Vipnet + Суфд

[fess]

Доброго времени суток!

Ситуация сложилась следующая:

На машине стоит КриптоПро 3.6 и Континент 3.5 для связи с Казначейством через портал СУФД(через броузер),

после установки VipNet Client 3.2 портал стал не доступен.

Кто нибудь сталкивался с такой проблемой? Подскажите как настроить VipNet Client, для входа на портал.

Заранее спасибо.

На машине стоит Win XP SP3.

[slavanchuk]

Посмотрите журнал блокированных пакетов, а также блокированные программы в контроле приложений. Насколько я слышал от различных государственных учреждений, вместе эти программные продукты уживаются. Мы используем аппаратное решение (АПКШ континент), чтобы исключить конфликт средств защиты, а также, чтобы упростить доступ в УФК. Насколько я помню, континент использует протокол IP/251 (или как-то так) для связи.

[Chizik81]

Присоединюсь к вопросу ТС, Имеется машина с доступом в интернет через лан, ставим на нее программный комплекс "Континент АП" подключаем его имеем доступ к порталу СУФд (10.18.9.10:18080). Если утанавливаем VipnetClient то континент подключается, но доступа к порталу нет в любом режиме (3,4,5), в журнале пакетов видим что пакеты ходят по континенту, и идет отправка на портал СУФД, но портал сам не доступен.

Вопрос: Как решить данную проблему.

[Rinya]

Добрый день!

попробуйте написать фильтры открытой сети (широковещательные) и явно указать IP адрес получателя, можно по протоколу и порту. Просто випнет иногда при переключении режима может блокировать.

Или еще как вариант, возможно у вас весь трафик проходит через координатор, и там пакеты сыпятся.

[Chizik81]

Больше похоже на то что трафик на СУФД идет не через тунель Континента, а либо через координатор, либо на прямую в интернет

[Rinya]

Больше похоже на то что трафик на СУФД идет не через тунель Континента, а либо через координатор, либо на прямую в интернет

У вас координатор под рукой, можете посмотреть его журналы?

[Chizik81]

Что именно посмотреть?

[Rinya]

посмотрите журналы. может там встретится адрес портала суфд.

[Rinya]

и еще один момент. у вас на клиенте какой тип межсетевого экрана используется?

[Chizik81]

В журналах координатора нет адреса суфд, межсетовой и отключал и включал результат один в если посмотреть все журналы то есть обращение на адрес суфд, журналы могу выложить

[Rinya]

было бы неплохо, и еще один момент, координатор какой?

[Rinya]

А ОС на компе где стоит випнет какая?

[Chizik81]

ОС XPsp3

Координатор:

10F1000A Координатор сети УЦ ИИТ

Имя компьютера: coord-4337, Coord4337.infotecs.ru

Режим безопасности: 3

Версия ПО: 3.2.11 (18212) - 3.02 (672) - 3.03 (18212) RUS

Версия ОС: Microsoft Windows Server 2008 R2 Server Standard Edition (full installation), 64-bit Service Pack 1 (build 7601.win7sp1_gdr.130801-1533), 64-bit

Реальные IP-адреса видимости:

91.244.183.52

Виртуальные IP-адреса видимости:

11.0.0.1

Доступен по виртуальным IP-адресам

Недоступен по Broadcast

Информация о типе межсетевого экрана:

IP-адреса доступа через межсетевой экран: 91.244.183.52 [-1]

Порт UDP: 55777

Тип межсетевого экрана:

Со статической трансляцией адресов

Версия випнета: 3.2 (9.14537)

А как прикрепить файлы журнала

[Rinya]

Как прикрепить честно и сам понятия не имею. Выложите на файлообменник и ссылку кинте

[Chizik81]

http://files.mail.ru/C87EB23650D644F88D711FE3BD60D58A
/>http://files.mail.ru/76341C74D94A4B3BAB1AACD2578F28DF

Один журнал все, другой журнал координатора

192.168.36.57 - адрес компа

10.18.9.10:18080 - адрес СУФД

83.229.181.181 - адрес для подключения Континента

[Rinya]

Есть возможность произвести процедуру.

Очистить журналы на координаторе, на клиенте, блокированные пакеты тоже очистить.

затем подключится к суфд.

Выложите журналы за последний час с клиента, с координатора. и блокированные пакеты тоже.

Есть такая возможность?

[diip]

Переведите клиента в 4 й режим ,для начала .. связь "континет АП" поднялась? Там серый шарик должен зеленым стать в трее. было это ,правда, год назад . Порты для "Континент АП" такие 4444/tcp 5101/tcp и мелькал еще 4433/udp. Сделайте трэйс на этот 83.229.181.181 (порт 80 ?) . Надо понять как ваш АП туда проходит . Я пустил этот трафик мимо координатора и сервера ОИ .

[Chizik81]

http://files.mail.ru/FAC8F3E0159F4310BB2A6064359EF621
/>http://files.mail.ru/F5E7164268AC442BA023829469DBFD66

В блокированных только локальные адреса входящие

[Chizik81]

Переведите клиента в 4 й режим ,для начала .. связь "континет АП" поднялась? Там серый шарик должен зеленым стать в трее. было это ,правда, год назад . Порты для "Континент АП" такие 4444/tcp 5101/tcp и мелькал еще 4433/udp. Сделайте трэйс на этот 83.229.181.181 (порт 80 ?) . Надо понять как ваш АП туда проходит . Я пустил этот трафик мимо координатора и сервера ОИ .

Порты континент это 4433 и 7500,

Континент подключается без вопросов, а вот потом начинается какая-то шаманство, пакеты на вэб-сервис СУФд такое ощущение что идут не на континент, а прямо в тырнет через локалку. Переход в 4 режим тож пробыл итог тотже

[diip]

Возможен вариант , что на публичный IP 83.229.181.181 (сурф незнаю чтотакое) маршрут для АП понятно прописан . Поэтому впн "континента" поднимается в любом режиме и в 3 и 4м (10.18.х.х) . А потом , как тока Iplir driver видит этот "второй тудаже" маршрут на сеть 10.18.х.х. возникает ветка , туда один маршрут - обратно другой. У меня такая непонятка появляется, когда координатор спрятан за внешний ФВ ( у меня на линухе) , и на этом ФВ поднят еще один ВПН (openvpn) , и из-за разветвления бывают недоступны ресурсы.

У вас написано :"Тип межсетевого экрана:

Со статической трансляцией адресов"

Если так ,надо посмотреть этот МЭ. Если есть возможность, вывести Координатор прямо на внеш ip (публик) .

И второе "прямо в тырнет через локалку" - у вас какойто самодельный прокси для выхода в инет? не випнетский ( сервер откр. инета) ?

Третье - этот вэб-сервис СУФд, случаем , не использует какиенито е-токены или ру-токены для авторизации ? тут тоже засада может быть.

[Chizik81]

Возможен вариант , что на публичный IP 83.229.181.181 (сурф незнаю чтотакое) маршрут для АП понятно прописан . Поэтому впн "континента" поднимается в любом режиме и в 3 и 4м (10.18.х.х) . А потом , как тока Iplir driver видит этот "второй тудаже" маршрут на сеть 10.18.х.х. возникает ветка , туда один маршрут - обратно другой. У меня такая непонятка появляется, когда координатор спрятан за внешний ФВ ( у меня на линухе) , и на этом ФВ поднят еще один ВПН (openvpn) , и из-за разветвления бывают недоступны ресурсы.

У вас написано :"Тип межсетевого экрана:

Со статической трансляцией адресов"

Если так ,надо посмотреть этот МЭ. Если есть возможность, вывести Координатор прямо на внеш ip (публик) .

И второе "прямо в тырнет через локалку" - у вас какойто самодельный прокси для выхода в инет? не випнетский ( сервер откр. инета) ?

Третье - этот вэб-сервис СУФд, случаем , не использует какиенито е-токены или ру-токены для авторизации ? тут тоже засада может быть.

Не все до конца понял, на что понял отвечаю: вэб-сервис суфд не использует для авторизации ничего кроме логин и пароля.

Локальная сеть через циску имеет доступ к тырнету, на циске прописаны ип которые имеет полный доступ к тырнету, и насколько я понимаю получается следующая картина у меня, континент поднимает туннель, а вот уже драйвер випнета или сам випнет, запрос на вэб-сервис суфд оправляет не через туннель, а напрямую

[intellegent]

Господа, проблема не в совместимости ViPNet с СУФД, а в НЕСОВМЕСТИМОСТИ ViPNet и Континент-АП. Нельзя их ставить на одну машину.

[diip]

Мысль верная . У меня ,например, все 10.х.х.х принадлежат виртуальным випнетским адресам (можно их смотреть в iplir.conf) .

Может драйвер випнета на вашем АП и пытается через координатор пропустить их. А туннель то уже поднят через вашу циску.

Прописать конкретно маршрут на этом АП > route add 10.18.x.x mask x.x.x.x cisco . Может так получится . ?

[Chizik81]

Мысль верная . У меня ,например, все 10.х.х.х принадлежат виртуальным випнетским адресам (можно их смотреть в iplir.conf) .

Может драйвер випнета на вашем АП и пытается через координатор пропустить их. А туннель то уже поднят через вашу циску.

Прописать конкретно маршрут на этом АП > route add 10.18.x.x mask x.x.x.x cisco . Может так получится . ?

Меня не правильно поняли, комп с випнетом и континентом находится в локалке 192.168.36.ххх, циска поднимает ППОЕ ссесию для адсл, имеет адрес 192.168.36.1, этот апи стоит шлюзом на компе с випнетом и континентом, т.е.ВЕСЬ трафик идет через циску и випнета и континента, на циске есть правило которое пропускает ВЕСЬ трафик с определенных апи. драйвер випнета запрос на суфд отправляет не через координатор, и не через тунель континент, а напрямую на 192.168.36.1

[diip]

Может воспользоваться советом intellegent ? А то мудрено все. Обойтись без випнета никак ?