Роли в ViPNet Administrator 4

Хочу продолжить цикл статей про ViPNet Administrator 4 и в этот раз расскажу про Роли.

Если в двух словах, то при помощи роли можно определить функционал узла сети, например, роль Business Mail позволяет использовать Деловую почту ViPNet для обмена сообщениями, и без этой роли узел не сможет этого делать.

Во вкладке Роли в ЦУСе можно видеть все доступные вам роли с информацией о количестве свободных и занятых ролей, а также сроке действия.

Роли "Business Mail" и "Обмен сообщениями и файлами" являются составляющими роли VPN-клиент и в данной версии ЦУСа могут быть установлены только при наличии роли VPN-клиент. Иными словами, сначала узлу устанавливается роль VPN-клиент, а уже потом "Обмен сообщениями и файлами" и "Business Mail". Можно настроить, чтобы эти роли присваивались всем создаваемым клиентам по умолчанию.

Роль Client for Linux как не трудно догадаться является клиентом для ОС Linux, исключая мобильные ОС. Кстати, забавный баг в том, что DST-файл с ролью Client for Linux можно установить на компьютер с Windows и ViPNet Client будет даже работать, но наоборот не работает. 

Роль VPN Client для мобильных устройств позволяет использовать ОС Android и iOS. У Инфотекса нет единого стиля именования ролей, и это выглядит весьма несерьезно.

Роль StateWatcher позволяет настроить своеобразный сервер мониторинга. Это устаревшая история и больше они это не собираются поддерживать, но было удобно - добавляешь в связи, а этот сервер отслеживает все события и отправляет админу. Вылетел координатор? StateWatcher уведомит администратора. Было очень удобно, но при этом очень дорого.

Роль Policy Manager ставится на узел Администратора сети и позволяет управлять фильтрами узлов сети ViPNet, включая координаторы и клиенты. К сожалению, пока не поддерживается управление фильтрами для клиентов на Linux и мобильных ОС. 

Policy Manager одна из самых удобных вещей для больших сетей. Вы можете настроить правила открытой сети, транзитной сети, туннелируемых узлов, защищенной сети, и пользователей не сможет их удалить, даже если зайдёт под администратором.

Про Policy Manager будет отдельная статья, в ней и расскажу как добавлять узлы сети в него.

Failover - роль для организации кластера, хотя технически можно сделать и без неё.

Роль DNS-Сервер позволяет завести за координатором DNS-сервер, то есть сервис будет не на нём, а за ним. Данная роль позволяет дать понять отдельным узлам где запрашивать соответствие доменных имен IP-адресам. Если задать на координаторе данную роль, на нем указать DNS и настроить туннели, а у клиента выбрать данный координатор в качестве DNS, то он в качестве DNS будет устанавливаться принудительно у данного узла, и любые манипуляции с настройками сети не будут давать результатов - запросы все равно в первую очередь будут идти к координатору. Про это будет отдельная статья.

Роли удобнее задавать при создании клиента во вкладке Роли, но это вы уже видели в предыдущих статьях.

Нажимаем добавить.

Выбираем роль и нажимаем добавить.

Отображаются не все роли, так как уже добавлена роль VPN-клиент - если её убрать, тогда станут доступны для добавления все остальные роли.

У ролей есть свойства, которые позволяет управлять некоторыми разрешениями у конкретных клиентов, например, запретить отправлять файлы через обмен сообщениями.

Хочу еще раз отметить, что обмен сообщениями не является средством гарантированной доставки сообщений, а деловая почта наоборот является. Иными словами, если абонент, которому вы отправили сообщение долго будет отсутствовать в сети, то он не получит сообщение, то есть оно потеряется, да и отправлять его будет сам клиент при помощи прямой связи. В случае с деловой почтой, напротив, даже если получателя нет в сети, письмо до него дойдет! Письма деловой почты отправляется клиентом на координатор в качестве MFTP пакетов с пометкой mail, и при появлении получателя в сети координатор направит письма ему.

В свойствах роли VPN-клиент можно задать уровень полномочий. В данном случае не могу вам дать однозначный совет как лучше сделать, поэтому решать вам придется самостоятельно. Максимальные полномочия практически соответствуют уровню администратора сети (когда вы входите в клиент как администратор), и человек может менять как хочет любые фильтры, и разрешать всё что ему нужно. Если клиент не относится к вашей организации и там есть свой IT-специалист, тогда разумнее ставить максимальные полномочия. Внутри своей организации скорее разумно ставить средние или минимальные полномочия, а при необходимости входить в режим администратора. Лучше заранее проверить концепцию и ограничения (частично описаны в документации).

У координатора тоже можно задать роль. Именно так hw50 отличают от hw1000.

В свойствах роли координатора можно поставить галочку, что он является защищенным интернет-шлюзом, но я настоятельно не рекомендую экспериментировать с этим.

Дополнительно к роли координатора можно добавить роль DNS-сервера или Failover.

Про настройку DNS-сервера и про настройку кластера будут отдельные статьи.

Отображаются не все возможные роли, так как уже добавлена роль HW1000, поэтому если удалить её, тогда в меню добавления можно будет увидеть полный список.