pronskiy_plk
New Member
можно ли настроить что бы через 1 подключение (т.к. всего один ключ фпсу), можно было отправлять декларации с 8 компьютеров (работаем в программе CTM) сетка находится в домене.
Форум не является системой мгновенных сообщений. Для получения оперативного ответа просьба звонить по указанным
на главной странице сайта телефонным номерам.
1 фпсу ключ на несколько компьютеров
- Автор темы pronskiy_plk
- Дата начала
Примерная конфигурация внутренней сети
Локальная сеть 192.168.0.0 с маской 255.255.255.0
Шлюз: 192.168.0.1
Машина c ФПСУ IP/Клиент: 192.168.0.2
Клиент 1: 192.168.0.11
Клиент 2: 192.168.0.12
Допустим имеется локальная сеть, как на рисунке выше, подключенная к сети Internet
через маршрутизатор с NAT под управлением операционной системы отличной от Microsoft Windows, и
нужно организовать подключение N количества рабочих мест (Клиентов) к ЭД2. Основная
проблема, с которой сталкивается администратор, заключается в том, что ПО, которое идет
в поставке с ключем, написано как раз под OC Windows, на шлюзе его не установить, но необходимо,
чтобы пакеты от клиентов обрабатывались этим ПО.
Одним из решений может быть установка параллельно со шлюзом еще одного роутера под управлением
OC Windows c выходом в интернет, установка на него ПО ФПСУ IP/Клиент, и "выпускание" клиентских
машин через этот роутер. Однако это не всегда возможно и/или не удобно.
Одно из альтернативных решений, выглядит так:
Выбираем в сети любую машину под управлением ОС Windows (192.168.0.2), устанавливаем на нее
ФПСУ IP/Клиент, включаем на ней маршрутизацию (об этом ниже).
На шлюзе делаем NAT для __КАЖДОЙ__ машины-клиента-эд2 на адрес VPN Server'а (94.100.89.243 UDP/87),
включая машину с ФПСУ IP/Клиент.
Проверяем, что ФПСУ IP/Клиент нормально подключается к системе ЭД2, пингуется 94.100.89.244,
устанавливается соединение с 94.100.89.244:25 и 94.100.89.244:110
---------------------------------
>telnet 94.100.89.244 25
220 node1 Microsoft ESMTP MAIL Service, Version: 6.0.3790.1830 ready at Xxx, XX Xxx 20XX xx:xx:xx +0300
>quit
221 2.0.0 node1 Service closing transmission channel
Подключение к узлу утеряно.
---------------------------------
На машине с ПО ФПСУ IP/Клиент (192.168.0.2) проделываем следующие действия:
===========================================================================
1) включаем форвардинг пакетов в службе tcpip (режим роутера)
HKLM\SYSTEM\CurrentControlSet\services\tcpip\parameters\IPEnableRouter = 1
2) ЖЕЛАТЕЛЬНО отключить icmp redirect
HKLM\SYSTEM\CurrentControlSet\services\tcpip\parameters\EnableICMPRedirect = 0
3) запускаем службу Маршрутизации и Удаленного Доступа
4) отключаем брандмауэр, или настраиваем его правильно.
5) перезагружаемся, устанавливаем соединение через ФПСУ IP/Клиент
На клиентских машинах (.11, .12, ...):
======================================
___подразумеваем, что tcp/25 и tcp/110 на выход не блокируется___
1) прописать статичный маршрут до 94.100.89.244 через машину с ПО ФПСУ IP/Клиент
(в нашем случае это 192.168.0.2)
route -p add 94.100.89.244 mask 255.255.255.255 192.168.0.2
2) ОБЯЗАТЕЛЬНО отключить icmp redirect
HKLM\SYSTEM\CurrentControlSet\services\tcpip\parameters\EnableICMPRedirect = 0
Если этого не сделать, то после первого пакета, ушедшего на 192.168.0.2, от него
вернется ICMP-редирект сообщение, и все остальные пакеты до 94.100.89.244 пойдут
через прежний шлюз (192.168.0.1)
3) Понизить MTU на интерфейсе (я понизил до 1000, чтобы наверняка, но
по идее можно поиграться и выяснить потолок +-1300?)
HKLM\SYSTEM\CurrentControlSet\services\tcpip\parameters\Interfaces\{XXX-XXX-XXX-XXX}\
DWORD: MTU=1000 (десятичн),
интерфейс {XXX-XXX-XXX-XXX} выбирать, исходя из значения IPAddress, например.
Если этого не сделать, то при передаче пакетов бОльших, чем значение MTU VPN-канала,
они будут "биться"; соединение с POP/SMTP будет устанавливаться (syn/syn-ack/ack), но при
передаче данных, когда передаются большие пакеты, сессия будет "зависать" (дупы, ретрансмит,
отвал по таймауту)
4) перезагружаемся.
На шлюзе (192.168.0.1):
=======================
ВАЖНЫЙ МОМЕНТ. После прохождения через ПО ФПСУ IP/Клиент пакет меняется/шифруется таким образом,
что ip-адрес клиента НЕ изменяется, т.е.:
TCP 192.168.0.11 -> 94.100.89.244 преобразуется в UDP 192.168.0.11 -> 94.100.89.243:87
Именно поэтому в правилах NAT надо учитывать все хосты-клиенты, НО (!!!)
ответные UDP пакеты от 94.100.89.243:87 после обратного NAT преобразования будут предназначаться
ip адресу КЛИЕНТСКОЙ машины (192.168.0.11) и уходить напрямую без дешифровки.
Чтобы этого избежать, необходимо все исходящие UDP/87 пакеты от адреса 94.100.89.243 на внутреннем
интерфейса шлюза, принудительно перенаправлять на машину с ФПСУ IP/Клиент (192.168.0.2), где они
будут обратно преобразованы и переданы на клиентскую машину (192.168.0.11).
Например для ipfw от FreeBSD правило выглядит приблизительно так:
fwd 192.168.0.2 udp from 94.100.89.243 87 to 192.168.0.0/24
Локальная сеть 192.168.0.0 с маской 255.255.255.0
Шлюз: 192.168.0.1
Машина c ФПСУ IP/Клиент: 192.168.0.2
Клиент 1: 192.168.0.11
Клиент 2: 192.168.0.12
Допустим имеется локальная сеть, как на рисунке выше, подключенная к сети Internet
через маршрутизатор с NAT под управлением операционной системы отличной от Microsoft Windows, и
нужно организовать подключение N количества рабочих мест (Клиентов) к ЭД2. Основная
проблема, с которой сталкивается администратор, заключается в том, что ПО, которое идет
в поставке с ключем, написано как раз под OC Windows, на шлюзе его не установить, но необходимо,
чтобы пакеты от клиентов обрабатывались этим ПО.
Одним из решений может быть установка параллельно со шлюзом еще одного роутера под управлением
OC Windows c выходом в интернет, установка на него ПО ФПСУ IP/Клиент, и "выпускание" клиентских
машин через этот роутер. Однако это не всегда возможно и/или не удобно.
Одно из альтернативных решений, выглядит так:
Выбираем в сети любую машину под управлением ОС Windows (192.168.0.2), устанавливаем на нее
ФПСУ IP/Клиент, включаем на ней маршрутизацию (об этом ниже).
На шлюзе делаем NAT для __КАЖДОЙ__ машины-клиента-эд2 на адрес VPN Server'а (94.100.89.243 UDP/87),
включая машину с ФПСУ IP/Клиент.
Проверяем, что ФПСУ IP/Клиент нормально подключается к системе ЭД2, пингуется 94.100.89.244,
устанавливается соединение с 94.100.89.244:25 и 94.100.89.244:110
---------------------------------
>telnet 94.100.89.244 25
220 node1 Microsoft ESMTP MAIL Service, Version: 6.0.3790.1830 ready at Xxx, XX Xxx 20XX xx:xx:xx +0300
>quit
221 2.0.0 node1 Service closing transmission channel
Подключение к узлу утеряно.
---------------------------------
На машине с ПО ФПСУ IP/Клиент (192.168.0.2) проделываем следующие действия:
===========================================================================
1) включаем форвардинг пакетов в службе tcpip (режим роутера)
HKLM\SYSTEM\CurrentControlSet\services\tcpip\parameters\IPEnableRouter = 1
2) ЖЕЛАТЕЛЬНО отключить icmp redirect
HKLM\SYSTEM\CurrentControlSet\services\tcpip\parameters\EnableICMPRedirect = 0
3) запускаем службу Маршрутизации и Удаленного Доступа
4) отключаем брандмауэр, или настраиваем его правильно.
5) перезагружаемся, устанавливаем соединение через ФПСУ IP/Клиент
На клиентских машинах (.11, .12, ...):
======================================
___подразумеваем, что tcp/25 и tcp/110 на выход не блокируется___
1) прописать статичный маршрут до 94.100.89.244 через машину с ПО ФПСУ IP/Клиент
(в нашем случае это 192.168.0.2)
route -p add 94.100.89.244 mask 255.255.255.255 192.168.0.2
2) ОБЯЗАТЕЛЬНО отключить icmp redirect
HKLM\SYSTEM\CurrentControlSet\services\tcpip\parameters\EnableICMPRedirect = 0
Если этого не сделать, то после первого пакета, ушедшего на 192.168.0.2, от него
вернется ICMP-редирект сообщение, и все остальные пакеты до 94.100.89.244 пойдут
через прежний шлюз (192.168.0.1)
3) Понизить MTU на интерфейсе (я понизил до 1000, чтобы наверняка, но
по идее можно поиграться и выяснить потолок +-1300?)
HKLM\SYSTEM\CurrentControlSet\services\tcpip\parameters\Interfaces\{XXX-XXX-XXX-XXX}\
DWORD: MTU=1000 (десятичн),
интерфейс {XXX-XXX-XXX-XXX} выбирать, исходя из значения IPAddress, например.
Если этого не сделать, то при передаче пакетов бОльших, чем значение MTU VPN-канала,
они будут "биться"; соединение с POP/SMTP будет устанавливаться (syn/syn-ack/ack), но при
передаче данных, когда передаются большие пакеты, сессия будет "зависать" (дупы, ретрансмит,
отвал по таймауту)
4) перезагружаемся.
На шлюзе (192.168.0.1):
=======================
ВАЖНЫЙ МОМЕНТ. После прохождения через ПО ФПСУ IP/Клиент пакет меняется/шифруется таким образом,
что ip-адрес клиента НЕ изменяется, т.е.:
TCP 192.168.0.11 -> 94.100.89.244 преобразуется в UDP 192.168.0.11 -> 94.100.89.243:87
Именно поэтому в правилах NAT надо учитывать все хосты-клиенты, НО (!!!)
ответные UDP пакеты от 94.100.89.243:87 после обратного NAT преобразования будут предназначаться
ip адресу КЛИЕНТСКОЙ машины (192.168.0.11) и уходить напрямую без дешифровки.
Чтобы этого избежать, необходимо все исходящие UDP/87 пакеты от адреса 94.100.89.243 на внутреннем
интерфейса шлюза, принудительно перенаправлять на машину с ФПСУ IP/Клиент (192.168.0.2), где они
будут обратно преобразованы и переданы на клиентскую машину (192.168.0.11).
Например для ipfw от FreeBSD правило выглядит приблизительно так:
fwd 192.168.0.2 udp from 94.100.89.243 87 to 192.168.0.0/24
pronskiy_plk
New Member
<r>не удалось организовать подключение, опишу что проделывал
<QUOTE><s>
затем на клиентской
<QUOTE><s>
собственно не работает
хотел узнать
с клинтской машины пинговаться 94.100.89.244 должен?
telnet на 25 и 110 порт должен проходить?
на клиентской машине в программе АМИКОН кнопка <B><s></s>соединение <e></e></B> должна стать активной?
может подскажите в чём косяк мой? <E>:?</E></r>
<QUOTE><s>
</e></QUOTE>
затем на клиентской
<QUOTE><s>
</e></QUOTE>
собственно не работает
хотел узнать
с клинтской машины пинговаться 94.100.89.244 должен?
telnet на 25 и 110 порт должен проходить?
на клиентской машине в программе АМИКОН кнопка <B><s></s>соединение <e></e></B> должна стать активной?
может подскажите в чём косяк мой? <E>:?</E></r>
sergey.s.betke
Well-Known Member
<r>В общем и целом - легко возможно. Два варианта. Первый (более симпатичный) - <URL url="http://sergey-s-betke.blogs.novgaro.ru/klient-bank-sberbanka-sb-rf-fpsu-ipklient-amikon-i-isa-server-stroim-specializirovannyj-fpsu-marshrutizator"><s></s><LINK_TEXT text="http://sergey-...zirovannyj-fpsu-marshrutizator</LINK_TEXT><e></e></URL>, и второй - <URL url="http://sergey-s-betke.blogs.novgaro.ru/klient-bank-sb-rf-fpsu-ipklient-amikon-i-isa-server-kak-zastavit-eto-rabotat-ne-trogaya-klientskie-workstation"><s></s><LINK_TEXT text="http://sergey-...trogaya-klientskie-workstation</LINK_TEXT><e></e></URL>.</r>