Возможные проблемы при эксплуатации шлюза NGate
В данном разделе описано решение проблем, с которыми Администратор может столкнуться в процессе эксплуатации шлюза NGate. В том числе проблемы с подключением клиента NGate, связанные с настройками шлюза.
| Неисправность | Возможная причина | Сбособ устранения |
|---|---|---|
| «КриптоПро NGate Client» не соединяется со шлюзом из внешней сети | TCP порт на устройстве, выполняющем PAT (Port Address Translation), не соответствует TCP порту на портале NGate | Использовать на портале NGate и транслирующем устройстве одинаковые TCP порты |
| «КриптоПро NGate Client» для Android не соединяется со шлюзом при использовании в качестве адреса сервера IP-адреса, а не DNS-имени шлюза | IP-адрес не может быть использован в качестве адреса шлюза в клиенте для Android | Использовать для подключения к шлюзу его DNS-имя (на портале NGate должен использоваться соответствующий сертификат) |
| Ошибка сетевых настроек | Если проводились манипуляции с сетевыми интерфейсами (ifdown/ifup) | После завершения настроек необходимо зайти в админку и повторно применить настройки роутинга к Узлам |
| В логах nginx только невнятное сообщение о том, что он не может прибиндится к "старому" адресу | Если сменить МС IP-адрес, то всё перестаёт работать. | Выполнить "привязку" админского сертификата повторно. Со старым сертификатом. Новый адрес пропишется автоматически. |
| Если сменить Ноде IP-адрес, то всё перестаёт работать. | Выполнить "привязку" сертификата MC Service повторно. Со старым сертификатом. Новый адрес пропишется автоматически | |
| Проблема с определением в установленном ПО NGate устанавливали ПО в UEFI режиме или в Legacy (BIOS) | Не очевидно, как это сделать, не перезагружая систему |
Выполните команду: ls /sys/firmware/efi Если файл присутсвует — UEFI; файла нет — BIOS (Legacy) |
|
При попытке загрузки конфигурации (дистрибутив ngate-complete до версии 1.14.0): Error: Can not parse upload reply from node. Status code 502 |
На дистрибутиве complete в даной версии не допускается использовать кнопку Generaate Node Bindings, т. к. это приводит к неработоспособности шлюза | Отредактировать файл
/etc/opt/ngate/nginx/ng-bindings.conf Привести его к виду: # Self-node on combined installation (MC+node)
server {
listen 127.0.0.1:7050 default_server;
server_name node_server;
allow 127.0.0.1;
deny all;
location / {
proxy_pass http://127.0.0.1:7021;
}
}
|
| Синхронизация времени не работает | На негйте клиент ntp версии 4 Если сервер будет например версии 3 - время синхронизироваться не будет. | Использовать сервер версии 4 и старше |
| None Failed to create session - Username or password is incorrect при доменной авторизации. | Стоит Проверять на стороне LDAP (AD) - не стоит ли у учетной записи аттрибут "Смена пароля при первом входе" | |
| Через NGate не проходит WebSocket-протокол | Проблема с заголовками | Два заголовка добавить в статические:Upgrade: websocket Connection: Upgrade |
| Для динамического туннеля порт в настройках ресурса должен совпадать с портами на балансировщике (входящим и исходящими) | ||
| Ошибка вида: MainThread 1 - <info-host> - None Error while creating session - Database error occurred: (113, 'No route to host') | В адресе шлюза динамического туннеля указал внутренний интерфейс ноды кластера | Правильно указывать адреса, согласно схеме сети |
| Ошибка: *18562556 AcceptSecurityContext failed: 0x80090304 while SSPI handshaking, client: 109.173.103.132, server: 0.0.0.0:443 |
Решение - проверить, что с местом в разделе /var: /dev/sda9 132G 149M 125G 1% /var |
|
|
Переменные окружения для curl задавать в конфиге nginx вместе со значениями:https://nginx.org/en/docs/ngx_core_module.html#env |
Следует добавить переменную с адресом прокси в конфиг nginx: В конкретном случае: env http_proxy=http://192.168.222.5:3128/; и не забыть рестарт https://jira.cp.ru/browse/NGATE-2425 |