Работа клиента в ОС Линукс интеграция со Сбербанком.

[BorisPSmart]

Добрый день,
под новыми сборками Debian 4.7 не будет работать.
Да и контролирующие органы не одобряют распространение версий с истекшими сертификатами.

Скажите какую версию Debian надо установить для работы этой версии клиента?

Как это с истекшими сертификатами?
А то что предлагает Сбербанк - это актуально? У их версии сертификаты не истекли?

Тогда еще один вопрос:
ранее вы сказали, что наша версия клиента (то есть последняя стабильная) должна корректно работать с их стороной.
Подскажите пожалуйста, как грамотно ответить, чтобы объяснить что используемая нами версия ПО актуальна и по заверениям разработчиков должна корректно устанавливать ВПН туннель с их стороной.

Спасибо!

 

[AMI_FMS]

Нужно использовать самую новую версию ОС.
Сертификаты на ПО выдаются на определенный срок. Срок действия сертификата на версию 4.7 истек. Работать эта версия не перестанет, но пользоваться ей не нужно.
Последняя самая стабильная версия должна работать.
У Вас проблема не из-за версии. Сообщение в вашем скриншоте говорит о том, что ваш клиент заблокирован на стороне банка администратором ФПСУ.

 

[BorisPSmart]

Нужно использовать самую новую версию ОС.
Сертификаты на ПО выдаются на определенный срок. Срок действия сертификата на версию 4.7 истек. Работать эта версия не перестанет, но пользоваться ей не нужно.
Последняя самая стабильная версия должна работать.
У Вас проблема не из-за версии. Сообщение в вашем скриншоте говорит о том, что ваш клиент заблокирован на стороне банка администратором ФПСУ.

Я это понимаю.

Могу ли я передать ваши слова в банк ?

 

[Dmitriy]

Это открытый форум, не приватный. В этом контексте непонятен смысл заданного вопроса.

 

[BorisPSmart]

Здравствуйте!
Спасибо, за ответы.

Подскажите, пожалуйста, какие надо открыть порты/протоколы на межсетевом экране, чтобы обеспечить функционирование ВПН-туннеля ?

Спасибо!

 

[Dmitriy]

Добрый день,
Для построения VPN-туннеля используется UDP-протокол (на ПАК «ФПСУ-IP» используется 87 порт, «ФПСУ-IP/Клиент» использует стандартные порты выше 1024 (динамические)).

Есть утилита для проверки доступности порта, правда, только под Windows.
https://amicon.ru/faq.php#cli13

 

[BorisPSmart]

Спасибо за ответ!

Подскажите пожалуйста, каким образом надо настроить межсетевой экран, чтобы внутри установленного ВПН-туннеля, пакеты ходили не только наружу но и к клиенту?

У нас на данные момент наблюдается такая проблема:

Туннель успешно устанавливается и мы успешно можем подключиться и "пропинговать" узлы банка.
При этом пакеты со стороны банка до наших узлов не доходят...
Они не могут ни подключиться, ни пропинговать наш узел.

При этом на нашем МЭ разрешен весь исходящий трафик ("натится" на стационарный белый IP) с узла с подключенным ФПСУ ключем и ФПСУ ip-client.

 

[Dmitriy]

Есть информация от банка какой адрес клиента они пингуют? Чтобы обеспечить такую связь, нужно обращаться к NAT-адресу клиента, выданному ПАК ФПСУ-IP (это не реальный IP). Вообще, диагностировать подобные проблемы необходимо со стороны ФПСУ-IP, а не клиента.

 

[BorisPSmart]

в GUI клиента отображено следующее:


При этом сотрудник банка говорит, что у них:


то есть у них какой-то другой, но при этом тоже белый IP,
при этом внутри тоннеля IP адресация и с той и с другой стороны, из подсети 10.0.0.0/8 (но соответственно у каждого своя, диапазоны не пересекаются)

 

[BorisPSmart]

Есть еще такой вопрос: может ли такое быть, что пакеты с их стороны не проходят до нашего клиента (при установленном ВПН-туннеле) из-за того, что на нашем МЭ НЕ разрешены входящие пакеты, а разрешены только исходящие?

 

[Dmitriy]

Если ping через туннель работает, то и telnet должен проходить. У нас туннель в этом плане протоколонезависим.
Ваш МЭ не сможет определить в шифрованном трафике входящие/исходящие соединения, для него это будет выглядеть как одна сессия, открываемая со стороны локальной сети.
Повторюсь, нужно диагностировать со стороны ФПСУ. Позвоните нам, попробуем устроить конференцию с сотрудниками банка - благо, ip-адрес ФПСУ нам знаком .

 

[BorisPSmart]

С нашей стороны к ним и пинг и телнет работают, они к нам ни того ни другого не могут.

А нужно ли им на своей стороне прописывать какие-нибудь маршруты ?

С нашей стороны этого не потребовалось, после успешной установки туннеля их адреса были доступны сразу, причем со стороны ядра Linux это никак не отслеживалось: в таблице маршрутизации ядра записей о новых маршрутов не появлялось.

 

[Dmitriy]

Со стороны внутренней сети банка ваш клиент должен видеться с NAT-адресом, который после соединения ему присвоит ФПСУ-IP. C этим адресом и должно быть налажено взаимодействие.