Vipnet Client & Ms Active Directory Domain

[Artyom]

Прошу Вас помочь мне ответом на мой вопрос, либо просто выслушать Ваше мнение.

Вопрос:

Если на ПК установлен Vipnet Client и этот ПК по wi-fi подключен к сетевому интерфейсу - ethX координатора. Другой сетевой интерфейс координатора - ethY подключен в доменную сеть (Microsoft Active Directory). Cможет ли этот ПК пройти аутентификацию в домене ?

Для заметок:

В книге "Система защиты информации ViPNet. Курс лекций", авторы: Н.В. Кабакова, А.О. Чефранова, А.В. Уривский, Ю.Ф. Алабина, пишут, что инициализация ViPNet драйвера выполняется на начальном этапе загрузки Windows, т.е. до инициализации остальных служб и драйверов ОС".

Согласно этому объяснению, как я понимаю, аутентификация на КД не произойдет и ПК никогда не подключится к домену. Предполагаю, в таком случае, нужно будет менять режим работы координатора ViPNet.

Если не прав поправьте, пожалуйста и, в чем я конкретно не прав.

[Xenobius]

У меня к координатору было подключено через доменную сеть порядка двадцати машин - всё прекрасно работало. Порядок аутентификации был такой: сначала пользователь входил в сеть ViPNet, потом в домен.

У Вас принципиально именно такое подключение, с двумя сетевыми картами?

[mirov]

Инициализация ViPNet-драйвера происходит с помощью ViPNet-службы (сервиса) регистрации пользователя через ввод пароля (вручную или автоматически), после чего инициализация остальных служб и драйверов ОС происходит в штатном (частные глюки здесь не рассматриваем) режиме.

[Artyom]

У меня к координатору было подключено через доменную сеть порядка двадцати машин - всё прекрасно работало. Порядок аутентификации был такой: сначала пользователь входил в сеть ViPNet, потом в домен.

У Вас принципиально именно такое подключение, с двумя сетевыми картами?

Рассматриваю такой вариант. Если не секрет, то как у Вас ?

[Xenobius]

Рассматриваю такой вариант. Если не секрет, то как у Вас ?

Совершенно не секрет. Есть рабочее место введённое в домен с правами пользователя. Временно даём права локально администратора, устанавливаем и настраиваем ViPNet Client. Забираем права локального администратора, возвращаем права пользователя. В Интерент рабочее место ходит не через Координатор, а через другой шлюз. Через Координатор только конфиденциальные сообщения "Деловой почты". При всё этом никаких специальных настроек ViPNet Client'а или Windows не делалось. Ну кроме отключения встроенного брэндмауэра Windows. При этом Координатор не входит в домен сети, и вообще даже физически там не находится, а имеет белый статический адрес, к которому и происходит подключение. Соответственно у рабочего места одна сетевая карта.

[Artyom]

Совершенно не секрет. Есть рабочее место введённое в домен с правами пользователя. Временно даём права локально администратора, устанавливаем и настраиваем ViPNet Client. Забираем права локального администратора, возвращаем права пользователя. В Интерент рабочее место ходит не через Координатор, а через другой шлюз. Через Координатор только конфиденциальные сообщения "Деловой почты". При всё этом никаких специальных настроек ViPNet Client'а или Windows не делалось. Ну кроме отключения встроенного брэндмауэра Windows. При этом Координатор не входит в домен сети, и вообще даже физически там не находится, а имеет белый статический адрес, к которому и происходит подключение. Соответственно у рабочего места одна сетевая карта.

Я правильно понял, что РМ с ViPNet Client подключается к Координатору через сеть Интернет ?

P.S. Тогда немного не понимаю: зачем нужно подключаться к своему Координатору через Интернет.

[Xenobius]

Да, всё так. А что Вас смущает? Координатор физически выведен из локальной сети в целях организации мер защиты от атак инсайдеров. Из вне - надёжно защищен.

[Artyom]

Спасибо. Всё предельно ясно

[Krasnokam]

Добрый день.

Переводим компьютеры из одноранговой сети в домен Windows 2008r2 (с UserGate v6.4). В организации установлены VipNet. Подскажите пожалуйста - будет ли работать VipNet после перевода в ActiveDirectory? Обязательно ли настраивать UsserGate под VipNet?

[Artyom]

Добрый день.

Переводим компьютеры из одноранговой сети в домен Windows 2008r2 (с UserGate v6.4). В организации установлены VipNet. Подскажите пожалуйста - будет ли работать VipNet после перевода в ActiveDirectory? Обязательно ли настраивать UsserGate под VipNet?

Доброго времени суток, уважаемый Krasnokam!

Все будет работать прекрасно, если в клиенте пропишите правила для связи с вашими КД, в фильтрах открытой сети. С UserGate думаю ничего не нужно делать. Повторюсь, главное - правила фильтра на клиентах.

[Krasnokam]

...главное - правила фильтра на клиентах.

!

Правила фильтров на клиентах, это вот по этой инструкции http://iitrust.ru/upload/medialibrary/c30/vipnet_client_monitor_ru.pdf

страница 112, я правильно понимаю? Подскажите, пожалуйста как настраивать фильтры.

[Artyom]

!

Правила фильтров на клиентах, это вот по этой инструкции http://iitrust.ru/up..._monitor_ru.pdf

страница 112, я правильно понимаю? Подскажите, пожалуйста как настраивать фильтры.

Страница инструкции - 114. Распишите то, что Вам нужно сделать подробнее. Постараюсь помочь

[Krasnokam]

Так вот: в домен перевёл ПК - VipNet перестал работать. Вернул настройки сетевой карты на старый канал интернета - снова заработало. Провайдер один и тот же. Один канал интернета по одноранговой сети (от этой схемы уходим). Второй канал инета Сервер - две сетевые карты внешняя и внутренняя. На ПК указываем шлюзом IP внутренней карты. В VipNete, видимо, необходимо где-то в фильтрах указать ip сервера...

такие дела =)

[Krasnokam]

Так и не работает VipNet. В одноранговой сети через роутер работает, а вот при подключении к серверу перестаёт, временно в правилах UserGate разрешили все сетевые сервисы - не помогает. Ни компьютерщики с соседнего участка, ни наша местная поддержка по VipNet не могут подсказать. Куда хоть думать? Фильтры? Как их настраивать можно поподробнее?

[Artyom]

Обратите внимание на то по каким адресам обращается клиент випнет к ресурсам в Вашей сети: реальным или виртуальным! Для того чтобы были доступны ресурсы для клиента випнет в Вашей сети - он должен использовать виртуальные адреса через координатор. А на координатора прописаны правила а секции туннель".

[Krasnokam]

Настраиваю по этой инструкции (через UserGate) http://support.entensys.com/ru/Knowledgebase/Article/View/420/0/nstrojjk-vipnet

"1.

• Слушающий IP: LAN
  
• Порт: 55777
  
• Адрес назначения: конечный IP-адрес сервера
  
• Порт: 55777
  
• Протокол: UDP
  
• Авторизация: по исходному IP-адресу.
  

2.

• Слушающий IP: LAN
  
• Порт: 55777
  
• Адрес назначения: конечный IP-адрес сервера
  
• Порт: 55777
  
• Протокол: TCP
  
• Авторизация: по исходному IP-адресу.
  

3.

• Слушающий IP: LAN
  
• Порт: 241
  
• Адрес назначения: конечный IP-адрес сервера
  
• Порт: 241
  
• Протокол: TCP
  
• Авторизация: по исходному IP-адресу."
  

Выполнил пункты 1 и 2, (необходим ли третий пункт?)

далее "В самом ViPNet в настройках необходимо указать вместо конечного IP-адреса сервера для подключения IP-адрес сервера UserGate"

Где находится эта настройка конечногоо IP-адреса?

[Krasnokam]

Обратите внимание на то по каким адресам обращается клиент випнет к ресурсам в Вашей сети: реальным или виртуальным! Для того чтобы были доступны ресурсы для клиента випнет в Вашей сети - он должен использовать виртуальные адреса через координатор. А на координатора прописаны правила а секции туннель".

Как проверить по каким адресам работает VipNet, если и ip прописаны в настройках абон пункта, и в туннелях ip есть?

[Aleandro1]

Как проверить по каким адресам работает VipNet, если и ip прописаны в настройках абон пункта, и в туннелях ip есть?

Там есть галка (Использовать виртуальные адреса) и во вкладе адреса и во вкладке туннели. Вообще -то мне кажется что дело не в использовании виртуальных адресов, а в настройках. В частности тип межсетевого экрана и, возможно, в добавлении адреса межсетевого экрана в свойства координатора.

[Krasnokam]

Я так понял, что на UserGate необходимо напрямую открыть порты клиент-координатор.

А на клиенте указать IP адрес Сервера (UG).

[Artyom]

У меня к координатору было подключено через доменную сеть порядка двадцати машин - всё прекрасно работало. Порядок аутентификации был такой: сначала пользователь входил в сеть ViPNet, потом в домен.

У Вас принципиально именно такое подключение, с двумя сетевыми картами?

Только при аутентификации нового доменного пользователя, на ПК с ViPNet Client, у меня выходит ошибка: "Отсутствуют сервера, которые могли бы обработать запрос на вход". Как в таком случае быть ???

[Eliarnin]

Только при аутентификации нового доменного пользователя, на ПК с ViPNet Client, у меня выходит ошибка: "Отсутствуют сервера, которые могли бы обработать запрос на вход". Как в таком случае быть ???

а в остальном все нормально функционирует ? у меня вот похожая проблема, я вообще в этом новенький, никак не могу ничего тут толком прояснить, лажу вот по форумам в поисках счастья

http://geek-nose.com/active-directory-dlya-chajnikov/ попробуйте тут по искать что то, я с этой статьи познакомился, но на сайте должно еще что то полезное быть по любому

[Artyom]

а в остальном все нормально функционирует ? у меня вот похожая проблема, я вообще в этом новенький, никак не могу ничего тут толком прояснить, лажу вот по форумам в поисках счастья

http://geek-nose.com...dlya-chajnikov/ попробуйте тут по искать что то, я с этой статьи познакомился, но на сайте должно еще что то полезное быть по любому

Спасибо. Я проблему уже эту победил.

[admiral62]

Только при аутентификации нового доменного пользователя, на ПК с ViPNet Client, у меня выходит ошибка: "Отсутствуют сервера, которые могли бы обработать запрос на вход". Как в таком случае быть ???

Такая ошибка возникает когда компьютер не находит контроллера домена, контроллер домена должен в настройках сетевой карты компьютера быть первым dns сервером и должна быть обеспечена его доступность. Проверьте настройки сетевой карты компьютера - члена домена и выполните на нем в командной строке команду nslookup <имя контроллера домена>. В выводе должны увидеть ip адреса контроллера домена.

[Artyom]

Согласен

[blackstripe]

В 27.07.2015 в 22:39, Artyom сказал:

 

Спасибо. Я проблему уже эту победил.

Чувак, так может ты напишешь как ты ее победил?