Для начала, подробно опишу структуру, нашей локалки, на работе:
Простая локальная сеть, с 2 рабочами группами. В нее входит один сервер, с двумя сетевухами (одна смотрит на локалку IP 192.168.0.1, другая в инет 81.хх.хх.хх), стоит WinXP Pro, прокси: Трафик Инспектор.
Все машины выходят в инет чере этот сервак.
На всех машинах, в настройках IE указывается 192.168.0.1:8080.
TheBat и подобные проги, работает через FretCap, SocksCap.
Все казалось-бы прекрасно, но есть один комп в бухгалтерии, с такой гадкой программой, как Клиент-банк.
Этой проге, не задть работу, не через прокси, не через SocksCap. Она требует, так назывемый: прозрачный режим online, т.е. работает только через обычный модем.
Я пробовал на серваке разрешать прямое соединение юзерам (в обход прокси), но это не помогло. Она даже признаков попытки коннекта не делает.
Существуют-ли программы (например какие-нибудь виртуальные модемы), которые эмулируют, этот режим online, т.е. вместо дозвона на номер провайдера, конектятся на IP 192.168.0.1 (на наш сервак).
Или может есть какое то, другое решение?
Если будет такой расклад, я поставлю модем. Все равно клиент-банк работает не весь рабочий день.
Это сообщение отредактировал -=Велла=- - 12-02-2007 - 22:18
P.S. Большинство работают в т.ч. через T-Mail.
| QUOTE (-=Велла=- @ 12.02.2007 - время: 21:11) |
| о блин... чую и мне такое тоже предстоит в скором будущем... А Клиент-банк Сбербанка? Если будет такой расклад, я поставлю модем. Все равно клиент-банк работает не весь рабочий день. |
Ну да, Клиент-сбербанк.
Но запускать, через модем (что в данном случаи, является пока единственным выходом) - это не есть гуд.
Во первых, прежде чем соеденится с банковским серваком, идет отправка зашифрованного ключа размером, примерно в 1Mb. Потом, в процессе работы, переодически передаются - принимяются пакеты, размером примерно 150-200Kb
А через модем, связь не всегда устойчивая (особенно днем), то обрывы, то затыки.
Меня бухгалтера, уже замучали, мол есть нормальная выделенка, а ты нам мозги паришь, не хочешь делать. Да и Шеф наезжает.
И этот вопрос, рано или поздно, может коснуться каждого админа.
Я на многих форумах копался, но так подходящего ответа и не нашел.
Везде пишут, что надо поднимать VPN, но это можно только на Win2003 Server.
Да и то, народ пишет, что не у всех это прокатывает, и хороший опыт надо иметь, чтоб знать всю эту систему. А поэксперементировать, просто времени и возможности нет , сервак постоянно в работе.
Причем, клиент-сбербанк, берет настройки модема из IE и работает по протоколу HTTPS. Но если в IE стоит работа через прокси, то он отсеевает.
Поэтому всякие WinGate, UserGate и т.д. не прокатят.
Есть какое-то очень простое решение, но только вот вопрос: какое?
Когда, к нам приходил человек из банка, с этой прогой, то он говорил, что на каком-то обьекте, админы легко решили эту задачу и все поехало, как по маслу.
Это сообщение отредактировал alex220278 - 13-02-2007 - 00:38
| QUOTE (JeyLo @ 12.02.2007 - время: 21:25) |
| Какая программа? P.S. Большинство работают в т.ч. через T-Mail. |
Через T-Mail или терминал, работает другая система.
Это когда например - есть центральный офис конторы, а по городу разбросаны филиалы. Так вот с этих филиалов, идет коннект на сервак центрального офиса. А с сервака, - уже на банк. Для таких фирм, инженерная служба банка, разарабатывает специальную схему маршрутизации. Там вообще темный лес.
| QUOTE (alex220278 @ 12.02.2007 - время: 23:10) |
| Когда, к нам приходил человек из банка, с этой прогой, то он говорил, что на каком-то обьекте, админы легко решили эту задачу и все поехало, как по маслу. |
Лучше б он тебе номер телефона этих админов сказал :)
Мда.. у меня тож Сбербанк напрягает на такую фигню... И тоже инет через прокси...
Так что, если найдется решение - не откажи, расскажи нам :)
Вообще я нашел одну прогу "COM/IP 3.02", вот ее описание:
Виртуальный модем, позволяет "звонить" на роутеры через сеть и устанавливать второе ppp соединение. Очень полезная прога для тех, кто занимается добычей FreeInet`а с роумингом. Область применения данной проги очень большая.
Скачать ее можно здесь
Только жалко, что она требует серийник, надо где-то искать keygen. Но если не региться, то 30 дней поработать можно.
Я немного ее пощупал, но разобраться пока не смог. Может если кто врубится в нее, то пишите.
Это сообщение отредактировал alex220278 - 13-02-2007 - 15:40
Нижайше прошу прощения, у меня отключена графика и я нажал не на ту кнопку... Каюсь!
| QUOTE (JeyLo @ 13.02.2007 - время: 13:03) |
| А тут читали? |
Да если-бы было так все просто, то я уже давно бы сделал.
Чтоб войти в настройки Клиент-банка, нужен пароль.
А банк его не дает, из соображения политики безопасности, да к стати, они его сами не знают, прога-то Московская.
| QUOTE (alex220278 @ 13.02.2007 - время: 14:48) |
| А банк его не дает, из соображения политики безопасности, да к стати, они его сами не знают, прога-то Московская. |
Тогда как они забивают IP ФПСУ?
Слишком хитрые они ребята.
В других банках нашего города, такого гемороя нет, как с этим.
| QUOTE (alex220278 @ 13.02.2007 - время: 18:13) |
| А специально для них Москва, поставляет готовый инсталяционный пакет, уже с вбитыми IP сервера банка, на который будет открываться тунель. Слишком хитрые они ребята. В других банках нашего города, такого гемороя нет, как с этим. |
Понятно.
Вообще можно КлиентБанку отдавать настройки IE какие хотите... Поможет?
| QUOTE |
| Причем, клиент-сбербанк, берет настройки модема из IE и работает по протоколу HTTPS. Но если в IE стоит работа через прокси, то он отсеевает. Поэтому всякие WinGate, UserGate и т.д. не прокатят. |
Делал как-то, но это был не Сбербанк. Но тоже тунель.
Можно поставить на машину с клиент-банкой сниффер (EtherCap, например) и посмотреть что ему надо.
| QUOTE (-=Велла=- @ 13.02.2007 - время: 21:27) |
| Он же уже сказал что нет... |
А я сказал, что можно отдавать любые, а не те, что в IE.
shworker, там клиент такой забавный.... такой забавный... трафик локальный ловит. 6)
У них столько условий для сотрудничества и фиг они на уступки идут.. Вот сказали - делать так и пипец.. все упали, отжались и делают.. 
JeyLo, я просто тогда не поняла что ты имел ввиду...
| QUOTE |
| Надо настроить NAT, возможно также придеться пробросить некоторые порты на машину с клиент-банком. |
А как это сделать?Пожалуйсто, если можно, подробную инструкцию, сюда в студию.
| QUOTE |
| Можно поставить на машину с клиент-банкой сниффер (EtherCap, например) и посмотреть что ему надо. |
Ему нужен, полностью прозрачный канал с инетом (как через модем).
Мда... Похоже ребята, черезчур перестарались с безопасностью.
Вкратце: технология NAT (Network Address Translation) позволяет компам во внутренней сети выходить в интернет через один публичный IP адрес. Технология в двух словах такова:
Комп в локалке хочет соединиться (создать TCP сессию) с сайтом ya.ru. Пакет приходит на шлюз. Шлюз переписывает IP адрес отправителя пакета, подставляя вместо IP из локалки публичный IP.
При этом в памяти шлюза создается запись, что комп из локалки с IP такой-то отправил пакет на хост в инете с IP таким-то. Для компа, обслуживающего сайт ya.ru такой пакет выглядит так, будто он пришел от шлюза. Когда приходит ответ от сайта, шлюз, глядя в таблицу, перепишет обратно адрес получателя пакета на IP компа в локалке и он получит пакет. Проблема сетей с NAT очевидна: так как IP адреса в локалке не видны из инета, к ним нельзя получить доступ напрямую.
Для решения этой проблемы надо настроить шлюз.
Прописываем правило, что пакеты, пришедшие от IP банка и идущие к Вам в сетку на порт N, необходимо отправить на комп во внутренней сети с IP таким-то и на порт N. Это и называется "пробросить порт".
И еше на нем стоит прокся "Трафик инспектор" называется. Очень хорошая прога, русская разработка.
Пускай сами думают, как через нормальный инет пропустить.
У меня уже голова пухнет.
Но ведь через модем работает, скажут они, вот и работайте )))
Единственно надежный путь только один:
1. на сервере поставить свитч на карту где 81.*.*.*
2. на комп где стоит Клиент-Сбербанк устанавливаем вторую сетевую карту с адресом из диапазона п.1
3. Распределяем метрики сетвых карт: на внутреннюю сеть ставим метрику 1, для карты сбербанка - метрика 2.
4. Маршрутизация и шлюзование:
внутренняя сеть - маска 255.255.255.0
IP - какой стоит
Шлюз - IP сервера
DNS - DNS сервера.
Клиент Сбербанк:
IP - из серии 81.*.*.*(какой указали)
Шлюз - IP ADSL-модема
DNS - DNS провайдера.
Всё проверенно 2 летним опытом работы.
Но здесь есть такая очень маленькая неувязочка:
У бухгалтера стоит ноутбук.
Совсем забыл....
Вспомнил, оказывается такой вариант (почти) я уже пробовал.
Я ставил клиент-банк прямо на сервер.
Ну и не прокатило.
Это сообщение отредактировал alex220278 - 14-02-2007 - 23:43
Прбовали ставить на сервер, все прошло, как по маслу. В предыдущий раз не прокатило из-за того, что сервак банка, не пропускал пинг с IP провайдера.
Сейчас у нас провайдер другой, с него все идет нормально.
Ну а с буховского компа, по прежнему затык.
Вариант, что предложил FlАsHеR:
| QUOTE |
| 1. на сервере поставить свитч на карту где 81.*.*.* 2. на комп где стоит Клиент-Сбербанк устанавливаем вторую сетевую карту с адресом из диапазона п.1 3. Распределяем метрики сетвых карт: на внутреннюю сеть ставим метрику 1, для карты сбербанка - метрика 2. 4. Маршрутизация и шлюзование: внутренняя сеть - маска 255.255.255.0 IP - какой стоит Шлюз - IP сервера DNS - DNS сервера. Клиент Сбербанк: IP - из серии 81.*.*.*(какой указали) Шлюз - IP ADSL-модема DNS - DNS провайдера |
конечно прокатит, но это называется Из пушки по воробьям
Тем более, что у нас контора большая, в ней размещаются несколько организаций, вдруг кто-то еще, захочет себе такую фишку.
так вот, теперь задача стоит, такая:
Клиент-банк, работает через порт UDP.
Нужно сконфигурить сервак так, чтобы с бухгалтерского бука, проходил пинг, например на www.yandex.ru или другие сайты.
Только, теперь вопрос, как это сделать, если на серваке стоит не серверная ось.
| QUOTE (alex220278 @ 15.02.2007 - время: 14:21) |
| Вариант, что предложил FlАsHеR: |
Съем свой галстук, если пройдет.
В этом случаи надо просто звонить в инженерную службу банка.
Это я так, на всякий случай говорю.
| QUOTE (JeyLo @ 15.02.2007 - время: 19:01) | ||
Съем свой галстук, если пройдет. |
Ешь. У мну 2 года уже работает. :)
| QUOTE (alex220278 @ 15.02.2007 - время: 19:30) |
| Может не прокатить, есть провайдеры, с которых почему-то не пускает сервер банка.(Это мне сегодня банковский программер сказал) В этом случаи надо просто звонить в инженерную службу банка. Это я так, на всякий случай говорю. |
По-моему в таких случаях надо звонить в инженерную службу провайдера.
Просить открыть нужные порты, угрожая проголосовать ногами / кошельком.
Кстати, инженеры провайдера могут, запустив тот же tcpdump, сказать куда стучится Ваш Банк-Клиент и подкрутить что надо у себя.
| QUOTE (shworker @ 16.02.2007 - время: 00:29) |
| По-моему в таких случаях надо звонить в инженерную службу провайдера. Просить открыть нужные порты, угрожая проголосовать ногами / кошельком. Кстати, инженеры провайдера могут, запустив тот же tcpdump, сказать куда стучится Ваш Банк-Клиент и подкрутить что надо у себя. |
уж поверь мне на слово: особо они не разговаривают. Только тех.особенности подключения. В остальном мотивировка лишь одна - "у других нормально работает, только у вас руки "кривые", переходите на упрощенную систему коннекта, либо заведите отдельный коннект для нас."
а безопасность чужого предприятия их абсолютно не интересует.
у мну есть еще и автобанк.
Так вот там прога более гибкая и хоть техподдержка и высказывала сомнения насчет ремеппинга портов, мне удалось настроить их через Usergate. Но повторяю - там система намного гибче в настройках.
По крайней мере WebMoney Keeper Classic, заработала без проблем.
Остается только подождать до понедельника, придет бух с ключем от Клиента, и вот тогда наступит ответственный момент.
Если все прокатит, выложу все подробно, как-что-и с чем едят.
P.S. Хоть запить-то дадите? :)
