Содержание

Модуль 3: Создание структуры защищенной сети

По условию задания необходимо сопровождать выполнение скриншотами. Делайте скрин после каждого ключевого шага!

Модуль 1: Настройка сетевого окружения и установка SQL Server
Модуль 2: Развёртывание защищённой сети ViPNet
Модуль 3: Создание структуры защищенной сети
Модуль 4: Установка компонентов удостоверяющего центра
Модуль 6: Агрегирование каналов связи
Аппендикс: Oracle VirtualBox
Аппендикс: Туннелирование

Работа в ЦУС (Центр управления сетью)

Определение IP-адресов

Перед началом работы зафиксируйте адреса машин вашего стенда. В примере ниже:

Узел IP-адрес Роль
Машина администратора 172.16.224.226 Сервер ЦУС
Сервер базы данных 172.16.224.227 БД УКЦ

Вход в ЦУС

  1. Запустите программу Центр управления сетью.
  2. Укажите IP-адрес сервера ЦУС: 172.16.224.226.
  3. Имя пользователя: administrator.
  4. Пароль: administrator
  5. Задайте и подтвердите пароль.
  6. Укажите путь к файлу лицензии (папка ViPNet keys).

Создание координаторов

Перейдите во вкладку Координаторы и создайте два узла.

Root_Coordinator

  1. В разделе Роли узла добавьте все доступные роли (Coordinator, DNS и др.).
  2. В разделе Межсерверные каналы добавьте Sub_Coordinator.

Sub_Coordinator

  1. Аналогично назначьте все роли.
  2. В межсерверных каналах укажите Root_Coordinator.

Создание клиентов

Перейдите во вкладку Клиенты и создайте три узла:

Клиент Координатор Роли клиента
AdminS Root_Coordinator Business Mail, VPN Client, Обмен сообщениями
Node_CR Root_Coordinator Business Mail, VPN Client, Обмен сообщениями
Rem_Client Sub_Coordinator Business Mail, VPN Client, Обмен сообщениями

Настройка связей между пользователями

Перейдите во вкладку Пользователи и настройте связи согласно схеме:

Пользователь Связи
AdminS Root_Coordinator, Node_CR, Rem_Client
Node_CR Root_Coordinator, Sub_Coordinator
Rem_Client Sub_Coordinator
Root_Coordinator Sub_Coordinator

Создание справочников

Нажмите Создать справочники → Создать для всего списка.

Инициализация УКЦ (Удостоверяющий и ключевой центр)

Настройка базы данных

  1. Запустите УКЦ на машине администратора.
  2. Выберите Настройка новой базы данных.
  3. Укажите IP-адрес сервера БД: 172.16.224.227.
  4. Пройдите шаги мастера, задайте пароль администратора УКЦ и завершите инициализацию.

Выпуск дистрибутивов ключей

  1. Перейдите в раздел Сетевые узлы.
  2. Выделите все узлы → правая кнопка мыши → Выдать новый дистрибутив ключей.
  3. Задайте пароли для контейнеров ключей каждого узла.
  4. Сохраните дистрибутивы в рабочую папку (например, на Рабочем столе) для последующей

передачи на целевые машины.

Настройка сетевых интерфейсов координаторов

Важно. Перед запуском виртуальных машин убедитесь, что сетевые адаптеры VMware правильно сопоставлены с интерфейсами ОС координатора:

  • eth0 - внешний интерфейс (смотрит в «Интернет», сеть 10.8.248.0/24).
  • eth1 - внутренний интерфейс (смотрит в сеть филиала/офиса).

Root_Coordinator

  1. Запустите ВМ и откройте мастер первоначальной настройки ViPNet Key Setup.
  2. Выберите регион, синхронизируйте дату и время с хостом.
  3. Источник ключей: CD-ROM (смонтируйте ISO-образ с ключами для этого координатора).
  4. Введите пароль к дистрибутиву ключей.
  5. Настройте интерфейсы:
Интерфейс Режим IP-адрес Маска
eth0 (внешний) Static 10.8.248.1 255.255.255.0
eth1 (внутренний) Static 172.16.224.225 255.255.255.224
  1. Шлюз по умолчанию (Default Gateway): 10.8.248.2 (внешний адрес Sub_Coordinator).
  2. Завершите настройку и примените конфигурацию.

Sub_Coordinator

  1. Запустите ВМ, выполните аналогичные шаги инициализации с ISO-образа ключей.
  2. Настройте интерфейсы:
Интерфейс Режим IP-адрес Маска
eth0 (внешний) Static 10.8.248.2 255.255.255.0
eth1 (внутренний) Static 10.10.20.129 255.255.255.128
  1. Шлюз по умолчанию: 10.8.248.1 (внешний адрес Root_Coordinator).
  2. Завершите настройку.

Установка ключей на клиентах и устранение конфликтов

Перенос и установка ключей

  1. Скопируйте соответствующие папки с ключами на клиентские машины (AdminS, Node_CR, Rem_Client).
  2. На каждой машине запустите файл инициализации (*.dst), установите ключи и

перезагрузите клиент ViPNet.

Устранение конфликта: ЦУС теряет доступ к базе данных

После активации ViPNet Client на машине администратора ViPNet может заблокировать трафик между ЦУС и сервером БД. Решение - создать разрешающий фильтр открытой сети.

  1. Откройте ViPNet Client на машине администратора.
  2. Перейдите в Настройка сетевых фильтров → Фильтры открытой сети.
  3. Создайте новое правило (например, BD):
Параметр Значение
Действие Пропускать трафик
Источник 172.16.224.227 (сервер БД)
Назначение Мой узел
Протоколы TCP, UDP
Порты назначения 9000-9100
  1. Примените изменения - связь ЦУС с сервером восстановится.

Как правило этого делать не нужно.

Смена паролей администратора на координаторах

  1. В программе УКЦ перейдите в раздел Сетевые узлы.
  2. Для каждого координатора: правая кнопка мыши → Пароль администратора → Сменить → задайте новый пароль.
  3. Выделите оба координатора → Создать и передать ключи в ЦУС.
  4. В ЦУС перейдите в раздел КоординаторыСоздать справочники, затем отправьте обновлённые справочники и ключи.

Проверка связи и логирование трафика

Авторизуйтесь в консоли координатора и войдите в привилегированный режим: 

en

Проверка туннелей командой iplir ping

Зайдите в консоль координатора под пользователем user (используйте обновлённый пароль).

Просмотр всех доступных узлов: 

iplir ping

Проверка соединения с конкретным узлом: нажмите Tab дважды для отображения буквенных идентификаторов, затем введите нужную букву: 

iplir ping <буква_узла>

Ответ Connection successful подтверждает наличие защищённого соединения.

Включение логирования IP-пакетов

Чтобы зафиксировать прохождение защищённого трафика через координаторы:

Шаг 1. Остановите службу: 

iplir stop

Шаг 2. Откройте конфигурацию интерфейсов: 

iplir config eth0
iplir config eth1

Шаг 3. Найдите параметр registerall и измените его значение: 

registerall=on

Сохраните файл: Ctrl+X, затем Y и Enter.

Шаг 4. Запустите службу снова: 

iplir start

Тест Деловой почты (ViPNet Business Mail)

  1. На машине AdminS откройте Деловую почту и отправьте тестовое письмо пользователю Rem_Client.
  2. На машине Rem_Client откройте Деловую почту и отправьте ответное письмо на AdminS.
  3. После успешного обмена письмами вернитесь в консоль координатора и выполните:
iplir view
  1. Активируйте фильтр Check reverse (пробел, затем Enter).
  2. Найдите пакеты, проходящие по порту 5000 (инкапсулированный трафик ViPNet).

Наличие пакетов по порту 5000-5003 в журнале подтверждает, что защищённый трафик успешно проходит через координаторы.