Подключение к 1с через vpn
Кто-нибудь реализовывал такую схему, сталкивался?
Фирма в другом городе. 1С+SQL Server. Хочется подключаться не через RDP, а простым тыком на ярлыке. На обоих концах микротики, белые ip, тунель переброшен, машины пингуются, фаерволлы отключены, но 1с не подключается.
Интересует подключение именно через тунель.
(3) без Remoteapss нормально не сделаешь, т.к. сервер и клиенты через интернет, пинг высокий, будут задержки.
Можно делать 1с через web, тонкий клиент, но это только для нетиповых, с квалифицированной командой.
(4) на тостере или форумах, найди спеца, 5 тыс. руб. примерно, в теч. 1-3 дней тебе отладят и запустят, а ты будешь "только руками"
(6) какая связь между tcp и пингом в рамках решаемой задачи?
(4) с оплатой сомневаюсь т.к. и так все работает, а это хотелка и хоцца сделать самому, посредством получения наводок от бывалых
как то так
На стороне Mikrotik-а - файловая база.
Со стороны Asus-а - подключаюсь.
Очень со скрипом, но - работает.
(7) >> какая связь между tcp и пингом в рамках решаемой задачи?
Да как бы разные протоколы и не так сильно (как думают) между собой связаны.
Вот прямо сейчас именно так и сижу.
Поднят впн, локально запущена 1с.
Ничего, кроме настроек впн, не делал.
Правда, у меня XP. Админ делал очень большие глаза, когда узнал, что у меня так работает.
(0) если есть туннель - это по сути локалка, и вроде бы все должно работать. Но на практике, если хосты в разных подсетях, существенная часть ПО вроде антивирусов воспринимает это не как локальную сеть, и требуются доп. настройки. Проверяйте доступ на порты 1С телнетом, пинг, и думайте, что может блокировать прохождение трафика.
1с тут вообще не причем.
по аналогичной схеме подключал l2tp тунели на микротиках.
прописывал а файле hosts имя пк в соответствии его локальному ip и спокойно заходил в 1с.
(22) это чтобы в строке подключения к базе можно было по имени компа обращаться. Можно ж просто по айпи и не лезть в hosts, не?
(0) Скорее всего на сервере порты фаерволом закрыты.
Или на микротике сервера днат на рдп порт прописан просто, а для 1С не прописан.
(0) Работать то будет. С новыми конфигурациями, даже наверно, терпимо. У нас как-то, УПП запустили из центра, спутав ярлык. У них бала периферийка (РИБ), но вместо локальной базы подключились к центральной. Так-как канал был, мягко говоря, слабоват то база запускалась около 30-40 минут. Документы проводились медленно. Через 2 часа работы в таком режиме, позвонили узнать что такое.
Впн попадает в сеть роутера,а вот сервер из этой подсети вообще виден?
чтобы все работало,нужно чтобы у сервера был ip адрес из подсети vpn,так как иначе будет трансляция адреса,что при обратном маршруте приводит к казусу,ответ приходит не с того адреса
(25) 30-40 минут запуск - это чет совсем узкий канал. На 20 мегабитах через VPN толстый клиент у меня ходит относительно терпимо, можно даже чего-то поделать. Запуск минуты три. Ну проведение и открытие журналов конечно не фонтан
Здравствуйте! Не удается подключиться через VPN к 1С серверу. VPN используем cisco anyconnect соответственно заводят учетки и присваивают группу безопасности 1С. С разный компов ихний 1С сервак пингуется, но 1с предприятие не может никак установить связь с сервером, но повторюсь ихний сервер пингуется. С моего ПК связь устанавливается с сервером. Пробовал настроить также другие ПК не получается, пробовал свою учетку от VPN на другом пк - все также, ихние учетки VPN рабочие (пробовал на своем пк), пробовал использовать мобильную сеть через ПК тоже без результата. Провайдеров разных используем. Может кто-то сталкивался с такой проблемой. 1С сервер находится в Мингосе
Средний 3 комментария
Александр Юдаков, сервер адрес . descr 11004 (0x00002afc): Запрошенное им верно, но данные запрошенного имени не найдены. line = 1068 file=scr\DataExchangeCommon.cpp
Очень сумбурно описываете, если я правильно понял - с одной учётки vpn (при подключении к vpn серверу) есть доступ до локального ресурса, с другой - нет. Если всё так - смотрите какие пулы выдаёте на циске, есть ли разница в группе и профиле подключения? Точно ли прописаны все нужные правила?
