Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator)

в 9:21, , рубрики: altlinux, coordinator, linux, vipnet, инструкция, информационная безопасность, Настройка Linux, помощь

Введение

Информация, изложенная в данной инструкции, предназначена для настройки ПАК’а «Шлюз ПДн». Вся информация сформирована из личного опыта работы с этой «дурацкой штуковиной» с шлюзом ПДН. Начну с совета: если вам поручили настраивать/ перенастраивать ПАК «ШЛЮЗ-ПДН» — наберитесь терпения. Возможно, не все будет получаться с первого раза. На момент написания данного мануала подобного ничего в интернете не нашлось (дата написания инструкции: июнь 2015 год), лишь мелкие детали установки того или иного ПО, без описания возможных проблем и ошибок. Помощи от технической поддержки разработчика ПО не ждите. Я потратил на всю настройку и установку ориентировочно 2 недели, с учетом того, что ранее этим не занимался вообще. Итак, начнем.

Перед тем, как приступить к настройке, ознакомьтесь с мануалами на официальных сайтах Alt Linux и InfoTeCS. Понимания в процессе настройки будет больше. Настройка правил переадресации, включение режимов координатора и межсетевого экрана, разбор секций и параметров конфигурации и много другой полезной информации содержится в данных мануалах. Ну а если прочли и не получается, просьба ознакомиться с данной инструкцией. Не могу гарантировать, что она 100% поможет в вашей ситуации, но ознакомиться все же стоит.

Начало настройки/установки

Перед началом настройки/установки ПО на ПАК «ШЛЮЗ-ПДН» необходимо выяснить, работал ли он ранее или нет. В моем случае шлюз был аттестован года 1,5 назад и на данный момент аттестат на него закончился. Так же имеет вес информация о сетевых интерфейсах, в данном примере имеется один сетевой интерфейс. Планируется использоваться данный шлюз в университете для работы с государственными информационными системами ФИС ЕГЭ и ФИС ФРДО. На шлюзе была установлена «кривая» оболочка Alt Linux’а и устаревшая версия VipNet координатора, решено было все удалить и устанавливать полноценный Альт Линукс СПТ 6.0 и новую версию VipNet Координатора 3.7.

Создание резервной копии

В первую очередь необходимо выполнить резервную копию жесткого диска нашего шлюза. Сделать это можно используя ПО: Acronis True Image, предварительно записав его как загрузочный диск, например, на внешний USB носитель. Делать резервную копию нужно на альтернативный носитель, использовать для резервной копии этот же самый жесткий диск шлюза не имеет смысла.

После создания резервной копии убедитесь, что файл с резервной копией жесткого диска шлюза виден на носителе и занимает определенный размер. Далее можете извлекать все используемые диски/usb-носители и переходить к установке Alt Linux.

Установка Alt Linux СПТ 6.0

Установка дистрибутива Alt Linux не сложная, все настройки делаются по умолчанию, даже мучиться с разбиением дисков не приходится. Для работы VipNet Координатора нам потребуется установить 32х разрядную системы.
В примере приведены скриншоты Alt Linux Centaurus, не обращайте внимания на данный момент, порядок установки СПТ тот же.

Загрузка системы

Для того, чтобы начать обычную установку (при наличии установочного диска с дистрибутивом и устройства для чтения DVD), необходимо загрузиться с CD или DVD-диска, на котором записан дистрибутив. В этом случае может потребоваться включить в BIOS опцию загрузки с CD/DVD-привода.

P.S. В большинстве случаев указание способа входа в BIOS отображается на вашем мониторе непосредственно после включения компьютера. Способ входа в меню BIOS и информация о расположении настроек определяется производителем используемого оборудования. За информацией можно обратиться к документации на ваше оборудование.

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 1

После загрузки компьютера с установочного диска выводится меню, в котором вы можете выбрать возможные варианты загрузки системы, а также, запустить уже установленную на жёстком диске ОС, выполнить проверку памяти, загрузиться в восстановительном режиме и запуститься в режиме LiveCD.

P.S. Мышь на этом этапе установки не поддерживается. Для выбора опций установки и различных вариантов необходимо использовать клавиатуру.

Для начала процесса установки клавишами перемещения курсора вверх и вниз необходимо выбрать пункт меню Установка, а затем нажать «Enter». Начальный этап установки не требует вмешательства: происходит автоматическое определение оборудования и запуск компонентов программы установки.

  • Сообщения о происходящем на данном этапе можно просмотреть, нажав клавишу ESC.
  • Для получения справочной информации нажмите F1.
  • От выбора языка в загрузчике зависит язык интерфейса загрузчика и программы установки. Выбор языка осуществляется клавишей F2.
  • Клавишей F3 открывается меню доступных видеорежимов (разрешений экрана). Это разрешение будет использоваться во время установки и загрузки установленной системы и т.д.

P.S. В начальном загрузчике выставлено небольшое время ожидания действий пользователя: если вы не сделали никаких шагов по выбору нужного вам пункта меню, будет загружена та система, которая уже установлена на жёстком диске. Если вы пропустили нужный момент, то перезагрузите компьютер и вовремя выберите пункт «Установка».

Последовательность установки

Процесс установки разделён на шаги. Каждый шаг посвящён настройке или установке определённого свойства системы. Шаги нужно проходить последовательно, переход к следующему шагу происходит по нажатию кнопки «Далее». При помощи кнопки «Назад», при необходимости, можно вернуться к уже пройденному шагу и изменить настройки. Однако, возможность перехода к предыдущему шагу ограничена теми шагами, в которых нет зависимости от данных, введённых ранее.

Если по каким-то причинам возникла необходимость прекратить установку, нажмите кнопку перезагрузки (reset) на системном блоке компьютера. Важно помнить, что совершенно безопасно прекращать установку можно только до шага «Подготовка диска», поскольку до этого момента не производится никаких изменений на жёстком диске. Если прервать установку между шагами «Подготовка диска» и «Установка загрузчика», то, вероятно, после этого с жёсткого диска не сможет загрузиться ни одна из установленных систем.

Каждый шаг сопровождается краткой справкой, которую можно вызвать, щёлкнув кнопку «Справка» или нажав F1.

Во время установки системы выполняются следующие шаги:

  • Язык
  • Лицензионный договор
  • Дата и время
  • Подготовка диска
  • Установка системы
  • Сохранение настроек
  • Установка загрузчика
  • Настройка сети
  • Администратор системы
  • Системный пользователь
  • Завершение установки

Язык

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 2

Установка начинается с выбора основного языка — языка интерфейса программы установки и устанавливаемой системы. Помимо выбранного на начальном этапе загрузки языка, в списке доступных языков региона указан и английский язык.
На этом же этапе выбирается вариант переключения раскладки клавиатуры. Раскладка клавиатуры — это привязка букв, цифр и специальных символов к клавишам на клавиатуре. Помимо ввода символов на основном языке, в любой системе Linux необходимо иметь возможность вводить латинские символы (имена команд, файлов и т.п.). Для этого обычно используется стандартная английская раскладка клавиатуры. Переключение между раскладками осуществляется при помощи специально зарезервированных для этого клавиш. Для русского языка доступны следующие варианты переключения раскладки:

  • клавиши Alt и Shift одновременно;
  • клавиша Capslock;;
  • клавиши Control и Shift одновременно;;
  • клавиша Control;;
  • клавиша Alt.;

Если выбранный основной язык имеет всего одну раскладку (например, при выборе английского языка в качестве основного), эта единственная раскладка будет принята автоматически.

Лицензионный договор

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 3

Перед продолжением установки следует внимательно прочитать условия лицензии. В лицензии говорится о ваших правах. В частности, за вами закрепляются права на:

  • эксплуатацию программ на любом количестве компьютеров и в любых целях;
  • распространение программ (сопровождая их копией авторского договора);
  • получение исходных текстов программ.

Если вы приобрели дистрибутив, то данное лицензионное соглашение прилагается в печатном виде к вашей копии дистрибутива. Лицензия относится ко всему дистрибутиву ALT Linux. Если вы согласны с условиями лицензии, отметьте пункт «Да, я согласен с условиями и нажмите Далее».

Дата и время

Для корректной установки даты и времени достаточно правильно указать часовой пояс и выставить желаемые значения для даты и времени.

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 4

На этом шаге следует выбрать часовой пояс, по которому нужно установить часы. Для этого в соответствующих списках выберите страну, а затем регион. Поиск по списку можно ускорить, набирая на клавиатуре первые буквы искомого слова.
Обратите внимание на отметку «Хранить время в BIOS по Гринвичу». Если Linux — единственная установленная операционная система, то поставьте эту отметку. Если Linux устанавливается как вторая система, то эту отметку необходимо снять. Если этого не сделать, то время и дата в уже установленной операционной системе могут отображаться неверно.

Проверьте, верно ли отображаются дата и время в графе «Текущее время», и, при необходимости, выставьте правильные значения (кнопка «Изменить…»).

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 5

Если ваш компьютер подключён к локальной сети или к сети Интернет, можно включить функцию синхронизации системных часов с удалённым сервером (NTP). Для этого достаточно отметить пункт «Получать точное время с NTP-сервера» и указать предпочитаемый NTP-сервер. В большинстве случаев вас устроит сервер pool.ntp.org.
Если выбрана опция «Получать точное время с NTP-сервера», то ваш компьютер может сам быть сервером точного времени. Например, использоваться как сервер точного времени машинами вашей локальной сети. Для активации этой возможности отметьте «Работать как NTP-сервер».

Подготовка диска

Переход к этому шагу может занять некоторое время. Время ожидания зависит от производительности компьютера, объёма жёсткого диска, количества разделов на нём и т.п. На этом этапе подготавливается площадка для установки ALT Linux, в первую очередь — выделяется свободное место на диске.

Выбор профиля разбиения диска

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 6

В списке разделов перечислены уже существующие на жёстких дисках разделы (в том числе здесь могут оказаться съёмные flash-диски, подключённые к компьютеру в момент установки). Ниже перечислены доступные профили разбиения диска. Профиль — это шаблон распределения места на диске для установки Linux. Можно выбрать один из профилей:

  • Установка сервера;
  • Установка рабочей станции.

В нашем случае, поскольку Координатор является сервером, во время установки выбираем разбитие жесткого диска для серверного варианта установки.

Автоматические профили разбиения диска

Профили предполагают автоматическое разбиение диска. Выбор автоматического профиля разбиения диска влияет также и на набор устанавливаемого по умолчанию программного обеспечения.

Установка сервера — по умолчанию будет установлен набор серверного ПО. Это позволяет использовать установленную систему для выполнения различных сервисных задач. При установке типа «Установка сервера» не будет осуществляться запуск графического пользовательского интерфейса при загрузке системы, если только вы не установили самостоятельно соответствующие программные пакеты.

Установка рабочей станции — по умолчанию будет установлен набор ПО, включающий графическое окружение и средства разработки для решения повседневных задач.

При выборе пункта «Установка сервера», при наличии двух жёстких дисков на компьютере, будет создан массив RAID1, а при наличии трёх и более дисков — RAID5. Использование технологии RAID обеспечивает сохранность данных даже при выходе одного жёсткого диска из строя. Обратите внимание на то, что при установке дистрибутива в виртуальную машину RAID-массивы автоматически не создаются.

Установка системы

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 7

В любом дистрибутиве ALT Linux доступно значительное количество программ (до нескольких тысяч), часть из них составляет саму операционную систему, а остальные — это прикладные программы и утилиты.

В операционной системе Linux все операции установки и удаления производятся над пакетами — отдельными компонентами системы. Пакет и программа соотносятся неоднозначно: иногда одна программа состоит из нескольких пакетов, иногда один пакет включает несколько программ.

В процессе установки системы обычно не требуется детализированный выбор компонентов на уровне пакетов — это требует слишком много времени и знаний от проводящего установку. Тем более, что комплектация дистрибутива подбирается таким образом, чтобы из имеющихся программ можно было составить полноценную рабочую среду для соответствующей аудитории пользователей. Поэтому, в процессе установки системы пользователю предлагается выбрать из небольшого списка групп пакетов, объединяющих пакеты, необходимые для решения наиболее распространённых задач. Под списком групп на экране отображается информация об объёме дискового пространства, которое будет занято после установки пакетов, входящих в выбранные группы.

Выбрав необходимые группы, следует нажать «Далее», после чего начнётся установка пакетов.

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 8

На этом этапе происходит установка набора программ, необходимых для работы системы.
Установка происходит автоматически в два этапа:

  • получение пакетов;
  • установка пакетов.

Получение пакетов осуществляется из источника, выбранного на этапе начальной загрузки. При сетевой установке (по протоколу FTP или HTTP) время выполнения этого шага будет зависеть от скорости соединения и может быть значительно большим в сравнении с установкой с лазерного диска.
Время ожидания окончания процесса установки программ можно посвятить чтению руководства.

Сохранение настроек

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 9

По завершении установки базовой системы начинается шаг сохранения настроек. Он проходит автоматически и не требует вмешательства пользователя. На экране отображается индикатор выполнения.

На этом шаге производится перенос настроек, выполненных на первых шагах установки. В только что установленную базовую систему и производится запись информации о соответствии разделов жёсткого диска смонтированным на них файловым системам. В список доступных источников программных пакетов добавляется репозиторий, находящийся на установочном лазерном диске.

После сохранения настроек осуществляется автоматический переход к следующему шагу.

Установка загрузчика

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 10

Загрузчик Linux — это программа, которая позволяет загружать Linux и другие операционные системы. Если на вашем компьютере будет установлен только Linux, то здесь не нужно ничего изменять, просто нажмите «Далее».
Если же вы планируете использовать и другие операционные системы, уже установленные на этом компьютере, тогда имеет значение на каком жёстком диске или в каком разделе будет расположен загрузчик. В большинстве случаев программа установки сама правильно подберёт расположение загрузчика. Вы можете указать расположение самостоятельно, либо вовсе не устанавливать предлагаемый загрузчик если, к примеру, вы уже используете какой-то сторонний загрузчик.

Настройка сети

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 11

На этом этапе необходимо задать параметры настройки сети: IP-адреса сетевых интерфейсов, DNS-сервер, шлюз и т.п. Конкретные значения будут зависеть от используемого вами сетевого окружения. Ручного введения настроек можно избежать при наличии в вашей сети настроенного DHCP-сервера. В этом случае все необходимые сетевые настройки будут получены автоматически.

Администратор системы

Linux — это многопользовательская система. На практике это означает, что для работы в системе необходимо зарегистрироваться, т.е. дать понять системе, кто именно находится за монитором и клавиатурой. Наиболее распространённый способ регистрации на сегодняшний день — использование системных имён (login name) и паролей (password). Это надёжное средство подтверждения того, что с системой работает тот, кто нужно. Пользователям рекомендуется создавать достаточно сложные, не слишком короткие пароли и хранить их в секрете.
При наборе пароля вместо символов на экране высвечиваются звёздочки. Чтобы избежать опечатки при вводе пароля, его предлагается ввести дважды. Можно воспользоваться автоматическим созданием пароля, выбрав «Создать автоматически». Вам будет предложен случайно сгенерированный и достаточно надёжный вариант пароля. Можно принять автоматически сгенерированный пароль (не забудьте при этом запомнить пароль!) или запросить другой вариант пароля при помощи кнопки «Сгенерировать».

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 12

В любой системе Linux всегда присутствует один специальный пользователь — администратор системы, он же суперпользователь. Для него зарезервировано стандартное системное имя — root.

Администратор системы отличается от всех прочих пользователей тем, что ему позволено производить любые, в том числе самые разрушительные изменения в системе. Поэтому выбор пароля администратора системы — очень важный момент для безопасности. Любой, кто сможет ввести его правильно (узнать или подобрать), получит неограниченный доступ к системе. Даже ваши собственные неосторожные действия от имени root могут иметь катастрофические последствия для всей системы.

P.S. Стоит запомнить пароль root — его нужно будет вводить для получения права изменять настройки системы с помощью стандартных средств настройки ALT Linux.

Системный пользователь

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 13

Помимо администратора (root) в систему необходимо добавить по меньшей мере одного обычного системного пользователя. Работа от имени администратора системы считается опасной, поэтому повседневную работу в Linux следует выполнять от имени ограниченного в полномочиях системного пользователя.

При добавлении системного пользователя предлагается ввести имя учётной записи пользователя. Имя учётной записи всегда представляет собой одно слово, состоящее только из строчных латинских букв (заглавные запрещены), цифр и символа подчёркивания «_» (причём цифра и символ «_» не могут стоять в начале слова).

Для того чтобы исключить опечатки, пароль пользователя вводится дважды. Пароль пользователя можно создать автоматически, по аналогии с автоматическим созданием пароля суперпользователя.

В процессе установки предлагается создать только одну учётную запись системного пользователя — от его имени можно выполнять задачи, не требующие привилегий суперпользователя.

Учётные записи для всех прочих пользователей системы можно будет создать в любой момент после установки операционной системы.

Завершение установки

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 14

На экране последнего шага установки отображается информация о завершении установки. Эта информация может содержать важные замечания по использованию дистрибутива. После нажатия кнопки «Завершить» происходит перезагрузка компьютера. Не забудьте извлечь установочный DVD (если это не происходит автоматически). Далее можно загружать установленную систему в обычном режиме.

Первая помощь

В случае возникновения каких-либо неприятностей не паникуйте, а спокойно разберитесь в сложившейся ситуации. Linux не так уж просто довести до полной неработоспособности и утраты ценных данных. Поспешные действия отчаявшегося пользователя могут привести к плачевным результатам. Помните, что решение есть и оно обязательно найдётся!

Проблемы при установке системы

Если в системе не произошла настройка какого-либо компонента после стадии установки пакетов, не отчаивайтесь, доведите установку до конца, загрузитесь в систему и попытайтесь в спокойной обстановке повторить настройку.
В случае возникновения проблем с установкой, вы можете вручную задать необходимые параметры в строке Параметры загрузки меню начального загрузчика:

  • xdriver — графический установщик предпринимает попытку автоматического подбора драйвера видеокарты, но иногда это ему не удаётся. Данным параметром можно отключить «искусственный интеллект» и явно указать нужный вариант драйвера;
  • instdebug — если будет присутствовать этот параметр, то перед запуском и после завершения работы графического установщика будет запущена оболочка shell. Это очень полезное средство для выявления причин отсутствия запуска графической части программы установки. Последовательность работы внутренних сценариев следующая: install2 → xinit → alterator-install2 → alterator-wizard. При необходимости можно вручную загрузить Xorg (команда xinit) и в открывшемся окне терминала запустить alterator-install2 (или alterator-wizard) вручную.

Если вы вообще не смогли установить систему (не произошла или не завершилась стадия установки пакетов), то сначала попробуйте повторить попытку в режиме Установка в безопасном режиме. Возможно, у вас какое-то новое или нестандартное оборудование, но может оказаться, что оно отлично настраивается со старыми драйверами. В любом случае, вы всегда можете сообщить о своих проблемах нам:

  • в списки рассылки (http://lists.altlinux.org/);
  • в службу технической поддержки (http://www.altlinux.ru/support);
  • на форум (http://forum.altlinux.org/).

Если вы хотите получить точный ответ, то сообщите, пожалуйста, подробный состав вашего оборудования и подробное описание возникшей проблемы.

Настройка Alt Linux СПТ 6.0

После того как установлен Alt Linux работа с ним еще не завершена. Перед тем как приступить к установке VipNet Координатора нужно обновить ядро, модули и несколько приложений. Поэтому запускайте Alt Linux, подключайте интернет и начинаем настройку/обновление.

Для обновления модулей предусмотрен менеджер пакетов Synaptic.

Менеджер пакетов Synaptic

Для запуска менеджера пакетов Synaptic запустите терминал от имени суперпользователя, для этого на верхней панели операционной системы нажмите пункт меню «Приложения» -> «Стандартные» -> «Root Terminal».

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 15

При запуске терминала от имени суперпользователя система запросит ввести его пароль, введите пароль, заданный для суперпользователя (Администратора системы) при установке ОС Alt Linux.
В терминале введите команду включения режима суперпользователя:

su-

Далее мы будем обновлять модули и ядро ОС, для того чтобы лучше ориентироваться, введите команду для определения версии ядра вашей ОС:

uname –r

После ввода команды вы увидите данные об установленном ядре.

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 16

После установки Alt Linux у меня было ядро 2.6.32-el-smp-alt42.M60C.1

Затем введите команду запуска менеджера пакетов Synaptic:

synaptic

Откроется менеджер пакетов Synaptic.

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 17

Включение репозиториев

Для того чтобы обновить нужные нам пакеты, необходимо включить репозитории. Для этого в меню менеджера пакетов Synaptic нажмите пункт «Параметры» -> «Репозитории». Нам понадобятся лишь ftp сервера Atl Linux’а. Отметьте галочкой следующие репозитории:

Затем нажмите «Ок».

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 18

Для обновления списка пакетов из добавленных репозиториев необходимо в главном окне менеджера пакетов Synaptic нажать кнопку «Получить сведения».

Обновление модулей/Обновления ядра

Перечень необходимых модулей для обновления:

  • kernel-image-std-def#1:3.0.26-alt0.M60P.1
  • gcc4.5
  • glibc-devel
  • kernel-headers-modules-std-def
  • glibc
  • kernel-headers-std-def
  • kernel-headers-common
  • glibc-kernheaders
  • kernel-source-3.0

Для сокращения времени на поиск нужных компонентов используйте поиск. После того как найдете первый пакет, встаньте на него и нажмите на панели кнопку «Отметить для обновления», после переходите к поиску следующего пакета. После того как отметите все указанные в перечне пакеты, нажмите на панели кнопку «Применить», начнется загрузка пакетов. После загрузки менеджер пакетов запросит разрешение на установку модулей, соглашайтесь.
После успешной установки всех пакетов, проверьте еще раз по перечню модулей, все ли установлены. Для окончательного завершения, нажмите пару раз на кнопку «Получить сведения», если обновлений больше не происходит, можете перезапускать ОС, настройка Alt Linux завершена.

Загрузка Alt Linux с новым ядром

После обновления пакетов/модулей, перезапустите шлюз, при запуске ОС выберите Alt Linux с обновленным ядром (в данном случае новое ядро std-def 3.0).

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 19

VipNet Coordinator (Linux)

На данный шлюз нужно установить ПО VipNet Coordinator (Linux), я устанавливал версию 3.7, загрузить ее можно на официальном сайте InfoTeCS.

Подготовка к установке

Дистрибутив ViPNet Coordinator кладём в домашнюю папочку пользователя (/home), например, «DISTRIB». Т.к. при установке мы завели пользователя «installer», полный путь к директории получится /home/installer/DISTRIB/. Распаковываем в нее архив с дистрибутивом, а также копируем парольно-ключевую информацию «*.dst».

Установка VipNet Coordinator

Для продолжения необходимо запустить терминал и перейти в папку DISTRIB/distribute. Для перехода введите в терминале следующую команду:

cd /home/installer/DISTRIB/distribute

Проведем листинг директории:

ll

Код листинга директории
[root@coord1 distribute]# ll
итого 17228
drwxr-xr-x 4 installer installer 4096 Дек 24 14:30 ../
drwxr-xr-x 2 installer installer 4096 Дек 24 14:30 patch/
drwxr-xr-x 4 installer installer 4096 Дек 24 14:30 ./
-rw-r--r-- 1 installer installer 17546378 Дек 24 14:30 distribute.tar.gz
drwxr-xr-x 2 installer installer 4096 Дек 24 14:30 doc/
-rw-r--r-- 1 installer installer 5214 Дек 24 14:30 license.txt
-rw-r--r-- 1 installer installer 778 Дек 24 14:30 warning.txt
-rw-r--r-- 1 installer installer 28372 Дек 24 14:30 install.sh
-rw-r--r-- 1 installer installer 248 Дек 24 14:30 version
-rw-r--r-- 1 installer installer 20 Дек 24 14:30 noanswer
-rw-r--r-- 1 installer installer 27658 Дек 24 14:30 install.cf

Файл «install.sh» должен иметь права на исполнение, если это не так, исправим это:

chmod 755 install.sh

Далее меняем права на файлы в директории установки:

chown –R root /home/installer/DISTRIB/distribute/*

Проведем листинг и удостоверимся что права изменились:

Код листинга директории
[root@coord1 distribute]# ll
итого 17244
-rw-r--r-- 1 root root 15204 Дек 24 15:24 abn_0001.dst
-rw-r--r-- 1 root installer 17546378 Дек 24 15:24 distribute.tar.gz
drwxr-xr-x 2 root installer 4096 Дек 24 15:24 doc/
-rw-r--r-- 1 root installer 27658 Дек 24 15:24 install.cf
-rw-r--r-- 1 root installer 28372 Дек 24 15:24 install.sh
-rw-r--r-- 1 root installer 5214 Дек 24 15:24 license.txt
-rw-r--r-- 1 root installer 20 Дек 24 15:24 noanswer
drwxr-xr-x 2 root installer 4096 Дек 24 15:24 patch/
-rw-r--r-- 1 root installer 248 Дек 24 15:24 version
-rw-r--r-- 1 root installer 778 Дек 24 15:24 warning.txt
drwxr-xr-x 4 installer installer 4096 Дек 24 15:02 ./
drwxr-xr-x 4 installer installer 4096 Дек 24 14:30 ../

Теперь все готово к началу установки VipNet Coordinator.
Запускаем скрипт установки:

./install.sh

Cкрипт попросит выбрать дистрибутив для установки, по умолчанию будет предложено два варианта:

  1. Выбрать текущий дистрибутив (расположен в этой же папке);
  2. Изменить директорию и указать другой дистрибутив.

Укажите первый вариант. После чего нас просят нажать ENTER для чтения лицензионного соглашения, нажимаем ENTER начинаем читать лицензионное соглашения листая его пробелом.

После того как мы прочитали соглашение нас попросят его принять, соглашаемся нажав «y».

После чего программа инсталляции проверит наличие уже установленных конфигураций и более старых версий и не найдя ничего спросит хотим ли мы установить её вновь, говорим, что хотим, нажав «y».

Проведя несколько тестов и найдя все необходимые компоненты программа инсталляции найдет положенный заранее в её директорию dst файл и спросит развернуть его, изменить директорию, т. е. найти другой или пропустить этот шаг. Отвечаем 1, т. е. установить существующий dst файл.

Дальше нас спрашивают куда установить программу, отвечаем нажатием на ENTER что означает в директорию по умолчанию, коей является /etc/vipnet/, о чем собственно говорится в вопросе.

После чего нас попросят ввести пароль для данной конфигурации. Пароль находится в файле UsersPass.txt в разделе «Имя пользователя», сам файл UsersPass.txt находится на диске, присланном из ФЦТ. Вводим пароль.

Программа установки спросит хотим ли мы запустить сервисы автоматически или нет, отвечаем «y».
После чего нам скажут, что программа установлена.

Выглядеть в итоге все должно вот так:

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 20

Проверить что сервисы работают можно следующими командами:

Iplir check

mftp check

На что получим ответы с информацией о том, что процессы запущены с соответствующими PID как показано на рисунке ниже:

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 21

Если все выглядит как на рисунках, значит VipNet Coordinator успешно установлен.

Настройка VipNet Coordinator

Для дальнейшей работы с системами ФИС ЕГЭ и ФИС ФРДО необходимо настроить наш координатор.

Настройка режима «С динамической трансляцией адресов»

Первое что нужно сделать это настроить работу координатора в режиме динамической трансляции адресов.
Для настройки работы ViPNet Coordinator Linux в данном режиме задайте в файле iplir.conf следующие параметры:

  • В собственной секции [id] установите параметр usefirewall в значение on.
  • В собственной секции [id] установите параметр port в значение из диапазона 1-65535 (обычно 55777), если он еще не задан.
  • В секции [adapter], соответствующей сетевому интерфейсу, со стороны которого установлен внешний межсетевой экран, установить параметр type в значение external.
  • В секции [dynamic] установите параметр dynamic_proxy в значение on.
  • В секции [dynamic] установите параметр forward_id равным значению id внешнего координатора для организации входящих соединений. Данный параметр задается вручную, но не может принимать нулевое значение.

Перед началом редактирования параметров нужно остановить модули VipNet Coordinator следующей командой:

Iplir stop

P.S. Если остановку не произвести, изменения в файле не сохранятся.

Файл Iplir.conf доступен только с правами суперпользователя. Для запуска файла с параметрами суперпользователя рекомендую запустить в терминале с параметрами суперпользователя диспетчер файлов Midnight Commander. Для запуска выполните следующую команду:

mc

Запустится диспетчер файлов Midnight Сommander. В любой момент диспетчер файлов можно свернуть для работы с терминалом, для свертывания используйте горячие клавиши Ctrl+O.

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 22

Файл Iplir.conf находится в каталоге: etc/vipnet/user.
Открываем файл Iplir.conf клавишей F4 в диспетчере файлов и редактируем его согласно требованиям. После редактирования у вас должно получиться примерно следующее:

Содержание файла iplir.conf
[id]
id= 0x099a0e10
name= APS2 id_******
filterdefault= pass
ip= 192.168.122.1
tunnel= 193.169.176.116-193.169.176.119 to 193.169.176.116-193.169.176.119
firewallip= 192.168.122.1
port= 55777
proxyid= 0x099a0e10
usefirewall= on
fixfirewall= off
virtualip= 10.0.0.1
version= 3.0-670

[id]
id= 0xffffffff
name= Encrypted broadcasts
filterdefault= drop
filterudp= 137, 137, pass, any
filterudp= 138, 138, pass, any
filterudp= 68, 67, pass, any
filterudp= 67, 68, pass, any, disable
filterudp= 2046, 0-65535, pass, recv
filterudp= 2046, 2046, pass, send
filterudp= 2048, 0-65535, pass, recv
filterudp= 2050, 0-65535, pass, recv
filterudp= 2050, 2050, pass, send

[id]
id= 0xfffffffe
name= Main Filter
filterdefault= pass

[id]
id= 0x099a000b
name= AP Administrator
filterdefault= pass
ip= 10.0.4.246
accessip= 10.0.0.2
firewallip= 10.0.4.245
port= 55777
proxyid= 0x099a000a
dynamic_timeout= 0
usefirewall= on
always_use_server= on
virtualip= 10.0.0.2
version= 3.2-672

[id]
id= 0x099a066d
name= CM Failover2
filterdefault= pass
ip= 85.143.100.25
ip= 10.0.4.242
ip= 169.254.241.1
ip= 192.168.0.1
accessip= 10.0.0.3
tunnel= 10.0.3.1-10.0.3.1 to 10.0.3.1-10.0.3.1
firewallip= 85.143.100.25
port= 55777
proxyid= 0x099a066d
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.3
version= 3.0-670

[id]
id= 0x0e18000a
name= CM-OBRNADZOR-HW-1 3608
filterdefault= pass
ip= 192.168.0.121
ip= 10.3.54.101
accessip= 10.0.0.4
tunnel= 10.3.54.15-10.3.54.15 to 10.3.54.15-10.3.54.15
firewallip= 62.76.166.101
port= 55777
proxyid= 0xfffffffe
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.4
version= 3.0-670

[id]
id= 0x0e18000d
name= AP-Admin3608 3608
filterdefault= pass
accessip= 0.0.0.0
port= 55777
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.5

[adapter]
name= eth0
allowtraffic= on
type= external

[adapter]
name= virbr0
ip= 192.168.122.1
allowtraffic= on
type= internal

[dynamic]
dynamic_proxy= on
firewallip= 192.168.122.1
port= 32466
forward_id= 0x099a066d
always_use_server= off
timeout= 25

[misc]
packettype= 4.1
timediff= 7200
warnoldautosave= on
client_pollinterval= 300
server_pollinterval= 900
iparponly= off
ifcheck_timeout= 30
ipforwarding= on
iscaggregate= on
ompnumthreads= 1
mssdecrease= 0
ciphertype= gost

[debug]
debuglevel= 3
debuglogfile= file:/var/log/iplircfg.debug.log

[servers]
server= 0x099a066d, CM Failover2
server= 0x0e18000a, CM-OBRNADZOR-HW-1 3608

[virtualip]
startvirtualip= 10.0.0.1
endvirtualip= 10.0.0.6
maxvirtualip= 10.0.254.254
; Do not delete or change the following line!!!
startvirtualiphash= 0x18E80620

[visibility]
default= auto

По окончанию редактирования файла, сохраните его.

Переключение режима координатора

Далее нам нужно переключить режим работы координатора, чтобы не блокировал все пакеты подряд. По умолчанию установлен 2 режим, он более строгий. Поставим на 4 режим отредактировав файлiplir.conf-eth0. Находится он также в директории: etc/vipnet/user.

Файл содержит в себе следующую информацию:

Содержание файла iplir.conf-eth0
[mode]
mode= 2

[db]
maxsize= 50 MBytes
timedif= 60
registerall= off
registerbroadcast= off
registertcpserverport= off

В секции [mode] измените параметр mode= 2 на mode= 4, после чего сохраните изменения в файле.
Далее запустите модули Vipnet вновь:

Iplir start

Если запуск не будет произведен, в дальнейшем не будет возможности получать обновления на координаторе.

Подключение рабочих станций

Изначально мы планировали настроить данный ПАК, как шлюз для рабочих станций пользователей, с которых будет осуществляться работа в ФИС ЕГЭ и ФИС ФРДО, поэтому на данном этапе нужно определить количество участвующих в работе машин и присвоить им статические ip-адреса следующих типов:

  • 192.168.xxx.xxx;
  • 172.16.xxx.xxx;
  • Диапазон адресов с 10.1.xxx.xxx по 10.255.xxx.xxx.

Ip-адреса нужно согласовывать с ФЦТ (они могут быть заняты).
После согласования нужно отправить письмо с ip-адресами, и далее ждать, когда придут обновления на координатор.

Обновление информации на шлюзе

После обработки письма, ФЦТ вышлет обновления на шлюз, благодаря которым рабочие станции с присвоенными ip-адресами смогут получить доступ к ФИС ЕГЭ и ФИС ФРДО. Проверить, пришли обновления или нет можно проверив файл Iplir.config.
В собственной секции [id] появятся дополнительные параметры tunnel с перечнем присвоенных ip-адресов.
Пример до обновления:

Содержание файла iplir.conf до обновления
[id]
id= 0x099a0e10
name= APS2 id_*****
filterdefault= pass
ip= 192.168.122.1
tunnel= 193.169.176.116-193.169.176.119 to 193.169.176.116-193.169.176.119
firewallip= 192.168.122.1
port= 55777
proxyid= 0x099a0e10
usefirewall= on
fixfirewall= off
virtualip= 10.0.0.1
version= 3.0-670

Пример после обновления:

Содержание файла iplir.conf после обновления
[id]
id= 0x099a0e10
name= APS2 id_*****
filterdefault= pass
ip= 192.168.122.1
tunnel= 193.169.176.116-193.169.176.119 to 193.169.176.116-193.169.176.119
tunnel= 192.168.xxx.xxx
tunnel= 172.16.xxx.xxx
tunnel= 10.1.xxx.xxx
firewallip= 192.168.122.1
port= 55777
proxyid= 0x099a0e10
usefirewall= on
fixfirewall= off
virtualip= 10.0.0.1
version= 3.0-670

Ввод в эксплуатацию

После всех настроек и обновлений можно вводить шлюз в эксплуатацию. Для того чтобы на пользовательских рабочих станциях заработали порталы ФИС ЕГЭ и ФИС ФРДО необходимо указать ip-адрес ПАК’а шлюзом в настройках сети. Для того чтобы узнать ip-адрес ПАК’а введите в терминале команду:

ifconfig

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 23

По умолчанию, если сетевой интерфейс один, локальная сеть обозначается как eth0, ip-адрес шлюза будет прописан в параметре inet addr.

После ввода шлюза на рабочих станциях, проверяем работоспособность организованной нами VPN сети. Для проверки в браузере IE введите адрес портала ФИС ЕГЭ – 10.0.3.1 и ФИС ФРДО – 10.3.54.15. Если порталы открываются успешно, значит все действия выполнены правильно. Если же порталы недоступны и отсутствует доступ в интернет в целом, идем вновь к шлюзу и проверяем прохождение пакетов.

Проверка пакетов

Для проверки пакетов необходимо в терминале с правами суперпользователя ввести команду:

Iplir view

Далее нажать «Enter». Отобразится информация о поступлении на шлюз пакетов с машин, подключенных к данной сети.

Инструкция: Настройка ПАК «Шлюз ПДн» (AltLinux СПТ 6.0 + VipNet Coordinator) - 24

Проверьте пакеты с ip-адресов рабочих станций, если присутствует информация о блокировке пакетов, нужно настроить переадресацию пакетов с конкретных ip-адресов.

Настройка переадресации

Если после установки шлюза в сеть с пользовательских рабочих станций не удается зайти н порталы ФИС ЕГЭ и ФИС ФРДО, необходимо настроить переадресацию пакетов. Для настройки переадресации нужно отредактировать файл firewall.conf.
В параметре [forward] необходимо добавить несколько правил c присвоенными ip-адресами, например:

Правила переадресации
rule= proto any from 172.16.xxx.xxx to any pass
rule= proto any from 192.168.xxx.xxx to any pass
rule= proto any from 10.1.xxx.xxx to any pass
rule= proto any from 10.255.xxx.xxx to any pass

Если после настройки переадресации не работает один из двух порталов, а один успешно грузится, значит второй оператор еще не обработал данные высланные с ФЦТ и не знает ip-адресов пользовательских рабочих станций. В данном случае можно проверить и продемонстрировать доступность к обоим порталам с самого шлюза.

Горячие клавиши

В моем случае, опыт работы с системами Linux был минимален, и при настройке шлюза у клиента я был озадачен подбором горячих клавиш для запуска приложений, т.к. мышь отсутствовала. Поэтому рекомендую освоить основные горячие клавиши Linux. Мне понадобились следующие:

  • Ctrl+O – Свернуть/развернуть диспетчер файлов;
  • Alt+F1 – Открытие системного меню;
  • Ctrl+Q – Выход из приложения;
  • Ctrl+T – Новая вкладка в браузере;
  • F10 – Меню приложения;
  • F11 – Развернуть на весь экран.

Используемые источники

1. Wiki по Alt Linux — www.altlinux.org
2. Форум InfoTeCS — www.infotecs.ru/forum
3. Руководство администратора VipNet Coordinator Linux — files.infotecs.ru/_dl/sess/vipnet_coordinator_linux/docs/ViPNet_Coordinator_Linux_docs.zip
4. Поисковая система Google — www.google.ru
5. МОЗГ!

Автор: kolesnikov2040

Источник

Поделиться новостью

  1. Виктор:

    Отличная статья для наглядного примера.
    Спасибо!

* - обязательные к заполнению поля