Amivpn для windows 10 сбербанк

Бетке Сергей: iT блог

Клиент-банк Сбербанка (СБ РФ), ФПСУ-IP/Клиент Амикон и ISA Server – строим специализированный ФПСУ маршрутизатор

Возникла необходимость обеспечить работу с несколькими разными ФПСУ банка (часть организаций “вынудил” СБ работать через СПЭД, часть – всё ещё на клиенте СБ, а ФПСУ то разные). Описанное ранее решение работало только в случае, если ключ один. Посему и пришлось искать другое решение, но на рабочие станции ставить ФПСУ IP клиент вообще никакого желания нет. Реализованное решение и опишу.

Принцип работы ФПСУ клиента уже ранее описывал, повторяться не буду. Приведу идею:

Учитывая проблемы, которые нам уже создавал Сбербанк, не будем создавать себе проблемы и пытаться решить проблему только в рамках ISA хоста. Для этих целей будем использовать “ведро” – простенькую рабочую станцию, на которой работать уже грешно, а выкидывать жалко. Назовём её “наш Амикон-маршрутизатор”, или просто — “Амикон-маршрутизатор”.

P.S. В конце статьи остановлюсь на том, как реализовать это решение на виртуальном сервере, так как в случае наличия Windows Enterprise Server реализация в рамках виртуального сервера не потребует от Вас дополнительных затрат (на лицензирование).

Готовим маршрутизатор

Всё, что нам потребуется от самодельного маршрутизатора – хотя бы один USB порт, минимальные требования совместимости с MS Windows 2000/2003 Standard Server (да, потребуется сервер, потому как потребуется RRAS ради NAT) и два сетевых интерфейса. Можно обойтись и Windows XP, но в этом случае Вам потребуется через реестр включить маршрутизацию и NAT включить через netsh.

Устанавливаем ФПСУ IP-клиент

Пришло время установить сам клиент (сразу после установки Windows Server).

Настраиваем сетевые интерфейсы маршрутизатора
NAT, Amicon ФПСУ IP/клиент и RRAS

В процессе длительных экспериментов наблюдал следующую картину: с нашего “самопального” маршрутизатора соединение с ФПСУ банка устанавливается, сервера банка доступны (tracert показывает маршрут в один hop, что и понятно – пролетает весь путь в туннеле ФПСУ). А с других компьютеров, с которых маршрут к серверам банка ведёт через наш Амикон-маршрутизатор, сервера банка недоступны. При этом на в ФПСУ IP/Клиенте в статистике видно, что пакеты он отправляет, а обратно ничего не возвращается. Возникло предположение, что сервер ФПСУ Амикона не выполняет NAT (об этом информация пробегала здесь). Именно этим, на мой взгляд (здесь – исключительно догадки), объясняется работоспособность решения с установкой фильтра на ISA хост с привязкой к WAN интерфейсу – ISA реализует NAT на WAN интерфейсе. Поэтому и выбрал серверную ОС – ради NAT (в RRAS). Итак, нам необходим NAT на интерфейсе Amicon.

В первую очередь останавливаем службу ICS (Internet Connection Sharing), устанавливаем для неё режим запуска – Отключена (рекомендую этот шаг выполнить через созданный выше GPO), запускаем мастер настройки маршрутизации и удалённого доступа. При настройке выбираем вариант NAT маршрутизатора без файрвола. После установки RRAS настроить его можно следующим сценарием NetSh:

Но суть сценария в разделе настройки NAT: интерфейс Amicon в режиме NAT-full, LAN – в режиме NAT-private.

На этом настройка нашего Амикон-маршрутизатора закончена практически. Теперь, при установленном соединении с ФПСУ банка сервера банка будут доступны с любой рабочей станции Вашей сети (благодаря NAT и маршрутам на ISA хосте).

P.S. Кстати, мы по-прежнему можем контролировать доступ к серверам банка с наших рабочих станций. Для этих целей мы можем использовать правила фильтрации на RRAS, которые, кстати, можно установить через GPO+GPP.

Настраиваем ISA Server

Теперь мы должны написать маршруты, благодаря которым трафик, направленный в адрес ФПСУ банка и хостов банка, будет направлен на наш Амикон-маршрутизатор.

Маршрутизация

Для начала следует уточнить адрес ФПСУ банка и адреса серверов банка (хостов в терминологии ФПСУ). Для этих целей щёлкаем правой кнопкой на значке ФПСУ IP/клиента в трее, пункт – “VPN-key Settings”. После ввода PIN кода администратора (Вы должны были получить PIN коды вместе с ключом) не забудьте установить опцию — “Администратор”, после чего жмём Ok.

Окно с настройками IP клиента представлено слева. Нас интересует разделы ФПСУ (адрес межсетевого экрана банка, в моём примере – 84.204.34.245) и Хосты (адреса серверов банка, маршрут к которым возможен только через туннель ФПСУ, в моём примере – 55.251.189.1).

Идея в следующем. На ISA хосте мы должны прописать маршрут к серверам банка через наш новоявленный Амикон-маршрутизатор. Я добавил маршрут через консоль RRAS, можно – через route add, как удобнее будет. В результате таблица маршрутизации на ISA хосте будет выглядеть приблизительно так:

Видите маршрут к серверам банка (55.251.189.1) через наше “ведро” (172.31.2.200)? Важно, чтобы это маршрут имел меньшую метрику, чем шлюз по умолчанию.

Маршрут прописываем только до серверов банка (хостов), ни в коем случае не до ФПСУ банка! (иначе получим кольцо и связи не будет).

P.S. Для каждого ФПСУ нам придётся использовать своё “ведро”-маршрутизатор, и для каждого – маршрут на ISA хосте.

Забыли про LAT?

Я думаю, Вы уже получили ругань в журнале событий на ISA хосте. И правильно — мы новую локальную подсеть создали, а в LAT то её кто будет прописывать? В общем — вносим 192.168.202.0-192.168.202.255 в LAT в консоли ISA сервера, перезапускаем ISA Control.

Правила протоколов (protocol rules)

ISA готова к эксперименту. Не забываем перезапустить службу Microsoft Firewall.

Эксперименты

Теперь пришло время подключить VPN. На нашем “маршрутизаторе”, в меню клиента ФПСУ – Подключить. Если на предыдущем шаге всё сделано правильно, то с нашего маршрутизатора tracert выдаст следующий результат:

Ну а благодаря NAT аналогичный результат (как минимум – на один hop длиннее) мы получим с любой рабочей станции Вашей сети.

MTU + ФПСУ IP клиент = проблемы

Однако, без без потенциальных проблем и здесь не обошлось. Очевидно, что фильтру Амикона требуется увеличить размер пакета, чтобы дописать свой заголовок. По результатам экспериментов – 28 байт требуется. В моём случае до ФПСУ банка допустим MTU 1500. Из-за дополнительного заголовка ФПСУ – 1472 байта. Первое, что приходит в голову – установить на интерфейсе Amicon MTU 1472.

Но не тут то было. Запускаем тест с рабочей станции Вашей сети:

Флагом –f мы запрещаем фрагментацию пакетов. Размер пакета (1470) меньше MTU (1472), поэтому ICMP ответа “требуется фрагментация” не последует. Но с заголовком размер пакета составит 1498. Меньше 1500. Но ведь размер – больше MTU, поэтому и уйти такой пакет через сетевой интерфейс не сможет. И какой бы размер MTU мы не установили в реестре, проблема размером в 28 байт сохранится.

По моему субъективному мнению, разработчикам IP клиента была допущена архитектурная ошибка. Не было бы никаких проблем, если бы клиент создавал новый виртуальный сетевой интерфейс, как и многие другие VPN решения. Тогда не возникло бы и проблем с установкой MTU для этого нового виртуального интерфейса – берём MTU сетевого интерфейса, через который поднят VPN, вычитаем 28 – и получаем MTU виртуального Amicon VPN интерфейса. Но Амикон пошёл другим путём, они создали NDIS фильтр. Хотя, судя по MSDN, фильтры не должны изменять размеры пакетов. А фильтр Амикона – меняет. Вот и результат.

Другими словами – с MTU проблема у ФПСУ IP-клиента. В любом варианте установки. При этом, если отправитель не выставит флаг “фрагментация запрещена” – проблем не будет (пакет будет фрагментирован, что подтверждается успешным выполнением ping –t 213.148.164.75 –l 2000). А если отправитель выставит этот флаг, и размер пакета будет меньше MTU сетевого интерфейса, но больше, чем (MTU-28 байт) – не будет и ICMP ответа о необходимости фрагментации, и пакет отправлен не будет.

Читайте также:  Windows 10 home какие программы входят

По факту могу сказать, что ни клиент СБ РФ, ни СПЭД не выставляет флага “фрагментация запрещена”. Поэтому и проблем не возникает, хотя потенциальная проблема при этом существует.

Периодический разрыв соединения и что с этим делать

По поводу разрыва соединения через интервал keep-alive пришла в голову идея — а он и должен рваться! Он не может не рваться, я бы сказал. Ведь не стоит забывать, что на ISA работает NAT. Protocol rule — send-receive. Время жизни динамического сопоставления UDP в NAT невелико. В моём случае из огромого потока коротких UDP сессий время жизни UDP сопоставления пришлось уменьшить до 1 минуты. При установке RRAS на Windows 2003 по умолчанию время жизни UDP сопоставлению будет 60 минут. Дальше всё зависит от keep-alive интервала, установленного на ФПСУ сервере. Ответный пакет (точнее любой входящий пакет) от ФПСУ сервера к клиенту будет пропущен не позднее, чем через (время жизни UDP сопоставления) после отправки последнего пакета от клиента серверу! А keep-alive на стороне ФПСУ сервера, как я понял (опять-таки — догадки), обрабатывается просто — сервер посылает пакет клиенту. И в моём случае это время выше времени жизни UDP сопоставления. Ну так пакет клиента и не достигнет.

Предложил разработчикам контролировать keep-alive на стороне клиента ФПСУ, а не сервера. Именно клиент должен посылать запрос (пакет) через keep-alive интервал после последней активности. Если не получает ответ — канал разорван. А сервер просто ждёт чуть больше, чем keep-alive интервал на клиенте. Если нет пакетов от клиента — то и слать незачем. Можно попытки на сервер и оставить, они не помешают, но на клиенте их надо ввести. В этом случае клиент отправляет пакет, вновь создаётся (либо «обновляется» время жизни существующего) сопоставления на NAT для NAT клиентов, и ответ от сервера в течение времени жизни UDP сопоставления спокойно пройдёт обратно.
Пока же, если у Вас также имеют место быть ограничения на максимальное время жизни UDP сопоставления на NAT, предлагаю создать назначенное задание на Амикон маршрутизаторе от имени Local System: раз в пять минут запускаем

А что же FWC?

По логике вещей на нашем спецмаршрутизаторе не нужен FWC вовсе. Но с другой стороны – он и не помешает, не сможет! Так что никаких специальных настроек FWC не потребуется. Однако, рекомендую отключить службу агента клиента межсетевого экрана, опять-таки – через GPO (можно даже и без GPP).

По описанным выше причинам авторизация на протокол UDP87 возможна только по IP адресам. Если требуется авторизация по учётным записям, следует запускать службу Амикона от имени специальной учётной записи, включить FWC — и авторизация возможна. Но здесь не об этом.

Да, FWC не требует настройки на Amicon-маршрутизаторе, но на клиенте-то (СПЭД, клиент СБ РФ) требует!

IP пакеты должны идти напрямую от workstation в адрес сервера (хоста). То есть, если они и проходят по пути какие-либо туннели, то они должны выйти из этих туннелей до фильтра Amicon NDIS IM Filter Driver, то есть — до нашего Amicon-маршрутизатора, иначе последний их просто “не поймает”.

Что же нам может помешать? А помешать нам может FWC. Вспомним, как он себя ведёт. Для того, чтобы обеспечить авторизацию трафика на ISA firewall service, он также “заворачивает” пакеты клиента, отправляемые за пределы LAT. Если мы не исключим FWC в нашем случае, ISA firewall service безусловно “развернёт” туннель FWC, и пакеты “уйдут” через внешний интерфейс ISA, однако при этом они не попадут на наш Amicon-маршрутизатор. И, соответственно, не пройдут межсетевой экран банка. Итак, FWC нам необходимо исключить для трафика клиент-банка (точнее — для любого трафика, который должен идти через туннели ФПСУ).

Смотрим настройки FWC (application.ini) и дописываем исключение для клиент-банка:

Важны последние две секции: для «родного» клиент-банка и для СПЭД соответственно.

Обращаю внимание. Настройки могут быть как глобальными (через mspclnt) так и специфичными для приложения (wspcfg.ini в каталоге программы). Порядок и приоритеты:

Для СПЭД можно использовать файл wspcfg.ini с указанным выше содержимым в каталоге клиент-банка рядом с исполняемым файлом, для «родного» клиент-банка — нет. Будем пробовать глобальную конфигурацию.

Внёс изменения непосредственно в консоли ISA. После этого перезапустил клиент файрвола (FWC) на машине, сеанс связи клиент-банка — и всё идёт.

ISA, DNS PTR и проблемы с подключением Амикон ФПСУ IP-Клиента

Остановлюсь на одном неочевидном моменте, не имеющим напрямую отношения к ФПСУ. Проверьте наличие PTR записи в обратной зоне DNS для IP адреса ФПСУ сервера банка. В моём случае:

Если для Вашего ФПСУ картина та же — будут проблемы. Соединение с ФПСУ банка будет устанавливаться далеко не с первого раза, и во время нагрузок ситуация вообще будет плачевная (с 100ого раза, а то и того хуже). Причину подсказал Network Monitor:

Хорошо видно, что между запросом и ответом прошло более 9 секунд!, естественно, клиент ответа не дождался. А причина такого поведения ISA (задержка именно из-за ISA, проверено с помощью сниффера провайдера) — в отсутствии PTR записи для ФПСУ сервера в обратной зоне DNS.

У себя создал обратную DNS зону на своих серверах следующего содержания:

И без перезапуска сервисов на ISA всё просто «залетало». Соединение поднимается с первого раза за доли секунды! Результаты RDNS запроса:

Вот такие вот тонкости…

Итоги

На этом и всё. Итого – мы добились работоспособности клиентов банка СБ РФ без каких-либо настроек ФПСУ на клиентах, не устанавливая при этом потенциально проблемного софта на ISA/TMG.

Можно избежать лишних затрат на технику и на лицензии, если у Вас есть лицензия на Windows Enterprise Server. Для описанных задач вполне подойдёт и виртуальный сервер. Но – нет поддержки в Hyper-V передачи USB портов в виртуальную среду. Зато есть сторонние решения типа USB-to-LAN. Я надеюсь, в ближайшее время смогу испробовать это решение в описанной задачи.

Кроме того, доступны программные решения для организации виртуальных сетевых интерфейсов, которые в контексте описанной задачи помогут исключить необходимость во втором “физическом” сетевом адаптере (безусловно, в случае виртуального сервера подобное решение смысла не имеет).

Источник

Амикон фпсу ip клиент сбербанк windows 10

ФПСУ-IP 3.15.8
ФПСУ-IP Int 3.15.2
ФПСУ-IP/Клиент 5.6
УА ФПСУ-IP 3.1.30
ФПСУ-TLS 2.5.18

Текущая версия ПО «ФПСУ-IP/Клиент» :

Архив AmiVPN_5_6_for_Windows.zip содержит 4 файла:

Файл дистрибутива(AmiVPN_5_6_for_Windows.exe) и модуль расчета и проверки целостности (WinFPSUHash.exe) подписаны цифровой подписью ООО «АМИКОН», которую следует проверить перед установкой программы.

Данные сертификата ООО «АМИКОН»:

Кроме того, с помощью модуля WinFPSUHash.exe необходимо убедиться в целостности дистрибутива. Для этого запустите пакетный файл filehash.cmd и сравните полученное значение HASH с представленным ниже:

Для получения новой версии ПО «ФПСУ-IP/Клиент», заполните все поля.

Клиент-банк Сбербанка (СБ РФ), ФПСУ-IP/Клиент Амикон и ISA Server – как заставить “это” работать, не трогая клиентские workstation

Итак, дело минувших дней, но всё-таки. Решил привести летопись тех военных действий. Задача: заставить работать клиент-банк СБ РФ с рабочей станции пользователя, при этом не открывая с машины клиента VPN соединения. Избавимся также от принудительной блокировки TCP и UDP соединений. В этой статье опишу решение с установкой фильтра на ISA хост, в отдельной статье опишу процесс установки на отдельный специализированный сервер-маршрутизатор. Читайте дальше, и станет понятна логика.

Читайте также:  Canon lbp6030b windows 10 не работает

Сразу оговорюсь – если ищите информацию о том, как избавиться от принудительной блокировки TCP и UDP соединений – читайте сюда, особенно комментарии после статьи. Здесь речь пойдёт об установке и ФПСУ IP/Клиента.

Поясню подход. С моей точки зрения, за обеспечение сеансового, и тем более транспортного уровня (с точки зрения OSI) должен отвечать не клиент, а маршрутизатор. В нашем случае – ISA Server (да, у нас всё ещё MS ISA). Для клиента всё должно быть просто и прозрачно – открываем сеанс и используем тот протокол сервера, который нам необходим. Что при этом происходит на сеансовом и транспортном уровне – не проблема клиента. Кто, где и что будет перехватывать, “заворачивать”, кодировать, подписывать – не должно волновать ни клиента, ни даже сервер. Другими словами, ни о каких VPN на рабочих станциях и задумываться не следует — и не безопасно, да и софт ставить, ключи выдавать сотрудниками, а в случае падения workstation – всё это долго переставлять… Я постараюсь привести решение с минимальными проблемами для администраторов.

Что нам говорит FAQ (мы так делать не будем :-)):

СБ РФ от нас требует организовать защищённый канал до их сервера посредством ФПСУ-IP/Клиента и МСЭ (межсетевого экрана) на их стороне, что логично. Другими словами, ни клиент-банк, ни сервер не задумываются о том, кто, что, и как (и где) их защищает, что и логично. Но ставить при этом ФПСУ-IP/Клиента на рабочие станции – это не для нас.

Схема взаимодействия представлена на сайте Амикона: хотя и не сильно прозрачная.

Автоматическое определение MTU через ICMP ФПСУ-IP/Клиент явно выполнить не в состоянии. За MTU в нашем случае ответит операционная система с поддержкой автоматического определения “чёрных дыр” (на них наткнулся при организации VPN канала с другим банком – ISA не умеет заворачивать ICMP трафик в созданный RRAS исходящий VNP канал, но это тема другой статьи).

Проверю сразу версию на сайте http://amicon.ru/forum/viewtopic.php?t=615. На момент написания статьи на сайте версия 3.1.2, и в этой статье речь пойдёт именно об этой версии. (Сейчас ссылка на новую версию доступна со страницы http://amicon.ru).

Судя по описанию, следует «бояться» следующего: Клиент устанавливает фильтрацию TCP UDP соединений (точнее – может устанавливать). Но, так как он реализован как фильтр, блокировать соединения он будет только на тех интерфейсах, к которым привязан (bindings). Об этом следует помнить в случае сетевых проблем.

Для шифрования используется решение СКЗИ «Туннель/клиент», оно встроено в ФПСУ IP клиент. Итак,

Устанавливаем ФПСУ-IP/Клиент

Устанавливаем клиента на ISA Server.

Однако, из терминальной сессии ставиться клиент отказался напрочь. Так что будем пробовать ставить, сидя за консолью. А не хотел так ставиться по одной причине — RDP отваливается во время установки, так как устанавливается драйвер сетевого уровня.

После установки поднимается сервис: “Amicon FPSU-IP/Client service” (Amicon FPSU-IP/Client service for Amicon FPSU-IP) («C:Program FilesAmiconClient FPSU-IPip-client.exe» RunAsService). Запуск — автоматический. Именно этот сервис отслеживает «появление» ключа в USB, и пытается сразу установить соединение.

Может ли «ФПСУ-IP/Клиент» восстанавливать соединение при использовании Dial-Up? Да, начиная с версии 1.42. И речь не только о dial-up. При переподключении сетевого интерфейса тоже всё в ажуре.
Начиная с версии 1.42 доступна возможность соединиться и рассоединиться при помощи командной строки: ip-client connect и ip-client disconnect (программа уже должна быть запущена).

Видим новый сетевой фильтр в стеке протоколов (справа). Напоминаю, на внешнем интерфейсе этот фильтр должен быть привязан (на картинке видно, что галка стоит), и TCP/IP также. Всё остальное – отвязываем. А на внутренних интерфейсах фильтр Amicon NDIS IM Filter Driver отвязываем. P.S. Позднее мы вообще отвяжем фильтр от всех интерфейсов, которые нам необходимы для функционирования нашей сетевой инфраструктуры и оставим его привязанным только к специально созданному ради Амикона интерфейсу, но об этом позднее.

Запускаем службу, затем ПО (через меню Амикон). Получаем в результате нечто в system tray. Активируем приложение.

Подробно на настройке останавливаться не буду, в документации подробно. Только на особенностях.

Итак, в локальных настройках обязательно ставим галку “Помнить введённый PIN код, пока VNP-key не отсоединён”. Мы же не собираемся постоянно руками “поднимать” канал, воткнули ключ и забыли про сервер.

Далее нам потребуется Ip адрес ФПСУ-IP экрана (со стороны СБ) (должен быть указан на пакете ключа) (в нашем случае — 213.148.164.72) и Ip адрес сервера за экраном (со стороны СБ) — 213.148.164.75. Вводим PIN код пользователя (PIN, не PIN2, последний потребуется, если Вы выберите Расширенные настройки) и получаем окно параметров клиента.

Нас будут интересовать две страницы: ФПСУ и хосты. Именно в этом диалоге и прописываем (если они уже не прописаны) полученные адреса межсетевого экрана (ФПСУ) и серверов за ним (хосты). Физический смысл данных настроек следующий. Фильтр Amicon NDIS IM Filter Driver “ловит” все пакеты, направленные в адреса, прописанные на странице “хосты”. Именно “хосты”, а не “ФПСУ”. То есть наш клиент-банк с рабочей станции открывает ftp соединение напрямую с сервером (хостом), не задумываясь о межсетевом экране. А фильтр Amicon NDIS IM Filter Driver на ISA Server перехватывает пакеты этого соединения. О том, что он (фильтр) с ними делает – позднее.

Разъединились и соединились успешно. Пробуем пинговать «хост» 213.148.164.75 – всё в порядке.

Настраиваем ISA Server

Но это не всё. Судя по логам firewall, клиент СБ РФ пытается использовать ftp на 20+21 портах, а также порт 1024. Итак, мы должны также прописать разрешающие правила на протоколы клиента в том числе! Одна из прелестей предлагаемого решения в том, что всё взаимодействие клиент-банка с банком в логах ISA будет!
При написании правил на протоколы клиента следует учесть, что fwc для этого трафика у нас будет отключен. Поэтому правила на протоколы клиента должны быть либо без авторизации, либо с авторизацией по ip адресам. Авторизация по учётным записям здесь недопустима!

Сверху — клиент отключен, снизу — включен. Отсюда видно, что ICMP трафик, в том числе и с локальной машины при ФПСУ клиенте, установленном на isa, замечательно заворачивается в туннель (маршрут становится короче, ведь трафик “пролетает” ряд маршрутизаторов сети по туннелю, для него этот туннель – один hop).

Icmp трафик, судя по всему, успешно заворачивается в туннель.

Сам клиент связывается успешно (ФПСУ ip клиент), то есть с 87udp проблем нет.

Видимо, проблемы с tcp трафиком. Причём — после упаковки fwc клиентом. Отсюда: нужно экспериментировать с fwc клиентом, ftp командлетой и разрешающими правилами на isa.

Настраиваем FWC

Пожалуй, именно здесь и есть ключевой момент для понимания того, что происходит. IP пакеты должны идти напрямую от workstation в адрес сервера (хоста). То есть, если они и проходят по пути какие-либо туннели, то они должны выйти из этих туннелей до фильтра Amicon NDIS IM Filter Driver, иначе последний их просто “не поймает”.

Что же нам может помешать? А помешать нам может FWC – firewall client for ISA. Вспомним, как он себя ведёт. Для того, чтобы обеспечить авторизацию трафика на ISA firewall service, он также “заворачивает” пакеты клиента, отправляемые за пределы LAT. Если мы не исключим FWC в нашем случае, ISA firewall service безусловно “развернёт” туннель FWC, и пакеты “уйдут” через внешний интерфейс ISA, однако при этом они минуют фильтр Amicon NDIS IM Filter Driver (возможно, связано с порядком применения фильтров, ведь firewall client тоже не просто так сбоку стоит). И, соответственно, не пройдут межсетевой экран банка. Итак, FWC нам необходимо исключить для трафика клиент-банка.

Читайте также:  Photoshop repack windows 10

P.S. Можно было бы и не избегать, если бы мы поставили ФПСУ-IP/Клиент на маршрутизатор за ISA сервером (скажем – на внешний ISA firewall, уже за DMZ), при этом на внутреннем (до DMZ) никакого ФПСУ-IP/Клиента. В этой конфигурации и FWC можно было бы в покое оставить.

Смотрим настройки FWC (application.ini) и дописываем исключение для клиент-банка:

Обращаю внимание. Настройки могут быть как глобальными (через mspclnt) так и специфичными для приложения (wspcfg.ini в каталоге программы). Порядок и приоритеты:

Сейчас создал файл wspcfg.ini с указанным выше содержимым в каталоге клиент-банка рядом с исполняемым файлом. Перезапустил клиент-банк. Пробуем связь. Неуспешно. Потому как “клиент” в данном случае – в system32. Поэтому такой вариант конфигурации использовать не будем. Будем пробовать глобальную конфигурацию.

Внёс изменения непосредственно в консоли ISA. После этого перезапустил клиент файрвола (FWC) на машине, сеанс связи клиент-банка — и всё идёт.

Но при этом абсолютно все пакеты (и tcp1024, и tcp21) я вижу в логах Firewall service на ISA.

Дополнительные материалы

Резюме

Итак, мы обеспечили функционирование клиент-банка СБ РФ через ФПСУ-IP/Клиента Амикон и ISA Server, при этом не устанавливая VPN соединения с машины, а возложив все сетевые тонкости на ISA хост, что и требовалось.

Послесловие

История на этом не закончилась… Об очередных кознях СБ РФ читаем здесь.

17.06.11 | Раздел публикации: Сбербанк России

Инструкция по установке

Подготовка к полной установке

Комплект файлов, необходимый для полной установки Следует поместить в одну папку.

Список файлов, необходимых для полной установки следующий:

Находятся на диске в папке «Distrib».

Находятся на диске.

Для клиентов с интернет доступом.

Так же требуется подготовить транспортную ЭЦП для этого с установочного диска из папки «Транспортная ЭЦП» скопировать все файлы publ.ddtи sign.keyна дискету.

В файле Код ЭЦП.txtуказан пароль.

Полная установка

В процессе подготовки к полной установке системы следует определить следующую информацию:

· Папка установки – каталог, в котором будут размещены файлы системы;

· Папка в меню Пуск – папка в меню Пуск, в которую будут помещены ярлыки программы;

· Папка базы данных – каталог, в котором будет размещена база данных системы.

Следует учитывать, что перед полной установкой все указанные каталоги не должны существовать, т.к. в противном случае установка может не выполниться нормально.

Полная установка системы выполняется следующим образом:

В диалоговом окне выбора папки установки системы следует выбрать каталог размещения системы, после чего нажать кнопку Далее >. Если указанная папка существует, то система выведет соответствующий запрос о продолжении действий. Не рекомендуется устанавливать программу в уже существующую ранее папку.

В диалоговом окне выбора папки в меню “Пуск” следует указать папку в меню Пуск, в которую будут помещены ярлыки программы, после чего следует нажать Далее >.

В диалоговом окне выбора папки базы данных следует нажать Далее >.

В диалоговом окне выбора вида соединения с банком следует указать вид соединения с банком, после чего необходимо нажать Далее >. В случае выбора ФПСУ-IP/Клиент – будет выполнена попытка установки ФПСУ-IP/Клиент, для чего будет отображено соответствующее диалоговое окно. В случае выбора DialUp, в процессе установки будут выполнены этапы необходимые для создания и проверки удалённого соединения.

В случае если был выбран режим соединения с банком посредством ФПСУ-IP/Клиент, на экран выводится диалоговое окно выбора дистрибутивного файла ФПСУ-IP/Клиент (AmiVPN vX.XX.XX для Windows), после того, как данный файл указан необходимо нажать Далее >. Если файл не указан, то установка ФПСУ-IP/Клиент осуществляться не будет.

В диалоговом окне выбора каталога настроек следует указать каталог, в котором размещаются файлы, которые были подготовлены для установки, после чего необходимо нажать Далее >. Если в каталоге присутствует файл CLIENTSB.CBP, то считается, что данная установка полная, в противном случае – частичная.

В диалоговом окне выбора параметров первичной установки следует указать все необходимые действия, которые будут выполнены в процессе установки, а затем нажать Далее >.

Убрать галочку с пункта «Установка службы сервиса параметров» (Выбор этого параметра необходим если у пользователя нет прав локального администратора и АРМ «Клиент» устанавливается на этот компьютер первый раз).

Возможные параметры установки:

10.В диалоговом окне готовности к установки следует ознакомиться с выбранными параметрами установки, после чего нажать Установить >.

11.Будет запущен процесс установки. Действия, выполняемые в процессе установки напрямую зависят от параметров, выбранных в экранной форме, представленной в п. 9. Далее будет описана типичная процедура установки.

12.После выполнения копирования файлов программы, на экран будет выведено, сообщение, содержащее список этапов настройки, которые будут выполнены далее.

13.Появится окно с просьбой подготовить носитель для создания Главного ключа.

14.После успешного создания Главного ключа появится окно с просьбой создать первого пользователя

15.После успешного создания первого пользователя на экран будет выведен запрос о считывании главного ключа.

16.Далее, после успешного считывания главного ключа, может потребоваться генерация мастер ключа.

17.После нажатия ОК, система, в случае необходимости, попросит указать путь, по которому будет сохранён исходный мастер ключ. (рекомендуется сохранять мастер-ключ в директории где установлена программа).

18.Далее будет запущен процесс генерации комплекта ЭЦП. Первой будет формироваться ЭЦП Администратора.

19.В наименование подписи вводим ФамилиюИО и должность ответственного работника за ЭЦП Администратора. (Адм писать обязательно).

Пример: ИвановИИ Адм

20.Аналогичным образом создается рабочая ЭЦП.

21.В наименование подписи вводим ФамилиюИО и должность лица имеющего право первой подписи.

Пример: ИвановИИ ГенДир

22.Вынимаем дискету с ЭЦП администратора и вставляем чистую дискету

23.После успешного создания комплекта ЭЦП система потребует отправки в банк, для чего следует подготовить Транспортную ЭЦП (ЭЦП для выезда к клиентам).

24.После нажатия на кнопку ДА появится окно с просьбой предъявить носитель ЭЦП для выезда.

25.Требуется установить носитель транспортной ЭЦП созданной в подготовительном этапе.

После того как дискета будет считана потребуется ввод пароля.

26.Появится информационное окно где следует нажать ОК

27.Далее производится печать комплекта документации. Появившийся документ следует распечатать в двух экземплярах и закрываем окно.

28.Появится информационное окно где следует нажать ОК.

29.Появится окно где следует нажать на рисунок носителя.

30.После того как дискета будет считана потребуется ввод пароля.

31.Появится информационное окно где следует нажать ОК.

32.Появятся распечатки документов которые следует распечатать в трех экземплярах и закрыть документ.

33.1. Для клиентов с типом связи через интернет

33.1.1. Появится окно нажимаем ДА

33.1.2. Выбираем «Я согласен» – «Вперед» – «install».

33.1.3. После завершения установки нажимаем кнопку закрыть.

33.1.4. На вопрос программы перезагрузить компьютер отвечаем НЕТ.

33.2.Для клиентов с типом связи через модем.

33.2.1.Появится окно где нужно будет создать новое модемное соединение.

Номера телефонов:
788-92-70
788-92-71
747-38-90

Логин и пароль: appd

33.2.2.После появления, добавить в правое окно и нажать ОК.

34.Появится окно проверки соединения. Нажимаем НЕТ.

35.После выполнения действия установка считается выполненной, и на экран выводится соответствующая форма.

Галочку НЕ СТАВИМи нажимаем кнопку «Завершить»

36.После чего перезагружаем компьютер.

Для клиентов с доступом через интернет. Устанавливаем флэшку, с эмблемой сбербанка, система автоматически настроит драйвера и водим PIN-код пользователя.

37.Заходим в АРМ«Клиент» и на панели инструментов нажимаем кнопку «Отправить/получить».

Если по каким то причинам не удалось корректно провести сеанс связи для отправки ЭЦП то с каждого носителя на который была записана ЭЦП, следует скопировать файлы publ.ddt на отдельную дискету и предоставить эту дискету в банк вместе с распечатанной документацией. Файлы следует переименовать так publ-A.ddt Администратора

publ-1.ddt Руководителя
publ-2.ddt Бухгалтера (если предусмотрен)

Установка АРМ «Клиент» завершена вам необходимо заполнить распечатанную документацию (по вопросам заполнения обращайтесь к своему операционисту) и отнести их в своему операционисту. После того как ваши ЭЦП будут зарегистрированы можно приступать к работе.

Инструкция по работе и эксплуатации можно найти на диске в папке «Документация.»

Источник

Поделиться с друзьями
Советы экспертов и специалистов
Adblock
detector