-
- Жалоба
- Поделиться
Добрый день!
На компьюетере win 7 (64 bit) установлен ViPNet Client 3.1(4.8344). Попытался установить поверх него
ViPNet Client 3.2_(9.11025)_R
После перезагрузки при запуске ViPNet Clien пишет следующую ошибку «IpLirControl:Служба Windows не найдена (Status=238)»
На др.машинах с такой конфигурацией ViPNet обновляется и все работает. Скажите,пожалуйста,что это за ошибка.
- Цитата
Ссылка на комментарий
Поделиться на других сайтах
- 2 недели спустя…
-
- Жалоба
- Поделиться
Добрый день
та же ошибка у нас, только на тонком клиенте HP T610
Windows Embedded Standard 7 Sp1 (32 bit)
VipNet 3.2.9.11025
Пробовала ставить VipNet 3.2.9.14544, результат тот же
- Цитата
Ссылка на комментарий
Поделиться на других сайтах
-
- Жалоба
- Поделиться
Windows Embedded не поддерживается. Это урезанная версия и поэтому запросто может на него не поставиться ПО.
- Цитата
Ссылка на комментарий
Поделиться на других сайтах
-
- Жалоба
- Поделиться
Спасибо за быстрый ответ.
Разобралась, не запускались автоматически службы VipNet, поставила Automatic (Delayed Start) все заработало, но очень медленно загружается начальное окно Windows
- Цитата
Ссылка на комментарий
Поделиться на других сайтах
- 2 месяца спустя…
- Автор
-
- Жалоба
- Поделиться
Хорошо. Я все понял. А что делать если такой службы, а именно, IpLirControl нет в списке служб Windows?
- Цитата
Ссылка на комментарий
Поделиться на других сайтах
-
- Жалоба
- Поделиться
Так это — драйвер. Не все драйверы выводятся в службах, но если настроить вручную в реестре метаинформацию к драйверу, то его можно и в службах показать. А нужно ли это?
- Цитата
Ссылка на комментарий
Поделиться на других сайтах
- Автор
-
- Жалоба
- Поделиться
Я проверял на других компьютерах, на других компьютерах такая служба есть IpLirControl. На данном компьютере помог откат системы, удаление ViPNet 3.1 и новая установка ViPNEt 3.2. И опять же,служба драйвера IpLir появилась.
Спасибо за помощь и активное участие в беседе.
- Цитата
Ссылка на комментарий
Поделиться на других сайтах
- Автор
-
- Жалоба
- Поделиться
Меня не волнует что службы не видно. Меня больше волнует что драйвер IpLir не стартует. Могут на ViPNet влиять драйвера сетевой карты?
- Цитата
Ссылка на комментарий
Поделиться на других сайтах
-
- Жалоба
- Поделиться
Меня не волнует что службы не видно. Меня больше волнует что драйвер IpLir не стартует. Могут на ViPNet влиять драйвера сетевой карты?
Вообще, в режиме ядра многое может влиять друг на друга. Тем не менее, все драйвера определённой группы (например, сетевой) находятся в цепочке и по очереди обрабатывают сообщения (порядок задаётся в реестре). А почему конкретно у Вас службы нет — это вопрос. То, что вы откатили систему — это могло повлиять на удаление записей в реестре.
- Цитата
Ссылка на комментарий
Поделиться на других сайтах
-
- Жалоба
- Поделиться
Здравствуйте, подскажите пожалуйста: у нас в поликлинике стояла версия 3.0 випнета, с росинтеграции решили обновить до версии 3.2, старую версию удалили а новая не ставится, пишет что по нашей лицензии можно только с версией 3.0 работать, можно ли как то обновить лицензию чтобы можно было установить версию 3.2?
- Цитата
Ссылка на комментарий
Поделиться на других сайтах
-
- Жалоба
- Поделиться
Я точно не помню как проверяет випнет версию при установке, но если указывает на ограничение лицензии, значит Вам нужно полностью вычистить папку VipNet Client. Там, видимо, остался файл infotecs.re, в котором написано до какой версии он может работать. Чтобы обновить, то либо положите новый файл RE от администратора сети, либо удалите этот файл в принципе. Вам предоставляли новый DST файл для первичной инициализации?
- Цитата
Ссылка на комментарий
Поделиться на других сайтах
- Автор
-
- Жалоба
- Поделиться
Нашел причину ошибки. На момент установки ПО ViPNet 3.2 на компьютере был установлен Dr.Web 8.0.
При удалении Dr.Weba и последующей инсталяции ПО ViPNet 3.2. драйвер стартует. Причем проблема только с Dr.Web 8.0.
C Dr.Web 6 таких проблем не было.
- Цитата
Ссылка на комментарий
Поделиться на других сайтах
-
- Жалоба
- Поделиться
контроль реестра? ключ наличия драйвера не дает прописать?
доступ к регистрации сервиса? setup не может зарегистрировать сервис? (когда командная строка в конце установки появляется).
Не помешало бы техподдержке это знать. Так как надо совершенствовать инсталлятор.
- Цитата
Ссылка на комментарий
Поделиться на других сайтах
- Автор
-
- Жалоба
- Поделиться
ViPNet пишет что установка завершена успешно, но драйвер не стартует,службы нет.Я сам удивлен, но факт остается фактом.
- Цитата
Ссылка на комментарий
Поделиться на других сайтах
-
- Жалоба
- Поделиться
Проблема инсталлера, если он, не смог определить результат выполнения…
- Цитата
Ссылка на комментарий
Поделиться на других сайтах
- 1 год спустя…
-
- Жалоба
- Поделиться
Здравствуйте. У нас установлен VipNet Client 3.1.
Я так понимаю сертификаты ФСТЭК на него уже истекли?
Как обновить его до 3.2? где взять дистрибутив?
- Цитата
Ссылка на комментарий
Поделиться на других сайтах
Сообщений: 608
Темы: 64
У нас с: Jun 2016
Рейтинг:
3
(06-07-2016, 22:48)Татьяна Писал(а):
(06-07-2016, 08:45)Ruslan Писал(а):
(05-07-2016, 15:59)Татьяна Писал(а): Установили версию 4. после перезагрузки выдает предупреждение об ошибке: IpLir Control: Служба Windows не найдена (status=238)/ Что делать, куда обращаться?
1) Можно попробовать запустить службу IpLirControl в ручную. Для этого зайдите Пуск-Панель управления-Администрирование-Службы. Вам нужно запустить службу «Сервис управления драйвером защиты VipNet» запустите эту службу после чего включите VipNet Монитор. (Так же проверьте установлен ли автоматический запуск для данной службы если нет то поставьте запускать 16 автоматически). Так же сам драйвер можно попробовать запустить из папки C:\Program Files\InfoTeCS\VipNet Client\monitsrv.exe. Так же если вы используете версию VipNet Client 3.1, установите версию 3.2 или новее (для этого обратитесь к вашему поставщику ПО VipNet Client.)
2) Если у вас перед установкой ПО VipNet Client был установлена антивирус Dr. Web, то возможно именно он заблокировал данную службу при установке ПО VipNet Client. Удалите VipNet Client, перезагрузитесь. Затем полностью удалите антивирус, снова перезагрузите компьютер. Установите сначала VipNet Client и лишь затем Dr. Web но без сетевого монитора. Проблемы могут касаться любого антивируса.При установки vipnet После перезагрузки при запуске ViPNet Clien пишет следующую ошибку «IpLirControl:Служба Windows не найдена (Status=238)»
Нашел причину ошибки. На момент установки ПО ViPNet 3.2 на компьютере был установлен Dr.Web 8.0.
При удалении Dr.Weba и последующей инсталяции ПО ViPNet 3.2. драйвер стартует. Причем проблема только с Dr.Web 8.0. тоже самое с оотпостом!!!!
C Dr.Web 6 таких проблем не было.Спасибо, попробую первое. Потому что Dr. Web не установлен. А версии 3.1 или 3.2 как мне сказали на Windows 8 не подходят.
шансов запустить третью версию нет. Попробуйте обновиться до win 8.1, если еще не сделали это.
Посмотрите лицензию на Windows — может быть возможен downgrade до win7
#1
d.a.panov
- Posters
- 132 Сообщений:
Member
Отправлено 16 Июнь 2016 — 12:54
Последовательность действий для воспроизведения проблемы:
Установлен Windows 7 x86 (VM на Hyper-V 2012R2), введен в домен, установлены все критические апдейты, установлен Office 2016 Pro Plus, установлен VipNet 3.2.11.19855 (сертификат ФСБ).
В VipNet сделана настройка автоввода пароля из реестра компьютера в окно VipNet при старте системы,
в VipNet добавлено правило, разрешающее входящие подключения для возможности подключения к машине по RDP. Включен удаленный доступ RDP в Win7.
В силу особенности VipNet данное правило начинает работать только при вводе пароля VipNet.
Конфигурация проверена, работает!
Установлен агент DrWeb ESS 10, компоненты Сканер, Guard, Gate, Офисный контроль, Превентивная защита.
До перезапуска системы все работает. Далее начинается «необъяснимое» , — при последующих перезагрузках VipNet начинает стартовать через раз,
через 5-6 перезагрузок вообще перестает стартовать.
При старте системы, когда не стартует VipNet появляется сообщение от VipNet Monitor, что служба IpLirControl не доступна.
Далее появляется стандартное приглашение Ctrl+Alt+Del.
Вводим логин и пароль доменного юзера.
Из оснастки службы вручную запускаем IpLirControl — запускается. Далее стартуем ярлыком VipNet Monitor и все работает как ни в чем не бывало.
Для решения проблемы:
В сканере сделаны исключения на папки:
C:\ProgramData\InfoTeCS\*
C:\Program Files\InfoTeCS\VipNet Client\*
В Guard сделаны исключения
— на папки:
C:\ProgramData\InfoTeCS\*
C:\Program Files\InfoTeCS\VipNet Client\*
— на процессы:
C:\Program Files\InfoTeCS\VipNet Client\ivpsrv.exe
C:\Program Files\InfoTeCS\VipNet Client\Monitor.exe
C:\Program Files\InfoTeCS\VipNet Client\monitsrv.exe
C:\Program Files\InfoTeCS\VipNet Client\vipnetln.exe
В превентивной защите разрешено все.
Не помогает.
VipNet 3.2.11.19855 не стартует служба IpLirControl (monitsrv.exe)
Прошу помощи.
Очень долгий старт, логи смотреть примерно с 14-45 по 15-15.
- Наверх
#2
d.a.panov
d.a.panov
- Posters
- 132 Сообщений:
Member
Отправлено 16 Июнь 2016 — 13:03
поправка, до VipNet Client 3.2.11.19855 установлен VipNet CSP 4.2
- Наверх
#3
Kirill Polubelov
Kirill Polubelov
- Dr.Web Staff
- 4 447 Сообщений:
Hr. Schreibikus
Отправлено 16 Июнь 2016 — 13:07
Процессы, если не ошибаюсь. прописываются без указания путей.
Ну и вероятней всего, все-таки, превентивная защита, этот vipnet занимается инжектами, всё-таки.
Сообщение было изменено Kirill Polubelov: 16 Июнь 2016 — 13:08
(exit 0)
- Наверх
#4
Kirill Polubelov
Kirill Polubelov
- Dr.Web Staff
- 4 447 Сообщений:
Hr. Schreibikus
Отправлено 16 Июнь 2016 — 13:11
А погодите-ка. Так «не стартует» или «очень долгий старт»?
(exit 0)
- Наверх
#5
d.a.panov
d.a.panov
- Posters
- 132 Сообщений:
Member
Отправлено 16 Июнь 2016 — 13:21
А погодите-ка. Так «не стартует» или «очень долгий старт»?
очень долгий старт — это относится к появлению приглашения windows ctrl+alt+del )
VipNet не стартует, на черном экране выдает ошибку — не найдена служба IpLirControl и окно по таймауту 20сек закрывается,
далее долго черный экран до старта винды.
- Наверх
#6
d.a.panov
d.a.panov
- Posters
- 132 Сообщений:
Member
Отправлено 16 Июнь 2016 — 13:23
Процессы, если не ошибаюсь. прописываются без указания путей.
Ну и вероятней всего, все-таки, превентивная защита, этот vipnet занимается инжектами, всё-таки.
в превентивной защите разрешено все.
я так понял она часть агента и её не получится не устанавливать как компонент? и отдельно удалить нельзя?
- Наверх
#7
Konstantin Yudin
Konstantin Yudin
- Dr.Web Staff
- 19 568 Сообщений:
Смотрящий
Отправлено 16 Июнь 2016 — 13:26
для анализа нужны трейсы procmon с бут режима. можно в личку а лучше в саппорт. тут не место для решения таких проблем.
Сообщение было изменено Konstantin Yudin: 16 Июнь 2016 — 13:27
With best regards, Konstantin Yudin
Doctor Web, Ltd.
- Наверх
#8
d.a.panov
d.a.panov
- Posters
- 132 Сообщений:
Member
Отправлено 16 Июнь 2016 — 13:33
Процессы, если не ошибаюсь. прописываются без указания путей.
Если задавать исключения напрямую в агенте, то при указании файла он прописывает полный путь, а так же есть 2 галочки не проверять гардом и не проверять гейтом и майлом. При выборе галочек появляются соответсвующие отметки в таблице интерфейса добавления исключений.
Если же задавать исключения для первичной группы , в которую входит комп в консоли ess, то на агент клиента «приезжают» полные пути, а вот в колонках таблички исключений в интерфейсе агента галочек уже нет. Так что непонятно исключил агент их или нет.
И еще косяк, если в настройках привентивной защиты в консоли еss выставить галочки как надо, но при этом запретить юзеру менять настройки превентивной защиты агента, то на агенте в табличке настроек привентивной защита отображается неактивная настройка, состав которой не соответсвует той, то выставлена на сервере ess для данного клиента. И опять не понятно, что приехало на клиента, то что надо или то что показывает агент.
для анализа нужны трейсы procmon с бут режима. можно в личку а лучше в саппорт. тут не место для решения таких проблем.
Подскажите, плиз, как сделать такие трейсы?
- Наверх
#9
d.a.panov
d.a.panov
- Posters
- 132 Сообщений:
Member
Отправлено 16 Июнь 2016 — 14:30
для анализа нужны трейсы procmon с бут режима. можно в личку а лучше в саппорт. тут не место для решения таких проблем.
бутлог сделал, см. лс.
в саппорт подал заявку на создание ЛК, жду пароля )
- Наверх
#10
Konstantin Yudin
Konstantin Yudin
- Dr.Web Staff
- 19 568 Сообщений:
Смотрящий
Отправлено 16 Июнь 2016 — 23:55
спасибо. будем разбирать
With best regards, Konstantin Yudin
Doctor Web, Ltd.
- Наверх
#11
basid
basid
- Posters
- 4 545 Сообщений:
Guru
Отправлено 18 Июнь 2016 — 10:28
Будете разбираться, не забывайте, что и актуальный билд ViPNet-клиента версии 3.2 — 3.2.12+ и четвёртая версия уже выпущена и сертифицирована.
- Наверх
#12
d.a.panov
d.a.panov
- Posters
- 132 Сообщений:
Member
Отправлено 15 Август 2016 — 14:58
пытался решить через саппорт, там предположили, что проблема в том, что машина виртуальная.
Проблему со стартом VipNet решил путем установки типа запуска службы IpLirControl на «отложенный».
Использовать другую сборку VipNet не могу, ибо сертификат ФСБ только на эту.
- Наверх
#13
basid
basid
- Posters
- 4 545 Сообщений:
Guru
Отправлено 15 Август 2016 — 16:51
Использовать другую сборку VipNet не могу, ибо сертификат ФСБ только на эту.
Не надо вводить в заблуждение.
Кроме того, ИнфоТеКС проводит «аукцион неслыханной щедрости», согласовав с ФСБ упрощённую процедуру регистрации (бесплатного) CSP 4.2 в качестве сертифицированного СКЗИ.
- Наверх
#14
d.a.panov
d.a.panov
- Posters
- 132 Сообщений:
Member
Отправлено 17 Август 2016 — 06:15
Блажен, кто верует, особенно если не знает, но уверенно вещает.
Одного сертификата ФСБ с сайта мало. Сертифицированный ФСБ VipNet Client поставляется с номерным дистрибутивом и формуляром, в котором указан номер дистрибутива, что и подтверждает, что именно эта сборка и является сертифицированным средством защиты персональных данных. Но вам такие мелочи знать видимо ни к чему.
VipNet Client мне поставлялся централизовано в рамках определенного федерального проекта. Соответственно есть тех.требования к версии клиента. Она должна быть 3.2. Саппорт VipNet’а в ответ на запрос мне сказал, что сертификат ФСБ имеет только сборка 3.2.11.19855, которая имеет ряд проблем совместимости и они это признают, но заменить на другую сборку из линейки 3.2 не могут, ибо другие сборки ФСБ не сертифицированы, соответственно мне поставлен номерной дистрибутив этой сборки, формуляр к нему с указанием внутри формуляра номера дистрибутива и сертификат ФСБ. Если вы лично хотите играть в игру «установи другую сборку, отличную от той, что пришла тебе по документам, и получи проблемы с совместимостью при работе с координатором, отказ в саппорте провайдера федеральной программы, проблемы с ФСБ, когда будут проверять то что ты сделал по линии исполнения закона о защите персональных данных», то это ваше ЛИЧНОЕ дело.
Не надо советовать людям, не зная всех нюансов и не разбираясь в предмете, то, за что можно получить по голове, вплоть до уголовной статьи.
- Наверх
#15
Kirill Polubelov
Kirill Polubelov
- Dr.Web Staff
- 4 447 Сообщений:
Hr. Schreibikus
Отправлено 17 Август 2016 — 09:58
(exit 0)
- Наверх
#16
d.a.panov
d.a.panov
- Posters
- 132 Сообщений:
Member
Отправлено 17 Август 2016 — 10:25
Патовая ситуация.
Да, практически. Пришлось много применять метод научного тыка, пока удалось запустить сабжевую сбору VipNet Client + Win 7 + All critical updates + DrWeb.
Далее немного оффтоп, да простит меня модератор )
В формуляре на сертифицированный ФСБ VipNet Client, сборка 3.2.11.19855 указано, что использование данного СКЗИ допускается только при условии установки ВСЕХ критических обновлений безопасности операционной системы. Финт ушами в виде использования Windows XP не прокатывает, ибо она снята с поддержки производителя. Использовать данную ОС не допустимо.
После установки некоторых обновлений Windows 7 возникает конфликт системы безопасности Win7 и драйвера TLS от VipNet 3.2. Выражается это в том, что при запуске появляется черный экран, и загрузка Win до Ctrl+Alt+Del не происходит. Если использовать ворэраунд саппорта и деактивировать в реестре драйвер TLS от VipNet, то сохраняется проблема с доступом к рабочей станции по RDP, он тупо не работает.
Многие решают данную проблему отключая обновления, но тогда согласно формуляру сертификация ФСБ нарушена и использовать СКЗИ нельзя.
После появления CSP 4.2 появился более адекватный воркэраунд. Клиент лечится с помощью установки CSP 4.2, который при установке заменяет драйвер TLS на свой, совместимый с Win 7, при этом изменений в алгоритмы VipNet клиент не вносится, номер сборки не меняется, т.е. на сертификацию ФСБ не влияет (ответ саппорта). При этом замечу, что это опять же воркэраунд, а не исправление, ибо 3.2 снять с разработки. Я так понял все сборки имееют данную проблему совместимости с 7-кой.
И как уже было написано проблема с DrWeb решилась отложенным запуском службы IpLirControl.
Пользуйтесь данными обходными решениями на свой страх и риск.
- Наверх
#17
Kirill Polubelov
Kirill Polubelov
- Dr.Web Staff
- 4 447 Сообщений:
Hr. Schreibikus
Отправлено 17 Август 2016 — 11:14
Спасибо, а дистра VipNet Client, сборка 3.2.11.19855 в свободном официальном доступе, конечно же, нет?
(exit 0)
- Наверх
#18
d.a.panov
d.a.panov
- Posters
- 132 Сообщений:
Member
Отправлено 17 Август 2016 — 15:05
Спасибо, а дистра VipNet Client, сборка 3.2.11.19855 в свободном официальном доступе, конечно же, нет?
насколько я знаю нет, но думаю что её без проблем может выдать саппорт випнета. Но без формуляра, а без этой бумажки это уже не сертифицированное СКЗИ )))
- Наверх
#19
basid
basid
- Posters
- 4 545 Сообщений:
Guru
Отправлено 18 Август 2016 — 15:58
Сертифицированный ФСБ VipNet Client поставляется с номерным дистрибутивом и формуляром …
Но вам такие мелочи знать видимо ни к чему.
Да, конечно, проводя аттестацию ИСПДН наших рабочих мест мы просто так погулять выходили.
VipNet Client мне поставлялся централизовано в рамках определенного федерального проекта.
Дальше можете не продолжать — обычный организационный геморрой.
Способен возникать на совершенно ровном месте. Сертификация просто усугубляет его.
Не надо советовать людям, не зная всех нюансов и не разбираясь в предмете
Скажите честно — ваше рабочее место прямо в гипервизоре было аттестовано?
P.S. ССТУ?
- Наверх
#20
d.a.panov
d.a.panov
- Posters
- 132 Сообщений:
Member
Отправлено 19 Август 2016 — 09:01
Сертифицированный ФСБ VipNet Client поставляется с номерным дистрибутивом и формуляром …
Но вам такие мелочи знать видимо ни к чему.Да, конечно, проводя аттестацию ИСПДН наших рабочих мест мы просто так погулять выходили.
VipNet Client мне поставлялся централизовано в рамках определенного федерального проекта.
Дальше можете не продолжать — обычный организационный геморрой.
Способен возникать на совершенно ровном месте. Сертификация просто усугубляет его.Не надо советовать людям, не зная всех нюансов и не разбираясь в предмете
Скажите честно — ваше рабочее место прямо в гипервизоре было аттестовано?
требований к типу железа (реальное или виртуальное) сертификатом ФСБ не предъявляется!
исполнитель программы ответил, что ему все равно.
P.S. ССТУ?нет, АИС Контингент для обр.учреждений, но с ССТУ тоже сталкивался, там випнет выдавали районной администрации без сертификата ФСБ и без формуляра.
- Наверх
Сервис управления транспортным модулем vipnet ожидание запуска
Из документации: Программы ViPNet Client и ViPNet Coordinator версии 4.x могут быть установлены на
компьютер под управлением ОС Windows 8 (32/64-разрядной) и Windows Server 2012 (64-разрядной).
Доброе утро, киньте дистрибутив или скажите откуда скачать?
МОУ Гимназия № 18 г. Рыбинск
pryanas Писал(а): Доброе утро, киньте дистрибутив или скажите откуда скачать?
МОУ Гимназия № 18 г. Рыбинск
4.2 должны быть совместима с нашей сетью.
С просторов Интернета:
Вопрос: Как установить VipNet Client 3.х в ОС Windows 8?
Ответ: Использование VipNetClient на ОС Windows 8 возможно (проверена работа с
версией Проф.) с версией клиента 3.2.11, но стабильная работа не гарантируется, т.к.
официально данная версия VipNetClienta не поддерживается производителем для
Перед началом установки VipNetClient необходима установка Microsoft Visual C++
2010 SP1 Redistributable Package (x86), Visual Studio 2008 X64 redistributable, Visual
Studio 2008 redistributable (х86), указанные программы можно скачать с сайта
же нужно установить все последние обновления на Windows 8. Установку VipNetClient
необходимо производить в режиме совместимости с Windows 7.
(05-07-2016, 15:59) Татьяна Писал(а): Установили версию 4. после перезагрузки выдает предупреждение об ошибке: IpLir Control: Служба Windows не найдена (status=238)/ Что делать, куда обращаться?
1) Можно попробовать запустить службу IpLirControl в ручную. Для этого зайдите Пуск-Панель управления-Администрирование-Службы. Вам нужно запустить службу «Сервис управления драйвером защиты VipNet» запустите эту службу после чего включите VipNet Монитор. (Так же проверьте установлен ли автоматический запуск для данной службы если нет то поставьте запускать 16 автоматически). Так же сам драйвер можно попробовать запустить из папки C:\Program Files\InfoTeCS\VipNet Client\monitsrv.exe. Так же если вы используете версию VipNet Client 3.1, установите версию 3.2 или новее (для этого обратитесь к вашему поставщику ПО VipNet Client.)
2) Если у вас перед установкой ПО VipNet Client был установлена антивирус Dr. Web, то возможно именно он заблокировал данную службу при установке ПО VipNet Client. Удалите VipNet Client, перезагрузитесь. Затем полностью удалите антивирус, снова перезагрузите компьютер. Установите сначала VipNet Client и лишь затем Dr. Web но без сетевого монитора. Проблемы могут касаться любого антивируса.
При установки vipnet После перезагрузки при запуске ViPNet Clien пишет следующую ошибку «IpLirControl:Служба Windows не найдена (Status=238)»
Нашел причину ошибки. На момент установки ПО ViPNet 3.2 на компьютере был установлен Dr.Web 8.0.
При удалении Dr.Weba и последующей инсталяции ПО ViPNet 3.2. драйвер стартует. Причем проблема только с Dr.Web 8.0. тоже самое с оотпостом.
C Dr.Web 6 таких проблем не было.
(05-07-2016, 15:59) Татьяна Писал(а): Установили версию 4. после перезагрузки выдает предупреждение об ошибке: IpLir Control: Служба Windows не найдена (status=238)/ Что делать, куда обращаться?
Источник
ViPNet не работает, не запускается, нет доступа, ошибка
В предыдущей статье мы рассказывали о том, как установить и настроить ViPNet Client на компьютер. Здесь поговорим о том, что делать, если после установки, настройки, и даже после длительной нормальной работы с ViPNet возникли проблемы. не запускается, отсутствует, другие ошибки.
ViPNet не работает
ViPNet не запускается
Иногда пользователи ViPNet Client сталкиваются с проблемой, при которой ViPNet не работает, не запускается, соответственно к сети нет доступа. При попытке запустить программу всплывает окно с предложением войти в режим администратора либо выйти из программы. Что делать в этом случае, как возобновить работу приложения!?
Возможно существуют и другие решения, более простые, например, при возникновении ошибки IpLirControl служба не найдена.
А далее, подробно рассмотрим каждый этап по восстановлению работоспособности ViPNet с помощью его переустановки.
Установка ViPNet
СКАЧАТЬ VIPNET CSP
СКАЧАТЬ VIPNET CLIENT 4.3
1. Перед тем, как продолжить, необходимо убедиться, что у вас под рукой имеется копия ПО ViPNet Client, а также ключ доступа (ViPNet), который представляет собой специальный файл с расширением .dst и пароль к дистрибутиву. Если все в наличии, начинаем…
2. Закройте ViPNet Client (Монитор) и удалите его с компьютера. Да, в данном случае поможет только переустановка. Для удаления лучше всего воспользоваться программой Uninstall Tool, которая начисто удаляет программы, для того, чтобы в будущем не возникало проблем с их установкой и дальнейшей работой. После удаления обязательно перезагрузите компьютер. Собственно система сама вас об этом попросит.
3. Следующим шагом, после перезагрузки Windows запускаем установочный файл ПО ViPNet Client и начинаем его установку.
4. Принимаем Лицензионное соглашение и нажимаем кнопку Далее.
5. Вводим информацию о пользователе, нажимаем Далее (как правило менять ничего не нужно, просто нажать Далее).
6. Выбираем папку для установки программы (также, ничего не меняем, если нет необходимости).
7. Тип установки оставляем Типичная.
8. Решаем Создавать ярлыки на Рабочем столе или нет.
9. Нажимаем Готово для начала процесса установки.
10. В некоторых случаях может появиться окно с предупреждением о включенном брандмауэре. Согласитесь с его отключением и нажмите Да.
11. Начинается установка ViPNet Client.
12. По завершении установки нажмите Ок (галочку можно снять).
13. После установки программы система автоматически предложит перезапустить систему. Перезагрузите Windows.
При нормальных условиях, после перезагрузки компьютера, ViPNet Монитор запустится автоматически. Однако для полноценной работы его необходимо активировать с помощью специального ключа. Дальше останется лишь настроить его для работы в конкретной сети. Рассмотрим подробнее…
Настройка ViPNet
14. Итак, компьютер загружен, появилось небольшое окошко ViPNet. Просто нажмите Ок. Если на рабочем столе есть ярлык ViPNet Монитора запустите его, после чего в правом нижнем углу в меню Настройка в выпадающем списке выберите Первичная инициализация.
15. На приветствие Мастера инициализации нажмите Далее.
16. Затем необходимо указать путь к ключевому файлу. Если он на USB-флешке, значит указывайте флешку. Просто нажмите Обзор и найдите файл на компьютере либо внешнем устройстве. Жмите Далее.
17. Следующий пункт можно пропустить, нажав Далее.
18. В следующем шаге введите пароль данного ключевого файла. Пароль в обязательном порядке у вас должен быть. Если по каким-либо причинам пароль отсутствует, помочь вам сможет только ваш Удостоверяющий центр либо поставщик дистрибутива ViPNet. Итак, ввели пароль — нажали Далее.
19. Место хранения адресных справочников — без изменений — Далее.
20. Каталог для сохранения набора резервных персональных ключей также оставляем без изменений — Далее.
21. В следующем окне Мастер сообщает нам, что готов к проведению инициализации, если все в порядке жмите Далее.
22. В завершении нажмите Готово, при этом оставив флажок Запустить приложение включенным.
23. Вышеуказанных действий достаточно для нормальной работы ViPNet Client. В дополнение расскажем о некоторых тонких настройках программы для более удобной работы пользователя.
24. В меню Режимы в разделе Режим обработки открытых IP-пакетов установите 4 режим (Пропускать все соединения), ниже в разделе При старте программы… в выпадающем списке и также выберите Пропускать все соединения. Нажмите Применить, чтобы изменения вступили в силу.
25. И напоследок, для наиболее комфортной работы изменим пароль, который был первоначально установлен по умолчанию. Не нужно опасаться последствий данных действий, главное — всегда храните ваш стандартный файл с паролем в надежном и доступном только для вас месте.
26. В меню Сервис выберите Настройка параметров безопасности. В открывшемся окне во вкладке Пароль установите Тип пароля — Собственный и нажмите Сменить пароль.
27. Придумайте любой пароль (7 цифр, например), нажмите Ок. Нажатием Применить внесите изменения в параметры безопасности ViPNet Client — Ок. При запуске компьютера необходимо вводить этот пароль ViPNet.
Также, для удобства работы на компьютере, чтобы в будущем не всплывали различные окна с предложением Разрешить или Запретить работу программ с сетью можно отключить Контроль приложений ViPNet.
Источник
Вопросы и ответы: ViPNet Client for Windows
Вопросы и ответы: ViPNet Client for Windows
При установке ViPNet Client 4-х совместно с ПО Secret Net Studio 8 возникают проблемы при работе ПК (периодически пропадает сеть, появляется «Синий экран» BSOD).
После запуска ViPNet Client появляется окно: «Истек срок действия ключа электронной подписи текущего сертификата подписи».
Данное сообщение не является ошибкой, это информационное сообщение. Работоспособность сети не нарушается, пропадает только возможность подписывать письма текущим сертификатом. Для получения нового ключа необходимо обращаться к администратору вашей защищенной сети ViPNet.
Если требуется перенести ViPNet Client с одного компьютера на другой с сохранением конфигурации.
Перенос возможен только в рамках одной разрядности операционной системы (с 32 бит на 32 бит, с 64 бит на 64 бит).
Завершите работу ViPNet Client на исходном компьютере, скопируйте полностью папку «ViPNet Client», поместите данную папку на другой компьютер по тому же пути, по которому он был установлен на исходном. Запустите инсталлятор ViPNet Client той же версии на новом компьютере, при установке укажите путь к данной папке ViPNet Client.
После успешной установки повторное разворачивание ключей не требуется.
При установке ViPNet Client 4-х на ноутбук HP с ОС Windows 10 выходит сообщение «Не удалось установить ViPNet Client».
Проверьте на ноутбуке наличие встроенной утилиты HP Velocity. Если данное ПО установлено, его необходимо удалить. Также рекомендуется установить последние драйвера для всех устройств.
Особенно это касается драйвера сетевой карты. Если установить ViPNet Client после всех действий не удалось, обратитесь в службу технического сопровождения компании «ИнфоТеКС».
В сертифицированной версии 4.5.1-57252 отсутствует «Приложения/Транспортный модуль».
В ПО ViPNet Client 4.5 переработан транспортный модуль ViPNet MFTP.
Программа ViPNet MFTP была заменена кроссплатформенной службой «Транспортный модуль ViPNet MFTP». Служба имеет оптимальные параметры по умолчанию и, как правило, не нуждается в настройке. Указать нестандартные параметры транспортного модуля вы можете с помощью конфигурационного файла.
В списке защищенных узлов ПО ViPNet Client все клиенты при проверке связи с ними отображают статус «Недоступен».
Одной из возможных причин является расхождение времени на ПК со временем в сети ViPNet. Проверьте дату, время, часовой пояс и скорректируйте данные, если это требуется. Проверьте доступность узлов.
В актуальные версии ПО ViPNet Client начиная с 4.5.2 добавлен функционал «Автоматическая синхронизация времени на вашем компьютере с временем в сети ViPNet».
Если время на вашем компьютере отличается от времени в сети ViPNet, работа в защищенной сети невозможна. Чтобы не отслеживать время самостоятельно, вы можете в настройках программы ViPNet установить автоматическую синхронизацию времени на вашем компьютере с временем в сети ViPNet.
На ПК не доставляются обновления ПО ViPNet Client, а также большие по размеру письма в почте.
Если перейти в главном меню ПО ViPNet Client: «Приложения/Транспортный модуль», можно наблюдать, что соединение с координатором устанавливается и начинается процесс загрузки конвертов, но впоследствии загрузка обрывается, процесс зацикливается.
Если при работе с некоторыми устройствами NAT не проходит передача длинных пакетов, перейдите в подраздел «Защищенная сеть> Дополнительные параметры» и уменьшите значение MSS (максимальный размер сегмента) на величину от 20 до 200 байт.
В ПО ViPNet Client 4-ой версии не удается войти в режим администратора посредством «Файл/Войти в режим администратора», появляется сообщение: «Неверный пароль. Пожалуйста, повторите ввод».
Необходимо выполнить вход в режим администратора, посредством «Сервис/Настройка параметров безопасности/Администратор/Войти в режим администратора. ». Если возникает предупреждение «Истек пароль администратора сетевого узла, обратитесь к администратору Вашей сети ViPNet», необходимо обратиться к администратору сети ViPNet, для того чтобы он актуализировал информацию и выслал справочники на узел. После применения справочников на узле доступ в режим администратора должен появиться.
Установка ПО ViPNet Client 4-ой версии оканчивается возвращением системы на исходное состояние и сообщением о необходимости обратиться к администратору сети ViPNet.
Если ранее на ПК была установлена и удалена версия ViPNet Client 3-ей версии, необходимо удалить ветки реестра, предварительно создав точку восстановления ОС:
Выполнить повторную установку ПО ViPNet Client 4-ой версии
При совместном использовании ПО ViPNet Client и Kaspersky Endpoint Security версии 11.0.0.6499 происходит аварийная перезагрузка ОС (BSOD).
Срок действия лицензии на программу заканчивается или закончился.
Программа ViPNet не позволяет войти в систему Windows.
Проблемы входа в систему Windows могут возникнуть при сбоях в работе программы ViPNet Client или в случае конфликтов компонентов программы с уже установленным ПО. Если другие способы восстановления входа неприменимы, удалите программу ViPNet Client в безопасном режиме Windows.
Для этого выполните следующие действия:
SIP-клиент Zoiper сбрасывает входящие звонки.
Если на компьютере с ПО ViPNet также установлена программа Zoiper, в настройках которой задано использование протокола TCP, то входящие звонки сбрасываются через 30 секунд после принятия вызова.
Для устранения этой проблемы в настройках программы Zoiper включите использование протокола UDP вместо протокола TCP.
Невозможно запустить службу MSSQLSERVER.
Возможно, причиной неполадки является сбой одного из компонентов программы ViPNet Client.
Для решения данной проблемы выполните следующие действия:
Невозможно работать в Windows с правами администратора.
Если вы используете Windows 7 или Server 2008 R2, после обновления программы ViPNet Client возможно нарушение работы в ОС с правами администратора.
При запуске какой-либо программы или команды от имени администратора появляется сообщение об ошибке, программа или команда не выполняется.
Для исправления проблемы скачайте с сайта Microsoft (https://www.microsoft.com/ru-ru/download/) обновление KB2533623 отдельно или в составе накопительного пакета обновлений, затем установите обновление на вашем компьютере.
Невозможно установить соединение по протоколу PPPoE.
Соединение по протоколу PPPoE может быть заблокировано программой ViPNet Монитор. Для решения данной проблемы выполните следующие действия:
Медленное соединение с ресурсами в интернете.
Если вы используете ПО Kaspersky и после установки программы ViPNet Client соединение с сайтами в интернете происходит очень медленно, выполните следующие настройки:
Невозможно сохранить пароль.
Сохранение пароля в реестре может противоречить регламенту безопасности вашей организации. Эта возможность определяется настройками программы ViPNet:
– в режиме работы администратора программы ViPNet Монитор (см. «Дополнительные настройки параметров безопасности»);
– в программе ViPNet Administrator.
Если вам необходимо сохранить пароль, обратитесь к администратору сетевого узла или администратору сети ViPNet.
Ошибка при повторном разворачивании DST.
Если пароль для входа в программу ViPNet Client сохранен в реестре, после установки нового дистрибутива ключей при запуске программы может появиться сообщение об ошибке.
В этом случае для первого входа в программу введите пароль. При последующих запусках программы ввод пароля не потребуется.
Не найдены ключи пользователя или неверный пароль.
В этом случае в окне ввода пароля щелкните значок справа от кнопки «Настройка», в меню выберите пункт «Папка ключей пользователя» и укажите путь к папке ключей пользователя.
Если операционная система еще не загружена, в окне ввода пароля ViPNet нажмите кнопку «Отмена». После загрузки операционной системы запустите ViPNet Монитор и укажите путь к папке ключей пользователя.
Невозможно произвести авторизацию пользователя ViPNet.
При появлении такой ошибки выполните следующие действия:
После восстановления программы запустите компьютер в обычном режиме.
Если приведенные действия не помогли войти в программу ViPNet, обратитесь в службу технического сопровождения компании «ИнфоТеКС».
Программа ViPNet Client не запускается после загрузки Windows.
Если на вашем компьютере работает несколько пользователей и компьютер находится не в домене, после входа в Windows программа ViPNet Client может не запускаться автоматически.
Для исправления проблемы выполните следующие настройки:
Невозможно установить или обновить программу ViPNet Client.
Если у вас установлен антивирус Касперского, установка или обновление ViPNet Client может быть заблокировано самозащитой антивируса. Для установки программы:
Источник
ViPNet в деталях: разбираемся с особенностями криптошлюза
Для начала разберемся, как это все работает. Итак, координатор ViPNet выполняет несколько функций. Во-первых, это криптошлюз (КШ), который позволяет реализовать как Site-to-site, так и RA VPN. Во-вторых, он является сервером-маршрутизатором конвертов, содержащих зашифрованные служебные данные (справочники и ключи) или данные клиентских приложений (файловый обмен, деловая почта). Кстати, именно в справочниках хранятся файлы, содержащие информацию об объектах сети ViPNet, в том числе об их именах, идентификаторах, адресах, связях. Координатор также является источником служебной информации для своих клиентов.
Помимо этого, он может туннелировать трафик от компьютеров сети, где не установлено ПО ViPNet. Кстати, специалисты, работающие с этим решением, часто называют открытые хосты не «туннелируемыми узлами», а просто «туннелями». Это может сбить с толку инженеров, которые привыкли к другим VPN-решениям, где под туннелем подразумевают PtP-соединение между КШ.
В качестве протокола шифрования в ViPNet используется IPlir, также разработанный «Инфотексом». Для инкапсуляции трафика применяются транспортные протоколы IP/241 (если трафик не покидает широковещательный домен), UDP/55777 и TCP/80 (при недоступности UDP).
В концепции построения защищенных соединений лежат так называемые «связи», которые бывают двух типов. Первые (на уровне узлов) нужны для построения защищенного соединения между узлами, вторые (на уровне пользователей) необходимы для работы клиентских приложений. Но есть исключение: узлы администратора сети ViPNet требуют обоих типов связи.
Что же может в этой схеме пойти не так? Как показывает практика, особенностей работы действительно много, и далеко не все проблемы можно решить интуитивно, без «помощи зала», а что-то нужно просто принять как данность.
Координатор недоступен
«У нас недоступен координатор/клиент/туннель. Что делать?» – самый частый вопрос, с которым приходят новички при настройке ViPNet. Единственно верное действие в такой ситуации – включать регистрацию всего трафика на координаторах и смотреть в журнал IP-пакетов, который является важнейшим инструментом траблшутинга всевозможных сетевых проблем. Этот способ спасает в 80% случаев. Работа с журналом IP-пакетов также помогает лучше усвоить механизмы работы узлов ViPNet-сети.
Конверт не доставлен
Но журнал IP-пакетов, увы, бесполезен, когда речь заходит о конвертах. Они доставляются с помощью транспортного модуля (mftp), у которого есть свой журнал и своя очередь. Конверты по умолчанию передаются на «свой» координатор клиента (то есть тот, на котором зарегистрирован узел), и далее по межсерверным каналам, которые настроены между координаторами (то есть не напрямую по защищенному каналу). Значит, если вы захотите отправить письмо по деловой почте, то клиент упакует его в конверт и отправит сначала на свой координатор. Далее на пути могут быть еще несколько координаторов, и только после этого конверт попадет на узел адресата.
Из этого следуют два вывода. Во-первых, между клиентами не обязательно должна проверяться связь (по нажатию на F5 и соответствующей иконки в меню) для доставки конвертов. Во-вторых, если связь межу ними все-таки проверяется, это не гарантирует доставку, так как проблема может быть в одном из межсерверных каналов.
Диагностировать прохождение конвертов межсерверным каналам или между клиентом и координатором в неочевидных случаях можно с помощью журнала и очереди конвертов, а также логов на координаторе. Также транспортный модуль ViPNet-клиента можно настроить на прямую доставку конвертов, доставку через общую папку или SMTP/POP3 (но это совсем экзотичный вариант). Погружаться в эти настройки мы не будем.
Последствия перепрошивки
Проблемной может оказаться перепрошивка на актуальную версию старых железок, которые долго лежали, например, в качестве ЗИП. В процессе может появиться ошибка «unsupported hardware», которая сообщает либо о том, что у вас действительно неподдерживаемая аппаратная платформа устаревшей линейки G1 (это HW100 E1/E2 и HW1000 Q1), либо о проблемах в настройке BIOS или в некорректной информации, зашитой в DMI. Править ли самостоятельно DMI, каждый решает для себя сам, поскольку есть риск превратить оборудование в бесполезный «кирпич». С BIOS чуть проще: неверные настройки системы заключаются в выключенной функции HT (Hyper Threading) или выключенном режиме ACHI (Advanced Host Controller Interface) для HDD. Чтобы не гадать, в чем конкретно проблема, можно обратиться к флешке, с которой производится прошивка. На ней создаются файлы с диагностической информацией, в частности, в файле verbose.txt перечислены все поддерживаемые платформы с результатом сверки с вашей. Например, ошибка cpu::Vendor(#3)==’GenuineIntel’ 24 times => [Failed], скорее всего, сообщает о выключенном HT. Кстати, перепрошивку часто путают с обновлением, но это разные процессы. При обновлении сохраняются все настройки, а параметры, о которых было написано выше, не проверяются. А при перепрошивке вы возвращаетесь к заводским параметрам.
Неинформативные конфиги
Основным конфигурационным файлом HW является «iplir.conf», однако он не всегда отражает текущие параметры. Дело в том, что в момент загрузки драйвера IPlir происходит интерпретация этого конфига в соответствии с заложенной логикой, и не вся информация может быть загружена в драйвер (например, при наличии конфликтов IP-адресов). Инженеры, работавшие с программным координатором для Linux, наверняка знают о существовании команды «iplirdiag», которая отображает текущие настройки узлов, прогруженные в драйвер. В HW эта команда также присутствует в режиме «admin escape».
Немного остановимся на режиме «admin escape». По сути это выход из ViPNet shell в bash. Тут я солидарен с вендором, который рекомендует использовать данный режим только для диагностики и вносить какие-либо модификации только под присмотром техподдержки вендора. Это вам не обычный Debian, здесь любое неосторожное движение может вывести из строя ОС, защитные механизмы которой воспримут вашу «самодеятельность» как потенциальную угрозу. В связке с заблокированным по умолчанию BIOS это обрекает вас на негарантийный (читай «дорогой») ремонт.
(Un)split tunneling
Еще один факт, который знают далеко не все: по умолчанию ViPNet-клиент работает в режиме split tunnel (когда можно указать, какой трафик заворачивать в туннель, а какой нет). У ViPNet существует технология «Открытого Интернета» (позже переименована в «Защищенный интернет-шлюз»). Многие ошибочно приписывают этот функционал координатору, а не клиенту. На клиенте, который зарегистрирован за координатором с такой функцией, создается два набора предустановленных фильтров. Первый разрешает взаимодействие только с самим координатором и его туннелями, второй – с остальными объектами, но запрещает доступ к координатору ОИ и его туннелям. Причем, согласно концепции вендора, в первом случае координатор должен либо туннелировать прокси-сервер, либо сам являться прокси-сервером. Служебный трафик, а также прием и передача конвертов (как служебных, так и приложений), работают в любой конфигурации.
Служебные порты и TCP-туннель
Однажды я столкнулся с приложением, которое ни в какую не хотело работать через координатор. Так я узнал, что у координатора есть служебные порты, по которым незашифрованный трафик блокируется без возможности какой-либо настройки. К ним относятся UDP/2046,2048,2050 (базовые службы ViPNet), TCP/2047,5100,10092 (для работы ViPNet Statewatcher) и TCP/5000-5003 (MFTP). Тут подвела функции TCP-туннеля. Не секрет, что провайдеры любят фильтровать высокие порты UDP, поэтому администраторы, стремясь улучшить доступность своих КШ, включают функцию TCP-туннеля. Ресурсы в зоне DMZ (по порту TCP-туннеля) при этом становятся недоступны. Это происходит из-за того, что порт TCP-туннеля также становится служебным, и никакие правила межсетевых экранов и NAT (Network Address Translation) на него уже не действуют. Затрудняет диагностику тот факт, что данный трафик не регистрируется в журнале IP-пакетов, как будто его вовсе нет.
Замена координатора
Рано или поздно встает вопрос о замене координатора на более производительный или временный вариант. Например, замена HW1000 на HW2000 или программного координатора – на ПАК и наоборот. Сложность заключается в том, что у каждого исполнения своя «роль» в ЦУС (Центре управления сетью). Как правильно изменить роль, не потеряв связность? Сначала в ЦУС меняем роль на новую, формируем справочники, но не отправляем(!) их. Затем в УКЦ выпускаем новый DST-файл и проводим инициализацию нового Координатора. После производим замену и, убедившись, что все взаимодействия работоспособны, отправляем справочники.
Кластеризация и сбой ноды
Горячий резерв – это must have для любой крупной площадки, поэтому на них всегда закупался кластер старших моделей (HW1000, HW2000, HW5000). Однако создание кластера из более компактных криптошлюзов (HW50 и HW100) было невозможно из-за лицензионной политики вендора. В итоге владельцам небольших площадок приходилось серьезно переплачивать и покупать HW1000 (ну, или никакой отказоустойчивости). В этом году вендор, наконец, сделал дополнительные лицензии и для младших моделей координаторов. Так что с выходом версий 4.2.x появилась возможность собирать в кластер и их.
При первичной настройке кластера можно серьезно сэкономить время, не настраивая интерфейсы в режиме мастера или командами CLI. Можно сразу вписывать необходимые адреса в конфигурационный файл кластера (failover config edit), только не забудьте указать маски. При запуске демона failover в кластерном режиме он сам назначит адреса на соответствующие интерфейсы. Многие при этом боятся останавливать демон, предполагая, что адреса сменяются на пассивные или адреса сингл-режима. Не волнуйтесь: на интерфейсах останутся те адреса, которые были на момент остановки демона.
В кластерном исполнении существует две распространенные проблемы: циклическая перезагрузка пассивной ноды и ее непереключение в активный режим. Для того чтобы понять суть этих явлений, разберемся в механизме работы кластера. Итак, активная нода считает пакеты на интерфейсе и в случае, если за отведенное время пакетов нет, отправляет пинг на testip. Если пинг проходит, то счетчик запускается заново, если не проходит, то регистрируется отказ интерфейса и активная нода уходит в перезагрузку. Пассивная нода при этом отправляет регулярные ARP-запросы на всех интерфейсах, описанных в failover.ini (конфигурационный файл кластера, где указаны адреса, которые принимает активная и пассивная ноды). Если ARP-запись хоть одного адреса пропадает, то пассивная нода переключается в активный режим.
Вернемся к кластерным проблемам. Начну с простого – неперключение в активный режим. В случае если активная нода отсутствует, но на пассивной в ARP-таблице (inet show mac-address-table) ее mac-адрес все еще присутствует, необходимо идти к администраторам коммутаторов (либо так настроен ARP-кэш, либо это какой-то сбой). С циклической перезагрузкой пассивной ноды немного сложнее. Происходит это из-за того, что пассивная не видит ARP-записи активной, переходит в активный режим и (внимание!) по HB-линку опрашивает соседа. Но сосед-то у нас в активном режиме и аптайм у него больше. В этот момент пассивная нода понимает, что что-то не так, раз возник конфликт состояний, и уходит в перезагрузку. Так продолжается до бесконечности. В случае возникновения данной проблемы необходимо проверить настройки IP-адресов в failover.ini и коммутацию. Если все настройки на координаторе верны, то пришло время подключить к вопросу сетевых инженеров.
Пересечения адресов
В нашей практике нередко встречается пересечение туннелируемых адресов за разными координаторами.
Именно для таких случаев в продуктах ViPNet существует виртуализация адресов. Виртуализация – это своеобразный NAT без контроля состояния соединения один к одному или диапазон в диапазон. По умолчанию на координаторах эта функция выключена, хотя потенциальные виртуальные адреса вы можете найти в iplir.conf в строке «tunnel» после «to» в секциях соседних координаторов. Для того, чтобы включить виртуализацию глобально для всего списка, необходимо в секции [visibility] изменить параметр «tunneldefault» на «virtual». Если же хотите включить для конкретного соседа, то необходимо в его секцию [id] добавить параметр «tunnelvisibility=virtual». Также стоит убедиться, что параметр tunnel_local_networks находится в значении «on». Для редактирования виртуальных адресов параметр tunnel_virt_assignment необходимо перевести в режим «manual». На противоположной стороне нужно выполнить аналогичные действия. За настройки туннелей также отвечают параметры «usetunnel» и «exclude_from_tunnels». Результат выполненной работы можно проверить с помощью утилиты «iplirdiag», о которой я говорил выше.
Конечно, виртуальные адреса приносят некоторые неудобства, поэтому администраторы инфраструктуры предпочитают минимизировать их использование. Например, при подключении организаций к информационным системам (ИС) некоторых госорганов этим организациям выдается DST-файл c фиксированным диапазоном туннелей из адресного плана ИС. Как мы видим, пожелания подключающегося при этом не учитываются. Как вписываться в этот пул, каждый решает для себя сам. Кто-то мигрирует рабочие станции на новую адресацию, а кто-то использует SNAT на пути от хостов к координатору. Не секрет, что некоторые администраторы применяют SNAT для обхода лицензионных ограничений младших платформ. Не беремся оценивать этичность такого «лайфхака», однако не стоит забывать, что производительность самих платформ все-таки имеет предел, и при перегрузке начнется деградация качества канала связи.
Невозможность работы GRE
Само собой, у каждого решения в IT есть свои ограничения по поддерживаемым сценариям использования, и ViPNet Coordinator не исключение. Достаточно назойливой проблемой является невозможность работы GRE (и протоколов, которые его используют) от нескольких источников к одному адресу назначения через SNAT. Возьмем, к примеру, систему банк-клиент, которая поднимает PPTP-туннель к публичному адресу банка. Проблема в том, что протокол GRE не использует порты, поэтому после прохождения трафика через NAT, socketpair такого трафика становится одинаковым (адрес назначения у нас одинаковый, протокол тоже, а трансляцию адреса источника мы только что произвели также в один адрес). Координатор реагирует на такое блокировкой трафика на фоне ошибки 104 – Connection already exists. Выглядит это так:
Поэтому, если вы используете множественные GRE-подключения, необходимо избегать применения NAT к этим подключениям. В крайнем случае выполнять трансляцию 1:1 (правда, при использовании публичных адресов это достаточно непрактичное решение).
Не забываем про время
Тему блокировок продолжаем событием номер 4 – IP packet timeout. Тут все банально: это событие возникает при расхождении абсолютного (без учета часовых поясов) времени между узлами сети ViPNet (координаторы и ViPNet-клиенты). На координаторах HW максимальная разница составляет 7200 секунд и задается в параметре «timediff» конфигурационного файла IPlir. Я не рассматриваю в этой статье координаторы HW-KB, но стоит отметить, что в версии KB2 timediff по умолчанию 7 секунд, а в KB4 – 50 секунд, и событие там может генерироваться не 4, а 112, что, возможно, собьет с толку инженера, привыкшего к «обычным» HW.
Нешифрованный трафик вместо зашифрованного
Новичкам бывает сложно понять природу 22 события – Non-encrypted IP Packet from network node – в журнале IP-пакетов. Оно означает, что координатор ждал с этого IP-адреса шифрованный трафик, а пришел нешифрованный. Чаще всего это происходит так:
Обработка прикладных протоколов (ALG)
На многих межсетевых экранах, включая ViPNet Coordinator, могут возникать проблемы с прохождением SIP через NAT. С учетом того, что виртуальные адреса – это внутренний NAT, проблема может возникать, даже когда в явном виде NAT не используется, а используются только виртуальные адреса. Координатор обладает модулем обработки прикладных протоколов (ALG), который должен эти проблемы решать, но не всегда это работает так, как хотелось бы. Не буду останавливаться на механизме работы ALG (на эту тему можно написать отдельную статью), принцип одинаков на всех МСЭ, изменяются лишь заголовки прикладного уровня. Для корректной работы протокола SIP через координатор необходимо знать следующее:
В заключение
Я постарался рассмотреть самые злободневные проблемы, обозначить их корни и рассказать о решениях. Конечно, это далеко не все особенности ViPNet, поэтому рекомендую не стесняться – обращаться в поддержку и спрашивать совета в коммьюнити (на форуме вендора, в телеграмм-канале, в комментариях под этим постом). А если вам не хочется погружаться во все сложности работы с ViPNet или это слишком трудозатратно, то всегда можно отдать управление вашей ViPNet-сетью в руки профессионалов.
Автор: Игорь Виноходов, инженер 2-ой линии администрирования «Ростелеком-Солар»
Источник
В меню «подпись» и «шифрование» нет возможности выбрать нужный сертификат. что нужно сделать, чтобы появилась возможность выбрать соответствующие сертификаты в указанных пунктах меню
Причина: в основе ViPNet PKI Client лежит криптопровайдер ViPNet CSP. Для корректной работы контейнеры должны быть сформированы средствами CSP. С контейнерами, созданными криптопровайдером КриптоПРО, ViPNetCSP работать не сможет, так как форматы контейнеров не совместимы.
Устанавливать сертификаты и САС следует не с помощью оснастки ОС, а из интерфейса ViPNet PKI Client. Сертификат в контейнер, созданный средствами стороннего криптопровайдера, при этом установить невозможно. Контейнер должен быть создан криптопровайдером ViPNet CSP.
Источник
Не работает vipnet, что делать?
Коллеги, к нам на Линию консультации стали часто поступать вопросы, связанные с неожиданным прекращением работы ViPNet.Объясняем, с чем это связано и как исправить возникшую ситуацию, а также как в нее не попасть снова.
Где проблема?
Внезапное прекращение работы ViPNet связано с обновлением операционной системы Windows.
Как устранить проблему?
Для того, чтобы вернуть ViPNet в рабочее состояние следует совершить следующие действия:
1. Зайти в Панель управления – Программы
2. Найти в списке программу ViPNet и нажать кнопку «Восстановить»
3. Запустится процесс восстановления, и система предложит перезагрузить компьютер
5. После перезагрузки требуется запустить ViPNet, выбрать действующий сертификат, на нижней панели нажать кнопку «Свойства»
6. В Свойствах контейнера ключей нажать кнопку «Открыть»
7. Нажать кнопку «Установить сертификат»
8. Соглашаться со всеми действиями, предлагаемыми мастером импорта сертификатов
9. Завершение установки сопровождается всплывающим окном с текстом «Импорт успешно выполнен»
10. Нажимаем «ОК», закрываем ViPNet. Пробуем отправить отчет.
11. Если перечисленные действия не привели к желаемому результату, и при отправке отчета возникает ошибка, звоните на Линию Консультаций Софт-Юнион по телефону 520-911. Наши специалисты с удовольствием помогут Вам ее устранить.
Что сделать, что бы проблема больше не возникала?
Если такие сбои в работе ViPNet у вас происходят достаточно часто, то мы рекомендуем приобрести платную программу шифрования КриптоПро, в работе с которой подобных сбоев не происходит, и обновление Windows никак не влияет на ее работоспособность.
Источник
Vipnet не запускается
Иногда пользователи ViPNet Client сталкиваются с проблемой, при которой ViPNet не работает, не запускается, соответственно к сети нет доступа. При попытке запустить программу всплывает окно с предложением войти в режим администратора либо выйти из программы. Что делать в этом случае, как возобновить работу приложения!?
Возможно существуют и другие решения, более простые, например, при возникновении ошибки IpLirControl служба не найдена.
А далее, подробно рассмотрим каждый этап по восстановлению работоспособности ViPNet с помощью его переустановки.
В по vipnet client 4-ой версии не удается войти в режим администратора посредством «файл/войти в режим администратора», появляется сообщение: «неверный пароль. пожалуйста, повторите ввод».
Необходимо выполнить вход в режим администратора, посредством «Сервис/Настройка параметров безопасности/Администратор/Войти в режим администратора. ». Если возникает предупреждение «Истек пароль администратора сетевого узла, обратитесь к администратору Вашей сети ViPNet», необходимо обратиться к администратору сети ViPNet, для того чтобы он актуализировал информацию и выслал справочники на узел. После применения справочников на узле доступ в режим администратора должен появиться.
В сертифицированной версии 4.5.1-57252 отсутствует «приложения/транспортный модуль».
В ПО ViPNet Client 4.5 переработан транспортный модуль ViPNet MFTP.
Программа ViPNet MFTP была заменена кроссплатформенной службой «Транспортный модуль ViPNet MFTP». Служба имеет оптимальные параметры по умолчанию и, как правило, не нуждается в настройке. Указать нестандартные параметры транспортного модуля вы можете с помощью конфигурационного файла.
В списке защищенных узлов по vipnet client все клиенты при проверке связи с ними отображают статус «недоступен».
Одной из возможных причин является расхождение времени на ПК со временем в сети ViPNet. Проверьте дату, время, часовой пояс и скорректируйте данные, если это требуется. Проверьте доступность узлов.
В актуальные версии ПО ViPNet Client начиная с 4.5.2 добавлен функционал «Автоматическая синхронизация времени на вашем компьютере с временем в сети ViPNet».
Если время на вашем компьютере отличается от времени в сети ViPNet, работа в защищенной сети невозможна. Чтобы не отслеживать время самостоятельно, вы можете в настройках программы ViPNet установить автоматическую синхронизацию времени на вашем компьютере с временем в сети ViPNet.
Вопросы и ответы по продуктам vipnet
Невозможность подключиться к сети ViPNet может быть вызвана следующими причинами:
а) вы подключаетесь к интернету через публичную точку доступа, в которой заблокирована передача трафика по протоколу UDP;
б) по умолчанию на вашем мобильном устройстве настроено интернет-соединение по протоколу, отличному от IPv4.
Решение:
а) Если вы подключаетесь к интернету через публичную точку доступа.
Для решения проблемы с подключением к сети ViPNet через публичную точку доступа выполните следующие действия:
1. Настройте передачу данных по протоколу TCP.
2. Проверьте подключение к корпоративным ресурсам. Если подключиться к ресурсам по-прежнему не удается, выполните действия, описанные ниже.
б) Если на вашем мобильном устройстве настроено интернет-соединение по протоколу, отличному от IPv4.
Подключиться к сети ViPNet можно, только если на вашем мобильном устройстве с включенным приложением ViPNet Client 2 for Android настроено интернет-соединение по протоколу IPv4. Чтобы проверить, какой протокол назначен вашим мобильным оператором по умолчанию, и при необходимости выбрать другой, выполните следующие действия: (Примечание: в зависимости от модели устройства и версии операционной системы Android действия по выбору протокола могут отличаться от описанных ниже.)
1. Перейдите в раздел «Настройки > Мобильная сеть > Точки доступа».
2. Выберите в списке текущее интернет-соединение и на экране настроек перейдите к настройкам «Протокол APN» и «Протокол роуминга точки доступа».
3. Если в качестве протоколов APN выбран протокол IPv6, измените его:
- если в настройках текущего интернет-соединения можно изменить протокол:
-
- коснитесь настройки «Протокол APN» и выберите «IPv4»;
- коснитесь настройки «Протокол роуминга точки доступа» и выберите «IPv4»;
- если в настройках текущего интернет-соединения невозможно изменить протокол:
-
- на экране «Точки доступа» коснитесь кнопки «Добавить», чтобы создать новое интернет-соединение;
- на открывшемся экране редактирования в качестве протокола APN и протокола роуминга точки доступа выберите протокол IPv4, остальные настройки скопируйте из текущего соединения;
- на экране «Точки доступа» с помощью переключателя назначьте созданное интернет-соединение текущим.
Добавление, удаление и восстановление компонентов vipnet csp
При необходимости вы можете установить или удалить компоненты СКЗИ ViPNet CSP, а также восстановить программу при обнаружении повреждений.
Перед добавлением, удалением и восстановлением компонентов рекомендуется создать точку восстановления системы.
Для установки, удаления компонентов или для восстановления программы ViPNet CSP выполните следующие действия:
1. Перейдите в меню Пуск → Все программы → VipNet → VipNet CSP и запустите файл Установка VipNet CSP (или повторно запустите установочный файл). Дождитесь завершения подготовки к установке компонентов VipNet CSP.
2. В окне Изменение установленных компонентов выберите нужный пункт:
Для того чтобы после завершения установки компьютер перезагрузился автоматически, установите флажок Автоматически перезагрузить компьютер после завершения. Затем нажмите кнопку Продолжить.
3. Если Вы устанавливаете или удаляете компоненты программы, на странице выбора компонентов укажите те, которые необходимо добавить или удалить. Затем нажмите кнопку Продолжить.
4. Дождитесь завершения процедуры.
5. Если ранее на странице Изменение установленных компонентов Вы установили флажок Автоматически перезагрузить компьютер после завершения, по окончании установки компьютер перезагрузится автоматически. В противном случае по окончании установки программа предложит перезагрузить компьютер. В окне сообщения о перезагрузке нажмите кнопку Да.
Источник
Если требуется перенести vipnet client с одного компьютера на другой с сохранением конфигурации.
Перенос возможен только в рамках одной разрядности операционной системы (с 32 бит на 32 бит, с 64 бит на 64 бит).
Завершите работу ViPNet Client на исходном компьютере, скопируйте полностью папку «ViPNet Client», поместите данную папку на другой компьютер по тому же пути, по которому он был установлен на исходном. Запустите инсталлятор ViPNet Client той же версии на новом компьютере, при установке укажите путь к данной папке ViPNet Client.
После успешной установки повторное разворачивание ключей не требуется.
Медленное соединение с ресурсами в интернете.
Если вы используете ПО Kaspersky и после установки программы ViPNet Client соединение с сайтами в интернете происходит очень медленно, выполните следующие настройки:
На пк не доставляются обновления по vipnet client, а также большие по размеру письма в почте.
Если перейти в главном меню ПО ViPNet Client: «Приложения/Транспортный модуль», можно наблюдать, что соединение с координатором устанавливается и начинается процесс загрузки конвертов, но впоследствии загрузка обрывается, процесс зацикливается.
Если при работе с некоторыми устройствами NAT не проходит передача длинных пакетов, перейдите в подраздел «Защищенная сеть> Дополнительные параметры» и уменьшите значение MSS (максимальный размер сегмента) на величину от 20 до 200 байт.
Настройка vipnet
14. Итак, компьютер загружен, появилось небольшое окошко ViPNet. Просто нажмите Ок. Если на рабочем столе есть ярлык ViPNet Монитора запустите его, после чего в правом нижнем углу в меню Настройка в выпадающем списке выберите Первичная инициализация.
15. На приветствие Мастера инициализации нажмите Далее.
16. Затем необходимо указать путь к ключевому файлу. Если он на USB-флешке, значит указывайте флешку. Просто нажмите Обзор и найдите файл на компьютере либо внешнем устройстве. Жмите Далее.
17. Следующий пункт можно пропустить, нажав Далее.
18. В следующем шаге введите пароль данного ключевого файла. Пароль в обязательном порядке у вас должен быть. Если по каким-либо причинам пароль отсутствует, помочь вам сможет только ваш Удостоверяющий центр либо поставщик дистрибутива ViPNet. Итак, ввели пароль — нажали Далее.
19. Место хранения адресных справочников — без изменений — Далее.
20. Каталог для сохранения набора резервных персональных ключей также оставляем без изменений — Далее.
21. В следующем окне Мастер сообщает нам, что готов к проведению инициализации, если все в порядке жмите Далее.
22. В завершении нажмите Готово, при этом оставив флажок Запустить приложение включенным.
23. Вышеуказанных действий достаточно для нормальной работы ViPNet Client. В дополнение расскажем о некоторых тонких настройках программы для более удобной работы пользователя.
24. В меню Режимы в разделе Режим обработки открытых IP-пакетовустановите 4 режим (Пропускать все соединения), ниже в разделе При старте программы… в выпадающем списке и также выберите Пропускать все соединения. Нажмите Применить, чтобы изменения вступили в силу.
25. И напоследок, для наиболее комфортной работы изменим пароль, который был первоначально установлен по умолчанию. Не нужно опасаться последствий данных действий, главное — всегда храните ваш стандартный файл с паролем в надежном и доступном только для вас месте.
26. В меню Сервис выберите Настройка параметров безопасности. В открывшемся окне во вкладке Пароль установите Тип пароля — Собственный и нажмите Сменить пароль.
27. Придумайте любой пароль (7 цифр, например), нажмите Ок. Нажатием Применить внесите изменения в параметры безопасности ViPNet Client — Ок. При запуске компьютера необходимо вводить этот пароль ViPNet.
Также, для удобства работы на компьютере, чтобы в будущем не всплывали различные окна с предложением Разрешить или Запретить работу программ с сетью можно отключить Контроль приложений ViPNet.
Источник
Не могу установить vipnet
Не является исключением наличие активного антивирусного программного обеспечения, которое также может вызывать проблемы в установке ViPNet Client. На время установки отключите антивирус либо вовсе удалите его. Обязательно перезагрузите компьютер.
Источник
Не найдены ключи пользователя или неверный пароль.
В этом случае в окне ввода пароля щелкните значок справа от кнопки «Настройка», в меню выберите пункт «Папка ключей пользователя» и укажите путь к папке ключей пользователя.
Если операционная система еще не загружена, в окне ввода пароля ViPNet нажмите кнопку «Отмена». После загрузки операционной системы запустите ViPNet Монитор и укажите путь к папке ключей пользователя.
Не происходит сохранение ключей на рутокен при выполнении процедуры плановой смены ключей администраторов пак vipnet pki service
Причина: для взаимодействия с ПАК ViPNet PKI Service используется браузер Mozilla Firefox либо Microsoft Edge.
ViPNet PKI Client является одним из двух альтернативных СКЗИ, которые могут использоваться на терминале администрирования.
Применение PKI Client не влечет за собой расширение перечня браузеров, в которых гарантируется корректная работа веб-интерфейса HSM/PKI Service. Следует использовать браузер Microsoft Internet Explorer.
Не удалось установить vipnet client
С переходом на версию ViPNet Client 4.3 разработчиками были внесены изменения в состав программного обеспечения с целью повышения качества защиты. Однако, пользователи сталкиваются с проблемами, в частности, связанными с установкой ViPNet.
Невозможно запустить службу mssqlserver.
Возможно, причиной неполадки является сбой одного из компонентов программы ViPNet Client.
Для решения данной проблемы выполните следующие действия:
Невозможно произвести авторизацию пользователя vipnet.
При появлении такой ошибки выполните следующие действия:
После восстановления программы запустите компьютер в обычном режиме.
Если приведенные действия не помогли войти в программу ViPNet, обратитесь в службу технического сопровождения компании «ИнфоТеКС».
Невозможно работать в windows с правами администратора.
Если вы используете Windows 7 или Server 2008 R2, после обновления программы ViPNet Client возможно нарушение работы в ОС с правами администратора.
При запуске какой-либо программы или команды от имени администратора появляется сообщение об ошибке, программа или команда не выполняется.
Невозможно сохранить пароль.
Сохранение пароля в реестре может противоречить регламенту безопасности вашей организации. Эта возможность определяется настройками программы ViPNet:
– в режиме работы администратора программы ViPNet Монитор (см. «Дополнительные настройки параметров безопасности»);
Невозможно установить соединение по протоколу pppoe.
Соединение по протоколу PPPoE может быть заблокировано программой ViPNet Монитор. Для решения данной проблемы выполните следующие действия:
Ошибка при повторном разворачивании dst.
Если пароль для входа в программу ViPNet Client сохранен в реестре, после установки нового дистрибутива ключей при запуске программы может появиться сообщение об ошибке.
В этом случае для первого входа в программу введите пароль. При последующих запусках программы ввод пароля не потребуется.
После запуска vipnet client появляется окно: «истек срок действия ключа электронной подписи текущего сертификата подписи».
Данное сообщение не является ошибкой, это информационное сообщение. Работоспособность сети не нарушается, пропадает только возможность подписывать письма текущим сертификатом. Для получения нового ключа необходимо обращаться к администратору вашей защищенной сети ViPNet.
После установки «континент-ап 3.7.7.651» пропадает tls-соединение с vipnet tls шлюзом и возможность аутентификации пользователя (vipnet pki клиент перестает предлагать выбор сертификата пользователя для соединения, окно выбора не выходит).
Причина: конфликт со сторонним криптопровайдером.
В состав ПО ViPNet PKI Client входит обязательный для функционирования ПО компонент криптопровайдер ViPNet CSP, имеющий ряд ограничений по совместному использованию с КриптоПро CSP. В частности для выполнения криптографических операций в поддерживаемых приложениях, где требуется использовать криптопровайдер ViPNet CSP в программе ViPNet CSP в разделе «Дополнительно» должен быть активирован чек-бокс «Поддержка работы ViPNet CSP через Microsoft CryptoAPI», а также не должен быть установлен компонент ПО КриптоПро CSP «Совместимость с продуктами Microsoft».
При установке vipnet client 4-х на ноутбук hp с ос windows 10 выходит сообщение «не удалось установить vipnet client».
Проверьте на ноутбуке наличие встроенной утилиты HP Velocity. Если данное ПО установлено, его необходимо удалить. Также рекомендуется установить последние драйвера для всех устройств.
Особенно это касается драйвера сетевой карты. Если установить ViPNet Client после всех действий не удалось, обратитесь в службу технического сопровождения компании «ИнфоТеКС».
Программа vipnet client не запускается после загрузки windows.
Если на вашем компьютере работает несколько пользователей и компьютер находится не в домене, после входа в Windows программа ViPNet Client может не запускаться автоматически.
Для исправления проблемы выполните следующие настройки:
Программа vipnet не позволяет войти в систему windows.
Проблемы входа в систему Windows могут возникнуть при сбоях в работе программы ViPNet Client или в случае конфликтов компонентов программы с уже установленным ПО. Если другие способы восстановления входа неприменимы, удалите программу ViPNet Client в безопасном режиме Windows.
Для этого выполните следующие действия:
Сертификат не отображается в списке выбора, на вкладке «сертификаты» статус отзыва сертификата не проверен. сертификат проходит проверку на госуслугах, он действителен
Причина: установка сертификатов и САС производилась бессистемно. Частично через оснастку ОС, частично из интерфейса ViPNet PKI Client.
Удаление сертификатов и САС через оснастку ОС и последующая установка полного комплекта из интерфейса ViPNet PKI Client.