====== VipNet Coordinator HW50 ======
{{:wiki:vipnethw50.png?526×244; nolink}}
====== VipNet Coordinator HW100 ======
{{:wiki:vipnet.png?526×244; nolink}}

===== Документы =====
{{ :sidebar:networks:vipnethw50-100mandstkey.pdf |Оригинал статьи}}

{{ :sidebar:networks:instrukziaponastroikevipnetcoordinatordlylpu.pdf |Инструкция по настройке программно-аппаратного комплекса Vipnet
Coordinator HW100/1000}}

{{ :sidebar:networks:01vipnetcoo2dinctorhwpodgotovkakrabote.pdf |Подготовка к работе}}

[[sidebar:soft:vipnet|Программное обеспечение VipNet Client]]

===== Инструкция по воскрешению школьного VipNet координатора HW50 и HW100 =====

Это дополненная инструкция, которую наш коллега Алексей, получил в Infotecs.

Для работы Координатора у Вас должен быть «свежий» набор DST ключей для доступа в vipnet 2131, который можно получить согласно установленному регламенту.

**//Глобально обновление состоит из шагов://**

  - получение настроек школы из старой конфигурации;
  - перепрошивка координатора на «новый» образ  4.2.4-637;
  - инициализация DST на  новой прошивке.

**//Необходимые условия для обновления координатора://**

  - Набор DST-ключей и кодовое предложение от ключей
  - Прошивка
  - Пароль администратора системы
  - Монитор, Клавиатура и usb флешка
  - Вывод команд:

<code>
in sh int
in sh ro
in sh dhcp ser
</code>

===== 1. Получение набора DST-ключей для доступа к vipnet 2131 =====
 
Регламент подключения к сети:

https://mits.mosreg.ru/upload/iblock/250/rasporyazhenie-ob-utverzhdenii-reglamente-podklyucheniya-k-zashchishchennoy-seti-2131.pdf

При восстановлении DST в нашем случае потребовались фото формуляра с s/n, фото наклейки на координаторе, документ о покупке.

===== 2. Сохранение конфигурации школы ===== 

Для сохранения настроек подключения школы и ввода команд в консоли у Вас должен быть пароль пользователя user для доступа консоли. Наш установщик «Калуга Астрал» таких данных не предоставил.

<WRAP center round important 60%>
Если пароль у Вас есть, переходите к п. 2.1
</WRAP>


А если нет, то будем менять стартовый скрипт, в который мы добавим команду изменения пароля для пользователя user.
В bios меняем загрузку на usb. Пароль bios: infotecs или vipnet

Выполняем следующие процедуры:

  - Сохраняем образ диска координатора для отката, если что-то пойдет не так. Я использовал загрузочный USB с Clonezilla  https://clonezilla.org/downloads.php
  - Создаем linux live-usb. Я использовал linux-mint https://linuxmint.com/download.php

Загружаемся и ищем скрипт postmount.sh  в разделе VIPNET_HW_MAIN

{{:sidebar:networks:pasted:20240116-153829.png}}

В конце скрипта перед __**exit 0**__ добавляем команду

<code>
echo -e "user\nuser\n" | passwd user
</code>

{{:sidebar:networks:pasted:20240116-153855.png}}

Перезагружаемся и логинимся под user пароль user

===== 2.1 Сохранение настроек ===== 

Сохраните вывод команд

<code>
in sh int			- inet show interface
in sh ro			- inet show routing
in sh dhcp ser			- inet show dhcp server
</code>

Я подключал ПАК к монитору и фотографировал вывод команд на смартфон.
Но можно и так  https://alekseycheremnykh.ru/post/kak-vygruzit-konfigi-vipnet-hw/

===== 3. Заливаем новую прошивку в ПАК и инициализируем конфигурацию ===== 

<color #FF0000>Далее идёт инструкция инициализации предоставленная infotecs. На самом деле скриншоты  не актуальные для этой прошивки, но всё интуитивно понятно.</color>

Инициализация ДСТ:

{{:sidebar:networks:pasted:20240116-154528.png}}

{{:sidebar:networks:pasted:20240116-154540.png}}

{{:sidebar:networks:pasted:20240116-154548.png}}

{{:sidebar:networks:pasted:20240116-154555.png}}

В примере:
<code>

Роутер 192.168.0.1/24 раздает адреса по DHCP
Сеть за координатором 10.8.254.0/26
Eth0 – внешний
Eth1 - внутренний

Настройка:
*все действия производятся в режиме enable для этого нам нужен пароль администратора
enable - вводим пароль администратора
Vpn stop – отключаем управляющий демон
Inet ifconfig eth0 dhcp – задаем получение IP по DHCP
Inet ifconfig eth1 address 10.8.254.62 netmask 255.255.255.192 – задаем адрес внутреннего интерфейса
Inet ifconfig eth0 up
Inet ifconfig eth1 up – включаем интерфейсы


Inet route add default next-hop 192.168.0.1 – задаем маршрут по умолчанию. Комментарий от автора: Мой комментарий Если эту строку убрать, тогда ПАК работает в любой сети. Маршрут по умолчанию добавляется динамически в зависимости от того где он включен. И внешний ip ПАК получает от dhcp источника


Inet dhcp server interface eth1 – задаем интерфейс для раздачи по DHCP
Inet dhcp server router 10.8.254.62 – задаем адрес шлюза для пользователей
Inet dhcp server range 10.8.254.1 10.8.254.61 – задаем диапазон выдачи адресов
Inet dns forwarders add 10.10.51.1 – задаем ДНС сервер
Inet dns forwarders add 10.10.52.1 – задаем ДНС сервер
Inet dns mode on - ДНС сервер стартует при запуске координатора
Inet dns start
Inet dhcp server mode on – dhcp сервер стартует при запуске координатора
Inet dhcp server start
Iplir config eth0 – включаем ведение журнала
</code>

Меняем значение на on

{{:sidebar:networks:pasted:20240116-154716.png}}


**Ctrl+x -> y -> enter** – сохраняем изменения
<code>
Iplir config eth1 – включаем ведение журнала
</code>
{{:sidebar:networks:pasted:20240116-154732.png}}


**Ctrl+x -> y -> enter** – сохраняем изменения
<code>
Iplir config
</code>
Листаем вниз до секции [dynamic], вносим изменения как на картинке:

{{:sidebar:networks:pasted:20240116-154749.png}}

**Ctrl+x -> y -> enter** – сохраняем изменения

<code>
Inet ping 8.8.8.8 – проверяем что настройки внешнего интерфейса верные
Iplir start
Vpn start –  включаем управляющие демоны
Iplir ping 0x085306bb – проверям доступность центрального координатора, если всё настроено верно то получим вывод:
</code>
{{:sidebar:networks:pasted:20240116-154805.png}}

=====  4. Что можно добавить ===== 
После выполненных действий ПАК  подключается к головному координатору,
но как маршрутизатор для рабочих станций за ним - он не работает и доступ к webgui отсутствует.

Для доступа к веб морде нужно добавить правило:
<code>
firewall local add src {моя подсеть}/26 dst {ip eth1 координатора} tcp dport 8080 pass
</code>
Для работы интернета
<code>
firewall nat add src {моя подсеть}/26 dst @InternetIP change src auto
firewall forward add src @any dst @any pass	
Firewall local add src {моя подсеть}/26 dst 10.8.254.62 udp dport 53 pass – пробрасываем днс сервера
</code>

=====  5. Подводные камни =====

1. Пароль администратора может быть просрочен и без него вы ничего не сделаете, но можно изменить дату в bios если он у вас со стандартным паролем, и все получится. 

2. После установки и настройки если вы выйдите из режима администрирования, вы больше не сможете зайти так как пароль у вас скорее всего просроченный  

3. Сверяем dhcp pool адресов которые мы будем выдавать клиентам локальной сети с конфигом iplir 6-я строка tunnel= ( здесь у нас должен совпадать пул)