За что отвечает параметр registerall в файлах iplir conf интерфейс
Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator)
Введение
Начало настройки/установки
Создание резервной копии
В первую очередь необходимо выполнить резервную копию жесткого диска нашего шлюза. Сделать это можно используя ПО: Acronis True Image, предварительно записав его как загрузочный диск, например, на внешний USB носитель. Делать резервную копию нужно на альтернативный носитель, использовать для резервной копии этот же самый жесткий диск шлюза не имеет смысла.
После создания резервной копии убедитесь, что файл с резервной копией жесткого диска шлюза виден на носителе и занимает определенный размер. Далее можете извлекать все используемые диски/usb-носители и переходить к установке Alt Linux.
Установка Alt Linux СПТ 6.0
Установка дистрибутива Alt Linux не сложная, все настройки делаются по умолчанию, даже мучиться с разбиением дисков не приходится. Для работы VipNet Координатора нам потребуется установить 32х разрядную системы.
В примере приведены скриншоты Alt Linux Centaurus, не обращайте внимания на данный момент, порядок установки СПТ тот же.
Загрузка системы
Для того, чтобы начать обычную установку (при наличии установочного диска с дистрибутивом и устройства для чтения DVD), необходимо загрузиться с CD или DVD-диска, на котором записан дистрибутив. В этом случае может потребоваться включить в BIOS опцию загрузки с CD/DVD-привода.
P.S. В большинстве случаев указание способа входа в BIOS отображается на вашем мониторе непосредственно после включения компьютера. Способ входа в меню BIOS и информация о расположении настроек определяется производителем используемого оборудования. За информацией можно обратиться к документации на ваше оборудование.
После загрузки компьютера с установочного диска выводится меню, в котором вы можете выбрать возможные варианты загрузки системы, а также, запустить уже установленную на жёстком диске ОС, выполнить проверку памяти, загрузиться в восстановительном режиме и запуститься в режиме LiveCD.
P.S. Мышь на этом этапе установки не поддерживается. Для выбора опций установки и различных вариантов необходимо использовать клавиатуру.
Последовательность установки
Процесс установки разделён на шаги. Каждый шаг посвящён настройке или установке определённого свойства системы. Шаги нужно проходить последовательно, переход к следующему шагу происходит по нажатию кнопки «Далее». При помощи кнопки «Назад», при необходимости, можно вернуться к уже пройденному шагу и изменить настройки. Однако, возможность перехода к предыдущему шагу ограничена теми шагами, в которых нет зависимости от данных, введённых ранее.
Если по каким-то причинам возникла необходимость прекратить установку, нажмите кнопку перезагрузки (reset) на системном блоке компьютера. Важно помнить, что совершенно безопасно прекращать установку можно только до шага «Подготовка диска», поскольку до этого момента не производится никаких изменений на жёстком диске. Если прервать установку между шагами «Подготовка диска» и «Установка загрузчика», то, вероятно, после этого с жёсткого диска не сможет загрузиться ни одна из установленных систем.
Каждый шаг сопровождается краткой справкой, которую можно вызвать, щёлкнув кнопку «Справка» или нажав F1.
Лицензионный договор
Дата и время
Для корректной установки даты и времени достаточно правильно указать часовой пояс и выставить желаемые значения для даты и времени.
На этом шаге следует выбрать часовой пояс, по которому нужно установить часы. Для этого в соответствующих списках выберите страну, а затем регион. Поиск по списку можно ускорить, набирая на клавиатуре первые буквы искомого слова.
Обратите внимание на отметку «Хранить время в BIOS по Гринвичу». Если Linux — единственная установленная операционная система, то поставьте эту отметку. Если Linux устанавливается как вторая система, то эту отметку необходимо снять. Если этого не сделать, то время и дата в уже установленной операционной системе могут отображаться неверно.
Проверьте, верно ли отображаются дата и время в графе «Текущее время», и, при необходимости, выставьте правильные значения (кнопка «Изменить…»).
Если ваш компьютер подключён к локальной сети или к сети Интернет, можно включить функцию синхронизации системных часов с удалённым сервером (NTP). Для этого достаточно отметить пункт «Получать точное время с NTP-сервера» и указать предпочитаемый NTP-сервер. В большинстве случаев вас устроит сервер pool.ntp.org.
