ФПСУ vs 2xUserGate 4.3

[timur1976]

Добрый день!
Узнал, что нас перевели на ФПСУ, и закрыли доступ "по-старому", на модеме.
Тоже возникла проблема с пробросом портов.
Сеть через свичи сводится на сервер, к нему же подключен шлюз, но обеих установлен ЮГ4.3
Настройки ЮГов:
1 ЮГ (серверный):
-Слушаем любой, порт 87 UDP, отправляем на ЮГ2, порт 87
-Слушаем любой, порт 1024 TCP, отправляем на ЮГ2, порт 1024
2 ЮГ (шлюзовой):
-Слушаем любой, порт 87 UDP, отправляем на "адрес ФГУП", порт 87
-Слушаем любой, порт 1024 TCP, отправляем на "адрес ФГУП", порт 1024.

В итоге, если выбрать "соединить", сначала идет "тестирование оборудования", через некоторое время "ФПСУ недоступно или отказывает в авторизации"

Может, я правила неправильно создал? Тест-утилита срабатывает только на шлюзе.

 

[Roman_Sein]

Добрый день!

Уточните, пожалуйста, в "Настройках VPN-Key" вместо реального ip-адреса ФПСУ, указывали ip-адрес UG1?
И второй вопрос: если клиентскую машину поставить перед UG2 (т.е. не двойной портмаппинг) и попробовать установить соединение? При этом естественно указать в настройках ключа ip-адрес UG2.

ps: не совсем понятно зачем использовать такую схему, учитывая, что в версии UG 4.3 есть NAT.

 

[timur1976]

<r><QUOTE author="Roman_Sein"><s>

</s>Уточните, пожалуйста, в "Настройках VPN-Key" вместо реального ip-адреса ФПСУ, указывали ip-адрес UG1?<e>

</e></QUOTE>
Правильно, так и указывал.

<QUOTE author="Roman_Sein"><s>

</s>клиентскую машину поставить перед UG2<e>

</e></QUOTE>
Это сложно, взять и перенести машину куда подальше.

Экспериментировал так. ставил client.exe за ЮГом, после ЮГа server.exe. Иногда получалось так, что сервер запрос получает, пишет ответ, но в клиенте отзыв не получен.

<QUOTE author="timur1976"><s>

</s>не совсем понятно зачем использовать такую схему, учитывая, что в версии UG 4.3 есть NAT<e>

</e></QUOTE>
Я тоже так хотел сделать. Но, структура такова, что бухгалтеры находятся в VLAN2. На серверной сетевушке выставлен режим тегирования (vlan tagging). Попытка подключить НАТ средствами ЮГ, приводит к полному отключению их ВЛАНА и остальных от сети.

P.S. Попробовал поставить ключ на шлюз. При запуске ключа, аутпост среагировал - <B><s></s>исходящее<e></e></B> udp87, потом <B><s></s>входящее tcp1039<e></e></B>.
Возможно, необходимо правило для tcp извне до машины бухгалтера, пока не знаю, буду пробовать.</r>

 

[Roman_Sein]

<r><QUOTE author="timur1976"><s>

</s>Это сложно, взять и перенести машину куда подальше.<e>

</e></QUOTE>Образно было сказано о переносе клиентской машины. Не обязательно физически переносить компьютер, достаточно использовать любой другой компьютер (ноутбук) для эксперимента.<QUOTE author="timur1976"><s>

</s>Экспериментировал так. ставил client.exe за ЮГом, после ЮГа server.exe. Иногда получалось так, что сервер запрос получает, пишет ответ, но в клиенте отзыв не получен.<e>

</e></QUOTE>Будет правильным использовать проверочную утилиту на обоих UG`ах, тут по крайней мере Вы поймете, какой из них не дает установить соединение.<QUOTE author="timur1976"><s>

</s> Попробовал поставить ключ на шлюз. При запуске ключа, аутпост среагировал - исходящее udp87, потом входящее tcp1039.<e>

</e></QUOTE>Шлюзовая машина имеет прямой выход в интернет? И каков результат? Соединение установилось или нет с помощью ключа?
Для ip-клиента достаточно создать правило : входящие, исходящие - 87 UDP, адрес назначения и слушающий адрес.</r>

 

[timur1976]

<r><QUOTE author="timur1976"><s>

</s>Шлюзовая машина имеет прямой выход в интернет? И каков результат? Соединение установилось или нет с помощью ключа?<e>

</e></QUOTE>
шлюзовая имеет прямой выход в интернет. Соединение установилось, только я пускал его напрямую, а не через ЮГ.

<QUOTE author="timur1976"><s>

</s>Для ip-клиента достаточно создать правило : входящие, исходящие - 87 UDP, адрес назначения и слушающий адрес.<e>

</e></QUOTE>
Нету такого правила в ЮГе. Что-то похожее есть в межсетевом экране, но при отсутствии НАТ эти правила не работают.
Попробовал исправить правило аутпоста на исх/вх udp87, ключ перестал связываться.</r>

 

[timur1976]

Отобрал ключ у бухов.
Поставил утилиту себе на ноут, экспериментирую. Причем, если попытаться соединиться клиентом ip-client.exe, то видно, как в ЮГах поднимаются правила UDP87, но потом выдается "фпсу недоступен либо отвергает авторизацию по неизвестным причинам". Пробовал ставить перед и после ЮГа тестовые утилиты - правила не поднимаются, соединения нет, т.к. порт в утилитах проверки меняется от 1024 и выше. Напрямую если указать адрес в утилитах - соединяются. Пойду ноут подключу к шлюзу, проверю правило.

 

[timur1976]

<r>Амикон заработал. Был неверный адрес ФПСУ. Мне выдали .60, правильный оказался .58
Убрал правила с ЮГов, оставил только udp87 на обеих ЮГах. Заработало. При активном амиконе не работает локальная сеть.
Также, не работает клиен-банк от сбера. В настройках, где связь, указал адрес того фпсу .58, там стоит порт 1024, непонятно, tcp или udp.
При попытке сделать такое же правило, udp1024, т.е. уже два правила на один фпсу, амикон не подключается.
Также пишет "фпсу недоступен либо отвергает авторизацию по неизвестным причинам". Убираем udp1024, подключается.
К-Б не подключается ни при udp87+udp1024, ни при udp87+tcp1024.

Ошибку точно не помню, возможно что-то типа windows socket error. точнее скажу позже.

P.S. пока проверял ключ, полетела сетевушка на ноуте. <E>:-(</E></r>

 

[timur1976]

[Решено] ФПСУ vs 2xUserGate 4.3

<r>Часть1. Амикон и все-все-все.
1. Ставим ключ амикона. На запросы драйверов можно ответить ок и закрыть.
2. Ставим с диска утилиту для ключа. В процессе будет ругаться на антивирус (у меня на дрвеб ентерпрайз ругнулся). Игнорировать. Завершится самостоятельно, нажать закрыть в конце.
3. Входим в утилиту, вводим пин-код администратора, поставив галочку "администратор".
4. Входим в настройки VPN-Key, меняем "основной" на адрес первого ЮГ, смотрящего в локалку, дополнительный можно убрать.
5 .Входим в Хосты, смотрим, чтобы были прописаны два хоста (в моем случае, .58 "хост", и .60 "база данных"), очередь не важна.

Часть2. Амикон и клиент-банк сбербанк.
1. Ищем, где там настройки - связь. Адрес сервера указываем выданный нам банком, порт оставляем, как указано службой банка. (в моем случае было .60, порт 1024)
2. Если есть удаленный доступ, отключаем на этой же вкладке.

Часть3. Амикон и ЮГы.
1. На первом ЮГе, который в локалку смотрит, пишем правило: слушать_сетевушку_локалки_где_пк_с_амиконом, порт 87, тип UDP, отдать_на_адрес_второго_ЮГа, порт UDP87.
2. На втором ЮГе, который с интернетом, пишем почти тоже самое:
слушать_сетевушку_локалки_где_первый_ЮГ, порт 87, тип UDP, отдать_по_адресу ФПСУ, порт UDP87.
В моем случае адрес ФПСУ был .58

Часть4. Бухгалтеры
0. Показать бухгалтерам, как вставлять ключ, куда вводить пин-код, и сразу отобрать и ключ и пин-код в целях безопасности сбербанка. Шутка.
1. Показать как запускать ФПСУ, клиент-банк с выгрузкой-загрузкой в банк, как отключить ФПСУ.
2. Получить денежку, печеньки, пряники, пиво-водка по вкусу.

В принципе все. Можно в FAQ <E></E>

P.S. В настройках на сетевой карте бухгалтера - ip-адрес, маска, как есть; адрес шлюза выставлен адресом первого ЮГа.
Тему можно закрыть.</r>

 

[timur1976]

<r>Подниму тему.

Работало у меня в такой связке, работало, и вдруг, от сбербанка прилетает сообщение. Дескать, давайте-ка новую версию ставьте, а то будет вам ай-яй-яй. Версия 07.024. Идем на сайт - там 07.020.02. Через неделю попыток общения по всем каналам (аська, почта, лично) выдали, что обновление, дескать, скачать можно самим, но только при установленном соединении ФПСУ.
Пробуем. ФПСУ поднимаем, тыкаем адрес - фигушки. Интернет не работает, локалка работает не вся. Т.е. по RDP на сервер я могу зайти, а вот чат и принтеры не работают. Тут пишут, уберите блокировки. При включенном ФПСЕ лезем в настройки VPN-ключа - нужные нам галочки заблокированы от изменения, и на них стоит знак "запрещено".
Пишем в банк, отвечают, можете забрать в вашем филиале. Бухи съездили - им отказали, дескать, обновлялка только автоматически, у них такой версии нет, да и вообще, с чего мы взяли, что нужно обновиться?! Отправили обратно на сайт. <E></E>
Автоматически, при запуске, клиент-банк никуда не лезет, я уже сниффером стал машину гонять - он не появляется в строке запущенных программ, лезущих в интернет. Настройку в клиент-банке сделал.

Вот потому вопрос - это фпсу блокирует доступ через два прокси, или это политика сбербанка, или все-таки надо что-то донастроить?</r>

 

[Roman_Sein]

<r>Добрый день!
<QUOTE author="timur1976"><s>

</s>Вот потому вопрос - это фпсу блокирует доступ через два прокси, или это политика сбербанка<e>

</e></QUOTE>
ФПСУ/Клиент блокирует локальную сеть и интернет, так как сервер банк в принудительном порядке присылает Вам такие настройки для ключа. Такова политика безопасности банка.

Блокировку локальной сети отключить можно в настройках, естественно с pin-кодом администратора. Делать это необходимо когда клиент соединен.
Наличие знаков "кирпич" говорит о том, что в банке запрещено отключать соответствующие блокировки.

Чтобы скачать обновление Клиент-банка по имеющийся ссылке, необходимо наличие этого ip-адреса в списке хостов (также в настройках). Поэтому, если таковой адрес отсутствует - добавьте.</r>

 

[timur1976]

<r><QUOTE author="Roman_Sein"><s>

</s>Добрый день!
<QUOTE author="timur1976"><s>

</s>Вот потому вопрос - это фпсу блокирует доступ через два прокси, или это политика сбербанка<e>

</e></QUOTE>
ФПСУ/Клиент блокирует локальную сеть и интернет, так как сервер банк в принудительном порядке присылает Вам такие настройки для ключа. Такова политика безопасности банка.

Блокировку локальной сети отключить можно в настройках, естественно с pin-кодом администратора. Делать это необходимо когда клиент соединен.
Наличие знаков "кирпич" говорит о том, что в банке запрещено отключать соответствующие блокировки.

Чтобы скачать обновление Клиент-банка по имеющийся ссылке, необходимо наличие этого ip-адреса в списке хостов (также в настройках). Поэтому, если таковой адрес отсутствует - добавьте.<e>

</e></QUOTE>
Адрес добавлен, но...
В общем, проблема решилась - какая-то добрая душа выложила новую версию, ее поставил. А СБ скажем большое "фу такими быть"</r>

 

[timur1976]

Такой вопрос.
Есть возможность подключения к той машине выделенного IP адреса у провайдера. Но не желательно отключать ее от локальной сети. Т.е. на приходящий кабель вешаем беспроводную точку доступа, на машину ставим беспроводной адаптер, оставляя подключенной ее в локальную сеть, чтобы она могла пользоваться сетевыми ресурсами (другие буховские машины + принтеры + RDP), а при необходимости, могла открыть соединение ФПСУ и работать с клиент-банком.
Какие изменения надо будет внести в настройки, чтобы клиент-банк цеплялся именно через ФПСУ, который должен подключаться через беспроводной адаптер?

 

[Roman_Sein]

Добрый день!

На всех сетевых адаптерах (проводной и беспроводной) установлен Amicon NDIS IM Filter Driver, для Ваших целей с проводного адаптера удалите наш фильтр. И при такой схеме наличие АМИКОН/Клиента ни каким образом (подключенного или отключенного) не будет влиять на работу проводного адаптера.