Размер:
AAA
Цвет: CCC
Изображения Вкл.Выкл.
Обычная версия сайта
Вернуться к обычному виду

Документация

Краткое руководство по решению проблем при установке ПО ViPNet.

В данном кратком руководстве мы постараемся описать самые типичные ошибки, мешающие правильному функционированию ПО ViPNet.

Так как ПО ViPNet является мощным средством для организации сети, позволяющее гибко маршрутизировать шифрованный трафик, в зависимости от настроек клиента, необходимо чётко понимать каким образом должны работать клиенты именно в вашей организации. Для начала необходимо определиться, каким образом вы подключаетесь к домашней сети. В нашем случае домашней является РМТКС, поэтому предпочтительно нахождение клиента именно в ней, но возможно так же подключение из сети Интернет, или другой локальной сети подключенной к РМТКС или Интернет. Так же Администратору сети, устанавливающему ПО ViPNet необходимо понимать схемы маршрутизации трафика в его сети, так как иногда для правильной работы сети приходится настраивать несколько маршрутов. В частности если у вашего компьютера несколько сетевых карт, проверьте, чтобы шлюз был настроен только на одной из них! Так же ПО ViPNet с трудом вписывается в схемы с несколькими адресами на 1 сетевом интерфейсе, схемы с VPN внутри LAN, схемы с NAT между сегментами LAN и другие подобные.

Для выполнения настроек необходимо войти в систему под администратором: меню сервис – вход администратора. Пароль администратора можно узнать у специалиста в Администрации Вашего муниципального образования.

Итак, в случае если клиентская машина подключена к РМТКС, то защищённый трафик может прямиком передаваться на соседние узлы защищённой сети (серверы в вашей организации, серверы в ГКУ «Ресурсы Ямала», соседние компьютеры пользователей). Для этого в меню ПО ViPNet Client Монитор «сервис – настройки – защищённая сеть» необходимо отключить использование межсетевого экрана. В противном случае, даже трафик с соседними узлами, например сервером Lotus в организации, будет передаваться через удалённый координатор, что увеличит нагрузку на сеть и негативно скажется на быстродействии сети. Убедительно просим проверить отключение этой опции.

sec-net

В случае если клиентский компьютер находится в локальной сети, отличной от РМТКС, то скорее всего соединение с домашней сетью РМТКС происходит по технологии NAT. В этом случае, в том же пункте меню необходимо включить использование межсетевого экрана с динамической трансляцией. Включение опции «весь трафик с внешними сетевыми узлами направлять через координатор» запрещает клиенту пытаться соединиться с соседними ViPNet-узлами напрямую, весь трафик сначала отправляется на ViPNet-координатор. Зачастую включение этой опции позволяет достучаться до сервера.

Тип межсетевого экрана – координатор следует установить в том случае, если для подключения к ViPNet-узлам необходимо использовать ViPNet-координатор, и он доступен без трансляции NAT. В этом случае трафик с защищёнными узлами будет направляться только через этот координатор, даже если он не является шлюзом по умолчанию для данного компьютера.

Ниже представлены типовые схемы подключения защищённых узлов.

shemy

Зачастую, причиной неработоспособности ПО ViPNet Client является неправильная установка времени на компьютере. Проверьте, чтобы часовой пояс был обязательно +6 (даже если это не Екатеринбург), текущая дата, год и время были установлены верно.

Более подробную информацию о работе сети ViPNet можно получить из журнала ip-пакетов. Необходимо установить параметры поиска и нажать кнопку «Поиск…». Например окно поиска пакетов с узлом «SERV-SMEV-UKMV» выглядит так:

log

В случае наличия заблокированных пакетов можно будет определить причину блокировки, она будет кратко описана в графе «Событие» более подробно обо всех событиях описано в руководстве пользователя ViPNet Client Монитор. Указанное руководство так же входит в состав архива с дистрибутивом ПО ViPNet.

log2

Если в журнале наблюдаются исходящие зашифрованные ip-пакеты для нужного нам узла, но нет ответных от него, и все настройки связанные с межсетевым экраном сделаны правильно, то причиной неработоспособности может быть блокирование пакетов ViPNet (UDP/55777 и IP/241) сетевым оборудованием.

Иногда возникает сообщение, об ошибке с сертификатами ключей пользователя, этот функционал сейчас в нашей сети не используется, и появление такого сообщения не является критичным, оно не влияет на работоспособность. Отключить это сообщение, можно в меню «Сервис – настройка». Так же рекомендуем сообщить об этой проблеме Администратору сети ViPNet.

Настройка сетевых фильтров.

Так как ПО ViPNet кроме VPN клиента является ещё и сертифицированным межсетевым экраном, в нём реализована возможность фильтрации сетевого трафика. По умолчанию, после установки ViPNet Client блокируется почти весь открытый трафик и разрешён весь трафик внутри защищённой сети. Для того, чтобы разрешить например пользоваться браузером на данном компьютере, необходимо разрешить исходящий web-трафик TCP/80, TCP/443, для определения адресов сайтов службу DNS (UDP/53).

fw

Указанные настройки можно экспортировать с настроенной машины и импортировать на всех других.

import


Возврат к списку