Народ помогите, делаю дырки в интернет: http://s019.radikal.ru/i618/1212/71/2885252dbafc.jpg
- пробросил порт для RDP, все работает нормально;
- делаю дыру для подключения к серверу 1С нифига не подключается, открыл диапазон портов 1540-1591. Ошибка такая: http://s017.radikal.ru/i444/1212/15/667b65fc0474.jpg
кто скажет, где я косячу (на текущий момент на безопасность нас-рать)?

если глянуть скрин ошибки то видно что проброс работает (айпи сопоставлен с именем хоста)...

^

Значит не все порты прокинул.
сделай Packet Capture и/или глянь на System Log секцию Firewall.

(0) создай правило не через файервол, а через нат и поставь галку автоматического создания правила файервола.

вообще в pfsense не все прозрачно бывает с этими правилами. но после некоторых небольших мучений все должно работать:)

может поможет статья
http://habrahabr.ru/post/122037/

(4) все правила созданы через NAT
(5) уже читано, там организация терминального доступа с настройкой файрвола винды, а мне нужно организовать подключение к серверу 1С напрямую...

(6) тогда показывай что говорят логи, скриншоты самих правил тоже лишними не будут

(6) дурацкая мистапривычка писать что-то не вчитавшись в вопрос. прошу прощения.

проблема не в портах. до них вообще дело не доходит, судя по всему. твой сервер с которого обращаешься по каким-то причинам не резолвит имя или IP сервера, к которому идет обращение.

http://www.gilev.ru/1c/support/tasks/11001.htm  вот например.

(8) + Windows Sockets – 11001(0x0002AF9). Этот хост неизвестен. ) line=546 file=.\src\
v8: Чо та тупняк какойта Windows Sockets - 11001(0x00002AF9). этот хост неизвестен

темы на мисте про то же

(9)+ для уверенности неплохо бы пинги посмотреть до сервера. если пинги внезапно идут, тогда например nmap'ом пощупать порты.

http://s017.radikal.ru/i441/1212/61/08ee113bf4ca.jpg
зелень мой айпи, красный внешний сервака, остальное не наше...
в правилах прописан айпи а в ошибке видно имя хоста...

(10) терминальная сессия висит стабильно без обрывов...

(10) пощупать проблемно... шлюз настроен наглухо, на пинги не отвечает.... только если знаешь что запрашиваешь

+(11) перепутааал красное мое, зеленое сервака

может ли иметь значение что мой домашний юзер неизвестен серваку?

DCOM открыт для всех, в брандмауере тоже дыра для всех но в границах диапазона 1540-1591

(11) а что прописано в настройках подключения?

(17) + в смысле IP или имя?

внешний айпи сервера (тот что зеленым замазан)

вернее внешний айпи шлюза...

правило срабатывает а дальше похоже затык где-то

(0)А напрямую если без посредства pfsense, сервер нормально отзывается?

(19) что-то у меня в голове не складывается... давай по порядку.

есть сервер 1с, который сидит за pfsense
есть клиент, который стучится из инета.

я верно излагаю?

не могу понять как может резолвиться имя сервера, если оно известно только внутреннему DNS. туплю может быть... довольно долго работал с pfsense  и извне и изнутри и ни разу не видел при обращении извне, чтобы имена из внутренней сети транслировались.

на клиенте точно прописан IP?

(22) внутри сети народ трудится без проблем

(23) на клиенте прописан айпи шлюза (pfsence), на шлюзе настроен маппинг по диапазону 1540-1591 (так на всяк случай все охватил), клиент стучится на шлюз и правило его отправляет на сервер 1с (по логам видно)... и как бы все, дальше этого не идет... в итоге ошибка

(23) на шлюзе настроен ДНВСфорвардинг может поэтому и резолвится...

*DNS Forwarding

(25) судя по скрину, если красный это клиент, стучится он на порт в районе ~55380 на шлюзе, а дальше мапится на 1540-1591, просто хочется понять картину. то есть внешний port range где-то там в районе 55380?

(26) аа, ок:)

важен порт назначения, порт источник вроде же динамически назначается...

(26)Может в этом и есть проблема?
Если DNS Forwarding резолвит имя сервера, - это один айпи, а подключаешься то ты к pfsence.
Или ты чисто по айпи, без имен подключаешсья?

чисто айпи

(29) ну в данной ситуации это не столь важно. проблема не в портах. проблема в разрешении имени и IP. возможно DNS Forwarding как раз и дурит голову...

я не настолько глубоко знаю как устроен протокол в 1с. такое ощущение, что после хэндшейка клиент получает имя сервера от кластера и дальше пытается работать с ним

(32)+ или как раз от внутреннего DNS, но на своей стороне разрешить имя узла не может потому что питается от другого DNS.

может чем черт не шутит в качестве дополнительного DNS прописать внешний ип шлюза?:) чушь конечно, но вдруг:)

и еще одна дурацкая идея-
на клиентском компе в хостс написать имя_сервера = айпи_pfsence

(34) это как раз здравая мысль:)

(32) В ТОЧКУ!!!!!!!!

(43) именно так...

*** теперь другая проблема...

параметры подключения нужно отдать "так сказать по месту требования" и если они у себя это не пропишут то работать у них не будет...

а там дяди с выпендрежами сидят... этожеж Моска

но это проблема начальника...

СПАСИБО ВСЕМ ОГРОМНОЕ...

(39)В смысле скрипт сваять чтобы настройки автоматом прописал?

(41) не за что. самому было интересно.

что касается настроек по месту требования то да. скриптик можно который будет автоматом настраивать нужное.

hosts меняется только с административными правами, не взлетит... да с этим пофиг путь начальство думает... с меня работающее приложение и настройки а с них как они это передавать будут

(44) аа... ну тут я мыслю как красноглазик немного. во-первых запустить скрипт от админа можно, во-вторых, всегда есть пользовательский вариант настроек, который хранится в домашней папке. в винде такого нет? в смысле хостс для конкретного пользователя в его домашней папке?

(44)Дык пусть их админ у себя на DNS жестко пропишет.

(46) они впн канал 2-й месяц поднять к нам не могут... вот и извращаемся чтоб работало

(45) такого нет

(45)+ насчет hosts немного погорячился:) можно но не без бубна и вообще не надо:)

Я pfsence в тонкостях не знаю, как там DNS Forwarding устроен, и есть ли тонкие настройки.
Может есть возможность отключить его для конкретных адресов?

(49) конечно решение кривое но на текущий момент "и так сойдет"
(50) да, там есть таблицы исключений но я туда не полезу... я блин всего лишь тупой 1Сник который и за админов все делает и похоже самый умный в отделе (от скромности точно не умру)

(0) чем решилось то проблема. Отпишитесь хоть?

по пункту (8) сделано (34)

т.е. в хостс добавлено ХХХ.ХХХ.ХХХ.ХХХ ИмяСервера1С

другой вариант из (8) не сработал...
ошибка происходит из-за отсутствия к ДНС записям локальной сети...

ХХХ.ХХХ.ХХХ.ХХХ - внешний айпи

>>ошибка происходит из-за отсутствия к ДНС записям локальной сети...
ошибка происходит из-за отсутствия доступа к ДНС записям локальной сети...