Подробный гайд: Настройка кластера для ViPNet Client

Подключение ViPNet Client к кластеру ViPNet Coordinator (криптошлюза). Клиент настраивается для работы с отказоустойчивой парой координаторов.

2026.03.25            

Подробный гайд: Настройка кластера для ViPNet ClientПодробный гайд: Настройка кластера для ViPNet Client Важное уточнение: Сам по себе ViPNet Client не формирует кластер — он подключается к кластеру ViPNet Coordinator (криптошлюза). Клиент настраивается для работы с отказоустойчивой парой координаторов. Ниже — полное руководство по настройке кластера Coordinator и подключению к нему клиента.

Предварительные требования

  • Два устройства ViPNet Coordinator HW (или виртуальные VA) одинаковой модели
  • Активированные лицензии с поддержкой Failover / HA Cluster
  • Ключевые дистрибутивы (.dst) и файлы конфигурации (.vbe) для обеих нод
  • Права администратора на доступ к командной строке Coordinator

Настроенные сетевые интерфейсы:

  • Интерфейсы в сеть (eth0, eth2 и др.) — для трафика
  • Интерфейс синхронизации («перемычка») — для обмена состоянием между нодами

Часть 1: Настройка кластера ViPNet Coordinator

Шаг 1. Подготовка интерфейсов

Согласно технологии ViPNet, для каждого интерфейса в кластере необходимо задать три адреса Подробный гайд: Настройка кластера для ViPNet ClientПодробный гайд: Настройка кластера для ViPNet Client

Шаг 2. Редактирование failover.ini

Остановите службу отказоустойчивости и откройте редактор конфигурации: bash

hostname# failover stop
hostname# failover config mode cluster
hostname# failover config edit

Пример конфигурации для Первой ноды:

ini

[network]
checktime = 30
timeout = 4
activeretries = 5
channelretries = 5
synctime = 5
fastdown = yes
beforeifconf = /sbin/change_route.sh before
afterifconf = /sbin/change_route.sh after

[channel]
device = eth0
ident = iface-0
activeip = 10.26.0.6/29
passiveip = 21.26.0.6/0
testip = 10.26.0.1
checkonlyidle = yes

[channel]
device = eth2
ident = iface-2
activeip = 10.26.0.129/25
passiveip = 21.26.0.129/0
testip = 127.0.0.1
checkonlyidle = no

[sendconfig]
activeip = 192.168.26.2  ; ← IP-адрес перемычки ВТОРОЙ ноды
device = eth3
sendtime = 60
config = yes
keys = yes
journals = yes
port = 10090

[misc]
activeconfig = /etc/iplirpsw
passiveconfig = /etc/iplirpsw
maxjournal = 30
reboot = yes
syncconnections = yes

онфигурация Второй ноды:

  • activeip — те же, что на первой ноде
  • passiveip — измените последний октет (например, 21.26.0.7/0)
  • В [sendconfig] укажите activeip = 192.168.26.1 (IP перемычки первой ноды)

Важно:

  • Параметры beforeifconf и afterifconf в секции [network] критичны — без них возможны циклические перезагрузки нод

Шаг 3. Применение конфигурации и запуск

bash

# На обеих нодах:
hostname# failover config mode cluster
hostname# failover start active    ; на первой ноде
hostname# failover start passive   ; на второй ноде

Шаг 4. Проверка состояния кластера

bash

# Просмотр конфигурации:
hostname# failover show config

# Проверка MAC-адресов активных интерфейсов:
hostname# failover show active-mac-address

# Общая информация о кластере:
hostname# failover show info

Ожидаемый вывод failover show info:

failover mode: cluster
local: active / remote: passive
failover state: works
iplir state: works

Часть 2: Настройка L2OverIP (опционально, для объединения сегментов)

Если требуется прозрачное расширение сети через кластер:

bash

# Настройка L2OverIP на первой ноде:
hostname# iplir set l2overip interface eth1
hostname# iplir set l2overip local-port 1 82.16.10.10
hostname# iplir set l2overip remote-port 2 82.16.10.20

# На второй ноде — зеркально:
hostname# iplir set l2overip interface eth2
hostname# iplir set l2overip local-port 2 82.16.10.20
hostname# iplir set l2overip remote-port 1 82.16.10.10

# Разрешение трафика для порта 97 (L2OverIP):
hostname# firewall vpn add src @local dst @any proto 97 pass
hostname# firewall vpn add src @any dst @local proto 97 pass

# Активация режима коммутатора:
hostname# iplir set l2overip mode switch

# Проверка:
hostname# iplir show l2overip config
hostname# iplir show l2overip mac-address-table

Часть 3: Настройка ViPNet Client для подключения к кластеру

Шаг 1. Установка и базовая настройка клиента

  • Установите ViPNet Client на рабочую станцию
  • Импортируйте ключевой дистрибутив (*.dst), выданный администратором сети
  • Запустите ViPNet Монитор

Шаг 2. Настройка подключения к координатору

В окне ViPNet Монитор:

  • Перейдите: Настройка → Подключение к сети ViPNet
  • В поле «Адрес координатора» укажите виртуальный (active) IP-адрес кластера (например, 10.26.0.6)
  • При необходимости настройте приоритеты адресов доступа (если координатор имеет несколько интерфейсов)
  • Сохраните настройки и выполните подключение

Клиент автоматически переподключится к пассивной ноде при отказе активной — переключение прозрачно для пользователя, время восстановления сессии ≤ 1 секунды

Шаг 3. Проверка подключения

  • В ViPNet Монитор должен отображаться статус «Подключено»
  • Проверьте доступность защищённых ресурсов сети
  • При необходимости просмотрите журнал событий: Администрирование → Журнал событий

Диагностика и устранение неполадок

Подробный гайд: Настройка кластера для ViPNet ClientПодробный гайд: Настройка кластера для ViPNet Client

Полезные команды диагностики:

bash

# Проверка состояния интерфейсов:
hostname# inet show interface

# Тест доступности тестовых адресов:
hostname# ping <testip>

# Просмотр логов failover:
hostname# failover show log

Рекомендация по безопасности:

  • После настройки кластера обязательно протестируйте сценарий отказа (отключение активной ноды) в нерабочее время, чтобы убедиться в корректности переключения и сохранении сессий.
×

Полный размер Слайдшоу Предыдущий Следующий