Драйвер фпсу ip клиента не может получить доступ к сетевому адаптеру
Итак, дело минувших дней, но всё-таки. Решил привести летопись тех военных действий. Задача: заставить работать клиент-банк СБ РФ с рабочей станции пользователя, при этом не открывая с машины клиента VPN соединения. Избавимся также от принудительной блокировки TCP и UDP соединений. В этой статье опишу решение с установкой фильтра на ISA хост, в отдельной статье опишу процесс установки на отдельный специализированный сервер-маршрутизатор. Читайте дальше, и станет понятна логика.
Сразу оговорюсь – если ищите информацию о том, как избавиться от принудительной блокировки TCP и UDP соединений – читайте сюда, особенно комментарии после статьи. Здесь речь пойдёт об установке и ФПСУ IP/Клиента.
Что нам говорит FAQ (мы так делать не будем :-)):
СБ РФ от нас требует организовать защищённый канал до их сервера посредством ФПСУ-IP/Клиента и МСЭ (межсетевого экрана) на их стороне, что логично. Другими словами, ни клиент-банк, ни сервер не задумываются о том, кто, что, и как (и где) их защищает, что и логично. Но ставить при этом ФПСУ-IP/Клиента на рабочие станции – это не для нас.
Схема взаимодействия представлена на сайте Амикона: хотя и не сильно прозрачная.
Автоматическое определение MTU через ICMP ФПСУ-IP/Клиент явно выполнить не в состоянии. За MTU в нашем случае ответит операционная система с поддержкой автоматического определения “чёрных дыр” (на них наткнулся при организации VPN канала с другим банком – ISA не умеет заворачивать ICMP трафик в созданный RRAS исходящий VNP канал, но это тема другой статьи).
Судя по описанию, следует "бояться" следующего: Клиент устанавливает фильтрацию TCP UDP соединений (точнее – может устанавливать). Но, так как он реализован как фильтр, блокировать соединения он будет только на тех интерфейсах, к которым привязан (bindings). Об этом следует помнить в случае сетевых проблем.
Для шифрования используется решение СКЗИ "Туннель/клиент", оно встроено в ФПСУ IP клиент. Итак,
Устанавливаем ФПСУ-IP/Клиент
Устанавливаем клиента на ISA Server.
Локальная установка прошла штатно. После этого, естественно, потребовалось на ISA Server описать IP packet filter, разрешающий UDP (dynamic) -> UDP (87) send receive.
Может ли «ФПСУ-IP/Клиент» восстанавливать соединение при использовании Dial-Up? Да, начиная с версии 1.42. И речь не только о dial-up. При переподключении сетевого интерфейса тоже всё в ажуре.
Начиная с версии 1.42 доступна возможность соединиться и рассоединиться при помощи командной строки: ip-client connect и ip-client disconnect (программа уже должна быть запущена).
Видим новый сетевой фильтр в стеке протоколов (справа). Напоминаю, на внешнем интерфейсе этот фильтр должен быть привязан (на картинке видно, что галка стоит), и TCP/IP также. Всё остальное – отвязываем. А на внутренних интерфейсах фильтр Amicon NDIS IM Filter Driver отвязываем. P.S. Позднее мы вообще отвяжем фильтр от всех интерфейсов, которые нам необходимы для функционирования нашей сетевой инфраструктуры и оставим его привязанным только к специально созданному ради Амикона интерфейсу, но об этом позднее.
Запускаем службу, затем ПО (через меню Амикон). Получаем в результате нечто в system tray. Активируем приложение.
Подробно на настройке останавливаться не буду, в документации подробно. Только на особенностях.
Итак, в локальных настройках обязательно ставим галку “Помнить введённый PIN код, пока VNP-key не отсоединён”. Мы же не собираемся постоянно руками “поднимать” канал, воткнули ключ и забыли про сервер.
Нас будут интересовать две страницы: ФПСУ и хосты. Именно в этом диалоге и прописываем (если они уже не прописаны) полученные адреса межсетевого экрана (ФПСУ) и серверов за ним (хосты). Физический смысл данных настроек следующий. Фильтр Amicon NDIS IM Filter Driver “ловит” все пакеты, направленные в адреса, прописанные на странице “хосты”. Именно “хосты”, а не “ФПСУ”. То есть наш клиент-банк с рабочей станции открывает ftp соединение напрямую с сервером (хостом), не задумываясь о межсетевом экране. А фильтр Amicon NDIS IM Filter Driver на ISA Server перехватывает пакеты этого соединения. О том, что он (фильтр) с ними делает – позднее.
IP packet rule для ISA можно и ужесточить- разрешим UDP (dynamic) -> UDP (87) send receive только на 213.148.164.72 (адрес МСЭ, “ФПСУ”).
Разъединились и соединились успешно. Пробуем пинговать "хост" 213.148.164.75 – всё в порядке.
Настраиваем ISA Server
Что ещё интересно:
Icmp трафик, судя по всему, успешно заворачивается в туннель.
Сам клиент связывается успешно (ФПСУ ip клиент), то есть с 87udp проблем нет.
Настраиваем FWC
Пожалуй, именно здесь и есть ключевой момент для понимания того, что происходит. IP пакеты должны идти напрямую от workstation в адрес сервера (хоста). То есть, если они и проходят по пути какие-либо туннели, то они должны выйти из этих туннелей до фильтра Amicon NDIS IM Filter Driver, иначе последний их просто “не поймает”.
Что же нам может помешать? А помешать нам может FWC – firewall client for ISA. Вспомним, как он себя ведёт. Для того, чтобы обеспечить авторизацию трафика на ISA firewall service, он также “заворачивает” пакеты клиента, отправляемые за пределы LAT. Если мы не исключим FWC в нашем случае, ISA firewall service безусловно “развернёт” туннель FWC, и пакеты “уйдут” через внешний интерфейс ISA, однако при этом они минуют фильтр Amicon NDIS IM Filter Driver (возможно, связано с порядком применения фильтров, ведь firewall client тоже не просто так сбоку стоит). И, соответственно, не пройдут межсетевой экран банка. Итак, FWC нам необходимо исключить для трафика клиент-банка.
P.S. Можно было бы и не избегать, если бы мы поставили ФПСУ-IP/Клиент на маршрутизатор за ISA сервером (скажем – на внешний ISA firewall, уже за DMZ), при этом на внутреннем (до DMZ) никакого ФПСУ-IP/Клиента. В этой конфигурации и FWC можно было бы в покое оставить.
Смотрим настройки FWC (application.ini) и дописываем исключение для клиент-банка:
Обращаю внимание. Настройки могут быть как глобальными (через mspclnt) так и специфичными для приложения (wspcfg.ini в каталоге программы). Порядок и приоритеты:
Сейчас создал файл wspcfg.ini с указанным выше содержимым в каталоге клиент-банка рядом с исполняемым файлом. Перезапустил клиент-банк. Пробуем связь. Неуспешно. Потому как “клиент” в данном случае – в system32. Поэтому такой вариант конфигурации использовать не будем. Будем пробовать глобальную конфигурацию.
Но при этом абсолютно все пакеты (и tcp1024, и tcp21) я вижу в логах Firewall service на ISA.
Дополнительные материалы
Резюме
Итак, мы обеспечили функционирование клиент-банка СБ РФ через ФПСУ-IP/Клиента Амикон и ISA Server, при этом не устанавливая VPN соединения с машины, а возложив все сетевые тонкости на ISA хост, что и требовалось.
«Отказ сетевой подсистемы»
Ошибка в сетевом адаптере/драйвере сетевого адаптера рабочей станции ФПСУ-IP/Клиента , необходимо обратиться к системному администратору.
«Широковещательный адрес запрещен»
Ошибка в настройках сетевого адаптера: адрес ФПСУ-IP трактуется как широковещательный. Необходимо обратиться к администратору сети.
Ошибка в сетевом адаптере/драйвере сетевого адаптера рабочей станции ФПСУ-IP/Клиент , необходимо обратиться к системному администратору.
«Удаленный хост недоступен»
Пакеты не доходят до ФПСУ-IP по причине отсутствия маршрута. Необходимо обратиться к администратору сети.
«Соединение отвергнуто удаленным хостом»
Удаленная рабочая станция (ФПСУ-IP) сбрасывает соединение по одной из следующих причин: хост не является ФПСУ-IP, перезагрузка ПО, внезапный сбой сетевого приложения, неполадки сетевых интерфейсов. Следует проверить, корректно ли указан IP адрес ФПСУ, после чего повторить попытку соединения и/или обратиться к администратору ФПСУ‑IP.
ФПСУ отвергает авторизацию по неизвестной причине -- Возможно ваши ключевые данные не соответствуют установленным на ФПСУ.
Необходимо обратиться к администратору ФПСУ
«Ошибка приема winsock»
Ошибочно сконфигурировано либо не сконфигурировано сетевое оборудование рабочей станции. Скорее всего не указан или указан неверно основной шлюз (Gateway) в настройках соединения по локальной сети. Необходимо обратиться к администратору локальной сети.
«Неправильный номер системы»
От ФПСУ-IP получен пакет для пользователя другой Криптосети. Необходимо обратиться к администратору ФПСУ-IP.
«Неправильный номер группы»
В полученном пакете номер группы не соответствует номеру группы пользователя Криптосети. Необходимо обратиться к администратору ФПСУ-IP.
«Неправильный номер клиента»
Полученный пакет предназначен пользователю Криптосети с другим номером. Необходимо обратиться к администратору ФПСУ‑IP.
«Неверен идентификатор туннеля»
Ошибка аутентификации. Необходимо обратиться к администратору ФПСУ-IP.
«ФПСУ отвергает код системы распределения»
Общесистемный ключ Криптосети Клиентов данного пользователя не установлен на ФПСУ-IP.
«ФПСУ отвергает доступ в запрошенную сеть»
Общесистемный ключ Криптосети Клиентов данного пользователя не установлен на ФПСУ-IP.
«ФПСУ отвергает доступ в запрошенную группу»
«ФПСУ отвергает доступ клиенту»
Администратор ФПСУ-IP не зарегистрировал пользователя Криптосети с данным номером или не активировал/установил разрешения на его работу.
«Нет памяти для инициализации»
На компьютере отсутствуют сетевые адаптеры или они некорректно установлены. Необходимо обратиться к администратору локальной сети
«Размер не соответствует типу пакета»
Несовместимая версия ПО ФПСУ-IP. Необходимо обратиться к Разработчику.
«Запрошено действие в несоответствующем состоянии фильтра»
Ошибка системы. Необходимо обратиться к Разработчику.
«Пакет игнорируется в текущем состоянии»
Время между отсылкой исходящих пакетов ФПСУ-IP/Клиентом меньше, чем время доставки ответных пакетов от ФПСУ-IP. Необходимо увеличить значение параметра HKey_LOCAL_MACHINE\SOFTWARE\Amicon\ClientFP SU-IP \CLIENTSENDTIMER в реестре WINDOWS (максимально до 20000 миллисекунд). Следует обратить внимание, что значение вводится в шестнадцатеричном виде.
«Исчерпано число попыток соединения!»
Запрет. Время работы ещё не наступило
Заданный в группах доступа период работы пользователя Криптосети на ФПСУ-IP ещё не начался. Необходимо обратиться к администратору ФПСУ-IP.
Запрет. Время работы истекло
Закончился заданный в группах доступа период работы пользователя Криптосети на ФПСУ-IP. Необходимо обратиться к администратору ФПСУ-IP.
Работает не сразу, необходимо сделать настройки и не каждый раз соединяется сразу.настройки на скриншоте.
И сертификаты нужно добавить в доверенные.
igort.shopping
New Member
У меня заработало - все было проще: я всегда после ввода ПИН-кода нажимал 'Enter', а нужно было мышкой нажимать 'OK'
multypass
Active Member
У меня заработало - все было проще: я всегда после ввода ПИН-кода нажимал 'Enter', а нужно было мышкой нажимать 'OK'
Сейчас потестил, и действительно так и работает забавно.
Cliffhanger
New Member
Dmitriy
Администратор
Skwoll
New Member
После выхода из сна подключение устанавливается, но до удаленных ресурсов доступа нет. Либо может вообще зависнуть вместо подключения, помогает только перезагрузка. Какие есть варианты решить эту проблему. (макось 10.15.1)
shamash
New Member
Прошу помочь в решении проблемы. После установки пишет "Системная ошибка, требуется перезагрузка!" Перезагрузка не помогает. ОС Каталина 10.15.1, ФПСУ клиент - 6.0.21
Skwoll
New Member
Прошу помочь в решении проблемы. После установки пишет "Системная ошибка, требуется перезагрузка!" Перезагрузка не помогает. ОС Каталина 10.15.1, ФПСУ клиент - 6.0.21
Установку производили с отключенным csrutil? если нет, то удалить клиент и повторить в такой последоваетльности:
1. загрузиться в режиме восстановления CMD+R при включении
2. зайти в консоль и выполнить csrutil disable
3. перезагрузится и установить клиент, в настройках безопасности разрешить запуск.
4. загрузиться в режиме восстановления
5. в консоли выполнить csrutil enable
6. перезагрузится и работать в обычном режиме.
shamash
New Member
Когда включаешь обратно csrutil - клиент перестает работать. Опять вылетает ошибка "Системная ошибка, требуется перезагрузка!".
VadimPya
New Member
всем привет!
поставил ФПСУ клиент - 6.0.21, установил без ошибок, подключается тоже без ошибок
после подключения не удается открыть виртуалку в Citrix. Ничего не пишет, просто долго пытается открыть, после - "Не удается подключиться".
До этого работал на винде - там все без проблем.
ОС: macOS Catalina 10.15.2
ФПСУ-ip/клиент 6.0.21b1 Beta
Может сталкивались?
Спасибо!
VadimPya
New Member
Обнаружил лайфхак по моей теме:
После установки амикона, в библиотеках появится пакет \Amicon_ip-client\Drivers\aminkefilter.kext. Его нужно скопировать в этот же каталог, удалив из названия расширение .kext. Далее провалиться в папку и запустить файл \aminkefilter\Contents\MacOS\aminkefilter, выполнить команду, указанную в тексте ошибки в отдельном терминале.
Каждый раз, после успешного подключения в Амиконе, и перед запуском Citrix, необходимо запускать этот файл, тогда все работает.
Не знаю как это объяснить и с чем это связано, но у меня так работает!
RomanR
New Member
Обнаружил лайфхак по моей теме:
После установки амикона, в библиотеках появится пакет \Amicon_ip-client\Drivers\aminkefilter.kext. Его нужно скопировать в этот же каталог, удалив из названия расширение .kext. Далее провалиться в папку и запустить файл \aminkefilter\Contents\MacOS\aminkefilter, выполнить команду, указанную в тексте ошибки в отдельном терминале.
Каждый раз, после успешного подключения в Амиконе, и перед запуском Citrix, необходимо запускать этот файл, тогда все работает.
Не знаю как это объяснить и с чем это связано, но у меня так работает!
Поделитесь подробностями пожалуйста. Бьюсь с той же ошибкой.
В терминале после запуска \aminkefilter\Contents\MacOS\aminkefilter выдается следующее:
Last login: Tue Jan 28 18:37:18 on ttys001
user@user-macbook
% /Library/Amicon_ip-client/Drivers/aminkefilter/Contents/MacOS/aminkefilter ; exit;
zsh: exec format error: /Library/Amicon_ip-client/Drivers/aminkefilter/Contents/MacOS/aminkefilter
[Process completed]
Возникла необходимость обеспечить работу с несколькими разными ФПСУ банка (часть организаций “вынудил” СБ работать через СПЭД, часть – всё ещё на клиенте СБ, а ФПСУ то разные). Описанное ранее решение работало только в случае, если ключ один. Посему и пришлось искать другое решение, но на рабочие станции ставить ФПСУ IP клиент вообще никакого желания нет. Реализованное решение и опишу.
Принцип работы ФПСУ клиента уже ранее описывал, повторяться не буду. Приведу идею:
P.S. В конце статьи остановлюсь на том, как реализовать это решение на виртуальном сервере, так как в случае наличия Windows Enterprise Server реализация в рамках виртуального сервера не потребует от Вас дополнительных затрат (на лицензирование).
Готовим маршрутизатор
Всё, что нам потребуется от самодельного маршрутизатора – хотя бы один USB порт, минимальные требования совместимости с MS Windows 2000/2003 Standard Server (да, потребуется сервер, потому как потребуется RRAS ради NAT) и два сетевых интерфейса. Можно обойтись и Windows XP, но в этом случае Вам потребуется через реестр включить маршрутизацию и NAT включить через netsh.
Устанавливаем ФПСУ IP-клиент
Пришло время установить сам клиент (сразу после установки Windows Server).
Настраиваем сетевые интерфейсы маршрутизатора
NAT, Amicon ФПСУ IP/клиент и RRAS
В процессе длительных экспериментов наблюдал следующую картину: с нашего “самопального” маршрутизатора соединение с ФПСУ банка устанавливается, сервера банка доступны (tracert показывает маршрут в один hop, что и понятно – пролетает весь путь в туннеле ФПСУ). А с других компьютеров, с которых маршрут к серверам банка ведёт через наш Амикон-маршрутизатор, сервера банка недоступны. При этом на в ФПСУ IP/Клиенте в статистике видно, что пакеты он отправляет, а обратно ничего не возвращается. Возникло предположение, что сервер ФПСУ Амикона не выполняет NAT (об этом информация пробегала здесь). Именно этим, на мой взгляд (здесь – исключительно догадки), объясняется работоспособность решения с установкой фильтра на ISA хост с привязкой к WAN интерфейсу – ISA реализует NAT на WAN интерфейсе. Поэтому и выбрал серверную ОС – ради NAT (в RRAS). Итак, нам необходим NAT на интерфейсе Amicon.
В первую очередь останавливаем службу ICS (Internet Connection Sharing), устанавливаем для неё режим запуска – Отключена (рекомендую этот шаг выполнить через созданный выше GPO), запускаем мастер настройки маршрутизации и удалённого доступа. При настройке выбираем вариант NAT маршрутизатора без файрвола. После установки RRAS настроить его можно следующим сценарием NetSh:
Но суть сценария в разделе настройки NAT: интерфейс Amicon в режиме NAT-full, LAN – в режиме NAT-private.
На этом настройка нашего Амикон-маршрутизатора закончена практически. Теперь, при установленном соединении с ФПСУ банка сервера банка будут доступны с любой рабочей станции Вашей сети (благодаря NAT и маршрутам на ISA хосте).
P.S. Кстати, мы по-прежнему можем контролировать доступ к серверам банка с наших рабочих станций. Для этих целей мы можем использовать правила фильтрации на RRAS, которые, кстати, можно установить через GPO+GPP.
Настраиваем ISA Server
Теперь мы должны написать маршруты, благодаря которым трафик, направленный в адрес ФПСУ банка и хостов банка, будет направлен на наш Амикон-маршрутизатор.
Маршрутизация
Окно с настройками IP клиента представлено слева. Нас интересует разделы ФПСУ (адрес межсетевого экрана банка, в моём примере – 84.204.34.245) и Хосты (адреса серверов банка, маршрут к которым возможен только через туннель ФПСУ, в моём примере – 55.251.189.1).
Идея в следующем. На ISA хосте мы должны прописать маршрут к серверам банка через наш новоявленный Амикон-маршрутизатор. Я добавил маршрут через консоль RRAS, можно – через route add, как удобнее будет. В результате таблица маршрутизации на ISA хосте будет выглядеть приблизительно так:
Видите маршрут к серверам банка (55.251.189.1) через наше “ведро” (172.31.2.200)? Важно, чтобы это маршрут имел меньшую метрику, чем шлюз по умолчанию.
Маршрут прописываем только до серверов банка (хостов), ни в коем случае не до ФПСУ банка! (иначе получим кольцо и связи не будет).
P.S. Для каждого ФПСУ нам придётся использовать своё “ведро”-маршрутизатор, и для каждого – маршрут на ISA хосте.
Забыли про LAT?
Правила протоколов (protocol rules)
-
В первую очередь добавляем описание протокола (Protocol Definition): UDP 87, Send-Receive.
- Следующим шагом создаём Client Address Set. Ограничим мы свои хосты, с которых возможно будет по UDP87 выйти в сеть. Включаем только IP адрес Amicon интерфейса нашего “маршрутизатора” (192.168.202.201 в моём примере).
- А теперь, собственно говоря, переходим к созданию Protocol Rule (картинки ниже).
ISA готова к эксперименту. Не забываем перезапустить службу Microsoft Firewall.
Эксперименты
Теперь пришло время подключить VPN. На нашем “маршрутизаторе”, в меню клиента ФПСУ – Подключить. Если на предыдущем шаге всё сделано правильно, то с нашего маршрутизатора tracert выдаст следующий результат:
Ну а благодаря NAT аналогичный результат (как минимум – на один hop длиннее) мы получим с любой рабочей станции Вашей сети.
MTU + ФПСУ IP клиент = проблемы
Однако, без без потенциальных проблем и здесь не обошлось. Очевидно, что фильтру Амикона требуется увеличить размер пакета, чтобы дописать свой заголовок. По результатам экспериментов – 28 байт требуется. В моём случае до ФПСУ банка допустим MTU 1500. Из-за дополнительного заголовка ФПСУ – 1472 байта. Первое, что приходит в голову – установить на интерфейсе Amicon MTU 1472.
Но не тут то было. Запускаем тест с рабочей станции Вашей сети:
Флагом –f мы запрещаем фрагментацию пакетов. Размер пакета (1470) меньше MTU (1472), поэтому ICMP ответа “требуется фрагментация” не последует. Но с заголовком размер пакета составит 1498. Меньше 1500. Но ведь размер – больше MTU, поэтому и уйти такой пакет через сетевой интерфейс не сможет. И какой бы размер MTU мы не установили в реестре, проблема размером в 28 байт сохранится.
По моему субъективному мнению, разработчикам IP клиента была допущена архитектурная ошибка. Не было бы никаких проблем, если бы клиент создавал новый виртуальный сетевой интерфейс, как и многие другие VPN решения. Тогда не возникло бы и проблем с установкой MTU для этого нового виртуального интерфейса – берём MTU сетевого интерфейса, через который поднят VPN, вычитаем 28 – и получаем MTU виртуального Amicon VPN интерфейса. Но Амикон пошёл другим путём, они создали NDIS фильтр. Хотя, судя по MSDN, фильтры не должны изменять размеры пакетов. А фильтр Амикона – меняет. Вот и результат.
Другими словами – с MTU проблема у ФПСУ IP-клиента. В любом варианте установки. При этом, если отправитель не выставит флаг “фрагментация запрещена” – проблем не будет (пакет будет фрагментирован, что подтверждается успешным выполнением ping –t 213.148.164.75 –l 2000). А если отправитель выставит этот флаг, и размер пакета будет меньше MTU сетевого интерфейса, но больше, чем (MTU-28 байт) – не будет и ICMP ответа о необходимости фрагментации, и пакет отправлен не будет.
По факту могу сказать, что ни клиент СБ РФ, ни СПЭД не выставляет флага “фрагментация запрещена”. Поэтому и проблем не возникает, хотя потенциальная проблема при этом существует.
Периодический разрыв соединения и что с этим делать
А что же FWC?
По логике вещей на нашем спецмаршрутизаторе не нужен FWC вовсе. Но с другой стороны – он и не помешает, не сможет! Так что никаких специальных настроек FWC не потребуется. Однако, рекомендую отключить службу агента клиента межсетевого экрана, опять-таки – через GPO (можно даже и без GPP).
Да, FWC не требует настройки на Amicon-маршрутизаторе, но на клиенте-то (СПЭД, клиент СБ РФ) требует!
Смотрим настройки FWC (application.ini) и дописываем исключение для клиент-банка:
Обращаю внимание. Настройки могут быть как глобальными (через mspclnt) так и специфичными для приложения (wspcfg.ini в каталоге программы). Порядок и приоритеты:
ISA, DNS PTR и проблемы с подключением Амикон ФПСУ IP-Клиента
Остановлюсь на одном неочевидном моменте, не имеющим напрямую отношения к ФПСУ. Проверьте наличие PTR записи в обратной зоне DNS для IP адреса ФПСУ сервера банка. В моём случае:
У себя создал обратную DNS зону на своих серверах следующего содержания:
Итоги
На этом и всё. Итого – мы добились работоспособности клиентов банка СБ РФ без каких-либо настроек ФПСУ на клиентах, не устанавливая при этом потенциально проблемного софта на ISA/TMG.
Можно избежать лишних затрат на технику и на лицензии, если у Вас есть лицензия на Windows Enterprise Server. Для описанных задач вполне подойдёт и виртуальный сервер. Но – нет поддержки в Hyper-V передачи USB портов в виртуальную среду. Зато есть сторонние решения типа USB-to-LAN. Я надеюсь, в ближайшее время смогу испробовать это решение в описанной задачи.
Кроме того, доступны программные решения для организации виртуальных сетевых интерфейсов, которые в контексте описанной задачи помогут исключить необходимость во втором “физическом” сетевом адаптере (безусловно, в случае виртуального сервера подобное решение смысла не имеет).
Предыстория
Спасибо, конечно, за подобную заботу. Замечу, что подобный шаг предпринят не в соответствии с договором предоставлении услуг с использованием системы «Клиент-Сбербанк». Договором не предусматривается одностороннее изменение условий предоставления услуги, а именно это мы и имеем.
Но это же ведь СБЕРБАНК, ему ведь желание и мнение клиентов не столь важно, сколь их безопасность, хотя, если вдуматься в предлагаемые меры “по повышению безопасности”, ничем против троянов на хосте клиент-банка они помочь не смогут. Это больше защита самих сетей СБ РФ против сетевых червей, да и то, – достаточно условная.
Симптомы “заботы СБ РФ“ о нас:
- в моём случае (у меня ФПСУ IP/Клиент стоит на маршрутизаторе (ISA хост)) при подключенном канале к ФПСУ банка новые сессии к ресурсам Интернет заканчиваются отказом, почта перестаёт уходить / приходить и так далее;
- если у Вас стоит IP/Клиент на машине с клиент-банком, Ваши сетевые приложения перестанут работать при поднятом канале (то есть 1С, сам клиент-банк (если он в сетевом варианте установлен)), и, естественно, Вы удалённо с машиной ничего сделать не сможете.
Ну и первая рекомендация СБ РФ – ставьте отдельную машину, “не в сети”, и бегайте к ней (с чем? с флэшками? или ещё с чем? и это – технологии 21 века?)
