Бухгалтерию перешла с СПЭД на сбербанк бизнес онлайн. Все шло хорошо, но вот бухи начали хотеть доп функционал который дает СББОЛ(сбербанк бизнес онлайн) в частности ЭДО(электронный документооборот) или как он в СББОЛ называться e-invoicing.
Но не тут то было.
При входе на вкладку получи ошибку TLS 0210
Начал пинать тех. поддержку. Они предложили обновить прошивку VNPKey.
Сказано сделано. Не помогло. Ладно говорят давайте проверим настройки Internet Explorer.
Поэтапно идем. Доходим до этапа надежных узлов и тут она говорит что надо добавить в надежные узлы http://einv.esphere.ru. И естественно на вопрос, нужен ли пользователю доступ на этот адрес ответ да. А сразу сказать что для работы e-invocing нужен доступ на сторонние ресурсы они не могли. Ладно открываю доступ на проксе к сайту но не идет и всё. На что мне заявляют а вы отключите доступ через прокси, на что я им отвечаю что без прокси работать не будет т.к. пользователь не имеет прямого доступа, и тут связь прервалась.
Но сложыв два плюс два, провел ряд экспериментов, пришёл пока к такому решению
Но не тут то было.
При входе на вкладку получи ошибку TLS 0210
Начал пинать тех. поддержку. Они предложили обновить прошивку VNPKey.
Сказано сделано. Не помогло. Ладно говорят давайте проверим настройки Internet Explorer.
Поэтапно идем. Доходим до этапа надежных узлов и тут она говорит что надо добавить в надежные узлы http://einv.esphere.ru. И естественно на вопрос, нужен ли пользователю доступ на этот адрес ответ да. А сразу сказать что для работы e-invocing нужен доступ на сторонние ресурсы они не могли. Ладно открываю доступ на проксе к сайту но не идет и всё. На что мне заявляют а вы отключите доступ через прокси, на что я им отвечаю что без прокси работать не будет т.к. пользователь не имеет прямого доступа, и тут связь прервалась.
Но сложыв два плюс два, провел ряд экспериментов, пришёл пока к такому решению
Решение
Из-за специфики работы VPN-ключа squid не пускал дополнительное соединение. Пришлось открыть прямой доступ(мимо прокси) для компа с которого работает пользователь к следующим ресурсам.
194.54.14.137 порт 433
194.186.207.182 порт 433
195.8.62.178 порт 433
это для работы СББОЛ
и к
92.38.2.0 /24 (т.е. всей подсети)
upd: 92.38.2.37 -ориентировочно хватает только этого адреса
upd2: ftls_prod.esphere.ru:443-(сам не проверял но судя по всему доменное имя для работы, можно зацепится за него)
upd: 92.38.2.37 -ориентировочно хватает только этого адреса
upd2: ftls_prod.esphere.ru:443-(сам не проверял но судя по всему доменное имя для работы, можно зацепится за него)
эт для работы e-invocing причем сотрудники тех поддержки не в курсе. Они не смогли сузить количество адресов, да и в принципе не в курсе что к этому доступ нужно давать.
Эксперименты пока продолжаю, но прямой доступ к эти 5 адресам решает проблему.
Благодарю Вас за статью! Очень помогла!
ОтветитьУдалитьМне в тех.поддержке Сбербанка ничего не сказали про 92.38.2.0 /24. Сделал так как Вы написали и теперь E-invoicing открывается и работает без проблем.
Всегда пожалуйста. Пока ни как руки не дойдут вычислить более узкий диапазон.
ОтветитьУдалитьСпасибо за список IP, вы сэкономили мне время.
ОтветитьУдалитьДа всегда пожалуйста. Рад что кому то ещё пригодилась данная информация.
УдалитьНапиши как открывал прямой доступ.
ОтветитьУдалитьРуками :) Тут уже зависит от вашего файрвола. Я просто машине с СБОЛ пустил мимо прокси сервера и открыл доступ только на указанные IP, любое другое общение с внешним миром прикрыто напрочь.
УдалитьЯ только учусь совладать со squid+iptables. Понимаю что надо NAT правила прописать, только вот как правильно их писать. Если знаешь, напиши пример.
УдалитьДля быстрой и наглядной работы с iptables пользуюсь fwbuilder, удобно и наглядно, надо только сначала настроить, но документации в принципе в инете хватает.
Удалитьну а если ручками то просто надо добавить команду вида
-A INPUT -s IP-машины которой разрешить -d IP-куда разрешить -j ACCEPT
Ну можно конечно еще добавить порты и протоколы но суть. "ну если ни чего не попутал то как то так"
92.38.2.37 пашет
ОтветитьУдалитьСпасибо. Проверю.
УдалитьДобавьте еще один адрес в список - ftls_prod.esphere.ru:443
ОтветитьУдалитьОк.
ОтветитьУдалитьsquid3 в режиме прозрачного прокси, все действия в статья не помогали, спасло на вкладке ACLs в пункте ACL SSLPorts добавить 9443, на вкладке General в строке X-Forwarded Header Mode выбрать delete.
ОтветитьУдалитьШёл 2024 год, а статья все еще актуальная)
ОтветитьУдалить