Возможные проблемы при эксплуатации шлюза NGate
В данном разделе описано решение проблем, с которыми Администратор может столкнуться в процессе эксплуатации шлюза NGate. В том числе проблемы с подключением клиента NGate, связанные с настройками шлюза.
| Неисправность | Возможная причина | Способ устранения |
|---|---|---|
| Клиент КриптоПро NGate не соединяется со шлюзом из внешней сети | TCP-порт на устройстве, выполняющем PAT (Port Address Translation), не соответствует TCP порту на портале NGate | Использовать на портале NGate и транслирующем устройстве одинаковые TCP-порты |
| «КриптоПро NGate Client» для Android не соединяется со шлюзом при использовании в качестве адреса сервера IP-адреса, а не DNS-имени шлюза | IP-адрес не может быть использован в качестве адреса шлюза в клиенте для Android | Использовать для подключения к шлюзу его DNS-имя (на портале NGate должен использоваться соответствующий сертификат) |
| Ошибка сетевых настроек | Если проводились манипуляции с сетевыми интерфейсами (ifdown/ifup) | После завершения настроек необходимо зайти в веб-интерфейс Администратора и повторно применить настройки маршрутизации (routing) к Узлам |
| В логах nginx только невнятное сообщение о том, что он не может быть привязан к "старому" адресу | Если сменить на СУ IP-адрес, то всё перестаёт работать. | Выполнить "привязку" админского сертификата повторно. Со старым сертификатом. Новый адрес пропишется автоматически. |
| Если сменить на Узле NGate IP-адрес, то всё перестаёт работать. | Выполнить "привязку" сертификата MC Service повторно. Со старым сертификатом. Новый адрес пропишется автоматически | |
| Проблема с определением в установленном ПО NGate устанавливали ПО в UEFI режиме или в Legacy (BIOS) | Не очевидно, как это сделать, не перезагружая систему |
Выполните команду: ls /sys/firmware/efi Если файл присутсвует — UEFI; файла нет — BIOS (Legacy) |
|
При попытке загрузки конфигурации (дистрибутив ngate-complete до версии 1.14.0): Error: Can not parse upload reply from node. Status code 502 |
На дистрибутиве complete в даной версии не допускается использовать кнопку Generaate Node Bindings, т. к. это приводит к неработоспособности шлюза | Отредактировать файл
/etc/opt/ngate/nginx/ng-bindings.conf Привести его к виду: # Self-node on combined installation (MC+node)
server {
listen 127.0.0.1:7050 default_server;
server_name node_server;
allow 127.0.0.1;
deny all;
location / {
proxy_pass http://127.0.0.1:7021;
}
}
|
| Синхронизация времени не работает | На клиенте NGate ntp версии 4 Если сервер будет например версии 3 - время синхронизироваться не будет. | Использовать сервер версии 4 и старше |
| None Failed to create session - Username or password is incorrect при доменной авторизации. | Стоит Проверять на стороне LDAP (AD) - не стоит ли у учетной записи атрибут «Смена пароля при первом входе» | |
| Через NGate не проходит WebSocket-протокол | Проблема с заголовками | Два заголовка добавить в статические:Upgrade: websocket Connection: Upgrade |
| Проблема с работой динамического туннеля | Неправильно указаны порты | Для динамического туннеля порт в настройках ресурса должен совпадать с портами на балансировщике (входящим и исходящими) |
| Ошибка вида: MainThread 1 - <info-host> - None Error while creating session - Database error occurred: (113, 'No route to host') | В адресе шлюза динамического туннеля указал внутренний интерфейс Узла кластера | Правильно указывать адреса, согласно схеме сети |
| Ошибка: *18562556 AcceptSecurityContext failed: 0x80090304 while SSPI handshaking, client: 109.173.103.132, server: 0.0.0.0:443 |
Проверить, что с местом в разделе /var: /dev/sda9 132G 149M 125G 1% /var |