Что делать, если на телевизоре или компьютере не работает Wink?
Wink является кино-платформой от провайдера Ростелеком, которая доступна на территории РФ. Она не так давно появилась, и в её работе часто происходят некоторые ошибки. Наиболее распространённые из них – полная недоступность определённых опций, медленная работа, перебои в загрузке контента.
Какие бывают проблемы?
Обычно причина торможения и не функционирования программы в том, что в ней проводятся технические работы по совершенствованию технологии. Но бывают и иные.
Ошибка при воспроизведении
Иногда бывает, что приложение удалось скачать и установить без проблем, но видео в нём почему-то не воспроизводятся или тормозят – возникает ошибка.
Программа в этом случае автоматически ищет проблемные алгоритмы и сообщает о них в виде числовых или буквенных кодов. На экране отображается результат диагностики – знак и номер имеющейся ошибки. С их помощью можно легко определить причину выхода из строя программы и устранить её самостоятельно.
Сетевой кабель не подключен на тв Ростелеком
На мобильных устройствах может возникнуть ошибка под названием «Устройство не поддерживает воспроизведение зашифрованного контента».
Если при просмотре какого-либо контента появляется окно с такой ошибкой, это означает, что устройство было рутировано. Чтобы приложение могло правильно отображать фильмы, на устройстве должен быть отключен Root-режим (защита от копирования, препятствующая доступу к контенту).
Если вы не знаете, есть ли у вашего смартфона / планшета Root, установите программу Simply Unroot. Она помогает выявить его и удалить в случае необходимости.
Ошибка при инициализации приложения
Когда система не может распознать инициализацию программного обеспечения, обновите либо переустановите его. Если обновление и переустановка не помогли, для решения проблемы пропишите DNS в настройках TB-приёмника:
После завершения описанных манипуляций выдерните шнур телевизора из розетки секунд на 30. Затем подсоедините обратно, включите пультом TB и проверьте работу приложения.
Блокировка IP-адреса
Ещё одна возможная причина перебоев в работе Wink – блокировка провайдером IP-адреса. Попробуйте сменить точку беспроводного доступа и подключить к ней TB-приёмник. Это должно решить проблему.
Если данные действия не помогли, проблема кроется в самом интернет-провайдере либо в DNS-сервере. Для решения проблемы свяжитесь с провайдером по телефону, указанному в заключённом договоре на обслуживание. Если с его сторон неполадок нет, смените адрес DNS-сервера (инструкция есть ниже).
Ошибка в заполнении формы
Если произошла ошибка при заполнении формы, не выискивайте неточность в море данных. Лучше всего перезагрузите TB-устройство и приступите к подключению Wink с самого начала.
Не показываются каналы
При использовании платформы Wink можно столкнуться с несколькими проблемами, из-за которых полностью либо частично закрыт доступ к TB-каналам. Самые распространённые причины и их решения:
Сброс настроек пульта старой модели ростелеком на заводские
Также проверьте правильность настроек даты и времени на TB-приёмнике. Возможно, требуется изменить часовой пояс.
Код ошибки 6000000
Ошибка с кодировкой 6000000 означает, что нет подключения к сети интернет. Проверьте правильность подключения кабеля либо сетевое соединение. Перезагрузите маршрутизатор (отключите и снова включите его).
Невозможно синхронизировать время
Некоторые TB-каналы в приложении отображаются только по московскому времени, и ничего с этим не поделаешь. Связано такое с просьбами правообладателей, из-за которых программы нельзя транслировать по местному времени. Приложение Wink тут ни при чём.
На данный момент список таких телеканалов выглядит следующим образом:
На приставках с услугой «интерактивного TB» эти каналы транслируются по местному времени.
Ошибка 13
В большинстве случаев код ошибки 13 связан с недостатком средств на личном счёте пользователя. Это случается по двум причинам:
Код ошибки 20001
Данная ошибка возникает у тех, кто пользуется приставкой Wink. Она носит системный характер и может быть связана с любыми сбоями в её работе. Точно определить причину без помощи специалистов невозможно. Чаще всего встречаются следующие:
Ошибка 10001
В большинстве случаев ошибка 10001 означает, что пользователь сбросил параметры конфигурации Wi-Fi роутера до заводских настроек. Авторизуйтесь в личном кабинете на официальном сайте Ростелекома (https://lk-rostelecom. ru/) и проверьте все установленные настройки.
Другие проблемы
Входящие в этот раздел проблемы можно решить перезапуском устройства, переподключением к другому источнику интернета либо обновлением приложения Wink до последней версии. Перечисленными способами решаются следующие проблемы:
Что делать, если не работает Wink на телевизоре?
Если Wink не работает на Smart TV, первым делом убедитесь, что опция была правильно подключена. Верный алгоритм подключения выглядит следующим образом:
Если программа по-прежнему не запускается и на телевизоре отображается чёрный экран, выполните такие действия:
Подробнее обо всех этих способах восстановления функционирования приложения Wink читайте ниже. Они не сложные и не требуют дополнительных технических навыков.
Перезагрузка телевизора
Это классический способ исправления неисправностей, к которому прибегают в числе первых. В 70% случаев данной манипуляции достаточно, чтобы привести всё в норму.
Если платформа внезапно перестала функционировать, перезапустите телевизор и отключите устройство от розетки на 3-5 минут. Затем подключите его к питанию снова и попробуйте запустить Wink. Всё должно заработать. Если проблема осталась нерешённой, переходите к следующим шагам.
Переустановка приложения
Если перезапуск телевизора не помог, попробуйте переустановить на нём приложение Wink.
Программа поддерживается только телевизорами, выпущенными до 2015 года.
Чтобы точно узнать модель и год выпуска своего устройства, воспользуйтесь одним из следующих способов:
Убедившись, что ТВ-приёмник в принципе поддерживает данную программу, переустановите её, следуя инструкции:
Если всё сделано правильно, приложение успешно переустанавливается. Время установки зависит от скорости подключённого к ТВ-приёмнику интернета.
Смена точки доступа
Чтобы восстановить работоспособность приложения, смените точку доступа. Лучший способ решить эту проблему – создать точку на устройстве и подключиться к ней. Если после выполнения таких операций функция работает нормально, значит, проблема заключается в интернет-провайдере.
Смена адреса DNS-сервера
Если проблемы с провайдером обнаружены не были, проверьте DNS-сервер. Делается это следующим образом:
После проделанных манипуляций убедитесь в наличии интернета на ТВ, перезапустите телевизор и попробуйте снова включить приложение Wink.
Сброс Smart Hub
Сбросив настройки Smart Hub, вы обнулите все установленные ранее параметры программы и удалите установленные на ТВ приложения. Алгоритм действий при сбросе настроек Smart Hub:
Прежде чем принимать такие радикальные меры, убедитесь, что телевизор сертифицирован в Российской Федерации. Если вы сбросите настройки на телевизоре без сертификата, можете полностью заблокировать устройство.
Обратите внимание на заводскую этикетку. Серийный номер сертифицированного устройства заканчивается на «XRU» и имеет маркировку «EAC».
Сброс телевизора
Самый радикальный шаг, переходят к которому в крайнем случае – если все остальные способы не дали результатов, и только если вы абсолютно уверены, что ваше TB-устройство обязано поддерживать приложение Wink.
Данным способом вы не только решите проблему, связанную с неполадками приложения, но и восстановите заводские настройки телевизора.
Как сбросить настройки:
Как добиться расширения полномочий в Wink?
Иногда, чтобы приложение Wink работало корректно, и была возможность пользоваться им в полной мере, требуется расширение полномочий. Интерфейс может разниться в зависимости от устройства, на котором сервис установлен, но алгоритм действий везде одинаков.
Для максимального доступа последовательность действий следующая:
После сохранения изменений зайдите в «Мои настройки». Вернитесь в раздел «Уровень доступа» и проверьте, установлено ли там значение «18+».
Что делать, если не работает Wink на компьютере?
Программа Wink на ПК работает в качестве веб-сайта. Чтобы использовать приложение Wink на своём компьютере, достаточно ввести адрес Wink. rt. ru в браузерной строке. За исключением технических работ на сервисе, причин для ошибок в функционировании приложения только две:
Сервис Wink, созданный Ростелекомом, – это мультимедийный видеопортал. Если вы впервые подключаете приложение к телевизору, следуйте инструкциям и внимательно следите за правильностью вводимой информации. Тогда Wink позволит вам смотреть видео с качественным изображением и звуком без каких-либо проблем.
Почему не работает Wink Ростелеком на телевизоре и компьютере: причины, что делать?
«Не работает Wink» — серьезная неполадка для граждан России. Теперь все программы, которое ранее пользователи ждали по ТВ, можно смотреть где угодно с помощью этой услуги. Сервис работает на любом девайсе после простой регистрации. Под одну учетную запись возможно подключить до пяти устройств бесплатно. Но если только девайсы поддерживают услугу.
О том, что делать, если опция не функционирует подробнее в этой статье.
Почему не работает Wink на телевизоре: причины
Сервис только недавно начал функционировать, поэтому имеет определенное неточности в работе. Часто программа находится на модерации, чтобы усовершенствовать технологию. Сейчас она доступна для скачивания только жителям РФ. Доступ за границей не планируется. Основные причины и способы их устранения описаны ниже.
Что делать, если перестал работать Wink на Смарт ТВ
Если не работает Wink на Смарт ТВ то прежде, чем приступить к настройкам убедитесь в правильности подключения опции:
Если программа так и не запустилась и на телевизоре отображается черный экран, необходимо выполнить одно из следующих действий:
Устранять проблему необходимо, начиная с первого варианта. И приступать к последнему только, если не сработали предыдущие.
Перезагрузка
Если платформа перестала работать внезапно перезагрузите ТВ. Отключите девайс с розетки на несколько минут. Потом снова включить, заново переустановить Wink. Если проблема устранилась, то используйте функцию в привычном режиме. Если ситуация осталась прежней перейдите к следующему пункту.
Переустановка
Если Wink Ростелеком не работает — переустановите его. Приложение поддерживается только теми телевизорами, которые произведены не позднее 2015 года. Для уточнения модели и года выпуска ТВ воспользуйтесь одним из двух вариантов:
В пункте «Код модели» отображается запрашиваемые данные.
После того, как убедились в том, что ТВ в принципе может поддерживать функцию, перейдите к ее переустановке. Следуйте установленному алгоритму.
При правильно выполненных действиях приложение переустановится. Время установки зависит от скорости интернета.
Смена точки доступа
Для возвращения работоспособности функции нужно сменить точку доступа. Оптимальное решение проблемы — создать из девайса точку и произвести подключение к нему. Если после таких действий функция работает корректно, то это значит, что проблемы возникли у провайдера.
Смена адреса DNS-сервера
Если с провайдером проблем нет, то стоит проверить DNS-сервер:
После проведенных настроек убедитесь, что корректная работа сети восстановлена. Перезагрузите ТВ.
Сброс Smart Hub
После активации функции удаляются данные, которые были подключены до образования ошибки. Сброс настроек удаляет ранее установленные программы, обновляет заводские настройки.
Прежде, чем приступить к столь решительным действиям, убедитесь, что телевизор прошел сертификацию для Российской Федерации. Если выполнить сброс настроек на ТВ без сертификата можно полностью заблокировать устройство.
Сброс телевизора
Переходить к сбросу настроек нужно только тогда, когда не сработали предлагаемые варианты. Способ не только устранит неполадку, но и вернет телевизор к заводским настройкам.
Ошибка при воспроизведении
Возникновение ошибки при воспроизведении отображается специальными знаками. Подробнее о них ниже.
Ошибка при инициализации приложения
Для устранения неполадки необходимо прописать DNS в настройках телевизора. Устранения ошибки, которая образовывается при инициализации приложения предполагает выполнение следующих действий, описанных ниже.
Выключите телевизор с розетки на 10 секунд. Подключите обратно, проверьте результат.
Код ошибки 6000000 Wink
Ошибка 6000000 значит, что отсутствует соединение с интернетом. Необходимо проверить соединение с сетью. Перезагрузить и повторно включить роутер.
Ошибка в заполнении формы
При возникновении ошибки Ростелеком лучше всего перезагрузить устройство. И начать подключение Wink заново.
Что делать, если не работает Wink на компьютере
Для использования на компьютере достаточно просто ввести в браузере ссылку Wink. rt. ru. Если опция не работает, то перезагрузить ПК и проверить подключение к интернету.
Благодаря опции можно просматривать фильмы и сериал в высоком качестве онлайн. Для максимального удобства пользователей они могут выбрать подписку только с необходимым перечнем услуг.
Источник: kodyoshibokk.ru
Как войти в настройки роутера (таблица с IP-адресами для Tp-Link, Mercusys, Xiaomi, Zyxel / ZBT и др.). Что делать, если кабинет Wi-Fi роутера не открывается?
В сех приветствую!
Довольно много вопросов от пользователей поступает насчет настройки беспроводной Wi-Fi сети: как ее переименовать, поменять пароль для доступа к ней, ограничить число пользователей (которые могут подключаться. ). Когда говоришь, что все это достаточно легко делается в настройках роутера — то следует еще один вопрос: «а как туда зайти. «.
Примечание : хочу сделать небольшую ремарку — с некоторыми роутерами идет в комплекте CD-диск. В 99% случаев на нем записана утилита, облегчающая настройку роутера (никаких драйверов на нем нет, да и не нужны они — роутер работает сразу, как вы его подключите).
Правда сразу оговорюсь: в таких утилитах, чаще всего, настойки будут не все, лишь самое-самое основное. Поэтому, по моему мнению, — все эти утилиты бесполезны, проще настроить самостоятельно, открыв страничку со всеми параметрами устройства (об этом как раз ниже в статье ).
Как войти в настройки роутера
ШАГ 1: подключить роутер к компьютеру с помощью Ethernet-кабеля
Первое, что нужно сделать — это подключить ваш роутер Ethernet-кабелем к компьютеру (* прим. : в последствии, когда Wi-Fi сеть будет настроена, кабель можно будет отключить) . Сетевой кабель (хотя бы 1 шт.) всегда идет в комплекте к любым моделям роутеров (D-Link, TP-Link, Asus и пр.).
Примечание! *
Многие современные роутеры можно настроить сразу же с помощью Wi-Fi (без их предварительного подключения кабелем к LAN-порту ПК).
Обратите внимание, что после того, как вы соедините компьютер и роутер кабелем и включите устройства — на роутере должны начать мигать светодиоды (в том числе и те, которые помечены маркировкой LAN). Также должен «ожить» сетевой значок в Windows — обычно пишет, что найдена сеть и она «Без доступа к интернету» .
Пример ошибки, при наведении на значок Wi-Fi, Windows сообщает, что он без доступа к интернету.
ШАГ 2: узнать IP-адрес, пароль и логин от веб-интерфейса с настройками
У каждой марки (модели) роутеров свой IP-адрес, логин и пароль для доступа к настройкам. Без этой информации — зайти в них не получится!
