Vipnet mssdecrease что за параметр

Вопросы и ответы: ViPNet Coordinator HW

Вопросы и ответы: ViPNet Coordinator HW

Настройка двух DHCP-relay для двух разных подсетей, на разные DHCP-сервера. Необходимо настроить два DHCP relay для двух разных подсетей, настроенных на разных интерфейсах координатора. (Одна подсеть должна посылать запрос на один DHCP-сервер, другая на другой соответственно.) Как настроить такую функцию? Можно ли сделать такую схему с использованием других служб (Например, NAT)? Coordinator ПАК HW, версия 4.2.1.

В версии 4.2.1 такой возможности нет.

Возможность настройки двух dhcp-relay на разных интерфейсах для двух разных DHCP серверов реализовано HW4.3.0 и выше.

На Coordinator HW1000 загрузка демона alg на 100%. Во время работы ПАК HW загрузка демона ALG регистрируется в 100%, при этом пропадает доступ до ПАК по сети. Для восстановления доступа к ПАК HW1000, помогает перезагрузка ALG, командой alg restart.

При задействованном процессе ALG, такая ситуация возможна по нескольким причинам.

В качестве быстрого устранения проблемы, в случае если нет необходимости в обработке трафика приклодных протоколов (TFTP, SCCP, NTP, DNS, SIP, H323) рекомендуется отключить ALG (см. документ «ViPNet Coordinator HW 4. Справочное руководство по командному интерпретатору», раздел «Команды группы alg»). Если отключение ALG не помогло, необходимо обратиться в техническую поддержку ИнфоТеКС по следующему адресу электронной почты: hotline@infotecs.ru.

Изменили пароль пользователя, но он не применился на координаторе. В ПО ViPNet Администратор изменили пароль для пользователя сетевого узла ПАК HW, сформировали и отправили справочники на узел, справочники применились, но пароль пользователя не изменился.

Все действия над учетной записью пользователя (смена пароля, удаление) необходимо выполнять только локально на ViPNet Coordinator HW.

Пароль пользователя ViPNet Coordinator HW можно изменить только локально, как описано ниже. Смена пароля пользователя удаленно (с помощью программы ViPNet Центр управления сетью (ЦУС)) невозможна.

Чтобы изменить пароль пользователя, выполните следующие действия:

В результате с помощью нового пароля будут перешифрованы ключи пользователя, в том числе резервный набор персональных ключей при наличии.

Более подробно, см. в документе: «ViPNet Coordinator HW 4. Настройка с помощью командного интерпретатора» раздел «Настройка параметров безопасности».

Необходимо заменить программный координатор на ПАК HW. Возникла необходимость заменить программный координатор (Windows/Linux) на программно-аппаратный комплекс HW. Программный координатор является основным, на нем зарегистрирован ЦУС + он имеет связи с другими HW. Можно ли это сделать без переноса клиентов на новый координатор?

Для реализации переноса необходимо выполнить следующие действия:

Плюсы данного сценария в том, что для пользователей замена происходит незаметно, никаких настроек менять не нужно.

В случае возникновения проблем на выполнении п. 4–7 можно произвести переключение обратно на программный координатор.

Внимание! В данном примере не рассматривается задача по переносу очереди MFTP с программного координатора на ПАК HW.

Аналогично, можно проводить замену ПАК HW различных платформ, например, в случае замены ПАК HW на более производительную платформу.

Необходимо обновить ПАК HW с версии 3.х на 4.х. Какова последовательность обновления версий?

Первоначально, необходимо убедиться, что платформа ПАК поддерживает версию 4.х*.

Для корректного обновления на версию прошивки 4.х необходимо обновиться до версии (3.5) и лишь затем переходить к обновлению на 4.1., и лишь потом на 4.2.

Перед удаленным обновлением необходимо разослать из ЦУС на координаторы актуальный файл лицензии, который позволит обновиться до следующей версии ПО координатору HW. Затем из ЦУС поочередно с версии на версию отправлять обновления ПО. Нужно убедиться в применении обновления каждой посланной версии. Более подробный порядок версий, на которые нужно обновляться до актуальной версии прошивки HW 4.2.1, а также промежуточные версии ПО, можно запросить в отделе технического сопровождения ИнфоТеКС, по электронной почте hotline@infotecs.ru.

При локальном обновлении, также нужно применять последовательность в установке перечисленных версий.

Кроме того, можно перепрошить ПАК сразу на версию 4.2, однако придется производить настройки ПАК заново.

* — начиная с версии 4.0 более не поддерживаются следующие платформы: HW100 E1, HW100 E2, HW100 K1, HW1000 Q1/S1.

При обновлении ViPNet Coordinator HW версии 3.х до версии 4.х и последующей перезагрузки ПАК, обновление на версию 4.х не выполнено.

Перед выполнением обновления с версии 3.х до версии 4.х необходимо предварительно убедиться, что данная платформа поддерживает версию 4.х.

К тому же до проведения обновления необходимо выполнить команду смены пароля пользователя ViPNet Coordinator HW — admin passwd.

Пароль можно оставить тот же что и был, после чего повторить обновление ПАК.

Более подробно о команде «admin passwd» см. в документе «ViPNet Coordinator HW 4. Справочное руководство по командному интерпретатору» раздел «Команды группы admin».

При входе в консоль ViPNet Coordinator HW и вводе пароля пользователя или администратора долго не удается войти.

В ViPNet Coordinator HW реализован механизм создания временных задержек при неуспешном вводе пароля.