Егойный хз, они говорят все работает, но главное что с моего то компа все проходит. VPN сервера у нас тоже нет. Это все у них. Что у них там прописано им только известно. Я использую VPN, как клиент
Илья Кириллов, егойный - это троллинг. ихний, егойный - так не говорят :(
С Вашей учётки на другом ПК доступ есть? Если да, то обратитесь к админу сервера, скажите вот с этой учётки - есть доступ, вот с других - нет. Пусть смотрит какие различия в профилях подключений. На клиенте сделать ничего не получится.
Если проблема именно в ПК, а не в учётке vpn, то смотрите что может рубить сессию локально: антивирус, виндовый фаервол, сторонее ПО.
Есть база sql, которую поставим на удаленный сервер.
Нужно, чтобы несколько офисов подключались к базе и работали через клиентские приложения (тонкий клиент)
В идеале шеф хочет видеть, чтобы офисы были объединены в одну локальную сеть и что то говорит про vpn, хотя не совсем понимаю зачем ему этот впн нужен.
По идеи ведь нужно:
1. заказать хостинг на базе виндовс 2012 сервер
2. установить туда sql базу
3. каждый офис настраивает на каждом компьютере работу клиентской программы 1с для работы с удаленной базой sql по ip адресу сервера
4. для доступа к файлам сервера можно подключать каждый компьютер через сетевой диск
5. остается вопрос как сделать видимыми друг для друга компьютеры из двух-трех офисов и нужен ли выделенный ip для каждого офиса
Поправьте последовательность и правильно ли я рассуждаю.
Штатного сисадмина и админа 1с нету.
1с 8.3
Вариант использовать облачные технологии оказались дорогими, минимум 6-8 человек будут одновременно подключаться.
- Вопрос задан более трёх лет назад
- 6731 просмотр
Простой 6 комментариев
Мне кажется, у вас с SQL только 1С работает, а в этом случае их вообще на один сервер ставят, когда планируют до 10 человек разворачивать. Намучаетесь вы с VPN и работой SMB через туннели. Файлы хоть чисто ворд-эксель?
zionkv, я честно говоря вообще не понимаю, зачем ему нужен vpn для реализации доступа. Вернее, что ему это даст? Обмен файлами разве что. и то сомнительно, это же можно делать через удаленный рабочий диск штатно в виндовсе.
anton99zel, "VPN" часто у людей ассоциируется со словом "безопасность".
Какую деньгу вам насчитали за облачные технологии? Я должен знать :)
И, всё-таки, как стоит вопрос с лицензированием?
Сам отвечу на вопрос, тем более уже прошло много времени и можно подвести итоги:
1. Арендовали у хостера VPS и установили туда Windows. Лицензия на винду идет комплектом.
2. Установили базу 1С SQL
3. На каждом офисном/домашнем компьютере установили 1с толстый клиент
4. Подключаемся по ip адресу к серверу
5. Все довольны и жизнерадостны.
6. Стоимость сервера около 1500 рублей в месяц, на 10 юзеров одновременно хватает. Тормозов нет.
5. остается вопрос как сделать видимыми друг для друга компьютеры из двух-трех офисов и нужен ли выделенный ip для каждого офиса
Для каждого - нет, для сервера - нужен. Как объединить компьютеры в одну локальную сеть - подозреваю, что Вам поможет. VPN! (внезапно). Который может работать на том же сервере, что и БД.
