none
Сбербанк клиент

    Question

  • Вопрос такой
    Как правильно сделать правило доступа для этого ПО?
    Наверняка кто-нибудь да сталкивался.....
    + Как настроить для этой софтины FWC?
    Tuesday, December 16, 2008 2:59 PM

Answers

  • если работа через ФПСУ то попробуйте как описано тут.

    http://www.amicon.ru/forum/viewtopic.php?t=454

    если иса 2000, то по аналогии - для фаервольного клиента исключение и открыть доступ для этого компьютера по 87 UDP send-recieve
    Tuesday, December 16, 2008 6:11 PM
  • Извините, что не ответил так быстро как обещал. В общем вот здесь http://www.amicon.ru/download.htm лежит "Утилита инсталляции/деисталляции LSP-драйвера". После установки клиента амикона и ISA Client установил этот драйвер, перезагрузил (после этого компьютер перестал с сетью общаться вообще), удалил драйвер и клиент-банк заработал с установленным и включенным клиентом исы. Добился этого результата на тестовой машине, сегодня проделал то же самое сегодня на рабочем месте бухгалтера, все ок.

    Monday, March 16, 2009 1:48 PM

All replies

  •  Aleksey Potapov написано:
    Вопрос такой
    Как правильно сделать

     

    Обратиться в службу поддержки Сбербанка и узнать какие порты необходимы для работы приложения. А потом соответствующим образом настроить FireWall.

    Tuesday, December 16, 2008 3:05 PM
  • Дык, обращался - поэтому и написал сюды.
    Tuesday, December 16, 2008 3:07 PM
  •  Aleksey Potapov написано:
    Дык, обращался - поэтому и написал сюды.

    И что они ответили?

    Tuesday, December 16, 2008 3:08 PM
  • Ответили, то что Они консультируют только по работе самого Сбербанк клиента. А вот сторонний софт - это к изготовителю софта....
    Tuesday, December 16, 2008 3:11 PM
  •  Aleksey Potapov написано:
    Ответили, то что Они консультируют только по работе самого Сбербанк клиента. А вот сторонний софт - это к изготовителю софта....

    Видимо вы им не правильно вопрос задали. Вы поинтересуйтесь не как вам настроить Firewall, а какие порты нужны для рабты клиента, что бы вы могли настроить ваш firewall. Я так понимаю, что вам нужно клиента связывать с серверами банка.

    Это можно и эксперементальным путем установить, но лучше, что бы они дали четкий ответ. Что бы быть уверенным в том, что мы открыли все необходимые порты.

    Tuesday, December 16, 2008 3:14 PM
  • Вопрос то я как раз задал правильный....но вот сотрудники, которые отвечали на вопрос - явно не очень ещё специалисты - так как на каждый мой вопрос они отвечали- подождите, и я слышал - Вась, как там  то то....
     и в таком духе....
    Tuesday, December 16, 2008 3:17 PM
  • В таких случаях я обращался к директору, т.к. это уже "политический" вопрос, а не технический. Вы бы еще в документации поискали бы. Наверняка есть...

    Tuesday, December 16, 2008 3:19 PM
  • Ну я тут задал вопрос именно потому что это технический вопрос.
    Если кто всё-таки сталкивался с этой программой, то напишите.
    Заранее спасибо!
    Tuesday, December 16, 2008 3:21 PM
  • если работа через ФПСУ то попробуйте как описано тут.

    http://www.amicon.ru/forum/viewtopic.php?t=454

    если иса 2000, то по аналогии - для фаервольного клиента исключение и открыть доступ для этого компьютера по 87 UDP send-recieve
    Tuesday, December 16, 2008 6:11 PM
  • Как я понимаю - эта прога создёт vpn тунель до сбербанка.Интересно- почему 87 порт?
    + там указано что необходимо на компьютере сбера прописать шлюзом isa сервер - а если нет возможности это сделать?(ну вопрос такой - спортивный интерес)
    Tuesday, December 16, 2008 8:01 PM
  • ну как почему 87? а почему бы и нет? они в своем софте какой хотят порт такой и делают Smile

    часто такие клиенты используют свои реализации впн (ну впн громкое название для такого, скорее просто инкапсуляция своего трафика в некий шифрованный тунель) и часто через fwc это работать не будет, потому лучше чтобы шлюз был. а по общим законам маршрутизированных сетей шлюз должен быть всегда, если не иса то что нить другое Smile

    Tuesday, December 16, 2008 9:14 PM
  •  Aleksey Potapov написано:
    Как я понимаю - эта прога создёт vpn тунель до сбербанка.Интересно- почему 87 порт?

    http://amicon.ru/faq.htm#cli1 тут можно подробней о клиенте почитать и его работе.
     Aleksey Potapov написано:
    + там указано что необходимо на компьютере сбера прописать шлюзом isa сервер - а если нет возможности это сделать?(ну вопрос такой - спортивный интерес)

    долго с ним мучились и по другому настроить не получилось. так как там свой vpn, то ничего на исе, кроме начала передачи по 87 порту не видно и управлять тем трафиком, который происходит при обмене, кроме как через дефалт гетевей, не получилось. Хотя может кому-то удалось? у Вас получилось настроить как они предлагают?
    Wednesday, December 17, 2008 5:51 AM
  • На след. неделе буду заниматься этим вопросом....пока разрешил весь траффик до серверов сбера именно с машины со сбербанк клиентом....fwc ещё не ставил....
    Wednesday, December 17, 2008 9:34 AM
  • Лично у меня оно так и не заработало с ISA Client. Туннель через amikon до сбера поднимается, а с пакетами что-то непонятное. Как там было написано в настройках ISA Client сделал для wCLNT и ip-client опцию Disabled=1 и оно все равно не заработало. В логах исы вижу что соединение пошло (на клиентcкой машине есть коннект по UDP 87), потом, когда пытаюсь подключится к серверу сбера на том конце туннеля на компьютере длительное молчание, потом сообщение что подключится не удалось, в логах исы нераспознанный пакет по UDP на хост сбера на порт 0. Удаляю клиента - все работает. Саппорт амикона сказал что, их программа вообще-то работает, а то что ISA Client не может по-человечески TCP трафик заворачивать так это обращайтесь к разработчику.

    Кстати момент, когда тестировал работу с  ISA Client, свалил в отдельную папку ftp, ping и telnet, переименовав их в wCLNT, чтоб ISA Client учел для них правила приложений. ping пакеты слал и принимал, ftp с telnet подключаться ни в какую не желали :(
    Tuesday, March 10, 2009 1:48 PM
  •  У меня ISA 2000, я тоже возился с этим банк-клиентом. Решение нашел на сайте разработчика ФПСУ-IP/Клиент:

    1. Установить на рабочую станцию Microsoft Isa Client и ФПСУ-IP/Клиент (версия 1.46.21 и выше).
    2. Настроить на Microsoft Isa Server прохождение во внешний сегмент UDP 87 (прописать отдельное правило в Protocol Rules (предварительно создав описание в Protocol Definitions «UDP 87 , SEND RECEIVE»))
    3. На Microsoft Isa Server в настройках Microsoft Isa Client необходимо указать имя Вашего Приложения (имя исполняемого файла без расширения) , для которого Microsoft Isa Client действовать не будет (например, указать имя «wCLNT»,«OPERA» или «IEXPLORE» c параметром «Disable» , «0»). Такие же настройки необходимо сделать для Приложения «IP-Client». (Возможно, в настройках Microsoft Isa Client потребуется нажать кнопку «Update now» или перегрузить рабочую станцию для активизации сделанных на Microsoft Isa Server изменений).

    Но почему то, чтобы программа работала мне приходится Isa Client отключать, тоесть установить в disable, тогда все пашет!
    Wednesday, March 11, 2009 8:56 AM
  • угу. там и для 2004/2006 инструкция есть. Выше была ссылка на нее. Очень хочу увидеть те 5 человек которым инструкция действительно помогла, и впн поднялся с включенным ISA Client
    Wednesday, March 11, 2009 10:02 AM
  • А на клиенте в роли шлюза именно адрес ISA сервера указан?

    У меня работает - причём прекрасно)


    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    Wednesday, March 11, 2009 9:14 PM
  • да. адрес шлюза. все по инструкции делал.
    Thursday, March 12, 2009 8:55 AM
  • а Вы регистр учитывали при создании настроек  wclnt в конфигурации в ISa сервер ?
    Кстати - у Вас версия клиента какая?


    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    Thursday, March 12, 2009 8:58 AM
  • Алексей, я же написал, что все дала по инструкции. Версия какого из клиентов? Клиент исы 4.0.3442.654, клиент амикона 1.46.21 и 2.4.0, сберовский я не использовал. просто работу трафика проверял на тестовой машине
    Thursday, March 12, 2009 9:54 AM
  •  А если использовать тот, который предосталяет сбер ?
    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    Thursday, March 12, 2009 9:56 AM
  • поскольку проблема стояла именно в принципиальной возможности работать через ISA с установленным клиенто, я взял у бухов ключ для амикона, воткнул его в свою машину, скинул в отдельную папочку ftp.exe, переименовал его в wCLNT и ip-client. Задача была добиться хотя бы приглашения на авторизацию. Логично наверное что на свое рабочее место я не стал ставить клиент-банк, а бухов каждый раз гонять когда мне придет в голову какая-нибудь светлая мысль я не могу. Опять же к ним идти надо, а вставать лень :)

    Вообще вчера я добился положительного результата путем неких неочевидных манипуляций. сегодня-завтра продублирую уже на работающей системе и отчитаюсь.

    Thursday, March 12, 2009 10:18 AM
  • Извините, что не ответил так быстро как обещал. В общем вот здесь http://www.amicon.ru/download.htm лежит "Утилита инсталляции/деисталляции LSP-драйвера". После установки клиента амикона и ISA Client установил этот драйвер, перезагрузил (после этого компьютер перестал с сетью общаться вообще), удалил драйвер и клиент-банк заработал с установленным и включенным клиентом исы. Добился этого результата на тестовой машине, сегодня проделал то же самое сегодня на рабочем месте бухгалтера, все ок.

