Vipnet tias руководство администратора

4.1 Запуск программы ViPNet Монитор.

Перед окончанием загрузки Windows появится окно входа в программу ViPNet Монитор. Для запуска программы введите пароль или подключите внешнее устройство аутентификации.

Чтобы отказаться от запуска программы ViPNet Монитор, нажмите кнопку Отмена, в этом случае шифрование трафика будет отключено.

Если вы вышли из программы ViPNet Монитор или отказались от аутентификации при загрузке Windows, то для запуска программы ViPNet Монитор:

1 Выполните одно из действий:

• если вы используете операционную систему Windows 8 или Windows 10, на начальном экране откройте список приложений и выберите ViPNet > Монитор.

• дважды щелкните ярлык на рабочем столе (ярлык отображается на рабочем столе, если при установке программы была выбрана соответствующая опция) либо в меню Пуск > Все программы > ViPNet.

Откроется окно входа в программу.

2 Выберите способ аутентификации для входа в программу и в зависимости от выбранного способа введите пароль пользователя либо подключите внешнее устройство и введите ПИН-код.

3 После ввода необходимых для аутентификации данных нажмите кнопку OK. Откроется окно программы ViPNet Монитор.

          4.2 Завершение работы с программой ViPNet Монитор.

Существует несколько способов завершения работы с программой ViPNet Client:

1 Чтобы свернуть окно программы, выполните одно из действий:

• нажмите кнопку Закрыть в правом верхнем углу окна.

• нажмите сочетание клавиш Alt+F4.

Чтобы снова развернуть окно программы, щелкните значок в области уведомлений на панели задач.

2 Чтобы выйти из программы, в главном меню программы выберите пункт Файл > Выход либо в области уведомлений в контекстном меню программы ViPNet Client выберите пункт Выход. В окне подтверждения нажмите Да.

          4.3 Интерфейс программы ViPNet Монитор.

Окно программы ViPNet Монитор представлено на следующем рисунке.

Цифрами на рисунке обозначены:

1  Главное меню программы.

2 Панель инструментов. Чтобы отобразить или скрыть панель инструментов, в меню Вид выберите пункт Панель инструментов. Добавить или удалить кнопки на панель инструментов вы можете с помощью кнопки . Чтобы изменить расположение кнопок на панели инструментов, перетащите их в нужном порядке, удерживая нажатой клавишу Alt.

3 Панель навигации. Содержит перечень разделов, предназначенных для настройки различных параметров ViPNet Монитор:

• Защищенная сеть (этот раздел выбран по умолчанию) — содержит список сетевых узлов ViPNet, которые связаны с данным сетевым узлом.

• Сетевые фильтры. Содержит подразделы с фильтрами IP-трафика:

• Фильтры защищенной сети — предназначен для настройки фильтров защищенного трафика.

• Фильтры открытой сети — предназначен для настройки фильтров открытого трафика.

• Группы объектов — содержит списки объектов, которые могут быть использованы при создании сетевых фильтров: группы узлов ViPNet, группы IP-адресов и так далее.

• Статистика и журналы. Содержит подразделы:

• Журнал IP-пакетов — предназначен для поиска записей в журнале IP-пакетов.

• Статистика — предназначен для просмотра статистики фильтрации IP-пакетов.

• Конфигурации — предназначен для управления конфигурациями программы ViPNet Монитор.

• Администратор — отображается только после входа в программу в режиме администратора и служит для настройки дополнительных параметров программы.

4  Панель просмотра. Предназначена для отображения раздела, выбранного на панели навигации (3).

5  Строка поиска. Отображается в разделах Защищенная сеть, Сетевые фильтры и Группы объектов. Для поиска по разделу введите в этой строке часть адреса, имени сетевого узла или другие параметры.

6  Строка состояния. Содержит следующие сведения: номер сети ViPNet, IP-адреса, назначенные узлу, и текущая конфигурация программы. При изменении сетевых фильтров или групп объектов вместо указанных сведений в строке состояния появляется сообщение о том, что фильтры или группы объектов были изменены, но не применены.

          4.4 Работа со списком защищенных узлов ViPNet

Раздел Защищенная сеть программы ViPNet Монитор содержит список защищенных узлов ViPNet, которые связаны с данным сетевым узлом.

Значок рядом с именем сетевого узла, а также цвет имени обозначают тип сетевого узла и его текущий статус. Обозначение возможного статуса сетевых узлов приведено в следующей таблице.

Значок	Цвет имени	Статус сетевого узла
	Серый	Клиент в данный момент отключен от сети либо нет данных о его статусе
	Фиолетовый	Клиент в данный момент подключен к сети
	Серый или фиолетовый, полужирный	Новый клиент, с которым была создана связь
	Серый или фиолетовый, полужирный	Новый координатор, с которым была создана связь
	Серый	Координатор в данный момент отключен от сети либо нет данных о его статусе
	Фиолетовый	Координатор в данный момент подключен к сети

Для удобства просмотра списка и поиска сетевые узлы в разделе Защищенная сеть можно сгруппировать по папкам:

• Чтобы создать новую папку, в окне программы ViPNet Монитор на панели навигации или на панели просмотра в контекстном меню элемента Защищенная сеть выберите пункт Создать папку. Новая папка появится на панели навигации, а также в разделе Защищенная сеть.

• Чтобы перенести сетевые узлы в какую-либо папку, в разделе Защищенная сеть выберите один или несколько сетевых узлов и перетащите их в нужную папку.

• Чтобы переименовать папку, щелкните ее правой кнопкой мыши и в контекстном меню выберите пункт Переименовать.

• Чтобы удалить папки:

• Убедитесь, что папки, которые требуется удалить, не содержат сетевых узлов. В противном случае перенесите сетевые узлы в другие папки.

• Выберите одну или несколько папок на панели навигации или в разделе Защищенная сеть.

• Нажмите клавишу Delete либо воспользуйтесь пунктом Удалить в контекстном меню.

Для поиска сетевого узла в списке введите в строку поиска часть имени, IP-адреса или другие параметры узла.

Для просмотра свойств сетевого узла дважды щелкните имя узла. Откроется окно Свойства узла, в котором приведены общие сведения о сетевом узле и содержатся параметры доступа к узлу.

Чтобы проверить соединение с другим узлом, начать сеанс обмена защищенными сообщениями, отправить файл или использовать другие встроенные функции программы ViPNet Монитор, выполните одно из действий:

• Выберите сетевой узел в списке и нажмите соответствующую кнопку на панели инструментов.

• Выберите соответствующий пункт в контекстном меню сетевого узла.

5. Встроенные средства коммуникации ПО ViPNet Client

В состав программы ViPNet Монитор входит несколько дополнительных инструментов, предоставляющих возможность быстрого и защищенного обмена информацией:

• Обмен защищенными сообщениями / Защищенная конференция.

• Быстрая отправка электронных писем.

• Файловый обмен.

• Вызов внешних приложений.

• Функция «Открыть веб-ресурс сетевого узла».

• Функция «Обзор общих ресурсов сетевого узла».

• Проверка соединения с другим сетевым узлом ViPNet.

          5.1 Обмен защищенными сообщениями с другими пользователями сети ViPNet.

Пользователи сети ViPNet могут в режиме реального времени обмениваться мгновенными сообщениями с другими пользователями ViPNet или участвовать в конференции с несколькими пользователями:

✔ Вы можете начать сеанс обмена сообщениями, чтобы отправлять сообщения одному или нескольким пользователям одновременно и получать от них ответы. При этом все участники сеанса будут получать ваши сообщения, но не будут получать ответные сообщения от других пользователей.

Чтобы начать сеанс обмена сообщениями, в окне программы ViPNet Монитор на панели навигации выберите раздел Защищенная сеть, затем на панели просмотра выберите один или несколько сетевых узлов. В контекстном меню узлов выберите пункт Послать сообщение или на панели инструментов нажмите кнопку Сообщение .

✔ Вы можете начать конференцию с несколькими пользователями, чтобы все участники сеанса могли получать сообщения от других пользователей и отвечать на них. В этом заключается отличие конференции от сеанса обмена сообщениями.

Чтобы начать конференцию, в окне программы ViPNet Монитор на панели навигации выберите раздел Защищенная сеть, затем на панели просмотра выберите несколько сетевых узлов. В контекстном меню узлов выберите пункт Конференция или на панели инструментов нажмите кнопку Конференция (по умолчанию эта кнопка скрыта).

Пользователь ViPNet может участвовать в нескольких сеансах обмена сообщениями одновременно. Если получено сообщение, которое не относится ни к одному из текущих сеансов, будет открыт новый сеанс обмена сообщениями.

Все сообщения, полученные и отправленные в течение сеанса, записываются в протокол сеанса. Если в рамках сеанса отправить сообщение какому-либо пользователю, его ответ придет в том же сеансе и будет сохранен в том же протоколе. При необходимости вы можете сохранить протокол сеанса как текстовый файл.

Во время сеанса обмена сообщениями вы можете отправлять пользователям файлы и письма.

Интерфейс программы обмена защищенными сообщениями.

Прием и отправка сообщений выполняются в окне Оперативный обмен защищенными сообщениями, которое представлено на следующем рисунке:

Цифрами на рисунке обозначены:

1 Главное меню программы обмена защищенными сообщениями.

2 Панель инструментов. Чтобы удалить или добавить кнопки на панель инструментов, в меню Вид выберите пункт Настроить панель.

3 Панель Получатели сообщений. Содержит список пользователей, участвующих в данном сеансе. После отправки сообщения его статус отображается с помощью следующих символов:

• О — сообщение отправлено, но еще не доставлено.

• Д — сообщение доставлено, на экране получателя появилось уведомление о сообщении.

• Ч — сообщение прочитано получателем.

• П — сообщение было прочитано, получатель собирается ответить.

Сообщения пронумерованы в порядке их отправки. Колонки со статусами отправленных сообщений расположены в обратном порядке (начиная с последнего отправленного сообщения). Сообщения отправляются пользователям, рядом с именами которых установлены флажки.

4 Строка поиска, предназначенная для фильтрации списка получателей на панели Сеансы и для поиска слов в сообщениях на панели Протокол сеанса. В протоколе сеанса все вхождения заданной строки поиска отмечаются желтым фоном.

5 Панель Сообщение. Предназначена для ввода новых сообщений.

6 Панель Протокол сеанса. На этой панели отображается история сообщений (протокол) текущего сеанса.

7 Панель Сеансы. Содержит список открытых сеансов и кнопки перехода между сеансами. Описание колонок на панели Сеансы приведено в следующей таблице:

Колонка	Описание
	Статус сеанса: Значки отсутствуют. Сеанс открыт, все сообщения были обработаны. Сеанс открыт, получены новые сообщения. Сеанс закрыт инициатором, однако в сеансе есть непрочитанные сообщения (этот значок отображается, только если сеанс инициирован другим пользователем). Сеанс закрыт инициатором (этот значок отображается, только если сеанс инициирован другим пользователем).
№	Номер сеанса.
Получатели	Список участников сеанса.
Новых	Число новых (необработанных) сообщений. Если новых сообщений нет, это поле пусто.
Не прочитано	Число непрочитанных сообщений. Если непрочитанных сообщений нет, это поле пусто. Если в сеансе есть непрочитанные сообщения, атрибуты этого сеанса выделены полужирным шрифтом.
Время последнего обмена	Дата и время последнего сообщения сеанса.

Под списком открытых сеансов расположены кнопки и , с помощью которых можно перейти к предыдущему или к следующему просмотренному сеансу. В истории переходов между сеансами запоминается 10 последних сеансов, просмотр которых продолжался более 5 секунд.

Отправка сообщений.

Для обмена мгновенными сообщениями выполните следующие действия:

1 Если окно Оперативный обмен защищенными сообщениями закрыто, чтобы открыть его, в меню программы ViPNet Монитор выберите пункт Приложения > Обмен сообщениями. В окне Оперативный обмен защищенными сообщениями будут открыты все начатые ранее сеансы обмена сообщениями.

2 Чтобы начать новый сеанс обмена сообщениями или конференцию, в окне Оперативный обмен защищенными сообщениями выполните следующие действия:

• В меню Сеанс выберите пункт Новый, а затем щелкните Обмен сообщениями или Конференция.

• В окне Выбор сетевого узла укажите узлы, с пользователями которых вы хотите начать обмен сообщениями или конференцию. Затем нажмите кнопку Выбрать.

Откроется новый сеанс обмена сообщениями. Если вы указали единственный сетевой узел, с которым сеанс обмена сообщениями уже был начат, то вместо нового сеанса откроется существующий сеанс.

3 В окне Оперативный обмен защищенными сообщениями выберите сеанс, в который вы хотите отправить новые сообщения.

4 На панели Сообщение введите текст сообщения.

5 Нажмите кнопку Отправить или клавишу F5.

Прием сообщений.

По умолчанию при поступлении новых сообщений в области уведомлений появляется значок , текст сообщения отображается во всплывающем окне над областью уведомлений. Чтобы прочитать новые сообщения, выполните одно из действий:

• Щелкните значок в области уведомлений.

• В окне Оперативный обмен защищенными сообщениями на панели инструментов нажмите кнопку Прочитать .

Вы можете изменить способ уведомления о новом сообщении. Для этого выполните следующие действия:

1 В окне программы ViPNet Монитор в меню Сервис выберите пункт Настройка приложения.

2 В окне Настройка в разделе Обмен сообщениями установите или снимите следующие флажки:

• Уведомлять о приходе сообщения полупрозрачным окном.

• Уведомлять о приходе сообщения миганием кнопки на панели задач.

• Уведомлять о приходе сообщения окном поверх всех окон.

• Показывать новые сообщения в отдельном окне.

Если флажок Показывать новые сообщения в отдельном окне установлен, при получении сообщений откроется окно Новые сообщения.

В окне Новые сообщения отображается список новых сообщений в порядке поступления. С помощью кнопок в правой части окна вы можете принять сообщение (тогда оно будет сохранено в протоколе сеанса), ответить на сообщение или удалить его.

Отправка файлов и писем из программы обмена защищенными сообщениями.

Во время сеанса обмена сообщениями вы можете отправлять участникам сеанса файлы и письма по защищенному каналу VPN. Для этого используйте кнопки Файл и Письмо , расположенные на панели инструментов.

Отправка файлов осуществляется с помощью приложения «Файловый обмен».

Отправка писем осуществляется с помощью приложения ViPNet «Деловая почта». Чтобы отправить письмо, выполните следующие действия:

1 В окне Оперативный обмен защищенными сообщениями на панели Сеансы выберите сеанс, участникам которого вы хотите отправить письмо.

2 На панели Получатели сообщений выберите участников и на панели инструментов нажмите кнопку Письмо .

В результате будет запущена программа ViPNet Деловая почта и появится окно создания нового письма, в котором в качестве получателей будут указаны выбранные участники сеанса. Подробнее о том, как создать и отправить письмо, см. п. 5.2.

Прекращение обмена сообщениями.

Чтобы закрыть сеанс обмена сообщениями:

1 В окне Оперативный обмен защищенными сообщениями на панели Сеансы выберите сеанс, который требуется закрыть.

2 Если вы хотите сохранить протокол сеанса в виде текстового файла, щелкните сеанс правой кнопкой мыши и в контекстном меню выберите пункт Сохранить как, затем укажите файл для сохранения протокола.

3 Выполните одно из действий:

• В меню Сеанс выберите пункт Закрыть.

• Нажмите клавишу F8.

• На панели инструментов нажмите кнопку Закрыть .

4 После закрытия сеанс будет удален с панели Сеансы.

Чтобы закрыть программу обмена защищенными сообщениями, выполните одно из действий:

• В меню Сеанс выберите пункт Выход.

• Нажмите кнопку Закрыть .

          5.2 Отправка писем программы ViPNet Деловая почта

В состав программного обеспечения ViPNet Client входит программа ViPNet Деловая почта, которая позволяет обмениваться электронными письмами в защищенной сети VPN. 

Как написать письмо.

Чтобы написать письмо, выполните следующие действия:

1 В окне программы ViPNet Деловая почта на панели инструментов нажмите кнопку Письмо .

2 В окне Исходящее введите тему и текст письма, при необходимости измените формат текста письма.

3 Если в письмо требуется вложить файлы, на панели инструментов нажмите кнопку Вложения и в окне Открыть выберите нужные файлы. Общий размер добавленных вложений не должен превышать 2 Гбайт.

4 Если необходимо зашифровать письмо, нажмите кнопку Шифровать .

5 Если необходимо подписать письмо электронной подписью, нажмите кнопку Подписать .

6 Нажмите кнопку Получатели и в окне Выбрать контакты выберите получателей.

7 Нажмите кнопку Отправить .

Как прочитать письмо.

При получении новых писем транспортный модуль MFTP выдает соответствующее сообщение. Непрочитанные письма выделяются в списке полужирным шрифтом. Папки программы ViPNet Деловая почта, в которых есть непрочитанные письма, также выделяются полужирным шрифтом, при этом в скобках после имени папки указано количество непрочитанных писем.

Чтобы прочитать письмо:

1 В окне программы ViPNet Деловая почта на левой панели выберите папку, в которой находится письмо.

2 Выберите письмо в списке. Если письмо не зашифровано, его текст отобразится в поле под списком писем.

Если письмо зашифровано, для его просмотра выполните одно из действий:

• Нажмите кнопку Расшифровать на панели инструментов.

• Откройте письмо в отдельном окне двойным щелчком.

Как ответить на письмо.

Чтобы ответить на письмо, выполните следующие действия:

1 Выберите письмо в списке или откройте в отдельном окне двойным щелчком.

2 В окне программы ViPNet Деловая почта или в окне просмотра письма на панели инструментов нажмите кнопку Ответить или Ответить всем .

Откроется окно создания письма.

3 Напишите и отправьте письмо, как описано в разделе Как написать письмо.

Как удалить письмо.

Чтобы удалить письмо, выполните следующие действия:

1 В окне программы ViPNet Деловая почта на левой панели выберите папку с письмом, которое нужно удалить.

2 В списке выберите письмо и нажмите кнопку Удалить на панели инструментов или нажмите клавишу Delete.

Письмо будут перемещено в папку Удаленные, в подпапку с именем, которое совпадает с именем исходной папки письма.

С помощью приложения «Файловый обмен» пользователи сети ViPNet могут пересылать друг другу файлы по защищенному каналу VPN. Ограничения на размер и тип передаваемых файлов отсутствуют. Кроме этого обеспечивается контроль их целостности. Если целостность файла при передаче была нарушена, то данный файл автоматически удаляется.

Приложение «Файловый обмен» вы можете вызвать из программы ViPNet Монитор, из контекстного меню Windows или из программы обмена защищенными сообщениями.

Интерфейс программы «Файловый обмен».

Для просмотра файлов, отправленных и принятых по файловому обмену, откройте окно «Файловый обмен». Для этого в программе ViPNet Монитор выберите пункт меню Приложения > Файловый обмен.

Окно «Файловый обмен» также появляется каждый раз при отправке или приеме файлов.

Внешний вид окна программы «Файловый обмен» представлен на следующем рисунке.

Цифрами на рисунке обозначены:

1 Главное меню программы.

2 Панель инструментов. С помощью кнопок на панели инструментов можно отправить новый файл, перейти к принятым файлам или удалить файл из списка.

Чтобы удалить или добавить кнопки на панель инструментов, в меню Вид выберите пункт Настроить панель.

3 Фильтр списка файлов. Предусмотрено три режима отображения списка:

• Все файлы.

• Принятые файлы.

• Отправленные файлы.

4 Группа Принятые файлы. В этой группе отображаются файлы, полученные от пользователей других сетевых узлов ViPNet.

5 Группа Отправленные файлы. В этой группе отображаются файлы, переданные пользователям других сетевых узлов ViPNet.

6 Ссылка для перехода в папку, в которой находится файл.

Отправка файлов из программы ViPNet Монитор.

Чтобы отправить файл с помощью программы ViPNet Монитор:

1 В окне программы ViPNet Монитор на панели навигации выберите раздел Защищенная сеть.

2 В разделе Защищенная сеть выберите сетевой узел, на который требуется отправить файл. Чтобы выбрать несколько сетевых узлов, зажмите клавишу Ctrl и по очереди щелкните нужные узлы. Чтобы отфильтровать список сетевых узлов, воспользуйтесь строкой поиска в нижней части раздела Защищенная сеть.

3 Выполните одно из действий:

• Нажмите кнопку Отправить на панели инструментов.

• Щелкните сетевой узел правой кнопкой мыши и в контекстном меню выберите пункт Отправить файл.

4 В появившемся окне укажите файлы или папки, которые требуется отправить, и нажмите кнопку Открыть.

Выбранные файлы будут отправлены адресату.

5 Откроется окно Файловый обмен, в котором отображается информация об отправленных файлах и их состоянии.

6 Когда отправленные файлы будут доставлены получателю, программа выдаст уведомление о доставке. Чтобы отключить уведомления, в окне сообщения установите флажок Не показывать это сообщение в дальнейшем.

Отправка файлов с помощью контекстного меню Windows.

Чтобы отправить файл пользователю ViPNet:

1 В Проводнике Windows выберите файл для отправки. Если нужно выбрать несколько файлов, удерживайте клавишу Ctrl и по очереди щелкните нужные файлы.

2 Щелкните один из выбранных файлов правой кнопкой мыши и в контекстном меню выберите пункт Отправить файл адресату ViPNet.

3 В окне Файловый обмен: Выбор сетевого узла выберите из списка одного или нескольких получателей. Чтобы отфильтровать список пользователей, воспользуйтесь строкой поиска в нижней части окна.

4 Выбрав получателей, нажмите кнопку Выбрать. Файлы будут отправлены выбранным получателям.

5 Откроется окно Файловый обмен, в котором отображается информация об отправленных файлах и их состоянии.

6 Когда отправленные файлы будут доставлены получателю, программа выдаст уведомление о доставке. Чтобы отключить уведомления, в окне сообщения установите флажок Не показывать это сообщение в дальнейшем.

Отправка файлов из программы обмена защищенными сообщениями.

Чтобы отправить файл во время обмена мгновенными сообщениями с пользователями ViPNet, выполните следующие действия:

1 В окне Оперативный обмен защищенными сообщениями на панели Сеансы выберите сеанс, участникам которого вы хотите отправить файл.

