Создание туннелей в ViPNet Administrator 4
Давайте поговорим про создание туннелей с виртуализацией и без неё в ViPNet Administrator 4.
Туннели на ViPNet координаторах можно использовать для следующих целей:
- Пропуск траффика в випнет сеть от клиентов в прямой видимости координатора, но без установленного ПО ViPNet Client.
- Доступ к ресурсу за координатором для всех клиентов, у которых есть в связях этот координатор.
Для первого случая, у таких компьютеров в качестве шлюза должен быть указан IP-адрес координатора.
Во втором случае может потребоваться настроить маршрут на вашем сервере за координатором для хождения виртуальных сетей ViPNet, то есть для ip из сетей 11.0.0.1/8 и 12.0.0.1/8, иначе обратные пакеты могут теряться. Даже если у вас в основной секции указано ходить по реальным IP, но с отдельными клиентами или координаторами может быть настроена работа по виртуальным адресам. Речь про настройку Tunnel_visibility. Инструкцию по настройке ViPNet Coordinator HW1000 можно прочитать тут.
Разница настройки в том, что для первого случая туннель нужно виртуализировать, а для второго это делать не обязательно. Для второго может потребоваться виртуализация только если у вас много межсетевого взаимодействия, с которым где-то могут пересекаться диапазоны IP-сетей.
Открываем в ЦУСе во вкладке Координаторы тот координатор, на котором необходимо создать туннель. Внимание, не допускайте пересечение туннелей! Из-за этого может быть множество проблем!
Переходим во вкладку Туннелирование в свойствах координатора.
У меня уже добавлены два туннеля.
При нажатии добавить появляется окно, в котором можно указать один IP-адрес или целый диапазон.
Также могут быть проблемы, если в добавленном на координаторе диапазоне IP-адресов есть один IP-адрес, с которого заходит компьютер с ViPNet Client. Проблемы это может создавать и для самого компьютера с ViPNet Client, и если клиент уже давно удален, но на координаторе осталась информация о том, что этот клиент был с определенного IP-адреса, то компьютер без ViPNet Client с IP из диапазона туннеля на координаторе может иметь проблемы с подключением на координатор. В журнале будут странные ошибки, но исправить ситуацию можно будет либо удалением этого DST из ЦУСа, либо зайти в сеть с этого DST с другим IP-адресом. Также можно с самого начала дробить туннели на части, чтобы избегать таких проблем.
И для того, чтобы ходить к ресурсу за каким то координатором у клиентов должен быть в связях этот координатор.
При добавлении туннелей справочники будет необходимо сформировать для всех узлов, у которых есть в связях координатор с добавленным туннелем.
Кстати, можно настроить, чтобы все туннели автоматически виртуализировались. Возможно, нужные элементы конфигов координатора есть тут, но это не точно. Планирую в будущем написать про конфиги координатора, вот там это точно будет указано.
Для настройки виртуализации туннеля необходимо подключиться по SSH к координатору, на котором хотите настроить виртуализацию туннеля. Можно использовать программу PuTTY.
В поле Host Name указываем IP-адрес координатора - тот же, по которому заходите в его веб-интерфейс. Порт 22.
Откроется подобное окно, в котором будет необходимо указать логин и пароль. Логин для координаторов в 3 версией прошивки vipnet, а с 4 версией прошивки уже user.
Пароль от координатора можно посмотреть в УКЦ.
После успешного подключения видим приветственное информационное сообщение. Теперь нужно получить права Администратора, поэтому пишем Enable и вводим пароль администратора сети. Пароль вводится, просто не отображаются символы при вводе.
Далее нужно остановить службу iplir, поэтому пишем iplir stop.
Обязательно дожидаемся завершения выполнения команды.
Дальше пишем команду iplir config.
Это основной конфигурационный файл нашего координатора и самой главной службы. Тут нужно быть аккуратными.
Обычно виртуализация настраивают не на том же координаторе, на котором заведён туннель. Виртуализация в своей же секции обычно стирается при сохранении конфига, поэтому её нужно прописывать в секции этого координатора на другом, например, шлюзовом.
Это на самом деле некорректная картинка, но под рукой не было правильной. По умолчанию для туннелей других координаторов в их секциях пишется, например, tunnel= 192.168.238.3-192.168.238.3 to 192.168.238.3-192.168.238.3, то есть из реального IP в реальный, но в таком примере можно поменять tunnel= 192.168.238.3-192.168.238.3 to 10.0.100.1-10.0.100.1, тогда 192.168.238.3 будет виртуализироваться в пределах видимости текущего координатора в IP 10.0.100.1. Также следует помнить о необходимости переключить видимость по туннелям tunnelvisibility= virtual в секции координатора с туннелем.
Картинка для примера. На этом фото просто представлена своя секция и у других координаторов не было туннелей, поэтому решил просто для демонстрации тут написать, хотя корректнее было бы все таки в секции другого координатора. В общем, не будьте как я, не пытайтесь виртуализировать в своей же секции.
Для сохранения нажимаем Ctrl + O, нажимаем энтер, чтобы сохранить. Для закрытия нажимаем CTRL + X.
Пишем iplir start и ждем, когда служба iplir запуститься. После этого два раза прописываем exit - сначала выйти из админа, а потом и из всей сессии.