Ответ на письмо счастья
Однако, после разговора с начальником отдела местного отделения выяснилось, что помочь в решение проблемы, созданной самим же Сбербанком, может письмо. То есть создают нам проблемы они без нашей воли, а вот решать их можно только по нашему письменному обращению! Ну что же, мы не гордые, пишем письмо:
Управляющему Новгородского отделения
№8629 ОАО «Сбербанк России»
Малькову М.В.
от директора …В связи с технологическими особенностями рабочих мест кассиров-операционистов нашего предприятия прошу Вас отключить блокировку входящих TCP и UDP соединений средствами ФПСУ IP/Клиента. С ответственностью в соответствии с п.3.7 договора №… о предоставлении услуг с использованием системы «Клиент-Сбербанк» согласен. О риске мошеннических действий со стороны пользователей сети Интернет, который может возникнуть при отключенных блокировках, извещён.
С целью решения указанной задачи прошу выпустить новый ключ для ФПСУ/IP клиента.С уважением,
Директор …
Написали письмо от имени директоров всех наших предприятий, отвезли VPN-key (да, их придётся поменять). Это было в четверг. И, о чудо, в пятницу звонок – новый ключ готов!
P.S. Хорошо тем, у кого несколько организаций на одной площадке. Думаю, я не открою военной тайны, сообщив Вам, что через Амикон ФПСУ IP/клиента любой из Ваших организаций могут работать все Ваши клиент-банки СБ РФ (естественно, если все они – в одном отделении СБ). Поэтому мы заменили сначала только один из ключей. И после полученного положительного результата заменим остальные.
Пробуем зелёного (VPN key, разумеется, а Вы что подумали :-)) на вкус
Итак, забираем ключ. Он уже иной, “зелёненький”. И, разумеется, работать с 3ей версией ФПСУ IP/клиента не хочет. А причина банальна – нет драйверов, ключ ведь теперь, наконец-то, нормальный smart card reader.
Посему качаем версию 4 ФПСУ IP/Клиента (я поставил себе 4.1). Напоминаю, Вам необходимо иметь непосредственный доступ к консоли того хоста, на котором ставите ФПСУ IP/клиента, удалённое подключение не поможет Вам.
Сначала сносим 3ю версию. Можно без перезагрузки. (P.S. если сразу начала ставить 4ую – не переживайте. Ставьте её, сносите (потому как не поставится), потом снова – ставьте, и всё будет нормально). Ставим 4ую. Всё проходит без проблем.
Теперь вставляем ключ (VPN key) в USB порт. И видим нераспознанное устройство. Драйвер для него – usbccid.sys. А PID его выглядит следующим образом: USB\VID_2022&PID_0008&MI_01\6 . Если в роли хоста у Вас Windows XP или старше – проблем быть не должно, драйвер будет найден. Если Windows 2000 – придётся явно его указать: %ProgramFiles%\Amicon\Client FPSU-IP\Drivers\UsbCCID.Напомню – в 3ей версии клиента Вы его не найдёте.
Итак, если драйвер указан правильно, в менеджере устройств Вы увидите smart card reader. Кроме того, ключ работает также как накопитель, но только после ввода PIN кода. Поэтому его можно использовать в качестве хранилища сертификатов для клиент-банка, если ФПСУ IP/Клиент будет у Вас стоять на машине бухгалтера.
Не забываем зайти в IP/клиента под администратором (ставим галку “Администратор”, и вводим PIN2), и установить опции “Помнить введённый PIN код, пока VNP-key не отсоединён”. По крайней мере, для меня (ФПСУ клиент на ISA хосте) этот шаг необходим.
Меняем IP packet filter на ISA
Очень хочется верить, что в ближайшее время забота СБ РФ обойдёт нас стороной. Ведь другие то банки и заботу проявляют, и желанием клиента интересуются, и предлагают выбор среди нескольких технологий.
Конец?
Читайте также: