ФПСУ/IP-Клиент + ISA 2004\2006. РЕШЕНИЕ ЗДЕСЬ.

[st47k3r]

<r>Для того, чтобы все заработало нужно:
1) Создать новый "протокол": назовем его ARM "SberBank-Client" UDP
3) Создать группу компьютеров, на которых должна работать программа Сбербанк-клиент
4) Создать разрешающее правило: АРМ "Клиент-Сбербанк"
5) Настроить параметры в ISA сервере, для того, чтобы это все работало даже с установленным MS FWC(программа ISA Firewall Client).

Теперь по-порядку:

<B><s></s>Создание протокола ARM "SberBank-Client" UDP<e></e></B>

<QUOTE><s>

</s>- <B><s></s>Пуск<e></e></B>, <B><s></s>Программы<e></e></B>, <B><s></s>Microsoft ISA Server<e></e></B>, <B><s></s>Управление ISA Server<e></e></B>
- Самое верхнее меню: <B><s></s>Вид<e></e></B>, <B><s></s>Панель задач<e></e></B> - проверить, включено ли.(Если нет - включить).
- Слева в колонке, выбрать: <B><s></s>Политика межсетевого экрана<e></e></B>.

- Справа, на "панели задач". выбрать: <B><s></s>Инструментарий<e></e></B>, <B><s></s>Протоколы<e></e></B>, <B><s></s>Создать<e></e></B>, <B><s></s>Используемый протокол<e></e></B>.
- Имя отпределения протокола: <B><s></s>ARM "SberBank-Client" UDP<e></e></B>, <B><s></s>Далее<e></e></B>.
- <B><s></s>Создать<e></e></B>, в окошке "Создание и изменение протокола подключения":
---- Тип протокола: <B><s></s>UDP<e></e></B>
---- Направление: <COLOR color="red"><s></s><B><s></s>Отправить Получить<e></e></B><e></e></COLOR>
---- Диапозон портов:
-------- От: <B><s></s>87<e></e></B>
-------- До: <B><s></s>87<e></e></B>
-------- Жмем <B><s></s>ОК<e></e></B>
- <B><s></s>Далее<e></e></B>
- Использовать дополнительные соединения: <B><s></s>нет<e></e></B>
- <B><s></s>Готово<e></e></B>.
<e>

</e></QUOTE>

<B><s></s>Создание группы компьютеров "Компьютеры Клиенты-Сбербанка", на которых должна работать программа Сбербанк-клиент<e></e></B>

<QUOTE><s>

</s><I><s></s>Если вы уже закрыли: - то "начало" - аналогично пред. созданию <e></e></I>
- Справа, на "панели задач". выбрать: <B><s></s>Инструментарий<e></e></B>, <B><s></s>Сетевые объекты<e></e></B>, <B><s></s>Создать<e></e></B>, <B><s></s>Набор компьютеров<e></e></B>.
- Имя: <B><s></s>Компьютеры "Клиенты-Сбербанка"<e></e></B>
- <B><s></s>Добавить<e></e></B>, <B><s></s>Компьютер<e></e></B>:
---- <B><s></s>Обзор<e></e></B>
-------- Имя сервера: <B><s></s><NETBIOS-имя компьютера, на котором есть Сбербанк-клиент><e></e></B> <E>:!:</E>
-------- <B><s></s>Найти<e></e></B>, <B><s></s>ОК<e></e></B>
---- <B><s></s>ОК<e></e></B>
- <B><s></s>OK<e></e></B>
<e>

</e></QUOTE>

<B><s></s>Создание разрешающего правила: АРМ "Клиент-Сбербанк"<e></e></B>

<QUOTE><s>

</s>- Справа, на "панели задач". выбрать: <B><s></s>Задачи<e></e></B>, <B><s></s>Создать правило доступа<e></e></B>
- Имя правила доступа: <B><s></s>АРМ "Клиент-Сбербанк"<e></e></B>, <B><s></s>Далее<e></e></B>.
- Предпринимаемые действия при выполнений условий правила: <B><s></s>Разрешить<e></e></B>, <B><s></s>Далее<e></e></B>.
- <B><s></s>Добавить<e></e></B>:
---- <B><s></s>Пользовательские<e></e></B>
-------- <B><s></s>ARM "SberBank-Client" UDP<e></e></B>, <B><s></s>Добавить<e></e></B>.
---- <B><s></s>Закрыть<e></e></B>
- <B><s></s>Далее<e></e></B>
- <B><s></s>Добавить<e></e></B>:
---- <B><s></s>Наборы компьютеров<e></e></B>
-------- <B><s></s>Компьютеры "Клиенты-Сбербанка"<e></e></B>, <B><s></s>Добавить<e></e></B>.
---- <B><s></s>Закрыть<e></e></B>
- <B><s></s>Далее<e></e></B>
- <B><s></s>Добавить<e></e></B>:
---- <B><s></s>Сети<e></e></B>
-------- <B><s></s>Внешняя<e></e></B>, <B><s></s>Добавить<e></e></B>.
---- <B><s></s>Закрыть<e></e></B>
- <B><s></s>Далее<e></e></B>
- Это правило применяется к запросам от следующих наборов учетных записей: <B><s></s>Все пользователи<e></e></B> - <U><s></s><B><s></s>НЕ МЕНЯТЬ<e></e></B><e></e></U> <E>:!:</E>
- <B><s></s>Далее<e></e></B>
- <B><s></s>Готово<e></e></B>.<e>

</e></QUOTE>

<B><s></s>Настройка параметров в ISA сервере, для того, чтобы это все работало даже с установленным MS FWC(программа ISA Firewall Client).<e></e></B>

<QUOTE><s>

</s>- Слева в колонке, выбрать: <B><s></s>Конфигурация<e></e></B>, <B><s></s>Общие<e></e></B>.
- <B><s></s>Определите параметры клиента межсететвого экрана<e></e></B>
---- <B><s></s>Параметры приложений<e></e></B>
---- <B><s></s>Создать<e></e></B>
-------- Приложение: <B><s></s>ip-client<e></e></B>
-------- Раздел: <B><s></s>Disable<e></e></B>
-------- Значение: <B><s></s>1<e></e></B>
-------- <B><s></s>OK<e></e></B>
---- <B><s></s>Создать<e></e></B>
-------- Приложение: <B><s></s>wCLNT<e></e></B>
-------- Раздел: <B><s></s>Disable<e></e></B>
-------- Значение: <B><s></s>1<e></e></B>
-------- <B><s></s>OK<e></e></B><e>

</e></QUOTE>

Редактированно позже:
-<B><s></s>Шлюзом "по-умолчанию" на клиенте должен быть IP-адрес ISA Server-а<e></e></B> <E>:!:</E>
<I><s></s>(забыл добавить, thx to <B><s></s>AMI_FMS<e></e></B>)<e></e></I>
-<B><s></s>ip-client и wCLNT - чувствительны к регистру<e></e></B>
<I><s></s>(thx to <B><s></s>Genocide<e></e></B>)<e></e></I>

Вот, вроде, и все! <E></E>
Надеюсь, кому-нибудь поможет.</r>

 

[AMI_FMS]

<r>1. Протокол ARM "SberBank-Client" TCP создавать не нужно, т.к. туннель со Сбербанком устанавливается по протоколу UDP/87 и все обращения к серверу Сбербанка инкапсулируются (упаковываются) в этот протокол. А лишние порты в интернет открывать не стоит.

2. Особо надо жирно выделить направление в описании протокола <B><s></s>Отправить Получить<e></e></B>, а не наоборот, так как это часто путают. А при обратном порядке направления ничего работать не будет.

3. В описании протокола TCP/IP на рабочей станции пользователя должен быть прописан "основной шлюз". В качестве шлюза указать адрес ISA сервера.</r>

 

[incomf]

помогло!! большое спасибо! а то полдня не мог понять, вроде бы и разрешил 21, 87 udp send receive, 1024

а все равно не работал!!! Оказалось все дело в настройках firewall client
=)

 

[Genocide]

<r>Спасибо помогло! Только одино замечание, регистр букв для имени приложения важен (у вас в инструкции -- Приложение: IP-Client, а надо ip-client (оно так по умолчанию называется)), иначе ничего работать не будет (час думали в чём может быть дело). <E></E></r>

 

[Ku]

Вобщем ситуация такая: сначала тунель устанавливался только с выключеным FWC, связь с банком соответственно тоже. Ну это вина нашего шлюза, который устанавливал не пойми кто, не пойми когда и не пойми как. Сегодня после очередного сбоя (отчего-то в очередной раз перестал соединятся ФПСУ-клиент), я перевёл клиентские машины на другой шлюз. И... всё вроде хорошо с включённым FWC устанавливается туннель, а дальше нет соединения и всё тут. Самое интересное, что заработало с включённым FWC и через старый шлюз, но соединения всё равно нет. Пакеты идет в обход, а не туда куда надо. Шлюзом по умолчанию указан ISA Server (менял в зависимости от того куда FWC подключал). На обоих ISA серверах в настройках FWC прописаны exe'шники и ФПСУ-клиента и Сбербанк-клиента, и даже пинг прописывал чтобы соединение проверить. QoS как кто-то тут в форуме советовал выключал-включал. Ничего не помогает. Ваша поддержка говорит: "У нас всё хорошо это у вас проблемы." Я понимаю, что проблемы у нас, НО... софт ведь ваш. Давайте вместе попытаемся их решить.

 

[AMI_FMS]

to Ku: мы никому в поддержке не отказываем. Ситуация у Вас нестандартная. Позвоните нам по телефону и, я думаю, мы решим Вашу проблему.

Вообще встречалась ситуация, что помогала переустановка FWC.
Попробуйте его вообще удалить - Клиент-Банк у Вас должен работать без него. Это поможет локализовать проблему.

 

[Ku]

Я его удалял. Без него не поднимается даже тунель.

 

[AMI_FMS]

<r><QUOTE author="Ku"><s>

</s>Я его удалял. Без него не поднимается даже тунель.<e>

</e></QUOTE>

Значит правило неправильно настроено на ISA или шлюз "по умолчанию не прописан"</r>

 

[Ku]

ISA настроен как написано вверху, шлюз по умолчанию (если имеется ввиду основной шлюз в свойствах TCP) тоже прописан корректно.

 

[incomf]

настроил по вашей инструкции, все заработало отлично через файервол клиент. Вчера поставили обновление Сбербанк-Клиента. Подключение по ФПСУ устанавливалось, но пакеты не заворачивались в тунель. Почитал эту тему, попробовал перустановить FWL клиент.
Все заработало =)
танец с бубном реально =) хорошо что так быстро прошло )))
ISA Server непредсказуем... однако, а про firewall client я просто молчу!

 

[shum_m]

... Люби добрые!!!! ну всё сделал как написано .. на два раза перепроверил - не работает!
Точнее сказать с FWC устанавливается тонель но ни как не работет сам обмен (сразуже выдаёт ошибку обмена). А без FWC вообще ничего не работает. Хотя я так понимаю если ставить в винде шлюз по умолчанию - ISA, то должно бы и без клиента работать.
И слиента сносил заново ставил .... и правила переписывал на два раза . - засада какая-то!!!!!!!!!!!!!!!
Что ещё можно сделать!!!!????? (шлюз по умолчанию прописан).

 

[Джинн]

<r><QUOTE author="shum_m"><s>

</s>... Люби добрые!!!! ну всё сделал как написано .. на два раза перепроверил - не работает!<e>

</e></QUOTE>
А очерёдность "отправить, получить" соблёл?</r>

 

[st47k3r]

<r><QUOTE author="Genocide"><s>

</s>Спасибо помогло! Только одино замечание, регистр букв для имени приложения важен (у вас в инструкции -- Приложение: IP-Client, а надо ip-client (оно так по умолчанию называется)), иначе ничего работать не будет (час думали в чём может быть дело). <E></E><e>

</e></QUOTE>

- исправлено, спасибо!</r>

 

[Vlad]

Добрый день! Уважаемые, а что делать если ISA сервер находится в другой подсети и сделать его шлюзом по умолчанию невозможно?...

 

[Larden]

Проблема, как вижу, стандартная. VPN соединение устанавливается, ICMP пакеты ходят нормально, а вот TCP пакеты ни в какую не желают "заворачивать" в тунель. Может есть у кого идеи, как их заставить туда попадать?
При отключенном клиенте все работает нормально.

 

[Vlad]

<r>У меня всё заработало, сам ступил <E></E></r>

 

[st47k3r]

<r><QUOTE author="Larden"><s>

</s>Проблема, как вижу, стандартная. VPN соединение устанавливается, ICMP пакеты ходят нормально, а вот TCP пакеты ни в какую не желают "заворачивать" в тунель. Может есть у кого идеи, как их заставить туда попадать?
При отключенном клиенте все работает нормально.<e>

</e></QUOTE>

Для того, чтобы ISA клиент "не заворачивал" пакеты "на себя"(т.е. чтобы они шли не на ISA-сервер, а в "тоннель"), нужно чтобы эти программы("генерирующие этот "полезный" траффик) были добавлены в "исключения" в настройке FWC на ISA-сервере!

<B><s></s>ЧИТАЕМ ВНИМАТЕЛЬНЕЕ!<e></e></B> <E>:!:</E></r>

 

[st47k3r]

<r><QUOTE author="Ku"><s>

</s>Вобщем ситуация такая: сначала тунель устанавливался только с выключеным FWC, связь с банком соответственно тоже. Ну это вина нашего шлюза, который устанавливал не пойми кто, не пойми когда и не пойми как. Сегодня после очередного сбоя (отчего-то в очередной раз перестал соединятся ФПСУ-клиент), я перевёл клиентские машины на другой шлюз. И... всё вроде хорошо с включённым FWC устанавливается туннель, а дальше нет соединения и всё тут. Самое интересное, что заработало с включённым FWC и через старый шлюз, но соединения всё равно нет. Пакеты идет в обход, а не туда куда надо. Шлюзом по умолчанию указан ISA Server (менял в зависимости от того куда FWC подключал). На обоих ISA серверах в настройках FWC прописаны exe'шники и ФПСУ-клиента и Сбербанк-клиента, и даже пинг прописывал чтобы соединение проверить. QoS как кто-то тут в форуме советовал выключал-включал. Ничего не помогает. Ваша поддержка говорит: "У нас всё хорошо это у вас проблемы." Я понимаю, что проблемы у нас, НО... софт ведь ваш. Давайте вместе попытаемся их решить.<e>

</e></QUOTE>
Решается переустановкой FWC. Причем "с нуля" и с перезагрузкой компьютера.

Последнюю версию <B><s></s>Microsoft Firewall Client for ISA server 2004<e></e></B> можно взять <URL url="http://www.microsoft.com/downloads/details.aspx?FamilyID=05C2C932-B15A-4990-B525-66380743DA89&displaylang=en"><s></s>здесь<e></e></URL></r>

 

[Larden]

<r><QUOTE author="st47k3r"><s>

</s>
Для того, чтобы ISA клиент "не заворачивал" пакеты "на себя"(т.е. чтобы они шли не на ISA-сервер, а в "тоннель"), нужно чтобы эти программы("генерирующие этот "полезный" траффик) были добавлены в "исключения" в настройке FWC на ISA-сервере!

<B><s></s>ЧИТАЕМ ВНИМАТЕЛЬНЕЕ!<e></e></B> <E>:!:</E><e>

</e></QUOTE>

Все исключения и прочие настройки сделаны. И при этом, клиент упорно отказывается пропускать пакеты в тунель. Переустанавливал FWC и ip-clent, естественно с перезагрузкой, результат тот же.

P.S. Русские буковки читать умеем, так что на счет внимательности - не по адресу.</r>

 

[adengin]

Не помогло.
Не понятно где и как используется порт udp:87. Запустил сниффер на локальной машине и мониторинг на isa, оба показывают только попытки соединения по tcp:1024.