Конвертер конфигураций UserGate (версия 4.48)

Скачать

Исходные коды: GitHub

Исполняемый файл для Ubuntu: Ubuntu-ug_ngfw_converter

Исполняемый файл для AstraLinux: AstraLinux-ug_ngfw_converter

Исполняемый файл для РЕД ОС: RedOS-ug_ngfw_converter

Исполняемый файл для AltLinux: AltLinux-ug_ngfw_converter

Описание

Программа предназначена для переноса конфигурации из DCFW и NGFW (версий 5, 6, 7) на DCFW и NGFW (версий 5, 6, 7) и МС версии 7.1 и выше.

Программа работает только в графическом режиме. Доступны исполняемые файлы для:

• Ubuntu версии 24.04 или выше.
• AstraLinux версии 1.8.
• РЕД ОС версии 8.0.

1. Открыть веб-консоль администратора таким образом: https://<usergate_ip>:8001/?features=zone-xml-rpc
2. В настройках нужной зоны активировать сервис "XML-RPC для управления".

Экспорт конфигурации из UG NGFW и DCFW:

1. Скачайте архив ug_ngfw_converter.zip и распакуйте его. Файл ug_ngfw_converter сделайте исполняемым.
2. Запустите программу ug_ngfw_converter. Программа выполняется в графической среде. В текущей директории будет создан каталог data для хранения всех выгруженных конфигураций.
3. Выбрать пункт - Экспорт конфигурации из UG NGFW|DCFW.
4. Далее программа попросит выбрать или ввести название каталога для экспорта конфигурации, затем появиться окно авторизации. Проверьте, что у администратора, логин которого используете, в профиле включены разрешения для API. Укажите ip-адрес NGFW/DCFW и login/пароль администратора.
5. Можно экспортировать всю конфигурацию, только выбранную группу разделов или отдельный раздел.
6. После экспорта проверьте вывод программы на предмет обнаруженных ошибок. Исправьте текущую конфигурацию и повторите экспорт.
7. Можно сохранить лог в файл export.log. Файл создаётся в выбранном каталоге экспорта конфигурации.

Импорт конфигурации на NGFW и DCFW:

1. Перед началом работы на новой версии UserGate NGFW или DCFW необходимо настроить DNS, интерфейс Untrusted (для выхода в интернет), шлюз, произвести активацию корректным ПИН-кодом. После этого дождаться обновления библиотек и списков.
2. Запустить программу ug_ngfw_converter.
3. Выбрать пункт - Импорт конфигурации на UG NGFW|DCFW.
4. Программа попросит выбрать каталог для импорта конфигурации, затем появиться окно авторизации. Проверьте, что у администратора, логин которого используете, в профиле включены все разрешения для API. Укажите ip-адрес NGFW/DCFW и login/пароль администратора.
5. Можно импортировать всю конфигурацию, только выбранную группу разделов или отдельный раздел.
6. Импорт сертификатов имеет ряд особенностей. Смотрите раздел "Импорт сертификатов".
7. Если у Вас используются сервера аутентификации (LDAP, NTLM, RADIUS, TACACS, SAML), то необходимо в первую очередь импортировать настройки DNS, затем используемые сервера аутентификации и профили аутентификации. После этого ввести пароль в серверах аутентификации, загрузить keytab-файл, если используется авторизация kerberos и проверить работу данных серверов аутентификации.
8. Если вы сделали экспорт с кластера NGFW/DCFW, то в файле конфигурации будут настройки сети с каждого узла кластера. При импорте будет предложено выбрать узел, настройки которого необходимо импортировать.
9. Если вы импортируете конфигурацию на NGFW/DCFW/MC версии 7.1 и выше с NGFW версий 5, 6 и 7.0, не импортируются Серверные и Клиентские профили безопасности VPN. Так как в этих версиях таких профилей безопасности нет. Старые профили перенести нельзя, так как в последних версиях профили безопасности сильно изменились. Необходимо сделать соответствующие профили руками (с именами, которые используются в серверных и клиентских правилах) и затем импортировать правила.
10. Импорт некоторых разделов конфигурации может идти долго. Не надо думать что "программа зависла". Надо дождаться окончания импорта.
11. После импорта проверьте вывод программы на наличие сообщений, выделенных цветом. Исправьте конфигурацию в соответствие с рекомендациями.

Импорт конфигурации NGFW и DCFW в группу шаблонов NGFW и DCFW Management Center

1. Перед импортом в области надо создать группу шаблонов и поместить в неё необходимые шаблоны. Так как основной смысл шаблонов и групп шаблонов в переиспользовании объектов, хорошей практикой является отсутствие дублирования объектов в одинаковых разделах конфигурации шаблонов в группе шаблонов. В соответствии с этим принципом, конвертер проверяет наличие дублирования объектов во всех шаблонах группы шаблонов. При обнаружении объектов с совпадающими именами в одинаковых разделах конфигурации выводится предупреждение и для импорта будет использован первый найденный объект. Это может привести не к тому результату, который вы ожидаете. Поэтому, пожалуйста, соблюдайте правило: один объект определённого раздела конфигурации на всю группу шаблонов. Кроме того, это в будущем облегчит работу с шаблонами и группами шаблонов.
2. Перед импортом каждого объекта в шаблон, происходит поиск по его имени во всех шаблонах указанной группы шаблонов. Если такой объект найден в каком то из шаблонов данной группы шаблонов, то он не импортируется. При этом выдаётся соответствующее сообщение с указанием шаблона в котором объект присутствует. Шаблоны их других групп не проверяются. Это относится к объектам библиотеки, некоторым объектам раздела "Сеть" и другим объектам, которые являются общими для различных правил. Поэтому, если у вас есть некий универсальный шаблон с общими библиотечными объектами, перед импортом поместите его в данную группу шаблонов.
3. В версиях меньше чем МС 7.2.0 при импорте объектов не учитывается регистр символов. То есть одинаковые имена в разных регистрах считаются одинаковыми! МС выдаёт сообщение, что такой объект уже существует и не импортирует его.
4. В версиях МС до 7.3 в списках морфологии слова добавляются не корректно. К слову добавляется его вес через символ табуляции.
5. Если у вас используются сервера аутентификации LDAP, то необходимо настроить LDAP-коннектор в разделе "Управление областью/Каталоги пользователей" и проверить его работу. Данный LDAP-коннектор будет использоваться для поиска доменных пользователей и групп в правилах.
6. Если вы не используете режим "Импортировать всё", а импортируете отдельные пункты раздела "Сеть", перед импортом убедитесь, что в группе шаблонов существуют необходимые интерфейсы и зоны. Они необходимы для создания subnet DHCP и VRF. Если нет интерфейсов, то subnet DHCP не будут созданы, а в VRF настройки OSPF и RIP будут не полными. В этом случае рекомендуется в первую очередь импортировать зоны, затем создать необходимые интерфейсы для будущих subnet DHCP и VRF (или сделать импорт интерфейсов) и только затем импортировать остальные пункты раздела "Сеть".
7. Импорт сертификатов имеет ряд особенностей. Смотрите раздел "Импорт сертификатов".
8. После импорта раздела UserGate/Настройки, включите синхронизацию необходимых подразделов.
9. Если при импорте правил в шаблон МС произошли ошибки, то данное правило становиться не активным и в описание правила добавляются сообщения о произошедших ошибках. После импорта проверьте все не активные правила на предмет ошибок импорта.
10. Правила МЭ, КФ и т.д. добавляются в конец списка правил. Это надо учитывать если вы повторно импортируете конфигурацию в шаблон после изменений в файлах json. Не меняйте имена правил, иначе правила продублируются в конец списка правил.
11. Импорт свойств агента UserID не пройдёт, если вы экспортировали их конвертером версии 3.1 и ниже.
12. Если вы импортируете конфигурацию на MC с NGFW версий 5, 6 и 7.0, не импортируются Серверные и Клиентские профили безопасности VPN. Так как в этих версиях таких профилей безопасности нет. Старые профили перенести нельзя, так как в последних версиях профили безопасности сильно изменились. Необходимо сделать соответствующие профили руками (с именами, которые используются в серверных и клиентских правилах) и затем импортировать правила.

Экспорт группы шаблонов UG MC:

1. В настоящее время возможен экспорт только групп шаблонов NGFW и DCFW.
2. Так как к конкретному устройству, которым управляет МС, привязывается именно группа шаблонов, а не отдельный шаблон, хорошей практикой является отсутствие дублирования объектов во всех шаблонах группы шаблонов. В соответствии с этим принципом, конвертер проверяет наличие дублирования объектов во всех шаблонах, выбранной группы шаблонов. При обнаружении объектов с совпадающими именами в одинаковых разделах конфигурации, выводится предупреждение и для экспорта будет использован первый найденный объект. Шаблоны, не входящие в выбранную группу шаблонов, не проверяются на наличие объектов. Поэтому, если объект не найден в данной группе шаблонов или это не предустановленный объект из шаблона "UserGate Libraries template", то будет выдано предупреждающее сообщение и такой объект не будет экспортирован.

Импорт ранее экспортированной группы шаблонов МС на UG MC:

1. В настоящее время возможен импорт только групп шаблонов NGFW и DCFW.
2. Перед импортом необходимо создать нужные области и администраторов для каждой области.
3. Перед импортом убедитесь, что в разделе в который вы импортируете ("NGFW" или "DCFW") нет шаблонов с такими же именами, как у импортируемой группы. Если импортируемой группы шаблонов не существует, то она будет создана. Если такая группа шаблонов уже есть, то новые шаблоны будут добавлены в неё. Хорошей практикой является импорт группы шаблонов целиком (со всеми её шаблонами). Есть возможность импорта отдельных шаблонов в разные группы - но это для тех, кто знает что делает и зачем.
4. Перед импортом каждого объекта в шаблон, происходит поиск по его имени во всех шаблонах указанной группы шаблонов. Если такой объект найден в каком то из шаблонов данной группы шаблонов, то он не импортируется. При этом выдаётся соответствующее сообщение с указанием шаблона в котором объект присутствует. Шаблоны их других групп не проверяются. Это относится к объектам библиотеки, некоторым объектам раздела "Сеть" и другим объектам, которые являются общими для различных правил. Поэтому, если у вас есть некий универсальный шаблон с общими библиотечными объектами, перед импортом поместите его в данную группу шаблонов.
5. Если у вас используются сервера аутентификации LDAP, то необходимо настроить LDAP-коннектор в разделе "Управление областью/Каталоги пользователей" и проверить его работу. Данный LDAP-коннектор будет использоваться для импорта доменных пользователей и групп в правилах.
6. Импорт сертификатов имеет ряд особенностей. Смотрите раздел "Импорт сертификатов".
7. Если при импорте правил произошла ошибка, такое правило будет не активным. Поэтому, после импорта необходимо проверить все правила. У правил, импортированных с ошибками, скорректируйте настройки и включите их.

Импорт сертификатов:

Важно понимать что сертификаты экспортируются без приватного ключа. Поэтому при импорте ранее экспортированной конфигурации возникает ряд ограничений:

1. Если конкретный сертификат уже существует, то он не импортируется. В логе импорта будет соответствующая запись.
2. Сертификаты без приватного ключа не импортируются. В каталоге сертификата должен присутствовать приватный ключ (key.pem или key.der).
3. Сертификаты с ролью "SSL инспектирование (корневой)" и "SSL инспектирование (промежуточный)" импортируются даже в случае отсутствия приватного ключа, так как для корректной работы необходим только открытый ключ данного сертификата.
4. Если в каталоге с сохранённым сертификатом удалить файлы cert.pem и cert.der, то будет создан новый сертификат на основе информации файла certificate.list. Ему назначается его роль. В лог конвертера выдаётся сообщение о возможных проблемах и необходимости заново установить его на клиентских устройствах (ПК админов и пользователей и т.д.).
5. Если вы импортировали сертификат для SSL инспектирования (например CA Default) или создали его заново, то необходимо обновить его у всех пользователей.
6. Если вы используете собственные сертификаты и они были экспортированы, то в каталоги с экспортированными сертификатами необходимо поместить их приватные ключи (key.pem или key.der). В противном случае перед импортом необходимо загрузить ваши сертификаты или создать с теми же именами.
7. Если у импортируемого или вновь созданного сертификата имеется роль, которая уже используется в существующем сертификате, то такому сертификату роль не будет назначена.
8. В общем случае, если ничего не предпринимать, то сертификаты не будут импортированы. Возможно это будет лучшим решением.
9. В любом случае, после импорта проверьте раздел конфигурации "UserGate/Сертификаты" и, в случае необходимости, внесите соответствующие изменения.

Ограничения:

1. Экспортируются настройки всех интерфейсов, но на NGFW/DCFW импортируются только интерфейсы VLAN, VPN, Tunnel, BRIDGE и BOND. Все остальные надо будет сделать руками. В шаблоны МС импортируются все интерфейсы.
2. На версиях 6 и меньше 7.1.1 нельзя добавить более 8 полос пропускания в библиотеку. При добавлении большего количества получим ошибку.
3. На NGFW/DCFW настройки VRF в кластерной конфигурации не импортируются.
4. Для версии 5:
   4.1. Если вы делаете экспорт из версии 5, то выгрузка из правил доменных пользователей и доменных групп для дальнейшего переноса возможна только при использовании версии UTM равной 5.0.6.4973. Если у вас версия 4825, поставьте update до версии 4973, который можно запросить в техподдержке UG.
   Не используйте версию 4973 для работы в боевом режиме. Она предназначена только для экспорта конфигурации.
   4.2. При экспорте Captive-профилей, не экспортируются дата и время окончания регистрации гостевых пользователей.
   4.3. Нельзя сделать экспорт/импорт терминальных серверов.
   4.4. На версию 5 не импортируются VLAN-ы, Маршруты, OSPF, BGP.
   4.5. При импорте с версий 7.0 и выше не переносятся группы сервисов, так как в версии 5 группы сервисов не поддерживаются.
   4.6. На версию 5 не возможно импортировать содержимое календарей. Содержимое надо добавить руками.
   4.7. На версию 5 не возможно импортировать содержимое URL категорий. Содержимое надо добавить руками.
   4.8. Импорт профилей СОВ на версию 5 не поддерживается.
   4.9. При импорте правил SNMP с версии 7.1, правила v.3 импортируются как v.2
5. Для версии 6:
   5.1. Конвертер не работает с UG NGFW версии 6 если она старее 6.1.7. В этом случае обновитесь до последней версии 6.
   5.2. При импорте с версий 7.0 и выше не переносятся группы сервисов, так как в версии 6 группы сервисов не поддерживаются.
   5.3. Импорт профилей СОВ версии 7.1 и выше на версию 6 не поддерживается.
   5.4. При импорте правил SNMP с версии 7.1, правила v.3 импортируются как v.2
6. Для версии 7.0:
   6.1. При импорте с более старых версий в правила не переносятся отдельные приложения т.к. в этой версии разрешены только группы приложений и категории приложений.
   6.2. Импорт профилей СОВ версии 7.1 и выше на версию 7.0 не поддерживается.
   6.3. При импорте правил SNMP с версии 7.1, правила v.3 импортируются как v.2
7. Для версии 7.1:
   7.1. При импорте с более старых версий в правила не переносятся приложения, группы приложений и категории приложений т.к. в этой версии используются профили приложенй.
   7.2. Импорт профилей СОВ более старых версии не поддерживается.
   7.3. При импорте правил SNMP с более старых версий, правила v.3 импортируются как v.2
8. Для версии 8.0:
   8.1. В библиотеку не импортируются HIP объекты и HIP профили.

Примечание:

1. Если вы не используете режим "Импортировать всё", а импортируете отдельный раздел, убедитесь что ранее были импортированы все элементы, входящие в конфигурацию этого раздела. Например, перед импортом правил межсетевого экрана, необходимо импортировать списки IP-адресов, списки URL, сервисы, группы сервисов, календари, профили СОВ, профили приложений, сценарии, зоны и HIP-профили, если они используются в правилах.
2. Если у Вас используются сервера аутентификации (LDAP, NTLM, RADIUS, TACACS, SAML), то необходимо в первую очередь импортировать настройки DNS, затем используемые сервера аутентификации и профили аутентификации. После этого ввести пароль в серверах аутентификации, загрузить keytab-файл, если используется авторизация kerberos и проверить работу данных серверов аутентификации. Эти сервера аутентификации будут использоваться для поиска доменных пользователей и доменных групп в правилах (если вы это не сделаете, будете получать ошибку при импорте каждого правила, в котором используются доменные пользователи и доменные группы). После этого можно импортировать всё.
3. Если вы импортируете конфигурацию на версию 7, то имена групп, серверов аутентификации, различных профилей, правил, всех списков библиотеки и всего-всего должны быть ТОЛЬКО в английском регистре. Русские буквы допустимы только в описании. Перед экспортом, замените русские символы в именах на английские.
4. Начиная с версии 7.1 в именах запрещены многие спец.символы. При экспорте с любой версии будет произведено их удаление.
5. Имена всех объектов не должны превышать длину в 64 символа. Если имя содержит более 64 символов, то такой объект не импортируется.
6. После импорта профилей администраторов, необходимо проверить доступ к разделам, так как в версии 6 и 7 были добавлены новые разделы. При импорте доступ к разделам не меняется и, следовательно, доступ к новым разделам не предоставляется. Профили с русскими именами не переносятся в версию 7 (в ней запрещены русские имена). Перед экспортом, замените имена профилей на английские.
7. Если существуют правила МЭ с одинаковыми именами, то при конвертации к имени такого правило добавляется номер, что бы имена были уникальными.
8. Пробелы в начале и конце имён правил, списков и т.д. при конвертации удаляются.
9. При экспорте списков IP-адресов типа "10.10.10.0/24" такой список сохраняется в файл "10.10.10.0_24" так как при переносе каждый список записывается в отдельный файл, а в файловой системе Linux прямой слэш является разделителем пути к файлу. Имя самого списка не меняется.
10. После импорта настроек BGP в свойсвах каждого из bgp-соседей надо заново ввести пароль.
11. Если вы сделали экспорт с кластера NGFW, то в файле конфигурации будут настройки сети с каждого узла кластера. При импорте будет предложено выбрать узел, настройки которого необходимо импортировать.
12. Никакие пароли (локальных пользователей, PPPoE, VPN, серверов аутентификации и т.д.) не переносятся. Необходимо заново вручную ввести пароль. Это ограничение API - невозможно выгрузить парольную информацию.
13. Локальным администраторам при импорте устанавливается статус "disabled". Полосе импорта активируйте их и установите пароль.
14. При импорте интерфейсов VLAN им прописываются IP-адреса из сохранённой конфигурации. Необходимо проследить, чтобы не было конфликта IP-адресов. В общем случае можно в файле выгруженной конфигурации data/Network/Interfaces/config_interfaces.json поменять ip-адрес на каждом интерфейсе.
15. Раздел Библиотеки "Профили СОВ" для версий меньше 7.1: не импортируются сигнатуры профилей СОВ так как в разных версиях структура и состав сигнатур кардинально меняется. Для версии 7.1 и выше экспортируются/импортируются пользовательские сигнатуры.
16. Сертификаты экспортируются, но при импорте возможны ньюансы. См. раздел "Импорт сертификатов".
17. Правила экспорта настроек на сервера FTP, SSH пока не переносятся. Это надо сделать руками.
18. При экспорте шаблонов страниц библиотеки выгружается файл HTML только изменённых страниц шаблона.
19. При импорте, правила МЭ, КФ и т.д. добавляются в конец списка правил. Если правило уже существует, то оно обновляется и его порядковый номер не меняется. Это надо учитывать, если вы повторно импортируете конфигурацию после изменения в файлах json. Не меняйте имена правил, иначе правила про дублируются в конец списка правил.
20. Если при импорте правил произошли ошибки, то данное правило становиться не активным и в описание правила добавляются сообщения о произошедших ошибках. После импорта проверьте все не активные правила на предмет ошибок импорта.
21. Если вы обнаружили ошибку в программе или у вас что то не получается, пожалуйста, откройте тикет в тех.поддержку компании UserGate.

Errors:

1. На ПК с видеокартами NVIDIA возможна ошибка: "libEGL warning: failed to create dri2 screen"
   В этом случае необходимо:

   1. sudo apt-get install libnvidia-egl-wayland1
   2. Перезагрузить компьютер.

2. На виртуальных машинах возможна ошибка: "libEGL.so.1: cannot open shared object file: No such file or directory"
   Может помочь: apt update && apt install -y libopencv-dev && apt clean && rm -rf /var/lib/apt/lists/*

Список изменений: