Есть Офис, где стоит клиент-серверная база 1с УТ, нужно к ней подключить 5 магазинов. Как это можно сделать безопасно?
Офис имеет Статический ip, а все магазины только динамический ip.
В офис подведена оптика от провайдера, а в магазинах работают по USB модемам и  телефонной линии. Другой вариант интернета в магазинах физически невозможен из-за их расположения.

Я читал что есть несколько вариантов, это Apache, IIS и OpenVPN.
Смотрел тут ( https://www.youtube.com/watch?v=zlu7atjXHhU ) настройку по  IIS и тут ( http://kb.stspp.ru/software/1c_web_server_apache_2-4 ) настройка Apache. НО, никто не показывает как это настроить извне, мне по локальной сети это не надо.
Еще никто не говорит о настройке безопасного доступа на Apache и IIS, так как если настраивать по их варианту, то взломать базу можно минут за 5.
Про OpenVPN слышал, что он самый защищенный, но настраивать его очень трудно, я дошел только до места Сервер.ovpn и Клиент.ovpn, дальше чет никто не поясняет, что там нужно писать и почему, а просто копируйте строки и все, но я же не знаю что они там понаписали)
Подскажите по правильной настройки удаленного доступа.
Есть еще вариант 1С Линк, но это вообще хрень полная, в день пользователи отваливаются по несколько раз.

(14) Сложно ответить на этот вопрос не зная что есть в вашей инфраструктуре локальной сети, и смотрит в инет.

(11) А какой тогда например можно использовать VPN?
(12) Если использовать стандартный порт 80 в Apache, то его и надо будет пробрасывать?
В Apache и  IIS можно использовать вместо http другое подключение по https?

(17) Скажем ты случайным образом определяешь что доступ будет по порту 31415, адрес сервера на котором поднят апач - 192.168.10.10

Значит ты настраиваешь правило, что любое внешнее соединение по порту 31415 должно быть переадресовано на 192.168.10.10 порт 80

Допустим у тебя твой внешний статический адрес 111.11.11.11

Если у тебя в изнутри всё работает при введении адреса 192.168.10.10, то на внешних компах меняешь 192.168.10.10 в браузере на 111.11.11.11:31415

(17) Смотря какой бюджет.

(15) Та у нас все просто в офисе:
Сервак 1С и он же Сервак для тонких клиентов.
5 Тонких клиентов
2 компа.
Все подключены в локальную сети, всем задан статический ip.
Хаб на 16 портов, в который подключен маршрутизатор на котором настрое PPPOE от провайдера Ростелеком.
Вот и все)

(20) + забыли добавить , начальство хочет все быстро и за бесплатно. :)

(18) Оказывается так все просто)
Спасибо.
Этот случайный порт надо прописать в маршрутизаторе правильно? 31415

(21) Ну просто настроить веб интерфейс, должно быть действительно быстро и бесплатно.

Да, как входящий порт

(23) Стоит ли мне писать что в данном случае безопасности 0 ? Или требуется выполнить без разницы как не взирая на последствия ?

(25)
Сервак 1С и он же Сервак для тонких клиентов.
5 Тонких клиентов
2 компа.
Все подключены в локальную сети, всем задан статический ip.
Хаб на 16 портов, в который подключен маршрутизатор на котором настрое PPPOE от провайдера Ростелеком.

Как думаешь, какой у них бюджет на безопасность?)

(21) Так а какой тут бюджет, если все эти варианты, что я написал, бесплатные)
Кроме 1С Линк, тут нужна подписка ИТС
Я чисто от себя только могу
(24) Понятно. А как в этом варианте с безопасностью будет?
Стандартные порты вообще брать нельзя, так как их могу прослушать
(25) вот в этом и вопрос) Как быть с безопасностью?

(26) Ну раз могут 5 магазинов открыть думаю что и подход должен быть серьезный.

(26) Прям в точку)

(28) Хорошо сказано, только мне на это начальство ответит, что каждая копейка рубль бережет)
Так а что Вы предлагаете купить?

(0) Поднимаешь веб сервер на апаче, и даешь им доступ. будут работать через веб интерфейс. Но блин с таким интернетом я бы ссыкнул, как вариант рдп файл делай с запуском 1С.

(31) А сервер терминалов тоже не бесплатный, если конечно не взломанный)
через Https тоже можно настроить. Но я видел только через iis как это делают.

(0) Нанять админа
1. Сделать в офисе 2 белых ip на двух разных каналах инет
2. Поставить в офис роутер и настроить правильно маршрутизацию и
3. Настроить OpenVPN сервер
4. В магазинах/отделах поставить роутеры и настроить на них OpenVPN клиенты, причем со скриптами что если основной ip офиса недоступен то пусть стучаться на резервный
5. Настроить в офисе апач и сервер 1С
6. Настроить в магазинах/отделах тонкие клиенты 1С
7. Выгнать последнего солдата.

(33) Ты забыл пункт номер (0) написать.
Взять кредит))

(31)  "как вариант рдп файл делай с запуском 1С" - для этого нужна лицензия для пользователя на windows? или ломать Windows надо?
У меня работают 5 Тонких клиентов, которые используют все пользовательские лицензии сервера Windows 2012.
(32) Все верно, куплен Windows 2012 и к нему 5 лицензий для тонких клиентов.
(33) Зачем два канала интернета? типо один отключили, а тут второй есть?) у нас только один провайдер в городе, свисток в офисе ставить, как-то несолидно)
Зачем поднимать OpenVPN и тут же апач? разве нельзя обойтись одним из них?

(35) В качестве резервного канала, почему бы и нет?
Если не солидно, покрасьте его позолотой

(33) OpenVPN можно настраивать еще на роутерах?
чет я сомневаюсь что в это модеме такое есть dsl 500t.
В удаленных магазинах только в одно стоит роутер mikrotik hex, а в других магазинах где только по одной машине, стоят модемы dsl 500t или свистки.
В офисе уже стоит роутер.

(36) ну это можно если согласятся, просто я не помню чтобы у нас инет выключался хоть раз, кроме отключения света)

(33) Серверу OpenVPN интернета как в магазинах хватит?

Слишком много мыслей.
1) Пробрасываешь порт на роутере.
2) С тимвиевера в магазине прописываешь тонкий клиент и смотришь - работает ли он, шустр ли он, быстр ли он.
3) прописываешь второй магазин.

4) Говоришь - ахтунг, началась тестовая эксплуатация. В течении 3-х дней оцениваем работоспособность.

Возвращаешься к нам и рассказываешь результаты.

И вообще делаешь всё без http, говоришь что это временный варианта.
И спокойно разбираешься, как сделать тоже самое безопасно)

+ (41)  без https*

(37) >OpenVPN можно настраивать еще на роутерах?

Да можно, нынче многие приличные роутеры умеют из коробки или в альтернативных прошивках.
Можно микротики взять, но лично мне больше Zyxel'и нравятся с OPKG пакетами от OpenWRT.

(30) Не купить, а нанять админа на разовую работу.

(43) ТС хочет бесплатно.

У нас уже почти 10 лет работает система. Центральная база + магазины все на самописных семерках (фронт и офис - разные) + свой обмен
Пока не было инета раз в день на флэшках обмены делали по всем магазинам
Потом появилась лет 5 назад появилась выделенка везде - но принцип работы остался

(41) Меня казнят, если что с базой случится с этот "тестовый период")))
Та у нас тут в деревне такие админы, никто да же в 1С 8 версии еще толком не работал.

РИБ устарел. Зачем эти бесконечные обмены, когда можно опубликовать базу и заходить напрямую хоть с планшета хоть с Гаваев?

(46) у нас точно так же раньше было, передавали флешки машинами)

(7) Хороший интернет это интернет с гарантированной скоростью не ниже 1 мегабита, и отсутствием потерь пакетов, и стабильностью работы.

У беспроводных линков такого не бывает.

А вот интересно про РБД. Если хакер какой базу с магазина тиснет - какие данные с центрального офиса он увидит?

(5) В случае с РИБ вы в случае проблем с каналом увидите отчеты с задержкой.
А без РИБ в случае пробшем с каналом магизин просто не будет работать.

