|
Port mapping в pfsence и сервер 1С 8.2 | ☑ | ||
---|---|---|---|---|
0
bse
22.12.12
✎
11:23
|
Народ помогите, делаю дырки в интернет: http://s019.radikal.ru/i618/1212/71/2885252dbafc.jpg
- пробросил порт для RDP, все работает нормально; - делаю дыру для подключения к серверу 1С нифига не подключается, открыл диапазон портов 1540-1591. Ошибка такая: http://s017.radikal.ru/i444/1212/15/667b65fc0474.jpg кто скажет, где я косячу (на текущий момент на безопасность нас-рать)? |
|||
1
bse
22.12.12
✎
11:24
|
если глянуть скрин ошибки то видно что проброс работает (айпи сопоставлен с именем хоста)...
|
|||
2
bse
22.12.12
✎
17:02
|
^
|
|||
3
Туц
22.12.12
✎
17:31
|
Значит не все порты прокинул.
сделай Packet Capture и/или глянь на System Log секцию Firewall. |
|||
4
kokamoonga
22.12.12
✎
19:12
|
(0) создай правило не через файервол, а через нат и поставь галку автоматического создания правила файервола.
вообще в pfsense не все прозрачно бывает с этими правилами. но после некоторых небольших мучений все должно работать:) |
|||
5
n0ther
22.12.12
✎
19:16
|
может поможет статья
http://habrahabr.ru/post/122037/ |
|||
6
bse
22.12.12
✎
19:21
|
(4) все правила созданы через NAT
(5) уже читано, там организация терминального доступа с настройкой файрвола винды, а мне нужно организовать подключение к серверу 1С напрямую... |
|||
7
kokamoonga
22.12.12
✎
19:24
|
(6) тогда показывай что говорят логи, скриншоты самих правил тоже лишними не будут
|
|||
8
kokamoonga
22.12.12
✎
19:29
|
(6) дурацкая мистапривычка писать что-то не вчитавшись в вопрос. прошу прощения.
проблема не в портах. до них вообще дело не доходит, судя по всему. твой сервер с которого обращаешься по каким-то причинам не резолвит имя или IP сервера, к которому идет обращение. http://www.gilev.ru/1c/support/tasks/11001.htm вот например. |
|||
9
kokamoonga
22.12.12
✎
19:30
|
||||
10
kokamoonga
22.12.12
✎
19:36
|
(9)+ для уверенности неплохо бы пинги посмотреть до сервера. если пинги внезапно идут, тогда например nmap'ом пощупать порты.
|
|||
11
bse
22.12.12
✎
19:51
|
http://s017.radikal.ru/i441/1212/61/08ee113bf4ca.jpg
зелень мой айпи, красный внешний сервака, остальное не наше... в правилах прописан айпи а в ошибке видно имя хоста... |
|||
12
bse
22.12.12
✎
19:52
|
(10) терминальная сессия висит стабильно без обрывов...
|
|||
13
bse
22.12.12
✎
19:54
|
(10) пощупать проблемно... шлюз настроен наглухо, на пинги не отвечает.... только если знаешь что запрашиваешь
|
|||
14
bse
22.12.12
✎
19:56
|
+(11) перепутааал красное мое, зеленое сервака
|
|||
15
bse
22.12.12
✎
20:00
|
может ли иметь значение что мой домашний юзер неизвестен серваку?
|
|||
16
bse
22.12.12
✎
20:01
|
DCOM открыт для всех, в брандмауере тоже дыра для всех но в границах диапазона 1540-1591
|
|||
17
kokamoonga
22.12.12
✎
20:01
|
(11) а что прописано в настройках подключения?
|
|||
18
kokamoonga
22.12.12
✎
20:02
|
(17) + в смысле IP или имя?
|
|||
19
bse
22.12.12
✎
20:03
|
внешний айпи сервера (тот что зеленым замазан)
|
|||
20
bse
22.12.12
✎
20:03
|
вернее внешний айпи шлюза...
|
|||
21
bse
22.12.12
✎
20:03
|
правило срабатывает а дальше похоже затык где-то
|
|||
22
Jump
22.12.12
✎
20:11
|
(0)А напрямую если без посредства pfsense, сервер нормально отзывается?
|
|||
23
kokamoonga
22.12.12
✎
20:11
|
(19) что-то у меня в голове не складывается... давай по порядку.
есть сервер 1с, который сидит за pfsense есть клиент, который стучится из инета. я верно излагаю? не могу понять как может резолвиться имя сервера, если оно известно только внутреннему DNS. туплю может быть... довольно долго работал с pfsense и извне и изнутри и ни разу не видел при обращении извне, чтобы имена из внутренней сети транслировались. на клиенте точно прописан IP? |
|||
24
bse
22.12.12
✎
20:13
|
(22) внутри сети народ трудится без проблем
|
|||
25
bse
22.12.12
✎
20:17
|
(23) на клиенте прописан айпи шлюза (pfsence), на шлюзе настроен маппинг по диапазону 1540-1591 (так на всяк случай все охватил), клиент стучится на шлюз и правило его отправляет на сервер 1с (по логам видно)... и как бы все, дальше этого не идет... в итоге ошибка
|
|||
26
bse
22.12.12
✎
20:19
|
(23) на шлюзе настроен ДНВСфорвардинг может поэтому и резолвится...
|
|||
27
bse
22.12.12
✎
20:19
|
*DNS Forwarding
|
|||
28
kokamoonga
22.12.12
✎
20:20
|
(25) судя по скрину, если красный это клиент, стучится он на порт в районе ~55380 на шлюзе, а дальше мапится на 1540-1591, просто хочется понять картину. то есть внешний port range где-то там в районе 55380?
