Jump to content

Recommended Posts

Доброго времени суток!

Ситуация сложилась следующая:

На машине стоит КриптоПро 3.6 и Континент 3.5 для связи с Казначейством через портал СУФД(через броузер),

после установки VipNet Client 3.2 портал стал не доступен.

Кто нибудь сталкивался с такой проблемой? Подскажите как настроить VipNet Client, для входа на портал.

Заранее спасибо.

На машине стоит Win XP SP3.

Share this post


Link to post
Share on other sites

Посмотрите журнал блокированных пакетов, а также блокированные программы в контроле приложений. Насколько я слышал от различных государственных учреждений, вместе эти программные продукты уживаются. Мы используем аппаратное решение (АПКШ континент), чтобы исключить конфликт средств защиты, а также, чтобы упростить доступ в УФК. Насколько я помню, континент использует протокол IP/251 (или как-то так) для связи.

Share this post


Link to post
Share on other sites

Присоединюсь к вопросу ТС, Имеется машина с доступом в интернет через лан, ставим на нее программный комплекс "Континент АП" подключаем его имеем доступ к порталу СУФд (10.18.9.10:18080). Если утанавливаем VipnetClient то континент подключается, но доступа к порталу нет в любом режиме (3,4,5), в журнале пакетов видим что пакеты ходят по континенту, и идет отправка на портал СУФД, но портал сам не доступен.

Вопрос: Как решить данную проблему.

Share this post


Link to post
Share on other sites

Добрый день!

попробуйте написать фильтры открытой сети (широковещательные) и явно указать IP адрес получателя, можно по протоколу и порту. Просто випнет иногда при переключении режима может блокировать.

Или еще как вариант, возможно у вас весь трафик проходит через координатор, и там пакеты сыпятся.

Share this post


Link to post
Share on other sites

Больше похоже на то что трафик на СУФД идет не через тунель Континента, а либо через координатор, либо на прямую в интернет

Share this post


Link to post
Share on other sites

Больше похоже на то что трафик на СУФД идет не через тунель Континента, а либо через координатор, либо на прямую в интернет

У вас координатор под рукой, можете посмотреть его журналы?

Share this post


Link to post
Share on other sites

посмотрите журналы. может там встретится адрес портала суфд.

Share this post


Link to post
Share on other sites

и еще один момент. у вас на клиенте какой тип межсетевого экрана используется?

Share this post


Link to post
Share on other sites

В журналах координатора нет адреса суфд, межсетовой и отключал и включал результат один в если посмотреть все журналы то есть обращение на адрес суфд, журналы могу выложить

Share this post


Link to post
Share on other sites

было бы неплохо, и еще один момент, координатор какой?

Share this post


Link to post
Share on other sites

ОС XPsp3

Координатор:

10F1000A Координатор сети УЦ ИИТ

Имя компьютера: coord-4337, Coord4337.infotecs.ru

Режим безопасности: 3

Версия ПО: 3.2.11 (18212) - 3.02 (672) - 3.03 (18212) RUS

Версия ОС: Microsoft Windows Server 2008 R2 Server Standard Edition (full installation), 64-bit Service Pack 1 (build 7601.win7sp1_gdr.130801-1533), 64-bit

Реальные IP-адреса видимости:

91.244.183.52

Виртуальные IP-адреса видимости:

11.0.0.1

Доступен по виртуальным IP-адресам

Недоступен по Broadcast

Информация о типе межсетевого экрана:

IP-адреса доступа через межсетевой экран: 91.244.183.52 [-1]

Порт UDP: 55777

Тип межсетевого экрана:

Со статической трансляцией адресов

Версия випнета: 3.2 (9.14537)

А как прикрепить файлы журнала

Share this post


Link to post
Share on other sites

Как прикрепить честно и сам понятия не имею. Выложите на файлообменник и ссылку кинте

Share this post


Link to post
Share on other sites

http://files.mail.ru/C87EB23650D644F88D711FE3BD60D58A
/>http://files.mail.ru/76341C74D94A4B3BAB1AACD2578F28DF

Один журнал все, другой журнал координатора

192.168.36.57 - адрес компа

10.18.9.10:18080 - адрес СУФД

83.229.181.181 - адрес для подключения Континента

Share this post


Link to post
Share on other sites

Есть возможность произвести процедуру.

Очистить журналы на координаторе, на клиенте, блокированные пакеты тоже очистить.

затем подключится к суфд.

Выложите журналы за последний час с клиента, с координатора. и блокированные пакеты тоже.

Есть такая возможность?

Share this post


Link to post
Share on other sites

Переведите клиента в 4 й режим ,для начала .. связь "континет АП" поднялась? Там серый шарик должен зеленым стать в трее. было это ,правда, год назад . Порты для "Континент АП" такие 4444/tcp 5101/tcp и мелькал еще 4433/udp. Сделайте трэйс на этот 83.229.181.181 (порт 80 ?) . Надо понять как ваш АП туда проходит . Я пустил этот трафик мимо координатора и сервера ОИ .

Share this post


Link to post
Share on other sites
Переведите клиента в 4 й режим ,для начала .. связь "континет АП" поднялась? Там серый шарик должен зеленым стать в трее. было это ,правда, год назад . Порты для "Континент АП" такие 4444/tcp 5101/tcp и мелькал еще 4433/udp. Сделайте трэйс на этот 83.229.181.181 (порт 80 ?) . Надо понять как ваш АП туда проходит . Я пустил этот трафик мимо координатора и сервера ОИ .

Порты континент это 4433 и 7500,

Континент подключается без вопросов, а вот потом начинается какая-то шаманство, пакеты на вэб-сервис СУФд такое ощущение что идут не на континент, а прямо в тырнет через локалку. Переход в 4 режим тож пробыл итог тотже

Share this post


Link to post
Share on other sites

Возможен вариант , что на публичный IP 83.229.181.181 (сурф незнаю чтотакое) маршрут для АП понятно прописан . Поэтому впн "континента" поднимается в любом режиме и в 3 и 4м (10.18.х.х) . А потом , как тока Iplir driver видит этот "второй тудаже" маршрут на сеть 10.18.х.х. возникает ветка , туда один маршрут - обратно другой. У меня такая непонятка появляется, когда координатор спрятан за внешний ФВ ( у меня на линухе) , и на этом ФВ поднят еще один ВПН (openvpn) , и из-за разветвления бывают недоступны ресурсы.

У вас написано :"Тип межсетевого экрана:

Со статической трансляцией адресов"

Если так ,надо посмотреть этот МЭ. Если есть возможность, вывести Координатор прямо на внеш ip (публик) .

И второе "прямо в тырнет через локалку" - у вас какойто самодельный прокси для выхода в инет? не випнетский ( сервер откр. инета) ?

Третье - этот вэб-сервис СУФд, случаем , не использует какиенито е-токены или ру-токены для авторизации ? тут тоже засада может быть.

Share this post


Link to post
Share on other sites

Возможен вариант , что на публичный IP 83.229.181.181 (сурф незнаю чтотакое) маршрут для АП понятно прописан . Поэтому впн "континента" поднимается в любом режиме и в 3 и 4м (10.18.х.х) . А потом , как тока Iplir driver видит этот "второй тудаже" маршрут на сеть 10.18.х.х. возникает ветка , туда один маршрут - обратно другой. У меня такая непонятка появляется, когда координатор спрятан за внешний ФВ ( у меня на линухе) , и на этом ФВ поднят еще один ВПН (openvpn) , и из-за разветвления бывают недоступны ресурсы.

У вас написано :"Тип межсетевого экрана:

Со статической трансляцией адресов"

Если так ,надо посмотреть этот МЭ. Если есть возможность, вывести Координатор прямо на внеш ip (публик) .

И второе "прямо в тырнет через локалку" - у вас какойто самодельный прокси для выхода в инет? не випнетский ( сервер откр. инета) ?

Третье - этот вэб-сервис СУФд, случаем , не использует какиенито е-токены или ру-токены для авторизации ? тут тоже засада может быть.

Не все до конца понял, на что понял отвечаю: вэб-сервис суфд не использует для авторизации ничего кроме логин и пароля.

Локальная сеть через циску имеет доступ к тырнету, на циске прописаны ип которые имеет полный доступ к тырнету, и насколько я понимаю получается следующая картина у меня, континент поднимает туннель, а вот уже драйвер випнета или сам випнет, запрос на вэб-сервис суфд оправляет не через туннель, а напрямую

Share this post


Link to post
Share on other sites

Господа, проблема не в совместимости ViPNet с СУФД, а в НЕСОВМЕСТИМОСТИ ViPNet и Континент-АП. Нельзя их ставить на одну машину.

Share this post


Link to post
Share on other sites

Мысль верная . У меня ,например, все 10.х.х.х принадлежат виртуальным випнетским адресам (можно их смотреть в iplir.conf) .

Может драйвер випнета на вашем АП и пытается через координатор пропустить их. А туннель то уже поднят через вашу циску.

Прописать конкретно маршрут на этом АП > route add 10.18.x.x mask x.x.x.x cisco . Может так получится . ?

Share this post


Link to post
Share on other sites

Мысль верная . У меня ,например, все 10.х.х.х принадлежат виртуальным випнетским адресам (можно их смотреть в iplir.conf) .

Может драйвер випнета на вашем АП и пытается через координатор пропустить их. А туннель то уже поднят через вашу циску.

Прописать конкретно маршрут на этом АП > route add 10.18.x.x mask x.x.x.x cisco . Может так получится . ?

Меня не правильно поняли, комп с випнетом и континентом находится в локалке 192.168.36.ххх, циска поднимает ППОЕ ссесию для адсл, имеет адрес 192.168.36.1, этот апи стоит шлюзом на компе с випнетом и континентом, т.е.ВЕСЬ трафик идет через циску и випнета и континента, на циске есть правило которое пропускает ВЕСЬ трафик с определенных апи. драйвер випнета запрос на суфд отправляет не через координатор, и не через тунель континент, а напрямую на 192.168.36.1

Share this post


Link to post
Share on other sites

Может воспользоваться советом intellegent ? А то мудрено все. Обойтись без випнета никак ?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.