Vipnet coordinator linux установка

Вопросы и ответы: ViPNet Coordinator for Linux

Вопросы и ответы: ViPNet Coordinator for Linux

Поиск и устранение неисправностей: изменение механизма фильтрации пакетов после установки ViPNet Coordinator for Linux

В ОС Linux для механизма фильтрации пакетов Unicast Reverse Path Forwarding Filtering по умолчанию включен режим «No source validation». Некоторые дистрибутивы ОС Linux позволяют запускать скрипты, изменяющие режим Unicast Reverse Path Forwarding Filtering, например, на Strict, что может вызывать конфликтные ситуации при работе программного обеспечения ViPNet. Поэтому после установки ViPNet Coordinator for Linux при запуске служб ViPNet этот механизм фильтрации пакетов автоматически переводится в режим «No source validation».

Поиск и устранение неисправностей: блокировка трафика на сетевом узле после установки ViPNet Coordinator for Linux

Если при выполнении сценария установки ViPNet Coordinator for Linux вы пропустили выбор файла справочников и ключей (*.dst), после завершения установки весь сетевой трафик будет заблокирован.

Если блокировка трафика нежелательна, сразу после установки и до перезагрузки ОС Linux необходимо выполнить одну из следующих команд:

– для ОС Linux с системным менеджером systemd:
root@host:# systemctl disable vipmod

– для ОС Linux с системным менеджером sysvinit:
root@host:# chkconfig vipmod off

Если ОС Linux была перезагружена, для разблокировки сетевого трафика необходимо выполнить одну из следующих команд:

– для ОС Linux с системным менеджером systemd:
root@host:# systemctl stop vipmod

– для ОС Linux с системным менеджером sysvinit:
root@host:# /etc/init.d/vipmod stop

Анализ дампов программ

В случае аварийного завершения программ в операционной системе Linux создаются дампы (core files). Такие дампы содержат важную информацию, необходимую разработчикам для выяснения и устранения причин аварийного завершения работы программ.

Дампы создаются автоматически в случае аварийного завершения работы следующих программных компонентов, входящих в состав ViPNet Coordinator for Linux:

Дампы каждого программного компонента хранятся в подкаталоге с именем этого компонента, расположенном в каталоге / /coredumps. Эти подкаталоги создаются при первом запуске соответствующих программных компонентов.

Где хранятся справочники и ключи ViPNet Coordinator for Linux?

По умолчанию расположение каталога, в котором хранятся справочники и ключи: /etc/vipnet. Если расположение изменено не по умолчанию, можно посмотреть расположение в файле /etc/iplirpsw.

При установке ViPNet Coordinator for Linux 4.2.4-13363 возникла проблема с установкой заголовочных файлов от ядра 3.0.3 на ОС SUSE Linux Enterprise Server 11 SP3 (32/64-разрядная). В документации не сказано какие kernels и для каких ядер устанавливать.

В документе «Setup», в раздел «Подготовка к установке ViPNet Coordinator for Linux» добавлено, что kernel headers должны соответствовать версии ядра.

Заголовочные файлы ядра ОС Linux соответствующей ядру версии или исходные тексты в случае использования патча ядра ОС Linux для перехвата сетевых пакетов.

Не работает web-интерфейс с настройками ViPNet Coordinator for Linux 4.1.4 ОС Ubuntu server 12.04

Ошибка в том, что был запущен tomcat на порту 8080, на котором находится webgui. Для webgui порт не настраивается, а для tomcat — настраивается. Для устранения проблемы надо поменять порт на другой, отличный от 8080.

Не проходит удаленное обновление координатора с версии 4.2.5 на версию 4.3.0 ubuntu-14.04.5 – (ядро 4.4)

4.2.x не поддерживает ubuntu-14.04.5 – (ядро 4.4). Проводить обновление с 4.2.x на 4.3.х на Ubuntu нельзя. Проходит только первичная установка на ОС, указанную в документации.

Установка ViPNet Coordinator for Linux 4.1.4-10954 завершается успешно, но в каталоге /etc/vipnet/user/ отсутствуют файлы конфигурации

Для решения проблемы нужно ввести команду: /sbin/iplircfg —check /etc/iplirpsw.

При запуске инсталлятора версии 4.5.0-1580 выдается следующее сообщение: «Checking Linux kernel headers presence. Unable to find valid kernel headers for kernel 3.10.0-957.10.1.el7.x86_64»

Для решения проблемы необходимо доставить недостающие пакеты kernel-devel.

При установке Coordinator for Linux. Error unmerging. Installation ABORTED

К ошибке приводили некорректные действия пользователя (неправильный пароль пользователя при первичной инициализации).

Обновление ViPNet Coordinator for Linux до версии 4.5.0

Обновить ViPNet Coordinator for Linux до версии 4.5.0 можно только с версии 4.1.x или выше. Поэтому если у вас установлена более ранняя версия, чем 4.1.x, сначала обновите ViPNet Coordinator for Linux до версии 4.1.x.

При обновлении координатора Linux до версии 4.5.0 нужно ли придерживаться поэтапного плана обновления с 3.х до 4.5.0?

Обновляться желательно последовательно, с версии на версию.

Следует учитывать, что не всегда можно обновлять ПО ViPNet Coordinator for Linux без обновления самой операционной системы. Зачастую сначала легче установить новую операционную систему Linux, а затем актуальную версию ПО ViPNet Coordinator for Linux.

К каждой версии ViPNet Coordinator for Linux идет документация с перечнем поддерживаемых операционных систем. Если в перечне к устанавливаемой версии ваша операционная система присутствует, можно обновляться.

Источник

ViPNet Coordinator

Установка ViPNet Coordinator под Альт Линукс СПТ 6.0 сертифицированный ФСТЭК (аналогично для любого дистрибутива из ветки p6)

Установка ViPNet Coordinator под Альт Линукс СПТ 6.0 сертифицированный ФСТЭК позволяет создать полнофункциональный программный сервер защищенной сети (криптошлюз и межсетевой экран) ViPNet выполняющий следующие функции:

• Сервера IP-адресов;
• Прокси-сервера защищенных соединений;
• Туннелирующего сервера (криптошлюза);
• Межсетевого экрана для открытых, защищенных ресурсов и туннелируемых ресурсов;
• Сервера защищенной почты;
• Отказоустойчивого сервера защищенной сети ViPNet в конфигурации ViPNet Failover.

Исходные дистрибутивы: Дистрибутив Альт Линукс 6.0 СПТ сертифицированный ФСТЭК 32 разрядную версию (или ветки p6) и дистрибутив ViPNet Coordinator для Linux. Дистрибутив Альт Линукс можно скачать с официального зеркала. Дистрибутив демоверсии Coordinator для Linux можно скачать с официального сайта компании Инфотекс, так же оттуда нужно скачать демонстрационные ключи

Подготовка: [ править ]

1. Устанавливаем стандартно дистрибутив Альт Линукс 6 ветки, поскольку Coordinator это все таки сервер, во время установки выбираем разбитие жесткого диска для серверного варианта установки, все остальные настройки по умолчанию. например установка описана тут

2. Дистрибутив ViPNet Coordinator кладём в домашнюю папочку пользователя, например DISTRIB. Т.к. при установке мы завели пользователя «installer», полный путь к директории получится /home/installer/DISTRIB/ . Распаковываем в нее архив с дистрибутивом и демонстрационными ключами. У нас получится две папочки с следующим содержимым:

3. Для дальнейшей установки нам потребуется установить дополнительные пакеты требующиеся для ViPNet Coordinator-а, а именно gcc со всеми зависимостями и kernel-headers-modules соответствующий вашему ядру.

Установка [ править ]

4. Переходим в папку distribute

при этом файл install.sh должен иметь права на исполнение, если это не так, исправим это:

5. Копируем в эту папку файл dst с нужный нам конфигурацией

Меняем права на файла в директории установки

Теперь все готово для установки.

6. Запускаем скрипт установки

скрипт попросит выбрать дистрибутив для установки, предлагает два варианта 1 выбрать текущий дистрибутив (расположен в этой же папке или второе изменить директорию и указать другой дистрибутив, отвечаем нажав 1

После чего нас просят нажать ENTER для чтения лицензионного соглашения, нажимаем ENTER начинаем читать лицензионное соглашения листая его пробелом.

После того как мы прочитали соглашение нас попросят его принять, соглашаемся нажав y.

После чего программа инсталляции проверит наличие уже установленных конфигураций и более старых версий и не найдя ничего спросит хотим ли мы установить её вновь, говорим что хотим нажав y.

Проведя несколько тестов и найдя все необходимые компоненты программа инсталляции найдет положенный заранее в её директорию dst файл и спросит развернуть его, изменить директорию, т. е. найти другой или пропустить этот шаг. Отвечаем 1, т. е. установить показанный dst файл.

Дальше нас спрашивают куда установить конфигурацию, отвечаем нажатием на ENTER что означает в директорию по умолчанию, коей является /etc/vipnet/, о чём собственно говорится в вопросе.

После чего нас попросят ввести пароль для данной конфигурации. Пароль находится в файле UsersPass.txt в разделе «Имя пользователя: Coordinator Demo 1» , сам файл UsersPass.txt находится в папке с демоключами. Вводим пароль.

Программа установки спросит хотим ли мы запустить сервисы автоматически или нет, отвечаем y (да)

После чего нам скажут что программа установлена.

Выглядеть в итоге все должно вот так

Проверить что сервисы работают можно следующими командами

На что получим ответы с информацией о том что процессы запущены с соответствующими PID как показано на рисунке ниже

Еще можно посмотреть состояние конфигурации командой

после чего мы получим информацию о текущей конфигурации конфигуратора как показано ниже

Нужно отметить, что автор производил установку под вариант сервера Альт Линукс СПТ 6.0 сертифицированный ФСТЭК 32-ух разрядный.

Развертывание тестовой сети ViPNet под Альт Линукс СПТ 6.0 [ править ]

Для развертывания сети нам понадобится еще 3 машины, т. е. В итоге наша тестовая сеть должна состоять из 4-х компьютеров, 2-х координаторов и 2-х клиентов. На каждом координаторе должно быть по 2 сетевых интерфейса. Установка операционной системы на остальные три станции производится аналогично. Перед установкой ViPNet Coordinator в каталог с дистрибутивом копируются файлы dst соответсвующие роли машины, т. е. Для второго координатора dst файл из папки «Координатор2» а на соответствующие клиенты dst файлы из папочек «Клиент 1» и «Клиент 2». В случае успешной настройки сети, результаты работы ПО можно наблюдать отдав команду iplir view , для просмотра прошедших пакетов и их статуса нужно нажать ENTER для выхода ESC. Статистика должна выглядеть как на скриншоте ниже.

Источник

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator)

Введение

Начало настройки/установки

Перед началом настройки/установки ПО на ПАК «ШЛЮЗ-ПДН» необходимо выяснить, работал ли он ранее или нет. В моем случае шлюз был аттестован года 1,5 назад и на данный момент аттестат на него закончился. Так же имеет вес информация о сетевых интерфейсах, в данном примере имеется один сетевой интерфейс. Планируется использоваться данный шлюз в университете для работы с государственными информационными системами ФИС ЕГЭ и ФИС ФРДО . На шлюзе была установлена «кривая» оболочка Alt Linux’а и устаревшая версия VipNet координатора, решено было все удалить и устанавливать полноценный Альт Линукс СПТ 6.0 и новую версию VipNet Координатора 3.7.

Создание резервной копии

В первую очередь необходимо выполнить резервную копию жесткого диска нашего шлюза. Сделать это можно используя ПО: Acronis True Image, предварительно записав его как загрузочный диск, например, на внешний USB носитель. Делать резервную копию нужно на альтернативный носитель, использовать для резервной копии этот же самый жесткий диск шлюза не имеет смысла.

После создания резервной копии убедитесь, что файл с резервной копией жесткого диска шлюза виден на носителе и занимает определенный размер. Далее можете извлекать все используемые диски/usb-носители и переходить к установке Alt Linux.

Установка Alt Linux СПТ 6.0

Установка дистрибутива Alt Linux не сложная, все настройки делаются по умолчанию, даже мучиться с разбиением дисков не приходится. Для работы VipNet Координатора нам потребуется установить 32х разрядную системы.
В примере приведены скриншоты Alt Linux Centaurus, не обращайте внимания на данный момент, порядок установки СПТ тот же.

Загрузка системы

Для того, чтобы начать обычную установку (при наличии установочного диска с дистрибутивом и устройства для чтения DVD), необходимо загрузиться с CD или DVD-диска, на котором записан дистрибутив. В этом случае может потребоваться включить в BIOS опцию загрузки с CD/DVD-привода.

P.S. В большинстве случаев указание способа входа в BIOS отображается на вашем мониторе непосредственно после включения компьютера. Способ входа в меню BIOS и информация о расположении настроек определяется производителем используемого оборудования. За информацией можно обратиться к документации на ваше оборудование.

После загрузки компьютера с установочного диска выводится меню, в котором вы можете выбрать возможные варианты загрузки системы, а также, запустить уже установленную на жёстком диске ОС, выполнить проверку памяти, загрузиться в восстановительном режиме и запуститься в режиме LiveCD.

P.S. Мышь на этом этапе установки не поддерживается. Для выбора опций установки и различных вариантов необходимо использовать клавиатуру.

Для начала процесса установки клавишами перемещения курсора вверх и вниз необходимо выбрать пункт меню Установка, а затем нажать «Enter». Начальный этап установки не требует вмешательства: происходит автоматическое определение оборудования и запуск компонентов программы установки.

• Сообщения о происходящем на данном этапе можно просмотреть, нажав клавишу ESC.
• Для получения справочной информации нажмите F1.
• От выбора языка в загрузчике зависит язык интерфейса загрузчика и программы установки. Выбор языка осуществляется клавишей F2.
• Клавишей F3 открывается меню доступных видеорежимов (разрешений экрана). Это разрешение будет использоваться во время установки и загрузки установленной системы и т.д.

P.S. В начальном загрузчике выставлено небольшое время ожидания действий пользователя: если вы не сделали никаких шагов по выбору нужного вам пункта меню, будет загружена та система, которая уже установлена на жёстком диске. Если вы пропустили нужный момент, то перезагрузите компьютер и вовремя выберите пункт «Установка».

Последовательность установки

Процесс установки разделён на шаги. Каждый шаг посвящён настройке или установке определённого свойства системы. Шаги нужно проходить последовательно, переход к следующему шагу происходит по нажатию кнопки «Далее». При помощи кнопки «Назад», при необходимости, можно вернуться к уже пройденному шагу и изменить настройки. Однако, возможность перехода к предыдущему шагу ограничена теми шагами, в которых нет зависимости от данных, введённых ранее.

Если по каким-то причинам возникла необходимость прекратить установку, нажмите кнопку перезагрузки (reset) на системном блоке компьютера. Важно помнить, что совершенно безопасно прекращать установку можно только до шага «Подготовка диска», поскольку до этого момента не производится никаких изменений на жёстком диске. Если прервать установку между шагами «Подготовка диска» и «Установка загрузчика», то, вероятно, после этого с жёсткого диска не сможет загрузиться ни одна из установленных систем.

Каждый шаг сопровождается краткой справкой, которую можно вызвать, щёлкнув кнопку «Справка» или нажав F1.

Во время установки системы выполняются следующие шаги:

• Язык
• Лицензионный договор
• Дата и время
• Подготовка диска
• Установка системы
• Сохранение настроек
• Установка загрузчика
• Настройка сети
• Администратор системы
• Системный пользователь
• Завершение установки

Установка начинается с выбора основного языка — языка интерфейса программы установки и устанавливаемой системы. Помимо выбранного на начальном этапе загрузки языка, в списке доступных языков региона указан и английский язык.
На этом же этапе выбирается вариант переключения раскладки клавиатуры. Раскладка клавиатуры — это привязка букв, цифр и специальных символов к клавишам на клавиатуре. Помимо ввода символов на основном языке, в любой системе Linux необходимо иметь возможность вводить латинские символы (имена команд, файлов и т.п.). Для этого обычно используется стандартная английская раскладка клавиатуры. Переключение между раскладками осуществляется при помощи специально зарезервированных для этого клавиш. Для русского языка доступны следующие варианты переключения раскладки:

• клавиши Alt и Shift одновременно;
• клавиша Capslock;;
• клавиши Control и Shift одновременно;;
• клавиша Control;;
• клавиша Alt.;

Если выбранный основной язык имеет всего одну раскладку (например, при выборе английского языка в качестве основного), эта единственная раскладка будет принята автоматически.

Лицензионный договор

Перед продолжением установки следует внимательно прочитать условия лицензии. В лицензии говорится о ваших правах. В частности, за вами закрепляются права на:

• эксплуатацию программ на любом количестве компьютеров и в любых целях;
• распространение программ (сопровождая их копией авторского договора);
• получение исходных текстов программ.

Если вы приобрели дистрибутив, то данное лицензионное соглашение прилагается в печатном виде к вашей копии дистрибутива. Лицензия относится ко всему дистрибутиву ALT Linux. Если вы согласны с условиями лицензии, отметьте пункт «Да, я согласен с условиями и нажмите Далее».

Дата и время

Для корректной установки даты и времени достаточно правильно указать часовой пояс и выставить желаемые значения для даты и времени.

На этом шаге следует выбрать часовой пояс, по которому нужно установить часы. Для этого в соответствующих списках выберите страну, а затем регион. Поиск по списку можно ускорить, набирая на клавиатуре первые буквы искомого слова.
Обратите внимание на отметку «Хранить время в BIOS по Гринвичу». Если Linux — единственная установленная операционная система, то поставьте эту отметку. Если Linux устанавливается как вторая система, то эту отметку необходимо снять. Если этого не сделать, то время и дата в уже установленной операционной системе могут отображаться неверно.

Проверьте, верно ли отображаются дата и время в графе «Текущее время», и, при необходимости, выставьте правильные значения (кнопка «Изменить…»).

Если ваш компьютер подключён к локальной сети или к сети Интернет, можно включить функцию синхронизации системных часов с удалённым сервером (NTP). Для этого достаточно отметить пункт «Получать точное время с NTP-сервера» и указать предпочитаемый NTP-сервер. В большинстве случаев вас устроит сервер pool.ntp.org.
Если выбрана опция «Получать точное время с NTP-сервера», то ваш компьютер может сам быть сервером точного времени. Например, использоваться как сервер точного времени машинами вашей локальной сети. Для активации этой возможности отметьте «Работать как NTP-сервер».

Подготовка диска

Переход к этому шагу может занять некоторое время. Время ожидания зависит от производительности компьютера, объёма жёсткого диска, количества разделов на нём и т.п. На этом этапе подготавливается площадка для установки ALT Linux, в первую очередь — выделяется свободное место на диске.

Выбор профиля разбиения диска

В списке разделов перечислены уже существующие на жёстких дисках разделы (в том числе здесь могут оказаться съёмные flash-диски, подключённые к компьютеру в момент установки). Ниже перечислены доступные профили разбиения диска. Профиль — это шаблон распределения места на диске для установки Linux. Можно выбрать один из профилей:

• Установка сервера;
• Установка рабочей станции.

В нашем случае, поскольку Координатор является сервером, во время установки выбираем разбитие жесткого диска для серверного варианта установки.

Автоматические профили разбиения диска

Профили предполагают автоматическое разбиение диска. Выбор автоматического профиля разбиения диска влияет также и на набор устанавливаемого по умолчанию программного обеспечения.

Установка сервера — по умолчанию будет установлен набор серверного ПО. Это позволяет использовать установленную систему для выполнения различных сервисных задач. При установке типа «Установка сервера» не будет осуществляться запуск графического пользовательского интерфейса при загрузке системы, если только вы не установили самостоятельно соответствующие программные пакеты.

Установка рабочей станции — по умолчанию будет установлен набор ПО, включающий графическое окружение и средства разработки для решения повседневных задач.

При выборе пункта «Установка сервера», при наличии двух жёстких дисков на компьютере, будет создан массив RAID1, а при наличии трёх и более дисков — RAID5. Использование технологии RAID обеспечивает сохранность данных даже при выходе одного жёсткого диска из строя. Обратите внимание на то, что при установке дистрибутива в виртуальную машину RAID-массивы автоматически не создаются.

Установка системы

В любом дистрибутиве ALT Linux доступно значительное количество программ (до нескольких тысяч), часть из них составляет саму операционную систему, а остальные — это прикладные программы и утилиты.

В операционной системе Linux все операции установки и удаления производятся над пакетами — отдельными компонентами системы. Пакет и программа соотносятся неоднозначно: иногда одна программа состоит из нескольких пакетов, иногда один пакет включает несколько программ.

В процессе установки системы обычно не требуется детализированный выбор компонентов на уровне пакетов — это требует слишком много времени и знаний от проводящего установку. Тем более, что комплектация дистрибутива подбирается таким образом, чтобы из имеющихся программ можно было составить полноценную рабочую среду для соответствующей аудитории пользователей. Поэтому, в процессе установки системы пользователю предлагается выбрать из небольшого списка групп пакетов, объединяющих пакеты, необходимые для решения наиболее распространённых задач. Под списком групп на экране отображается информация об объёме дискового пространства, которое будет занято после установки пакетов, входящих в выбранные группы.

Выбрав необходимые группы, следует нажать «Далее», после чего начнётся установка пакетов.

На этом этапе происходит установка набора программ, необходимых для работы системы.
Установка происходит автоматически в два этапа:

• получение пакетов;
• установка пакетов.

Получение пакетов осуществляется из источника, выбранного на этапе начальной загрузки. При сетевой установке (по протоколу FTP или HTTP) время выполнения этого шага будет зависеть от скорости соединения и может быть значительно большим в сравнении с установкой с лазерного диска.
Время ожидания окончания процесса установки программ можно посвятить чтению руководства.

Сохранение настроек

По завершении установки базовой системы начинается шаг сохранения настроек. Он проходит автоматически и не требует вмешательства пользователя. На экране отображается индикатор выполнения.

На этом шаге производится перенос настроек, выполненных на первых шагах установки. В только что установленную базовую систему и производится запись информации о соответствии разделов жёсткого диска смонтированным на них файловым системам. В список доступных источников программных пакетов добавляется репозиторий, находящийся на установочном лазерном диске.

После сохранения настроек осуществляется автоматический переход к следующему шагу.

Установка загрузчика

Загрузчик Linux — это программа, которая позволяет загружать Linux и другие операционные системы. Если на вашем компьютере будет установлен только Linux, то здесь не нужно ничего изменять, просто нажмите «Далее».
Если же вы планируете использовать и другие операционные системы, уже установленные на этом компьютере, тогда имеет значение на каком жёстком диске или в каком разделе будет расположен загрузчик. В большинстве случаев программа установки сама правильно подберёт расположение загрузчика. Вы можете указать расположение самостоятельно, либо вовсе не устанавливать предлагаемый загрузчик если, к примеру, вы уже используете какой-то сторонний загрузчик.

Настройка сети

На этом этапе необходимо задать параметры настройки сети: IP-адреса сетевых интерфейсов, DNS-сервер, шлюз и т.п. Конкретные значения будут зависеть от используемого вами сетевого окружения. Ручного введения настроек можно избежать при наличии в вашей сети настроенного DHCP-сервера. В этом случае все необходимые сетевые настройки будут получены автоматически.

Администратор системы

Linux — это многопользовательская система. На практике это означает, что для работы в системе необходимо зарегистрироваться, т.е. дать понять системе, кто именно находится за монитором и клавиатурой. Наиболее распространённый способ регистрации на сегодняшний день — использование системных имён (login name) и паролей (password). Это надёжное средство подтверждения того, что с системой работает тот, кто нужно. Пользователям рекомендуется создавать достаточно сложные, не слишком короткие пароли и хранить их в секрете.
При наборе пароля вместо символов на экране высвечиваются звёздочки. Чтобы избежать опечатки при вводе пароля, его предлагается ввести дважды. Можно воспользоваться автоматическим созданием пароля, выбрав «Создать автоматически». Вам будет предложен случайно сгенерированный и достаточно надёжный вариант пароля. Можно принять автоматически сгенерированный пароль (не забудьте при этом запомнить пароль!) или запросить другой вариант пароля при помощи кнопки «Сгенерировать».

В любой системе Linux всегда присутствует один специальный пользователь — администратор системы, он же суперпользователь. Для него зарезервировано стандартное системное имя — root.

Администратор системы отличается от всех прочих пользователей тем, что ему позволено производить любые, в том числе самые разрушительные изменения в системе. Поэтому выбор пароля администратора системы — очень важный момент для безопасности. Любой, кто сможет ввести его правильно (узнать или подобрать), получит неограниченный доступ к системе. Даже ваши собственные неосторожные действия от имени root могут иметь катастрофические последствия для всей системы.

P.S. Стоит запомнить пароль root — его нужно будет вводить для получения права изменять настройки системы с помощью стандартных средств настройки ALT Linux.

Системный пользователь

Помимо администратора (root) в систему необходимо добавить по меньшей мере одного обычного системного пользователя. Работа от имени администратора системы считается опасной, поэтому повседневную работу в Linux следует выполнять от имени ограниченного в полномочиях системного пользователя.

При добавлении системного пользователя предлагается ввести имя учётной записи пользователя. Имя учётной записи всегда представляет собой одно слово, состоящее только из строчных латинских букв (заглавные запрещены), цифр и символа подчёркивания «_» (причём цифра и символ «_» не могут стоять в начале слова).

Для того чтобы исключить опечатки, пароль пользователя вводится дважды. Пароль пользователя можно создать автоматически, по аналогии с автоматическим созданием пароля суперпользователя.

В процессе установки предлагается создать только одну учётную запись системного пользователя — от его имени можно выполнять задачи, не требующие привилегий суперпользователя.

Учётные записи для всех прочих пользователей системы можно будет создать в любой момент после установки операционной системы.

Завершение установки

На экране последнего шага установки отображается информация о завершении установки. Эта информация может содержать важные замечания по использованию дистрибутива. После нажатия кнопки «Завершить» происходит перезагрузка компьютера. Не забудьте извлечь установочный DVD (если это не происходит автоматически). Далее можно загружать установленную систему в обычном режиме.

Первая помощь

В случае возникновения каких-либо неприятностей не паникуйте, а спокойно разберитесь в сложившейся ситуации. Linux не так уж просто довести до полной неработоспособности и утраты ценных данных. Поспешные действия отчаявшегося пользователя могут привести к плачевным результатам. Помните, что решение есть и оно обязательно найдётся!

Проблемы при установке системы

Если в системе не произошла настройка какого-либо компонента после стадии установки пакетов, не отчаивайтесь, доведите установку до конца, загрузитесь в систему и попытайтесь в спокойной обстановке повторить настройку.
В случае возникновения проблем с установкой, вы можете вручную задать необходимые параметры в строке Параметры загрузки меню начального загрузчика:

• xdriver — графический установщик предпринимает попытку автоматического подбора драйвера видеокарты, но иногда это ему не удаётся. Данным параметром можно отключить «искусственный интеллект» и явно указать нужный вариант драйвера;
• instdebug — если будет присутствовать этот параметр, то перед запуском и после завершения работы графического установщика будет запущена оболочка shell. Это очень полезное средство для выявления причин отсутствия запуска графической части программы установки. Последовательность работы внутренних сценариев следующая: install2 → xinit → alterator-install2 → alterator-wizard. При необходимости можно вручную загрузить Xorg (команда xinit) и в открывшемся окне терминала запустить alterator-install2 (или alterator-wizard) вручную.

Если вы вообще не смогли установить систему (не произошла или не завершилась стадия установки пакетов), то сначала попробуйте повторить попытку в режиме Установка в безопасном режиме. Возможно, у вас какое-то новое или нестандартное оборудование, но может оказаться, что оно отлично настраивается со старыми драйверами. В любом случае, вы всегда можете сообщить о своих проблемах нам:

• в списки рассылки (http://lists.altlinux.org/);
• в службу технической поддержки (http://www.altlinux.ru/support);
• на форум (http://forum.altlinux.org/).

Если вы хотите получить точный ответ, то сообщите, пожалуйста, подробный состав вашего оборудования и подробное описание возникшей проблемы.

Настройка Alt Linux СПТ 6.0

После того как установлен Alt Linux работа с ним еще не завершена. Перед тем как приступить к установке VipNet Координатора нужно обновить ядро, модули и несколько приложений. Поэтому запускайте Alt Linux, подключайте интернет и начинаем настройку/обновление.

Для обновления модулей предусмотрен менеджер пакетов Synaptic.

Менеджер пакетов Synaptic

Для запуска менеджера пакетов Synaptic запустите терминал от имени суперпользователя, для этого на верхней панели операционной системы нажмите пункт меню «Приложения» -> «Стандартные» -> «Root Terminal».

При запуске терминала от имени суперпользователя система запросит ввести его пароль, введите пароль, заданный для суперпользователя (Администратора системы) при установке ОС Alt Linux.
В терминале введите команду включения режима суперпользователя:

После ввода команды вы увидите данные об установленном ядре.

После установки Alt Linux у меня было ядро 2.6.32-el-smp-alt42.M60C.1

Затем введите команду запуска менеджера пакетов Synaptic:

Откроется менеджер пакетов Synaptic.

Включение репозиториев

Для того чтобы обновить нужные нам пакеты, необходимо включить репозитории. Для этого в меню менеджера пакетов Synaptic нажмите пункт «Параметры» ->«Репозитории». Нам понадобятся лишь ftp сервера Atl Linux’а. Отметьте галочкой следующие репозитории:

• ftp.altlinux.org/pub/distributions/ALTLinux/Linux/cert6 — Дистрибутив i586;
• ftp.altlinux.org/pub/distributions/ALTLinux/Linux/cert6 — Дистрибутив noarch.

Затем нажмите «Ок».

Для обновления списка пакетов из добавленных репозиториев необходимо в главном окне менеджера пакетов Synaptic нажать кнопку «Получить сведения».

Обновление модулей/Обновления ядра

Перечень необходимых модулей для обновления:

• kernel-image-std-def#1:3.0.26-alt0.M60P.1
• gcc4.5
• glibc-devel
• kernel-headers-modules-std-def
• glibc
• kernel-headers-std-def
• kernel-headers-common
• glibc-kernheaders
• kernel-source-3.0

Для сокращения времени на поиск нужных компонентов используйте поиск. После того как найдете первый пакет, встаньте на него и нажмите на панели кнопку «Отметить для обновления», после переходите к поиску следующего пакета. После того как отметите все указанные в перечне пакеты, нажмите на панели кнопку «Применить», начнется загрузка пакетов. После загрузки менеджер пакетов запросит разрешение на установку модулей, соглашайтесь.
После успешной установки всех пакетов, проверьте еще раз по перечню модулей, все ли установлены. Для окончательного завершения, нажмите пару раз на кнопку «Получить сведения», если обновлений больше не происходит, можете перезапускать ОС, настройка Alt Linux завершена.

Загрузка Alt Linux с новым ядром

После обновления пакетов/модулей, перезапустите шлюз, при запуске ОС выберите Alt Linux с обновленным ядром (в данном случае новое ядро std-def 3.0).

VipNet Coordinator (Linux)

На данный шлюз нужно установить ПО VipNet Coordinator (Linux), я устанавливал версию 3.7, загрузить ее можно на официальном сайте InfoTeCS.

Подготовка к установке

Дистрибутив ViPNet Coordinator кладём в домашнюю папочку пользователя (/home), например, «DISTRIB». Т.к. при установке мы завели пользователя «installer», полный путь к директории получится /home/installer/DISTRIB/. Распаковываем в нее архив с дистрибутивом, а также копируем парольно-ключевую информацию «*.dst».

Установка VipNet Coordinator

Далее меняем права на файлы в директории установки:

chown –R root /home/installer/DISTRIB/distribute/*

Проведем листинг и удостоверимся что права изменились:

Cкрипт попросит выбрать дистрибутив для установки, по умолчанию будет предложено два варианта:

1. Выбрать текущий дистрибутив (расположен в этой же папке);
2. Изменить директорию и указать другой дистрибутив.

Укажите первый вариант. После чего нас просят нажать ENTER для чтения лицензионного соглашения, нажимаем ENTER начинаем читать лицензионное соглашения листая его пробелом.

После того как мы прочитали соглашение нас попросят его принять, соглашаемся нажав «y».

После чего программа инсталляции проверит наличие уже установленных конфигураций и более старых версий и не найдя ничего спросит хотим ли мы установить её вновь, говорим, что хотим, нажав «y».

Проведя несколько тестов и найдя все необходимые компоненты программа инсталляции найдет положенный заранее в её директорию dst файл и спросит развернуть его, изменить директорию, т. е. найти другой или пропустить этот шаг. Отвечаем 1, т. е. установить существующий dst файл.

Дальше нас спрашивают куда установить программу, отвечаем нажатием на ENTER что означает в директорию по умолчанию, коей является /etc/vipnet/, о чем собственно говорится в вопросе.

После чего нас попросят ввести пароль для данной конфигурации. Пароль находится в файле UsersPass.txt в разделе «Имя пользователя», сам файл UsersPass.txt находится на диске, присланном из ФЦТ. Вводим пароль.

Программа установки спросит хотим ли мы запустить сервисы автоматически или нет, отвечаем «y».
После чего нам скажут, что программа установлена.

Выглядеть в итоге все должно вот так:

Проверить что сервисы работают можно следующими командами:

На что получим ответы с информацией о том, что процессы запущены с соответствующими PID как показано на рисунке ниже:

Если все выглядит как на рисунках, значит VipNet Coordinator успешно установлен.

Настройка VipNet Coordinator

Настройка режима «С динамической трансляцией адресов»

Первое что нужно сделать это настроить работу координатора в режиме динамической трансляции адресов.
Для настройки работы ViPNet Coordinator Linux в данном режиме задайте в файле iplir.conf следующие параметры:

• В собственной секции [id] установите параметр usefirewall в значение on.
• В собственной секции [id] установите параметр port в значение из диапазона 1-65535 (обычно 55777), если он еще не задан.
• В секции [adapter], соответствующей сетевому интерфейсу, со стороны которого установлен внешний межсетевой экран, установить параметр type в значение external.
• В секции [dynamic] установите параметр dynamic_proxy в значение on.
• В секции [dynamic] установите параметр forward_id равным значению id внешнего координатора для организации входящих соединений. Данный параметр задается вручную, но не может принимать нулевое значение.

Перед началом редактирования параметров нужно остановить модули VipNet Coordinator следующей командой:

P.S. Если остановку не произвести, изменения в файле не сохранятся.

Файл Iplir.conf доступен только с правами суперпользователя. Для запуска файла с параметрами суперпользователя рекомендую запустить в терминале с параметрами суперпользователя диспетчер файлов Midnight Commander. Для запуска выполните следующую команду:

Запустится диспетчер файлов Midnight Сommander. В любой момент диспетчер файлов можно свернуть для работы с терминалом, для свертывания используйте горячие клавиши Ctrl+O.

Файл Iplir.conf находится в каталоге: etc/vipnet/user.
Открываем файл Iplir.conf клавишей F4 в диспетчере файлов и редактируем его согласно требованиям. После редактирования у вас должно получиться примерно следующее:

[id]
id= 0x099a0e10
name= APS2 id_******
filterdefault= pass
ip= 192.168.122.1
tunnel= 193.169.176.116-193.169.176.119 to 193.169.176.116-193.169.176.119
firewallip= 192.168.122.1
port= 55777
proxyid= 0x099a0e10
usefirewall= on
fixfirewall= off
virtualip= 10.0.0.1
version= 3.0-670

[id]
id= 0xffffffff
name= Encrypted broadcasts
filterdefault= drop
filterudp= 137, 137, pass, any
filterudp= 138, 138, pass, any
filterudp= 68, 67, pass, any
filterudp= 67, 68, pass, any, disable
filterudp= 2046, 0-65535, pass, recv
filterudp= 2046, 2046, pass, send
filterudp= 2048, 0-65535, pass, recv
filterudp= 2050, 0-65535, pass, recv
filterudp= 2050, 2050, pass, send

[id]
id= 0xfffffffe
name= Main Filter
filterdefault= pass

[id]
id= 0x099a000b
name= AP Administrator
filterdefault= pass
ip= 10.0.4.246
accessip= 10.0.0.2
firewallip= 10.0.4.245
port= 55777
proxyid= 0x099a000a
dynamic_timeout= 0
usefirewall= on
always_use_server= on
virtualip= 10.0.0.2
version= 3.2-672

[id]
id= 0x099a066d
name= CM Failover2
filterdefault= pass
ip= 85.143.100.25
ip= 10.0.4.242
ip= 169.254.241.1
ip= 192.168.0.1
accessip= 10.0.0.3
tunnel= 10.0.3.1-10.0.3.1 to 10.0.3.1-10.0.3.1
firewallip= 85.143.100.25
port= 55777
proxyid= 0x099a066d
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.3
version= 3.0-670

[id]
id= 0x0e18000a
name= CM-OBRNADZOR-HW-1 3608
filterdefault= pass
ip= 192.168.0.121
ip= 10.3.54.101
accessip= 10.0.0.4
tunnel= 10.3.54.15-10.3.54.15 to 10.3.54.15-10.3.54.15
firewallip= 62.76.166.101
port= 55777
proxyid= 0xfffffffe
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.4
version= 3.0-670

[id]
id= 0x0e18000d
name= AP-Admin3608 3608
filterdefault= pass
accessip= 0.0.0.0
port= 55777
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.5

[adapter]
name= eth0
allowtraffic= on
type= external

[adapter]
name= virbr0
ip= 192.168.122.1
allowtraffic= on
type= internal

[dynamic]
dynamic_proxy= on
firewallip= 192.168.122.1
port= 32466
forward_id= 0x099a066d
always_use_server= off
timeout= 25

[misc]
packettype= 4.1
timediff= 7200
warnoldautosave= on
client_pollinterval= 300
server_pollinterval= 900
iparponly= off
ifcheck_timeout= 30
ipforwarding= on
iscaggregate= on
ompnumthreads= 1
mssdecrease= 0
ciphertype= gost

[debug]
debuglevel= 3
debuglogfile= file:/var/log/iplircfg.debug.log

[servers]
server= 0x099a066d, CM Failover2
server= 0x0e18000a, CM-OBRNADZOR-HW-1 3608

[virtualip]
startvirtualip= 10.0.0.1
endvirtualip= 10.0.0.6
maxvirtualip= 10.0.254.254
; Do not delete or change the following line.
startvirtualiphash= 0x18E80620

[visibility]
default= auto

По окончанию редактирования файла, сохраните его.

Переключение режима координатора

Далее нам нужно переключить режим работы координатора, чтобы не блокировал все пакеты подряд. По умолчанию установлен 2 режим, он более строгий. Поставим на 4 режим отредактировав файлiplir.conf-eth0. Находится он также в директории: etc/vipnet/user.

Файл содержит в себе следующую информацию:

[db]
maxsize= 50 MBytes
timedif= 60
registerall= off
registerbroadcast= off
registertcpserverport= off

Если запуск не будет произведен, в дальнейшем не будет возможности получать обновления на координаторе.

Подключение рабочих станций

Изначально мы планировали настроить данный ПАК, как шлюз для рабочих станций пользователей, с которых будет осуществляться работа в ФИС ЕГЭ и ФИС ФРДО, поэтому на данном этапе нужно определить количество участвующих в работе машин и присвоить им статические ip-адреса следующих типов:

• 192.168.xxx.xxx;
• 172.16.xxx.xxx;
• Диапазон адресов с 10.1.xxx.xxx по 10.255.xxx.xxx.

Ip-адреса нужно согласовывать с ФЦТ (они могут быть заняты).
После согласования нужно отправить письмо с ip-адресами, и далее ждать, когда придут обновления на координатор.

Обновление информации на шлюзе

Пример после обновления:

Ввод в эксплуатацию

По умолчанию, если сетевой интерфейс один, локальная сеть обозначается как eth0, ip-адрес шлюза будет прописан в параметре inet addr.

После ввода шлюза на рабочих станциях, проверяем работоспособность организованной нами VPN сети. Для проверки в браузере IE введите адрес портала ФИС ЕГЭ – 10.0.3.1 и ФИС ФРДО – 10.3.54.15. Если порталы открываются успешно, значит все действия выполнены правильно. Если же порталы недоступны и отсутствует доступ в интернет в целом, идем вновь к шлюзу и проверяем прохождение пакетов.

Проверка пакетов

Для проверки пакетов необходимо в терминале с правами суперпользователя ввести команду:

Далее нажать «Enter». Отобразится информация о поступлении на шлюз пакетов с машин, подключенных к данной сети.

Проверьте пакеты с ip-адресов рабочих станций, если присутствует информация о блокировке пакетов, нужно настроить переадресацию пакетов с конкретных ip-адресов.

Настройка переадресации

Если после настройки переадресации не работает один из двух порталов, а один успешно грузится, значит второй оператор еще не обработал данные высланные с ФЦТ и не знает ip-адресов пользовательских рабочих станций. В данном случае можно проверить и продемонстрировать доступность к обоим порталам с самого шлюза.

Горячие клавиши

В моем случае, опыт работы с системами Linux был минимален, и при настройке шлюза у клиента я был озадачен подбором горячих клавиш для запуска приложений, т.к. мышь отсутствовала. Поэтому рекомендую освоить основные горячие клавиши Linux. Мне понадобились следующие:

• Ctrl+O – Свернуть/развернуть диспетчер файлов;
• Alt+F1 – Открытие системного меню;
• Ctrl+Q – Выход из приложения;
• Ctrl+T – Новая вкладка в браузере;
• F10 – Меню приложения;
• F11 – Развернуть на весь экран.

Источник