ПРОБЛЕМА: как правильно установить и настроить К-АП, чтобы ЛВС стабильно работала?

ПРОБЛЕМА: значок К-АП зеленеет, есть маршрут до почтового сервера УФК (ОФК), но не ходит почта и не отвечают 110 и 25 порты (команда telnet 192.168.0.7 110 для управления, telnet 10.22.х.250 110 для отделения, где х - номер сети отделения).

РЕШЕНИЕ:

-проверить наличие галочки SNGateFilter в свойствах сетевого (удаленного) подключения, используемого для работы К-АП. Если нет, поставить, перезагрузиться.

-в настройках ап\сервер доступа\ удалить, применить, добавить сертификат srv00.cer, по умолчанию.

ПРОБЛЕМА: значок К-АП не зеленеет, не запрашивает дискету, ошибок нет, удаленное соединение и Интернет работают

РЕШЕНИЕ:

-обратиться к администратору в УФК (ОФК) с просьбой пропустить ICMP на внешний интерфейс КШ СД и проверить связи утилитой ping его с ПК организации, не запуская К-АП. Если при действующем соединении ping-пакеты не проходят, то, скорее всего, не работает не только удаленной соединение, но и Интернет и ЛВС и регулярно выпадает синий экран.
Если не запрашивает дискету - не может соединиться с СД.

Варианты решения:

-пополнить счет у провайдера

-пропустить на фаерволе IP250, TCP/4439, 4440, 4443, UDP/4440 в обе стороны (порты, используемые для связи К-АП и СД)

-перезагрузиться

ПРОБЛЕМА: ошибка: "подключение с динамическим адресом невозможно".

РЕШЕНИЕ: в общих настройках К-АП стоит опция "получать IP-адрес от СД", уберите опцию.

ПРОБЛЕМА: как прописать в настройки К-АП несколько дискет для соединения с разными СД?

РЕШЕНИЕ: настройки К-АП\закладка "сервер доступа"\добавить. один из СД должен быть с опцией ""по умолчанию". при этом не рекомендуется обновлять версию К-АП, если все работает. если нет соединения по новой дискете, поставьте более старый билд К-АП для совместимости с СД старой версии.

В наличии К-АП версий:

2.0.82.17
2.0.82.11
2.0.77.0
2.0.42.0
и 1.1.0.29

ПРОБЛЕМА: как правильно установить и настроить К-АП, чтобы ЛВС стабильно работала?

РЕШЕНИЕ: как избежать проблем, по рекомендациям Информзащиты:
-установить все КриптоПро и К-АП.

-открыть c:\program_file\infosec\continent_client\ setadapter.exe

-убрать метки со всех интерфейсов, которые не используются К-АП, прежде всего убрать метку с интерфейса ЛВС(либо в свойствах незащищаемого сетевого подключения убрать SNGate Filter);

-перезагрузиться

-после перезагрузки в свойствах локального интерфейса проверить отсутствие галки на SNGate Filter. если стоит, то снять и перегрузиться, после проверить еще раз только после всех операций можно первый раз соединяться по К-АП, не опасаясь, что пропадет локальная сеть.

ПРОБЛЕМА: установил КриптоПро CSP и TLS, К-АП. сразу установил сертификаты сервера доступа, а они с красными крестиками: "невозможно проверить подпись сертификата, возможно, сертификат недействителен". Соединение не устанавливается.

РЕШЕНИЕ: перезагрузиться, чтобы запустились службы КриптоПро CSP, используемого для проверки подлинности сертификата, проверить системную дату и время