на сайт
на сайт

Поиск  Правила  Войти
Главная страница » Главный раздел » Traffic Inspector - технические вопросы.
Страницы: 1 2 3 4 След.
RSS
Как настроить правила для приложений на ТС?
 
#1
0
08.11.2018 17:17:00
День добрый!

Ситуация такая:

На терминальном сервере есть программы, которые стучатся вовне по 80 порту или по другим портам. Например, связь 1С с электронным кабинетом ФСС:


Но TI почему-то блокирует такую связь. Хотя браузеры работают нормально. Галка "Перенаправлять TCP/80 на прокси" стоит для всех пользователей.

Если в TI ввести общее разрешающее правило на все IP-адреса для всех протоколов и всех типов трафика (Direct, Proxy, Socks), то подключение к ФСС происходит нормально. Но при этом перестают работать счетчики трафика (трафик идет мимо них) и шейпинг (при обновлении на каком-то компьютере Windows канал забивается полностью и падает почти намертво).

Как-то странно получается. Выходит, что этот исходящий трафик от 1С, запущенной от имени пользователя, на самом деле не перенаправляется на прокси. А если перенаправляется, то как-то не так.

Что сделать, чтобы 1С работала нормально, но при этом счетчики и шейпинг тоже работали?
 
 
 
#2
0
09.11.2018 09:21:00
Проверьте есть ли возможность настроить эти программы на работу через прокси сервер. Рассмотрите возможность использовать соксификатор для перенаправления трефика по портам отличным от 80 и 443 с терминального сервера.
 
 
 
#3
0
09.11.2018 12:57:00
У некоторых программ есть,у некоторых - нет.

А зачем им указывать работать через прокси, если в настройках TI и так указано перенаправлять весь пользовательский трафик по TCP#80 на прокси?
 
 
 
#4
0
09.11.2018 14:17:00
Ваша ссылка, - в первом посте - содержит ответ на Ваш вопрос(утрировано: таковы требования удаленных узлов для нормальной работы этих удаленных сервисов с удаленными клиентами!). Перенаправление на тсп 80 подразумевает перенаправление трафика ТОЛЬКО по тсп80. тсп25\110\443\ - вряд ли попадают(и попадут) под действие этой галки.. поэтому требуется создание определенных разрешающих фильтров на работу по нужным портам(для клиентов ти, которым разрешена работать только через прокси сервис ти, или для ТС), либо использование  сторонних "соксификаторов". 
В мануале ТИ(и на форуме в ветке "решение задач") есть примеры, описывающие создание подобных правил(для почты например). 




DmitryPC2018-11-09 14:20:03
 
 
 
#5
0
13.12.2018 09:41:00
Так речь про другие порты не идет. Блокируется именно доступ по 80-му порту, необходимому для подключения к ФСС, хотя из браузера в это же время подключение к сайтам по TCP#80 происходит нормально.
 
 
 
#6
0
13.12.2018 10:32:00
Цитата
У некоторых программ есть,у некоторых - нет.

А зачем им указывать работать через прокси, если в настройках TI и так указано перенаправлять весь пользовательский трафик по TCP#80 на прокси?


1. потому что на ТС отключена сквозная авторизация.
2. потому что приложение 1с - своя отдельная планета, которой НАДО:
Код
</div><div><strong><font color="#000040">Персональные </br>
настройки</font></strong></div></br>
<p ="usual"=""><font color="#000040"><strong>«Разрешить обновление модуля через </br>
Интернет (рекомендуется)»</strong></font> – установка данного флажка разрешает </br>
обновление модуля электронного документооборота с сервера фирмы «1C» через </br>
Интернет. Проверка наличия обновленного модуля документооборота выполняется </br>
автоматически при открытии формы «Регламентированная и финансовая </br>
отчетность».</p></br>
<p ="usual"=""><b><font color="#ff0000">«Для доступа в Интернет необходима </br>
авторизация на <font>прокси</font>» - если для доступа в Интернет по </br>
протоколу http с компьютера, с которого предполагается осуществлять </br>
взаимодействие с контролирующими органами по каналам связи, необходима </br>
авторизация на прокси-сервере, следует установить этот флажок и задать имя </br>
пользователя и пароль в полях ниже.</font></b></p></br>
<p ="imant"="">Настройка задается отдельно для каждого пользователя </br>
информационной базы.</p></br>
<p ="usual"="">Настройка будет использоваться программой при доступе в Интернет </br>
для целей проверки наличия обновлений модуля защищенного документооборота, а </br>
также для абонентов компании «Такском» при предварительной проверке </br>
регламентированных отчетов и при автоматической настройке параметров учетной </br>
записи абонента.<br></p><p ="usual"="">

3. потому что Вы запретили этим пользователям всё мимо прокси.

