Подробный гайд: Событие «40 — пропущен зашифрованный IP-пакет» в системе ViPNet

Руководство по событию 40 в ViPNet: пропущенные зашифрованные IP-пакеты. Причины, диагностика, устранение проблем с маршрутизацией и ключами

2026.05.15                  

Подробный гайд: Событие «40 — пропущен зашифрованный IP-пакет» в системе ViPNetПодробный гайд: Событие «40 — пропущен зашифрованный IP-пакет» в системе ViPNet Событие 40 в системе ViPNet регистрируется, когда узел (Координатор или Клиент) получает зашифрованный IP-пакет, но не может его обработать и пропускает (не расшифровывает и не передаёт дальше).

Основные параметры события:

Параметр Значение
Код 40
Название Пропущен зашифрованный IP-пакет
Направление Исходящий/Входящий (в зависимости от контекста)
Тип пакета Зашифрованный, нешироковещательный
Статус Нетранслированный, локальный

Типичные причины возникновения

1. Проблемы с ключевой информацией

  • Отсутствие или неактуальность ключей для расшифровки пакета
  • Рассинхронизация ключевых баз между узлами
  • Неверный идентификатор узла-получателя в справочниках

2. Ошибки маршрутизации

  • Пакет направлен на узел, который не является его конечным получателем
  • Отсутствие маршрута в таблице маршрутизации ОС или ViPNet
  • Неправильная настройка туннелей и виртуальных адресов

3. Конфликты сетевых настроек

  • Блокировка портов (5000-5001 для MFTP, 2046 для проверки соединения) межсетевым экраном
  • Неправильная настройка правил фильтрации трафика
  • Конфликт реальных и виртуальных IP-адресов

4. Проблемы с транспортным модулем (MFTP)

  • MFTP-служба не активна на целевом узле
  • Ошибки в конфигурации типа канала
  • Проблемы с доставкой справочников сети

5. Аппаратные/системные проблемы

  • Повреждение установки ViPNet Client/Coordinator
  • Конфликты с другим ПО безопасности (антивирусы, фаерволы)
  • Проблемы с сетевыми драйверами

Пошаговая диагностика

Шаг 1: Анализ журнала событий

  1. Откройте ViPNet Монитор → раздел «Журнал событий»
  2. Найдите события с кодом 40
3. Проверьте параметры:
  • Src (источник) и Dst (получатель) — идентификаторы узлов
  • IP-адреса — реальные и виртуальные
  • Протокол и порт (UDP/TCP, номер порта)

- Направление (входящий/исходящий)

Шаг 2: Проверка связи с узлом

# Проверка базовой доступности
ping <реальный_или_виртуальный_адрес_узла>

# Проверка порта MFTP (по умолчанию 5000-5001)
telnet <адрес_координатора> 5000

# Проверка порта проверки соединения
telnet <адрес_узла> 2046

Шаг 3: Диагностика на Координаторе

1. Проверьте журнал IP-пакетов на внешнем интерфейсе (eth1):
  • Должно быть событие 63 (входящий зашифрованный пакет)
2. Проверьте журнал на внутреннем интерфейсе (eth2):
  • Должно быть событие 45 (расшифрованный пакет для туннеля)
    1. Если событие 45 отсутствует на внутреннем интерфейсе — проблема с обратной маршрутизацией

Шаг 4: Проверка ключей и справочников

1. В ViPNet Монитор«Защищённая сеть»:
  • Убедитесь, что узел-получатель отображается как доступный
  • Проверьте наличие виртуального IP-адреса у узла
    1. Запросите у администратора актуальный DST-файл и переустановите ключи
    2. Выполните рассылку справочников на все узлы сети

Шаг 5: Проверка правил фильтрации

  1. Откройте «Межсетевой экран» в ViPNet Монитор
2. Убедитесь, что для зашифрованного трафика разрешены правила:
  • Протокол: UDP
  • Порты: 2046, 5000-5001, 55777 (или настроенные кастомные)
  • Направление: входящее и исходящее

Способы устранения

Быстрые решения

Действие Когда применять
Перезапуск ViPNet-службы Временные сбои драйвера
Обновление справочников сети После добавления новых узлов
Переустановка ключей из DST При подозрении на рассинхронизацию
Проверка времени на узлах Расхождение >5 минут ломает криптографию

Глубокая настройка

1. Настройка маршрутизации:
   # Проверка таблицы маршрутизации Windows
   route print

   # Добавление статического маршрута при необходимости
   route add <сеть_назначения> mask <маска> <шлюз> -p
2. Исключение конфликтов с ПО безопасности:
  • Добавьте процессы vipnet.exe, mftp.exe, vipnet.sys в исключения антивируса
  • Проверьте правила брандмауэра Windows/стороннего МЭ
3. Пересоздание туннеля (для Coordinator):
  • Удалите и заново создайте правило туннелирования
  • Проверьте соответствие виртуальных адресов на обоих концах
4. Полная переустановка (крайний случай):
  • Экспортируйте конфигурацию и ключи
  • Удалите ViPNet Client/Coordinator
  • Установите свежую версию из официального дистрибьютива
  • Импортируйте ключи и настройки

Алгоритм диагностики туннелей (пример)

1. Клиент → пинг на адрес туннеля
   │
   ├─▶ Журнал Клиента: событие 40, исходящий, Dst = Координатор
   │   └─▶ Если нет — проблема на стороне Клиента
   │
   ▼
2. Координатор (внешний интерфейс eth1):
   ├─▶ Событие 63: входящий зашифрованный пакет от Клиента
   │   └─▶ Если нет — пакет не доходит до Координатора (сеть/МЭ)
   │
   ▼
3. Координатор (внутренний интерфейс eth2):
   ├─▶ Событие 45: исходящий расшифрованный пакет в туннель
   │   └─▶ Если нет — ошибка расшифровки/маршрутизации
   │
   ▼
4. Туннель → ответ (icmp reply):
   ├─▶ Событие 45: входящий ответ на eth2
   ├─▶ Событие 63: исходящий зашифрованный ответ на eth1
   │   └─▶ Если нет — проблема с обратной маршрутизацией

Когда обращаться в поддержку ИнфоТеКС

Обратитесь в официальную поддержку, если:
  • События 40 сохраняются после всех шагов диагностики
  • Проблема затрагивает критически важные узлы сети
  • Требуется анализ дампов трафика или журналов на стороне вендора

Совет:

Регулярно архивируйте журналы событий и настройте автоматическую рассылку справочников сети — это предотвращает ~80% проблем с событиями типа 40.

Документ актуален для версий ViPNet Client 3.x/4.x и ViPNet Coordinator 3.x/4.x. Перед внесением изменений в рабочую сеть обязательно тестируйте решения на изолированном стенде.

×

Полный размер Слайдшоу Предыдущий Следующий