Начнем с того, что рассмотрим состав поставки.

1. Верифицированный инсталляционный комплект. Состоит из двух дисков на одном документация, второй установочный.
2. Абонемент для доступа к Центру сертифицированных обновлений. В нем указывается логин для доступа к ресурсу, номера и остальная муть.
3. Формуляр на изделие. Типа паспорта к телевизору в старое доброе советское время.
4. Специальный защитный знак Системы сертификации средств защиты информации. В виде переливающейся наклейки 12х12 мм, вклеен в формуляр.
5. Копия сертификата соответствия.
6. Руководство по получению обновлений через интернет.
7. USB-ключ eToken. В хранилище eToken'а уже сидит пользовательский сертификат. Нужен для доступа к ресурсу с обновлениями.
8. Ну и собственно сама лицензия на право использовать ПО.

В руках имеем все что заказывали, приступим к установке. Вставляем диск, идем в биос, ставим все как положено, жмем F10, "yes". На мониторе появляются надписи на английском, предлагающие выбрать (точнее будет сказать - написать, так как выбор не предусмотрен, приходится писать самому) "setup" или "memtest". Пишем конечно же "setup", enter и понеслось. Встало все как надо, без привлечения бубнов. Сам процесс описывать не имеет смысла, так как он прост и интуетивно понятен.

Перезагружаем, вводим предустановленный пароль "servicemode", начинаем настраивать.

Локальный интерфейс IP 192.168.0.1 mask 255.255.255.0
Внешний интерфейс IP 192.168.1.2 mask 255.255.255.0 GW 192.168.1.1

В качестве GW стоит роутер, подключенный к провайдеру. Наличие роутера в сети не обсуждается в данной статье, так как не имеет принципиального значения.

Минимум сделан, начинаем проверку. Подключаем клиента к switch, Win+R, cmd, ping 192.168.0.1. Пинг пошел, замечательно. На Ideco вводим пароль, в открывшемся интерфейсе выбираем Сервис->MC->Ctrl+O->ping 192.168.1.1, а в ответ тишина. Немного настораживает. Пингуем с роутера, тишина. Настораживает сильнее. Пингуем с Ideco внешний интерфейс, все ОК. Сетевуха 100% ставилась исправной, на всякий случай заменилась второй, потом третьей. Картина осталась прежней. Берем первый попавшийся LiveCD (попался с Ubuntu 9.10), пингуем роутер, все OK. Страх по поводу неисправной аппаратной части пропал. И тут в голову приходит гениальная мысль, "а на каком чипе то сетевушки?". Вот повезло то, все на одном чипе RTL8139D. Логически рассуждая, что здесь не все так гладко (Ideco <-> RTL8139D), лезем в закрома, находим сетевушку от D-Link (по поводу чипа, лень лезть в системник и смотреть маркировку), вставляем куда надо (соблюдая технику безопасности), включаем шлюз, и о чудо Ideco ожил. (Примечание. Перед установкой Ideco посмотрите на форуме http://www.ideco.ru/forum3/ совместимость аппаратной части, как оказалось здесь не все так гладко)

Приступаем к настройке через веб-интерфейс. Открываем браузер на клиенте вводим 192.168.0.1, устанавливаем сертификат. Кликаем на Пользователи, и снова бубен. Группа Все(63) и Корзина, а где пользователи, где они 63? Пытаюсь создать группу, создается но в списке не отображается. Недолго думая мылим (все что мы о них думаем) на support@ideco.ru. В ответ получаем, что необходимо произвести активацию продукта. Ну надо так надо. После 10 неудачных попыток автоматической активации через интернет, берем в руки телефон и набираем московский номер. Специалист тех. поддержки просит нас выслать на все тот же support@ideco.ru рег. номер. Минут через 20, получаем ответный код, вводим в соответствующем разделе, полный ребут. И О... снова чудо, пользователи появились. Предложение к разработчикам: "Хотелось бы чтоб этот момент был освящен в руководстве "Приступая к работе".

Создаем первого пользователя, разрешаем ему NAT (Примечание. Перед этим при первичной настройке мы уже включили NAT на шлюзе), идем в firewall отключаем там все, делаем ребут. Пытаемся с клиента ping ya.ru, и снова бубен. По новой смотрим "NAT - включен, пользователю NAT разрешен, firewall - пуст". Для уверенности заходим локально в интерфейс управления Ideco, вводим iptables -L, О... сколько тут всего вкусного и скрыто от администратора Ideco. Включив немного логику идем в firewall, и делаем следующие записи:

Source: 192.168.0.0 mask: 255.255.255.0
Destination: 0.0.0.0 mask: 0.0.0.0
Протокол: ALL Путь: FORWARD Действие: Разрешить
и
Source: 0.0.0.0 mask: 0.0.0.0
Destination: 192.168.0.0 mask: 255.255.255.0
Протокол: ALL Путь: FORWARD Действие: Разрешить

Перезапускаем firewall, все теперь клиент имеет доступ наружу используя NAT.

Замечание к разработчикам: выделяйте данные моменты в своих руководствах жирным шрифтом, и желательно еще с таким знаком "!". Прочитав "Приступая к работе" от Ideco, нигде не нашел, что по умолчанию в версии Ideco ICS сертифицированного ФСТЭК действует политика "Запрещено все, что не разрешено"

Идем дальше.

Включаем Squid, используя мастер настройки. Ставим галочку "разрешить прозрачное кеширование", делаем полный ребут (как доктор прописал). И снова бубен (клиент остался без интернета). При этом NAT работает, ICMP ходит без проблем, а вот порт:80 ушел (в никуда). В принципе так и должно быть, за исключением того что squid должен был скушать все что идет по 80 порту. Идем в логи squid, а там тишина. Настраиваем squid на прослушивание локального интерфейса по порту 3128 (в веб-интерфейсе галочка "разрешить прямое подключение к прокси"). Настраиваем клиента на работу через прокси, и снова чудо, интернет появился (squid жужит аки пчела), логи пишутся, статистика работает.

С этого момента пошел процесс общения с support@ideco.ru. О результатах обязательно будет продолжение, с картинками!

Итак, продолжаем. Саппорт Ideco особо не помог . Грабли на которые наступили, нашел сам. И вот грабли:

При начальной настройке, автоматом заполнил и интерфейсы. А прозрачный Squid живет на 169.254.254.254, вот Ideco его и резал. По этому поводу официальный ответ саппорта Ideco, после того когда им сообщили что сами разобрались,
Специально для Ideco

Прозрачный Squid запустили, идем дальше. В данной версии Ideco ФСТЭК билд 319 наблюдается либо баг, либо фича кому как. А именно

если снимем галочку "Включить кэширующий DNS", то Ideco зарежет DNS запросы (udp:53) сам себе, т.е. с самого шлюза результата на вы не получите. Хотя клиенты в сети эти запросы получать будут через NAT, а вот все тот же squid встанет.

Следующий этап запускаем почту и jabber. Регистрируем домен например на sweb.ru. Наш домен my22.ru. После регистрации, когда домен перешел в статус делегирован, можно приступить к настройке записей поддоменов в интерфейсе Управление записями DNS. Создадим поддомен mx1.my22.ru


настроим MX-записи следующим образом



Желательно создать на сервере у хостера ящик, и указать его в качестве почты домена. Так это реализовано у sweb.ru, у остальных может называться по другому. Для чего? На случай если наш сервер встанет, то все письма ссыпались в наш ящик - почта домена, а в последствии могут быть доставлены нашим адресатам.

Переходим в интерфейс Ideco и включаем POP3 или IMAP (кому как нравится), а так же желательно защитить SMTP. Для примера можно так:





Прописываем адреса электронной почты пользователям:



Приступаем к настройке почтовых клиентов: