none
ISA 2000 + Банк-Клиент RRS feed

  • Вопрос

  • Может кто знает такой банк - "Экспортно Импортный" (http://www.exibank.narod.ru/)? У него, как и у всех, есть программа банк клиент.

    Описываю ситуацию.

    Локальная сеть ограждена от интернета двумя ступенями: LAN <-> ISA <->ROUTER<->WAN

    Если из этой цепочки убрать ISA сервер, то система Банк-Клиент этого "замечательного" банка работает. В варианте с ISA сервером - банк-клиент виснет на стадии подключения к банку.

    Данные банк-клиент передает по FTP. В настройках (если есть proxy-сервер) указываю ISA сервер, пользователя и пароль для доступа к интернет (все по инструкции).

    Разрешен ли на ISA протокол FTP? - Спросите вы?

    ДА! РАЗРЕШЕН!!! К FTP-ресурсам интернета подключаюсь свободно.

    Даже если я разрешаю на ISA сервере все, абсолютно все, то банк-клиент все равно не работает так, как надо.

    Может кто сталкивался? Расскажите в чем дело?

     

    16 октября 2006 г. 14:20

Ответы

  • Чаще всего, данные ошибки возникают из-за неправильной конфигурации SecureNAT или MSFWC на машине пользователя. Рекомендую сначала попробовать вариант с SecureNAT-клиентом (самый простой способо заставить работать напрямую приложение не являющееся Internet Explorer-ом):

    - проверьте, что адрес шлюза по умолчанию на сетевой карте вашего клиента является внутренним адресом ISA-сервера, т.е. в качестве маршрутизатора вы будете использовать ИСА;

    - в приложении клиент-банка уберите ВСЕ упоминания о прокси (при использовании SecureNAT или MSFWC клиент-банк соединяется как-бы напрямую)

    - на ИСА проверьте, что включена маршрутизация пакетов (закладка General элемента  IP Packet Filters) - должна стоять галочка напротив элемента  Enable IP Roting

    - на ИСА проверьте, что есть правило разрешающее доступ с IP-адреса клиента по протоколу ftp  для всех пользователей (All Users).

    Если без ИСА у вас клиент банк работает по 21 порту, то и при указанных выше параметрах все должно работать. Если вы захотите использовать  MSFWC, то проверьте, что приложение клиент-банка запускается от имени пользоватиля (так как MSFWC требуется аутентификация), остальные настройки как выше описано и все должно работать.

    19 октября 2006 г. 9:09

Все ответы

  • Клиент-банк работает скорее всего с использованием нестандартных портов, а ISA не принимает вторичные подключения, поэтому, для того, чтобы он работал корректно, нужно узнать подробности его работы (порты,используемые для первичного подключения, параметры вторичных подключений) и потом на ISA 2000 создать определение протокола (Protocol Definition) для протокола клиент-банка. Так мы решили подбную проблему.
    16 октября 2006 г. 14:46
  • Промониторьте порты, используемые этим чудо-клинтом, откройте их. Попробуйте отключить авторизацию/сменить тип авторизации для пользователя и компьютера , откуда запускается клиент.

    Часто "вредит"   Microsoft FireWall Client For ISA server. Можно попробовать или удалить или отключить. К сожалению культура программирования подобных клиентов очень низка.

     

    17 октября 2006 г. 11:04
  • Всего скорей это из-за реализации банк-клиента.

     Начинай копать с обратного конца: поставь на машину MS Firewall клиента (идет в комплекте с ISA) и разреши пределенному пользователю весь входящий/исходящий трафик. В настройках Банк-Клиента ничего не указывай (никаких проксей и т.д.). Если соединится - пробуй ограничивать протоколы согласно своих правил в компании.

    18 октября 2006 г. 11:57
  • Этот чудо клиент работает по 21 порту.

    Пробовал и без Microsoft FireWall Client For ISA server... не помогает.

    18 октября 2006 г. 11:58
  • Если даже это и так, то узнать данную информацию можно позвонив в техническую поддержку банка, что не представляется возможным в виду того, что там просто не снимают трубку, а если снимают, то просто сбрасывают звонок. В документации к программе данной инфы не предоставлено.

    Единственный раз нам удалось дозвониться до их тех. поддержки через ген. директора банка.

    Скажете: "почему вы выбрали этот банк?"

    Отвечу: "Не от моего начальства зависит выбор банка, а от вышестоящей организации!!!"

     

    18 октября 2006 г. 12:02
  • Как я только не пробовал! И так тоже. Я вообще все всем разрешил... - не помогло!

     

    18 октября 2006 г. 12:03
  • 100% сробатывет какое то другое правило.

    В ISA есть логирование правил - последи за ним.

    Еще вариант (геморойный)  - сделай дамп трафика между ISA сервером и интернетом и посмотри на каком месте затык. Делал такую операцию когда не поднимался VPN с банком. Помогло определить что GRE пакеты режуться на нашем маршрутизаторе.

    18 октября 2006 г. 14:03
  • Нужно сделать вот что

    В ISA есть такая фигня - FTP Application filter. Нужно вызвать его свойства и там поставить галочку "Allow FTP publishing". Или как-то по другому называется. Суть - разрешить клиентам публиковать на внешнем FTP.

    Если не поможет - отключить этот фильтр вообще.

     

    18 октября 2006 г. 22:58
  • Вопрос конечно глупый но ты в свойствах протокола FTP для правила по которому у тябя разрешается подключение для данного клиента к серверу галочку убрал? которая предоставляет доступ, по умолчаю, к FTP серверам только для чтения? (возможно при подключении он что то пытается на сервак записать)

    И вообще создай фильтр в мониторинге и посмотри чего у тебя происходит при попытке подключения...

    У меня разные банк клиенты (порядка 10) работаеют по протоколам от FTP до SMTP, и все нормально работают ... один даже под DOS.

    а клиента ISA лучше оставь просто в консоли управления ISA в настройках клиента опиши что надо делать с данным приложением, например прибиндить к прокси  или внешнему интерфейсу!!!

    Да поможет тебе TechNet ...

    19 октября 2006 г. 8:11
  • На правах прохожего:

    А Банк-клиент разве не по Socks 5 пашет?

    19 октября 2006 г. 8:14
  • А зачем вообще этот клиент ISA? Я его никогда не ставлю. Глючно...
    19 октября 2006 г. 8:22
  • Галочка убрана.

     

    19 октября 2006 г. 8:38
  • Должен не согласиться, сколько сталкивался - всегда все работает, а клиент нужен, к примеру если у тебя включена обязательная аунтефикация для пользователей на прокси сервер, попробуй Оперой пройти через прокси или через NAT!!!

    Сразу скажу что Опера не может проходить аунтетификацию по NTLM, далее делай выводы ...

    А так в свойствах клиента прописал NameResolution и все нормально, также можно поступать и с другими программами которые не умеют работать с NTLM, всякие там RSS читалки, FTP клиенты и т.п.

    19 октября 2006 г. 8:40
  • кинь лог мониторинга для данного подключения ...

     Интересуют основные поля. от,  куда, протокол, action ...

    19 октября 2006 г. 8:42
  • Чаще всего, данные ошибки возникают из-за неправильной конфигурации SecureNAT или MSFWC на машине пользователя. Рекомендую сначала попробовать вариант с SecureNAT-клиентом (самый простой способо заставить работать напрямую приложение не являющееся Internet Explorer-ом):

    - проверьте, что адрес шлюза по умолчанию на сетевой карте вашего клиента является внутренним адресом ISA-сервера, т.е. в качестве маршрутизатора вы будете использовать ИСА;

    - в приложении клиент-банка уберите ВСЕ упоминания о прокси (при использовании SecureNAT или MSFWC клиент-банк соединяется как-бы напрямую)

    - на ИСА проверьте, что включена маршрутизация пакетов (закладка General элемента  IP Packet Filters) - должна стоять галочка напротив элемента  Enable IP Roting

    - на ИСА проверьте, что есть правило разрешающее доступ с IP-адреса клиента по протоколу ftp  для всех пользователей (All Users).

    Если без ИСА у вас клиент банк работает по 21 порту, то и при указанных выше параметрах все должно работать. Если вы захотите использовать  MSFWC, то проверьте, что приложение клиент-банка запускается от имени пользоватиля (так как MSFWC требуется аутентификация), остальные настройки как выше описано и все должно работать.

    19 октября 2006 г. 9:09
  • FTP Application filter я не нашел. У меня ISA Server 2000, в ней есть рездел "Extensions", в котором есть "FTP Access Filter", в свойствах которого галочки  "Allow FTP publishing" - НЕТУ!

    Попробую просто выключить этот фильтр.

    19 октября 2006 г. 14:01
  • Алексей, я обязательно проверю ваш вариант. Наиболее полного и точного ответа я пожалуй еще не встречал.

    У меня просто подозрение, что не работает из-за включенного FTP фильтра. Аналогичная история была с отправкой почты из интернета через мой почтовый сервер. Пользователь никак не мог аутентифицироваться, при этом ошибки не вылезало. После отключения SMTP фильтра все заработало.

    19 октября 2006 г. 14:09
  • Мы вот тоже пару недель ытались заставить работать Клиент-Банк сбербанка (он работает через VPN по своим портам, для каждого клиента свой порт). Так вот, насколько все знают, ИСА инкапсулирует на себе передаваемые данные, чобы этого не происходило надо внести программу клиент-банка в исключения.

    По крайней мере, нам это помогло.

    11 ноября 2006 г. 19:10
  • Access Policy -> IP Packet Filters -> Properties -> General

    поставьте все 3 галки

     После этого в Policy Elements -> Protocol Definations создаёте нужный протокол, и в Access Policy -> IP Packet Filters создаёте правило, зазрешающее "ходить" через эти порты

     ..какие порты, спросите? Очень просто. Идёте в C:\Program Files\Microsoft ISA Server\ISALogs\ , и смотрите в логах, что именно не пускает, и по какому порту

    18 ноября 2006 г. 10:32