fess Опубликовано 5 Сентября 2013 Жалоба Поделиться Опубликовано 5 Сентября 2013 Доброго времени суток!Ситуация сложилась следующая:На машине стоит КриптоПро 3.6 и Континент 3.5 для связи с Казначейством через портал СУФД(через броузер),после установки VipNet Client 3.2 портал стал не доступен.Кто нибудь сталкивался с такой проблемой? Подскажите как настроить VipNet Client, для входа на портал.Заранее спасибо.На машине стоит Win XP SP3. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 5 Сентября 2013 Жалоба Поделиться Опубликовано 5 Сентября 2013 Посмотрите журнал блокированных пакетов, а также блокированные программы в контроле приложений. Насколько я слышал от различных государственных учреждений, вместе эти программные продукты уживаются. Мы используем аппаратное решение (АПКШ континент), чтобы исключить конфликт средств защиты, а также, чтобы упростить доступ в УФК. Насколько я помню, континент использует протокол IP/251 (или как-то так) для связи. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Chizik81 Опубликовано 14 Января 2014 Жалоба Поделиться Опубликовано 14 Января 2014 Присоединюсь к вопросу ТС, Имеется машина с доступом в интернет через лан, ставим на нее программный комплекс "Континент АП" подключаем его имеем доступ к порталу СУФд (10.18.9.10:18080). Если утанавливаем VipnetClient то континент подключается, но доступа к порталу нет в любом режиме (3,4,5), в журнале пакетов видим что пакеты ходят по континенту, и идет отправка на портал СУФД, но портал сам не доступен.Вопрос: Как решить данную проблему. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Rinya Опубликовано 16 Января 2014 Жалоба Поделиться Опубликовано 16 Января 2014 Добрый день!попробуйте написать фильтры открытой сети (широковещательные) и явно указать IP адрес получателя, можно по протоколу и порту. Просто випнет иногда при переключении режима может блокировать.Или еще как вариант, возможно у вас весь трафик проходит через координатор, и там пакеты сыпятся. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Chizik81 Опубликовано 17 Января 2014 Жалоба Поделиться Опубликовано 17 Января 2014 Больше похоже на то что трафик на СУФД идет не через тунель Континента, а либо через координатор, либо на прямую в интернет Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Rinya Опубликовано 17 Января 2014 Жалоба Поделиться Опубликовано 17 Января 2014 Больше похоже на то что трафик на СУФД идет не через тунель Континента, а либо через координатор, либо на прямую в интернетУ вас координатор под рукой, можете посмотреть его журналы? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Chizik81 Опубликовано 17 Января 2014 Жалоба Поделиться Опубликовано 17 Января 2014 Что именно посмотреть? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Rinya Опубликовано 17 Января 2014 Жалоба Поделиться Опубликовано 17 Января 2014 посмотрите журналы. может там встретится адрес портала суфд. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Rinya Опубликовано 17 Января 2014 Жалоба Поделиться Опубликовано 17 Января 2014 и еще один момент. у вас на клиенте какой тип межсетевого экрана используется? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Chizik81 Опубликовано 17 Января 2014 Жалоба Поделиться Опубликовано 17 Января 2014 В журналах координатора нет адреса суфд, межсетовой и отключал и включал результат один в если посмотреть все журналы то есть обращение на адрес суфд, журналы могу выложить Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Rinya Опубликовано 17 Января 2014 Жалоба Поделиться Опубликовано 17 Января 2014 было бы неплохо, и еще один момент, координатор какой? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Rinya Опубликовано 17 Января 2014 Жалоба Поделиться Опубликовано 17 Января 2014 А ОС на компе где стоит випнет какая? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Chizik81 Опубликовано 17 Января 2014 Жалоба Поделиться Опубликовано 17 Января 2014 ОС XPsp3Координатор:10F1000A Координатор сети УЦ ИИТИмя компьютера: coord-4337, Coord4337.infotecs.ruРежим безопасности: 3Версия ПО: 3.2.11 (18212) - 3.02 (672) - 3.03 (18212) RUSВерсия ОС: Microsoft Windows Server 2008 R2 Server Standard Edition (full installation), 64-bit Service Pack 1 (build 7601.win7sp1_gdr.130801-1533), 64-bitРеальные IP-адреса видимости:91.244.183.52Виртуальные IP-адреса видимости:11.0.0.1Доступен по виртуальным IP-адресамНедоступен по BroadcastИнформация о типе межсетевого экрана:IP-адреса доступа через межсетевой экран: 91.244.183.52 [-1]Порт UDP: 55777Тип межсетевого экрана:Со статической трансляцией адресовВерсия випнета: 3.2 (9.14537)А как прикрепить файлы журнала Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Rinya Опубликовано 17 Января 2014 Жалоба Поделиться Опубликовано 17 Января 2014 Как прикрепить честно и сам понятия не имею. Выложите на файлообменник и ссылку кинте Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Chizik81 Опубликовано 17 Января 2014 Жалоба Поделиться Опубликовано 17 Января 2014 http://files.mail.ru/C87EB23650D644F88D711FE3BD60D58A/>http://files.mail.ru/76341C74D94A4B3BAB1AACD2578F28DFОдин журнал все, другой журнал координатора192.168.36.57 - адрес компа10.18.9.10:18080 - адрес СУФД83.229.181.181 - адрес для подключения Континента Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Rinya Опубликовано 17 Января 2014 Жалоба Поделиться Опубликовано 17 Января 2014 Есть возможность произвести процедуру.Очистить журналы на координаторе, на клиенте, блокированные пакеты тоже очистить.затем подключится к суфд.Выложите журналы за последний час с клиента, с координатора. и блокированные пакеты тоже.Есть такая возможность? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
diip Опубликовано 17 Января 2014 Жалоба Поделиться Опубликовано 17 Января 2014 Переведите клиента в 4 й режим ,для начала .. связь "континет АП" поднялась? Там серый шарик должен зеленым стать в трее. было это ,правда, год назад . Порты для "Континент АП" такие 4444/tcp 5101/tcp и мелькал еще 4433/udp. Сделайте трэйс на этот 83.229.181.181 (порт 80 ?) . Надо понять как ваш АП туда проходит . Я пустил этот трафик мимо координатора и сервера ОИ . Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Chizik81 Опубликовано 17 Января 2014 Жалоба Поделиться Опубликовано 17 Января 2014 http://files.mail.ru/FAC8F3E0159F4310BB2A6064359EF621/>http://files.mail.ru/F5E7164268AC442BA023829469DBFD66В блокированных только локальные адреса входящие Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Chizik81 Опубликовано 17 Января 2014 Жалоба Поделиться Опубликовано 17 Января 2014 Переведите клиента в 4 й режим ,для начала .. связь "континет АП" поднялась? Там серый шарик должен зеленым стать в трее. было это ,правда, год назад . Порты для "Континент АП" такие 4444/tcp 5101/tcp и мелькал еще 4433/udp. Сделайте трэйс на этот 83.229.181.181 (порт 80 ?) . Надо понять как ваш АП туда проходит . Я пустил этот трафик мимо координатора и сервера ОИ . Порты континент это 4433 и 7500,Континент подключается без вопросов, а вот потом начинается какая-то шаманство, пакеты на вэб-сервис СУФд такое ощущение что идут не на континент, а прямо в тырнет через локалку. Переход в 4 режим тож пробыл итог тотже Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
diip Опубликовано 17 Января 2014 Жалоба Поделиться Опубликовано 17 Января 2014 Возможен вариант , что на публичный IP 83.229.181.181 (сурф незнаю чтотакое) маршрут для АП понятно прописан . Поэтому впн "континента" поднимается в любом режиме и в 3 и 4м (10.18.х.х) . А потом , как тока Iplir driver видит этот "второй тудаже" маршрут на сеть 10.18.х.х. возникает ветка , туда один маршрут - обратно другой. У меня такая непонятка появляется, когда координатор спрятан за внешний ФВ ( у меня на линухе) , и на этом ФВ поднят еще один ВПН (openvpn) , и из-за разветвления бывают недоступны ресурсы.У вас написано :"Тип межсетевого экрана: Со статической трансляцией адресов" Если так ,надо посмотреть этот МЭ. Если есть возможность, вывести Координатор прямо на внеш ip (публик) .И второе "прямо в тырнет через локалку" - у вас какойто самодельный прокси для выхода в инет? не випнетский ( сервер откр. инета) ?Третье - этот вэб-сервис СУФд, случаем , не использует какиенито е-токены или ру-токены для авторизации ? тут тоже засада может быть. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Chizik81 Опубликовано 20 Января 2014 Жалоба Поделиться Опубликовано 20 Января 2014 Возможен вариант , что на публичный IP 83.229.181.181 (сурф незнаю чтотакое) маршрут для АП понятно прописан . Поэтому впн "континента" поднимается в любом режиме и в 3 и 4м (10.18.х.х) . А потом , как тока Iplir driver видит этот "второй тудаже" маршрут на сеть 10.18.х.х. возникает ветка , туда один маршрут - обратно другой. У меня такая непонятка появляется, когда координатор спрятан за внешний ФВ ( у меня на линухе) , и на этом ФВ поднят еще один ВПН (openvpn) , и из-за разветвления бывают недоступны ресурсы.У вас написано :"Тип межсетевого экрана: Со статической трансляцией адресов" Если так ,надо посмотреть этот МЭ. Если есть возможность, вывести Координатор прямо на внеш ip (публик) .И второе "прямо в тырнет через локалку" - у вас какойто самодельный прокси для выхода в инет? не випнетский ( сервер откр. инета) ?Третье - этот вэб-сервис СУФд, случаем , не использует какиенито е-токены или ру-токены для авторизации ? тут тоже засада может быть.Не все до конца понял, на что понял отвечаю: вэб-сервис суфд не использует для авторизации ничего кроме логин и пароля.Локальная сеть через циску имеет доступ к тырнету, на циске прописаны ип которые имеет полный доступ к тырнету, и насколько я понимаю получается следующая картина у меня, континент поднимает туннель, а вот уже драйвер випнета или сам випнет, запрос на вэб-сервис суфд оправляет не через туннель, а напрямую Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
intellegent Опубликовано 20 Января 2014 Жалоба Поделиться Опубликовано 20 Января 2014 Господа, проблема не в совместимости ViPNet с СУФД, а в НЕСОВМЕСТИМОСТИ ViPNet и Континент-АП. Нельзя их ставить на одну машину. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
diip Опубликовано 20 Января 2014 Жалоба Поделиться Опубликовано 20 Января 2014 Мысль верная . У меня ,например, все 10.х.х.х принадлежат виртуальным випнетским адресам (можно их смотреть в iplir.conf) .Может драйвер випнета на вашем АП и пытается через координатор пропустить их. А туннель то уже поднят через вашу циску.Прописать конкретно маршрут на этом АП > route add 10.18.x.x mask x.x.x.x cisco . Может так получится . ? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Chizik81 Опубликовано 20 Января 2014 Жалоба Поделиться Опубликовано 20 Января 2014 Мысль верная . У меня ,например, все 10.х.х.х принадлежат виртуальным випнетским адресам (можно их смотреть в iplir.conf) .Может драйвер випнета на вашем АП и пытается через координатор пропустить их. А туннель то уже поднят через вашу циску.Прописать конкретно маршрут на этом АП > route add 10.18.x.x mask x.x.x.x cisco . Может так получится . ?Меня не правильно поняли, комп с випнетом и континентом находится в локалке 192.168.36.ххх, циска поднимает ППОЕ ссесию для адсл, имеет адрес 192.168.36.1, этот апи стоит шлюзом на компе с випнетом и континентом, т.е.ВЕСЬ трафик идет через циску и випнета и континента, на циске есть правило которое пропускает ВЕСЬ трафик с определенных апи. драйвер випнета запрос на суфд отправляет не через координатор, и не через тунель континент, а напрямую на 192.168.36.1 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
diip Опубликовано 20 Января 2014 Жалоба Поделиться Опубликовано 20 Января 2014 Может воспользоваться советом intellegent ? А то мудрено все. Обойтись без випнета никак ? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.