    Monday, March 16, 2009 1:48 PM
  • Я так понимаю, вопрос больше о ФПСУ/IP клиенте. Написал статью об установке Амикона на ISA Server, при этом на рабочих станциях (там, где сам клиент банк) ничего поднимать не надо. Читаем здесь: http://sergey-s-betke.blogs.novgaro.ru/category/it/networking/vpn/fpsu-ip.


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru
    Thursday, January 13, 2011 9:55 PM
  • тоже пытаемся настроить работу сбербанка через туннель

    иса настроена по всем правилам

    клиент сбер в основном офисе где есть возможность указать шлюз сервер исы - работает

    но через фаервол клиента исы в доп. офисе не хочет работать

    туннель устанавливается но до хостов не как не достучаться, не по фтп не клиентом сбербанка.

    в статистике фспу/апи-клиента видно что пакеты уходят  но принятых пакетов ноль

    что здесь предложено опробовано но не помогло

    также опробовано апи хостов прописать в Locallat - результат тоже

    может кто подскажет куда еще рыть что бы заставить работать клиента сбербанка через туннель используя фаервол клиента ИСЫ

    ps>  в тех. поддержке амикона сказали что у вас данная схема не будет работать

     

    Monday, January 31, 2011 8:22 AM
  • в логах исы нет от этого клиента попыток коннекта на хосты банка?
    Monday, January 31, 2011 8:30 AM
  • в логах исы нет от этого клиента попыток коннекта на хосты банка?

    в логах видно только единственное подключение в фпсу серверу, больше ничего  
    Monday, January 31, 2011 8:48 AM
  • Господа, Вы мою статью на эту тему http://sergey-s-betke.blogs.novgaro.ru/category/it/networking/vpn/fpsu-ip прочитали? Всё работает, уверяю Вас.

    Ложить FWC нет необходимости. Но включить исключения в нём крайне необходимо, причём не для ipclient, естественно, а для wCLNT. В статье написано, как сделать.

    Вы должны понимать, что через FWC ничего работать не будете (если только Вы не будете ставить ФПСУ-IP клиент сам на хосте уже за ISA/TMG, в DMZ. Тогда можно FWC вообще не настраивать). FWC сам организует туннель, что, естественно, помешает ФПСУ IP/Клиенту, причём как на машине, так и на ISA/TMG хосте (как в моём случае). Поэтому и прописываем исключения для FWC.

    А после этих исключений FWC пакеты клиента банка заворачивать не будет! => авторизация на isa/tmg для протоколов клиент-банка (udp87 send-receive в случае, если ФПСУ/IP клиент на машине, и ftp+ tcp1024 outbound в случае, если клиент на ISA/TMG Хосте, как у меня в статье описано) невозможна по учётным записям. Только по Ip адресам либо - всем.

    Теперь поговорим о маршрутах и шлюзах по умолчанию. Если для машины конечным шлюзом с учётом транзитивности маршрутов не является тот isa, с которым связан fwc на машине, будут проблемы. Мы же исключили для FWC трафик клиент-банка, следовательно - он пойдёт не на isa, а по маршруту в соответствии с route print.

    Посему для дальнейшего разбирательства прошу Вас описать подсети и маршруты от проблемных и не проблемных рабочих станций, а также указать где и с какими адресами стоят isa/tmg хосты, с какими из них связаны fwc на проблемных машинах.


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru
    Monday, January 31, 2011 9:23 AM
  • Сергей Сергеевич

    Вашу статью читали но  устанавливать фпсу апи/клиента на сервер иса это крайняя мера  И как я понял из статьи шлюз по умолчанию должен быть апи адрес сервера что не является возможным.

    для понимания структуры сети вот трасерт от машины с клиентом СБ до ИСЫ

    tracert -d 200.180.1.12

    Трассировка маршрута к 200.180.1.12 с максимальным числом прыжков 30

      1    15 ms     1 ms     4 ms  200.200.1.251
      2    <1 мс    <1 мс    <1 мс  200.200.1.12
      3     2 ms     3 ms     *     200.200.102.12
      4    11 ms    17 ms    17 ms  200.178.127.17
      5    15 ms    17 ms    11 ms  200.180.227.11
      6     8 ms     7 ms     7 ms  200.180.101.12
      7    10 ms     9 ms    11 ms  200.180.102.20
      8    10 ms     9 ms    13 ms  200.180.1.12

    Трассировка завершена.

    Если я все правильно понял то не получиться создать туннель внутри туннеля?

     

    Monday, January 31, 2011 11:32 AM
  • Мы с Вами говорим о разных вещах. При чём здесь trace До isa хоста? Тогда уж лучше trace хотя бы до ФПСУ МСЭ, а не до isa хоста. (будет как раз полезным сравнить оба trace, чтобы понять, чем у Вас маршруты не примведут к isa хосту.

    Туннель ФПСУ IP/клиента не будет внутри туннеля FWC. Но не потому, что это невозможно. Причина в том, что FWC перехватит пакеты раньше, чем ФПСУ IP/клиент, завернёт их в свой туннель и отправит на isa хост. И фильтр ФПСУ IP/клиента просто не получит своих пакетов, и ничего никуда не завернёт, вот и всё.

    Поэтому единственный вариант для Вас - маршруты с машины в сторону ФПСУ МСЭ должны существовать! просто - существовать. и по этому маршруту ничто (в том числе и isa/tmg) не должно блокировать udp/87.

    Нет требования, чтобы шлюзом по умолчанию для машины был сразу isa хост, нет этого. Требование выше абзацом. И если все выходы наружу (в том числе - к ФПСУ МСЭ) ведут через isa хосты, все эти выходы должны быть просто достижимы, исходя из таблицы маршрутизации машины и промежуточных маршрутизаторов.

    Итак, с Вас:

    1. tracert -d до ФПСУ МСЭ с машины клиента СБ
    2. route print с этой машины
    3. адреса Ваших tmg/isa хостов
    4. route print на каждому из промежуточных маршрутизаторов, включая Ваш tmg/isa хост. (то есть итого - 8 route print).

    После это смогу дать рекомендации.

    Даже если Ваш маршрут через шлюзы по умолчанию не приведёт к isa хосту, можно ведь явно задать маршруты к ФПСУ хосту так, чтобы он вёл через isa хост!

    P.S. Почему Вы считаете, что установка IP/клиента на isa хост крайний случай? успешно функционирует, на клиете - никаких дополнительных настроек, ось с RIS/WDS кинули, DHCP помог с TCP/IP, GPO+GPP+MSI решил вопросы установки софта - и всё работает, админу руками ip клиента настраивать не надо. Я бы с удовольствием обсудил этот вопрос с Вами, можно - в блоге в комментариях.


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru
    Monday, January 31, 2011 1:52 PM
  • Туннель ФПСУ IP/клиента не будет внутри туннеля FWC. Но не потому, что это невозможно. Причина в том, что FWC перехватит пакеты раньше, чем ФПСУ IP/клиент, завернёт их в свой туннель и отправит на isa хост. И фильтр ФПСУ IP/клиента просто не получит своих пакетов, и ничего никуда не завернёт, вот и всё.

    если клиент  исы перехватывает пакеты раньше то почему же статистика в  фпсу/апи клиенте начинает увеличивать количество переданных пакетов при обращении к хосту СБ.  К тому же можно воспользоваться localLAT что бы иса клиент не трогал эти пакеты. я так понимаю у меня эти пакеты заворачиваются но ответа почему то нет ...

    то что с помощью маршрутизации можно организовать маршрут до исы в сторону ФПСУ знаю но не думал что это единственный вариант в нашем случае.

    то что апи/клиент функционирует на иса сервере не сомневаюсь, просто это не наш вариант. Один центральный офис + пять доп офисов. пока пытаемся развернуть на одном там своё отделение СБ РФ и свой ключ. В других доп. офисах тоже свои отделения СБ и скорее всего свои ключи будут.  По предварительному разговору с СБ понял что добиться единого ключа на всех не получиться так как территориально доп. офисы находятся в разных округах.  И понятно, что все ключи на одном сервере исы не настроить.

    За желание помочь спасибо, но если вариантов не останется то с маршрутизацией   думаю разберемся сами.

     

    Monday, January 31, 2011 3:38 PM
  • начнем с малого

    fwc пробовали выключать?

    Monday, January 31, 2011 4:30 PM
  • начнем с малого

    fwc пробовали выключать?


    да
    Monday, January 31, 2011 5:50 PM
  • начнем с малого

    fwc пробовали выключать?


    да

    щикарный ответ:))) а при этом работает этот убогий банкклиент?
    Monday, January 31, 2011 9:34 PM
  • щикарный ответ:))) а при этом работает этот убогий банкклиент?

    каков вопрос таков ответ :) нет конечно я б тогда не подымал тему.  Банк клиент то тут не причем. всему виною фпсу/апиклиент который должен заворачивать в свой туннель пакеты от банк клиента и выдавать их обратно. в нашем случае фпсу/апиклиент создает  свой туннель через ИСА сервер с помощью клиента ИСЫ 

    Tuesday, February 01, 2011 5:42 AM
  • Честно говоря, не очень понимаю, каким образом клиент ФПСУ в этом случае считает пакеты. Это при условии, что в FWC не прописаны исключения для wCLNT? FWC их должен раньше завернуть и отправить на isa, и в таком варианте фильтр Амикона увидит пакет в адрес isa хоста, а не хоста в его понимании (сервера СБ РФ), и ничего никуда заворачивать не должен...

    Что касается маршрути до ФПСУ МСЭ и выхода в Интернет. вопросы связаны. по тому маршруту, по которому с проблемной машины достепен ФПСУ МСЭ (а не isa хост), должна быть возможность в Вашем случае обеспечить udp87 send receive. Если такой возможности нет - ничего работать не будет. Если есть - тогда зачем Вам вообще isa, когда мимо неё народ в сеть ходит?

    Маршруты нужны по одной простой причине: после того, как фильтр Амикона завернёт пакеты в адрес сервера банка в свой туннель до ФПСУ МСЭ (межсетевого экрана банка), "завёрнутые" пакеты пойдут обычным маршрутом, как если бы Вы просто сделали ping ipМСЭ. Сам фильтр Амикона маршрут до МСЭ никак не меняет, Вы должны его обеспечить корректной настройкой таблицы маршрутизации. Проблем у людей не возникает по той причине, что у многих шлюз по умолчанию с учётом транзитивности совпадает с одним из isa хостов и любой трафик, не запрещённый isa, находит свой путь в сеть.

    и в LAT писать хосты и МСЭ ФПСУ не советую - ISA начнёт ругаться на несоответствия в LAT и таблице маршрутизации. Вы таким образом исключаете функционал FWC для этого трафика, но его можно отключать и более гуманными способами, не ввода isa в панику.

    Касательно невозможности настройки нескольких ключей и нескольких фильтров Амикона соответственно на одном isa хосте: действительно есть проблемы. они решаются, но уже не совсем "прозрачными" методами. Требуется инсталлировать несколько "разных" фильтров, что пока штатным образом с текущими версиями Амикон просто не сделать. Давно уже напрашивается предложение в адрес Амикон: перепрофилировать несколько их софт и вешать не фильтр на существующие интерфейсы, а обеспечивать создание новых виртуальных интерфейсов, отправка через которые и будет осуществляться туннелем. тогда просто и красиво настраиваем таблицу маршрутизации и вешаем на один хост сколько угодно виртуальных интерфейсов. Но пока такой возможности они нам не предоставляют.


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru
    Tuesday, February 01, 2011 6:24 AM
  • погоди, ты хочешь чтобы фспу клиент устанавливал тунель до фспу хоста черезу ису пользуясь услугами fwc и при этом маршрут от клиента до хоста идет не через ису?

    Tuesday, February 01, 2011 8:40 AM
  • Честно говоря, не очень понимаю, каким образом клиент ФПСУ в этом случае считает пакеты. Это при условии, что в FWC не прописаны исключения для wCLNT? FWC их должен раньше завернуть и отправить на isa, и в таком варианте фильтр Амикона увидит пакет в адрес isa хоста, а не хоста в его понимании (сервера СБ РФ), и ничего никуда заворачивать не должен...

    wCLNT прописан в исключениях
    Tuesday, February 01, 2011 8:53 AM
  • погоди, ты хочешь чтобы фспу клиент устанавливал тунель до фспу хоста черезу ису пользуясь услугами fwc и при этом маршрут от клиента до хоста идет не через ису?

    я так понимаю это вопрос не мне, потому как я такое не писал

    в моем понимании должно быть фспу/клиент устанавливал туннель до фспу хоста через ису пользуясь услугами fwc и клиент СБ до хоста СБ должен проходить в туннели созданному фпсу/клиентом пользуясь услугами fwc . Во как :)

     

    Tuesday, February 01, 2011 9:01 AM
  • Раз он прописан в исключениях, то FWC никаким образом не участвует в маршрутизации / туннелировании этого трафика! то есть: нет маршрута наружу к ФПСУ МСЭ, способного пропустить udp87 без авторизации (только по ip можно) - не будет у Вас Амикон ФПСУ работать.

    Повторно обращаю Ваше внимание: при этом не важно, идёт маршрут до ФПСУ МСЭ через isa или другим путём, главное - чтобы он был и пропускал udp87 send receive.


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru
    Tuesday, February 01, 2011 9:07 AM
  • в моем понимании должно быть фспу/клиент устанавливал туннель до фспу хоста (НО НЕ ХОСТА, а ФПСУ МСЭ!) через ису пользуясь услугами fwc и клиент СБ до хоста СБ должен проходить в туннели созданному фпсу/клиентом пользуясь услугами fwc . Во как :)

    Нда. если Вы включили wCLNT в исключения FWC - он уже не помогает никак. он просто не участвует. и ФПСУ клиенту не требуется fwc, он свой туннель строит. если Вы хотите подружить его с fwc ради авторизации по учётным записям на isa и ради логов - забудьте. В такой конфигурации ни у кого из известных мне участников сообщества это не получилось. Единственная конфигурация, в которой это возможно:

    на машине - только fwc+клиент банка, ФПСУ клиента нет.

    далее - всё уходит через fwc туннель на isa хост, там разворачивается и проходит авторизацию.

    и уже за isa хостом (не в LAT) по маршруту от isa хоста до ФПСУ МСЭ, скажем - в DMZ, стоит отдельный хост, на котором крутится амикон фпсу ip/клиент.

    В таком варианте всё будет работать.

    А просто оставить fwc с его прелестями авторизации и амикон фпсу на машине клиента - не выйдет.

    P.S. разговор заходит в тупик. Либо имеет смысл последовать советам коллег, либо прекратить, потому как ничего не меняя Вы вряд добьётесь решения.


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru
    Tuesday, February 01, 2011 9:17 AM
  • погоди, ты хочешь чтобы фспу клиент устанавливал тунель до фспу хоста черезу ису пользуясь услугами fwc и при этом маршрут от клиента до хоста идет не через ису?

    я так понимаю это вопрос не мне, потому как я такое не писал

    в моем понимании должно быть фспу/клиент устанавливал туннель до фспу хоста через ису пользуясь услугами fwc и клиент СБ до хоста СБ должен проходить в туннели созданному фпсу/клиентом пользуясь услугами fwc . Во как :)

     


    ничего не выйдет, фспу не сможет установить свой тунель пользуясь услугами fwc. потому как он не winsocks приложение, и я почему то подозреваю что там участвует не только udp87 но и протокол из ip-level, которые по определению не смогут работать через fwc

    короче, добейся чтобы фспу и сб работал без установленного fwc, а потом ставь fwc(если для других приложений нужен) и в него вписывай исключения для фспу и сб как написано в инструкции на офсайте амикона

    Tuesday, February 01, 2011 9:34 AM
  • Насколько я умею пользоваться network monitor, он мне показал только udp87. Но в любом случае Вы абсолютно правы: Амикон работает как фильтр в стеке протоколов, ни о каком winsocks речи быть не может в принципе. что лишний раз доказывает, что "подружить" их возможно только через промежуточный хост.


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru
    Tuesday, February 01, 2011 10:05 AM
  • P.S. разговор заходит в тупик. Либо имеет смысл последовать советам коллег, либо прекратить, потому как ничего не меняя Вы вряд добьётесь решения.


    ваш вариант использования я понял, но для меня он не приемлем по крайне мере пока я не смогу организовать маршруты

    Tuesday, February 01, 2011 3:51 PM
  • ничего не выйдет, фспу не сможет установить свой тунель пользуясь услугами fwc. потому как он не winsocks приложение, и я почему то подозреваю что там участвует не только udp87 но и протокол из ip-level, которые по определению не смогут работать через fwc

    короче, добейся чтобы фспу и сб работал без установленного fwc, а потом ставь fwc(если для других приложений нужен) и в него вписывай исключения для фспу и сб как написано в инструкции на офсайте амикона

     

    может и устанавливает  и пакеты в туннель заворачиваются но ответа нет

    а добиться что бы фспу работал без fwc могу только организовывая маршрутизацию, а маршрутизация не в моей власти.

    Вот еще трассировка маршрута до хоста СБ с подключенным фпсу-ап/иклиентом

    Трассировка маршрута к 172.18.9.3 с максимальным числом прыжков 30

       1     *        *        *     Превышен интервал ожидания для запроса.

      2     *        *        *     Превышен интервал ожидания для запроса.

      3     *        *        *     Превышен интервал ожидания для запроса.

      4     *        *        *     Превышен интервал ожидания для запроса.

    И выключенным фпсу-ап/иклиентом

    Трассировка маршрута к 172.18.9.3 с максимальным числом прыжков 30

    1     1 ms    <1 мс    <1 мс        200.200.1.251

      2    <1 мс    <1 мс    <1 мс  200.200.1.12

      3     2 ms     3 ms     *     200.200.102.12

      4    11 ms    17 ms    17 ms  200.178.127.17

      5    15 ms    17 ms    11 ms  200.180.227.11

      6        *        *        *  Превышен интервал ожидания для запроса.

      7        *        *        *  Превышен интервал ожидания для запроса.

     

    куда уходят пакеты в первом случае?

    Tuesday, February 01, 2011 4:10 PM
  • ещё раз, ещё раз, ещё много много раз....

    Никто не утверждал, что при активном fwc амикон ничего не сможет захватить. он захватил, а дальше то что? Или Вы ожидаете, что уже пакеты Амикона в состоянии подхватить fwc и отправить их через свой туннель? Нет - не в состоянии! Как уже неоднократно говорил один из участников дискуссии, амикон фильтр - не winsocks приложение, поэтому fwc ему не помощник. Поэтому пакеты амикона уже пойдут обычным маршрутом и не дойдут, если нет маршрутов, способных пропустить udp87 send receive - об этом же говорилось уже не раз и не два.

    Итак, два варианта:

    • стройте маршруты и исключите взаимодействие fwc с трафиком клиент-банка;
    • либо же убирайте амикон клиент со станций и ставьте на маршрутизатор уже за isa/tmg, в dmz (естественно, он должен быть по маршруту к серверам банка, а не к МСЭ банка).

    Третьего варианта нет (99,9%, потрачено в своё время на поиск решения было почти 3 недели).


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru
    Wednesday, February 02, 2011 6:18 AM
  • Итак, два варианта:

    • стройте маршруты и исключите взаимодействие fwc с трафиком клиент-банка;
    • либо же убирайте амикон клиент со станций и ставьте на маршрутизатор уже за isa/tmg, в dmz (естественно, он должен быть по маршруту к серверам банка, а не к МСЭ банка).

    Третьего варианта нет (99,9%, потрачено в своё время на поиск решения было почти 3 недели).

    И так потрачено 3 дня и подведем итог. Действительно первый мой вариант(апи/клиент подключить с помощью fwc ) не увенчался успехом, понять почему написано выше уважаемым Сергей Сергеевичем ;).  Строить маршруты прописывая их на маршрутизаторах для меня было последним вариантом. поэтому я решил задачу еще проще, убрал fwc, настроил VPN соединение до исы  и прописав правила на ИСЕ спокойно заставил работать этот "хороший" туннель.  Так была решена основная задача настроить работу сбербанка через туннель в доп. Офисе

     ЗЫ> теперь если нужен будет fwс можно будет и поставить только с исключениями

    ЗЫЫ> почему никто не предложил такой простой вариант сразу

    • Proposed as answer by rus_admin Sunday, February 06, 2011 7:51 AM
    Wednesday, February 02, 2011 3:39 PM
  • ставить fwc с исключениями тебе предлагали, тока амикон через него рабоатть не будет

    впн не предлагали потому что в условии задачи стоял именно fwc, и толком не было обьяснено зачем он так сильно нужен. то есть как задачу поставил так ее и решали :)
    то что через впн работает и так понятно - в впн инкапсулируется все, поэтмоу через такой тунель будет работать и icmp, и ip-level (gre, ipsec, то есть другой впн туннель можно прокинуть) и разные winsocks/не winsocks приложения.

    Wednesday, February 02, 2011 6:39 PM
  • Кто ищет способы решения, тот их всегда найдёт :-) Поздравляю. Не предложили подобного решения по той причине, что решение сродни настройки маршрутизации. Только Вы в данном случае все "тяготы" возложили на клиентскую машину, которая теперь поднимает vpn, внутри которого - туннель амикон ... В общем, как такое раскидывать групповыми политиками - в лоб не предложу. А руками конфигурировать машины считаю для себя недопустимым, и своих сотрудников склоняю к такому же подходу.

    Но, тем не менее, Ваше решение - ещё один вариант заставить работать амикон в нетиповой для него конфигурации. Должен сказать, что нигде на такое не наталкивался. Пожалуй, оставлю ссылку в своей статье на это обсуждение и на Ваше финальное решение.

    P.S. А что мешает настроить Амикон и туннель на ближайшем к машине маршрутизаторе, а не на самой машине? Всё-таки, в таком варианте Вы будете вынуждены только настроить исключения для fwc, а дополнительно настраивать рабочие станции в этом сегменте более не потребуется, посему мне кажется это решение более гибким, разве нет?


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru
    Thursday, February 03, 2011 6:53 AM
  • Но, тем не менее, Ваше решение - ещё один вариант заставить работать амикон в нетиповой для него конфигурации. Должен сказать, что нигде на такое не наталкивался. Пожалуй, оставлю ссылку в своей статье на это обсуждение и на Ваше финальное решение.

    P.S. А что мешает настроить Амикон и туннель на ближайшем к машине маршрутизаторе, а не на самой машине? Всё-таки, в таком варианте Вы будете вынуждены только настроить исключения для fwc, а дополнительно настраивать рабочие станции в этом сегменте более не потребуется, посему мне кажется это решение более гибким, разве нет?


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru

    ну на решение это не тянет: задача то была прокинуть амикон именно через fwc, а не прокинуть амикон через ису любыми способами. впн очевидная штука, только у него тоже будут проблемы - маршрутизацию для впн никто не отменял, поэтому с поднятием впн ему либо опять писать маршруты либо маршрутом по умолчанию будет впн и весь трафик пойдет на ису (для создаваемых впн подключений в винде это поведение по умолчанию)

    ps: маршрутизаторы бывают очень разными, и в большинстве маршрутизируемых сетей это точно не винда, поэтому я сомневаюсь что там можно поднять эту левую приблуду :)

    Thursday, February 03, 2011 8:10 AM
  • ставить fwc с исключениями тебе предлагали, тока амикон через него рабоатть не будет

    впн не предлагали потому что в условии задачи стоял именно fwc, и толком не было обьяснено зачем он так сильно нужен. то есть как задачу поставил так ее и решали :)
    то что через впн работает и так понятно - в впн инкапсулируется все, поэтмоу через такой тунель будет работать и icmp, и ip-level (gre, ipsec, то есть другой впн туннель можно прокинуть) и разные winsocks/не winsocks приложения.


    Fwc  нужен был исключительно для того что бы передать пакеты на ФПСУ через иса сервер, так как настроенной  маршрутизацией пакеты не достигали ФПСУ. А для чего ещё fwc мог быть нужен фпсу/апиклиенту ума не приложу, может у вас есть варианты? :)

    Thursday, February 03, 2011 9:27 AM
  • Кто ищет способы решения, тот их всегда найдёт :-) Поздравляю. Не предложили подобного решения по той причине, что решение сродни настройки маршрутизации. Только Вы в данном случае все "тяготы" возложили на клиентскую машину, которая теперь поднимает vpn, внутри которого - туннель амикон ... В общем, как такое раскидывать групповыми политиками - в лоб не предложу. А руками конфигурировать машины считаю для себя недопустимым, и своих сотрудников склоняю к такому же подходу.

    Но, тем не менее, Ваше решение - ещё один вариант заставить работать амикон в нетиповой для него конфигурации. Должен сказать, что нигде на такое не наталкивался. Пожалуй, оставлю ссылку в своей статье на это обсуждение и на Ваше финальное решение.

    P.S. А что мешает настроить Амикон и туннель на ближайшем к машине маршрутизаторе, а не на самой машине? Всё-таки, в таком варианте Вы будете вынуждены только настроить исключения для fwc, а дополнительно настраивать рабочие станции в этом сегменте более не потребуется, посему мне кажется это решение более гибким, разве нет?


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru

    Согласен что ВПН ту решает проблему маршрутизации.  Из- за 1-5 машин думаю можно и не возлагать эти обязанности на  ГП.  Тем более все это делаться в 3 клика. :) 

    Вот  именно это решение я и искал :). Надо будет еще ссылку положить и на амиконовский форум. Поиски начинаются как правило с него. И поддержка амикона  узнает о еще об одном способе :)

    О пять же на  маршрутизаторе .  гибкое, но если стоят и другие задачи выхода в наружу как SecureNAT клиент. А из за одной машины в сегменте думаю нет смысла. А остальным задачам до сих пор всегда было достаточно fwc, а он согласитесь более гибок чем  SecureNAT клиент.

    Thursday, February 03, 2011 9:29 AM
  • ну на решение это не тянет: задача то была прокинуть амикон именно через fwc, а не прокинуть амикон через ису любыми способами. впн очевидная штука, только у него тоже будут проблемы - маршрутизацию для впн никто не отменял, поэтому с поднятием впн ему либо опять писать маршруты либо маршрутом по умолчанию будет впн и весь трафик пойдет на ису (для создаваемых впн подключений в винде это поведение по умолчанию)

    ps: маршрутизаторы бывают очень разными, и в большинстве маршрутизируемых сетей это точно не винда, поэтому я сомневаюсь что там можно поднять эту левую приблуду :)

     хорошо, может вы тогда знаете другие ЛЮБЫЕ способы прокидывания амикона через ису?? Кроме предложенных здесь , и без материальных затрат. Весь трафик действительно идет через ису, но это ведь не постоянное соединение поэтому это не критично. Хотя это может стать критичным если канал передачи данных слишком узкий .

    Поднято и это факт

     

    Thursday, February 03, 2011 11:12 AM
  • Например - для того, чтобы авторизовать клиента и предоставить нам с Вами возможность пропускать udp87 только по конкретным юзерам, а не по ip и не всем. :-) Но это невозможно в случае амикон фпсу ip/клиент...


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru
    Thursday, February 03, 2011 11:26 AM
  • Добрый день коллеги.

    Может кто сталкивался с такой конфигурацией? Может что посоветуете.  ФПСУ клиент не устанавливает соединение через Microsoft TMG 2010 SP1.

    Конфигурация следующая:

    1) ФПСУ клиент установлен на ПК в интрасети. Выход в интернет сети защищен с помощью TMG 2010

    2) TMG 2010 является шлюзом по-умлочанию для интрасети, с учетом транзитивности.

    3) Создано правило выпускающее клиента ФПСУ по порту UDP87 в интернет. Аутентификации по пользователям нет. Доступ по подсетям.

    4) На ПК не установлен TMG Firewall client.

    Но с такими настройками туннель не устанавливается. До работы самого клиента сбера дело не доходит. Пакеты до TMG доходят, попытки подключения вижу. Самое интересное пробую переключать маршрутизацию на старый сервер ISA 2004 - все работает с такими настройками. Собственно с другими приложениями проблем в конфигурации с  TMG нет.

    Monday, April 11, 2011 4:44 AM
  • а в логах эти самые попытки как пишутся?
    Monday, April 11, 2011 8:24 AM
  • Сначала Connection Initiated, потом connection closed gracefully. Deny не было. Но ответов от ФПСУ сервера нет ни одного.

    Операционная система на сервере Windows Server 2008 R2.
    Еще 1 интересный момент. Тестовая утилита устанавливает соединение нормально, но только при уставноленном Firewall Client.

     

    Monday, April 11, 2011 1:22 PM
  • Извиняюсь, что влезаю в уже закрытую тему. Сбербанк тут очередной финт выкинул - принудительная блокировка всех входящих TCP/UDP соединений при подключенном канале к ФПСУ банка. Но договориться всё-таки можно. Читаем здесь: http://sergey-s-betke.blogs.novgaro.ru/klient-bank-sberbanka-sb-rf-fpsu-ipklient-amikon-izbavlyaemsya-ot-blokirovok-tcp-i-udp-soedinenij-pri-podklyuchenii-k-fpsu-sb-rf.


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru
    Tuesday, April 26, 2011 7:01 AM