Если выбрана опция «Получать точное время с NTP-сервера», то ваш компьютер может сам быть сервером точного времени. Например, использоваться как сервер точного времени машинами вашей локальной сети. Для активации этой возможности отметьте «Работать как NTP-сервер».
Подготовка диска
Переход к этому шагу может занять некоторое время. Время ожидания зависит от производительности компьютера, объёма жёсткого диска, количества разделов на нём и т.п. На этом этапе подготавливается площадка для установки ALT Linux, в первую очередь — выделяется свободное место на диске.
Выбор профиля разбиения диска
Автоматические профили разбиения диска
Профили предполагают автоматическое разбиение диска. Выбор автоматического профиля разбиения диска влияет также и на набор устанавливаемого по умолчанию программного обеспечения.
Установка сервера — по умолчанию будет установлен набор серверного ПО. Это позволяет использовать установленную систему для выполнения различных сервисных задач. При установке типа «Установка сервера» не будет осуществляться запуск графического пользовательского интерфейса при загрузке системы, если только вы не установили самостоятельно соответствующие программные пакеты.
Установка рабочей станции — по умолчанию будет установлен набор ПО, включающий графическое окружение и средства разработки для решения повседневных задач.
При выборе пункта «Установка сервера», при наличии двух жёстких дисков на компьютере, будет создан массив RAID1, а при наличии трёх и более дисков — RAID5. Использование технологии RAID обеспечивает сохранность данных даже при выходе одного жёсткого диска из строя. Обратите внимание на то, что при установке дистрибутива в виртуальную машину RAID-массивы автоматически не создаются.
Установка системы
В любом дистрибутиве ALT Linux доступно значительное количество программ (до нескольких тысяч), часть из них составляет саму операционную систему, а остальные — это прикладные программы и утилиты.
В операционной системе Linux все операции установки и удаления производятся над пакетами — отдельными компонентами системы. Пакет и программа соотносятся неоднозначно: иногда одна программа состоит из нескольких пакетов, иногда один пакет включает несколько программ.
В процессе установки системы обычно не требуется детализированный выбор компонентов на уровне пакетов — это требует слишком много времени и знаний от проводящего установку. Тем более, что комплектация дистрибутива подбирается таким образом, чтобы из имеющихся программ можно было составить полноценную рабочую среду для соответствующей аудитории пользователей. Поэтому, в процессе установки системы пользователю предлагается выбрать из небольшого списка групп пакетов, объединяющих пакеты, необходимые для решения наиболее распространённых задач. Под списком групп на экране отображается информация об объёме дискового пространства, которое будет занято после установки пакетов, входящих в выбранные группы.
Выбрав необходимые группы, следует нажать «Далее», после чего начнётся установка пакетов.
Сохранение настроек
По завершении установки базовой системы начинается шаг сохранения настроек. Он проходит автоматически и не требует вмешательства пользователя. На экране отображается индикатор выполнения.
На этом шаге производится перенос настроек, выполненных на первых шагах установки. В только что установленную базовую систему и производится запись информации о соответствии разделов жёсткого диска смонтированным на них файловым системам. В список доступных источников программных пакетов добавляется репозиторий, находящийся на установочном лазерном диске.
После сохранения настроек осуществляется автоматический переход к следующему шагу.
Установка загрузчика
Загрузчик Linux — это программа, которая позволяет загружать Linux и другие операционные системы. Если на вашем компьютере будет установлен только Linux, то здесь не нужно ничего изменять, просто нажмите «Далее».
Если же вы планируете использовать и другие операционные системы, уже установленные на этом компьютере, тогда имеет значение на каком жёстком диске или в каком разделе будет расположен загрузчик. В большинстве случаев программа установки сама правильно подберёт расположение загрузчика. Вы можете указать расположение самостоятельно, либо вовсе не устанавливать предлагаемый загрузчик если, к примеру, вы уже используете какой-то сторонний загрузчик.
Настройка сети
На этом этапе необходимо задать параметры настройки сети: IP-адреса сетевых интерфейсов, DNS-сервер, шлюз и т.п. Конкретные значения будут зависеть от используемого вами сетевого окружения. Ручного введения настроек можно избежать при наличии в вашей сети настроенного DHCP-сервера. В этом случае все необходимые сетевые настройки будут получены автоматически.
Администратор системы
Linux — это многопользовательская система. На практике это означает, что для работы в системе необходимо зарегистрироваться, т.е. дать понять системе, кто именно находится за монитором и клавиатурой. Наиболее распространённый способ регистрации на сегодняшний день — использование системных имён (login name) и паролей (password). Это надёжное средство подтверждения того, что с системой работает тот, кто нужно. Пользователям рекомендуется создавать достаточно сложные, не слишком короткие пароли и хранить их в секрете.
При наборе пароля вместо символов на экране высвечиваются звёздочки. Чтобы избежать опечатки при вводе пароля, его предлагается ввести дважды. Можно воспользоваться автоматическим созданием пароля, выбрав «Создать автоматически». Вам будет предложен случайно сгенерированный и достаточно надёжный вариант пароля. Можно принять автоматически сгенерированный пароль (не забудьте при этом запомнить пароль!) или запросить другой вариант пароля при помощи кнопки «Сгенерировать».
В любой системе Linux всегда присутствует один специальный пользователь — администратор системы, он же суперпользователь. Для него зарезервировано стандартное системное имя — root.
Администратор системы отличается от всех прочих пользователей тем, что ему позволено производить любые, в том числе самые разрушительные изменения в системе. Поэтому выбор пароля администратора системы — очень важный момент для безопасности. Любой, кто сможет ввести его правильно (узнать или подобрать), получит неограниченный доступ к системе. Даже ваши собственные неосторожные действия от имени root могут иметь катастрофические последствия для всей системы.
P.S. Стоит запомнить пароль root — его нужно будет вводить для получения права изменять настройки системы с помощью стандартных средств настройки ALT Linux.
Системный пользователь
Помимо администратора (root) в систему необходимо добавить по меньшей мере одного обычного системного пользователя. Работа от имени администратора системы считается опасной, поэтому повседневную работу в Linux следует выполнять от имени ограниченного в полномочиях системного пользователя.
При добавлении системного пользователя предлагается ввести имя учётной записи пользователя. Имя учётной записи всегда представляет собой одно слово, состоящее только из строчных латинских букв (заглавные запрещены), цифр и символа подчёркивания «_» (причём цифра и символ «_» не могут стоять в начале слова).
Для того чтобы исключить опечатки, пароль пользователя вводится дважды. Пароль пользователя можно создать автоматически, по аналогии с автоматическим созданием пароля суперпользователя.
В процессе установки предлагается создать только одну учётную запись системного пользователя — от его имени можно выполнять задачи, не требующие привилегий суперпользователя.
Учётные записи для всех прочих пользователей системы можно будет создать в любой момент после установки операционной системы.
Завершение установки
На экране последнего шага установки отображается информация о завершении установки. Эта информация может содержать важные замечания по использованию дистрибутива. После нажатия кнопки «Завершить» происходит перезагрузка компьютера. Не забудьте извлечь установочный DVD (если это не происходит автоматически). Далее можно загружать установленную систему в обычном режиме.
Первая помощь
В случае возникновения каких-либо неприятностей не паникуйте, а спокойно разберитесь в сложившейся ситуации. Linux не так уж просто довести до полной неработоспособности и утраты ценных данных. Поспешные действия отчаявшегося пользователя могут привести к плачевным результатам. Помните, что решение есть и оно обязательно найдётся!
Проблемы при установке системы
Настройка Alt Linux СПТ 6.0
После того как установлен Alt Linux работа с ним еще не завершена. Перед тем как приступить к установке VipNet Координатора нужно обновить ядро, модули и несколько приложений. Поэтому запускайте Alt Linux, подключайте интернет и начинаем настройку/обновление.
Для обновления модулей предусмотрен менеджер пакетов Synaptic.
Менеджер пакетов Synaptic
При запуске терминала от имени суперпользователя система запросит ввести его пароль, введите пароль, заданный для суперпользователя (Администратора системы) при установке ОС Alt Linux.
В терминале введите команду включения режима суперпользователя:
После ввода команды вы увидите данные об установленном ядре.
После установки Alt Linux у меня было ядро 2.6.32-el-smp-alt42.M60C.1
Затем введите команду запуска менеджера пакетов Synaptic:
Откроется менеджер пакетов Synaptic.
Включение репозиториев
Для обновления списка пакетов из добавленных репозиториев необходимо в главном окне менеджера пакетов Synaptic нажать кнопку «Получить сведения».
Обновление модулей/Обновления ядра
Загрузка Alt Linux с новым ядром
После обновления пакетов/модулей, перезапустите шлюз, при запуске ОС выберите Alt Linux с обновленным ядром (в данном случае новое ядро std-def 3.0).
VipNet Coordinator (Linux)
На данный шлюз нужно установить ПО VipNet Coordinator (Linux), я устанавливал версию 3.7, загрузить ее можно на официальном сайте InfoTeCS.
Подготовка к установке
Дистрибутив ViPNet Coordinator кладём в домашнюю папочку пользователя (/home), например, «DISTRIB». Т.к. при установке мы завели пользователя «installer», полный путь к директории получится /home/installer/DISTRIB/. Распаковываем в нее архив с дистрибутивом, а также копируем парольно-ключевую информацию «*.dst».
Установка VipNet Coordinator
Далее меняем права на файлы в директории установки:
chown –R root /home/installer/DISTRIB/distribute/*
Проведем листинг и удостоверимся что права изменились:
После того как мы прочитали соглашение нас попросят его принять, соглашаемся нажав «y».
После чего программа инсталляции проверит наличие уже установленных конфигураций и более старых версий и не найдя ничего спросит хотим ли мы установить её вновь, говорим, что хотим, нажав «y».
Проведя несколько тестов и найдя все необходимые компоненты программа инсталляции найдет положенный заранее в её директорию dst файл и спросит развернуть его, изменить директорию, т. е. найти другой или пропустить этот шаг. Отвечаем 1, т. е. установить существующий dst файл.
Дальше нас спрашивают куда установить программу, отвечаем нажатием на ENTER что означает в директорию по умолчанию, коей является /etc/vipnet/, о чем собственно говорится в вопросе.
После чего нас попросят ввести пароль для данной конфигурации. Пароль находится в файле UsersPass.txt в разделе «Имя пользователя», сам файл UsersPass.txt находится на диске, присланном из ФЦТ. Вводим пароль.
Программа установки спросит хотим ли мы запустить сервисы автоматически или нет, отвечаем «y».
После чего нам скажут, что программа установлена.
Выглядеть в итоге все должно вот так:
Проверить что сервисы работают можно следующими командами:
На что получим ответы с информацией о том, что процессы запущены с соответствующими PID как показано на рисунке ниже:
Если все выглядит как на рисунках, значит VipNet Coordinator успешно установлен.
Настройка VipNet Coordinator
Настройка режима «С динамической трансляцией адресов»
Перед началом редактирования параметров нужно остановить модули VipNet Coordinator следующей командой:
P.S. Если остановку не произвести, изменения в файле не сохранятся.
Файл Iplir.conf доступен только с правами суперпользователя. Для запуска файла с параметрами суперпользователя рекомендую запустить в терминале с параметрами суперпользователя диспетчер файлов Midnight Commander. Для запуска выполните следующую команду:
Запустится диспетчер файлов Midnight Сommander. В любой момент диспетчер файлов можно свернуть для работы с терминалом, для свертывания используйте горячие клавиши Ctrl+O.
Файл Iplir.conf находится в каталоге: etc/vipnet/user.
Открываем файл Iplir.conf клавишей F4 в диспетчере файлов и редактируем его согласно требованиям. После редактирования у вас должно получиться примерно следующее:
[id]
id= 0x099a0e10
name= APS2 id_******
filterdefault= pass
ip= 192.168.122.1
tunnel= 193.169.176.116-193.169.176.119 to 193.169.176.116-193.169.176.119
firewallip= 192.168.122.1
port= 55777
proxyid= 0x099a0e10
usefirewall= on
fixfirewall= off
virtualip= 10.0.0.1
version= 3.0-670
[id]
id= 0xffffffff
name= Encrypted broadcasts
filterdefault= drop
filterudp= 137, 137, pass, any
filterudp= 138, 138, pass, any
filterudp= 68, 67, pass, any
filterudp= 67, 68, pass, any, disable
filterudp= 2046, 0-65535, pass, recv
filterudp= 2046, 2046, pass, send
filterudp= 2048, 0-65535, pass, recv
filterudp= 2050, 0-65535, pass, recv
filterudp= 2050, 2050, pass, send
[id]
id= 0xfffffffe
name= Main Filter
filterdefault= pass
[id]
id= 0x099a000b
name= AP Administrator
filterdefault= pass
ip= 10.0.4.246
accessip= 10.0.0.2
firewallip= 10.0.4.245
port= 55777
proxyid= 0x099a000a
dynamic_timeout= 0
usefirewall= on
always_use_server= on
virtualip= 10.0.0.2
version= 3.2-672
[id]
id= 0x099a066d
name= CM Failover2
filterdefault= pass
ip= 85.143.100.25
ip= 10.0.4.242
ip= 169.254.241.1
ip= 192.168.0.1
accessip= 10.0.0.3
tunnel= 10.0.3.1-10.0.3.1 to 10.0.3.1-10.0.3.1
firewallip= 85.143.100.25
port= 55777
proxyid= 0x099a066d
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.3
version= 3.0-670
[id]
id= 0x0e18000a
name= CM-OBRNADZOR-HW-1 3608
filterdefault= pass
ip= 192.168.0.121
ip= 10.3.54.101
accessip= 10.0.0.4
tunnel= 10.3.54.15-10.3.54.15 to 10.3.54.15-10.3.54.15
firewallip= 62.76.166.101
port= 55777
proxyid= 0xfffffffe
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.4
version= 3.0-670
[id]
id= 0x0e18000d
name= AP-Admin3608 3608
filterdefault= pass
accessip= 0.0.0.0
port= 55777
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.5
[adapter]
name= eth0
allowtraffic= on
type= external
[adapter]
name= virbr0
ip= 192.168.122.1
allowtraffic= on
type= internal
[dynamic]
dynamic_proxy= on
firewallip= 192.168.122.1
port= 32466
forward_id= 0x099a066d
always_use_server= off
timeout= 25
[misc]
packettype= 4.1
timediff= 7200
warnoldautosave= on
client_pollinterval= 300
server_pollinterval= 900
iparponly= off
ifcheck_timeout= 30
ipforwarding= on
iscaggregate= on
ompnumthreads= 1
mssdecrease= 0
ciphertype= gost
[debug]
debuglevel= 3
debuglogfile= file:/var/log/iplircfg.debug.log
[servers]
server= 0x099a066d, CM Failover2
server= 0x0e18000a, CM-OBRNADZOR-HW-1 3608
[virtualip]
startvirtualip= 10.0.0.1
endvirtualip= 10.0.0.6
maxvirtualip= 10.0.254.254
; Do not delete or change the following line.
startvirtualiphash= 0x18E80620
[visibility]
default= auto
По окончанию редактирования файла, сохраните его.
Переключение режима координатора
Далее нам нужно переключить режим работы координатора, чтобы не блокировал все пакеты подряд. По умолчанию установлен 2 режим, он более строгий. Поставим на 4 режим отредактировав файлiplir.conf-eth0. Находится он также в директории: etc/vipnet/user.
Файл содержит в себе следующую информацию:
[db]
maxsize= 50 MBytes
timedif= 60
registerall= off
registerbroadcast= off
registertcpserverport= off
Если запуск не будет произведен, в дальнейшем не будет возможности получать обновления на координаторе.
Подключение рабочих станций
Обновление информации на шлюзе
Пример после обновления:
Ввод в эксплуатацию
По умолчанию, если сетевой интерфейс один, локальная сеть обозначается как eth0, ip-адрес шлюза будет прописан в параметре inet addr.
После ввода шлюза на рабочих станциях, проверяем работоспособность организованной нами VPN сети. Для проверки в браузере IE введите адрес портала ФИС ЕГЭ – 10.0.3.1 и ФИС ФРДО – 10.3.54.15. Если порталы открываются успешно, значит все действия выполнены правильно. Если же порталы недоступны и отсутствует доступ в интернет в целом, идем вновь к шлюзу и проверяем прохождение пакетов.
Проверка пакетов
Для проверки пакетов необходимо в терминале с правами суперпользователя ввести команду:
Далее нажать «Enter». Отобразится информация о поступлении на шлюз пакетов с машин, подключенных к данной сети.
Проверьте пакеты с ip-адресов рабочих станций, если присутствует информация о блокировке пакетов, нужно настроить переадресацию пакетов с конкретных ip-адресов.
Настройка переадресации
Если после настройки переадресации не работает один из двух порталов, а один успешно грузится, значит второй оператор еще не обработал данные высланные с ФЦТ и не знает ip-адресов пользовательских рабочих станций. В данном случае можно проверить и продемонстрировать доступность к обоим порталам с самого шлюза.