Форум не является системой мгновенных сообщений. Для получения оперативного ответа просьба звонить по указанным
на главной странице сайта телефонным номерам.
ФПСУ/IP-Клиент + ISA 2006. Перспективы?
- Автор темы jnw
- Дата начала
Jonathan119
New Member
<r>Да, в течение двух дней бились, так ничего и не добились. Рекомендации, указанные в <URL url="http://amicon.ru/forum/viewtopic.php?t=454">http://amicon.ru/forum/viewtopic.php?t=454</URL>, были выполнены. Огромная просьба к специалистам Амикона разместить здесь инструкцию со скриншотами (по возможности), иначе фактически невозможно обеспечить работу сотрудников.
Да, и еще один вопрос в контексте проблемы: практикуют ли сотрудники Амикона выезды по настройке взаимодействия своего ПО со сторонним и, если да, то сколько это может стоить в плане указанной в теме проблемы?</r>
Да, и еще один вопрос в контексте проблемы: практикуют ли сотрудники Амикона выезды по настройке взаимодействия своего ПО со сторонним и, если да, то сколько это может стоить в плане указанной в теме проблемы?</r>
Здравствуйте.
У меня isa 2006, на компе буха клиент от АМИКОН. Сначала, естественно, коннекта вообще не было, даже если открываю правило все для всех. Потом настроил все как указано в рекомендациях на форуме коннект появляется только после открывания всего для всех. Не понимаю в чем может быть подвох. test_client работает нормально, запускаю одну часть на исе, другю на клиенте, коннект идет, все в порядке. Такое впечатление, что где-то что-то я недооткрыл, никак не могу понять что именно. UDP в правиле указан именно как send receive...
Если не открывать правило все для всех, то клиент пишет "ФПСУ отверг запрос авторизации по неизвестной причине".
Может кто чего подскажет?
У меня isa 2006, на компе буха клиент от АМИКОН. Сначала, естественно, коннекта вообще не было, даже если открываю правило все для всех. Потом настроил все как указано в рекомендациях на форуме коннект появляется только после открывания всего для всех. Не понимаю в чем может быть подвох. test_client работает нормально, запускаю одну часть на исе, другю на клиенте, коннект идет, все в порядке. Такое впечатление, что где-то что-то я недооткрыл, никак не могу понять что именно. UDP в правиле указан именно как send receive...
Если не открывать правило все для всех, то клиент пишет "ФПСУ отверг запрос авторизации по неизвестной причине".
Может кто чего подскажет?
sergey.s.betke
Well-Known Member
ms isa 2000 + ФПСУ ip клиент + fwc
<r>Реализовал альтернативный вариант решения проблемы.
Решение следующее: за маршрутизацию и сетевую безопасность отвечать должен брендмаужр сети, а не рабочие станции. <B><s></s>Поэтому и поставил ФПСУ ip клиента на ms isa server<e></e></B>. В терминале он себя поставить не даёт (потому как сеть при этом пропадает на время). Поставил с консоли.
После установки и перезагрузки открываем параметры сетевых интерфейсов (сетевые подключения, выбираем "внутренние" интерфейсы с точки зрения isa по одному, свойства) отвязываю от них Amicon NDIS IM Filter driver. Этот шаг не обязателен, просто не нужен этот фильтр на внутреннем интерфейсе.
Далее. <B><s></s>на ISA определяем packet filter <e></e></B>(да, уже не protocol rule, так как речь идёт о отправке с самого сервера). разрешаем udp (dynamic) - > udp 87 (send receive). причём в моём случае я его разрешил конкретно на ip межсетевого экрана банка.
<B><s></s>Перезапускаем службу firewall <e></e></B>(служба isa server).
Теперь <B><s></s>запускаем клиента ФПСУ Ip<e></e></B>. вставляем ключ, вводим pin-код. <B><s></s>В настройках ФПСУ ip клиента указываем - помнить pin код, пока ключ не отсоединён<e></e></B>. Для сервера этот вариант наиболее удобен. теперь он будет соединяться и переподключаться при перезагрузках и прочих чудесах сам, что очень удобно.
Проверяем связь с межсетевым экраном. Делаем trace -d ip-адрес-сервера-банка-не-межсетевого-экрана. Проделаем эту операцию как с подключенным ФПСУ ip клиентом, так и с отключенным. Маршруты должны быть разными (за исключением случая, когда между Вашим внешним ip и межсетевым экраном банка нет маршрутизаторов). Итак, если маршруты разные - это косвенный признак работоспособности ФПСУ ip клиента.
Но это ещё не всё. Теперь необходимо обеспечить функционирование самого клиента-банка. Дело в том, что в такой конфигурации все правила isa будут применимы к нему, и необходимо контролировать все протоколы, а не только "udp87". Ведь ФПСУ ip клиент в этом варианте будет получать пакеты уже после проверки службой firewall isa server'а.
Поэтому мы разрешаем протокол ftp (он описан при установке ms isa). Новый клиент использует активный режим фтп (речь о клиенте-банке). Обеспечить в таком варианте авторизацию на isa через fwc мне не удалось. Поэтому <B><s></s>в настройках fwc <e></e></B>(через консоль ms isa / client configuration / firewall client) добавляем исключение для <B><s></s>[wCLNT], Disable=1<e></e></B>.
Нужно понимать, что эти настройки будут применены к клиенту. Как их применять принудительно и когда они применяются - подробно в msdn и technet по isa. В общем - применили эти настройки.
После этого клиент-банк уже не сможет авторизоваться на isa (за этот процесс как раз и отвечал fwc). <B><s></s>Поэтому правило <e></e></B>(protocol rule), <B><s></s>разрешающее протокол outgoing tcp 1024 и фтп протокол, должно быть либо для всех, либо с авторизацией по Ip<e></e></B> (через client address sets). Через группы авторизация недопустима в этом случае.
Исправили / создали правило, перезапустили microsoft firewall. Запускает клиент банк на рабочей станции (wCLNT.exe). Пробуем запросить выписку - и всё работает.
Дополнительные приемущества этого решения - не требуется "специфичного" ПО на рабочей станции, нет соответственно ограничения на 32/64 бита. И клиент после этого будет работать даже из виртуальной машины, терминала и так далее. И ещё - логи firewall на isa при этом будут отражать обращения клиент-банка на фтп порты и на tcp1024, что тоже не вредно.</r>
<r>Реализовал альтернативный вариант решения проблемы.
Решение следующее: за маршрутизацию и сетевую безопасность отвечать должен брендмаужр сети, а не рабочие станции. <B><s></s>Поэтому и поставил ФПСУ ip клиента на ms isa server<e></e></B>. В терминале он себя поставить не даёт (потому как сеть при этом пропадает на время). Поставил с консоли.
После установки и перезагрузки открываем параметры сетевых интерфейсов (сетевые подключения, выбираем "внутренние" интерфейсы с точки зрения isa по одному, свойства) отвязываю от них Amicon NDIS IM Filter driver. Этот шаг не обязателен, просто не нужен этот фильтр на внутреннем интерфейсе.
Далее. <B><s></s>на ISA определяем packet filter <e></e></B>(да, уже не protocol rule, так как речь идёт о отправке с самого сервера). разрешаем udp (dynamic) - > udp 87 (send receive). причём в моём случае я его разрешил конкретно на ip межсетевого экрана банка.
<B><s></s>Перезапускаем службу firewall <e></e></B>(служба isa server).
Теперь <B><s></s>запускаем клиента ФПСУ Ip<e></e></B>. вставляем ключ, вводим pin-код. <B><s></s>В настройках ФПСУ ip клиента указываем - помнить pin код, пока ключ не отсоединён<e></e></B>. Для сервера этот вариант наиболее удобен. теперь он будет соединяться и переподключаться при перезагрузках и прочих чудесах сам, что очень удобно.
Проверяем связь с межсетевым экраном. Делаем trace -d ip-адрес-сервера-банка-не-межсетевого-экрана. Проделаем эту операцию как с подключенным ФПСУ ip клиентом, так и с отключенным. Маршруты должны быть разными (за исключением случая, когда между Вашим внешним ip и межсетевым экраном банка нет маршрутизаторов). Итак, если маршруты разные - это косвенный признак работоспособности ФПСУ ip клиента.
Но это ещё не всё. Теперь необходимо обеспечить функционирование самого клиента-банка. Дело в том, что в такой конфигурации все правила isa будут применимы к нему, и необходимо контролировать все протоколы, а не только "udp87". Ведь ФПСУ ip клиент в этом варианте будет получать пакеты уже после проверки службой firewall isa server'а.
Поэтому мы разрешаем протокол ftp (он описан при установке ms isa). Новый клиент использует активный режим фтп (речь о клиенте-банке). Обеспечить в таком варианте авторизацию на isa через fwc мне не удалось. Поэтому <B><s></s>в настройках fwc <e></e></B>(через консоль ms isa / client configuration / firewall client) добавляем исключение для <B><s></s>[wCLNT], Disable=1<e></e></B>.
Нужно понимать, что эти настройки будут применены к клиенту. Как их применять принудительно и когда они применяются - подробно в msdn и technet по isa. В общем - применили эти настройки.
После этого клиент-банк уже не сможет авторизоваться на isa (за этот процесс как раз и отвечал fwc). <B><s></s>Поэтому правило <e></e></B>(protocol rule), <B><s></s>разрешающее протокол outgoing tcp 1024 и фтп протокол, должно быть либо для всех, либо с авторизацией по Ip<e></e></B> (через client address sets). Через группы авторизация недопустима в этом случае.
Исправили / создали правило, перезапустили microsoft firewall. Запускает клиент банк на рабочей станции (wCLNT.exe). Пробуем запросить выписку - и всё работает.
Дополнительные приемущества этого решения - не требуется "специфичного" ПО на рабочей станции, нет соответственно ограничения на 32/64 бита. И клиент после этого будет работать даже из виртуальной машины, терминала и так далее. И ещё - логи firewall на isa при этом будут отражать обращения клиент-банка на фтп порты и на tcp1024, что тоже не вредно.</r>