4. потому что 1с приложение совершенно не обязано понимать(принимать) не прописанные в ней настройки, ведь они "отдельные" от Смарт-Софта..

5. потому что программы пишут люди, и они иногда ошибаются.. и для понимания требуется хотя бы произвести проверку работоспособности по предложенной техподдержкой методике.

imho.

ps. может где в фильтрах запутались?







DmitryPC2018-12-13 10:36:05
 
 
 
#7
0
13.12.2018 14:11:00
1. Как это побороть?
2. Флажок устанавливал. Логин/пароль вводил - не помогает:

3. Разрешил, на самом деле, всё!!! - Direct, Proxy, SOCKS и пр. Без толку.
4. Но других настроек в 1С и нет - только логин/пароль прокси и сертификаты ЭЦП.
5. Какой методике? Где предложенной?

PS. В фильтрах, конечно, запутаться можно. Только я их мигрировал в начале года с TI 2.0. Там все работало, а после переноса на 3.0 половина глючит. Например, перестал шейпится трафик к обновлениям MS Windows ... Но это совсем другая история, как писали сестры Вачовски братья Стругацкие.
В конце концов, если поставить разрешательное правило "для всех протоколов", то всё работает! Но я не могу понять, что именно блокируется в противном случае.
 
 
 
#8
0
13.12.2018 14:27:00
метода описана в ответе суппорта(второй пост темы): "Проверьте есть ли возможность настроить эти программы на работу через прокси сервер. Рассмотрите возможность использовать соксификатор для перенаправления трАфика по портам отличным от 80 и 443 с терминального сервера."

[off]и флажок оставьте с логином и паролем - 1с немного из другой оперы.[/off]

ну так проверьте сначала всю сетевую статистику на пользователе у которого ничего не запрещено и лучше вообще без проксирования и без каких либо фильтров как "до" группы, так и "после"(а еще ведь есть "общие разрешения" - которые и определяют "НЕучОт" трафика - и об этом написано весьма неоднозначно в справке), изучите её при доступе куда нужно, сделайте выводы.. потом отсекайте.. всё как всегда.

если адреса(домены\сети) удаленных серверов известны, ну сделайте ип-список и разрешите нужным пользователям на него доступ по любым портам и(пока!) сервисам(потом и их ограничите, если уж так нужен прокси для работы пользователей с ТС),  без изменения стоимости и примените этот фильтр для нужной группы - и все будет считаться.
imho.
 
 
 
#9
0
13.12.2018 14:59:00
Так я же писал: в настройках прокси задается только логин/пароль. Но это не работает.

Пустить трафик через соксификатор тоже возможности нет - параметры обмена с реестром ЭЛН зашиты где-то глубоко в конфигурации 1С-Отчетность. Наружу не выведены возможности сменить адрес, протокол, порт. Думаю, внутри конфигурации тоже такой возможности нет.

Пытался включить разрешающее правило и посмотреть по отчетам, куда идет трафик.
Подключение к реестру ЭЛН состоялось. Но в отчетах по этому пользователю за указанный период времени - чистый нуль! Ни в отчете сетевой статистики, ни в отчете использования прокси!
Т.е. этот трафик к реестру ЭЛН идет даже не обнаруживаясь TI. Но только в том случае, если разрешен трафик по любому протоколу. Иначе он блокируется, но этого тоже в отчетах не видно.
Чудеса, да и только ...
 
 
 
#10
0
13.12.2018 15:17:00
1. Ваш ТС авторизован по ип, и прописан в качестве сервера терминалов..  а пользователь авторизован только на сервисе прокси..
2. фильтром на разрешение(видимо в "общих правилах" или в группе или еще где-то или как-то - даже пытаться угадывать больше не собираюсь) Вы даете ему(СЕРВЕРУ ТС) право ходить туда куда разрешает этот фильтр. 
3. с чего Вы взяли что трафик ни на кого не посчитался? смотрите трафик самого сервера терминалов. если и там нет - ищите на контролируемом счетчике.
4. опять 25.. Коллега, тут телепаты не водятся.. и догадываться о Ваших настройках(где-бы-то-ни-было) никто не будет..  либо в паблик выкладывайте(может кто не из суппорта и укажет на нестыковку), либо в суппорт напрямую звоните\пишите\договаривайтесь.  
[off]форум НЕСПЕШЕН(так сказал суппорт когда-то) и необязателен, - просто средство получить хоть-откуда-то больше информации и может быть посильной помочи от нетелепатов..Вы ведь даже сборку свою НЕ озвучили(а они бывают отличаются описанными и неописанными косяками в соответствующих темах).. [/off]
 
 
 
Страницы: 1 2 3 4 След.
Читают тему (гостей: 2)