Если пользователь или администратор вводит неверный пароль, перед следующей попыткой ввода пароля ему нужно подождать несколько секунд. Задержка реализована для предотвращения возможности подбора пароля методом перебора. С каждой новой неуспешной попыткой ввода пароля задержка увеличивается. Если был введен неверный пароль 10 раз подряд, задержка составит 25 минут, но после нее можно повторить очередную попытку ввода пароля. При успешном вводе пароля счетчик, который фиксирует неуспешные попытки, обнуляется.

Кроме этого, информация обо всех неуспешных попытках ввода пароля фиксируются в журнале устранения неполадок.

Возможность изменения размера MTU на сетевых интерфейсах ПАК HW.

По умолчанию в ViPNet Coordinator HW при передаче данных через сетевые интерфейсы используется фиксированный размер MTU, равный 1500 байт.

Возможность изменения MTU на сетевых интерфейсах реализована в HW4.2.2 и выше.

При работе в режиме кластера горячего резервирования не работает DHCP-relay или DHCP-сервер.

Поддержка функция DHCP-relay и DHCP-сервер при работе в кластере горячего резервирования будет реализована HW4.3.0 и выше.

Отсутствует принудительное переназначение виртуальных адресов.

В предыдущих версиях ViPNet Coordinator HW можно было принудительно запустить автоматическое переназначение виртуальных адресов всех защищенных узлов с помощью параметра startvirtualiphash в секции [virtualip] файла iplir.conf. В результате такого переназначения некоторые узлы могли стать недоступны, поэтому больше данный параметр не используется.

В текущей версии, для автоматического переназначения виртуальных адресов, необходимо изменить значения параметра — startvirtualip, это стартовый адрес для формирования базовых виртуальных адресов защищенных узлов (по умолчанию — 11.0.0.1). При изменении данного параметра назначение всех базовых виртуальных адресов производится заново, как при начальном формировании файлов конфигурации.

Подробнее о настройке виртуальных адресов, см. документ «ViPNet Coordinator HW 4. Настройка с помощью командного интерпретатора», раздел «Настройка параметров виртуальных адресов».

После смены мастер-ключей в сети ViPNet координатор стал недоступен.

При компрометации и смене мастер-ключей в сети ViPNet обновления справочников и ключей на ViPNet Coordinator HW могут быть приняты только в том случае, если на узле есть резервный набор персональных ключей (РНПК).

Необходимо до смены мастер-ключей проверить наличие РНПК на узле. Узнать о наличии или отсутствии файла с РНПК на узле можно, просмотрев информации о ключах с помощью команды iplir show key-info.

Если файла с РНПК нет, добавьте его на ViPNet Coordinator HW с помощью команды admin add spare keys. В противном случае, выполнить обновление справочников и ключей будет возможно только вручную.

Организована межсеть, координатор собственной сети HW 1000, координатор сторонней сети HW 50. Координаторы друг другу доступны, так же как и клиенты. Обмен сообщениями между клиентами проходит хорошо, но обмен письмами через деловую почту не работает, как с вложениями, так и без них. Письма висят в статусе «Отправлено».

В исполнениях ViPNet Coordinator HW50 A, B и ViPNet Coordinator HW100 A, B не поддерживаются функции шлюзового координатора (см. документ «ViPNet Coordinator HW 4. Общее описание», раздел «Лицензирование ViPNet Coordinator HW») и транспортного сервера. Вследствие этого возникают следующие ограничения при формировании структуры сети ViPNet:

> Координатор, созданный для одного из этих исполнений, нельзя регистрировать в качестве шлюзового координатора в другие сети ViPNet. В противном случае работоспособность ViPNet Coordinator HW может быть нарушена.

> Клиенты ViPNet нельзя регистрировать за таким координатором. Координатор в данном случае может использоваться для туннелирования открытого IP-трафика.

Подключили ПАК HW к коммутатору через оптический кабель, но интерфейс на ПАК неактивен — нет линка.

Аппаратные платформы HW, поддерживают только определенные модели SFP-трансиверов.

– Аппаратные платформы HW100 N1, N2, N3 имеют однопортовый сетевой адаптер SFP (порт Ethernet 4), с которым совместим SFP-трансивер модели AFBR 5710PZ производства Avago Technologies.

SFP-трансивер модели Avago AFBR 5710PZ.

– Аппаратная платформа HW1000 Q6 имеет двухпортовый сетевой адаптер (порты Ethernet 4 и Ethernet 5), с которым совместим SFP-трансивер модели Avago AFBR 5710PZ (1 трансивер этой модели входит в комплект поставки).

SFP-трансивер модели AFBR 5710PZ.

– Все аппаратные платформы для исполнения ViPNet Coordinator HW2000 имеют двухпортовые сетевые адаптеры Intel Ethernet SPF+. С адаптерами этой серии совместимы только следующие модели SFP-трансиверов

> AFBR-709SMZ/SFBR-709SMZ производства Avago Technologies;

> E10GSFPSR производства Intel Corporation;

> E10GSFPLR производства Intel Corporation.

– Аппаратная платформа HW5000 Q1 имеет двухпортовый сетевой адаптер Intel Ethernet SFP+. С адаптерами этой серии совместимы только следующие модели SFP-трансиверов:

> AFBR-709SMZ/SFBR-709SMZ производства Avago Technologies;

> E10GSFPSR производства Intel Corporation;

> E10GSFPLR производства Intel Corporation.

– Аппаратная платформа HW5000 Q1 имеет двухпортовый сетевой адаптер Broadcom Ethernet SFP+. С этим адаптером совместимы только следующие модели SFP-трансиверов:

> AFBR-709SMZ/SFBR-709SMZ производства Avago Technologies;

> E10GSFPLR производства Intel Corporation.

Более подробно о совместимых SFP-трансиверах и параметрах кабеля для подключения к адаптерам, см. документ: «ViPNet Coordinator HW 4. Общее описание», раздел «Описание исполнений ViPNet Coordinator HW».

Необходимо настроить мониторинг работы ПАК HW по протоколу SNMP.

ViPNet Coordinator HW поддерживает протокол SNMP версий 1 и 2.

Для получения информации о сетевых узлах ViPNet по протоколу SNMP необходимо выделить компьютер и установить на него специальное программное обеспечение управления сетью (NMS), например WhatsUp Gold. Чтобы получение информации было возможно, импортируйте файл VIPNET-MIB.txt, в котором описаны используемые ПО ViPNet объекты SNMP, в NMS (подробнее см. в документации по используемой NMS).

Опрос ViPNet Coordinator HW по протоколу SNMP рекомендуется выполнять с защищенных узлов ViPNet. Соответствующие сетевые фильтры по умолчанию включены в список фильтров защищенной сети. Если опрос будет осуществляться с открытого узла, в список локальных фильтров открытой сети необходимо добавить аналогичные разрешающие фильтры, указав в них IP-адрес этого узла.

Для получения MIB-файлов необходимо обратиться в техническую поддержку ИнфоТеКС по следующему адресу электронной почте: hotline@infotecs.ru.

Настройка SNMP-агента описана в документации «ViPNet Coordinator HW 4. Настройка с помощью командного интерпретатора», раздел «Мониторинг по протоколу SNMP».

При работе через веб-gui на hw100с версии 4.2.1-1407 служба прокси-сервера долго запускается и останавливается, при этом выполнение в cli занимает гораздо меньше времени.

При работе в веб-gui для остановки и запуска службы прокси-сервера задействованы несколько дополнительных служб, большую часть времени занимает проверка правил firewall.

Время запуска и остановки служб будет уменьшено в новых версиях ПО.

При работе SIP-телефонии в сети ViPNet наблюдается обрыв связи или односторонняя связь, при этом на координаторе, в журнале IP-пакетов фиксируются пакеты с событием-104.

По умолчанию в ViPNet Coordinator HW включена обработка всех поддерживаемых прикладных протоколов для открытого и защищенного трафика. Для обработки заданы наиболее часто используемые сетевые протоколы и порты (по умолчанию настроены порты 5060, 5080 по протоколам tcp, udp).

В первую очередь необходимо убедиться, что на всем пути следования пакета, не происходит обработки данного пакета правилами NAT, так как между SIP-клиентами нельзя использовать статическую или динамическую трансляцию адресов.

Чтобы установить сеанс связи между SIP-клиентами, убедитесь, что включена обработка протокола SIP, это можно сделать, выполнив команду: alg show (см. документ «ViPNet Coordinator HW 4. Настройка с помощью командного интерпретатора», раздел «Настройка параметров обработки прикладных протоколов), а также создайте фильтр открытой сети, разрешающий входящее и исходящее соединение по протоколам TCP и UDP на порт 5060 (если хотя бы один из SIP-клиентов является открытым узлом).

Кроме того, рекомендуется проверить, что в модуле обработки прикладных протоколов [alg] заданы корректные протоколы и порты, по которым работает ваши SIP-сервер и SIP-клиент.

Не поддерживаются SIP-клиенты и телекоммуникационные серверы, использующие при подключении протокол TLS, SIP-клиенты, использующие (compact headers), а также SIP-клиенты, использующие сжатие данных в сообщениях SIP.

Для некоторых SIP-клиентов могут не обрабатываться такие дополнительные данные, как телефонные справочники, информация о доступности абонента и другие.

Список поддерживаемых прикладных протоколов изменить нельзя.

ViPNet Coordinator HW также поддерживает обработку прикладного протокола Cisco NetMeeting для организации видеоконференций, но только при использовании видимости по реальным IP-адресам между клиентским ПО Cisco NetMeeting Application в сети ViPNet и туннелируемым сервером Cisco NetMeeting.

Между координатором и другими защищенными или туннелируемыми узлами успешно проходит проверка соединения (ping), но не устанавливается TCP-соединение, а также возможна задержка передачи конвертов и деловой почты.

Причиной блокирования шифрованных IP-пакетов, передаваемых в рамках TCP-соединения, может быть фрагментация этих IP-пакетов на устройствах, стоящих на пути от отправителя к получателю.

Проблема возникает при инкапсуляции больших пакетов, например: PPPoE + ViPNet, GRE + ViPNet и т.д. Подробнее о работе стека протокола TCP/IP, параметров MSS и MTU, можно найти в открытых источниках интернет.

Во избежание фрагментации рекомендуется уменьшить размер IP-пакетов, принимаемых на узле, присвоив параметру mssdecrease* значение от 50 до 200 байт. Чтобы уменьшить размер исходящих IP-пакетов узла, значение параметра mssdecrease следует изменить на узле получателя этих IP-пакетов. Для установления TCP-соединения достаточно изменить параметр mssdecrease на одном из взаимодействующих узлов.

* — подробнее см. в документе «ViPNet Coordinator HW 4. Справочное руководство по конфигурационным файлам», глава «Файл iplir.conf» раздел «Секция [misc]».

Для решения этой проблемы необходимо выполнить переинициализацю ПАК. Для этого нужно удалить ключи командой: admin remove keys*.

На запрос подтверждения удаления, набрать команду Yes, нажать клавишу «Ввод» (Enter).

* — более подробно о данной команде см. «ViPNet Coordinator HW 4. Справочное руководство по командному интерпретатору» раздел «Команды группы admin».

При инициализации ПАК HW выходит ошибка: «Virtual appliance is detected».

Неправильно настроен BIOS. Необходимо зайти в BIOS и выполнить настройки для данной платформы, согласно документу «ViPNet Coordinator HW 4. Подготовка к работе» раздел «Настройка параметров BIOS».

Если вход в BIOS на вашей платформе заблокирован, следует отправить ПАК в сервисный центр ИнфоТеКС, предварительно обратившись в техническую поддержку ИнфоТеКС по следующему адресу электронной почты: hotline@infotecs.ru.

При включении ПАК HW50 на мониторе нет изображения.

Такое возможно, если монитор подключен к ПАК через переходники, например через переходник VGA-HDMI. ПАК HW50 необходимо подключать напрямую к монитору, имеющему разъем HDMI, без использования каких-либо переходников.

Необходимо организовать подключение координатора к двум провайдерам для обеспечения использования несколько шлюзов (провайдеров), например для распределения нагрузки на каналы сети или резервирования каналов при использовании нескольких интернет-провайдеров на случай отказа одного из них (чтобы избежать потерь трафика).

Механизм, позволяющий распределить нагрузку на сеть или настроить резервные каналы доступа в интернет для сетей, в инфраструктуре которых используется несколько шлюзов (провайдеров), реализован в HW4.3.0.

После настройки координатора HW в режиме работы системы защиты от сбоев (кластер горячего резервирования/Failover) ноды циклически перезагружаются.

Рекомендуется проверить корректность выполненных настроек в файле failover.ini, согласно документу «ViPNet Coordinator HW 4. Сценарии работы», раздел «Назначение и принципы работы системы защиты от сбоев».

На практике часто применяются схемы подключения кластера горячего резервирования к коммутаторам, маршрутизаторам и другому коммутационному оборудованию. Настройки данного оборудования могут влиять на работу кластера горячего резервирования. В частности, администратор такого оборудования может настроить блокирование тех или иных сетевых пакетов, среди которых могут оказаться служебные пакеты, необходимые для корректного функционирования ViPNet Coordinator HW в режиме кластера горячего резервирования.

В связи с этим при использовании коммутационного оборудования с кластером горячего резервирования необходимо убедится, что на этом оборудовании пропускаются эхо-запросы ICMP с IP-адресов активного сервера до всех узлов c IP-адресами, заданными в параметрах testip секции [channel] файла failover.ini и ответы на них, а также ARP-запросы с IP-адресов пассивного сервера до IP-адресов активного сервера и ответы на них. Данные рекомендации касаются всех сетевых интерфейсов ViPNet Coordinator HW, для которых существует секция [channel] в файле failover.ini.

Если проблема остается, необходимо обратиться в техническую поддержку ИнфоТеКС по следующему адресу электронной почты: hotline@infotecs.ru.

Невозможно подключиться к ПАК HW по SSH, при этом есть доступ через веб-консоль.

Убедитесь, что координатор доступен по 22 порту (например, выполнив команду telnet с любого защищенного узла, связанного с координатором). Если координатор недоступен, проверьте наличие и активность разрешающих правил доступа в настройках межсетевого экрана на координаторе.

Если проверка прошла успешно, но по SSH подключиться невозможно, рекомендуется выполнить перепрошивку ПАК. Следует обратиться в техническую поддержку ИнфоТеКС по следующему адресу электронной почты: hotline@infotecs.ru.

Функционал сброса ключей авторизации будет реализован в новых версиях ПО ViPNet Coordiantor HW.

При подключении к веб-интерфейсу координатора, выдается сообщение: «Действующий персональный ключ станет неактуальным: [дата] / Действующий персональный ключ истек» или при входе в режим администратора на ПАК появляется надпись: «User keys will expire. »

Необходимо обновить ключи; для этого следует обратиться к администратору сети ViPNet. Кроме того, перед обновлением ключей вы должны убедиться, что на узле присутствует резервный набор персональных ключей пользователя (РНПК). При отсутствии РНПК его следует добавить на узел.

Подробнее см. документ «ViPNet Coordinator HW 4. Настройка с помощью командного интерпретатора», разделы «Обновление ключей при истечении срока их действия», «Добавление резервного набора персональных ключей (РНПК)».

Для продления срока действия персонального ключа необходимо в УКЦ поднять вариант ключей пользователя для сетевого узла данного координатора, сформировать справочники и отправить на проблемный узел. Предварительно убедиться, что на ПАК установлен действующий резервный набор персональных ключей (РНПК).

Во избежание возможных ошибок рекомендуется предварительно создать резервную копию настроек ПАК, выполнив команду admin export keys binary-encrypted .

См. документ «ViPNet Coordinator HW 4. Справочное руководство по командному интерпретатору», «ViPNet Удостоверяющий и ключевой центр 4. Руководство администратора» раздел «Изменение вариантов персонального ключа пользователя и ключей узла».

При просмотре журнала пакетов на ПАК HW отображается информация только о заблокированных пакетах.

Для отображения всех пакетов необходимо включить функцию регистрации всех пакетов на сетевых интерфейсах координатора.

Завершите работу демона iplir с помощью команды iplir stop.

Откройте конфигурационный файл для редактирования с помощью команды iplir config ethX, где Х — номер сетевого интерфейса.

В секции [db] измените следующие параметры установите параметр registerall = on.

Сохраните изменения в файле и запустите демон iplir с помощью команды iplir start.

Более подробно см. в документе «ViPNet Coordinator HW 4. Справочное руководство по конфигурационным файлам».

От узлов сторонней сети ViPNet, с которой не задана связь в ЦУСе, блокируется трафик, который должен проходить через координатор собственной сети ViPNet.

Для решения проблемы необходимо настроить межсетевое взаимодействие между этими сетями или выполнить настройку прохождения трафика от узла сторонней сети в «обход» координатора вашей сети.

Функционал обработки защищенных IP-пакетов для узлов ViPNet, связь с которыми не задана в программе «ViPNet Центр управления сетью», реализован в HW4.2.2 и выше.

Невозможно зайти в BIOS ПАК HW.

В новых платформах доступ в BIOS заблокирован для пользователей.

Если требуется перепрошивка ПАК, следует отправить ПАК в сервисный центр ИнфоТеКС, предварительно необходимо обратиться в техническую поддержку ИнфоТеКС по следующему адресу электронной почты: hotline@infotecs.ru.

При входе в режим enable не подходит пароль администратора сети.

При наличии связи между узлом администратора сети ViPNet и координатором необходимо в ПО ViPNet Администратор (УКЦ/ЦУС) сформировать актуальные справочники, отправить их на Координатор и убедиться, что они применились*.

При отсутствии связи необходимо выполнить перепрошивку ПАК.

* См. документы «ViPNet Удостоверяющий и ключевой центр 4. Руководство администратора» и «ViPNet Центр управления сетью 4. Руководство администратора».

Между координаторами в очереди MFTP зависают конверты; после перезапуска MFTP конверты отправляются.

Для устранения проблемы необходимо изменить параметр outenv_timeout секции [misc] конфигурационного файла mftp.conf.

Более подробно см. в документе «ViPNet Coordinator HW 4. Справочное руководство по конфигурационным файлам».

Источник

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator)

Введение

Начало настройки/установки

Создание резервной копии

В первую очередь необходимо выполнить резервную копию жесткого диска нашего шлюза. Сделать это можно используя ПО: Acronis True Image, предварительно записав его как загрузочный диск, например, на внешний USB носитель. Делать резервную копию нужно на альтернативный носитель, использовать для резервной копии этот же самый жесткий диск шлюза не имеет смысла.

После создания резервной копии убедитесь, что файл с резервной копией жесткого диска шлюза виден на носителе и занимает определенный размер. Далее можете извлекать все используемые диски/usb-носители и переходить к установке Alt Linux.

Установка Alt Linux СПТ 6.0

Установка дистрибутива Alt Linux не сложная, все настройки делаются по умолчанию, даже мучиться с разбиением дисков не приходится. Для работы VipNet Координатора нам потребуется установить 32х разрядную системы.
В примере приведены скриншоты Alt Linux Centaurus, не обращайте внимания на данный момент, порядок установки СПТ тот же.

Загрузка системы

Для того, чтобы начать обычную установку (при наличии установочного диска с дистрибутивом и устройства для чтения DVD), необходимо загрузиться с CD или DVD-диска, на котором записан дистрибутив. В этом случае может потребоваться включить в BIOS опцию загрузки с CD/DVD-привода.

P.S. В большинстве случаев указание способа входа в BIOS отображается на вашем мониторе непосредственно после включения компьютера. Способ входа в меню BIOS и информация о расположении настроек определяется производителем используемого оборудования. За информацией можно обратиться к документации на ваше оборудование.

После загрузки компьютера с установочного диска выводится меню, в котором вы можете выбрать возможные варианты загрузки системы, а также, запустить уже установленную на жёстком диске ОС, выполнить проверку памяти, загрузиться в восстановительном режиме и запуститься в режиме LiveCD.

P.S. Мышь на этом этапе установки не поддерживается. Для выбора опций установки и различных вариантов необходимо использовать клавиатуру.

Последовательность установки

Процесс установки разделён на шаги. Каждый шаг посвящён настройке или установке определённого свойства системы. Шаги нужно проходить последовательно, переход к следующему шагу происходит по нажатию кнопки «Далее». При помощи кнопки «Назад», при необходимости, можно вернуться к уже пройденному шагу и изменить настройки. Однако, возможность перехода к предыдущему шагу ограничена теми шагами, в которых нет зависимости от данных, введённых ранее.

Если по каким-то причинам возникла необходимость прекратить установку, нажмите кнопку перезагрузки (reset) на системном блоке компьютера. Важно помнить, что совершенно безопасно прекращать установку можно только до шага «Подготовка диска», поскольку до этого момента не производится никаких изменений на жёстком диске. Если прервать установку между шагами «Подготовка диска» и «Установка загрузчика», то, вероятно, после этого с жёсткого диска не сможет загрузиться ни одна из установленных систем.

Каждый шаг сопровождается краткой справкой, которую можно вызвать, щёлкнув кнопку «Справка» или нажав F1.

Лицензионный договор

Дата и время

Для корректной установки даты и времени достаточно правильно указать часовой пояс и выставить желаемые значения для даты и времени.

На этом шаге следует выбрать часовой пояс, по которому нужно установить часы. Для этого в соответствующих списках выберите страну, а затем регион. Поиск по списку можно ускорить, набирая на клавиатуре первые буквы искомого слова.
Обратите внимание на отметку «Хранить время в BIOS по Гринвичу». Если Linux — единственная установленная операционная система, то поставьте эту отметку. Если Linux устанавливается как вторая система, то эту отметку необходимо снять. Если этого не сделать, то время и дата в уже установленной операционной системе могут отображаться неверно.

Проверьте, верно ли отображаются дата и время в графе «Текущее время», и, при необходимости, выставьте правильные значения (кнопка «Изменить…»).

Если ваш компьютер подключён к локальной сети или к сети Интернет, можно включить функцию синхронизации системных часов с удалённым сервером (NTP). Для этого достаточно отметить пункт «Получать точное время с NTP-сервера» и указать предпочитаемый NTP-сервер. В большинстве случаев вас устроит сервер pool.ntp.org.
Если выбрана опция «Получать точное время с NTP-сервера», то ваш компьютер может сам быть сервером точного времени. Например, использоваться как сервер точного времени машинами вашей локальной сети. Для активации этой возможности отметьте «Работать как NTP-сервер».

Подготовка диска

Переход к этому шагу может занять некоторое время. Время ожидания зависит от производительности компьютера, объёма жёсткого диска, количества разделов на нём и т.п. На этом этапе подготавливается площадка для установки ALT Linux, в первую очередь — выделяется свободное место на диске.

Выбор профиля разбиения диска

Автоматические профили разбиения диска

Профили предполагают автоматическое разбиение диска. Выбор автоматического профиля разбиения диска влияет также и на набор устанавливаемого по умолчанию программного обеспечения.

Установка сервера — по умолчанию будет установлен набор серверного ПО. Это позволяет использовать установленную систему для выполнения различных сервисных задач. При установке типа «Установка сервера» не будет осуществляться запуск графического пользовательского интерфейса при загрузке системы, если только вы не установили самостоятельно соответствующие программные пакеты.

Установка рабочей станции — по умолчанию будет установлен набор ПО, включающий графическое окружение и средства разработки для решения повседневных задач.

При выборе пункта «Установка сервера», при наличии двух жёстких дисков на компьютере, будет создан массив RAID1, а при наличии трёх и более дисков — RAID5. Использование технологии RAID обеспечивает сохранность данных даже при выходе одного жёсткого диска из строя. Обратите внимание на то, что при установке дистрибутива в виртуальную машину RAID-массивы автоматически не создаются.

Установка системы

В любом дистрибутиве ALT Linux доступно значительное количество программ (до нескольких тысяч), часть из них составляет саму операционную систему, а остальные — это прикладные программы и утилиты.

В операционной системе Linux все операции установки и удаления производятся над пакетами — отдельными компонентами системы. Пакет и программа соотносятся неоднозначно: иногда одна программа состоит из нескольких пакетов, иногда один пакет включает несколько программ.

В процессе установки системы обычно не требуется детализированный выбор компонентов на уровне пакетов — это требует слишком много времени и знаний от проводящего установку. Тем более, что комплектация дистрибутива подбирается таким образом, чтобы из имеющихся программ можно было составить полноценную рабочую среду для соответствующей аудитории пользователей. Поэтому, в процессе установки системы пользователю предлагается выбрать из небольшого списка групп пакетов, объединяющих пакеты, необходимые для решения наиболее распространённых задач. Под списком групп на экране отображается информация об объёме дискового пространства, которое будет занято после установки пакетов, входящих в выбранные группы.

Выбрав необходимые группы, следует нажать «Далее», после чего начнётся установка пакетов.

Сохранение настроек

По завершении установки базовой системы начинается шаг сохранения настроек. Он проходит автоматически и не требует вмешательства пользователя. На экране отображается индикатор выполнения.

На этом шаге производится перенос настроек, выполненных на первых шагах установки. В только что установленную базовую систему и производится запись информации о соответствии разделов жёсткого диска смонтированным на них файловым системам. В список доступных источников программных пакетов добавляется репозиторий, находящийся на установочном лазерном диске.

После сохранения настроек осуществляется автоматический переход к следующему шагу.

Установка загрузчика

Загрузчик Linux — это программа, которая позволяет загружать Linux и другие операционные системы. Если на вашем компьютере будет установлен только Linux, то здесь не нужно ничего изменять, просто нажмите «Далее».
Если же вы планируете использовать и другие операционные системы, уже установленные на этом компьютере, тогда имеет значение на каком жёстком диске или в каком разделе будет расположен загрузчик. В большинстве случаев программа установки сама правильно подберёт расположение загрузчика. Вы можете указать расположение самостоятельно, либо вовсе не устанавливать предлагаемый загрузчик если, к примеру, вы уже используете какой-то сторонний загрузчик.

Настройка сети

На этом этапе необходимо задать параметры настройки сети: IP-адреса сетевых интерфейсов, DNS-сервер, шлюз и т.п. Конкретные значения будут зависеть от используемого вами сетевого окружения. Ручного введения настроек можно избежать при наличии в вашей сети настроенного DHCP-сервера. В этом случае все необходимые сетевые настройки будут получены автоматически.

Администратор системы

Linux — это многопользовательская система. На практике это означает, что для работы в системе необходимо зарегистрироваться, т.е. дать понять системе, кто именно находится за монитором и клавиатурой. Наиболее распространённый способ регистрации на сегодняшний день — использование системных имён (login name) и паролей (password). Это надёжное средство подтверждения того, что с системой работает тот, кто нужно. Пользователям рекомендуется создавать достаточно сложные, не слишком короткие пароли и хранить их в секрете.
При наборе пароля вместо символов на экране высвечиваются звёздочки. Чтобы избежать опечатки при вводе пароля, его предлагается ввести дважды. Можно воспользоваться автоматическим созданием пароля, выбрав «Создать автоматически». Вам будет предложен случайно сгенерированный и достаточно надёжный вариант пароля. Можно принять автоматически сгенерированный пароль (не забудьте при этом запомнить пароль!) или запросить другой вариант пароля при помощи кнопки «Сгенерировать».

В любой системе Linux всегда присутствует один специальный пользователь — администратор системы, он же суперпользователь. Для него зарезервировано стандартное системное имя — root.

Администратор системы отличается от всех прочих пользователей тем, что ему позволено производить любые, в том числе самые разрушительные изменения в системе. Поэтому выбор пароля администратора системы — очень важный момент для безопасности. Любой, кто сможет ввести его правильно (узнать или подобрать), получит неограниченный доступ к системе. Даже ваши собственные неосторожные действия от имени root могут иметь катастрофические последствия для всей системы.

P.S. Стоит запомнить пароль root — его нужно будет вводить для получения права изменять настройки системы с помощью стандартных средств настройки ALT Linux.

Системный пользователь

Помимо администратора (root) в систему необходимо добавить по меньшей мере одного обычного системного пользователя. Работа от имени администратора системы считается опасной, поэтому повседневную работу в Linux следует выполнять от имени ограниченного в полномочиях системного пользователя.

При добавлении системного пользователя предлагается ввести имя учётной записи пользователя. Имя учётной записи всегда представляет собой одно слово, состоящее только из строчных латинских букв (заглавные запрещены), цифр и символа подчёркивания «_» (причём цифра и символ «_» не могут стоять в начале слова).

Для того чтобы исключить опечатки, пароль пользователя вводится дважды. Пароль пользователя можно создать автоматически, по аналогии с автоматическим созданием пароля суперпользователя.

В процессе установки предлагается создать только одну учётную запись системного пользователя — от его имени можно выполнять задачи, не требующие привилегий суперпользователя.

Учётные записи для всех прочих пользователей системы можно будет создать в любой момент после установки операционной системы.

Завершение установки

На экране последнего шага установки отображается информация о завершении установки. Эта информация может содержать важные замечания по использованию дистрибутива. После нажатия кнопки «Завершить» происходит перезагрузка компьютера. Не забудьте извлечь установочный DVD (если это не происходит автоматически). Далее можно загружать установленную систему в обычном режиме.

Первая помощь

В случае возникновения каких-либо неприятностей не паникуйте, а спокойно разберитесь в сложившейся ситуации. Linux не так уж просто довести до полной неработоспособности и утраты ценных данных. Поспешные действия отчаявшегося пользователя могут привести к плачевным результатам. Помните, что решение есть и оно обязательно найдётся!

Проблемы при установке системы

Настройка Alt Linux СПТ 6.0

После того как установлен Alt Linux работа с ним еще не завершена. Перед тем как приступить к установке VipNet Координатора нужно обновить ядро, модули и несколько приложений. Поэтому запускайте Alt Linux, подключайте интернет и начинаем настройку/обновление.

Для обновления модулей предусмотрен менеджер пакетов Synaptic.

Менеджер пакетов Synaptic

При запуске терминала от имени суперпользователя система запросит ввести его пароль, введите пароль, заданный для суперпользователя (Администратора системы) при установке ОС Alt Linux.
В терминале введите команду включения режима суперпользователя:

После ввода команды вы увидите данные об установленном ядре.

После установки Alt Linux у меня было ядро 2.6.32-el-smp-alt42.M60C.1

Затем введите команду запуска менеджера пакетов Synaptic:

Откроется менеджер пакетов Synaptic.

Включение репозиториев

Для обновления списка пакетов из добавленных репозиториев необходимо в главном окне менеджера пакетов Synaptic нажать кнопку «Получить сведения».

Обновление модулей/Обновления ядра

Загрузка Alt Linux с новым ядром

После обновления пакетов/модулей, перезапустите шлюз, при запуске ОС выберите Alt Linux с обновленным ядром (в данном случае новое ядро std-def 3.0).

VipNet Coordinator (Linux)

На данный шлюз нужно установить ПО VipNet Coordinator (Linux), я устанавливал версию 3.7, загрузить ее можно на официальном сайте InfoTeCS.

Подготовка к установке

Дистрибутив ViPNet Coordinator кладём в домашнюю папочку пользователя (/home), например, «DISTRIB». Т.к. при установке мы завели пользователя «installer», полный путь к директории получится /home/installer/DISTRIB/. Распаковываем в нее архив с дистрибутивом, а также копируем парольно-ключевую информацию «*.dst».

Установка VipNet Coordinator

Далее меняем права на файлы в директории установки:

chown –R root /home/installer/DISTRIB/distribute/*

Проведем листинг и удостоверимся что права изменились:

После того как мы прочитали соглашение нас попросят его принять, соглашаемся нажав «y».

После чего программа инсталляции проверит наличие уже установленных конфигураций и более старых версий и не найдя ничего спросит хотим ли мы установить её вновь, говорим, что хотим, нажав «y».

Проведя несколько тестов и найдя все необходимые компоненты программа инсталляции найдет положенный заранее в её директорию dst файл и спросит развернуть его, изменить директорию, т. е. найти другой или пропустить этот шаг. Отвечаем 1, т. е. установить существующий dst файл.

Дальше нас спрашивают куда установить программу, отвечаем нажатием на ENTER что означает в директорию по умолчанию, коей является /etc/vipnet/, о чем собственно говорится в вопросе.

После чего нас попросят ввести пароль для данной конфигурации. Пароль находится в файле UsersPass.txt в разделе «Имя пользователя», сам файл UsersPass.txt находится на диске, присланном из ФЦТ. Вводим пароль.

Программа установки спросит хотим ли мы запустить сервисы автоматически или нет, отвечаем «y».
После чего нам скажут, что программа установлена.

Выглядеть в итоге все должно вот так:

Проверить что сервисы работают можно следующими командами:

На что получим ответы с информацией о том, что процессы запущены с соответствующими PID как показано на рисунке ниже:

Если все выглядит как на рисунках, значит VipNet Coordinator успешно установлен.

Настройка VipNet Coordinator

Настройка режима «С динамической трансляцией адресов»

Перед началом редактирования параметров нужно остановить модули VipNet Coordinator следующей командой:

P.S. Если остановку не произвести, изменения в файле не сохранятся.

Файл Iplir.conf доступен только с правами суперпользователя. Для запуска файла с параметрами суперпользователя рекомендую запустить в терминале с параметрами суперпользователя диспетчер файлов Midnight Commander. Для запуска выполните следующую команду:

Запустится диспетчер файлов Midnight Сommander. В любой момент диспетчер файлов можно свернуть для работы с терминалом, для свертывания используйте горячие клавиши Ctrl+O.

Файл Iplir.conf находится в каталоге: etc/vipnet/user.
Открываем файл Iplir.conf клавишей F4 в диспетчере файлов и редактируем его согласно требованиям. После редактирования у вас должно получиться примерно следующее:

[id]
id= 0x099a0e10
name= APS2 id_******
filterdefault= pass
ip= 192.168.122.1
tunnel= 193.169.176.116-193.169.176.119 to 193.169.176.116-193.169.176.119
firewallip= 192.168.122.1
port= 55777
proxyid= 0x099a0e10
usefirewall= on
fixfirewall= off
virtualip= 10.0.0.1
version= 3.0-670

[id]
id= 0xffffffff
name= Encrypted broadcasts
filterdefault= drop
filterudp= 137, 137, pass, any
filterudp= 138, 138, pass, any
filterudp= 68, 67, pass, any
filterudp= 67, 68, pass, any, disable
filterudp= 2046, 0-65535, pass, recv
filterudp= 2046, 2046, pass, send
filterudp= 2048, 0-65535, pass, recv
filterudp= 2050, 0-65535, pass, recv
filterudp= 2050, 2050, pass, send

[id]
id= 0xfffffffe
name= Main Filter
filterdefault= pass

[id]
id= 0x099a000b
name= AP Administrator
filterdefault= pass
ip= 10.0.4.246
accessip= 10.0.0.2
firewallip= 10.0.4.245
port= 55777
proxyid= 0x099a000a
dynamic_timeout= 0
usefirewall= on
always_use_server= on
virtualip= 10.0.0.2
version= 3.2-672

[id]
id= 0x099a066d
name= CM Failover2
filterdefault= pass
ip= 85.143.100.25
ip= 10.0.4.242
ip= 169.254.241.1
ip= 192.168.0.1
accessip= 10.0.0.3
tunnel= 10.0.3.1-10.0.3.1 to 10.0.3.1-10.0.3.1
firewallip= 85.143.100.25
port= 55777
proxyid= 0x099a066d
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.3
version= 3.0-670

[id]
id= 0x0e18000a
name= CM-OBRNADZOR-HW-1 3608
filterdefault= pass
ip= 192.168.0.121
ip= 10.3.54.101
accessip= 10.0.0.4
tunnel= 10.3.54.15-10.3.54.15 to 10.3.54.15-10.3.54.15
firewallip= 62.76.166.101
port= 55777
proxyid= 0xfffffffe
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.4
version= 3.0-670

[id]
id= 0x0e18000d
name= AP-Admin3608 3608
filterdefault= pass
accessip= 0.0.0.0
port= 55777
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.5

[adapter]
name= eth0
allowtraffic= on
type= external

[adapter]
name= virbr0
ip= 192.168.122.1
allowtraffic= on
type= internal

[dynamic]
dynamic_proxy= on
firewallip= 192.168.122.1
port= 32466
forward_id= 0x099a066d
always_use_server= off
timeout= 25

[misc]
packettype= 4.1
timediff= 7200
warnoldautosave= on
client_pollinterval= 300
server_pollinterval= 900
iparponly= off
ifcheck_timeout= 30
ipforwarding= on
iscaggregate= on
ompnumthreads= 1
mssdecrease= 0
ciphertype= gost

[debug]
debuglevel= 3
debuglogfile= file:/var/log/iplircfg.debug.log

[servers]
server= 0x099a066d, CM Failover2
server= 0x0e18000a, CM-OBRNADZOR-HW-1 3608

[virtualip]
startvirtualip= 10.0.0.1
endvirtualip= 10.0.0.6
maxvirtualip= 10.0.254.254
; Do not delete or change the following line.
startvirtualiphash= 0x18E80620

[visibility]
default= auto

По окончанию редактирования файла, сохраните его.

Переключение режима координатора

Далее нам нужно переключить режим работы координатора, чтобы не блокировал все пакеты подряд. По умолчанию установлен 2 режим, он более строгий. Поставим на 4 режим отредактировав файлiplir.conf-eth0. Находится он также в директории: etc/vipnet/user.

Файл содержит в себе следующую информацию:

[db]
maxsize= 50 MBytes
timedif= 60
registerall= off
registerbroadcast= off
registertcpserverport= off

Если запуск не будет произведен, в дальнейшем не будет возможности получать обновления на координаторе.

Подключение рабочих станций

Обновление информации на шлюзе

Пример после обновления:

Ввод в эксплуатацию

По умолчанию, если сетевой интерфейс один, локальная сеть обозначается как eth0, ip-адрес шлюза будет прописан в параметре inet addr.

После ввода шлюза на рабочих станциях, проверяем работоспособность организованной нами VPN сети. Для проверки в браузере IE введите адрес портала ФИС ЕГЭ – 10.0.3.1 и ФИС ФРДО – 10.3.54.15. Если порталы открываются успешно, значит все действия выполнены правильно. Если же порталы недоступны и отсутствует доступ в интернет в целом, идем вновь к шлюзу и проверяем прохождение пакетов.

Проверка пакетов

Для проверки пакетов необходимо в терминале с правами суперпользователя ввести команду:

Далее нажать «Enter». Отобразится информация о поступлении на шлюз пакетов с машин, подключенных к данной сети.

Проверьте пакеты с ip-адресов рабочих станций, если присутствует информация о блокировке пакетов, нужно настроить переадресацию пакетов с конкретных ip-адресов.

Настройка переадресации

Если после настройки переадресации не работает один из двух порталов, а один успешно грузится, значит второй оператор еще не обработал данные высланные с ФЦТ и не знает ip-адресов пользовательских рабочих станций. В данном случае можно проверить и продемонстрировать доступность к обоим порталам с самого шлюза.

Горячие клавиши

Источник