Обновление С-Терра Шлюз

С-Терра КП поддерживает механизм обновления продуктов С-Терра Шлюз версий 4.1 и 4.2 со следующими характеристиками:

•    класс защиты - КС1 (без установленных АПМДЗ);

•    релиз - 4.1.14905, 4.2.18201, 4.2.19077;

•    криптобиблиотека - s-terra;

•    архитектура - x64;

•    размер диска - 4GB, 36GB;

•    для обновляемого С-Терра Шлюз проведена процедура инициализации.

  

1.    В новую версию VPN-продукта переносятся следующие настройки:

•    База данных /opt/VPNagent/bin/db (содержит LSP конфигурацию, сертификаты и пр.).

•    Контейнеры /var/s-terra/containers.

•    Конфигурационный файл соответствий имен системных интерфейсов именам интерфейсов Cisco-like консоли /etc/ifaliases.cf.

•    Домашние каталоги пользователей csconsole /var/cspvpn/users/*.

•    Информация о сетевых интерфейсах - защищаемый/не защищаемый, логическое имя для Агента.

•    Настройка DDP /etc/modprobe.d/vpndrvr.conf.

•    Настройки сервиса l2vpn.

•    Настройки сервиса keepalived.

 

Внимание!

В случае, если Шлюзы были объединены в кластер, необходимо выполнить следующие настройки VRRP:

Если в секции virtual_routes задан маршрут по умолчанию с использованием ключевого слова default, например:

virtual_routes {

    src 3.0.3.10 default via 3.0.3.150

}

то ДО обновления версии VPN-продукта ключевое слово default нужно вручную заменить на 0.0.0.0/0, например:

virtual_routes {

         src 3.0.3.10 0.0.0.0/0 via 3.0.3.150

}

Обновление шлюзов в кластере происходит следующим образом:

    Первыми обновляются BACKUP шлюзы в каждой паре;

    После обновления, BACKUP шлюзы переводятся в состояние MASTER и проводится обновление оставшихся нод.

 

•    Начальное значение ДСЧ /var/s-terra/rnd.bin.

•    Конфигурация /etc/default/vpngate.

•    Внешняя гамма /var/s-terra/ext-gamma/eg_data.

•    Настройки UPagent /opt/UPagent/etc/reg.txt /etc/network/static-routes /opt/UPAgent/system_conf.ini.

•    Настройки ОС.

•    Настройки cron /etc/crontab.

•    Настройки сетевых интерфейсов /etc/network/interfaces.

•    Имя хоста /etc/hostname.

•    Домашние каталоги пользователей /home/.

•    Имена и пароли пользователей /etc/passwd, /etc/shadow.

•    Группы пользователей /etc/group.

•    Настройки sysctl /etc/sysctl.conf.

•    Настройки SSH сервера /etc/ssh /root/.ssh.

2.  Если помимо приведенного списка администратору требуется добавить дополнительные настройки для переноса в новую версию, необходимо прописать соответствующую информацию в файл migrate_list.txt, расположенный в директории C:\Program Files\S-Terra\S-Terra KP\functions\upgrade_vpn_agent\upgrade_gate\unsigned\. Синтаксис заполнения migrate_list.txt следующий:

</source/path/to/file> </destination/path/to/file>

где
</source/path/to/file> - путь до переносимого файла из текущей ОС;

</destination/path/to/file> - директория назначения файла в новой ОС.

Например,

/etc/file.txt /opt/file.txt

3.  Также, в директорию C:\Program Files\S-Terra\S-Terra KP\functions\upgrade_vpn_agent\upgrade_gate\unsigned\migrate_data администратор может положить файлы или каталоги, которые будут перенесены в корень нового образа ОС (/), либо архив с именем sterrauserdata.tar, который также будет разархивирован в корень нового образа (/).

   

Внимание!

Настройки из сценариев применения VPN-продукта с использованием Продуктов третьих производителей не переносятся. Данные настройки должны быть перенесены администратором отдельно.

 

Данный сценарий описывает обновление VPN Продукта С-Терра Шлюз версии 4.2 до версии 4.3 посредством создания обновления на Сервере управления.

1.   Для получения образов с дистрибутивами VPN-продуктов для обновления ваших управляемых VPN устройств С-Терра Шлюз обратитесь в отдел продаж компании "С-Терра СиЭсПи" по адресу: sales@s-terra.ru.

2.    Полученные файлы необходимо скопировать в директорию на Сервере управления (Рисунок 339):

C:\Program Files\S-Terra\S-Terra KP\upgrade\gate_img_4_3

Рисунок 339

3.    В консоли С-Терра КП выберите меню File-Settings и перейдите на вкладку Upgrade VPN product image (Рисунок 340). Установите флажок Open FTP access to images of VPN products и задайте пароль пользователя для ftp-доступа в поле Password. Остальные поля заданы по умолчанию. Нажмите кнопку Set. В окне уведомления об успешном применении параметров нажмите кнопку ОК (Рисунок 341).

Рисунок 340

Рисунок 341

4.    В консоли С-Терра КП имеется учетная запись управляемого VPN устройства С-Терра Шлюз версии 4.2 (о чем свидетельствует вызов контекстного меню Show (Рисунок 342) или Properties (Рисунок 343)), например, gate02.

Рисунок 342

Рисунок 343

5.    В консоли С-Терра КП в контекстном меню для gate02 выберите предложение Update (Рисунок 344).

 

Рисунок 344

6.    В открывшемся окне Update the account нажмите кнопку  возле поля VPN device profile (Рисунок 345).

Рисунок 345

7.    В окне VPN data maker возле поля VPN Рroduct нажмите кнопку Upgrade (Рисунок 346).

Рисунок 346

8.    Появится окно Upgrade VPN Рroduct (Рисунок 347), содержащее параметры обновления VPN продукта:

•   Current VPN product - текущая версия VPN-продукта на управляемом устройстве;

•   New VPN product - версия VPN-продукта, до которой будет обновлен С-Терра Шлюз;

      VPN product image - путь до директории с образом для обновления (прописан по умолчанию и аналогичен указанному в п. 3);

      Rollback timeout - период отката обновления. Позволяет установить интервал времени, по истечении которого обновляемое VPN устройство вернется к прежним настройкам, если администратор не подтвердил произведенное обновление. Однако, для полноценной отмены обновления ручное разрешение администратора также необходимо. Значение по умолчанию - 30 минут.

Рисунок 347

 

9.    Нажмите кнопку ОК в окне Upgrade VPN product . В окне VPN data maker перейдите на вкладку License и введите новые данные лицензии на С-Терра Шлюз 4.3 (Рисунок 348).

 

Рисунок 348

10. Нажмите кнопку ОК в окне VPN data maker. Будет выдано предупреждение об автоматическом заполнении поля Extended data в окне Update the account (Рисунок 349). Нажмите кнопку ОК.

Рисунок 349

11.Нажмите кнопку ОК в окне Update the account (Рисунок 350).

Рисунок 350

12.После применения обновления возле учетной записи обновляемого VPN устройства в таблице появится флажок (Рисунок 351).

Рисунок 351

13.В контекстном меню выберите Functions - Upgrade - Approve gate upgrade для подтверждения произведенных изменений на управляемом VPN устройстве (Рисунок 352).

Рисунок 352

14.В появившемся окне Approve gate upgrade (Рисунок 353) нажмите кнопку ОК. Количество активных обновлений увеличится на единицу, и после применения текущего обновления версия VPN продукта С-Терра Шлюз изменится на 4.3 (Рисунок 354, Рисунок 355). Обновление версии VPN Продукта С-Терра Шлюз успешно завершено.

Remove old OS - при установке данного флага после успешного обновления операционной системы на управляемом VPN устройстве будет безвозвратно удалена предыдущая версия ОС.
Если флаг не установлен, то ранняя версия операционной системы будет присутствовать на управляемом VPN устройстве, и администратор сможет в любой момент времени произвести возврат к её использованию локально.

Внимание!

По истечении установленного таймаута (Rollback timeout - п. 9) подтвердить обновление будет невозможно, и автоматически будет произведен откат к предыдущей версии ОС. Для восстановления управления VPN устройством при помощи консоли С-Терра КП воспользуйтесь операцией Approve gate rollback из контекстного меню Functions - Upgrade.

В случае неуспешного обновления также автоматически будет произведен откат к предыдущей версии ОС.

 

Рисунок 353

Рисунок 354

Рисунок 355

15.При необходимости отмены произведенного обновления и возврата к предыдущей версии ОС, в контекстном меню выберите Functions - Upgrade - Approve gate rollback (Рисунок 352 ). В появившемся окне Approve gate rollback (Рисунок 356) нажмите кнопку ОК. Количество активных обновлений увеличится на единицу, и после применения текущего обновления произойдёт отмена произведенных ранее изменений.

Рисунок 356

16. Сообщения, связанные с проведением обновления, записываются на Шлюзе в /var/log/vpnupgrade и на Сервере управления во вкладке UPlog при вызове контекстного меню Show для учетной записи управляемого VPN устройства. После возвращения к предыдущей версии ОС (в случае неуспешного обновления или вызове администратором команды rollback) на Шлюзе создаётся архив /var/lib/vpnupgrade_fallback_logs_[дата].tar.gz, содержащий сообщения от неустановленной новой версии.

17После обновления С-Терра Шлюз в базе сохраняются старые ключи и пароли. После завершения обновления рекомендуется сменить пароль администратора к контейнеру с ключевой парой (см. команды «Смена пароля пользователя»). Далее необходимо выполнить перевыпуск сертификатов и контейнеров путём создания обновлений для управляемого VPN устройства в консоли С-Терра КП. Выполнение аналогичных операций для сохраненной предыдущей версии ОС необходимо произвести администратору локально.