Если очень коротко - суть такая же как и у роутера, все компьютеры подключенные к роутеру - автоматически попадают в одну сеть и получают один из адресов из диапазона IP 192.168.0.XX (обычно). В Вашем случае - та же самая ситуация, только вместо роутера будет сервер (VPN).
В качестве дополнительного бонуса безопасности - Вы можете разрешить подключение к вашей БД на сервере только для клиентов VPN, что бы резко снизить вероятность попыток взлома из вне, а так же зашифровать трафик между клиентами и базой (VPN обычно шифруется).
Где-то между строк я должен был вставить мануал по настройке Windows'а и сети в нём, но для меня это очень тёмный и дремучий лес, по этому с настройкой винды я подсказать к сожалению не могу.
Если очень коротко - суть такая же как и у роутера, все компьютеры подключенные к роутеру - автоматически попадают в одну сеть и получают один из адресов из диапазона IP 192.168.0.XX (обычно). В Вашем случае - та же самая ситуация, только вместо роутера будет сервер (VPN).
Спасибо, это радует.
Т.е. сети, которые по впн соединятся с сервером будут друг другу видны, а не пропадет ли связь между компьютерами одного офиса (подозреваю, что они будут между собой взаимосвязаны как и раньше, но для верности спрошу) ?
Да, если Вы соотв. образом разрешите VPN-клиентам обмениваться данными между собой (тогда они будут видеть друг-друга) и настроите маршрутизацию на самих клиентах (то они смогут видеть ещё и другие сети, подключенные к тому же серверу VPN).
P.S. Я говорю очень условно и где-то не совсем технически верно, т.к. пытаюсь упросить и максимально сократить текст (иначе мы тут учебник по сетям напишем :))).
бюджетно
1. заказать хостинг на базе виндовс 2012 сервер
2. установить туда 1С 8,3 sql (опять же что в качестве sql сервера? postgres - бесплатно)
3. каждый офис настраивает на каждом компьютере работу клиентской программы 1с для работы с удаленной базой sql по ip адресу сервера
4. для обмена документами использовать virtualbox или чтото подобное
вариант побагаче
1. для организации впн хорошоб перед винсервером поставить отдельно впн сервер с внешним и внурт интерфейсом. таким образом винсервер не светится в инете
2. винсервер с впн сервером во внутр сети. это хорошо
3. установить 1С, БД, службу терминалов. таким образом все пользователи работают на одном сервере и обмен документами между ними осуществляется через общую папку. это скорость
4. проброс документов и печать осущетвляется посредством rdp-протокола (внутри канала соединения)
ну и продумать бекапирование в обоих случаях тоже нужно
что бы Вы не выбрали-эту схему придется сопровождать. Лучше взять админа на работу изначально
Если нужен обмен информацией между пользователями поднимите любую файлопомойку, можно тот же NextCloud.
anton99zel, а теперь посчитайте сколько вам надо потратить на железо, настройку, лицензии виндовс и 1с, ну и надо как то платить админку который будет это ежемесячно поддерживать
Нужно всё исключительно белое? Многие пока ещё заказывают заграницей. При заказе хостинга именно с Windows придётся платить за лицензию. Можно арендовать железку, в ОС накатить самому. Лучше гипервизор, чтобы виртуальными машинами решать свои задачи, получите гибкость и переносимость. Читать ESXi, HyperV, Proxmox
SQL базу и сервер 1С-Предприятия
3. каждый офис настраивает на каждом компьютере работу клиентской программы 1с для работы с удаленной базой sql по ip адресу сервера
либо в принципе работать всем терминально, в зависимости от задач
5. остается вопрос как сделать видимыми друг для друга компьютеры из двух-трех офисов и нужен ли выделенный ip для каждого офиса
выделенный IP нужен для того офиса, в котором стоит VPN-сервер, остальным нет необходимости. Все будут видеть всех таким образом, каким пожелаете при настройке VPN-сервера. Тут проблемы только во внезапных подводных камнях, но реализуемо всё, что можете вообразить и статей в интернете очень много, тема популярна.
Да, хотя можно и на базе linux server.
каждый офис настраивает на каждом компьютере работу клиентской программы 1с для работы с удаленной базой sql по ip адресу сервера
Неправильно, 1с по IP не будет работать, только по имени.
Какие файлы на sql сервере? Сетевой диск плохая идея.
остается вопрос как сделать видимыми друг для друга компьютеры из двух-трех офисов и нужен ли выделенный ip для каждого офиса
Совершенно непонятно зачем вам нужна видимость компьютеров, и зачем вам выделенный ip для каждого офиса.
По идеи ведь нужно:
1. заказать хостинг на базе виндовс 2012 сервер
Свой чем не устраивает?
3. каждый офис настраивает на каждом компьютере работу клиентской программы 1с для работы с удаленной базой sql по ip адресу сервера
Список баз можно выложить на общий доступ. Учи матчасть :-)
4. для доступа к файлам сервера можно подключать каждый компьютер через сетевой диск
Зачем нужен доступ к файлам сервера в принципе?
5. остается вопрос как сделать видимыми друг для друга компьютеры из двух-трех офисов и нужен ли выделенный ip для каждого офиса
Через VPN это возможно, но не нужно. Выделенный IP нужен только в одном офисе фактически.
Вариант использовать облачные технологии оказались дорогими, минимум 6-8 человек будут одновременно подключаться.
Без штатного сисадмина и админа это самый дешевый вариант. У вас очень жадный шеф. Даже лицензионный офис с 5 теребайтами на 5 человек стоит 3 к в год.
3. каждый офис настраивает на каждом компьютере работу клиентской программы 1с для работы с удаленной базой sql по ip адресу сервера
О, Вы еще и эксперт в области защиты Windows? Только по -настоящему знающий человек может рисковать выставлять сервер с данными голой жопой задницей в Интернет. Я ошибся? Тогда линух точно ваше все. Ну либо винда и роутер (на линухе же) впереди.
Йопт, Вы наверное крипторы пишете одной рукой. Потому что только человек, знающий все потроха крипторов, способен так вот запросто выставлять в Интернет каналы коммуникации. Не? Тогда VPN - ваше все.
5. остается вопрос как сделать видимыми друг для друга компьютеры из двух-трех офисов и нужен ли выделенный ip для каждого офиса
Не. Остается вопрос - как сделать так, чтобы ваши данные не уперли и не зашифровали в первый же день работы этого поистину феерического бреда :)
Послушайте старого крокодила - наймите специалиста :) В локалке то, что Вы предполагаете - оно возможно заработало бы. В глобальной сети Вы, простите, несете такую фееричную чушь, что я даже не буду обьяснять, что в ней неправильно :)
Была поставлена задача развернуть VPN сервер для обеспечения еще одной ступени безопасности от внешних атак при входе по RDP по белому IP адресу. Не для кого не секрет как сканируются и получаются белые IP адреса, порты и перебираются пароли для доступа по RDP, что в дальнейшем может выльется в большую проблему, по шифрованию серверов, удалению данных и т.д. с последующем выкупом информации.
Про защиту RDP много сказано и много написано как избежать взлома, как защитить сервер, как хранить копии, где хранить и т.д., все это не когда не будет лишнем. Но одним из самых надежных все же является VPN сервер со своими протоколами, сертификатами, шифрованиями и т.д.
Данная статься не является эталоном настройки или учебным пособием, тут просто была решена поставленная задача, просто и быстро в короткие сроки. Без углубленных знаний протоколов шифрования, методов и т.д. кто хочет изучить это более глубоко и детально, то в данном программном обеспечении там не паханое поле возможностей для любых задач.
Офф. сайт для скачивания, так же там имеется вся документация по настройке (на англ.):
2. После установки, преступаем к настройке сервера VPN. Имя хоста, порт VPN севера, учетные данные для администрирования.
При первом входе запросит задать пароль администратора
3 . После переходим к настройке самой серверной части для дальнейшей его работы:
Описание настроек что и для чего необходимо более детально, можно найти в документации.
Данная настройка позволяет получать доступ к сети любому клиенту подключенному к VPN серверу, как будто они находятся в одной физической сети.
Указываем имя VPN сервера
- Включить функцию сервера L2TP через IPsec (включено)
- Включить функцию сервера L2TP без шифрования (выключено в нашем случае)
После настройки, создаем пользователей для VPN сервера.
1. Имя пользователя
2. различные типы аутентификации (самые предпочтительные просто парольная защита и пароль + сертификат)
3. При аутентификации по сертификату создаем сертификат на пользователя.
4. При создание указываются данные пользователя сертификата, срок действия, тип и т.д.
После создание сохраняем сертификат и ключ сертификата.
4. Настройка и управление VPN сервера и хаба:
Настройки виртуальной сети, настройка DHCP сервера (рекомендую отключить DHCP и прописать адреса вручную на виртуальном адаптере), интервал IP адресов, маски и т. д.
5. Настройка Security Policy для пользователя (в моем случае оставил все по умолчанию):
6. Настройка сетевого моста для объединения нескольких сетей в том числе и разных VPN сетей (в нашем случае она не нужна этот пункт можно пропустить). И перейти к настройке клиентской части программы.
7. Настройка и установка клиентской части VPN-клиента (для этого нам понадобится дистрибутив для клиентской части):
Добавление клиента к VPN подключению:
- Адрес сервера (белый, внешний IP адрес), порт сервера указанный при настройке (по умолчанию 5555), имя VPN сервера (по умолчанию VPN)
- Выбираем способ аутентификации по которому был настроен доступ к серверу (в нашем случае по сертификату и паролю)
- после чего создается подключение по которому можно цепляться к VPN серверу (не забудьте настроить проброс порта на сервер в примере 5555 иначе может не подключаться) и потом уже заходить по RDP как по локальной сети (так же можно настроить доступ к ресурсам сети, принтерам, компьютерам сети и т.д.)
Для минимизации для пользователей можно настроить простой вид:
8. Так же необходимо создать правило маршрутизации для сервера VPN (интернет будет использоваться вашей машины, а не VPN сервера):
route add 192.168.1.10 192.168.30.1 -p
Вот и все настройка VPN сервера и клиента завершена можно работать, все работает стабильно без разрывов и тормозов и прочих проблем, для администрирования и настройки под себя и свою специфику всю информацию можно найти на офф. сайте. Для нашей задаче этого вполне достаточно. Во вложении все необходимые программы для настройки.
В базе 1С под платформой версии 8.1 настроено взаимодействие с SQL-сервером сторонней организации.
С этого SQL-сервера в базу 1С загружаются некоторые данные.
Эта загрузка может выполняться как на стороне клиента 1С,
так и на стороне сервера 1С-Предприятия (в регламентном задании).
Кроме этого на стороне клиента 1С имеются онлайновые сервисы,
выполняющие добавление и удаление определенных данных на SQL-сервере.
Связь со сторонним SQL-сервером организована через VPN.
Причем на разных серверах используются разные VPN-соединения под разными пользователями.
И было бы все хорошо, но VPN-соединение вещь капризная – регулярно вылетает.
Поэтому приходилось часто заходить на сервера и перезапускать VPN-соединения вручную.
В связи с описанным возникла идея, при необходимости «пинать» VPN из самой 1С из командной строки.
Переподключать VPN-соединение требуется в самых вариантах:
- на стороне клиента 1С;
- на стороне сервера 1С;
- на стороне клиента с передачей выполнения команды на сервер 1С.
При переподключении соединения естественно надо контролировать результат выполнения действия.
Решение задачи:
После общения с админами выяснилось следующее:
Команда для подключения VPN-соединения:
“rasdial ИмяСоединения ИмяПользователя Пароль /DOMAIN:ИмяДомена”
Команда для разрыва VPN-соединения:
“rasdial ИмяСоединения /DISCONNECT ” .
В связи с этим напрашивается два штатных для 1С варианта решения задачи:
1) Процедура КомандаСистемы ( СтрокаКоманды ,)
2) Процедура ЗапуститьПриложение ( СтрокаКоманды ,,Истина)
Первый вариант отпадает, поскольку процедура не доступна на стороне сервера 1С.
Второй вариант также не годится, поскольку не работает на стороне сервера 1С для платформы 8.1.
Кроме этого узнать результат выполнения команды с помощью процедуры ЗапуститьПриложение ()
можно только для платформы 1С, начиная с версии 8.2.15 .
У этого объекта имеется метод Run ( СтрокаКоманды , РежимОкна , ОжидатьЗавершение ) ,
позволяющий выполнить любую команду системы с контролем ее результата:
Реализация решения задачи:
По ряду соображений для реализации задачи было решено приспособить план обмена «Обмен данными COM» в составе подсистемы «COMExchange».
Для этого в плане обмена, начиная с версии подсистемы 8.1.1.3 , были сделаны следующие изменения:
1) Часть функционала из модуля объекта плана обмена "ОбменДаннымиCOM" перенесена в новый общий модуль "COMУзел"
(для совместимости с видимостью контекстов в управляемом приложении) с сохранением обратной совместимости;
2) Добавлено пользовательское событие ПередОтключением ( Соединение , Disconnect ) , которое позволяет переопределить
строку соединения с источником данных (строку команды) или текст модуля закрытия соединения;
3) Добавлена возможность подключения-отключения к источнику данных на стороне сервера с инициализацией (передачей управления)
со стороны клиента - регулируется опцией подключения-отключения « ВыполнятьНаСервере » (Рис.4, Рис.6);
4) Добавлена возможность заново создавать COM-объект приложения источника данных КоннекторCOM перед выполнением
модуля закрытия соединения - регулируется опцией отключения « ПересоздатьCOM » (Рис.6);
5) В список стандартных настроек плана обмена добавлены настройки для работы с операционной системой через объект "WScript.Shell" (Рис.2);
6) В форме автозаполнения добавлено заполнение стандартных узлов с кодами "WSH.Run " и " WSH.Exec" (Рис.1);
7) В дополнение к реквизитам «Пользователь» и «Пароль» добавлен реквизит «Домен» и соответствующее ему макроимя !Домен!
в строке соединения для указания домена пользователя (Рис.3);
8) В дополнение к реквизиту «Используется» добавлен реквизит «ИмяКомпьютера» для поиска нужного узла
в зависимости от компьютера, на котором запущен сеанс 1С (Рис.3).
Описание демонстрационной информационной базы:
В файле поставки к статье COMExchangeDemо.rar находится выгрузка информационной базы
для демонстрации реализованного функционала управления VPN-соединениями.
В план обмена «Обмен данными COM» этой базы добавлены три дополнительных узла ( Рис.1):
В демонстрационной базе также имеется тестовая обработка «Управление VPN-соединением из 1С» (Рис.7), выполняющая следующие действия:
Для выполнения подключения и отключения VPN-соединения обработка использует стандартный узел "WSH.Run" .
При этом в пользовательских событиях ПередПодключением () и ПередОтключением ()
переопределяется строка соединения с источником данных узла, используемая в качестве строки команды.
Благодарности:
Выражаю благодарность коллегам - системным администраторам, за плодотворное общение.
Читайте также: