Проблемы со входом в пункт управления сервером централизованной защиты Dr.Web

Thedext

New member
Сообщения
9
#1
Уважаемые коллеги, прошу направить меня на путь истинный. Описываю хронология действий.
Имеется задача поднять антивирусный сервер Dr.Web 10.0. Поднял. Устанавливал скриптом строго по методике. Захожу через мозилла браузер в пункт управления сервером централизованной защиты с использованием порта 9080 (ip_адрес_сервера:9080 - как в методике, по умолчанию). Закинул в репозиторий актуальные БВС. Далее ввожу АРМы в антивирусную сеть. Ввел. Спустя несколько дней появилась необходимость перезагрузить сервер (имеется в виду само железо). После перезагрузки, как и прежде пытаюсь войти на ПУ СЦЗ с использованием того же самого порта 9080, на что браузер отвечает, что соединение сброшено. При этом, антивирусный сервер на ходу, о чем на стороне клиента свидетельствует надпись "Лицензия предоставлена сервером централизованной защиты" и надпись "Подключен" во вкладке "Режим" с зеленой индикацией и указанием ip-адреса сервера, но порт стоит уже другой (ip_адрес_сервера:2193). При попытке подсоединиться к ПУ СЦЗ через порт 2193 браузер снова купирует попытку и пишет "0 protocol 2 21 agent, install, msnapshv, server, crypt, iptransf, iexready. 1 violation unable to convert sequence number "GET" to unit и бла бла."
Второй день не могу разобраться, в чем причина. Пробовал заходить как с рабочих машин, так и с самого сервера. Порты на фаерволле что на сервере, что на АРМ открывал согласно методике. Переустановка антивирусного сервера помогает, но эффект до первого ребута железа. Кто сталкивался с подобным? Подскажите пожалуйста в каком направлении копать. Спасибо.
 

oko

New member
Сообщения
524
#2
to Thedext
Primo, попробуйте https://ip-адрес-сервера:9081. Вероятно, что после обновления ЦУ умничает и переводит управление на SSL принудительно...
Secundo, покажите выхлоп команд sudo netstat -tpl и sudo systemctl list-units --type service...
Tertio, экзотика, но все же... Режим ЗПС в Astra Linux SE 1.6 у вас используется?
 

Thedext

New member
Сообщения
9
#3
to Thedext
Primo, попробуйте https://ip-адрес-сервера:9081. Вероятно, что после обновления ЦУ умничает и переводит управление на SSL принудительно...
Secundo, покажите выхлоп команд sudo netstat -tpl и sudo systemctl list-units --type service...
Tertio, экзотика, но все же... Режим ЗПС в Astra Linux SE 1.6 у вас используется?
Спасибо Вам большое за вариант, обязательно попробую после выходных.
На сервере установлена AL SE 1.5, ЗПС не используется
 

Thedext

New member
Сообщения
9
#4
to Thedext
Primo, попробуйте https://ip-адрес-сервера:9081. Вероятно, что после обновления ЦУ умничает и переводит управление на SSL принудительно...
Secundo, покажите выхлоп команд sudo netstat -tpl и sudo systemctl list-units --type service...
Tertio, экзотика, но все же... Режим ЗПС в Astra Linux SE 1.6 у вас используется?
Здравствуйте. Ввел в браузере то, что вы сказали - безрезультатно.
Прикрепляю ответ консоли на первую команду.
IMG_20191209_093227_HHT.jpg
 

oko

New member
Сообщения
524
#6
to Thedext
По второй команде забейте - нет systemd реализации нормальной в SE 1.5. Предполагал, что у вас SE 1.6...
Судя по netstat, оба сервиса (http и https) подняты и слушают нужные tcp-порты. Поэтому вопрос с "отлупом" подключения к ЦУ не ясен. Вы ломитесь на него с той же машины, на которой установлен ЦУ?
И да, выхлоп sudo iptables-save покажите тоже. Методика методикой, а фактическое положение дел может быть иным, ага...
 

Thedext

New member
Сообщения
9
#7
to Thedext
По второй команде забейте - нет systemd реализации нормальной в SE 1.5. Предполагал, что у вас SE 1.6...
Судя по netstat, оба сервиса (http и https) подняты и слушают нужные tcp-порты. Поэтому вопрос с "отлупом" подключения к ЦУ не ясен. Вы ломитесь на него с той же машины, на которой установлен ЦУ?
И да, выхлоп sudo iptables-save покажите тоже. Методика методикой, а фактическое положение дел может быть иным, ага...
После поднятия антивирусного сервера (до перезагрузки железа) можно было зайти с любой машины, включенной в антивирусную сеть, при условии прохождения процедур идентификации и аутентификации в браузере. (т.е. заходил в браузер, вводил ip-адрес_сервера:9080, вводил логин и пароль администратора и вуаля). Сейчас же (уже после перезагрузки железа) я не могу попасть в ЦУ ни с самого серверного оборудования, ни с любой рабочей машины.
Возможно стоит ещё раз уронить сервер, затем снова поднять и внести какие-либо настройки, которых нет в методике?

По sudo iptables-save консоль ничего не отвечает, просто принимает команду и все
15758855280451748153684.jpg
 

oko

New member
Сообщения
524
#8
Primo, фото лучше под спойлер прятать...
Secundo, раз служба поднята, порт прослушивается и межсетевой экран ничего не фильтрует - покажите тогда последовательность шагов, которую выполняли каждый раз по "методике"...
Заодно поглядите в руководстве, какие логи ведет ЦУ и покажите их тоже. Откровенно не помню, куда он там и что пишет...
Браузер при подключении, кстати, коннект сразу сбрасывает? Или по истечении периода ожидания ответа?
 

Thedext

New member
Сообщения
9
#9
Поднятие сервера по методике заключается просто в исполнении скрипта (могу сказать, что выполняет скрипт в процессе установки). А вот руководства на Dr.Web 10 к сожалению нет.
Сбрасывает коннект сразу. Вот только раекция на порты у браузера разная.
При попытке ip_сервера:9080 (порт по умолчанию) пишет "попытка соединения не удалась"
При попытке https://ip_сервера:2193 (порт по которому в данный момент подключена машина к СЦЗ) пишет "Ошибка при установлении защищённого соединения. При соединении с ip_сервера:2193 произошла ошибка. SSL получило запись, длина которой превышает максимально допустимую. (Код ошибки: ssl_error_rx_record_too_long). Страница которую вы пытаетесь просмотреть, не может быть отображена, так как достоверность не может быть проверена "
 

oko

New member
Сообщения
524
#10
На 2193 вы подключиться и не сможете из браузера - это порт для обмена служебными данными с клиентом (подозреваю, что какой-то проприетарный протокол, не HTTPS)...
Такое ощущение, что в конфигурациях ЦУ настроен перечень ACL по тем же IP-адресам, с которых разрешено подключение к консоли (и на текущий момент там полный блок всех диапазонов, ага). Только никто в здравом уме никогда на localhost подобные ограничения не ставит. Так что не ясно...
Руководство по ESS 10 поищите в Сети. Разверните ЦУ заново и пройдитесь по шагам по руководству, не прописывая ограничений на подключение к консоли управления. Большего, к сожалению, в варианте "руками не щупал" подсказать не могу...
И все-таки покажите текущие журналы ЦУ: /var/opt/drwcs/log/drwcsd.log
 

Thedext

New member
Сообщения
9
#11
На 2193 вы подключиться и не сможете из браузера - это порт для обмена служебными данными с клиентом (подозреваю, что какой-то проприетарный протокол, не HTTPS)...
Такое ощущение, что в конфигурациях ЦУ настроен перечень ACL по тем же IP-адресам, с которых разрешено подключение к консоли (и на текущий момент там полный блок всех диапазонов, ага). Только никто в здравом уме никогда на localhost подобные ограничения не ставит. Так что не ясно...
Руководство по ESS 10 поищите в Сети. Разверните ЦУ заново и пройдитесь по шагам по руководству, не прописывая ограничений на подключение к консоли управления. Большего, к сожалению, в варианте "руками не щупал" подсказать не могу...
И все-таки покажите текущие журналы ЦУ: /var/opt/drwcs/log/drwcsd.log
Я дико извиняюсь за столь долгую отписку. Все решено. Нашел на ftp-сервере ещё один скрипт, который устанавливает Dr.Web на АРМы. Исполнять его необходимо так ./script.sh <ip_СЦЗ> <путь_к_открытому_ключу_шифрования_скачанного_с_самого_СЦЗ>

Я же до этого делал несколько иначе и с использованием другого скрипта. Возможно дело в кривых рученках или на самом деле в скрипте, а может ее величество astra хотела ласки, но в любом случае спасибо Вам огромное за помощь)
 

oko

New member
Сообщения
524
#12
to Thedext
Честно признаться, не уловил связи между означенной трабблой с доступом к ЦУ и скриптом установки оконечного Агента на АРМ. Но рад, что проблема в итоге разрешилась...
 

Thedext

New member
Сообщения
9
#13
to Thedext
Честно признаться, не уловил связи между означенной трабблой с доступом к ЦУ и скриптом установки оконечного Агента на АРМ. Но рад, что проблема в итоге разрешилась...
Быть может новый скрип произвел какие-либо конфигурации и установил что-то, чего не сделал предыдущий. Хотя странно, что все работало, хоть и до ребута.