2 На панели Получатели сообщений выберите участников и на панели инструментов нажмите кнопку Файл .

3 В появившемся окне укажите файлы, которые требуется отправить, и нажмите кнопку Открыть.

Выбранные файлы будут отправлены участникам сеанса.

4 Откроется окно Файловый обмен, в котором отображается информация об отправленных файлах и их состоянии.

5 Когда отправленные файлы будут доставлены получателям, программа выдаст уведомление о доставке. Чтобы отключить уведомления, в окне сообщения установите флажок Не показывать это сообщение в дальнейшем.

Прием файлов.

При поступлении файлов от другого пользователя ViPNet:

1 Программа выдаст сообщение о принятом файле, в области уведомлений появится значок программы файлового обмена .

2 Чтобы просмотреть полученные файлы, щелкните значок файлового обмена в области уведомлений. Откроется окно Файловый обмен.

3 В окне Файловый обмен в группе Принятые файлы выберите нужный файл и выполните одно из действий:

• Щелкните имя файла в столбце Файл.

• Нажмите кнопку Принятые на панели инструментов.

В новом окне будет открыта папка, содержащая выбранный файл.

Чтобы просмотреть файлы, полученные от определенного пользователя сети ViPNet:

1 В окне программы ViPNet Монитор на панели навигации выберите раздел Защищенная сеть.

2 В разделе Защищенная сеть выберите сетевой узел, от пользователя которого были приняты файлы, и нажмите кнопку Принятые на панели инструментов.

В новом окне будет открыта папка, содержащая файлы, поступившие с выбранного сетевого узла.

          5.4 Вызов внешних приложений

Программа ViPNet Client поддерживает вызов внешних приложений удаленного доступа, таких как:

• VNC Viewer.

• Remote Desktop Connection.

• Radmin Viewer.

С помощью внешних программ пользователи ViPNet могут пользоваться различными сервисами, предоставляемыми через Интернет, например, доступом к удаленному рабочему столу. Преимущество работы с внешними программами в сети ViPNet состоит в том, что весь трафик этих программ надежно шифруется.

Для взаимодействия с другим пользователем ViPNet с помощью внешнего приложения:

1 В окне программы ViPNet Монитор на панели навигации выберите раздел Защищенная сеть.

2 В разделе Защищенная сеть щелкните нужный сетевой узел правой кнопкой мыши и в контекстном меню выберите пункт Внешние программы, затем щелкните команду вызова требуемой программы.

Внешняя программа будет автоматически запущена в защищенном режиме, а пользователю выбранного сетевого узла ViPNet будет предложено подтвердить запуск той же программы на его компьютере.

          5.5 Просмотр веб-ресурсов сетевого узла

Если на компьютере, где установлено ПО ViPNet Client, также установлен какой-либо веб-сервер или веб-приложение, то другие пользователи сети ViPNet могут осуществлять защищенное (шифрованное) соединение с этим веб-сервером.

При этом данный веб-сервер будет доступен только пользователям сети ViPNet, которым разрешено соединение с сетевым узлом, на котором установлен сервер. Это позволяет реализовать идею защищенного интернет-портала, в который могут быть интегрированы различные приложения — CRM, CMS, приложения на основе баз данных и многое другое.

Чтобы установить такое соединение:

1 В окне программы ViPNet Монитор на панели навигации выберите раздел Защищенная сеть.

2 В разделе Защищенная сеть выберите сетевой узел, на котором организован защищенный Интернет-портал, и выполните одно из действий:

• Нажмите кнопку Веб-ресурс на панели инструментов.

• Щелкните выбранный узел правой кнопкой мыши и в контекстном меню выберите пункт Web-ссылка.

          5.6 Обзор общих ресурсов сетевого узла

Функция «Обзор общих ресурсов сетевого узла» позволяет открыть сетевые ресурсы с общим доступом на сетевом узле ViPNet. Соединение устанавливается в защищенном режиме.

Чтобы открыть общий ресурс сетевого узла ViPNet:

1 В окне программы ViPNet Монитор на панели навигации выберите раздел Защищенная сеть.

2 В разделе Защищенная сеть выберите нужный сетевой узел и выполните одно из действий:

✔ Нажмите кнопку Обзор на панели инструментов.

✔Щелкните выбранный узел правой кнопкой мыши и в контекстном меню выберите пункт Открыть сетевой ресурс

В результате Проводник Windows в новом окне отобразит доступные сетевые ресурсы на выбранном сетевом узле. Пункт контекстного меню и кнопка на панели инструментов доступны, только если выбран один сетевой узел.

          5.7 Проверка соединения с сетевым узлом

С помощью программы ViPNet Монитор можно проверить текущий статус других сетевых узлов ViPNet из раздела Защищенная сеть — доступны они или нет, активны или нет и так далее.

Чтобы проверить соединение с одним или несколькими сетевыми узлами ViPNet и узнать статус их пользователей:

1 В окне программы ViPNet Монитор на панели навигации выберите раздел Защищенная сеть.

2 В разделе Защищенная сеть выберите сетевой узел, соединение с которым требуется проверить. Чтобы выбрать несколько сетевых узлов, зажмите клавишу Ctrl и по очереди щелкните нужные узлы.

3 Выполните одно из действий:

✔ Нажмите кнопку Проверить на панели инструментов.

✔ Нажмите клавишу F5.

✔ Щелкните один из выбранных сетевых узлов правой кнопкой мыши и в контекстном меню выберите пункт Проверить соединение.

Откроется окно Проверка соединения, содержащее информацию о выбранных сетевых узлах.

Внешний вид окна Проверка соединения представлен на следующем рисунке:

Цифрами на рисунке обозначены:

1 Главное меню программы проверки соединения.

2 Панель инструментов. Чтобы удалить или добавить кнопки на панель инструментов, в меню Вид выберите пункт Настроить панель.

3 Основная панель. Содержит список сетевых узлов, с которыми осуществляется проверка соединения.

Цвет и цветовое выделение (фон) имени сетевого узла обозначают его текущее состояние:

Цвет имени	Состояние сетевого узла
Фиолетовый	Сетевой узел доступен, но последние 15 минут не проявлял активности на компьютере.
Черный на зеленом фоне	Сетевой узел доступен и проявлял активность за последние 15 минут.
Черный	Сетевой узел в данный момент не подключен к сети.

• Чтобы посмотреть подробную информацию о сетевом узле в отдельном окне, выполните одно из действий:

• Дважды щелкните нужный сетевой узел.

• Выберите сетевой узел из списка и нажмите кнопку Свойства на панели инструментов.

• Выберите сетевой узел из списка и нажмите клавишу F3.

Откроется окно Свойства узла.

• Чтобы отправить на один из сетевых узлов в окне Проверка соединения письмо программы ViPNet Деловая почта, начать сеанс обмена защищенными сообщениями или выполнить другое действие, доступное в разделе Защищенная сеть, щелкните выбранный узел правой кнопкой мыши и в контекстном меню выберите соответствующий пункт.

4 Столбцы основной панели. Статус сетевых узлов указан в столбце Статус. Описание возможных статусов приведено в таблице ниже.

Статус	Описание
Доступен	Есть полноценная связь с сетевым узлом.
Связь по VPN есть, но программа Монитор не доступна	На сетевом узле не активна программа ViPNet Монитор, но сам узел доступен по защищенному каналу. В этом случае при взаимодействии с сетевым узлом недоступны встроенные средства коммуникации (такие как обмен защищенными сообщениями, файловый обмен и другие), но возможен просмотр общих ресурсов и веб-ресурсов сетевого узла, подключение через удаленный рабочий стол.
Недоступен	Связь с сетевым узлом отсутствует.

В столбце Активность на компьютере указано время последней активности.

Чтобы отсортировать список по одному из столбцов, щелкните заголовок столбца. С помощью контекстного меню можно удалить или добавить столбцы.

5 Строка поиска. Предназначена для фильтрации списка сетевых узлов на основной панели (3).

6 Панель свойств узла. Содержит подробную информацию о сетевом узле, выбранном на основной панели (3).

7 Строка состояния.

6. Настройка параметров безопасности ПО «ViPNet Client»

          6.1 Смена пароля пользователя.

Пароль пользователя рекомендуется менять раз в 3 месяца. В целом же частота смены пароля пользователя определяется регламентом безопасности организации.

Смена текущего пароля пользователя требуется в следующих случаях:

• По истечении срока действия текущего пароля (в случае, если этот срок действия ограничен).

• При поступлении на сетевой узел обновления ключей из программы ViPNet Удостоверяющий и ключевой центр, содержащего новый пароль пользователя. В этом случае появится окно с сообщением «Рекомендуется сменить пароль пользователя», однако пароль не будет изменен автоматически, поэтому процедуру смены пароля необходимо выполнить вручную.

• Если контейнер ключей защищен с использованием не пароля, а персонального ключа пользователя, пароль к контейнеру ключей будет совпадать с паролем пользователя. Поэтому при необходимости смены пароля к контейнеру ключей, следует сменить пароль пользователя.

Кроме того, рекомендуется менять пароль пользователя при первом входе в программу после установки справочников и ключей. Это повысит надежность пароля, поскольку он не будет известен администратору.

Для того чтобы сменить пароль пользователя:

1 В окне Настройка параметров безопасности откройте вкладку Пароль.

2 В группе Тип пароля выберите тот тип, которому должен соответствовать новый пароль:

• Собственный — пароль, определяемый пользователем;

• Случайный на основе парольной фразы — пароль, формируемый автоматически на основе парольной фразы по заданным параметрам;

• Случайный цифровой — пароль, формируемый автоматически из заданного числа цифр.

3 Нажмите кнопку Сменить пароль.

4 При необходимости ограничения срока действия нового пароля установите флажок Ограничить срок действия пароля, после чего укажите желаемое число дней.

5 Нажмите кнопку ОК.

Выбор собственного пароля.

Для того чтобы сменить текущий пароль пользователя на собственный:

1 На вкладке Пароль выберите Собственный.

2 Нажмите кнопку Сменить пароль.

3 В окне Смена пароля введите новый пароль (длиной не менее шести символов) поочередно в каждом из полей, учитывая регистр и раскладку клавиатуры.

4 Нажмите кнопку ОК.

Теперь при запуске программы ViPNet Монитор от имени того же пользователя следует вводить указанный пароль.

Выбор пароля на основе парольной фразы.

Для того чтобы сменить текущий пароль на случайный, составленный на основе парольной фразы:

1 На вкладке Пароль выберите Случайный на основе парольной фразы, после чего задайте параметры нового пароля:

• В списке Словарь выберите язык парольной фразы.

• В списке Слов в парольной фразе выберите число слов (3, 4, 6 или 8), из которых будет состоять парольная фраза. Чем больше число слов, тем длиннее и, соответственно, надежнее будет пароль.

• В списке Букв из каждого слова выберите число начальных букв каждого слова (3 или 4), которые войдут в пароль.

В строке Длина пароля отобразится количество букв в пароле, который будет сформирован с учетом указанных параметров.

2 Нажмите кнопку Сменить пароль.

3 Выполните действия, предлагаемые в окне Электронная рулетка.

4 Запомните пароль (или парольную фразу), отображенный в окне Смена пароля. При необходимости измените парольную фразу и пароль на другие, также соответствующие указанным параметрам, с помощью кнопки Другой пароль. Нажмите кнопку ОК.

Теперь при запуске программы ViPNet Монитор от имени того же пользователя следует, используя английскую раскладку клавиатуры, вводить указанное число букв каждого слова русской парольной фразы, без пробелов. Например, для парольной фразы «тенор победил горемыку» с параметрами пароля по умолчанию (3 буквы из каждого слова) при запуске программы следует, используя английскую раскладку клавиатуры, вводить буквы «тенпобгор».

Выбор цифрового пароля.

Для того чтобы сменить текущий пароль пользователя на цифровой:

1 На вкладке Пароль выберите Случайный цифровой, после чего в поле Число цифр укажите длину пароля.

2 Нажмите кнопку Сменить пароль.

3 Выполните действия, предлагаемые в окне Электронная рулетка.

4 Запомните цифровой пароль, предложенный в окне Смена пароля. Нажмите кнопку ОК.

Теперь при запуске программы ViPNet Монитор от имени того же пользователя следует вводить предложенный цифровой пароль.

4.1 Запуск программы ViPNet Монитор.

Перед окончанием загрузки Windows появится окно входа в программу ViPNet Монитор. Для запуска программы введите пароль или подключите внешнее устройство аутентификации.

Чтобы отказаться от запуска программы ViPNet Монитор, нажмите кнопку Отмена, в этом случае шифрование трафика будет отключено.

Если вы вышли из программы ViPNet Монитор или отказались от аутентификации при загрузке Windows, то для запуска программы ViPNet Монитор:

1 Выполните одно из действий:

• если вы используете операционную систему Windows 8 или Windows 10, на начальном экране откройте список приложений и выберите ViPNet > Монитор.

• дважды щелкните ярлык на рабочем столе (ярлык отображается на рабочем столе, если при установке программы была выбрана соответствующая опция) либо в меню Пуск > Все программы > ViPNet.

Откроется окно входа в программу.

2 Выберите способ аутентификации для входа в программу и в зависимости от выбранного способа введите пароль пользователя либо подключите внешнее устройство и введите ПИН-код.

3 После ввода необходимых для аутентификации данных нажмите кнопку OK. Откроется окно программы ViPNet Монитор.

          4.2 Завершение работы с программой ViPNet Монитор.

Существует несколько способов завершения работы с программой ViPNet Client:

1 Чтобы свернуть окно программы, выполните одно из действий:

• нажмите кнопку Закрыть в правом верхнем углу окна.

• нажмите сочетание клавиш Alt+F4.

Чтобы снова развернуть окно программы, щелкните значок в области уведомлений на панели задач.

2 Чтобы выйти из программы, в главном меню программы выберите пункт Файл > Выход либо в области уведомлений в контекстном меню программы ViPNet Client выберите пункт Выход. В окне подтверждения нажмите Да.

          4.3 Интерфейс программы ViPNet Монитор.

Окно программы ViPNet Монитор представлено на следующем рисунке.

Цифрами на рисунке обозначены:

1  Главное меню программы.

2 Панель инструментов. Чтобы отобразить или скрыть панель инструментов, в меню Вид выберите пункт Панель инструментов. Добавить или удалить кнопки на панель инструментов вы можете с помощью кнопки . Чтобы изменить расположение кнопок на панели инструментов, перетащите их в нужном порядке, удерживая нажатой клавишу Alt.

3 Панель навигации. Содержит перечень разделов, предназначенных для настройки различных параметров ViPNet Монитор:

• Защищенная сеть (этот раздел выбран по умолчанию) — содержит список сетевых узлов ViPNet, которые связаны с данным сетевым узлом.

• Сетевые фильтры. Содержит подразделы с фильтрами IP-трафика:

• Фильтры защищенной сети — предназначен для настройки фильтров защищенного трафика.

• Фильтры открытой сети — предназначен для настройки фильтров открытого трафика.

• Группы объектов — содержит списки объектов, которые могут быть использованы при создании сетевых фильтров: группы узлов ViPNet, группы IP-адресов и так далее.

• Статистика и журналы. Содержит подразделы:

• Журнал IP-пакетов — предназначен для поиска записей в журнале IP-пакетов.

• Статистика — предназначен для просмотра статистики фильтрации IP-пакетов.

• Конфигурации — предназначен для управления конфигурациями программы ViPNet Монитор.

• Администратор — отображается только после входа в программу в режиме администратора и служит для настройки дополнительных параметров программы.

4  Панель просмотра. Предназначена для отображения раздела, выбранного на панели навигации (3).

5  Строка поиска. Отображается в разделах Защищенная сеть, Сетевые фильтры и Группы объектов. Для поиска по разделу введите в этой строке часть адреса, имени сетевого узла или другие параметры.

6  Строка состояния. Содержит следующие сведения: номер сети ViPNet, IP-адреса, назначенные узлу, и текущая конфигурация программы. При изменении сетевых фильтров или групп объектов вместо указанных сведений в строке состояния появляется сообщение о том, что фильтры или группы объектов были изменены, но не применены.

          4.4 Работа со списком защищенных узлов ViPNet

Раздел Защищенная сеть программы ViPNet Монитор содержит список защищенных узлов ViPNet, которые связаны с данным сетевым узлом.

Значок рядом с именем сетевого узла, а также цвет имени обозначают тип сетевого узла и его текущий статус. Обозначение возможного статуса сетевых узлов приведено в следующей таблице.

Значок	Цвет имени	Статус сетевого узла
	Серый	Клиент в данный момент отключен от сети либо нет данных о его статусе
	Фиолетовый	Клиент в данный момент подключен к сети
	Серый или фиолетовый, полужирный	Новый клиент, с которым была создана связь
	Серый или фиолетовый, полужирный	Новый координатор, с которым была создана связь
	Серый	Координатор в данный момент отключен от сети либо нет данных о его статусе
	Фиолетовый	Координатор в данный момент подключен к сети

Для удобства просмотра списка и поиска сетевые узлы в разделе Защищенная сеть можно сгруппировать по папкам:

• Чтобы создать новую папку, в окне программы ViPNet Монитор на панели навигации или на панели просмотра в контекстном меню элемента Защищенная сеть выберите пункт Создать папку. Новая папка появится на панели навигации, а также в разделе Защищенная сеть.

• Чтобы перенести сетевые узлы в какую-либо папку, в разделе Защищенная сеть выберите один или несколько сетевых узлов и перетащите их в нужную папку.

• Чтобы переименовать папку, щелкните ее правой кнопкой мыши и в контекстном меню выберите пункт Переименовать.

• Чтобы удалить папки:

• Убедитесь, что папки, которые требуется удалить, не содержат сетевых узлов. В противном случае перенесите сетевые узлы в другие папки.

• Выберите одну или несколько папок на панели навигации или в разделе Защищенная сеть.

• Нажмите клавишу Delete либо воспользуйтесь пунктом Удалить в контекстном меню.

Для поиска сетевого узла в списке введите в строку поиска часть имени, IP-адреса или другие параметры узла.

Для просмотра свойств сетевого узла дважды щелкните имя узла. Откроется окно Свойства узла, в котором приведены общие сведения о сетевом узле и содержатся параметры доступа к узлу.

Чтобы проверить соединение с другим узлом, начать сеанс обмена защищенными сообщениями, отправить файл или использовать другие встроенные функции программы ViPNet Монитор, выполните одно из действий:

• Выберите сетевой узел в списке и нажмите соответствующую кнопку на панели инструментов.

• Выберите соответствующий пункт в контекстном меню сетевого узла.

5. Встроенные средства коммуникации ПО ViPNet Client

В состав программы ViPNet Монитор входит несколько дополнительных инструментов, предоставляющих возможность быстрого и защищенного обмена информацией:

• Обмен защищенными сообщениями / Защищенная конференция.

• Быстрая отправка электронных писем.

• Файловый обмен.

• Вызов внешних приложений.

• Функция «Открыть веб-ресурс сетевого узла».

• Функция «Обзор общих ресурсов сетевого узла».

• Проверка соединения с другим сетевым узлом ViPNet.

          5.1 Обмен защищенными сообщениями с другими пользователями сети ViPNet.

Пользователи сети ViPNet могут в режиме реального времени обмениваться мгновенными сообщениями с другими пользователями ViPNet или участвовать в конференции с несколькими пользователями:

✔ Вы можете начать сеанс обмена сообщениями, чтобы отправлять сообщения одному или нескольким пользователям одновременно и получать от них ответы. При этом все участники сеанса будут получать ваши сообщения, но не будут получать ответные сообщения от других пользователей.

Чтобы начать сеанс обмена сообщениями, в окне программы ViPNet Монитор на панели навигации выберите раздел Защищенная сеть, затем на панели просмотра выберите один или несколько сетевых узлов. В контекстном меню узлов выберите пункт Послать сообщение или на панели инструментов нажмите кнопку Сообщение .

✔ Вы можете начать конференцию с несколькими пользователями, чтобы все участники сеанса могли получать сообщения от других пользователей и отвечать на них. В этом заключается отличие конференции от сеанса обмена сообщениями.

Чтобы начать конференцию, в окне программы ViPNet Монитор на панели навигации выберите раздел Защищенная сеть, затем на панели просмотра выберите несколько сетевых узлов. В контекстном меню узлов выберите пункт Конференция или на панели инструментов нажмите кнопку Конференция (по умолчанию эта кнопка скрыта).

Пользователь ViPNet может участвовать в нескольких сеансах обмена сообщениями одновременно. Если получено сообщение, которое не относится ни к одному из текущих сеансов, будет открыт новый сеанс обмена сообщениями.

Все сообщения, полученные и отправленные в течение сеанса, записываются в протокол сеанса. Если в рамках сеанса отправить сообщение какому-либо пользователю, его ответ придет в том же сеансе и будет сохранен в том же протоколе. При необходимости вы можете сохранить протокол сеанса как текстовый файл.

Во время сеанса обмена сообщениями вы можете отправлять пользователям файлы и письма.

Интерфейс программы обмена защищенными сообщениями.

Прием и отправка сообщений выполняются в окне Оперативный обмен защищенными сообщениями, которое представлено на следующем рисунке:

Цифрами на рисунке обозначены:

1 Главное меню программы обмена защищенными сообщениями.

2 Панель инструментов. Чтобы удалить или добавить кнопки на панель инструментов, в меню Вид выберите пункт Настроить панель.

3 Панель Получатели сообщений. Содержит список пользователей, участвующих в данном сеансе. После отправки сообщения его статус отображается с помощью следующих символов:

• О — сообщение отправлено, но еще не доставлено.

• Д — сообщение доставлено, на экране получателя появилось уведомление о сообщении.

• Ч — сообщение прочитано получателем.

• П — сообщение было прочитано, получатель собирается ответить.

Сообщения пронумерованы в порядке их отправки. Колонки со статусами отправленных сообщений расположены в обратном порядке (начиная с последнего отправленного сообщения). Сообщения отправляются пользователям, рядом с именами которых установлены флажки.

4 Строка поиска, предназначенная для фильтрации списка получателей на панели Сеансы и для поиска слов в сообщениях на панели Протокол сеанса. В протоколе сеанса все вхождения заданной строки поиска отмечаются желтым фоном.

5 Панель Сообщение. Предназначена для ввода новых сообщений.

6 Панель Протокол сеанса. На этой панели отображается история сообщений (протокол) текущего сеанса.

7 Панель Сеансы. Содержит список открытых сеансов и кнопки перехода между сеансами. Описание колонок на панели Сеансы приведено в следующей таблице:

Колонка	Описание
	Статус сеанса: Значки отсутствуют. Сеанс открыт, все сообщения были обработаны. Сеанс открыт, получены новые сообщения. Сеанс закрыт инициатором, однако в сеансе есть непрочитанные сообщения (этот значок отображается, только если сеанс инициирован другим пользователем). Сеанс закрыт инициатором (этот значок отображается, только если сеанс инициирован другим пользователем).
№	Номер сеанса.
Получатели	Список участников сеанса.
Новых	Число новых (необработанных) сообщений. Если новых сообщений нет, это поле пусто.
Не прочитано	Число непрочитанных сообщений. Если непрочитанных сообщений нет, это поле пусто. Если в сеансе есть непрочитанные сообщения, атрибуты этого сеанса выделены полужирным шрифтом.
Время последнего обмена	Дата и время последнего сообщения сеанса.

Под списком открытых сеансов расположены кнопки и , с помощью которых можно перейти к предыдущему или к следующему просмотренному сеансу. В истории переходов между сеансами запоминается 10 последних сеансов, просмотр которых продолжался более 5 секунд.

Отправка сообщений.

Для обмена мгновенными сообщениями выполните следующие действия:

1 Если окно Оперативный обмен защищенными сообщениями закрыто, чтобы открыть его, в меню программы ViPNet Монитор выберите пункт Приложения > Обмен сообщениями. В окне Оперативный обмен защищенными сообщениями будут открыты все начатые ранее сеансы обмена сообщениями.

2 Чтобы начать новый сеанс обмена сообщениями или конференцию, в окне Оперативный обмен защищенными сообщениями выполните следующие действия:

• В меню Сеанс выберите пункт Новый, а затем щелкните Обмен сообщениями или Конференция.

• В окне Выбор сетевого узла укажите узлы, с пользователями которых вы хотите начать обмен сообщениями или конференцию. Затем нажмите кнопку Выбрать.

Откроется новый сеанс обмена сообщениями. Если вы указали единственный сетевой узел, с которым сеанс обмена сообщениями уже был начат, то вместо нового сеанса откроется существующий сеанс.

3 В окне Оперативный обмен защищенными сообщениями выберите сеанс, в который вы хотите отправить новые сообщения.

4 На панели Сообщение введите текст сообщения.

5 Нажмите кнопку Отправить или клавишу F5.

Прием сообщений.

По умолчанию при поступлении новых сообщений в области уведомлений появляется значок , текст сообщения отображается во всплывающем окне над областью уведомлений. Чтобы прочитать новые сообщения, выполните одно из действий:

• Щелкните значок в области уведомлений.

• В окне Оперативный обмен защищенными сообщениями на панели инструментов нажмите кнопку Прочитать .

Вы можете изменить способ уведомления о новом сообщении. Для этого выполните следующие действия:

1 В окне программы ViPNet Монитор в меню Сервис выберите пункт Настройка приложения.

2 В окне Настройка в разделе Обмен сообщениями установите или снимите следующие флажки:

• Уведомлять о приходе сообщения полупрозрачным окном.

• Уведомлять о приходе сообщения миганием кнопки на панели задач.

• Уведомлять о приходе сообщения окном поверх всех окон.

• Показывать новые сообщения в отдельном окне.

Если флажок Показывать новые сообщения в отдельном окне установлен, при получении сообщений откроется окно Новые сообщения.

В окне Новые сообщения отображается список новых сообщений в порядке поступления. С помощью кнопок в правой части окна вы можете принять сообщение (тогда оно будет сохранено в протоколе сеанса), ответить на сообщение или удалить его.

Отправка файлов и писем из программы обмена защищенными сообщениями.

Во время сеанса обмена сообщениями вы можете отправлять участникам сеанса файлы и письма по защищенному каналу VPN. Для этого используйте кнопки Файл и Письмо , расположенные на панели инструментов.

Отправка файлов осуществляется с помощью приложения «Файловый обмен».

Отправка писем осуществляется с помощью приложения ViPNet «Деловая почта». Чтобы отправить письмо, выполните следующие действия:

1 В окне Оперативный обмен защищенными сообщениями на панели Сеансы выберите сеанс, участникам которого вы хотите отправить письмо.

2 На панели Получатели сообщений выберите участников и на панели инструментов нажмите кнопку Письмо .

В результате будет запущена программа ViPNet Деловая почта и появится окно создания нового письма, в котором в качестве получателей будут указаны выбранные участники сеанса. Подробнее о том, как создать и отправить письмо, см. п. 5.2.

Прекращение обмена сообщениями.

Чтобы закрыть сеанс обмена сообщениями:

1 В окне Оперативный обмен защищенными сообщениями на панели Сеансы выберите сеанс, который требуется закрыть.

2 Если вы хотите сохранить протокол сеанса в виде текстового файла, щелкните сеанс правой кнопкой мыши и в контекстном меню выберите пункт Сохранить как, затем укажите файл для сохранения протокола.

3 Выполните одно из действий:

• В меню Сеанс выберите пункт Закрыть.

• Нажмите клавишу F8.

• На панели инструментов нажмите кнопку Закрыть .

4 После закрытия сеанс будет удален с панели Сеансы.

Чтобы закрыть программу обмена защищенными сообщениями, выполните одно из действий:

• В меню Сеанс выберите пункт Выход.

• Нажмите кнопку Закрыть .

          5.2 Отправка писем программы ViPNet Деловая почта

В состав программного обеспечения ViPNet Client входит программа ViPNet Деловая почта, которая позволяет обмениваться электронными письмами в защищенной сети VPN. 

Как написать письмо.

Чтобы написать письмо, выполните следующие действия:

1 В окне программы ViPNet Деловая почта на панели инструментов нажмите кнопку Письмо .

2 В окне Исходящее введите тему и текст письма, при необходимости измените формат текста письма.

3 Если в письмо требуется вложить файлы, на панели инструментов нажмите кнопку Вложения и в окне Открыть выберите нужные файлы. Общий размер добавленных вложений не должен превышать 2 Гбайт.

4 Если необходимо зашифровать письмо, нажмите кнопку Шифровать .

5 Если необходимо подписать письмо электронной подписью, нажмите кнопку Подписать .

6 Нажмите кнопку Получатели и в окне Выбрать контакты выберите получателей.

7 Нажмите кнопку Отправить .

Как прочитать письмо.

При получении новых писем транспортный модуль MFTP выдает соответствующее сообщение. Непрочитанные письма выделяются в списке полужирным шрифтом. Папки программы ViPNet Деловая почта, в которых есть непрочитанные письма, также выделяются полужирным шрифтом, при этом в скобках после имени папки указано количество непрочитанных писем.

Чтобы прочитать письмо:

1 В окне программы ViPNet Деловая почта на левой панели выберите папку, в которой находится письмо.

2 Выберите письмо в списке. Если письмо не зашифровано, его текст отобразится в поле под списком писем.

Если письмо зашифровано, для его просмотра выполните одно из действий:

• Нажмите кнопку Расшифровать на панели инструментов.

• Откройте письмо в отдельном окне двойным щелчком.

Как ответить на письмо.

Чтобы ответить на письмо, выполните следующие действия:

1 Выберите письмо в списке или откройте в отдельном окне двойным щелчком.

2 В окне программы ViPNet Деловая почта или в окне просмотра письма на панели инструментов нажмите кнопку Ответить или Ответить всем .

Откроется окно создания письма.

3 Напишите и отправьте письмо, как описано в разделе Как написать письмо.

Как удалить письмо.

Чтобы удалить письмо, выполните следующие действия:

1 В окне программы ViPNet Деловая почта на левой панели выберите папку с письмом, которое нужно удалить.

2 В списке выберите письмо и нажмите кнопку Удалить на панели инструментов или нажмите клавишу Delete.

Письмо будут перемещено в папку Удаленные, в подпапку с именем, которое совпадает с именем исходной папки письма.

С помощью приложения «Файловый обмен» пользователи сети ViPNet могут пересылать друг другу файлы по защищенному каналу VPN. Ограничения на размер и тип передаваемых файлов отсутствуют. Кроме этого обеспечивается контроль их целостности. Если целостность файла при передаче была нарушена, то данный файл автоматически удаляется.

Приложение «Файловый обмен» вы можете вызвать из программы ViPNet Монитор, из контекстного меню Windows или из программы обмена защищенными сообщениями.

Интерфейс программы «Файловый обмен».

Для просмотра файлов, отправленных и принятых по файловому обмену, откройте окно «Файловый обмен». Для этого в программе ViPNet Монитор выберите пункт меню Приложения > Файловый обмен.

Окно «Файловый обмен» также появляется каждый раз при отправке или приеме файлов.

Внешний вид окна программы «Файловый обмен» представлен на следующем рисунке.

Цифрами на рисунке обозначены:

1 Главное меню программы.

2 Панель инструментов. С помощью кнопок на панели инструментов можно отправить новый файл, перейти к принятым файлам или удалить файл из списка.

Чтобы удалить или добавить кнопки на панель инструментов, в меню Вид выберите пункт Настроить панель.

3 Фильтр списка файлов. Предусмотрено три режима отображения списка:

• Все файлы.

• Принятые файлы.

• Отправленные файлы.

4 Группа Принятые файлы. В этой группе отображаются файлы, полученные от пользователей других сетевых узлов ViPNet.

5 Группа Отправленные файлы. В этой группе отображаются файлы, переданные пользователям других сетевых узлов ViPNet.

6 Ссылка для перехода в папку, в которой находится файл.

Отправка файлов из программы ViPNet Монитор.

Чтобы отправить файл с помощью программы ViPNet Монитор:

1 В окне программы ViPNet Монитор на панели навигации выберите раздел Защищенная сеть.

2 В разделе Защищенная сеть выберите сетевой узел, на который требуется отправить файл. Чтобы выбрать несколько сетевых узлов, зажмите клавишу Ctrl и по очереди щелкните нужные узлы. Чтобы отфильтровать список сетевых узлов, воспользуйтесь строкой поиска в нижней части раздела Защищенная сеть.

3 Выполните одно из действий:

• Нажмите кнопку Отправить на панели инструментов.

• Щелкните сетевой узел правой кнопкой мыши и в контекстном меню выберите пункт Отправить файл.

4 В появившемся окне укажите файлы или папки, которые требуется отправить, и нажмите кнопку Открыть.

Выбранные файлы будут отправлены адресату.

5 Откроется окно Файловый обмен, в котором отображается информация об отправленных файлах и их состоянии.

6 Когда отправленные файлы будут доставлены получателю, программа выдаст уведомление о доставке. Чтобы отключить уведомления, в окне сообщения установите флажок Не показывать это сообщение в дальнейшем.

Отправка файлов с помощью контекстного меню Windows.

Чтобы отправить файл пользователю ViPNet:

1 В Проводнике Windows выберите файл для отправки. Если нужно выбрать несколько файлов, удерживайте клавишу Ctrl и по очереди щелкните нужные файлы.

2 Щелкните один из выбранных файлов правой кнопкой мыши и в контекстном меню выберите пункт Отправить файл адресату ViPNet.

3 В окне Файловый обмен: Выбор сетевого узла выберите из списка одного или нескольких получателей. Чтобы отфильтровать список пользователей, воспользуйтесь строкой поиска в нижней части окна.

4 Выбрав получателей, нажмите кнопку Выбрать. Файлы будут отправлены выбранным получателям.

5 Откроется окно Файловый обмен, в котором отображается информация об отправленных файлах и их состоянии.

6 Когда отправленные файлы будут доставлены получателю, программа выдаст уведомление о доставке. Чтобы отключить уведомления, в окне сообщения установите флажок Не показывать это сообщение в дальнейшем.

Отправка файлов из программы обмена защищенными сообщениями.

Чтобы отправить файл во время обмена мгновенными сообщениями с пользователями ViPNet, выполните следующие действия:

1 В окне Оперативный обмен защищенными сообщениями на панели Сеансы выберите сеанс, участникам которого вы хотите отправить файл.

2 На панели Получатели сообщений выберите участников и на панели инструментов нажмите кнопку Файл .

3 В появившемся окне укажите файлы, которые требуется отправить, и нажмите кнопку Открыть.

Выбранные файлы будут отправлены участникам сеанса.

4 Откроется окно Файловый обмен, в котором отображается информация об отправленных файлах и их состоянии.

5 Когда отправленные файлы будут доставлены получателям, программа выдаст уведомление о доставке. Чтобы отключить уведомления, в окне сообщения установите флажок Не показывать это сообщение в дальнейшем.

Прием файлов.

При поступлении файлов от другого пользователя ViPNet:

1 Программа выдаст сообщение о принятом файле, в области уведомлений появится значок программы файлового обмена .

2 Чтобы просмотреть полученные файлы, щелкните значок файлового обмена в области уведомлений. Откроется окно Файловый обмен.

3 В окне Файловый обмен в группе Принятые файлы выберите нужный файл и выполните одно из действий:

• Щелкните имя файла в столбце Файл.

• Нажмите кнопку Принятые на панели инструментов.

В новом окне будет открыта папка, содержащая выбранный файл.

Чтобы просмотреть файлы, полученные от определенного пользователя сети ViPNet:

1 В окне программы ViPNet Монитор на панели навигации выберите раздел Защищенная сеть.

2 В разделе Защищенная сеть выберите сетевой узел, от пользователя которого были приняты файлы, и нажмите кнопку Принятые на панели инструментов.

В новом окне будет открыта папка, содержащая файлы, поступившие с выбранного сетевого узла.

          5.4 Вызов внешних приложений

Программа ViPNet Client поддерживает вызов внешних приложений удаленного доступа, таких как:

• VNC Viewer.

• Remote Desktop Connection.

• Radmin Viewer.

С помощью внешних программ пользователи ViPNet могут пользоваться различными сервисами, предоставляемыми через Интернет, например, доступом к удаленному рабочему столу. Преимущество работы с внешними программами в сети ViPNet состоит в том, что весь трафик этих программ надежно шифруется.

Для взаимодействия с другим пользователем ViPNet с помощью внешнего приложения:

1 В окне программы ViPNet Монитор на панели навигации выберите раздел Защищенная сеть.

2 В разделе Защищенная сеть щелкните нужный сетевой узел правой кнопкой мыши и в контекстном меню выберите пункт Внешние программы, затем щелкните команду вызова требуемой программы.

Внешняя программа будет автоматически запущена в защищенном режиме, а пользователю выбранного сетевого узла ViPNet будет предложено подтвердить запуск той же программы на его компьютере.

          5.5 Просмотр веб-ресурсов сетевого узла

Если на компьютере, где установлено ПО ViPNet Client, также установлен какой-либо веб-сервер или веб-приложение, то другие пользователи сети ViPNet могут осуществлять защищенное (шифрованное) соединение с этим веб-сервером.

При этом данный веб-сервер будет доступен только пользователям сети ViPNet, которым разрешено соединение с сетевым узлом, на котором установлен сервер. Это позволяет реализовать идею защищенного интернет-портала, в который могут быть интегрированы различные приложения — CRM, CMS, приложения на основе баз данных и многое другое.

Чтобы установить такое соединение:

1 В окне программы ViPNet Монитор на панели навигации выберите раздел Защищенная сеть.

2 В разделе Защищенная сеть выберите сетевой узел, на котором организован защищенный Интернет-портал, и выполните одно из действий:

• Нажмите кнопку Веб-ресурс на панели инструментов.

• Щелкните выбранный узел правой кнопкой мыши и в контекстном меню выберите пункт Web-ссылка.

          5.6 Обзор общих ресурсов сетевого узла

Функция «Обзор общих ресурсов сетевого узла» позволяет открыть сетевые ресурсы с общим доступом на сетевом узле ViPNet. Соединение устанавливается в защищенном режиме.

Чтобы открыть общий ресурс сетевого узла ViPNet:

1 В окне программы ViPNet Монитор на панели навигации выберите раздел Защищенная сеть.

2 В разделе Защищенная сеть выберите нужный сетевой узел и выполните одно из действий:

✔ Нажмите кнопку Обзор на панели инструментов.

✔Щелкните выбранный узел правой кнопкой мыши и в контекстном меню выберите пункт Открыть сетевой ресурс

В результате Проводник Windows в новом окне отобразит доступные сетевые ресурсы на выбранном сетевом узле. Пункт контекстного меню и кнопка на панели инструментов доступны, только если выбран один сетевой узел.

          5.7 Проверка соединения с сетевым узлом

С помощью программы ViPNet Монитор можно проверить текущий статус других сетевых узлов ViPNet из раздела Защищенная сеть — доступны они или нет, активны или нет и так далее.

Чтобы проверить соединение с одним или несколькими сетевыми узлами ViPNet и узнать статус их пользователей:

1 В окне программы ViPNet Монитор на панели навигации выберите раздел Защищенная сеть.

2 В разделе Защищенная сеть выберите сетевой узел, соединение с которым требуется проверить. Чтобы выбрать несколько сетевых узлов, зажмите клавишу Ctrl и по очереди щелкните нужные узлы.

3 Выполните одно из действий:

✔ Нажмите кнопку Проверить на панели инструментов.

✔ Нажмите клавишу F5.

✔ Щелкните один из выбранных сетевых узлов правой кнопкой мыши и в контекстном меню выберите пункт Проверить соединение.

Откроется окно Проверка соединения, содержащее информацию о выбранных сетевых узлах.

Внешний вид окна Проверка соединения представлен на следующем рисунке:

Цифрами на рисунке обозначены:

1 Главное меню программы проверки соединения.

2 Панель инструментов. Чтобы удалить или добавить кнопки на панель инструментов, в меню Вид выберите пункт Настроить панель.

3 Основная панель. Содержит список сетевых узлов, с которыми осуществляется проверка соединения.

Цвет и цветовое выделение (фон) имени сетевого узла обозначают его текущее состояние:

Цвет имени	Состояние сетевого узла
Фиолетовый	Сетевой узел доступен, но последние 15 минут не проявлял активности на компьютере.
Черный на зеленом фоне	Сетевой узел доступен и проявлял активность за последние 15 минут.
Черный	Сетевой узел в данный момент не подключен к сети.

• Чтобы посмотреть подробную информацию о сетевом узле в отдельном окне, выполните одно из действий:

• Дважды щелкните нужный сетевой узел.

• Выберите сетевой узел из списка и нажмите кнопку Свойства на панели инструментов.

• Выберите сетевой узел из списка и нажмите клавишу F3.

Откроется окно Свойства узла.

• Чтобы отправить на один из сетевых узлов в окне Проверка соединения письмо программы ViPNet Деловая почта, начать сеанс обмена защищенными сообщениями или выполнить другое действие, доступное в разделе Защищенная сеть, щелкните выбранный узел правой кнопкой мыши и в контекстном меню выберите соответствующий пункт.

4 Столбцы основной панели. Статус сетевых узлов указан в столбце Статус. Описание возможных статусов приведено в таблице ниже.

Статус	Описание
Доступен	Есть полноценная связь с сетевым узлом.
Связь по VPN есть, но программа Монитор не доступна	На сетевом узле не активна программа ViPNet Монитор, но сам узел доступен по защищенному каналу. В этом случае при взаимодействии с сетевым узлом недоступны встроенные средства коммуникации (такие как обмен защищенными сообщениями, файловый обмен и другие), но возможен просмотр общих ресурсов и веб-ресурсов сетевого узла, подключение через удаленный рабочий стол.
Недоступен	Связь с сетевым узлом отсутствует.

В столбце Активность на компьютере указано время последней активности.

Чтобы отсортировать список по одному из столбцов, щелкните заголовок столбца. С помощью контекстного меню можно удалить или добавить столбцы.

5 Строка поиска. Предназначена для фильтрации списка сетевых узлов на основной панели (3).

6 Панель свойств узла. Содержит подробную информацию о сетевом узле, выбранном на основной панели (3).

7 Строка состояния.

6. Настройка параметров безопасности ПО «ViPNet Client»

          6.1 Смена пароля пользователя.

Пароль пользователя рекомендуется менять раз в 3 месяца. В целом же частота смены пароля пользователя определяется регламентом безопасности организации.

Смена текущего пароля пользователя требуется в следующих случаях:

• По истечении срока действия текущего пароля (в случае, если этот срок действия ограничен).

• При поступлении на сетевой узел обновления ключей из программы ViPNet Удостоверяющий и ключевой центр, содержащего новый пароль пользователя. В этом случае появится окно с сообщением «Рекомендуется сменить пароль пользователя», однако пароль не будет изменен автоматически, поэтому процедуру смены пароля необходимо выполнить вручную.

• Если контейнер ключей защищен с использованием не пароля, а персонального ключа пользователя, пароль к контейнеру ключей будет совпадать с паролем пользователя. Поэтому при необходимости смены пароля к контейнеру ключей, следует сменить пароль пользователя.

Кроме того, рекомендуется менять пароль пользователя при первом входе в программу после установки справочников и ключей. Это повысит надежность пароля, поскольку он не будет известен администратору.

Для того чтобы сменить пароль пользователя:

1 В окне Настройка параметров безопасности откройте вкладку Пароль.

2 В группе Тип пароля выберите тот тип, которому должен соответствовать новый пароль:

• Собственный — пароль, определяемый пользователем;

• Случайный на основе парольной фразы — пароль, формируемый автоматически на основе парольной фразы по заданным параметрам;

• Случайный цифровой — пароль, формируемый автоматически из заданного числа цифр.

3 Нажмите кнопку Сменить пароль.

4 При необходимости ограничения срока действия нового пароля установите флажок Ограничить срок действия пароля, после чего укажите желаемое число дней.

5 Нажмите кнопку ОК.

Выбор собственного пароля.

Для того чтобы сменить текущий пароль пользователя на собственный:

1 На вкладке Пароль выберите Собственный.

2 Нажмите кнопку Сменить пароль.

3 В окне Смена пароля введите новый пароль (длиной не менее шести символов) поочередно в каждом из полей, учитывая регистр и раскладку клавиатуры.

4 Нажмите кнопку ОК.

Теперь при запуске программы ViPNet Монитор от имени того же пользователя следует вводить указанный пароль.

Выбор пароля на основе парольной фразы.

Для того чтобы сменить текущий пароль на случайный, составленный на основе парольной фразы:

1 На вкладке Пароль выберите Случайный на основе парольной фразы, после чего задайте параметры нового пароля:

• В списке Словарь выберите язык парольной фразы.

• В списке Слов в парольной фразе выберите число слов (3, 4, 6 или 8), из которых будет состоять парольная фраза. Чем больше число слов, тем длиннее и, соответственно, надежнее будет пароль.

• В списке Букв из каждого слова выберите число начальных букв каждого слова (3 или 4), которые войдут в пароль.

В строке Длина пароля отобразится количество букв в пароле, который будет сформирован с учетом указанных параметров.

2 Нажмите кнопку Сменить пароль.

3 Выполните действия, предлагаемые в окне Электронная рулетка.

4 Запомните пароль (или парольную фразу), отображенный в окне Смена пароля. При необходимости измените парольную фразу и пароль на другие, также соответствующие указанным параметрам, с помощью кнопки Другой пароль. Нажмите кнопку ОК.

Теперь при запуске программы ViPNet Монитор от имени того же пользователя следует, используя английскую раскладку клавиатуры, вводить указанное число букв каждого слова русской парольной фразы, без пробелов. Например, для парольной фразы «тенор победил горемыку» с параметрами пароля по умолчанию (3 буквы из каждого слова) при запуске программы следует, используя английскую раскладку клавиатуры, вводить буквы «тенпобгор».

Выбор цифрового пароля.

Для того чтобы сменить текущий пароль пользователя на цифровой:

1 На вкладке Пароль выберите Случайный цифровой, после чего в поле Число цифр укажите длину пароля.

2 Нажмите кнопку Сменить пароль.

3 Выполните действия, предлагаемые в окне Электронная рулетка.

4 Запомните цифровой пароль, предложенный в окне Смена пароля. Нажмите кнопку ОК.

Теперь при запуске программы ViPNet Монитор от имени того же пользователя следует вводить предложенный цифровой пароль.

Время на прочтение
12 мин

Количество просмотров 124K

Жизнь сетевого инженера была счастливой и беззаботной, пока в ней не появился сертифицированный криптошлюз. Согласитесь, разбираться с решениями, предназначенными для шифрования каналов передачи данных по ГОСТу, задача не из легких. Хорошо, если это известные и понятные продукты. Вспомним ту же «С-Терра» (об их «С-Терра Шлюз» мы уже писали). Но что делать с более экзотичными решениями на базе собственных протоколов шифрования, например, «Континент» (от «Кода Безопасности») или ViPNet Coordinator HW (от «Инфотекса»)? В этой статье я постараюсь облегчить погружение в мир ViPNet (про «Континент» тоже когда-нибудь поговорим) и рассказать, с какими проблемами столкнулся сам и как их решал.

Сразу оговорюсь, что мы поговорим о сертифицированной на сегодня ФСБ и ФСТЭК версии 4.2.1. В актуальных версиях 4.3.х появилось много интересного, например, DGD (Dead Gateway Detection) и измененный механизм кластеризации, обеспечивающий практически бесшовное переключение, но пока это будущее. Я не буду глубоко погружаться в недра конфигурационных команд и файлов, акцентировав внимание на ключевых командах и переменных, а подробное описание по этим «ключам» можно будет найти в документации.

Для начала разберемся, как это все работает. Итак, координатор ViPNet выполняет несколько функций. Во-первых, это криптошлюз (КШ), который позволяет реализовать как Site-to-site, так и RA VPN. Во-вторых, он является сервером-маршрутизатором конвертов, содержащих зашифрованные служебные данные (справочники и ключи) или данные клиентских приложений (файловый обмен, деловая почта). Кстати, именно в справочниках хранятся файлы, содержащие информацию об объектах сети ViPNet, в том числе об их именах, идентификаторах, адресах, связях. Координатор также является источником служебной информации для своих клиентов.

Помимо этого, он может туннелировать трафик от компьютеров сети, где не установлено ПО ViPNet. Кстати, специалисты, работающие с этим решением, часто называют открытые хосты не «туннелируемыми узлами», а просто «туннелями». Это может сбить с толку инженеров, которые привыкли к другим VPN-решениям, где под туннелем подразумевают PtP-соединение между КШ.

В качестве протокола шифрования в ViPNet используется IPlir, также разработанный «Инфотексом». Для инкапсуляции трафика применяются транспортные протоколы IP/241 (если трафик не покидает широковещательный домен), UDP/55777 и TCP/80 (при недоступности UDP).

В концепции построения защищенных соединений лежат так называемые «связи», которые бывают двух типов. Первые (на уровне узлов) нужны для построения защищенного соединения между узлами, вторые (на уровне пользователей) необходимы для работы клиентских приложений. Но есть исключение: узлы администратора сети ViPNet требуют обоих типов связи.

Что же может в этой схеме пойти не так? Как показывает практика, особенностей работы действительно много, и далеко не все проблемы можно решить интуитивно, без «помощи зала», а что-то нужно просто принять как данность.

Координатор недоступен

«У нас недоступен координатор/клиент/туннель. Что делать?» – самый частый вопрос, с которым приходят новички при настройке ViPNet. Единственно верное действие в такой ситуации – включать регистрацию всего трафика на координаторах и смотреть в журнал IP-пакетов, который является важнейшим инструментом траблшутинга всевозможных сетевых проблем. Этот способ спасает в 80% случаев. Работа с журналом IP-пакетов также помогает лучше усвоить механизмы работы узлов ViPNet-сети.

Конверт не доставлен

Но журнал IP-пакетов, увы, бесполезен, когда речь заходит о конвертах. Они доставляются с помощью транспортного модуля (mftp), у которого есть свой журнал и своя очередь. Конверты по умолчанию передаются на «свой» координатор клиента (то есть тот, на котором зарегистрирован узел), и далее по межсерверным каналам, которые настроены между координаторами (то есть не напрямую по защищенному каналу). Значит, если вы захотите отправить письмо по деловой почте, то клиент упакует его в конверт и отправит сначала на свой координатор. Далее на пути могут быть еще несколько координаторов, и только после этого конверт попадет на узел адресата.

Из этого следуют два вывода. Во-первых, между клиентами не обязательно должна проверяться связь (по нажатию на F5 и соответствующей иконки в меню) для доставки конвертов. Во-вторых, если связь межу ними все-таки проверяется, это не гарантирует доставку, так как проблема может быть в одном из межсерверных каналов.

Диагностировать прохождение конвертов межсерверным каналам или между клиентом и координатором в неочевидных случаях можно с помощью журнала и очереди конвертов, а также логов на координаторе. Также транспортный модуль ViPNet-клиента можно настроить на прямую доставку конвертов, доставку через общую папку или SMTP/POP3 (но это совсем экзотичный вариант). Погружаться в эти настройки мы не будем.

Последствия перепрошивки

Проблемной может оказаться перепрошивка на актуальную версию старых железок, которые долго лежали, например, в качестве ЗИП. В процессе может появиться ошибка «unsupported hardware», которая сообщает либо о том, что у вас действительно неподдерживаемая аппаратная платформа устаревшей линейки G1 (это HW100 E1/E2 и HW1000 Q1), либо о проблемах в настройке BIOS или в некорректной информации, зашитой в DMI. Править ли самостоятельно DMI, каждый решает для себя сам, поскольку есть риск превратить оборудование в бесполезный «кирпич». С BIOS чуть проще: неверные настройки системы заключаются в выключенной функции HT (Hyper Threading) или выключенном режиме ACHI (Advanced Host Controller Interface) для HDD. Чтобы не гадать, в чем конкретно проблема, можно обратиться к флешке, с которой производится прошивка. На ней создаются файлы с диагностической информацией, в частности, в файле verbose.txt перечислены все поддерживаемые платформы с результатом сверки с вашей. Например, ошибка cpu::Vendor(#3)==’GenuineIntel’ 24 times => [Failed], скорее всего, сообщает о выключенном HT. Кстати, перепрошивку часто путают с обновлением, но это разные процессы. При обновлении сохраняются все настройки, а параметры, о которых было написано выше, не проверяются. А при перепрошивке вы возвращаетесь к заводским параметрам.

Неинформативные конфиги

Основным конфигурационным файлом HW является «iplir.conf», однако он не всегда отражает текущие параметры. Дело в том, что в момент загрузки драйвера IPlir происходит интерпретация этого конфига в соответствии с заложенной логикой, и не вся информация может быть загружена в драйвер (например, при наличии конфликтов IP-адресов). Инженеры, работавшие с программным координатором для Linux, наверняка знают о существовании команды «iplirdiag», которая отображает текущие настройки узлов, прогруженные в драйвер. В HW эта команда также присутствует в режиме «admin escape».

Самые популярные выводы это:
iplirdiag -s ipsettings —node-info <идентификатор узла> ##отображение информации об узле
iplirdiag -s ipsettings —v-tun-table ##отображение всех загруженных в драйвер туннелей

Немного остановимся на режиме «admin escape». По сути это выход из ViPNet shell в bash. Тут я солидарен с вендором, который рекомендует использовать данный режим только для диагностики и вносить какие-либо модификации только под присмотром техподдержки вендора. Это вам не обычный Debian, здесь любое неосторожное движение может вывести из строя ОС, защитные механизмы которой воспримут вашу «самодеятельность» как потенциальную угрозу. В связке с заблокированным по умолчанию BIOS это обрекает вас на негарантийный (читай «дорогой») ремонт.

(Un)split tunneling

Еще один факт, который знают далеко не все: по умолчанию ViPNet-клиент работает в режиме split tunnel (когда можно указать, какой трафик заворачивать в туннель, а какой нет). У ViPNet существует технология «Открытого Интернета» (позже переименована в «Защищенный интернет-шлюз»). Многие ошибочно приписывают этот функционал координатору, а не клиенту. На клиенте, который зарегистрирован за координатором с такой функцией, создается два набора предустановленных фильтров. Первый разрешает взаимодействие только с самим координатором и его туннелями, второй – с остальными объектами, но запрещает доступ к координатору ОИ и его туннелям. Причем, согласно концепции вендора, в первом случае координатор должен либо туннелировать прокси-сервер, либо сам являться прокси-сервером. Служебный трафик, а также прием и передача конвертов (как служебных, так и приложений), работают в любой конфигурации.

Служебные порты и TCP-туннель

Однажды я столкнулся с приложением, которое ни в какую не хотело работать через координатор. Так я узнал, что у координатора есть служебные порты, по которым незашифрованный трафик блокируется без возможности какой-либо настройки. К ним относятся UDP/2046,2048,2050 (базовые службы ViPNet), TCP/2047,5100,10092 (для работы ViPNet Statewatcher) и TCP/5000-5003 (MFTP). Тут подвела функции TCP-туннеля. Не секрет, что провайдеры любят фильтровать высокие порты UDP, поэтому администраторы, стремясь улучшить доступность своих КШ, включают функцию TCP-туннеля. Ресурсы в зоне DMZ (по порту TCP-туннеля) при этом становятся недоступны. Это происходит из-за того, что порт TCP-туннеля также становится служебным, и никакие правила межсетевых экранов и NAT (Network Address Translation) на него уже не действуют. Затрудняет диагностику тот факт, что данный трафик не регистрируется в журнале IP-пакетов, как будто его вовсе нет.

Замена координатора

Рано или поздно встает вопрос о замене координатора на более производительный или временный вариант. Например, замена HW1000 на HW2000 или программного координатора – на ПАК и наоборот. Сложность заключается в том, что у каждого исполнения своя «роль» в ЦУС (Центре управления сетью). Как правильно изменить роль, не потеряв связность? Сначала в ЦУС меняем роль на новую, формируем справочники, но не отправляем(!) их. Затем в УКЦ выпускаем новый DST-файл и проводим инициализацию нового Координатора. После производим замену и, убедившись, что все взаимодействия работоспособны, отправляем справочники.

Кластеризация и сбой ноды

Горячий резерв – это must have для любой крупной площадки, поэтому на них всегда закупался кластер старших моделей (HW1000, HW2000, HW5000). Однако создание кластера из более компактных криптошлюзов (HW50 и HW100) было невозможно из-за лицензионной политики вендора. В итоге владельцам небольших площадок приходилось серьезно переплачивать и покупать HW1000 (ну, или никакой отказоустойчивости). В этом году вендор, наконец, сделал дополнительные лицензии и для младших моделей координаторов. Так что с выходом версий 4.2.x появилась возможность собирать в кластер и их.

При первичной настройке кластера можно серьезно сэкономить время, не настраивая интерфейсы в режиме мастера или командами CLI. Можно сразу вписывать необходимые адреса в конфигурационный файл кластера (failover config edit), только не забудьте указать маски. При запуске демона failover в кластерном режиме он сам назначит адреса на соответствующие интерфейсы. Многие при этом боятся останавливать демон, предполагая, что адреса сменяются на пассивные или адреса сингл-режима. Не волнуйтесь: на интерфейсах останутся те адреса, которые были на момент остановки демона.

В кластерном исполнении существует две распространенные проблемы: циклическая перезагрузка пассивной ноды и ее непереключение в активный режим. Для того чтобы понять суть этих явлений, разберемся в механизме работы кластера. Итак, активная нода считает пакеты на интерфейсе и в случае, если за отведенное время пакетов нет, отправляет пинг на testip. Если пинг проходит, то счетчик запускается заново, если не проходит, то регистрируется отказ интерфейса и активная нода уходит в перезагрузку. Пассивная нода при этом отправляет регулярные ARP-запросы на всех интерфейсах, описанных в failover.ini (конфигурационный файл кластера, где указаны адреса, которые принимает активная и пассивная ноды). Если ARP-запись хоть одного адреса пропадает, то пассивная нода переключается в активный режим.

Вернемся к кластерным проблемам. Начну с простого – неперключение в активный режим. В случае если активная нода отсутствует, но на пассивной в ARP-таблице (inet show mac-address-table) ее mac-адрес все еще присутствует, необходимо идти к администраторам коммутаторов (либо так настроен ARP-кэш, либо это какой-то сбой). С циклической перезагрузкой пассивной ноды немного сложнее. Происходит это из-за того, что пассивная не видит ARP-записи активной, переходит в активный режим и (внимание!) по HB-линку опрашивает соседа. Но сосед-то у нас в активном режиме и аптайм у него больше. В этот момент пассивная нода понимает, что что-то не так, раз возник конфликт состояний, и уходит в перезагрузку. Так продолжается до бесконечности. В случае возникновения данной проблемы необходимо проверить настройки IP-адресов в failover.ini и коммутацию. Если все настройки на координаторе верны, то пришло время подключить к вопросу сетевых инженеров.

Пересечения адресов

В нашей практике нередко встречается пересечение туннелируемых адресов за разными координаторами.

Именно для таких случаев в продуктах ViPNet существует виртуализация адресов. Виртуализация – это своеобразный NAT без контроля состояния соединения один к одному или диапазон в диапазон. По умолчанию на координаторах эта функция выключена, хотя потенциальные виртуальные адреса вы можете найти в iplir.conf в строке «tunnel» после «to» в секциях соседних координаторов. Для того, чтобы включить виртуализацию глобально для всего списка, необходимо в секции [visibility] изменить параметр «tunneldefault» на «virtual». Если же хотите включить для конкретного соседа, то необходимо в его секцию [id] добавить параметр «tunnelvisibility=virtual». Также стоит убедиться, что параметр tunnel_local_networks находится в значении «on». Для редактирования виртуальных адресов параметр tunnel_virt_assignment необходимо перевести в режим «manual». На противоположной стороне нужно выполнить аналогичные действия. За настройки туннелей также отвечают параметры «usetunnel» и «exclude_from_tunnels». Результат выполненной работы можно проверить с помощью утилиты «iplirdiag», о которой я говорил выше.

Конечно, виртуальные адреса приносят некоторые неудобства, поэтому администраторы инфраструктуры предпочитают минимизировать их использование. Например, при подключении организаций к информационным системам (ИС) некоторых госорганов этим организациям выдается DST-файл c фиксированным диапазоном туннелей из адресного плана ИС. Как мы видим, пожелания подключающегося при этом не учитываются. Как вписываться в этот пул, каждый решает для себя сам. Кто-то мигрирует рабочие станции на новую адресацию, а кто-то использует SNAT на пути от хостов к координатору. Не секрет, что некоторые администраторы применяют SNAT для обхода лицензионных ограничений младших платформ. Не беремся оценивать этичность такого «лайфхака», однако не стоит забывать, что производительность самих платформ все-таки имеет предел, и при перегрузке начнется деградация качества канала связи.

Невозможность работы GRE

Само собой, у каждого решения в IT есть свои ограничения по поддерживаемым сценариям использования, и ViPNet Coordinator не исключение. Достаточно назойливой проблемой является невозможность работы GRE (и протоколов, которые его используют) от нескольких источников к одному адресу назначения через SNAT. Возьмем, к примеру, систему банк-клиент, которая поднимает PPTP-туннель к публичному адресу банка. Проблема в том, что протокол GRE не использует порты, поэтому после прохождения трафика через NAT, socketpair такого трафика становится одинаковым (адрес назначения у нас одинаковый, протокол тоже, а трансляцию адреса источника мы только что произвели также в один адрес). Координатор реагирует на такое блокировкой трафика на фоне ошибки 104 – Connection already exists. Выглядит это так:

Поэтому, если вы используете множественные GRE-подключения, необходимо избегать применения NAT к этим подключениям. В крайнем случае выполнять трансляцию 1:1 (правда, при использовании публичных адресов это достаточно непрактичное решение).

Не забываем про время

Тему блокировок продолжаем событием номер 4 – IP packet timeout. Тут все банально: это событие возникает при расхождении абсолютного (без учета часовых поясов) времени между узлами сети ViPNet (координаторы и ViPNet-клиенты). На координаторах HW максимальная разница составляет 7200 секунд и задается в параметре «timediff» конфигурационного файла IPlir. Я не рассматриваю в этой статье координаторы HW-KB, но стоит отметить, что в версии KB2 timediff по умолчанию 7 секунд, а в KB4 – 50 секунд, и событие там может генерироваться не 4, а 112, что, возможно, собьет с толку инженера, привыкшего к «обычным» HW.

Нешифрованный трафик вместо зашифрованного

Новичкам бывает сложно понять природу 22 события – Non-encrypted IP Packet from network node – в журнале IP-пакетов. Оно означает, что координатор ждал с этого IP-адреса шифрованный трафик, а пришел нешифрованный. Чаще всего это происходит так:

1. пользователь забыл залогиниться в ViPNet-клиент, или случайно разлогинился, но при этом пытается попасть на защищаемые ресурсы. В этом случае драйвер IPlir неактивен, а трафик, который по маршрутизации дошел до координатора, не был зашифрован на АРМ пользователя. По заголовкам пакета координатор видит, что все легально: адрес источника принадлежит АРМ с ViPNet-клиентом, адрес назначения – защищенному или туннелируемому узлу. Значит, и трафик должен приходить зашифрованным, но это не так, поэтому его надо заблокировать. Частным случаем данного сценария является ситуация, когда в сети поменялись адреса, и на том адресе, на котором был защищенный ViPNet-клиент, АРМ оказался туннелируемый. Но координатор все еще считает, что на этом адресе есть ViPNet-клиент, и поэтому нешифрованный трафик блокируется;
2. с одной стороны взаимодействия отсутствуют связи. Например, вы связали два координатора, а справочники и ключи отправили только на один (или до второго они не дошли). В этом случае первый будет ждать зашифрованный трафик, но второй, так как не знает о существовании первого, будет присылать только незашифрованный;
3. туннели прописываются вручную локально на КШ. Чтобы смоделировать такой сценарий, нужно два связанных координатора. На одном прописываем собственные туннели и туннели соседа, на втором «забываем» это сделать. При такой настройке трафик, исходящий от туннелей второго координатора к туннелям первого, шифроваться не будет, и на первом координаторе возникнет 22 событие.

Обработка прикладных протоколов (ALG)

На многих межсетевых экранах, включая ViPNet Coordinator, могут возникать проблемы с прохождением SIP через NAT. С учетом того, что виртуальные адреса – это внутренний NAT, проблема может возникать, даже когда в явном виде NAT не используется, а используются только виртуальные адреса. Координатор обладает модулем обработки прикладных протоколов (ALG), который должен эти проблемы решать, но не всегда это работает так, как хотелось бы. Не буду останавливаться на механизме работы ALG (на эту тему можно написать отдельную статью), принцип одинаков на всех МСЭ, изменяются лишь заголовки прикладного уровня. Для корректной работы протокола SIP через координатор необходимо знать следующее:

• при использовании NAT должен быть включен ALG;
• при использовании виртуальной адресации ALG должен быть включен на обоих узлах, участвующих во взаимодействии (координатор-координатор, координатор-клиент), даже если виртуальная видимость установлена только с одной стороны;
• при использовании реальной видимости и отсутствии NAT необходимо выключить ALG для того, чтобы он не вмешивался в работу SIP;
• ALG-линейки 3.х и 4.х несовместимы (строго говоря, в линейке 3.х вообще не было возможности как-то им управлять). В таком сценарии гарантировать корректную работу SIP вендор не может.

Управляется модуль командами группы «alg module» из привилегированного режима (enable).

В заключение

Я постарался рассмотреть самые злободневные проблемы, обозначить их корни и рассказать о решениях. Конечно, это далеко не все особенности ViPNet, поэтому рекомендую не стесняться – обращаться в поддержку и спрашивать совета в коммьюнити (на форуме вендора, в телеграмм-канале, в комментариях под этим постом). А если вам не хочется погружаться во все сложности работы с ViPNet или это слишком трудозатратно, то всегда можно отдать управление вашей ViPNet-сетью в руки профессионалов.

Автор: Игорь Виноходов, инженер 2-ой линии администрирования «Ростелеком-Солар»