Установка и настройка OpenConnect VPN Server с поддержкой Let’s Encrypt
https://notdev.ru/linux/ocserv-install.html
+ Dashboard : https://github.com/mmtaee/ocserv-dashboard
Установка и настройка OpenConnect VPN Server с поддержкой Let’s Encrypt
Содержание страницы
Сервер OpenConnect VPN (ocserv) — это сервер Linux SSL VPN с открытым исходным кодом, разработанный для организаций, которым требуется VPN с удаленным доступом и возможностью управления и контроля корпоративных пользователей.
Подготовка
Подготовка сервера для работы это личные предпочтения, у каждого они свои, например вот
Важна установка корректного имени сервера
hostname -f
#vpn.notdev.ru
Клиентские приложения
- Cisco AnyConnect: Microsoft Store, Windows, Google Play, App Store
- OpenConnect: Linux, Windows
- Clavister OpenConnect: Microsoft Store, Google Play, App Store
Установка OpenConnect VPN Server
В стандартном репозитории Debian на текущий момент, есть только версия 1.1.6, если вам нужна функция camouflage, то придется включить тестовый репозиторий и установить версию 1.2.4 и выше либо скомпилировать из исходников самостоятельно.
apt install -y ocserv certbot
Делаем резервную копию конфигурации, создаем рабочий конфиг из дефолтного без комментариев и пустых строк
cp /etc/ocserv/ocserv.conf{,.bak}
cat /etc/ocserv/ocserv.conf.bak | grep -v '^#' | sed '/^$/d' > /etc/ocserv/ocserv.conf
Выпуск SSL сертификата
При первом запуске вам потребуется ввести рабочий адрес электронной почты, открыты порт 80 TCP. Все сертификаты Let’s Encrypt выдаются сроком на 90 дней и certbot будет их автоматически продлять.
certbot certonly --standalone --post-hook "service ocserv restart" --preferred-challenges http --agree-tos --email ssl@notdev.ru -d vpn.notdev.ru
Настроить перезапуск сервера OpenConnect после получения нового сертификата. Для этого откроем /etc/letsencrypt/renewal/vpn.notdev.ru.conf добавим post_hook в секцию [renewalparams], либо при первом запуске указать —post-hook «service ocserv restart»
nano /etc/letsencrypt/renewal/vpn.notdev.ru.conf
post_hook = systemctl restart ocserv
Отредактируйте nano /etc/ocserv/ocserv.conf
Укажите SSL сертификат и приватный ключ, а так же перечень доменных имен используемых VPN сервером
server-cert = /etc/letsencrypt/live/vpn.notdev.ru/fullchain.pem
server-key = /etc/letsencrypt/live/vpn.notdev.ru/privkey.pem
default-domain = vpn.notdev.ru
Можно использовать несколько доменных имен одновременно, default-domain = «vpn.notdev.ru ocserv.notdev.ru», ко всем доменным именам должны быть выпущены соответствующие SSL сертификаты
Проверка авторизации пользователя
Воспользуемся базовой авторизацией PAM, создайте учетную запись user-vpn-test
ocpasswd -c /etc/ocserv/passwd user-vpn-test
Отредактируйте nano /etc/ocserv/ocserv.conf
auth = "plain[passwd=/etc/ocserv/passwd]"
Одновременно может быть указана только одна строка с аутентификацией, но в ней можно перечислить несколько источников, а так же использовать 2FA
Перезапустите OCServ
service ocserv restart
service ocserv status
Настройка завершена и в текущей конфигурации уже можно пользоваться.
Настройка сети
- Сеть 192.169.100.0/24 (маска сети 255.255.255.0)
- IP адрес VPN сервера 192.168.100.1
- DNS 192.168.10.11 192.168.10.12
ipv4-network = 192.168.100.1
ipv4-netmask = 255.255.255.0
dns = 192.168.10.11
dns = 192.168.10.12
Для отправки всех DNS-запросов в VPN туннель. Это значение по умолчанию когда установлен маршрут по умолчанию
tunnel-all-dns = true
Для раздельной отправки DNS-запросов в VPN туннель, необходимо для доменов в которых следует использовать предоставленный DNS
split-dns = notdev.local
Маршруты для пересылки клиенту
route = 192.168.10.0/255.255.255.0
route = 192.168.11.0/255.255.255.0
Есть несколько вариантов
- Default — Весь трафик идет через VPN соединение
- Split VPN — только указанные подсети или отдельные IP адреса будут перенаправляться через VPN соединение
- NO route — указанные подсети или отдельные IP адреса будут НЕ перенаправляться через VPN соединениеroute = default
route = 192.168.10.11/255.255.255.254
route = 192.168.10.12/255.255.255.254
route = 192.168.11.0/255.255.255.0
no-route = 192.168.1.0/255.255.255.0
no-route = 192.168.1.1/255.255.255.254
Текущая конфигурация
Итоговый конфигурационный файл ocserv.conf должен выглядеть примерно так
auth = "plain[passwd=/etc/ocserv/passwd]"
tcp-port = 443
udp-port = 443
run-as-user = ocserv
run-as-group = ocserv
socket-file = /run/ocserv-socket
chroot-dir = /var/lib/ocserv
server-cert = /etc/letsencrypt/live/vpn.notdev.ru/fullchain.pem
server-key = /etc/letsencrypt/live/vpn.notdev.ru/privkey.pem
isolate-workers = true
max-clients = 16
max-same-clients = 2
rate-limit-ms = 100
server-stats-reset-time = 604800
keepalive = 32400
dpd = 90
mobile-dpd = 1800
switch-to-tcp-timeout = 25
try-mtu-discovery = false
cert-user-oid = 0.9.2342.19200300.100.1.1
tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0:-VERS-TLS1.0:-VERS-TLS1.1:-VERS-TLS1.3"
auth-timeout = 240
min-reauth-time = 300
max-ban-score = 80
ban-reset-time = 1200
cookie-timeout = 300
deny-roaming = false
rekey-time = 172800
rekey-method = ssl
use-occtl = true
pid-file = /run/ocserv.pid
log-level = 1
device = vpns
predictable-ips = true
default-domain = vpn.notdev.ru
ipv4-network = 192.168.100.1
ipv4-netmask = 255.255.255.0
dns = 192.168.10.11
dns = 192.168.10.12
split-dns = notdev.local
ping-leases = false
route = 192.168.10.0/255.255.255.0
route = 192.168.11.0/255.255.255.0
cisco-client-compat = true
dtls-legacy = true
client-bypass-protocol = false
Включаем возможность пересылки трафика
cat <<EOF >/etc/sysctl.d/99-xtune.conf
# Forwarding
net.ipv4.ip_forward = 1
EOF
Дополнительные настройки для сетевого интерфейса
Выключаем IPv6 и увеличиваем пропускную способность канала передачи данных.
BBR (Bottleneck Bandwidth and RTT) — алгоритма контроля перегрузки TCP, патчи с которым ещё в 2016 году были опубликованы компанией Google и приняты в основное ядро Linux. Применение этой технологии в некоторых конфигурациях позволяет увеличить пропускную способность канала передачи данных.
cat <<EOF >>/etc/sysctl.d/99-xtune.conf
# Enables Proxy ARP on all interfaces
net.ipv4.conf.all.proxy_arp = 1
# Disable IPv6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
# Tune TCP
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr
EOF
sysctl -p /etc/sysctl.d/99-xtune.conf
Настройка Firewall
MASQUERADE — нужен только если вы по какой то причине не можете прописать обратный маршрут.
Для работы некоторых протоколов и приложений, например VoIP SIP кране необходим обратный маршрут на вашем маршрутизаторе
iptables
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
nftables
nft add table nat
nft add chain nat postrouting { type nat hook postrouting priority 100 \; }
nft add rule nat postrouting oifname "eth0" masquerade
Более полный конфиг смотрите в статье о безопасности OpenConnect
Task Scheduler Powershell script
Powershell.exe
-ExecutionPolicy Bypass C:\script.ps1 -RunType $true
Alt linux displaylink
Обновить пакеты
Постаивть последнее ядро
Поставить headers и DKMS
Сделать update-kernel!!!!!
Поставить все drm библиотеки
И только после этого поставить displalink-driver с сайта
Штатные модули evdi от базальта НЕ включать.
Настройка DCOM компоненты “Excel.Application” на 64-битном сервере приложений 1С
Описание настройки на 64-битном сервере приложений 1С, позволяющие создавать и использовать COMОбъект «Excel.Application» на сервере 1С. Это поможет обработать большие файлы excel на сервере, в том числе через фоновые задания.
- Заходим на сервер приложений 1С под локальным админом.
- Запускаем DCOMCNFG (Консоль настроек “Component Services”).
- Открываем ветку Console Root -> Component Services -> Computers -> My computer -> DCOM Config.
- Ищем “Microsoft Excel Application”.
- Если нашли, то переходим к пункту 4 (Настраиваем свойства DCOM компонента “Microsoft Excel Application”).
- Закрываем “Component Services”.
- Настройка реестра.
- Запускаем REGEDIT.
- Открываем ветку Computer\HKEY_CLASSES_ROOT\AppID\EXCEL.EXE, если ее нет, то создаем.
- Создаем в ней строковый параметр AppID = {00020812-0000-0000-C000-000000000046}.
- Выполняем команду “mmc comexp.msc /32”, которая делает то же что и DCOMCONFIG, но позволяет видеть 32 битные компоненты.
- После этого в Component Services должен появиться “Microsoft Excel Application”.
- Настраиваем свойства DCOM компонента “Microsoft Excel Application”.
- Закладка “Security”.
- “Launch and Activation Permissions” – Customize – Edit.
- Добавляем пользователя, под которым запускается агент сервера 1С.
- Назначаем ему только следующие права (allow):
- Local Launch
- Local Activation
- “Access Permissions” – Customize – Edit.
- Добавляем пользователя, под которым запускается агент сервера 1С.
- Назначаем ему только права Local Access.
- “Launch and Activation Permissions” – Customize – Edit.
- Во вкладке “Identity” должно быть выбрано “The launching user”.
- Закладка “Security”.
- Системные папки
- Папка “C:\Windows\SysWOW64\config\systemprofile\Desktop\”.
- Проверяем наличие папки , если нет – то создаем.
- Заходим в свойства этой папки.
- Закладка Security.
- Добавляем, если нет, пользователя, под которым запускается агент сервера 1С.
- Добавляем право “Read” и “Write”.
- Папка “C:\Windows\System32\config\systemprofile\Desktop\”.
- Проверяем наличие папки , если нет – то создаем.
- Заходим в свойства этой папки.
- Закладка Security.
- Добавляем, если нет, пользователя, под которым запускается агент сервера 1С.
- Добавляем право “Read” и “Write”.
- Папка “C:\Windows\SysWOW64\config\systemprofile\Desktop\”.
Корпорация Microsoft на сегодняшний день не рекомендует производить и не поддерживает автоматизацию программ из пакета Microsoft Office с помощью автоматических, неинтерактивных клиентских приложений или компонентов (включая ASP, DCOM и службы NT), поскольку при запуске в этом окружении программы пакета Office могут работать нестабильно или зависать.
Чтобы избежать проблем при работе с “битыми” файлами в режиме восстановления надо дать сразу полный доступ на папки:
- C:\Windows\SysWOW64\config\systemprofile\AppData\Local
- C:\Windows\System32\config\systemprofile\AppData\Local
пользователю, под которым запускается агент сервера 1С.
Коды ответов телефонии Q850
https://wiki.twin24.ai/voice-bots/concepts/q850-codes
Коды ответов телефонии Q850
Расшифровка кодов ошибок Q850
В отчетах о звонках отображается поле Q850 — код завершения вызова. Этот код показывает, по какой причине звонок был прерван.
Ниже — полный список возможных кодов и их расшифровок. Если вы столкнулись с какой-либо ошибкой и не можете интерпретировать ее значение — обратитесь в техподдержку.
| Код | Eng | Ru | Описание |
|---|---|---|---|
| 0 | Valid cause code not yet received. | Код причины еще не получен. | Во время установления соединения узел еще не получил достаточной информации, чтобы определить причину завершения вызова. |
| 1 | Unallocated (unassigned) number. | Вызываемый номер не найден или не существует. | Запрошенный номер действителен форматно, но не закреплен ни за каким абонентом. |
| 2 | No route to specified transit network (WAN). | Нет маршрута к указанной транзитной сети. | Была инициирована переадресация звонка, но требуемый маршрут перевода недоступен или не существует. |
| 3 | No route to destination. | Нет маршрута до назначения. | Вызываемый номер недоступен — сеть, в которой совершается звонок, не обслуживает этот номер. |
| 4 | Send special information tone. | Передача специального информационного сигнала. | Номер недоступен по постоянной причине — вызывающей стороне передается специальный информационный сигнал. |
| 5 | Misdialed trunk prefix. | Ошибочный префикс транка. | В номере допущена ошибка при наборе префикса для звонка. |
| 6 | Channel unacceptable. | Неприемлемый канал. | Выбранный канал связи не подходит для передачи данных или выполнения вызова. |
| 7 | Call awarded and being delivered in an established channel. | Вызов принят и доставлен по установленному каналу. | Абоненты подключены к одному каналу, звонок поступил на номер. |
| 8 | Prefix 0 dialed but not allowed. | Набран префикс 0, но он не разрешен. | В номере набран префикс 0, но такие звонки запрещены для этой линии или пользователя. |
| 9 | Prefix 1 dialed but not allowed. | Набран префикс 1, но он не разрешен. | Вызов не может быть выполнен, потому что номер начинается с префикса 1, который зарезервирован для специальных сервисов (например, экстренных или служебных), но его использование не разрешено из текущей сети или для этого пользователя. |
| 10 | Prefix 1 dialed but not required. | Набран префикс 1, но он не требуется. | Код возникает, если пользователь вручную добавляет префикс 1, хотя система его автоматически обрабатывает или вовсе не использует. |
| 11 | More digits received than allowed, call is proceeding. | Получено больше цифр, чем разрешено, вызов продолжается. | Пользователь набрал номер, содержащий больше цифр, чем предусмотрено настройками. Несмотря на это, сеть не прерывает соединение — вызов продолжается, возможно, с обрезкой лишних цифр. |
| 16 | Normal call clearing. | Нормальное завершение вызова. | Вызов завершен успешно — один из участников положил трубку. |
| 17 | User busy. | Вызываемый абонент занят. | Вызываемый абонент в данный момент разговаривает по телефону или занят другим соединением. |
| 18 | No user responding. | Вызываемый абонент не отвечает. | Абонент не взял трубку. |
| 19 | No answer from the user. | Нет ответа от абонента (абонент предупрежден). | Абонент получил сигнал о поступающем звонке, но не взял трубку. |
| 20 | Subscriber absent. | Абонент отсутствует. | Абонент находится вне зоны действия сети или временно недоступен. |
| 21 | Call rejected. | Вызов отклонен. | Абонент намеренно отклонил вызов — причина не связана с технической ошибкой. |
| 22 | Number changed. | Номер заменен. | Абонент сменил номер — вызываемый номер больше не обслуживается. |
| 23 | Reverse charging rejected. | Обратная тарификация отклонена. | Получатель вызова отказался оплачивать звонок, и соединение не было установлено. |
| 24 | Call suspended. | Вызов приостановлен. | Соединение не завершено, но временно остановлено — например, при удержании или переводе. |
| 25 | Call resumed. | Вызов возобновлен. | Приостановленное соединение было успешно восстановлено и продолжено. |
| 26 | Non-selected user clearing. | Завершение вызова невыбранным пользователем. | Вызов отклонен абонентом, которому он не был предназначен. |
| 27 | Destination out of order. | Пункт назначения неисправен. | Устройство вызываемой стороны или маршрут к нему не работает корректно. Этот код может возникать, если: – оборудование абонента недоступно; – сеть не может доставить вызов из-за сбоя на пути; – нарушен физический или логический канал связи. |
| 28 | Invalid number format. | Неправильный формат номера. | Вызываемый номер введен в некорректном формате. |
| 29 | Facility rejected. | Услуга отклонена. | Дополнительная услуга, затребованная пользователем, не может быть обеспечена сетью. |
| 30 | Response to STATUS ENQUIRY. | Ответ на запрос STATUS ENQUIRY. | STATUS сообщение с ответом на запрос о состоянии оборудования. |
| 31 | Normal, Unspecified. | Нормальное завершение, причина не указана. | Вызов завершен корректно, но сеть не предоставила точной причины. |
| 33 | Circuit out of order. | Линия неисправна. | Сеть не может установить соединение, потому что один из каналов (физический или логический) поврежден или не работает. |
| 34 | No circuit/channel available. | Нет свободного канала или линии. | Все возможные маршруты перегружены или временно недоступны. |
| 35 | Destination unattainable. | Пункт назначения недостижим. | Сеть не может доставить вызов до указанного номера — например, из-за отсутствия маршрута, блокировки номера, сбоев в инфраструктуре или некорректной маршрутизации. |
| 37 | Degraded service. | Ухудшение качества обслуживания. | Сеть допускает соединение, но не может обеспечить стабильную или полноценную связь. |
| 38 | Network out of order. | Сеть неисправна. | Сеть, в которой происходит вызов, неисправна, и такое состояние может продлиться долго — немедленные попытки перезвона не будут успешными. |
| 39 | Transit delay range cannot be achieved. | Диапазон задержки транзита не может быть обеспечен. | Сеть не может гарантировать нужную скорость доставки данных для соединения. |
| 40 | Throughput range cannot be achieved. | Диапазон пропускной способности не может быть обеспечен. | Сеть не в состоянии предоставить требуемую скорость передачи данных для вызова. |
| 41 | Temporary failure. | Временная неисправность. | Ошибка на стороне сети телефонии, немедленные попытки перезвона могут быть успешными. |
| 42 | Switching equipment congestion. | Перегрузка коммутационного оборудования. | Сеть перегружена и не может обработать новый вызов. |
| 43 | Access information discarded. | Информация о доступе отклонена. | Вызываемым абонентом не был получен доступ к звонку. |
| 44 | Requested circuit/channel not available. | Требуемый маршрут/канал недоступен. | Конкретный канал или ресурс, запрошенный для установки вызова, недоступен — возможно, он занят, отключен или не может быть использован по техническим причинам. |
| 45 | Pre-empted. | Прерван по приоритету. | Вызов завершен системой, чтобы освободить канал для более важного соединения. |
| 46 | Precedence call blocked. | Приоритетный вызов заблокирован. | Сеть не смогла установить вызов с высоким приоритетом из-за нехватки ресурсов или ограничений. |
| 47 | Resource unavailable – unspecified. | Ресурс недоступен — причина не указана. | Вызов не может быть установлен, потому что нужный элемент сети временно недоступен. |
| 49 | Quality of service unavailable. | Требуемое качество обслуживания не может быть обеспечено. | Сеть не может обеспечить нужные условия соединения (например, для голоса или видео). |
| 50 | The requested facility is not subscribed. | Отсутствует подписка на требуемую услугу. | Абонент запросил дополнительную услугу, на которую у него нет разрешения. На стороне оборудования услуга доступна. |
| 51 | Reverse charging not allowed. | Обратная тарификация не разрешена. | Получатель вызова не принимает оплату за входящий звонок, или услуга недоступна в сети. |
| 52 | Outgoing calls barred. | Исходящие вызовы запрещены. | Абонент не может совершать вызовы из-за ограничений со стороны оператора, тарифного плана или настроек. |
| 53 | Outgoing calls barred within Closed User Group (CUG). | Исходящие вызовы запрещены внутри замкнутой группы пользователей. | Исходящие вызовы с используемого номера запрещены настройками телефонии. |
| 54 | Incoming calls barred. | Входящие вызовы запрещены. | Сеть заблокировала попытку соединения, потому что для вызываемого абонента запрещены входящие вызовы. Это может быть связано с настройками пользователя, политикой оператора или ограничениями доступа. |
| 55 | Incoming calls barred within Closed User Group (CUG). | Входящие вызовы запрещены внутри замкнутой группы пользователей. | Входящие вызовы с используемого номера запрещены настройками телефонии. |
| 56 | Call waiting not subscribed. | Ожидание вызова не подключено. | Пользователь не активировал услугу ожидания вызова (Call Waiting), и второй вызов не может быть обработан во время разговора. |
| 57 | Bearer capability not authorized. | Функция передачи информации не разрешена. | Абонент запросил передачу информации, но разрешение на передачу информации этому абоненту отсутствует. |
| 58 | Bearer capability not presently available. | Функция передачи информации в настоящее время недоступна. | Абонент запросил передачу информации, но возможность передачи требуемых данных отстуствует. |
| 62 | Inconsistency in designated outgoing access information and subscriber class. | Несогласованность между информацией о назначенном исходящем доступе и классом абонента. | Класс абонента не соответствует требуемому классу для доступа к информации. |
| 63 | Service or option not available, unspecified. | Услуга или опция недоступна, без дополнительной информации | Сеть отклонила запрос, но не указала, почему нужная функция недоступна. |
| 65 | Bearer service not implemented. | Услуга передачи не реализована. | Сеть не поддерживает указанный тип соединения, например, голосовой или факсимильный вызов. |
| 66 | Channel type not implemented. | Тип канала не реализован. | Оборудование не поддерживает требуемый тип канала. |
| 67 | Transit network selection not implemented. | Выбор транзитной сети не реализован. | Сеть не поддерживает обработку вызова с указанием конкретного промежуточного оператора. |
| 68 | Message not implemented. | Сообщение не реализовано. | Сеть получила допустимый тип сообщения, но не поддерживает его обработку. |
| 69 | The requested facility is not implemented. | Запрошенная функция не реализована. | Сеть или оборудование не поддерживают требуемую услугу или возможность. |
| 70 | Only restricted digital information bearer capability is available (national use). | Доступна только ограниченная функция передачи цифровой информации. | Абонент запросил неограниченную передачу информации, но на стороне оборудования есть ограничения. |
| 79 | Service or option not implemented, unspecified. | Сервис или услуга не реализованы, без дополнительной информации. | Запрошенная дополнительная функция или услуга (например, переадресация, удержание, видеосвязь) не поддерживается сетью или оборудованием, но точная причина не уточняется. |
| 81 | Invalid call reference value. | Недействительное значение ссылки на вызов. | Сеть не распознает указанный идентификатор и не может продолжить обработку вызова. |
| 82 | The identified channel does not exist. | Указанный канал не существует. | Сеть не может установить вызов, потому что заданный канал не распознан или отсутствует. |
| 83 | A suspended call exists, but this call identity does not. | Существует приостановленный вызов, но отсутствует его идентификатор. | Среди текущих приостановленных вызовов не найден вызов с переданным идентификатором. |
| 84 | Call identity in use. | Идентификатор вызова уже используется. | Уже существует активный вызов с переданным идентификатором. |
| 85 | No call suspended. | Нет приостановленного вызова. | Попытка возобновить вызов не удалась, потому что в системе нет приостановленного соединения. |
| 86 | Call having the requested call identity has been cleared. | Вызов с указанным идентификатором уже завершен. | Попытка управления вызовом невозможна, так как соединение уже закрыто. |
| 87 | Called user not member of CUG. | Вызываемый абонент не является членом CUG. | Вызов отклонен, потому что номер не входит в закрытую группу, доступную вызывающему абоненту. |
| 88 | Incompatible destination. | Несовместимый пункт назначения. | Вызов не может быть доставлен, потому что тип соединения не поддерживается на стороне получателя. |
| 89 | Non-existent abbreviated address entry. | Несуществующая сокращённая запись адреса. | Указан короткий номер или псевдоним, которого нет в адресной книге или маршрутизации. |
| 90 | Destination address missing, and direct call not subscribed. | Отсутствует адрес назначения, и прямая маршрутизация не подключена. | Сеть не знает, куда направить вызов, потому что не указан номер и не активирована услуга прямого вызова. |
| 91 | Invalid transit network selection (national use). | Неправильный выбор транзитной сети. | Переданная идентификация транзитной сети имеет неправильный формат. |
| 92 | Invalid facility parameter. | Неверный параметр функции. | В сообщении передано недопустимое значение для дополнительной услуги, например переадресации или удержания. |
| 93 | Mandatory information element is missing. | Отсутствует обязательный информационный элемент. | В сообщении не хватает одного или нескольких обязательных параметров, необходимых для обработки вызова. |
| 95 | Invalid message, unspecified. | Неверное сообщение, причина не указана. | Сеть не смогла обработать сообщение из-за ошибки, но не уточнила ее природу. |
| 96 | Mandatory information element is missing. | Отсутствует обязательный информационный элемент. | Сеть получила сообщение, в котором отсутствует один или несколько обязательных параметров. Без этих данных сообщение не может быть обработано, и вызов завершается с ошибкой. |
| 97 | Message type non-existent or not implemented. | Тип сообщения не существует или не реализован. | Сеть не распознает полученную команду и не может ее обработать. |
| 98 | Message not compatible with call state or message type nonexistent or not implemented. | Сообщение не совместимо с состоянием вызова или его тип не существует или не реализован. | Сеть не может обработать команду — либо она пришла не вовремя, либо вообще не поддерживается. |
| 99 | An information element or parameter does not exist or is not implemented. | Информационный элемент не существует или не реализован. | Сеть получила неизвестный параметр, который не может быть обработан. |
| 100 | Invalid information element contents. | Неверное содержимое информационного элемента. | В сообщении присутствует обязательный параметр, но его содержимое некорректно — например, содержит недопустимое значение, формат или нарушает правила кодировки. Сеть не может его интерпретировать и завершает вызов. |
| 101 | Message in the invalid call state. | Сообщение не соответствует состоянию вызова. | Сеть получила сообщение, которое невозможно обработать в текущем состоянии вызова. Например, попытка завершить вызов, который еще не был установлен, или запрос на удержание к уже завершенному соединению. |
| 102 | Recovery on timer expiry. | Восстановление по истечении таймера. | Сеть не дождалась ответа и автоматически прервала или сбросила соединение. |
| 103 | Parameter non-existent or not implemented – passed on. | Параметр не существует или не реализован — передан дальше. | Сеть проигнорировала неизвестный параметр и продолжила обработку вызова. |
| 111 | Protocol error unspecified. | Ошибка протокола, причина не указана. | В процессе установления или обработки вызова возникла ошибка на уровне сигнализации (например, SIP или ISDN), но точная причина не указана. |
| 127 | Internetworking, unspecified. | Межсетевое взаимодействие, причина не указана. | Вызов не выполнен из-за ошибки при обмене между разными сетями или технологиями. |
Сравнительная Таблица Сетевых Моделей (OSI и TCP/IP)
| Уровень OSI (7 уровней) | Уровень TCP/IP (4 уровня) | Единица Данных (PDU) | Назначение | Примеры Протоколов |
|---|---|---|---|---|
| 7. Прикладной (Application) | 4. Прикладной (Application) | Данные (Data) | То, что видит пользователь. Здесь работают программы и сервисы. | HTTP, HTTPS, FTP, SMTP, DNS, SSH, IMAP, POP3, TFTP, NTP, DHCP, SNMP, BGP, RIP |
| 6. Представления (Presentation) | Функции объединены в Прикладном уровне TCP/IP | Данные (Data) | Переводчик и шифровальщик. Обеспечивает понятность данных (шифрование, сжатие, кодировка). | TLS/SSL, ASN.1, XDR, MIME |
| 5. Сеансовый (Session) | Функции объединены в Прикладном уровне TCP/IP | Данные (Data) | Организат��р сеанса. Устанавливает, поддерживает и завершает сеанс связи. | NetBIOS, RPC, PPTP, SOCKS, SDP |
| 4. Транспортный (Transport) | 3. Транспортный (Transport) | Сегмент (Segment) / Датаграмма (Datagram) | Почтальон. Отвечает за доставку данных от одного приложения к другому. Решает, нужна ли надежность (TCP) или скорость (UDP). | TCP, UDP, SCTP, QUIC |
| 3. Сетевой (Network) | 2. Межсетевой (Internet) | Пакет (Packet) | Навигатор. Отвечает за маршрутизацию — находит лучший путь для данных через разные сети. | IP (IPv4, IPv6), ICMP (служебный), OSPF, EIGRP, IPsec, GRE, IGMP |
| 2. Канальный (Data Link) | 1. Доступа к Сети (Network Access) | Кадр (Frame) | Дорожный инспектор. Отвечает за доставку данных в пределах одной локальной сети. Использует MAC-адреса. | Ethernet, Wi-Fi, PPP, HDLC, Frame Relay, STP, LACP, PPPoE |
| 1. Физический (Physical) | Входит в уровень Доступа к Сети | Бит (Bit) | Провода и сигналы. Отвечает за физическую передачу битов. | Кабели (медные, оптоволокно), Радиоволны, Хабы, USB, RS-232 |
Таблица Сетевых Протоколов и Технологий
| Протокол / Технология | Уровень OSI / TCP-IP | Основное Назначение | Как Работает (Ключевые Детали) | Риски Безопасности / Уязвимости | Инструменты и Команды |
|---|---|---|---|---|---|
| Ethernet (IEEE 802.3) | L1 (Физ.) / L2 (Кан.) | Проводная передача данных в локальной сети (LAN). | Определяет формат кадров (Frames) и MAC-адресацию. | VLAN Hopping, ARP Spoofing, MAC Flooding. | ip link, ethtool, wireshark |
| Wi-Fi (IEEE 802.11) | L1 (Физ.) / L2 (Кан.) | Беспроводная передача данных в локальной сети. | Использует радиоволны (2.4/5/6 ГГц) для передачи данных. | WPA2/WPA3 Cracking, Evil Twin, Deauthentication Attacks. | aircrack-ng, iw, iwconfig |
| WPA2/WPA3 | L2 (Канальный) | Протоколы безопасности для защиты Wi-Fi сетей. | WPA2: шифрование AES (CCMP). WPA3: улучшенная защита (SAE), защита от брутфорса. | WPA2: KRACK Attack, PMF Bypass. WPA3: Dragonblood, Downgrade Attacks. | aircrack-ng, wpa_supplicant |
| ARP (Address Resolution Protocol) | L2 (Канальный) | Находит физический адрес (MAC) устройства по его логическому адресу (IP) в локальной сети. | Broadcast-запрос (кто имеет IP X, скажи свой MAC) и Unicast-ответ. | ARP Spoofing (MITM), ARP Cache Poisoning. | arp -a, arping, wireshark |
| STP/RSTP/MSTP (Spanning Tree Protocol) | L2 (Канальный) | Предотвращает петли в сетях с избыточными путями (коммутаторы). | Строит древовидную топологию, блокируя избыточные порты. RSTP — быстрая конвергенция. | Root Bridge Hijacking, BPDU Flooding, DoS. | Switch CLI, tcpdump |
| LACP (Link Aggregation Control Protocol) | L2 (Канальный) | Объединяет несколько физических каналов в один логический для увеличения пропускной способности. | Динамическое управление агрегацией каналов (802.3ad). | Misconfiguration, Hash Collision. | ip link, Switch CLI |
| PPPoE (PPP over Ethernet) | L2 (Канальный) | Инкапсуляция PPP-кадров в Ethernet для подключения к провайдеру (DSL). | Добавляет аутентификацию и управление сессией поверх Ethernet. | Session Hijacking, Credential Theft. | pppoeconf, pppd |
| IPv4 / IPv6 | L3 (Сетевой) | Доставка данных между разными сетями (маршрутизация). | IPv4: 32-битные адреса. IPv6: 128-битные адреса, автоконфигурация (SLAAC). | IP Spoofing, Fragmentation Attacks, NDP Spoofing (IPv6). | ping, traceroute, ip route, ndp (для IPv6) |
| ICMP (Internet Control Message Protocol) | L3 (Сетевой) | Диагностика и передача служебных сообщений об ошибках. | Используется командами ping и traceroute. Не имеет портов. | ICMP Flood (DoS), ICMP Tunneling (передача данных через ICMP). | ping, traceroute, hping3 |
| BGP (Border Gateway Protocol) | L7 (Прикладной) | Протокол динамической маршрутизации между автономными системами (Интернетом). | Использует TCP (порт 179). Выбирает путь на основе политик и атрибутов. | BGP Hijacking, Route Leaks. | show ip bgp, bird, quagga |
| RIP (Routing Information Protocol) | L7 (Прикладной) | Протокол динамической маршрутизации внутри автономной системы (IGP). | Использует UDP (порт 520). Простой алгоритм на основе счетчика переходов. | Route Poisoning, Authentication Bypass. | show ip rip, frr |
| OSPF (Open Shortest Path First) | L3 (Сетевой) | Протокол динамической маршрутизации внутри автономной системы (IGP). | Использует алгоритм Дейкстры (SPF). Работает поверх IP (протокол 89). | LSA Spoofing, Authentication Bypass. | show ip ospf, frr |
| IPsec (Internet Protocol Security) | L3 (Сетевой) | Набор протоколов для защиты IP-трафика (шифрование, аутентификация). | Режимы: Транспортный и Туннельный. Протоколы: AH и ESP. | Weak IKE Config, Side-channel Attacks. | strongswan, ipsec status |
| TCP (Transmission Control Protocol) | L4 (Транспортный) | Надежная доставка данных с установкой соединения. | 3-way handshake (SYN, SYN-ACK, ACK). Контроль потока и ошибок. | SYN Flood, Session Hijacking, Sequence Number Prediction. | netstat, ss, tcpdump |
| UDP (User Datagram Protocol) | L4 (Транспортный) | Быстрая доставка данных без установки соединения и гарантий. | Минимальный заголовок. Нет подтверждения доставки. | UDP Flood, Amplification Attacks (DNS/NTP). | nc -u, iperf3 |
| QUIC | L4/L7 (Гибридный) | Современный протокол поверх UDP для ускорения веба (HTTP/3). | Объединяет функции TCP и TLS. Уменьшает задержки (0-RTT). | Amplification Attacks, Connection ID Tracking. | wireshark, curl --http3 |
| HTTP / HTTPS | L7 (Прикладной) | Передача гипертекста (веб-страниц). HTTPS — защищенная версия. | HTTP: порт 80. HTTPS: порт 443 (TLS). Методы: GET, POST, PUT, DELETE. | SQL Injection, XSS, CSRF, Insecure TLS Config. | curl, httpie, burp suite |
| DNS (Domain Name System) | L7 (Прикладной) | Преобразует доменные имена (google.com) в IP-адреса. | Использует UDP/TCP (порт 53). TCP/53 используется для передачи зон, больших ответов (>512 байт) и DNS-over-TCP. | DNS Cache Poisoning, DNS Tunneling, DDoS (Amplification). | dig, nslookup, host |
| DHCP (Dynamic Host Configuration Protocol) | L7 (Прикладной) | Автоматическое назначение IP-адресов и настроек сети устройствам. | Процесс DORA (Discover, Offer, Request, Acknowledge). Порты 67/68. | DHCP Starvation, Rogue DHCP Server. | dhclient, nmap --script discovery |
| SSH (Secure Shell) | L7 (Прикладной) | Безопасный удаленный доступ к устройствам и передача файлов. | Порт 22. Шифрование трафика, аутентификация по ключам. | Brute-force, Man-in-the-Middle (если не проверен Fingerprint). | ssh, scp, sftp |
| FTP / SFTP | L7 (Прикладной) | Передача файлов. FTP — небезопасный, SFTP — через SSH. | FTP: порты 20/21. SFTP: порт 22. | FTP: Cleartext Credentials, Bounce Attack. | ftp, sftp, filezilla |
| SMTP / IMAP / POP3 | L7 (Прикладной) | Протоколы электронной почты (отправка и получение). | SMTP (25/465/587), IMAP (143/993), POP3 (110/995). | Email Spoofing, Open Relay, Credential Theft. | telnet, openssl s_client |
| SNMP (Simple Network Management Protocol) | L7 (Прикладной) | Мониторинг и управление сетевыми устройствами. | Использует UDP (порты 161/162). Версии: v1, v2c, v3 (безопасная). | SNMP Brute-force (Community Strings), Amplification Attacks. | snmpwalk, snmpget |
| NTP (Network Time Protocol) | L7 (Прикладной) | Синхронизация времени между устройствами. | Использует UDP (порт 123). Высокая точность. | NTP Amplification (DDoS), Time Spoofing. | ntpdate, chronyc |
Использование нескольких мониторов
При работе на ноутбуке с подключенным внешним монитором или на ПК с несколькими мониторами, часто возникает ситуация при которой мониторы используются неоптимально, в связи с чем возникает “мыльная” или “зернистая” картинка, нечеткое изображение и прочие артефакты.
Данная ситуация вызвана тем что внешний монитор работает по умолчанию в режиме Повторения основного экрана, подстаиваясь при этом под настройки основного, и если основной экран меньше внешний монитор работает не оптимально.

Корректная работа нескольких мониторов
Самый простой способ исправить проблему перевести режим отображения на “только второй экран” используя сочетание клавишь WIN+P и выбрав соотвествующий пункт в появившемся меню.

В режиме “Только второй экран” основной экран ноутбука отключается, а внешний монитор переключается в оптимальные настройки.
Кроме того существует третий вариант: “Расширить”
В этом режиме оба монитора работают в оптимальном режиме, и каждый экран имеет свой независимый рабочий стол на котором можно разместить любые дополнительные окна.

Прошу обратить отдельное внимание, если вы вносите изменения в режим работы мониторов на вашем ПК, изменения на сервере терминалов не всегда могут вступить в силу в текущей сессии, чтобы изменения применились и в окне сервера терминалов, необходимо выполнить завершение сеанса через ярлык на удаленном рабочем столе и зайти заново.