Имя: Пароль:
IT
Админ
Port mapping в pfsence и сервер 1С 8.2
, ,
0 bse
 
22.12.12
11:23
Народ помогите, делаю дырки в интернет: http://s019.radikal.ru/i618/1212/71/2885252dbafc.jpg
- пробросил порт для RDP, все работает нормально;
- делаю дыру для подключения к серверу 1С нифига не подключается, открыл диапазон портов 1540-1591. Ошибка такая: http://s017.radikal.ru/i444/1212/15/667b65fc0474.jpg
кто скажет, где я косячу (на текущий момент на безопасность нас-рать)?
1 bse
 
22.12.12
11:24
если глянуть скрин ошибки то видно что проброс работает (айпи сопоставлен с именем хоста)...
2 bse
 
22.12.12
17:02
^
3 Туц
 
22.12.12
17:31
Значит не все порты прокинул.
сделай Packet Capture и/или глянь на System Log секцию Firewall.
4 kokamoonga
 
22.12.12
19:12
(0) создай правило не через файервол, а через нат и поставь галку автоматического создания правила файервола.

вообще в pfsense не все прозрачно бывает с этими правилами. но после некоторых небольших мучений все должно работать:)
5 n0ther
 
22.12.12
19:16
может поможет статья
http://habrahabr.ru/post/122037/
6 bse
 
22.12.12
19:21
(4) все правила созданы через NAT
(5) уже читано, там организация терминального доступа с настройкой файрвола винды, а мне нужно организовать подключение к серверу 1С напрямую...
7 kokamoonga
 
22.12.12
19:24
(6) тогда показывай что говорят логи, скриншоты самих правил тоже лишними не будут
8 kokamoonga
 
22.12.12
19:29
(6) дурацкая мистапривычка писать что-то не вчитавшись в вопрос. прошу прощения.

проблема не в портах. до них вообще дело не доходит, судя по всему. твой сервер с которого обращаешься по каким-то причинам не резолвит имя или IP сервера, к которому идет обращение.

http://www.gilev.ru/1c/support/tasks/11001.htm  вот например.
9 kokamoonga
 
22.12.12
19:30
10 kokamoonga
 
22.12.12
19:36
(9)+ для уверенности неплохо бы пинги посмотреть до сервера. если пинги внезапно идут, тогда например nmap'ом пощупать порты.
11 bse
 
22.12.12
19:51
http://s017.radikal.ru/i441/1212/61/08ee113bf4ca.jpg
зелень мой айпи, красный внешний сервака, остальное не наше...
в правилах прописан айпи а в ошибке видно имя хоста...
12 bse
 
22.12.12
19:52
(10) терминальная сессия висит стабильно без обрывов...
13 bse
 
22.12.12
19:54
(10) пощупать проблемно... шлюз настроен наглухо, на пинги не отвечает.... только если знаешь что запрашиваешь
14 bse
 
22.12.12
19:56
+(11) перепутааал красное мое, зеленое сервака
15 bse
 
22.12.12
20:00
может ли иметь значение что мой домашний юзер неизвестен серваку?
16 bse
 
22.12.12
20:01
DCOM открыт для всех, в брандмауере тоже дыра для всех но в границах диапазона 1540-1591
17 kokamoonga
 
22.12.12
20:01
(11) а что прописано в настройках подключения?
18 kokamoonga
 
22.12.12
20:02
(17) + в смысле IP или имя?
19 bse
 
22.12.12
20:03
внешний айпи сервера (тот что зеленым замазан)
20 bse
 
22.12.12
20:03
вернее внешний айпи шлюза...
21 bse
 
22.12.12
20:03
правило срабатывает а дальше похоже затык где-то
22 Jump
 
22.12.12
20:11
(0)А напрямую если без посредства pfsense, сервер нормально отзывается?
23 kokamoonga
 
22.12.12
20:11
(19) что-то у меня в голове не складывается... давай по порядку.

есть сервер 1с, который сидит за pfsense
есть клиент, который стучится из инета.

я верно излагаю?

не могу понять как может резолвиться имя сервера, если оно известно только внутреннему DNS. туплю может быть... довольно долго работал с pfsense  и извне и изнутри и ни разу не видел при обращении извне, чтобы имена из внутренней сети транслировались.

на клиенте точно прописан IP?
24 bse
 
22.12.12
20:13
(22) внутри сети народ трудится без проблем
25 bse
 
22.12.12
20:17
(23) на клиенте прописан айпи шлюза (pfsence), на шлюзе настроен маппинг по диапазону 1540-1591 (так на всяк случай все охватил), клиент стучится на шлюз и правило его отправляет на сервер 1с (по логам видно)... и как бы все, дальше этого не идет... в итоге ошибка
26 bse
 
22.12.12
20:19
(23) на шлюзе настроен ДНВСфорвардинг может поэтому и резолвится...
27 bse
 
22.12.12
20:19
*DNS Forwarding
28 kokamoonga
 
22.12.12
20:20
(25) судя по скрину, если красный это клиент, стучится он на порт в районе ~55380 на шлюзе, а дальше мапится на 1540-1591, просто хочется понять картину. то есть внешний port range где-то там в районе 55380?

(26) аа, ок:)
29 bse
 
22.12.12
20:23
важен порт назначения, порт источник вроде же динамически назначается...
30 Jump
 
22.12.12
20:24
(26)Может в этом и есть проблема?
Если DNS Forwarding резолвит имя сервера, - это один айпи, а подключаешься то ты к pfsence.
Или ты чисто по айпи, без имен подключаешсья?
31 bse
 
22.12.12
20:26
чисто айпи
32 kokamoonga
 
22.12.12
20:27
(29) ну в данной ситуации это не столь важно. проблема не в портах. проблема в разрешении имени и IP. возможно DNS Forwarding как раз и дурит голову...

я не настолько глубоко знаю как устроен протокол в 1с. такое ощущение, что после хэндшейка клиент получает имя сервера от кластера и дальше пытается работать с ним
33 kokamoonga
 
22.12.12
20:28
(32)+ или как раз от внутреннего DNS, но на своей стороне разрешить имя узла не может потому что питается от другого DNS.

может чем черт не шутит в качестве дополнительного DNS прописать внешний ип шлюза?:) чушь конечно, но вдруг:)
34 Jump
 
22.12.12
20:31
и еще одна дурацкая идея-
на клиентском компе в хостс написать имя_сервера = айпи_pfsence
35 kokamoonga
 
22.12.12
20:32
(34) это как раз здравая мысль:)
36 bse
 
22.12.12
20:33
(32) В ТОЧКУ!!!!!!!!
37 bse
 
22.12.12
20:34
(43) именно так...
38 bse
 
22.12.12
20:34
*** теперь другая проблема...
39 bse
 
22.12.12
20:35
параметры подключения нужно отдать "так сказать по месту требования" и если они у себя это не пропишут то работать у них не будет...
40 bse
 
22.12.12
20:36
а там дяди с выпендрежами сидят... этожеж Моска
41 bse
 
22.12.12
20:37
но это проблема начальника...

СПАСИБО ВСЕМ ОГРОМНОЕ...
42 Jump
 
22.12.12
20:37
(39)В смысле скрипт сваять чтобы настройки автоматом прописал?
43 kokamoonga
 
22.12.12
20:39
(41) не за что. самому было интересно.

что касается настроек по месту требования то да. скриптик можно который будет автоматом настраивать нужное.
44 bse
 
22.12.12
20:40
hosts меняется только с административными правами, не взлетит... да с этим пофиг путь начальство думает... с меня работающее приложение и настройки а с них как они это передавать будут
45 kokamoonga
 
22.12.12
20:44
(44) аа... ну тут я мыслю как красноглазик немного. во-первых запустить скрипт от админа можно, во-вторых, всегда есть пользовательский вариант настроек, который хранится в домашней папке. в винде такого нет? в смысле хостс для конкретного пользователя в его домашней папке?
46 Jump
 
22.12.12
20:44
(44)Дык пусть их админ у себя на DNS жестко пропишет.
47 bse
 
22.12.12
20:45
(46) они впн канал 2-й месяц поднять к нам не могут... вот и извращаемся чтоб работало
48 bse
 
22.12.12
20:46
(45) такого нет
49 kokamoonga
 
22.12.12
20:57
(45)+ насчет hosts немного погорячился:) можно но не без бубна и вообще не надо:)
50 Jump
 
22.12.12
20:58
Я pfsence в тонкостях не знаю, как там DNS Forwarding устроен, и есть ли тонкие настройки.
Может есть возможность отключить его для конкретных адресов?
51 bse
 
22.12.12
21:03
(49) конечно решение кривое но на текущий момент "и так сойдет"
(50) да, там есть таблицы исключений но я туда не полезу... я блин всего лишь тупой 1Сник который и за админов все делает и похоже самый умный в отделе (от скромности точно не умру)
52 1C_Patriot
 
28.12.12
08:48
(0) чем решилось то проблема. Отпишитесь хоть?
53 bse
 
28.12.12
09:35
по пункту (8) сделано (34)

т.е. в хостс добавлено ХХХ.ХХХ.ХХХ.ХХХ ИмяСервера1С

другой вариант из (8) не сработал...
ошибка происходит из-за отсутствия к ДНС записям локальной сети...
54 bse
 
28.12.12
09:37
ХХХ.ХХХ.ХХХ.ХХХ - внешний айпи

>>ошибка происходит из-за отсутствия к ДНС записям локальной сети...
ошибка происходит из-за отсутствия доступа к ДНС записям локальной сети...
Пользователь не знает, чего он хочет, пока не увидит то, что он получил. Эдвард Йодан