Сразу хочу казать: в документации к вашему устройству, на его коробке, или наклейке на корпусе — 99,9% эта информация есть (ниже приведено фото, как это выглядит )!
Наклейка на роутере — адрес и пароль для доступа
В помощь!
Как узнать IP-адрес настроек роутера — [см. инструкцию]
Если вы облазили роутер вдоль и поперек, и в документации ничего нет (или просто уже ни наклеек, ни документов не осталось) — воспользуйтесь табличкой ниже. В ней приведены самые популярные модели маршрутизаторов.
Таблица №1 : Данные для входа в настройки роутеров разных моделей. Важно! Все настройки приведены по умолчанию. Рекомендуемый браузер для входа в настройки — Microsoft Edge / Explorer / Chrome.
ШАГ 3: ввести IP-адрес в адресную строку браузера
Многие ошибочно вводят IP-адрес в поисковую строку, вместо адресной (и поэтому, собственно, не могут войти в веб-интерфейс. ).
Адресная строка в EDGE
Кстати, еще один момент: открывать настройки лучше в Internet Explorer (Edge) — эти браузеры предустановлены в Windows и разработчики прошивок для роутеров оптимизируют свой веб-интерфейс в первую очередь под них.
ШАГ 4: ввести пароль и логин для доступа к интерфейсу
Если IP-адрес был правильно указан — вы увидите, что для дальнейшего доступа, Вас могут попросить ввести пароль и логин (значит вы двигаетесь в верном направлении ).
Чаще всего пароль и логин по умолчанию — это «admin» (вводить без кавычек). Иногда, вместо пароля вообще вводить ничего ненужно (а порой, этого окна не появл. вообще!).
В общем, вводите те данные, которые указаны производителем вашего устройства, и нажимайте OK.
Данные для входа — пароль и логин
ШАГ 5: настроить беспроводную сеть, интернет
Собственно, если логин и пароль верный — откроется веб-интерфейс с настройками. Дело останется за малым — ввести необходимые изменения в параметры, сохранить их и перезагрузить роутер.
Состояние — кто подключен к роутеру — Xiaomi Mi Router 4A
Если страница с настройками не открывается
1) Проверьте, тот ли IP-адрес вы вводите
Самая частая проблема — это когда пользователь вводит не тот IP-адрес. В этом случае браузер отобразит ошибку вида «Не удается найти и отобразить эту страничку» (пример ниже ). Рекомендую еще раз перепроверить IP-адрес и попробовать заново ввести его в адресную строку браузера.
Не удается отобразить эту веб-страницу // Internet Explorer
2) Подключен ли роутер: все ли в порядке с кабелями
Кстати, подобную ошибку, как на скрине выше, можно увидеть, когда ваш роутер не подключен к компьютеру. Возможно, что сетевой кабель не плотно вставлен в LAN-порт, или он просто перебит. Посмотрите, горят ли светодиоды на корпусе роутера, появляется ли в Windows сетевой значок, сигнализирующий о доступном локальном подключении.
Светодиоды на корпусе устройства
3) Попробуйте другой браузер, отключите VPN!
Многие пользователи используюсь для открытия веб-интерфейса роутера браузеры Chrome, Firefox, Opera и др., «обвешанные» десятком-другим плагинов. Дело в том, что часть плагинов и настроек в самих браузерах (например, турбо-режим, VPN) — могут просто блокировать и не позволять войти по локальному IP-адресу.
Поэтому, совет простой — попробуйте запустить Internet Explorer / Edge (без всяких надстроек), ну или хотя бы просто другой браузер.
4) Проверьте, установлено ли получение IP и DNS в авто-режиме
Возможно, что не получается подключиться из-за неверных настроек IP и DNS. Чтобы это проверить, необходимо открыть вкладку сетевые подключения и посмотреть, что там «творится» с подключением по локальной сети.
Для этого вызовите окно «Выполнить» (сочетание кнопок Win+R ), введите в строку «Открыть» ncpa.cpl и нажмите OK (пример ниже ).
ncpa.cpl — просмотр всех сетевых подключений
Далее посмотрите: нет ли на подключении по локальной сети (Ethernet, если у вас англ. версия) красных крестиков (что укажет на отсутствие подключения — например, не плотно вставленный сетевой кабель в LAN-порт).
После этого откройте свойства этого подключения (пример ниже ).
Свойства подключения по локальной сети
Далее найдите строчку «Протокол интернета версии 4 (TCP/IPv4)» и откройте ее свойства . Ну и, собственно, переставьте ползунки в автоматическое получение IP и DNS (как на скриншоте ниже ).
Сохраните настойки и перезагрузите компьютер. Далее снова попробуйте зайти по IP-адресу настроек роутера.
Получить IP и DNS автоматически
5) Если предыдущее не помогло.
Рекомендую в этом случае ознакомиться с еще одной моей статьей: «Как зайти по IP-адресу 192.168.1.1».
Несмотря на разнообразие моделей и марок роутеров — принцип входа в веб-интерфейс с настройками везде одинаковый (его и пытался донести в этой статье ).
За дополнения по теме — заранее благодарю.
На этом пока всё, всем удачи!
Первая публикация: 27.05.2017
Источник: ocomp.info
ViPNet в деталях: разбираемся с особенностями криптошлюза
Жизнь сетевого инженера была счастливой и беззаботной, пока в ней не появился сертифицированный криптошлюз. Согласитесь, разбираться с решениями, предназначенными для шифрования каналов передачи данных по ГОСТу, задача не из легких. Хорошо, если это известные и понятные продукты. Вспомним ту же «С-Терра» (об их «С-Терра Шлюз» мы уже писали).
Но что делать с более экзотичными решениями на базе собственных протоколов шифрования, например, «Континент» (от «Кода Безопасности») или ViPNet Coordinator HW (от «Инфотекса»)? В этой статье я постараюсь облегчить погружение в мир ViPNet (про «Континент» тоже когда-нибудь поговорим) и рассказать, с какими проблемами столкнулся сам и как их решал.
Сразу оговорюсь, что мы поговорим о сертифицированной на сегодня ФСБ и ФСТЭК версии 4.2.1. В актуальных версиях 4.3.х появилось много интересного, например, DGD (Dead Gateway Detection) и измененный механизм кластеризации, обеспечивающий практически бесшовное переключение, но пока это будущее. Я не буду глубоко погружаться в недра конфигурационных команд и файлов, акцентировав внимание на ключевых командах и переменных, а подробное описание по этим «ключам» можно будет найти в документации.
Для начала разберемся, как это все работает. Итак, координатор ViPNet выполняет несколько функций. Во-первых, это криптошлюз (КШ), который позволяет реализовать как Site-to-site, так и RA VPN. Во-вторых, он является сервером-маршрутизатором конвертов, содержащих зашифрованные служебные данные (справочники и ключи) или данные клиентских приложений (файловый обмен, деловая почта).
Кстати, именно в справочниках хранятся файлы, содержащие информацию об объектах сети ViPNet, в том числе об их именах, идентификаторах, адресах, связях. Координатор также является источником служебной информации для своих клиентов.
Помимо этого, он может туннелировать трафик от компьютеров сети, где не установлено ПО ViPNet. Кстати, специалисты, работающие с этим решением, часто называют открытые хосты не «туннелируемыми узлами», а просто «туннелями». Это может сбить с толку инженеров, которые привыкли к другим VPN-решениям, где под туннелем подразумевают PtP-соединение между КШ.
В качестве протокола шифрования в ViPNet используется IPlir, также разработанный «Инфотексом». Для инкапсуляции трафика применяются транспортные протоколы IP/241 (если трафик не покидает широковещательный домен), UDP/55777 и TCP/80 (при недоступности UDP).
В концепции построения защищенных соединений лежат так называемые «связи», которые бывают двух типов. Первые (на уровне узлов) нужны для построения защищенного соединения между узлами, вторые (на уровне пользователей) необходимы для работы клиентских приложений. Но есть исключение: узлы администратора сети ViPNet требуют обоих типов связи.
Что же может в этой схеме пойти не так? Как показывает практика, особенностей работы действительно много, и далеко не все проблемы можно решить интуитивно, без «помощи зала», а что-то нужно просто принять как данность.
Координатор недоступен
«У нас недоступен координатор/клиент/туннель. Что делать?» – самый частый вопрос, с которым приходят новички при настройке ViPNet. Единственно верное действие в такой ситуации – включать регистрацию всего трафика на координаторах и смотреть в журнал IP-пакетов, который является важнейшим инструментом траблшутинга всевозможных сетевых проблем. Этот способ спасает в 80% случаев. Работа с журналом IP-пакетов также помогает лучше усвоить механизмы работы узлов ViPNet-сети.
Конверт не доставлен
Но журнал IP-пакетов, увы, бесполезен, когда речь заходит о конвертах. Они доставляются с помощью транспортного модуля (mftp), у которого есть свой журнал и своя очередь. Конверты по умолчанию передаются на «свой» координатор клиента (то есть тот, на котором зарегистрирован узел), и далее по межсерверным каналам, которые настроены между координаторами (то есть не напрямую по защищенному каналу). Значит, если вы захотите отправить письмо по деловой почте, то клиент упакует его в конверт и отправит сначала на свой координатор. Далее на пути могут быть еще несколько координаторов, и только после этого конверт попадет на узел адресата.
Из этого следуют два вывода. Во-первых, между клиентами не обязательно должна проверяться связь (по нажатию на F5 и соответствующей иконки в меню) для доставки конвертов. Во-вторых, если связь межу ними все-таки проверяется, это не гарантирует доставку, так как проблема может быть в одном из межсерверных каналов.
Диагностировать прохождение конвертов межсерверным каналам или между клиентом и координатором в неочевидных случаях можно с помощью журнала и очереди конвертов, а также логов на координаторе. Также транспортный модуль ViPNet-клиента можно настроить на прямую доставку конвертов, доставку через общую папку или SMTP/POP3 (но это совсем экзотичный вариант). Погружаться в эти настройки мы не будем.
Последствия перепрошивки
Проблемной может оказаться перепрошивка на актуальную версию старых железок, которые долго лежали, например, в качестве ЗИП. В процессе может появиться ошибка «unsupported hardware», которая сообщает либо о том, что у вас действительно неподдерживаемая аппаратная платформа устаревшей линейки G1 (это HW100 E1/E2 и HW1000 Q1), либо о проблемах в настройке BIOS или в некорректной информации, зашитой в DMI.
Править ли самостоятельно DMI, каждый решает для себя сам, поскольку есть риск превратить оборудование в бесполезный «кирпич». С BIOS чуть проще: неверные настройки системы заключаются в выключенной функции HT (Hyper Threading) или выключенном режиме ACHI (Advanced Host Controller Interface) для HDD. Чтобы не гадать, в чем конкретно проблема, можно обратиться к флешке, с которой производится прошивка.
На ней создаются файлы с диагностической информацией, в частности, в файле verbose.txt перечислены все поддерживаемые платформы с результатом сверки с вашей. Например, ошибка cpu::Vendor(#3)==’GenuineIntel’ 24 times => [Failed], скорее всего, сообщает о выключенном HT. Кстати, перепрошивку часто путают с обновлением, но это разные процессы. При обновлении сохраняются все настройки, а параметры, о которых было написано выше, не проверяются. А при перепрошивке вы возвращаетесь к заводским параметрам.
Неинформативные конфиги
Основным конфигурационным файлом HW является «iplir.conf», однако он не всегда отражает текущие параметры. Дело в том, что в момент загрузки драйвера IPlir происходит интерпретация этого конфига в соответствии с заложенной логикой, и не вся информация может быть загружена в драйвер (например, при наличии конфликтов IP-адресов). Инженеры, работавшие с программным координатором для Linux, наверняка знают о существовании команды «iplirdiag», которая отображает текущие настройки узлов, прогруженные в драйвер. В HW эта команда также присутствует в режиме «admin escape».
Самые популярные выводы это:
iplirdiag -s ipsettings —node-info ##отображение информации об узле
iplirdiag -s ipsettings —v-tun-table ##отображение всех загруженных в драйвер туннелей
Немного остановимся на режиме «admin escape». По сути это выход из ViPNet shell в bash. Тут я солидарен с вендором, который рекомендует использовать данный режим только для диагностики и вносить какие-либо модификации только под присмотром техподдержки вендора. Это вам не обычный Debian, здесь любое неосторожное движение может вывести из строя ОС, защитные механизмы которой воспримут вашу «самодеятельность» как потенциальную угрозу. В связке с заблокированным по умолчанию BIOS это обрекает вас на негарантийный (читай «дорогой») ремонт.
(Un)split tunneling
Еще один факт, который знают далеко не все: по умолчанию ViPNet-клиент работает в режиме split tunnel (когда можно указать, какой трафик заворачивать в туннель, а какой нет). У ViPNet существует технология «Открытого Интернета» (позже переименована в «Защищенный интернет-шлюз»). Многие ошибочно приписывают этот функционал координатору, а не клиенту.
На клиенте, который зарегистрирован за координатором с такой функцией, создается два набора предустановленных фильтров. Первый разрешает взаимодействие только с самим координатором и его туннелями, второй – с остальными объектами, но запрещает доступ к координатору ОИ и его туннелям. Причем, согласно концепции вендора, в первом случае координатор должен либо туннелировать прокси-сервер, либо сам являться прокси-сервером. Служебный трафик, а также прием и передача конвертов (как служебных, так и приложений), работают в любой конфигурации.
Служебные порты и TCP-туннель
Однажды я столкнулся с приложением, которое ни в какую не хотело работать через координатор. Так я узнал, что у координатора есть служебные порты, по которым незашифрованный трафик блокируется без возможности какой-либо настройки. К ним относятся UDP/2046,2048,2050 (базовые службы ViPNet), TCP/2047,5100,10092 (для работы ViPNet Statewatcher) и TCP/5000-5003 (MFTP). Тут подвела функции TCP-туннеля.
Не секрет, что провайдеры любят фильтровать высокие порты UDP, поэтому администраторы, стремясь улучшить доступность своих КШ, включают функцию TCP-туннеля. Ресурсы в зоне DMZ (по порту TCP-туннеля) при этом становятся недоступны. Это происходит из-за того, что порт TCP-туннеля также становится служебным, и никакие правила межсетевых экранов и NAT (Network Address Translation) на него уже не действуют. Затрудняет диагностику тот факт, что данный трафик не регистрируется в журнале IP-пакетов, как будто его вовсе нет.
Замена координатора
Рано или поздно встает вопрос о замене координатора на более производительный или временный вариант. Например, замена HW1000 на HW2000 или программного координатора – на ПАК и наоборот. Сложность заключается в том, что у каждого исполнения своя «роль» в ЦУС (Центре управления сетью). Как правильно изменить роль, не потеряв связность?
Сначала в ЦУС меняем роль на новую, формируем справочники, но не отправляем(!) их. Затем в УКЦ выпускаем новый DST-файл и проводим инициализацию нового Координатора. После производим замену и, убедившись, что все взаимодействия работоспособны, отправляем справочники.
Кластеризация и сбой ноды
Горячий резерв – это must have для любой крупной площадки, поэтому на них всегда закупался кластер старших моделей (HW1000, HW2000, HW5000). Однако создание кластера из более компактных криптошлюзов (HW50 и HW100) было невозможно из-за лицензионной политики вендора. В итоге владельцам небольших площадок приходилось серьезно переплачивать и покупать HW1000 (ну, или никакой отказоустойчивости). В этом году вендор, наконец, сделал дополнительные лицензии и для младших моделей координаторов. Так что с выходом версий 4.2.x появилась возможность собирать в кластер и их.
При первичной настройке кластера можно серьезно сэкономить время, не настраивая интерфейсы в режиме мастера или командами CLI. Можно сразу вписывать необходимые адреса в конфигурационный файл кластера (failover config edit), только не забудьте указать маски. При запуске демона failover в кластерном режиме он сам назначит адреса на соответствующие интерфейсы. Многие при этом боятся останавливать демон, предполагая, что адреса сменяются на пассивные или адреса сингл-режима. Не волнуйтесь: на интерфейсах останутся те адреса, которые были на момент остановки демона.
В кластерном исполнении существует две распространенные проблемы: циклическая перезагрузка пассивной ноды и ее непереключение в активный режим. Для того чтобы понять суть этих явлений, разберемся в механизме работы кластера. Итак, активная нода считает пакеты на интерфейсе и в случае, если за отведенное время пакетов нет, отправляет пинг на testip.
Если пинг проходит, то счетчик запускается заново, если не проходит, то регистрируется отказ интерфейса и активная нода уходит в перезагрузку. Пассивная нода при этом отправляет регулярные ARP-запросы на всех интерфейсах, описанных в failover.ini (конфигурационный файл кластера, где указаны адреса, которые принимает активная и пассивная ноды). Если ARP-запись хоть одного адреса пропадает, то пассивная нода переключается в активный режим.
Вернемся к кластерным проблемам. Начну с простого – неперключение в активный режим. В случае если активная нода отсутствует, но на пассивной в ARP-таблице (inet show mac-address-table) ее mac-адрес все еще присутствует, необходимо идти к администраторам коммутаторов (либо так настроен ARP-кэш, либо это какой-то сбой). С циклической перезагрузкой пассивной ноды немного сложнее.
Происходит это из-за того, что пассивная не видит ARP-записи активной, переходит в активный режим и (внимание!) по HB-линку опрашивает соседа. Но сосед-то у нас в активном режиме и аптайм у него больше. В этот момент пассивная нода понимает, что что-то не так, раз возник конфликт состояний, и уходит в перезагрузку. Так продолжается до бесконечности.
В случае возникновения данной проблемы необходимо проверить настройки IP-адресов в failover.ini и коммутацию. Если все настройки на координаторе верны, то пришло время подключить к вопросу сетевых инженеров.
Пересечения адресов
В нашей практике нередко встречается пересечение туннелируемых адресов за разными координаторами.
Именно для таких случаев в продуктах ViPNet существует виртуализация адресов. Виртуализация – это своеобразный NAT без контроля состояния соединения один к одному или диапазон в диапазон. По умолчанию на координаторах эта функция выключена, хотя потенциальные виртуальные адреса вы можете найти в iplir.conf в строке «tunnel» после «to» в секциях соседних координаторов.
Для того, чтобы включить виртуализацию глобально для всего списка, необходимо в секции [visibility] изменить параметр «tunneldefault» на «virtual». Если же хотите включить для конкретного соседа, то необходимо в его секцию [id] добавить параметр «tunnelvisibility=virtual». Также стоит убедиться, что параметр tunnel_local_networks находится в значении «on».
Для редактирования виртуальных адресов параметр tunnel_virt_assignment необходимо перевести в режим «manual». На противоположной стороне нужно выполнить аналогичные действия. За настройки туннелей также отвечают параметры «usetunnel» и «exclude_from_tunnels». Результат выполненной работы можно проверить с помощью утилиты «iplirdiag», о которой я говорил выше.
Конечно, виртуальные адреса приносят некоторые неудобства, поэтому администраторы инфраструктуры предпочитают минимизировать их использование. Например, при подключении организаций к информационным системам (ИС) некоторых госорганов этим организациям выдается DST-файл c фиксированным диапазоном туннелей из адресного плана ИС.
Как мы видим, пожелания подключающегося при этом не учитываются. Как вписываться в этот пул, каждый решает для себя сам. Кто-то мигрирует рабочие станции на новую адресацию, а кто-то использует SNAT на пути от хостов к координатору. Не секрет, что некоторые администраторы применяют SNAT для обхода лицензионных ограничений младших платформ. Не беремся оценивать этичность такого «лайфхака», однако не стоит забывать, что производительность самих платформ все-таки имеет предел, и при перегрузке начнется деградация качества канала связи.
Невозможность работы GRE
Само собой, у каждого решения в IT есть свои ограничения по поддерживаемым сценариям использования, и ViPNet Coordinator не исключение. Достаточно назойливой проблемой является невозможность работы GRE (и протоколов, которые его используют) от нескольких источников к одному адресу назначения через SNAT. Возьмем, к примеру, систему банк-клиент, которая поднимает PPTP-туннель к публичному адресу банка. Проблема в том, что протокол GRE не использует порты, поэтому после прохождения трафика через NAT, socketpair такого трафика становится одинаковым (адрес назначения у нас одинаковый, протокол тоже, а трансляцию адреса источника мы только что произвели также в один адрес). Координатор реагирует на такое блокировкой трафика на фоне ошибки 104 – Connection already exists. Выглядит это так:
Поэтому, если вы используете множественные GRE-подключения, необходимо избегать применения NAT к этим подключениям. В крайнем случае выполнять трансляцию 1:1 (правда, при использовании публичных адресов это достаточно непрактичное решение).
Не забываем про время
Тему блокировок продолжаем событием номер 4 – IP packet timeout. Тут все банально: это событие возникает при расхождении абсолютного (без учета часовых поясов) времени между узлами сети ViPNet (координаторы и ViPNet-клиенты). На координаторах HW максимальная разница составляет 7200 секунд и задается в параметре «timediff» конфигурационного файла IPlir. Я не рассматриваю в этой статье координаторы HW-KB, но стоит отметить, что в версии KB2 timediff по умолчанию 7 секунд, а в KB4 – 50 секунд, и событие там может генерироваться не 4, а 112, что, возможно, собьет с толку инженера, привыкшего к «обычным» HW.
Нешифрованный трафик вместо зашифрованного
Новичкам бывает сложно понять природу 22 события – Non-encrypted IP Packet from network node – в журнале IP-пакетов. Оно означает, что координатор ждал с этого IP-адреса шифрованный трафик, а пришел нешифрованный. Чаще всего это происходит так:
- пользователь забыл залогиниться в ViPNet-клиент, или случайно разлогинился, но при этом пытается попасть на защищаемые ресурсы. В этом случае драйвер IPlir неактивен, а трафик, который по маршрутизации дошел до координатора, не был зашифрован на АРМ пользователя. По заголовкам пакета координатор видит, что все легально: адрес источника принадлежит АРМ с ViPNet-клиентом, адрес назначения – защищенному или туннелируемому узлу. Значит, и трафик должен приходить зашифрованным, но это не так, поэтому его надо заблокировать. Частным случаем данного сценария является ситуация, когда в сети поменялись адреса, и на том адресе, на котором был защищенный ViPNet-клиент, АРМ оказался туннелируемый. Но координатор все еще считает, что на этом адресе есть ViPNet-клиент, и поэтому нешифрованный трафик блокируется;
- с одной стороны взаимодействия отсутствуют связи. Например, вы связали два координатора, а справочники и ключи отправили только на один (или до второго они не дошли). В этом случае первый будет ждать зашифрованный трафик, но второй, так как не знает о существовании первого, будет присылать только незашифрованный;
- туннели прописываются вручную локально на КШ. Чтобы смоделировать такой сценарий, нужно два связанных координатора. На одном прописываем собственные туннели и туннели соседа, на втором «забываем» это сделать. При такой настройке трафик, исходящий от туннелей второго координатора к туннелям первого, шифроваться не будет, и на первом координаторе возникнет 22 событие.
Обработка прикладных протоколов (ALG)
На многих межсетевых экранах, включая ViPNet Coordinator, могут возникать проблемы с прохождением SIP через NAT. С учетом того, что виртуальные адреса – это внутренний NAT, проблема может возникать, даже когда в явном виде NAT не используется, а используются только виртуальные адреса. Координатор обладает модулем обработки прикладных протоколов (ALG), который должен эти проблемы решать, но не всегда это работает так, как хотелось бы. Не буду останавливаться на механизме работы ALG (на эту тему можно написать отдельную статью), принцип одинаков на всех МСЭ, изменяются лишь заголовки прикладного уровня. Для корректной работы протокола SIP через координатор необходимо знать следующее:
- при использовании NAT должен быть включен ALG;
- при использовании виртуальной адресации ALG должен быть включен на обоих узлах, участвующих во взаимодействии (координатор-координатор, координатор-клиент), даже если виртуальная видимость установлена только с одной стороны;
- при использовании реальной видимости и отсутствии NAT необходимо выключить ALG для того, чтобы он не вмешивался в работу SIP;
- ALG-линейки 3.х и 4.х несовместимы (строго говоря, в линейке 3.х вообще не было возможности как-то им управлять). В таком сценарии гарантировать корректную работу SIP вендор не может.
В заключение
Я постарался рассмотреть самые злободневные проблемы, обозначить их корни и рассказать о решениях. Конечно, это далеко не все особенности ViPNet, поэтому рекомендую не стесняться – обращаться в поддержку и спрашивать совета в коммьюнити (на форуме вендора, в телеграмм-канале, в комментариях под этим постом). А если вам не хочется погружаться во все сложности работы с ViPNet или это слишком трудозатратно, то всегда можно отдать управление вашей ViPNet-сетью в руки профессионалов.
- vpn
- шифрование
- vipnet
- информационная безопасность
- Блог компании Ростелеком-Солар
- Информационная безопасность
Источник: habr.com