина, пишут, что инициализация ViPNet драйвера выполняется на начальном этапе загрузки Windows, т.е. до инициализации остальных служб и драйверов ОС".

Согласно этому объяснению, как я понимаю, аутентификация на КД не произойдет и ПК никогда не подключится к домену. Предполагаю, в таком случае, нужно будет менять режим работы координатора ViPNet.

Если не прав поправьте, пожалуйста и, в чем я конкретно не прав.

Share this post


Link to post
Share on other sites

У меня к координатору было подключено через доменную сеть порядка двадцати машин - всё прекрасно работало. Порядок аутентификации был такой: сначала пользователь входил в сеть ViPNet, потом в домен.

У Вас принципиально именно такое подключение, с двумя сетевыми картами?

Share this post


Link to post
Share on other sites

Инициализация ViPNet-драйвера происходит с помощью ViPNet-службы (сервиса) регистрации пользователя через ввод пароля (вручную или автоматически), после чего инициализация остальных служб и драйверов ОС происходит в штатном (частные глюки здесь не рассматриваем) режиме.

Share this post


Link to post
Share on other sites

У меня к координатору было подключено через доменную сеть порядка двадцати машин - всё прекрасно работало. Порядок аутентификации был такой: сначала пользователь входил в сеть ViPNet, потом в домен.

У Вас принципиально именно такое подключение, с двумя сетевыми картами?

Рассматриваю такой вариант. Если не секрет, то как у Вас ?

Share this post


Link to post
Share on other sites

Рассматриваю такой вариант. Если не секрет, то как у Вас ?

Совершенно не секрет. Есть рабочее место введённое в домен с правами пользователя. Временно даём права локально администратора, устанавливаем и настраиваем ViPNet Client. Забираем права локального администратора, возвращаем права пользователя. В Интерент рабочее место ходит не через Координатор, а через другой шлюз. Через Координатор только конфиденциальные сообщения "Деловой почты". При всё этом никаких специальных настроек ViPNet Client'а или Windows не делалось. Ну кроме отключения встроенного брэндмауэра Windows. При этом Координатор не входит в домен сети, и вообще даже физически там не находится, а имеет белый статический адрес, к которому и происходит подключение. Соответственно у рабочего места одна сетевая карта.

Share this post


Link to post
Share on other sites

Совершенно не секрет. Есть рабочее место введённое в домен с правами пользователя. Временно даём права локально администратора, устанавливаем и настраиваем ViPNet Client. Забираем права локального администратора, возвращаем права пользователя. В Интерент рабочее место ходит не через Координатор, а через другой шлюз. Через Координатор только конфиденциальные сообщения "Деловой почты". При всё этом никаких специальных настроек ViPNet Client'а или Windows не делалось. Ну кроме отключения встроенного брэндмауэра Windows. При этом Координатор не входит в домен сети, и вообще даже физически там не находится, а имеет белый статический адрес, к которому и происходит подключение. Соответственно у рабочего места одна сетевая карта.

Я правильно понял, что РМ с ViPNet Client подключается к Координатору через сеть Интернет ?

P.S. Тогда немного не понимаю: зачем нужно подключаться к своему Координатору через Интернет.

Share this post


Link to post
Share on other sites

Да, всё так. А что Вас смущает? Координатор физически выведен из локальной сети в целях организации мер защиты от атак инсайдеров. Из вне - надёжно защищен.

Share this post


Link to post
Share on other sites

Добрый день.

Переводим компьютеры из одноранговой сети в домен Windows 2008r2 (с UserGate v6.4). В организации установлены VipNet. Подскажите пожалуйста - будет ли работать VipNet после перевода в ActiveDirectory? Обязательно ли настраивать UsserGate под VipNet?

Share this post


Link to post
Share on other sites

Добрый день.

Переводим компьютеры из одноранговой сети в домен Windows 2008r2 (с UserGate v6.4). В организации установлены VipNet. Подскажите пожалуйста - будет ли работать VipNet после перевода в ActiveDirectory? Обязательно ли настраивать UsserGate под VipNet?

Доброго времени суток, уважаемый Krasnokam!

Все будет работать прекрасно, если в клиенте пропишите правила для связи с вашими КД, в фильтрах открытой сети. С UserGate думаю ничего не нужно делать. Повторюсь, главное - правила фильтра на клиентах.

Share this post


Link to post
Share on other sites

...главное - правила фильтра на клиентах.

!

Правила фильтров на клиентах, это вот по этой инструкции http://iitrust.ru/upload/medialibrary/c30/vipnet_client_monitor_ru.pdf

страница 112, я правильно понимаю? Подскажите, пожалуйста как настраивать фильтры.

Share this post


Link to post
Share on other sites

!

Правила фильтров на клиентах, это вот по этой инструкции http://iitrust.ru/up..._monitor_ru.pdf

страница 112, я правильно понимаю? Подскажите, пожалуйста как настраивать фильтры.

Страница инструкции - 114. Распишите то, что Вам нужно сделать подробнее. Постараюсь помочь :)

Share this post


Link to post
Share on other sites

Так вот: в домен перевёл ПК - VipNet перестал работать. Вернул настройки сетевой карты на старый канал интернета - снова заработало. Провайдер один и тот же. Один канал интернета по одноранговой сети (от этой схемы уходим). Второй канал инета Сервер - две сетевые карты внешняя и внутренняя. На ПК указываем шлюзом IP внутренней карты. В VipNete, видимо, необходимо где-то в фильтрах указать ip сервера...

такие дела =)

Share this post


Link to post
Share on other sites

Так и не работает VipNet. В одноранговой сети через роутер работает, а вот при подключении к серверу перестаёт, временно в правилах UserGate разрешили все сетевые сервисы - не помогает. Ни компьютерщики с соседнего участка, ни наша местная поддержка по VipNet не могут подсказать. Куда хоть думать? Фильтры? Как их настраивать можно поподробнее?

Share this post


Link to post
Share on other sites

Обратите внимание на то по каким адресам обращается клиент випнет к ресурсам в Вашей сети: реальным или виртуальным! Для того чтобы были доступны ресурсы для клиента випнет в Вашей сети - он должен использовать виртуальные адреса через координатор. А на координатора прописаны правила а секции туннель".

Share this post


Link to post
Share on other sites

Настраиваю по этой инструкции (через UserGate) http://support.entensys.com/ru/Knowledgebase/Article/View/420/0/nstrojjk-vipnet

"1.

  • Слушающий IP: LAN
  • Порт: 55777
  • Адрес назначения: конечный IP-адрес сервера
  • Порт: 55777
  • Протокол: UDP
  • Авторизация: по исходному IP-адресу.

2.

  • Слушающий IP: LAN
  • Порт: 55777
  • Адрес назначения: конечный IP-адрес сервера
  • Порт: 55777
  • Протокол: TCP
  • Авторизация: по исходному IP-адресу.

3.

  • Слушающий IP: LAN
  • Порт: 241
  • Адрес назначения: конечный IP-адрес сервера
  • Порт: 241
  • Протокол: TCP
  • Авторизация: по исходному IP-адресу."

Выполнил пункты 1 и 2, (необходим ли третий пункт?)

далее "В самом ViPNet в настройках необходимо указать вместо конечного IP-адреса сервера для подключения IP-адрес сервера UserGate"

Где находится эта настройка конечногоо IP-адреса?

Share this post


Link to post
Share on other sites

Обратите внимание на то по каким адресам обращается клиент випнет к ресурсам в Вашей сети: реальным или виртуальным! Для того чтобы были доступны ресурсы для клиента випнет в Вашей сети - он должен использовать виртуальные адреса через координатор. А на координатора прописаны правила а секции туннель".

Как проверить по каким адресам работает VipNet, если и ip прописаны в настройках абон пункта, и в туннелях ip есть?

Share this post


Link to post
Share on other sites

Как проверить по каким адресам работает VipNet, если и ip прописаны в настройках абон пункта, и в туннелях ip есть?

Там есть галка (Использовать виртуальные адреса) и во вкладе адреса и во вкладке туннели. Вообще -то мне кажется что дело не в использовании виртуальных адресов, а в настройках. В частности тип межсетевого экрана и, возможно, в добавлении адреса межсетевого экрана в свойства координатора.

Share this post


Link to post
Share on other sites

Я так понял, что на UserGate необходимо напрямую открыть порты клиент-координатор.

А на клиенте указать IP адрес Сервера (UG).

08b.jpg

Share this post


Link to post
Share on other sites

У меня к координатору было подключено через доменную сеть порядка двадцати машин - всё прекрасно работало. Порядок аутентификации был такой: сначала пользователь входил в сеть ViPNet, потом в домен.

У Вас принципиально именно такое подключение, с двумя сетевыми картами?

Только при аутентификации нового доменного пользователя, на ПК с ViPNet Client, у меня выходит ошибка: "Отсутствуют сервера, которые могли бы обработать запрос на вход". Как в таком случае быть ???

Share this post


Link to post
Share on other sites

Только при аутентификации нового доменного пользователя, на ПК с ViPNet Client, у меня выходит ошибка: "Отсутствуют сервера, которые могли бы обработать запрос на вход". Как в таком случае быть ???

а в остальном все нормально функционирует ? у меня вот похожая проблема, я вообще в этом новенький, никак не могу ничего тут толком прояснить, лажу вот по форумам в поисках счастья :mellow:

http://geek-nose.com/active-directory-dlya-chajnikov/ попробуйте тут по искать что то, я с этой статьи познакомился, но на сайте должно еще что то полезное быть по любому :blink:

Share this post


Link to post
Share on other sites

а в остальном все нормально функционирует ? у меня вот похожая проблема, я вообще в этом новенький, никак не могу ничего тут толком прояснить, лажу вот по форумам в поисках счастья :mellow:

http://geek-nose.com...dlya-chajnikov/ попробуйте тут по искать что то, я с этой статьи познакомился, но на сайте должно еще что то полезное быть по любому :blink:

Спасибо. Я проблему уже эту победил.

Share this post


Link to post
Share on other sites

Только при аутентификации нового доменного пользователя, на ПК с ViPNet Client, у меня выходит ошибка: "Отсутствуют сервера, которые могли бы обработать запрос на вход". Как в таком случае быть ???

Такая ошибка возникает когда компьютер не находит контроллера домена, контроллер домена должен в настройках сетевой карты компьютера быть первым dns сервером и должна быть обеспечена его доступность. Проверьте настройки сетевой карты компьютера - члена домена и выполните на нем в командной строке команду nslookup <имя контроллера домена>. В выводе должны увидеть ip адреса контроллера домена.

Share this post


Link to post
Share on other sites
В 27.07.2015 в 22:39, Artyom сказал:

 

Спасибо. Я проблему уже эту победил.

Чувак, так может ты напишешь как ты ее победил?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.