(26) аа, ок:) |
|||
29
bse
22.12.12
✎
20:23
|
важен порт назначения, порт источник вроде же динамически назначается...
|
|||
30
Jump
22.12.12
✎
20:24
|
(26)Может в этом и есть проблема?
Если DNS Forwarding резолвит имя сервера, - это один айпи, а подключаешься то ты к pfsence. Или ты чисто по айпи, без имен подключаешсья? |
|||
31
bse
22.12.12
✎
20:26
|
чисто айпи
|
|||
32
kokamoonga
22.12.12
✎
20:27
|
(29) ну в данной ситуации это не столь важно. проблема не в портах. проблема в разрешении имени и IP. возможно DNS Forwarding как раз и дурит голову...
я не настолько глубоко знаю как устроен протокол в 1с. такое ощущение, что после хэндшейка клиент получает имя сервера от кластера и дальше пытается работать с ним |
|||
33
kokamoonga
22.12.12
✎
20:28
|
(32)+ или как раз от внутреннего DNS, но на своей стороне разрешить имя узла не может потому что питается от другого DNS.
может чем черт не шутит в качестве дополнительного DNS прописать внешний ип шлюза?:) чушь конечно, но вдруг:) |
|||
34
Jump
22.12.12
✎
20:31
|
и еще одна дурацкая идея-
на клиентском компе в хостс написать имя_сервера = айпи_pfsence |
|||
35
kokamoonga
22.12.12
✎
20:32
|
(34) это как раз здравая мысль:)
|
|||
36
bse
22.12.12
✎
20:33
|
(32) В ТОЧКУ!!!!!!!!
|
|||
37
bse
22.12.12
✎
20:34
|
(43) именно так...
|
|||
38
bse
22.12.12
✎
20:34
|
*** теперь другая проблема...
|
|||
39
bse
22.12.12
✎
20:35
|
параметры подключения нужно отдать "так сказать по месту требования" и если они у себя это не пропишут то работать у них не будет...
|
|||
40
bse
22.12.12
✎
20:36
|
а там дяди с выпендрежами сидят... этожеж Моска
|
|||
41
bse
22.12.12
✎
20:37
|
но это проблема начальника...
СПАСИБО ВСЕМ ОГРОМНОЕ... |
|||
42
Jump
22.12.12
✎
20:37
|
(39)В смысле скрипт сваять чтобы настройки автоматом прописал?
|
|||
43
kokamoonga
22.12.12
✎
20:39
|
(41) не за что. самому было интересно.
что касается настроек по месту требования то да. скриптик можно который будет автоматом настраивать нужное. |
|||
44
bse
22.12.12
✎
20:40
|
hosts меняется только с административными правами, не взлетит... да с этим пофиг путь начальство думает... с меня работающее приложение и настройки а с них как они это передавать будут
|
|||
45
kokamoonga
22.12.12
✎
20:44
|
(44) аа... ну тут я мыслю как красноглазик немного. во-первых запустить скрипт от админа можно, во-вторых, всегда есть пользовательский вариант настроек, который хранится в домашней папке. в винде такого нет? в смысле хостс для конкретного пользователя в его домашней папке?
|
|||
46
Jump
22.12.12
✎
20:44
|
(44)Дык пусть их админ у себя на DNS жестко пропишет.
|
|||
47
bse
22.12.12
✎
20:45
|
(46) они впн канал 2-й месяц поднять к нам не могут... вот и извращаемся чтоб работало
|
|||
48
bse
22.12.12
✎
20:46
|
(45) такого нет
|
|||
49
kokamoonga
22.12.12
✎
20:57
|
(45)+ насчет hosts немного погорячился:) можно но не без бубна и вообще не надо:)
|
|||
50
Jump
22.12.12
✎
20:58
|
Я pfsence в тонкостях не знаю, как там DNS Forwarding устроен, и есть ли тонкие настройки.
Может есть возможность отключить его для конкретных адресов? |
|||
51
bse
22.12.12
✎
21:03
|
(49) конечно решение кривое но на текущий момент "и так сойдет"
(50) да, там есть таблицы исключений но я туда не полезу... я блин всего лишь тупой 1Сник который и за админов все делает и похоже самый умный в отделе (от скромности точно не умру) |
|||
52
1C_Patriot
28.12.12
✎
08:48
|
(0) чем решилось то проблема. Отпишитесь хоть?
|
|||
53
bse
28.12.12
✎
09:35
|
по пункту (8) сделано (34)
т.е. в хостс добавлено ХХХ.ХХХ.ХХХ.ХХХ ИмяСервера1С другой вариант из (8) не сработал... ошибка происходит из-за отсутствия к ДНС записям локальной сети... |
|||
54
bse
28.12.12
✎
09:37
|
ХХХ.ХХХ.ХХХ.ХХХ - внешний айпи
>>ошибка происходит из-за отсутствия к ДНС записям локальной сети... ошибка происходит из-за отсутствия доступа к ДНС записям локальной сети... |
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |