ViPNet-Client

ingener

New member
Сообщения
166
#21
еще раз проверил работоспособность через openvpn - все работает как надо.

как оказалось ViPNet фильтрует еще трафик DNS-запросов. туннелируемый запрос от клиента на координаторе не регистрируется.
техподдержка Инфотекса пока не подключилась.
буду проверять соединение Координатор - Координатор
 

oko

New member
Сообщения
1 257
#22
to ingener
Если используется ALD и Kerberos, а Координатор фильтрует DNS-запросы, то у вас и SMB-взаимодействие с удаленным cifs-каталогом бы не отрабатывало, да и любое взаимодействие в 0 режиме через Kerberos тоже. Конечно, возможны исключения, но приведенная вами схема ранее явно их не реализует...
Кстати, на днях попадался баг на Win без мандатки в трафике, но все же. Схема та же: Client -> Coordinator-1 -> Coordinator-2 -> туннелируемый ресурс (доступа нет). Так что возможны варианты, которые мы с вами не сможем разобрать, ибо не разработчики из ИнфоТекс...
 

ingener

New member
Сообщения
166
#24
продолжаю ведение журнала...
провел чистый эксперимент - проверил соединение через координаторы. на компьютере полностью удалил ViPNet-Client и остановил openvpn.
как и предполагалось - в нулевом уровне все работает прекрасно. а в первом уровне оболочка запускается. доступны ресурсы на файловой системе cifs. запускается firefox и thunderbirt. но почта и web-ресурсы не доступны.
команда ss -t показывает попытку установления tcp-соединения, но координатор ни одного пакета с портом назначения 143 (imap) и 80 (web) не регистрирует.
пакеты с портом назначения 88 и 389 проходят и на координаторе регистрируются.
т.е. эти службы работают в нулевом мандатном уровне.
к слову сказать dns-запросы ViPNet-Clientом не пропускаются. координатор в нулевом уровне пропускает все.
пока вывод такой - ViPNet не пропускает IP-пакеты, в которых имеется мандатная метка. что очень странно. видимо в программе ViPNet имеется фильтрация не стандартных пакетов.
 

oko

New member
Сообщения
1 257
#25
to ingener
Несколько не понял, как ViPNet Client может что-то блокировать (dns, http, imap и проч.), если он удален?
Или вы настроили маршрутизацию между двумя ALSE-машинами за каждым координатором и проверили без учета криптозащиты канала "машина - координтатор"? Т.е. сейчас у вас только криптозащита "координатор - координатор" и тоже не работает? Тогда, боюсь, без привлечения ИнфоТеКС не обойтись - аппаратный координатор особо не поковыряешь...
 

ingener

New member
Сообщения
166
#26
между двумя компьютерами два координатора. результат отрицательный!
в нулевом уровне DNS-запросы проходят.

при прежней схеме, когда на компьютере стоит ViPNet-Client - DNS-запросы не проходят. делаем вывод, что их блокирует ViPNet-Client.

к сожалению, региональный менеджер Инфотекса молчит, после направления ему письма об этой проблеме!
 

oko

New member
Сообщения
1 257
#27
to ingener
Т.е. dns-запросы при наличии ViPNet Client и в 0 режиме блокировались?
А лог координаторов поглядеть можно (для случая "машина-без-Client -> координатор -> координатор -> машина-без-Client")?
 

ingener

New member
Сообщения
166
#28
Т.е. dns-запросы при наличии ViPNet Client и в 0 режиме блокировались?
совершенно верно!
А лог координаторов поглядеть можно (для случая "машина-без-Client -> координатор -> координатор -> машина-без-Client")?
в этом случае пакеты на 53 порт регистрируются именно для компьютеров. и все работает как надо!
 

oko

New member
Сообщения
1 257
#29
to ingener
Не, я про лог, когда идут попытки получить доступ к ресурсам с меткой выше 0...
Собственно, про DNS написано в табл. 4 руководства Администратора ViPNet Client Linux - требуется раздача IP DNS-серверов через DHCP. Актуально именно для ALSE 1.6. У вас автоматическая настройка сети на машинах или статикой все прописано + в hosts записи вбиты?
И еще, надо покурить ман по поводу дефолтной политики безопасности, предусматривающей специальную обработку IP-трафика для известных протоколов (в руководстве администратора - стр. 6 - для Linux указана поддержка, но в Win-версии ViPNet Client это отключаемая функция). Возможно, в этом зарыта собака...
 

ingener

New member
Сообщения
166
#30
Не, я про лог, когда идут попытки получить доступ к ресурсам с меткой выше 0...
ss -t (-u) показывает попытку установления соединения
Собственно, про DNS написано в табл. 4 руководства Администратора ViPNet Client Linux - требуется раздача IP DNS-серверов через DHCP. Актуально именно для ALSE 1.6. У вас автоматическая настройка сети на машинах или статикой все прописано + в hosts записи вбиты?
настройка статическая через файл конфигурации +hosts
И еще, надо покурить ман по поводу дефолтной политики безопасности, предусматривающей специальную обработку IP-трафика для известных протоколов (в руководстве администратора - стр. 6 - для Linux указана поддержка, но в Win-версии ViPNet Client это отключаемая функция). Возможно, в этом зарыта собака...
не нашел я в руководстве ViPNet-Client 4 for Linux возможности что либо настраивать вручную, кроме ввода ключей