Блог Алексея Черемных

Улучшаем канал связи ViPNet координатор HW при его низкой скорости

Категория: Железо Теги: ViPNet , СКЗИ Опубликовано: 9 апреля 2022 г. 19:38
Редактор конфигурации iplir в ViPNet HW1000
Редактор конфигурации iplir в ViPNet HW1000

Некоторые пользователи координаторов ViPNet HW сталкиваются с тем, что зашифрованные пакеты висят слишком много для более-менее адекватной передачи при использовании очень плохо канала связи, например, спутникового интернета на каком-нибудь севере. На самом деле многие севера подключаются при помощи спутникового интернета от дочек Ростелекома, если к ним еще не дошел проводной интернет. Тут дело не в том, что его долго и дорого тянуть, а в том, что в некоторые места его практически невозможно проложить и проект стоит столько, что эта пара деревень на 200 жителей его за 1000 лет не окупят. В таком случае дешевле спутниковый интернет и GSM-интернет.

Так вот, представьте пропускную способность канала связи в 0,25 мегабит. Звучит очень печально, но это вполне реальная история. И при такой пропускной способности некоторым организациям важно иметь защищенный канал связи, согласно требований ФСТЭК России. Тут возникает необходимость использовать СКЗИ Vipnet или Континент от Кода безопасности. В любом случае, зашифрованные сетевые пакеты весят еще больше. И в результате становится еще более грустно, а людям еще нужно по видеосвязи с другими филиалами переговариваться. Радует тот факт, что и сотрудников там не много. Однако, ситуацию это не спасает.

Как улучшить пропускную способность канала связи при использовании ViPNet Coordinator HW?

В конце 2021 года я задался этим вопросом и ответа в интернете не нашел. Более-того, мне ничего дельного подсказать не смогли даже на форуме Infotecs. 

Один московский коллега случайно подал хорошую идею. Существует такая вещь, как MTU - максимальный размер сетевого пакета, если говорить грубо.

Суть идеи в том, что можно уменьшить максимальный размер сетевого пакета, но так, чтобы это всё не переросло в значительное увеличение количества пакетов. Если задуматься, то может показаться, что смысла в этой идеи нет. Видимо такого же мнение и Infotecs, так как во всей их документации нет информации о том, как его можно уменьшить. Однако, я нашел способ уменьшить MTU на координаторе ViPNet HW1000 и пропускная способность канала связи стала действительно лучше!

Инструкция по уменьшению размера сетевого пакета на ViPNet Coordinator HW

Если такой координатор у вас есть, то вы уже должны быть знакомы с такой программой, как PuTTY. С её помощью подключаемся к координатору по SSH. 

Рекомендую перед началом этих манипуляций замерить скорость.

Запускаем PuTTY и в поле Host Name указываем реальный или виртуальный адрес координатора. Виртуальный адрес лучше смотреть в ViPNet Client, так как он может быть разный на разных компьютерах. Далее нажимаем Open.

Вводим логин и пароль от координатора. Логин для третьей версии прошивки vipnet, а для четвертой user. Пароль можно посмотреть в ключевом центре ViPNet у администратора сети.

Теперь необходимо остановить его основную службу - iplir. У клиентов на время остановки службы могут быть перебои, хотя обычно у уже установивших соединение проблем не наблюдается - максимум снижается скорость.

Вводим команду iplir stop.

Теперь нужно зайти в редактор конфигураций демона Iplir, пишем команду iplir config.

Откроется окно с конфигурациями координатора. Листаем в самый низ до секции [misc].

В секции misc ищем параметр mssdecrease.

По умолчанию размер сетевого пакета 1500, и уменьшить его можно на 60 или на 100. Уменьшение на значение больше 100 приводит к ухудшению канала связи.

Советую поставить в параметр mssdecrease = 60 (по умолчанию написано 0).

Сохранить конфигурации при помощи клавиш CTRL + O и далее нажимаем энтер - это сохранить. Потом нажимаем CTRL + X для выхода.

Запускаем службу iplir, вводим команду iplir start.

Проверить скорость, стала лучше и на сколько.

Потом стоит попробовать уменьшить на 100, то есть изменить mssdecrease = 100.

Главное не уменьшайте размер пакета более чем на 100, и вообще его не уменьшайте, если у вас нормальный канал связи.

Похожие материалы:


Резервное копирование конфигурации
Резервное копирование конфигурации ViPNet Coordinator HW1000
Автор: Алексей Черемных25 ноября 2021

При большом желании в официальном мануале на ViPNet Coordinator HW1000 можно найти инструкцию по резервному копированию с сохранением самого vipnet …

Интерфейс координатора HW1000
Как поменять IP-адрес на координаторе ViPNet HW1000?
Автор: Алексей Черемных25 ноября 2021

ViPNet Coordinator HW1000 это программно-аппаратный комплекс СКЗИ (средств криптографической защиты информации). Если максимально упростить, то есть программные клиенты ViPNet Client …

Внешний вид координаторов HW1000
Экспорт списка клиентов из координатора ViPNet HW1000
Автор: Алексей Черемных29 ноября 2021

Компания Infotecs не предусмотрела возможность вытащить список клиентов с данными о них из своих координаторов ViPNet Coordinator HW1000 и HW2000. …

Координатор ViPNet HW100
Как выгрузить конфиги vipnet coordinator hw?
Автор: Алексей Черемных28 марта 2022

Опишу свой способ сохранения конфигов ViPNet coordinator HW100, 1000 и 2000 4 версии, хотя версия прошивки не принципиальна.

У меня уже …

Программа ViPNet Client  - что это за программа?
ViPNet Client что это за программа?
Автор: Алексей Черемных12 апреля 2022

ViPNet Client это клиентская часть программно-аппаратного комплекса Средств Криптографической Защиты Информации ViPNet Coordinator HW от компании Infotecs. Сертифицирован ФСТЭК и …

Список маршрутов координатора ViPNet HW
Как изменить шлюз в координаторе ViPNet HW1000 \ 2000
Автор: Алексей Черемных29 апреля 2022

Бывают ситуации, когда на координаторе необходимо поменять сетевой шлюз, но удалять все настройки и заново производить инициализацию (установка ключей и …

Все теги:

Подписка на рассылку свежих статей