как узнать номер лицензии vipnet
Как узнать номер лицензии vipnet
Причина:
У программы «Астрал Отчет» нет доступа к серверу или нет соединения с интернетом.
Решение:
Проверить соединение с интернетом, настроить антивирусы, брандмауэры, файервол, настроить прокси (если есть). Возможно установлены какие-нибудь блокирующие программы. Если ошибка не устраняется, возможно, сервер временно не доступен, в этом случае необходимо обратиться в службу технической поддержки ЗАО «ЦЭК».
Причина:
Нет доступа к серверу, через который осуществляется передача отчетности.
Решение:
Проверить соединение с интернетом, настроить антивирусы, брандмауэры, файерволы, настроить прокси (если есть). Если ошибка не устраняется, возможно, сервер временно не доступен, в этом случае необходимо обратиться в службу технической поддержки ЗАО «ЦЭК».
Причина:
Используется прокси сервер на базе squid.
Решение:
Вам необходимо в файл конфигурации squid (squid.conf) добавить следующую опцию и перезапустить прокси: ignore_expect_100 on.
Причина:
Ошибка прокси сервера.
Решение:
Вам необходимо прописать в настройках программы «Астрал Отчет» логин пароль прокси сервера.
Причина:
У Вас имеется задолжность.
Решение:
Вам необходимо обратиться в отдел по работе с клиентами по телефону: 8 (831) 429-01-33.
Если вы работаете посредством прокси-сервера (проксирование трафика), Вам необходимо произвести в программе «Астрал Отчет» следующие настройки:
Для корректной работы ПО «Астрал Отчет» через прокси-сервер (через NAT) необходимо открыть доступ на следующие сервера:
Частые вопросы при работе с программой «Астрал Отчет»
Пароль по умолчанию будет 123456.
Для того чтобы выгрузить документы для банка, Вам необходимо, зайти в «Реестры», в главном меню программы и выбрать плагин ФНС, найти нужный отчет, затем нажать правой кнопкой мыши по отчету «Экспорт» и далее «Экспорт комплекта документов для банка».
Если используется криптопровайдер «КриптоПро», то юридически значимую выписку из ЕГРЮЛ/ЕГРИП можно заказать через портал lk3.nalog.ru
Порядок отправки декларации по НДС, заполненной в сторонней программе
Вам необходимо произвести внеплановую смену сертификата. Для этого Вам необходимо:
В течение 1 суток Ваш сертификат будет регистрироваться в системе ИРУД, после чего Вы сможете приступить к работе с программой.
Сформировать квитанцию можно двумя способами:
По каждому направлению сдачи отчетности, установлен свой регламент. Ниже, Вы можете ознакомиться с регламентом интересующего Вас направления.
Регламент ЭДО с ИФНС
Отправленная Вами формализованная отчетность (налоговая и бухгалтерская) считается успешно предоставленной в ИФНС только в том случае, когда Вы получите 4 следующих документа на отправленный Вами файл отчетности:
Регламент ЭДО с ПФР
Отправленная Вами формализованная отчетность считается успешно предоставленной в ПФР только в том случае, когда Вы получите из ПФР 2 следующих документа на отправленный Вами файл отчетности:
Регламент ЭДО с ФСС
По регламенту документооборот с ФСС должен закончиться в течение суток. Отчет считается сданным, если получена положительная квитанция.
Регламент ЭДО с Росстатом
Отправленные Вами сведения считаются успешно предоставленными в Нижегородстат только в том случае, когда Вы получите из Нижегородстата 2 следующих документа на отправленный Вами файл отчетности:
Для того чтобы более подробно ознакомиться с регламентом перейдите по ссылке: www.astralreport.ru/napravleniya
Для того чтобы получить документы необходимо провести сеанс связи нажав кнопку «Матер связи». Если в указанные сроки не приходят документы, обратитесь в службу технической поддержки ПО «Астрал Отчет» по телефону: 8 (831) 228–28-38.
Если Вы получили уведомление об отказе. Вам необходимо исправить ошибки, указанные в уведомлении, и повторить процедуру отправки отчета.
Данное соглашение необходимо для отправки сведений в электронном виде. Номер соглашения в программе нигде не указывается, он необходим только сотрудникам ПФР. Заключить соглашение необходимо с ПФР, в который Вы будете сдавать сведения.
«Документооборот:381c356d88c54081. Транзакция: 8bc23d7b91554548a4. ошибка при распаковке сообщения 8bc23d7b91554548a407c3f807acd4f0 ошибка проверки ЭЦП для файла описания в пакете (packageDescription.sign) 8bc23d7b91554548a407c3f807acd4f0: СОС издателя недействителен по времени (00003)».
Причина возникновения ошибки:
Установленные списки отзыва сертификата на приемном месте не актуальны по дате. Ошибка в зоне ответственности УЦ ПФР, ОПФР, ГУ ПФР или УПФР.
Решение:
Обновить список отозванных сертификатов в «справочнике сертификатов» до актуальных (у каждого СОС есть дата выпуска и дата окончания, обычно около месяца) и запустить повторную обработку всех пакетов отчетности, в ответ на которые пришла ошибка.
От клиента ничего не требуется, данная ошибка имеет массовый характер и незаметной не бывает, возникает на стороне ПФР и исправлена, может быть только со стороны ПФР. ПФР со своей же стороны все сведения переобработает повторно. Отчетность будет принята по дате отправки сведений.
Причина:
Налоговый орган, в который производится отправка отчетности не подключен в «Астрал Отчет» или сертификат клиента находится на регистрации в ИРУД.
Решение:
Обратиться в отдел технической поддержки ЗАО «ЦЭК» по телефону: (831) 228-28-38
Причина:
Решение:
Страхователь не найден в базе данных приемного модуля ПФР, либо отсутствует регистрационный пакет от провайдера.
Причина:
Отсутствует регистрационный пакет от провайдера. Сертификат страхователя не зарегистрирован в ПФР.
Решение:
Клиенту необходимо обратиться на нашу техническую поддержку с просьбой, чтобы специалисты обновили регистрацию сертификата в ПФР. После этого потребуется переотправить отчет.
Для режима «Уполномоченный представитель», необходимо открыть окно для формирования списка страхователей и отправить список в Пенсионный Фонд. После этого потребуется переотправить отчет.
Контакты: Техническая поддержка по программному продукту «Астрал Отчет» тел. 8 (831) 228-28-38.
«ЭЦП проставлено сертификатом, на который нет заключенного соглашения».
Причина:
Нет отметки о наличии соглашения, между страхователем и УПФР.
Решение:
Данное соглашение необходимо для отправки сведений в электронном виде. Вам надо заключить соглашение с ПФР, в который Вы будете сдавать сведения. Если данное соглашение уже ранее заключали, то необходимо обратиться в ПФР и уточнить причину данной ошибки.
Причина:
Остановилась служба базы данных SQLEXPRESS.
Решение:
Меню Пуск > Все программы > Microsoft SQL Server > Диспетчер конфигурации SQL Server
Состояние службы «Остановлена» (рис.1).
Чтобы запустить службу, Вам необходимо правой кнопкой мыши нажать на службу «SQL Server (SQLEXPRES)» и выбрать пункт «Запустить» (рис.2).
Об успешном запуске службы, свидетельствует состояние «Работает» (рис.3).
Если проблема осталась, обратитесь в службу технической поддержки по телефону: (831) 228-38-28.
Причина:
Нет доступа к серверу. Часто доступ блокирует антивирус.
Решение:
Причина:
Решение:
Так же открыть сертификат можно с помощью программы «Астрал Отчет». Для этого необходимо войти в организацию, в верхней части программы нажать Файл> Пользователь> Регистрационная информация и нажать кнопку «Проверить сертификат».
Причина:
Решение:
Причина:
Решение:
Дело в том, что при подписании отчетности и пр., программа обращается несколько раз к контейнеру закрытого ключа. Чтобы данное окно больше не появлялось, Вам необходимо ввести пароль (стандартный: 123456) и поставить галку «Сохранить пароль» или вводить столько раз, сколько запрашивает программа.
Причина:
Скорее всего личный сертификат установлен из нескольких одинаковых контейнеров, при этом контейнеры, из которых был установлен сертификат, могут находится не только на компьютере, а также на съемном носителе.
Решение:
Необходимо удалить сертификаты пользователя из хранилища «Личные сертификаты» и переустановить их из необходимого контейнера. Контейнера, который постоянно используется для работы. Сертификат можно найти по пути: необходимо зайти в меню Пуск> Панель Управления> Свойства браузера> Содержание> Сертификаты.
Причина:
Достигнут лимит на размер базы данных. Обычно такая ошибка встречается, когда установлен Microsoft SQL Server Express 2005, лимит размера базы данных 4 Гб.
Решение:
Установка Microsoft SQL Server 2008 Express r2, решит данную проблему. В качестве временного решения можно почистить базу, удалив входящие письма, если они не нужны.
Для того чтобы распечатать отчет, Вам необходимо зайти в «Реестры», щелкнуть правой кнопкой мыши по строке в таблице реестра и выбрать пункт «Печатная форма».
Для того чтобы отправить отчетность в РОССТАТ, которая ранее была отправлена в ФНС, необходимо зайти в «Реестры», выбрать направление ФНС, в таблице реестра выбрать отчет, нажать на него правой кнопкой мыши, выбрать пункт «Экспорт»> «Экспорт документа», сейчас мы выгрузили сам отчет, который теперь необходимо импортировать и отправить в РОССТАТ. Для импорта отчета в главном меню программы нажмите «Импорт документов», выберите направление РОССТАТ и проимпортируйте отчет, далее нажмите «Мастер связи»
Сделайте сеанс связи, нажав кнопку «Мастер связи». Если квитанции/протокола так и нет и если регламент не нарушен, необходимо подождать. С регламентом можно ознакомится ниже.
Отправленная Вами формализованная отчетность (налоговая и бухгалтерская) считается успешно предоставленной в ИФНС только в том случае, когда Вы получите 4 следующих документа на отправленный Вами файл отчетности:
Если регламент нарушен, обратитесь в техническую поддержку по телефону: (831) 228 28 38
На данный момент к отсканированным изображениям ИФНС предъявляет следующие требования:
Рекомендуем сканировать изображения в формате «PDF»
Если есть извещение о вводе, то документооборот считается завершенным, а отчетность принятой. На ошибку можно не обращать внимания.
В ПО Астрал Отчет, в реестрах, в разделе «Связь с техподдержкой» письмо с темой плановое продление, Содержащее порядок действий, которые необходимо осуществить для продления лицензии и сертификата.
Для переустановки ПП «Астрал Отчет» со одного компьютера на другой, Вам необходимо ознакомится с соответствующей инструкцией.
Так же Вы можете воспользоваться услугой «Удаленная переустановка, настройка ПО «Астрал-Отчет»». Услуга платная, по предварительной записи. Стоимость услуги можно посмотреть в прайс-листе на дополнительные услуги, либо уточнить по телефону (831) 429-01-33. Наш специалист позвонит Вам и удаленно произведет установку программы на Ваше рабочее место.
Вам предварительно на компьютер нужно скачать программу для удаленного подключения.
Программы для удаленного доступа:
Начиная с 17 июня 2014 года УЦ ЗАО «ЦЭК» перешел на электронный документ со своими клиентами. Теперь все закрывающие документы (счет-фактура, товарная накладная, акт выполненных работ) направляются Вам в электронном виде.
Для подтверждения получения документов Вам необходимо проделать следующие действия:
Счет-фактура. Подтверждение получения на данный документ формируется автоматически и отправляется при очередном сеансе связи.
Акта о выполнении работ (оказании услуг) /Товарная накладная
После получения формы ТОРГ-12(Акта) Вам необходимо выбрать пункт «Переподписать». Для этого щелкните правой кнопкой мыши на строке в реестре документооборота, содержащей форму ТОРГ-12(Акт), и в диалоговом меню выберите пункт «Переподписать»
Подтверждение будет сформировано автоматически. Для отправки подтверждения необходимо нажать «Мастер связи».
За месяц до истечения срока действия сертификата всем абонентам высылаются счета через ПО «Астрал Отчет» и оригиналы на почтовый адрес.
В программе «Астрал Отчет» счет можно посмотреть в Реестрах- Связь c техподдержкой- Входящие. Тема письма «Плановое продление». Во вложении к письму Вы найдете счет, дополнительное соглашение и инструкцию по созданию запроса на сертификат.
Для продления лицензии Вам необходимо оплатить счет, а затем в день окончания действия Вашей текущей лицензии отправить запрос согласно инструкции.
ViPNet в деталях: разбираемся с особенностями криптошлюза
Для начала разберемся, как это все работает. Итак, координатор ViPNet выполняет несколько функций. Во-первых, это криптошлюз (КШ), который позволяет реализовать как Site-to-site, так и RA VPN. Во-вторых, он является сервером-маршрутизатором конвертов, содержащих зашифрованные служебные данные (справочники и ключи) или данные клиентских приложений (файловый обмен, деловая почта). Кстати, именно в справочниках хранятся файлы, содержащие информацию об объектах сети ViPNet, в том числе об их именах, идентификаторах, адресах, связях. Координатор также является источником служебной информации для своих клиентов.
Помимо этого, он может туннелировать трафик от компьютеров сети, где не установлено ПО ViPNet. Кстати, специалисты, работающие с этим решением, часто называют открытые хосты не «туннелируемыми узлами», а просто «туннелями». Это может сбить с толку инженеров, которые привыкли к другим VPN-решениям, где под туннелем подразумевают PtP-соединение между КШ. 
В качестве протокола шифрования в ViPNet используется IPlir, также разработанный «Инфотексом». Для инкапсуляции трафика применяются транспортные протоколы IP/241 (если трафик не покидает широковещательный домен), UDP/55777 и TCP/80 (при недоступности UDP).
В концепции построения защищенных соединений лежат так называемые «связи», которые бывают двух типов. Первые (на уровне узлов) нужны для построения защищенного соединения между узлами, вторые (на уровне пользователей) необходимы для работы клиентских приложений. Но есть исключение: узлы администратора сети ViPNet требуют обоих типов связи.
Что же может в этой схеме пойти не так? Как показывает практика, особенностей работы действительно много, и далеко не все проблемы можно решить интуитивно, без «помощи зала», а что-то нужно просто принять как данность.
Координатор недоступен
«У нас недоступен координатор/клиент/туннель. Что делать?» – самый частый вопрос, с которым приходят новички при настройке ViPNet. Единственно верное действие в такой ситуации – включать регистрацию всего трафика на координаторах и смотреть в журнал IP-пакетов, который является важнейшим инструментом траблшутинга всевозможных сетевых проблем. Этот способ спасает в 80% случаев. Работа с журналом IP-пакетов также помогает лучше усвоить механизмы работы узлов ViPNet-сети.
Конверт не доставлен
Но журнал IP-пакетов, увы, бесполезен, когда речь заходит о конвертах. Они доставляются с помощью транспортного модуля (mftp), у которого есть свой журнал и своя очередь. Конверты по умолчанию передаются на «свой» координатор клиента (то есть тот, на котором зарегистрирован узел), и далее по межсерверным каналам, которые настроены между координаторами (то есть не напрямую по защищенному каналу). Значит, если вы захотите отправить письмо по деловой почте, то клиент упакует его в конверт и отправит сначала на свой координатор. Далее на пути могут быть еще несколько координаторов, и только после этого конверт попадет на узел адресата.
Из этого следуют два вывода. Во-первых, между клиентами не обязательно должна проверяться связь (по нажатию на F5 и соответствующей иконки в меню) для доставки конвертов. Во-вторых, если связь межу ними все-таки проверяется, это не гарантирует доставку, так как проблема может быть в одном из межсерверных каналов.
Диагностировать прохождение конвертов межсерверным каналам или между клиентом и координатором в неочевидных случаях можно с помощью журнала и очереди конвертов, а также логов на координаторе. Также транспортный модуль ViPNet-клиента можно настроить на прямую доставку конвертов, доставку через общую папку или SMTP/POP3 (но это совсем экзотичный вариант). Погружаться в эти настройки мы не будем.
Последствия перепрошивки
Проблемной может оказаться перепрошивка на актуальную версию старых железок, которые долго лежали, например, в качестве ЗИП. В процессе может появиться ошибка «unsupported hardware», которая сообщает либо о том, что у вас действительно неподдерживаемая аппаратная платформа устаревшей линейки G1 (это HW100 E1/E2 и HW1000 Q1), либо о проблемах в настройке BIOS или в некорректной информации, зашитой в DMI. Править ли самостоятельно DMI, каждый решает для себя сам, поскольку есть риск превратить оборудование в бесполезный «кирпич». С BIOS чуть проще: неверные настройки системы заключаются в выключенной функции HT (Hyper Threading) или выключенном режиме ACHI (Advanced Host Controller Interface) для HDD. Чтобы не гадать, в чем конкретно проблема, можно обратиться к флешке, с которой производится прошивка. На ней создаются файлы с диагностической информацией, в частности, в файле verbose.txt перечислены все поддерживаемые платформы с результатом сверки с вашей. Например, ошибка cpu::Vendor(#3)==’GenuineIntel’ 24 times => [Failed], скорее всего, сообщает о выключенном HT. Кстати, перепрошивку часто путают с обновлением, но это разные процессы. При обновлении сохраняются все настройки, а параметры, о которых было написано выше, не проверяются. А при перепрошивке вы возвращаетесь к заводским параметрам.
Неинформативные конфиги
Основным конфигурационным файлом HW является «iplir.conf», однако он не всегда отражает текущие параметры. Дело в том, что в момент загрузки драйвера IPlir происходит интерпретация этого конфига в соответствии с заложенной логикой, и не вся информация может быть загружена в драйвер (например, при наличии конфликтов IP-адресов). Инженеры, работавшие с программным координатором для Linux, наверняка знают о существовании команды «iplirdiag», которая отображает текущие настройки узлов, прогруженные в драйвер. В HW эта команда также присутствует в режиме «admin escape».
Немного остановимся на режиме «admin escape». По сути это выход из ViPNet shell в bash. Тут я солидарен с вендором, который рекомендует использовать данный режим только для диагностики и вносить какие-либо модификации только под присмотром техподдержки вендора. Это вам не обычный Debian, здесь любое неосторожное движение может вывести из строя ОС, защитные механизмы которой воспримут вашу «самодеятельность» как потенциальную угрозу. В связке с заблокированным по умолчанию BIOS это обрекает вас на негарантийный (читай «дорогой») ремонт.
(Un)split tunneling
Еще один факт, который знают далеко не все: по умолчанию ViPNet-клиент работает в режиме split tunnel (когда можно указать, какой трафик заворачивать в туннель, а какой нет). У ViPNet существует технология «Открытого Интернета» (позже переименована в «Защищенный интернет-шлюз»). Многие ошибочно приписывают этот функционал координатору, а не клиенту. На клиенте, который зарегистрирован за координатором с такой функцией, создается два набора предустановленных фильтров. Первый разрешает взаимодействие только с самим координатором и его туннелями, второй – с остальными объектами, но запрещает доступ к координатору ОИ и его туннелям. Причем, согласно концепции вендора, в первом случае координатор должен либо туннелировать прокси-сервер, либо сам являться прокси-сервером. Служебный трафик, а также прием и передача конвертов (как служебных, так и приложений), работают в любой конфигурации.
Служебные порты и TCP-туннель
Однажды я столкнулся с приложением, которое ни в какую не хотело работать через координатор. Так я узнал, что у координатора есть служебные порты, по которым незашифрованный трафик блокируется без возможности какой-либо настройки. К ним относятся UDP/2046,2048,2050 (базовые службы ViPNet), TCP/2047,5100,10092 (для работы ViPNet Statewatcher) и TCP/5000-5003 (MFTP). Тут подвела функции TCP-туннеля. Не секрет, что провайдеры любят фильтровать высокие порты UDP, поэтому администраторы, стремясь улучшить доступность своих КШ, включают функцию TCP-туннеля. Ресурсы в зоне DMZ (по порту TCP-туннеля) при этом становятся недоступны. Это происходит из-за того, что порт TCP-туннеля также становится служебным, и никакие правила межсетевых экранов и NAT (Network Address Translation) на него уже не действуют. Затрудняет диагностику тот факт, что данный трафик не регистрируется в журнале IP-пакетов, как будто его вовсе нет.
Замена координатора
Рано или поздно встает вопрос о замене координатора на более производительный или временный вариант. Например, замена HW1000 на HW2000 или программного координатора – на ПАК и наоборот. Сложность заключается в том, что у каждого исполнения своя «роль» в ЦУС (Центре управления сетью). Как правильно изменить роль, не потеряв связность? Сначала в ЦУС меняем роль на новую, формируем справочники, но не отправляем(!) их. Затем в УКЦ выпускаем новый DST-файл и проводим инициализацию нового Координатора. После производим замену и, убедившись, что все взаимодействия работоспособны, отправляем справочники.
Кластеризация и сбой ноды
Горячий резерв – это must have для любой крупной площадки, поэтому на них всегда закупался кластер старших моделей (HW1000, HW2000, HW5000). Однако создание кластера из более компактных криптошлюзов (HW50 и HW100) было невозможно из-за лицензионной политики вендора. В итоге владельцам небольших площадок приходилось серьезно переплачивать и покупать HW1000 (ну, или никакой отказоустойчивости). В этом году вендор, наконец, сделал дополнительные лицензии и для младших моделей координаторов. Так что с выходом версий 4.2.x появилась возможность собирать в кластер и их.
При первичной настройке кластера можно серьезно сэкономить время, не настраивая интерфейсы в режиме мастера или командами CLI. Можно сразу вписывать необходимые адреса в конфигурационный файл кластера (failover config edit), только не забудьте указать маски. При запуске демона failover в кластерном режиме он сам назначит адреса на соответствующие интерфейсы. Многие при этом боятся останавливать демон, предполагая, что адреса сменяются на пассивные или адреса сингл-режима. Не волнуйтесь: на интерфейсах останутся те адреса, которые были на момент остановки демона.
В кластерном исполнении существует две распространенные проблемы: циклическая перезагрузка пассивной ноды и ее непереключение в активный режим. Для того чтобы понять суть этих явлений, разберемся в механизме работы кластера. Итак, активная нода считает пакеты на интерфейсе и в случае, если за отведенное время пакетов нет, отправляет пинг на testip. Если пинг проходит, то счетчик запускается заново, если не проходит, то регистрируется отказ интерфейса и активная нода уходит в перезагрузку. Пассивная нода при этом отправляет регулярные ARP-запросы на всех интерфейсах, описанных в failover.ini (конфигурационный файл кластера, где указаны адреса, которые принимает активная и пассивная ноды). Если ARP-запись хоть одного адреса пропадает, то пассивная нода переключается в активный режим.
Вернемся к кластерным проблемам. Начну с простого – неперключение в активный режим. В случае если активная нода отсутствует, но на пассивной в ARP-таблице (inet show mac-address-table) ее mac-адрес все еще присутствует, необходимо идти к администраторам коммутаторов (либо так настроен ARP-кэш, либо это какой-то сбой). С циклической перезагрузкой пассивной ноды немного сложнее. Происходит это из-за того, что пассивная не видит ARP-записи активной, переходит в активный режим и (внимание!) по HB-линку опрашивает соседа. Но сосед-то у нас в активном режиме и аптайм у него больше. В этот момент пассивная нода понимает, что что-то не так, раз возник конфликт состояний, и уходит в перезагрузку. Так продолжается до бесконечности. В случае возникновения данной проблемы необходимо проверить настройки IP-адресов в failover.ini и коммутацию. Если все настройки на координаторе верны, то пришло время подключить к вопросу сетевых инженеров.
Пересечения адресов
В нашей практике нередко встречается пересечение туннелируемых адресов за разными координаторами.
Именно для таких случаев в продуктах ViPNet существует виртуализация адресов. Виртуализация – это своеобразный NAT без контроля состояния соединения один к одному или диапазон в диапазон. По умолчанию на координаторах эта функция выключена, хотя потенциальные виртуальные адреса вы можете найти в iplir.conf в строке «tunnel» после «to» в секциях соседних координаторов. Для того, чтобы включить виртуализацию глобально для всего списка, необходимо в секции [visibility] изменить параметр «tunneldefault» на «virtual». Если же хотите включить для конкретного соседа, то необходимо в его секцию [id] добавить параметр «tunnelvisibility=virtual». Также стоит убедиться, что параметр tunnel_local_networks находится в значении «on». Для редактирования виртуальных адресов параметр tunnel_virt_assignment необходимо перевести в режим «manual». На противоположной стороне нужно выполнить аналогичные действия. За настройки туннелей также отвечают параметры «usetunnel» и «exclude_from_tunnels». Результат выполненной работы можно проверить с помощью утилиты «iplirdiag», о которой я говорил выше.
Конечно, виртуальные адреса приносят некоторые неудобства, поэтому администраторы инфраструктуры предпочитают минимизировать их использование. Например, при подключении организаций к информационным системам (ИС) некоторых госорганов этим организациям выдается DST-файл c фиксированным диапазоном туннелей из адресного плана ИС. Как мы видим, пожелания подключающегося при этом не учитываются. Как вписываться в этот пул, каждый решает для себя сам. Кто-то мигрирует рабочие станции на новую адресацию, а кто-то использует SNAT на пути от хостов к координатору. Не секрет, что некоторые администраторы применяют SNAT для обхода лицензионных ограничений младших платформ. Не беремся оценивать этичность такого «лайфхака», однако не стоит забывать, что производительность самих платформ все-таки имеет предел, и при перегрузке начнется деградация качества канала связи.
Невозможность работы GRE
Само собой, у каждого решения в IT есть свои ограничения по поддерживаемым сценариям использования, и ViPNet Coordinator не исключение. Достаточно назойливой проблемой является невозможность работы GRE (и протоколов, которые его используют) от нескольких источников к одному адресу назначения через SNAT. Возьмем, к примеру, систему банк-клиент, которая поднимает PPTP-туннель к публичному адресу банка. Проблема в том, что протокол GRE не использует порты, поэтому после прохождения трафика через NAT, socketpair такого трафика становится одинаковым (адрес назначения у нас одинаковый, протокол тоже, а трансляцию адреса источника мы только что произвели также в один адрес). Координатор реагирует на такое блокировкой трафика на фоне ошибки 104 – Connection already exists. Выглядит это так:
Поэтому, если вы используете множественные GRE-подключения, необходимо избегать применения NAT к этим подключениям. В крайнем случае выполнять трансляцию 1:1 (правда, при использовании публичных адресов это достаточно непрактичное решение).
Не забываем про время
Тему блокировок продолжаем событием номер 4 – IP packet timeout. Тут все банально: это событие возникает при расхождении абсолютного (без учета часовых поясов) времени между узлами сети ViPNet (координаторы и ViPNet-клиенты). На координаторах HW максимальная разница составляет 7200 секунд и задается в параметре «timediff» конфигурационного файла IPlir. Я не рассматриваю в этой статье координаторы HW-KB, но стоит отметить, что в версии KB2 timediff по умолчанию 7 секунд, а в KB4 – 50 секунд, и событие там может генерироваться не 4, а 112, что, возможно, собьет с толку инженера, привыкшего к «обычным» HW.
Нешифрованный трафик вместо зашифрованного
Новичкам бывает сложно понять природу 22 события – Non-encrypted IP Packet from network node – в журнале IP-пакетов. Оно означает, что координатор ждал с этого IP-адреса шифрованный трафик, а пришел нешифрованный. Чаще всего это происходит так:
Обработка прикладных протоколов (ALG)
На многих межсетевых экранах, включая ViPNet Coordinator, могут возникать проблемы с прохождением SIP через NAT. С учетом того, что виртуальные адреса – это внутренний NAT, проблема может возникать, даже когда в явном виде NAT не используется, а используются только виртуальные адреса. Координатор обладает модулем обработки прикладных протоколов (ALG), который должен эти проблемы решать, но не всегда это работает так, как хотелось бы. Не буду останавливаться на механизме работы ALG (на эту тему можно написать отдельную статью), принцип одинаков на всех МСЭ, изменяются лишь заголовки прикладного уровня. Для корректной работы протокола SIP через координатор необходимо знать следующее:
В заключение
Я постарался рассмотреть самые злободневные проблемы, обозначить их корни и рассказать о решениях. Конечно, это далеко не все особенности ViPNet, поэтому рекомендую не стесняться – обращаться в поддержку и спрашивать совета в коммьюнити (на форуме вендора, в телеграмм-канале, в комментариях под этим постом). А если вам не хочется погружаться во все сложности работы с ViPNet или это слишком трудозатратно, то всегда можно отдать управление вашей ViPNet-сетью в руки профессионалов.
Автор: Игорь Виноходов, инженер 2-ой линии администрирования «Ростелеком-Солар»