Если речь идет о беспроводных USB свистках - 20% рабогчего времени магазины не будут работать из за проблем со связью.

(51) Никаких.
Он увидит только те данные которые содержаться в той базе к которой он получил доступ.

(51) смотря что передавили в РБД, т.е. все данные или выборочно. Ну и конечно надо будет еще пароль взломать

(52) я пинговал один USB модем целый день, от МТС, ни одного разрыва не было, иногда пинг повышался до 250 и потом опять падал до 70.
А на модемах через телефон стабильно 65 пинг и интернет 5 Мбит

(48) Ага, и продавец будет всем объяснять - подойдите позже за покупками, когда интернет заработает стабильно.

Там где подключение к интернету беспроводное по несколько часов невозможно расплатиться кредиткой - связи нет.
Так там передача данных копеечная.

(54)Накладные приходные надо передавать, что бы остатки в магазинах видеть?

(55) Берете стандартную нагрузку на канал - ну например 1 мегабит.

Начинаете передавать данные со скоростью 1мегабит непрерывно.
После чего можете смотреть скорость и латенси.

А утилитой пинг стабильность канала не проверишь.

(57) Зачем магазину приходные накладные центрального офиса?
Магазину нужны накладные самого магазина.

(59)Ну вот у нас накладные заводятся только в центральном офисе. В магазине никто про цены закупки не знает

(59) из магазина надо передавать в офис

(57) РИБ не надо нам, я уже описал его проблемы, потом все это разгребать приходится откуда минуса в товаре или почему документы не проводятся когда в наличии есть, а по базе нету. это я то же выше писал.
(58) Я Вас понял.

По настройке OpenVPN, а именно Сервер.ovpn и Клиент.ovpn может кто поделиться, как настраивать и почему брать такие параметры в текстовом файле???
Может так получится сделать, мне главное чтобы в магазине работало рабочее место кассира, ну и чтобы они смотрели документы перемещений и реализаций товаров и услуг из офиса

(56) А без электричества вообще шопа. Только при чём тут 1С?

1С вообще фигня, т.к. без интернета, электричества, компа и товара в ней вообще ничего нельзя ни купить, ни продать

(65) )))))

(66) а зачем вам в офисе знать этот остаток? они наверно продают там по безналу 3,5 раза в месяц. Позвонят по телефону. Из-за этой фигни вы потратите бабок немеряно на нововведения.

(67) За месяц продаж по безналу может быть штук 100 минимум по одному магазину, не назвонишься по телефону

Как дружит 1С с SSL сертификатами Apache и  IIS? Я щас читал,  что  соединение 1С очень часто отваливается

(63) а сколько ты готов заплатить за обучение? Судя по твоим постам для тебя вебсервер и VPN почему-то взаимоисключающие понятия, а это азы, так что обучение не будет быстрым.

(70) Обучение чему? У меня вроде конкретные вопросы.
Дай инструкцию и я сделаю

(70) "Судя по твоим постам для тебя вебсервер и VPN" я что-то не пойму с чего вы это взяли? Я писал что не понимаю зачем ставить Apache и OPenVPN

(72) меньше требований к апачу по безопасности. Можно вообще ходить по http и не греть голову что чего-то взломают.

Опять же порты пробрасывать не надо, локалка такая локалка...

(74) Как не надо, а как тогда попасть с магазина в офис?

(75) У меня база клиент-серверная, в локалке вообще все легко и просто

(75) Устанавливается туннель из магазина в офис через openvpn или другой vpn. Как установился - получаете общую локалку из офиса и магазина. Нужные ресурсы офиса становятся доступны из магазина по локальной сети. Все порты доступны и не нужен https, потому что снаружи никто не проберется в туннель.

У меня, например, не OpenVPN, а IPSec VPN. Кто-то использует PPTP, кто-то другие реализации SSL VPN помимо OpenVPN, но суть одна - через инет прикидывается локалка, в которую снаружи нет доступа.

(77) я пропустил где Вы выше говорили именно об openvpn  )
Мне это как раз и надо, если оно стабильно работает и защищено от взлома.
IPSec VPN настраивается по схожей инструкции? и почему выбор пал именно на него?
Как у Вас по скорости инет на точках? обрывы бывают?

(79) IPSec VPN настраивается по схожей инструкции? и почему выбор пал именно на него?

Потому что меня не интересовали программные решения, хотелось купить нормальные коробки, которые бы все делали сами - устанавливали-переустанавливали туннели и решали прочие вопросы сетевой безопасности, при этом работали бы годами и ничего не просили. Короче, мне надо было аппаратное решение, а здесь стандартом является IPSec. По крайней мере, циска свои решения делает на нем. В плане работы и настройки это несколько другая технология, хотя общие черты есть.

Как у Вас по скорости инет на точках? обрывы бывают?

У меня производство, не магазины. Оптика по 20 МБит, можно сделать больше, хотя особой нужды нет. Обрывы? Большая редкость, но не исключено, если экскаватор какой кабель заденет. В год разок-другой может быть. Электричество гаснет на порядки чаще, ибо дерёвня :)

в принципе, насчет радио вам тут верно толкуют, на свистках стабильного канала не видать. Может быть день хорошо, а другой день рядом будет какая-нть ярмарка, много народу с телефонами - базу загрузят и хана каналу.

(80) Понятно, круто у Вас все)

у меня как-то был удаленный склад, мы там пользовали такой инет - Энфорта и Простор-телеком. Это тоже радио, но оно для юрлиц, там фиксированное кол-во абонентов на базе, со стационарными антеннами. Дрянные пинги бывали (видел 200-500 мс), но при этом работало хотя бы относительно стабильно. Так что если радио, то смотрите в таком направлении.

Ладно, пойду дальше мучать Сервер.ovpn и Клиент.ovpn

(64)Электричество отключают крайне редко, а если и отключают не сложно дизель завести.

(84) А зачем вам vpn?
Вам же вроде удаленный доступ к базе нужен был?

(0) в магазинах какие роутеры? роутер с юсб свистком? или там с 1 компьютера нужен доступ в котором модем?

(86) Так а как получить безопасный доступ к 1С через интернет если не vpn?
(87) "или там с 1 компьютера нужен доступ в котором модем?"- все верно.
"роутер с юсб свистком?" - такого нету.
"в магазинах какие роутеры?" - D-Link DSL-500T, стоят в магазина где интернет по телефонной линии..
В каждом магазине стоит по одному компу.

> Так а как получить безопасный доступ к 1С через интернет если не vpn?

ssl сертификат на вебсервер, и организация доступ по https, а не http

афаир, ставим дев тап в офисе статик айпи из настоящей локалки, в магазине все равно что и отдаем статик из настоящей локалки офиса, всё, роутинг есть, впн есть, шифрование лучше вырубить, внутри впн вас только какие то спецы перехватят, но работает комплекс проактивной обороны Тыгдымский конь

(89) Пробовал я работать по https.
В день в каждом магазин раз по 10 вылетает ошибка
"Ошибка HTTP при обращении к серверу: https://";Наш сайт"
Ошибка инициализации SSL соединения"

(67) да хотя бы для оперативного заказа на другой магазин.
(0) на чем решил остановиться? у нас планируется в ближайшее время такая задача.
В сторону фронтола не смотрел с их синхронизатором и новым сервисом дисконта? Минус - отсутствие возможности формировать заявки на друге магазины, поправьте, если не прав.

Я реализовывал подобную задачу, правда офис удаленный есть один.
Настроил обычный l2tp vp: клиент с 1с - сервер vpn в локальной сети предприятия.

Но вообще, лучше всего бы работала пара железок - впн-клиент и впн-сервер. ну или хотя бы пара: железка-впн-клиент - сервер впн.
Спец. железо в этом плане лучше работает - не глючит, автоматические переподключается, не зависит от конфигурации компа и глюков винды.

Для создания впн канала между двуся сетями ставил впн-клиента на фряхе, она вроде работала нормально, но из-за плохого интернет-канала(йота) все равно глючила время от времени и требовала перезагрузку.

По "свистку" работать магазин будет в базе? Важна не скорость вашего соединения, а пинг между магазином и сервером, если, при пинге в 40мс ожидание чека порядка 5-7 секунд, подумайте над этим.

Вопрос скорости второстепенен можно работать и по каналу в 128 кибит. главное чтобы он был стабилен. А вот если пришел клиент и у вас обрыв связи на 3 минуты и так даже 10 раз в день то это трындец. а для мобильного интернета 10 таких провалов это очень хорошо. для начала можно на роутере пробросить тупа РДП соединение с определенного ИП. Даже при динамическом ИП проверить качество работы не проблема чел в магазине смотрит ИП ты его прописываешь у большинства провайдеров он будет меняться раз в день, иногда месяц, очень редко при обрыве связи и ее востановлении. но так даже лучше точно посчитаешь число обрывов в день. Можно тупо открыть РДП на все ИП надо просто мониторить систему на предмет что пошло куча попыток подключений с непонятного ип

(91) С впн тоже самое будет. он даже более критичен к качеству канала. Так как для увеличения скорости он пытается работать на максимально больших пакетах.

Для магазинов можно заказать статический ИП вполне приемлемая стоимость. Однозначно в каждом магазине своя локальная база и продумывать варианты их синхронизации.

НЕЛЬЗЯ работать рознице на сотовых модемах в режиме удалённого доступа! Только локальная база на каждой точке и РБД между ними. Сколько отключений в день нужно, чтобы клиенты перестали ходить в магазин, где то работает касса, то нет?

А ещё случается недоступность опсоса на полдня (мегафон, привет!).

А вы рассматривали вариант, когда на кассах не 1С клиент? например Фронтол или что нить иное.
Плюсы следующие:
1. для торговли не зависите от наличия канала связи  (если есть ЕГАИС, то конечно без вариантов).
2. Нет РБД на базе 1С. Обмен между кассой и 1С существенно проще.
3. Ну и теоретически кассовое ПО работает быстрее и стабильнее чем клиент 1С. :)

Вариант ,когда работа кассы зависит от удаленной базы 1С - это конечно.... никуда не годится! Это мягко говоря...

Откуда у них касса. При кассе магазин обычно не продает товар с другого склада он нужен у кассы физически.

(102) Вы вообще сталкивались с таким форматом торговли?
Повторю, важна вожможность заказа кассиром/товароведом в другой магазин. Как следствие-просмотр оперативных остатков на всех точках. Заказ-доставка до покупателя-все довольны.

(101) случаи разные бывают. Иногда принципиально важна возможность заказа товара с удаленного склада, без нее - такая же попа как без кассы. Например, у нас есть магазины, центральный офис которых располагается в другом городе и примерно процентов 20-30 дорогостоящих товаров выписывается под заказ оттуда и забираются спустя несколько дней. Нет актуальных остатков - ничего нельзя выписать. Обмены тут по понятным причинам не прокатят или их надо делать каждую минуту, потому что магазинов... ну не сказать что сотни, но десятка два есть. И все выписывают с удаленного склада.

РБД+FTP

(13) Остатки и резервы веб-сервисом

А УТ 11 для магазинов нормально будет?

(45)Удалённый рабочий стол Гугл. Легально, бесплатно, бесгеморойно. Юзаю давно со стррашной силой

https://support.google.com/chrome/answer/1649523?co=GENIE.Platform%3DDesktop&hl=ru

(108)И какие впечатления, замечания?

(92) остановился на Openvpn.
(94) пинг  70, ожидание чека 2 секунды максимум.
(97) статику на свистках заказать?)
(98) уже пару дней работаю, полет отличный.
(100) нет, не рассматривал.
Могу сказать что лучше opanvpn ничего нету для удаленной работы)
Да же сами магазины сказали, что база стала намного быстрее и лучше работать, чем когда была до этого в файловом варианте у них на компе.

Главное правильно настроить конфиг сервера

(108) Его все юзают, только он больше для админов, а не для работы кассира.

Спасибо всем жлобам, которые смогли поделиться конфигами сервера и клиента, что я просил

(114) думаешь кому то в 2017 не везет так же как тебе?