ФПСУ-IP & ISA 2000 Server

  • Автор темы Автор темы Repa
  • Дата начала Дата начала
R

Repa

Member
<r>Ситуация не простая:( на компьютере бухгалтера стоит клиент банк который должен соединяться по VPN туннелю с сбербанком но клиент ФПСУ-IP пишет "фпсу недоступен либо отвергает соединение по неизвестной причине" (стоит версия 4.1, зелёная флэшка)
Админ утверждает, что настроил ISA 2000 как рекомендовано <URL url="http://amicon.ru/forum/viewtopic.php?t=454">http://amicon.ru/forum/viewtopic.php?t=454</URL>, вернее он до этого настраивал на другом компе клиент банк в этой же сетке который нормально выходит на связь с сбербанком, но там немного другая история стоит клиент 1.46.х (если не соврать) и подключена серая флэшка.
После всевозможных танцев с бубном, нашёл резервную серую флешку которую установил на компьютер бухгалтера с версией 1.46.х и всё заработало.
Что делать в чём причина? До конца не выяснил в чём проблема в флэшке или софте, так как не пытался подключить серую флэшку с версией ФПСУ-IP 4.1</r>
 
ISA прописана в качестве шлюза по умолчанию на рабочей станции?
 
Файервольный клиент от ISA у вас установлен на рабочей станции? Если установлен, то попробуйте его удалить.
 
сам я не могу его удалить, я могу дать рекомендацию системному администратору конторы где нужно подключить фпсу клиент, он пробовал отключать файервольный клиент от ISA, не помогло, но почему на этой же машине работает старая версия фпсу клиента с "серой" флэшкой?

Общем посоветовать удалить файервольный клиент от ISA?
 
<r>Реализовал альтернативный вариант решения проблемы.

Решение следующее: за маршрутизацию и сетевую безопасность отвечать должен брендмаужр сети, а не рабочие станции. <B><s></s>Поэтому и поставил ФПСУ ip клиента на ms isa server<e></e></B>. В терминале он себя поставить не даёт (потому как сеть при этом пропадает на время). Поставил с консоли.

После установки и перезагрузки открываем параметры сетевых интерфейсов (сетевые подключения, выбираем "внутренние" интерфейсы с точки зрения isa по одному, свойства) отвязываю от них Amicon NDIS IM Filter driver. Этот шаг не обязателен, просто не нужен этот фильтр на внутреннем интерфейсе.

Далее. <B><s></s>на ISA определяем packet filter <e></e></B>(да, уже не protocol rule, так как речь идёт о отправке с самого сервера). разрешаем udp (dynamic) - > udp 87 (send receive). причём в моём случае я его разрешил конкретно на ip межсетевого экрана банка.

<B><s></s>Перезапускаем службу firewall <e></e></B>(служба isa server).

Теперь <B><s></s>запускаем клиента ФПСУ Ip<e></e></B>. вставляем ключ, вводим pin-код. <B><s></s>В настройках ФПСУ ip клиента указываем - помнить pin код, пока ключ не отсоединён<e></e></B>. Для сервера этот вариант наиболее удобен. теперь он будет соединяться и переподключаться при перезагрузках и прочих чудесах сам, что очень удобно.

Проверяем связь с межсетевым экраном. Делаем trace -d ip-адрес-сервера-банка-не-межсетевого-экрана. Проделаем эту операцию как с подключенным ФПСУ ip клиентом, так и с отключенным. Маршруты должны быть разными (за исключением случая, когда между Вашим внешним ip и межсетевым экраном банка нет маршрутизаторов). Итак, если маршруты разные - это косвенный признак работоспособности ФПСУ ip клиента.

Но это ещё не всё. Теперь необходимо обеспечить функционирование самого клиента-банка. Дело в том, что в такой конфигурации все правила isa будут применимы к нему, и необходимо контролировать все протоколы, а не только "udp87". Ведь ФПСУ ip клиент в этом варианте будет получать пакеты уже после проверки службой firewall isa server'а.

Поэтому мы разрешаем протокол ftp (он описан при установке ms isa). Новый клиент использует активный режим фтп (речь о клиенте-банке). Обеспечить в таком варианте авторизацию на isa через fwc мне не удалось. Поэтому <B><s></s>в настройках fwc <e></e></B>(через консоль ms isa / client configuration / firewall client) добавляем исключение для <B><s></s>[wCLNT], Disable=1<e></e></B>.

Нужно понимать, что эти настройки будут применены к клиенту. Как их применять принудительно и когда они применяются - подробно в msdn и technet по isa. В общем - применили эти настройки.
После этого клиент-банк уже не сможет авторизоваться на isa (за этот процесс как раз и отвечал fwc). <B><s></s>Поэтому правило <e></e></B>(protocol rule), <B><s></s>разрешающее протокол outgoing tcp 1024 и фтп протокол, должно быть либо для всех, либо с авторизацией по Ip<e></e></B> (через client address sets). Через группы авторизация недопустима в этом случае.

Исправили / создали правило, перезапустили microsoft firewall. Запускает клиент банк на рабочей станции (wCLNT.exe). Пробуем запросить выписку - и всё работает.

Дополнительные приемущества этого решения - не требуется "специфичного" ПО на рабочей станции, нет соответственно ограничения на 32/64 бита. И клиент после этого будет работать даже из виртуальной машины, терминала и так далее. И ещё - логи firewall на isa при этом будут отражать обращения клиент-банка на фтп порты и на tcp1024, что тоже не вредно.</r>
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху