Токен VPN-key-TLS "Сбербанк Бизнес Онлайн"
-
- Сообщения: 351
- Зарегистрирован: Вс мар 05, 2006 12:19 pm
- Откуда: рядом с Москвой
- Контактная информация:
Токен VPN-key-TLS "Сбербанк Бизнес Онлайн"
Никто не встречался с сабж. В WTWare работает? В сбере техподдержка говорит что ХР с терминальным сервером 2003 работает. Правда проверить не удалось, сам токен оказался недоделанный, отдал менять. Привезут назад в понедельник.
А пока есть время поспрашивать/подумать
Первый вариант ноут купить только для этого клиента.
Второй вариант (в соседних ветках прочитал) попробовать поднять на vmware esxi4.1 виртуальную ХР и подключить этот "токен" к ней. Но возникает еще проблема у меня на хостах ЮСБ портов не хватит Они и так уже почти все заняты. А клиентов планируется много. Да и самих хостов тоже (так как я не уверен, что корректно они будут идентичные определяться)
Еще варианты будут? В какую сторону копать?
А пока есть время поспрашивать/подумать
Первый вариант ноут купить только для этого клиента.
Второй вариант (в соседних ветках прочитал) попробовать поднять на vmware esxi4.1 виртуальную ХР и подключить этот "токен" к ней. Но возникает еще проблема у меня на хостах ЮСБ портов не хватит Они и так уже почти все заняты. А клиентов планируется много. Да и самих хостов тоже (так как я не уверен, что корректно они будут идентичные определяться)
Еще варианты будут? В какую сторону копать?
-
- Разработчик
- Сообщения: 12005
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: VPN-key-TLS Сбербанк бизнес онлайн
Привезут токен - воткни его в терминал, сохрани лог и покажи мне. Узнаю USB ID - скажу, есть ли шанс прикрутить драйвер для проброса через smartcard=on.
Еще можно через shared_usb пробросить, и злобный хак применить. Но я бы испугался боевой сервер ломать.
Я за виртуальную XP.
Еще можно через shared_usb пробросить, и злобный хак применить. Но я бы испугался боевой сервер ломать.
Я за виртуальную XP.
-
- Сообщения: 285
- Зарегистрирован: Вс ноя 13, 2005 7:39 pm
- Откуда: Москва
- Контактная информация:
Re: VPN-key-TLS Сбербанк бизнес онлайн
тут не в ключе дело.
ведь он ставит туннель до их сервера, на openvpn смахивает. его можно наверное и в сервер воткнуть.
еще надо чтобы нечаянно с их ip адресами не совпало...
у нашего сбера 10.100.хх.хх было, а на машинке по умолчанию оказалось 10.0.0.0/8
их спец уже начал firewall останавливать и антивирус выключать, не смог "дойти".
и там еще должен быть один ключик - для подписи с помошью эцп.
в другом случае был просто кардридер ввиде влешки и внутри было чтото типа симки - эцп контеейнер
и они разные по принципу работы.
но лучше всего конечно виртуальная xp
ведь он ставит туннель до их сервера, на openvpn смахивает. его можно наверное и в сервер воткнуть.
еще надо чтобы нечаянно с их ip адресами не совпало...
у нашего сбера 10.100.хх.хх было, а на машинке по умолчанию оказалось 10.0.0.0/8
их спец уже начал firewall останавливать и антивирус выключать, не смог "дойти".
и там еще должен быть один ключик - для подписи с помошью эцп.
в другом случае был просто кардридер ввиде влешки и внутри было чтото типа симки - эцп контеейнер
и они разные по принципу работы.
но лучше всего конечно виртуальная xp
-
- Сообщения: 351
- Зарегистрирован: Вс мар 05, 2006 12:19 pm
- Откуда: рядом с Москвой
- Контактная информация:
Re: VPN-key-TLS Сбербанк бизнес онлайн
Сегодня не удалось воткнуть в бездисковую станцию Но вот что что пишет XP об устройствеaka писал(а):Привезут токен - воткни его в терминал, сохрани лог и покажи мне. Узнаю USB ID - скажу, есть ли шанс прикрутить драйвер для проброса через smartcard=on.
Еще можно через shared_usb пробросить, и злобный хак применить. Но я бы испугался боевой сервер ломать.
Я за виртуальную XP.
Allied HWDSSL DEVICE
USB\VID_2022&PID_013C&MI_01\6&28CF35F5&0001
На виртуальном 2003 сервере локально получилось все, по rdp с ХР( токен вставлен в обычный комп) не подключается, дрова на сервер не ставятся, токен не пробрасывается. Хотя они (дрова) там уже есть, ведь локально в консоли работало.
ЮСБ хаб на esxi 4.1 работает, я просто раньше не подключал устройства через ЮСБ хаб к esxi.
-
- Разработчик
- Сообщения: 12005
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: VPN-key-TLS Сбербанк бизнес онлайн
Такого производителя даже в базе USB устройств нету http://www.linux-usb.org/usb.ids Гугл не знает "Allied HWDSSL DEVICE". Где сбербанк накую железку нашел, про которую никто не знает?gserg писал(а):Сегодня не удалось воткнуть в бездисковую станцию Но вот что что пишет XP об устройстве
Allied HWDSSL DEVICE
USB\VID_2022&PID_013C&MI_01\6&28CF35F5&0001
Не получится перенаправить этот ключ через smartcard=.
-
- Сообщения: 351
- Зарегистрирован: Вс мар 05, 2006 12:19 pm
- Откуда: рядом с Москвой
- Контактная информация:
Re: VPN-key-TLS Сбербанк бизнес онлайн
Андрей спасибо, я позавчера и вчера уделил некоторое время "мучениям" с этой железкой. Оказалось что даже с обычным компом по RDP не работает Что в последствии с неохотой подтвердили на третьем уровне техподдержки сбербанка. Так что даже "виртуалки" отпадают, только обычный комп, причем только с виндойaka писал(а):Такого производителя даже в базе USB устройств нету http://www.linux-usb.org/usb.ids Гугл не знает "Allied HWDSSL DEVICE". Где сбербанк накую железку нашел, про которую никто не знает?gserg писал(а):Сегодня не удалось воткнуть в бездисковую станцию Но вот что что пишет XP об устройстве
Allied HWDSSL DEVICE
USB\VID_2022&PID_013C&MI_01\6&28CF35F5&0001
Не получится перенаправить этот ключ через smartcard=.
Так что для меня остался один вариант, нетбук за 10 тыр ну может быть дешевле найду
ЗЫ техподдержка выше уровня "три" в Сбере по этой железке уже на внешней конторе www.asteros.ru
-
- Разработчик
- Сообщения: 12005
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: VPN-key-TLS Сбербанк бизнес онлайн
Не понимаю, почему отпадают виртуалки. Желзку вставить в порт сервера, перенаправить нужной виртуалке и будет счастье.
-
- Сообщения: 351
- Зарегистрирован: Вс мар 05, 2006 12:19 pm
- Откуда: рядом с Москвой
- Контактная информация:
Re: VPN-key-TLS Сбербанк бизнес онлайн
Ну а я как подключал железку к виртуалке? Так же и подключал. Не работает даже при управлении из консоли виртуальной машины. Ключ видно, даже диск дополнительный подымается, на котором прога инициализации ключа записана, запускает со ссылкой на web страничку на localhost, а скрытых областей ключа где сертификаты лежат -- нет. Ну соответственно и связи с банком нет.aka писал(а):Не понимаю, почему отпадают виртуалки. Желзку вставить в порт сервера, перенаправить нужной виртуалке и будет счастье.
ЗЫ Я не истина последней инстанции Но у меня не получилось, в понедельник- среду зарегистрируют в банке сертификаты до конца (хотя и без них связь с банком работает, просто счетом нельзя управлять), может еще раз попробую.
Re: VPN-key-TLS Сбербанк бизнес онлайн
Многие юзают HYPER-V, а там проброса USB нет, пришлось USB-сервер железный заюзать, благо железка была куплена более года назад http://market.yandex.ru/search.xml?text ... redirect=2.aka писал(а):Не понимаю, почему отпадают виртуалки. Желзку вставить в порт сервера, перенаправить нужной виртуалке и будет счастье.
Плохо, что защиты в них никакой нет, только если на уровне сетевого оборудования защиту городить.
Re: VPN-key-TLS Сбербанк бизнес онлайн
Подскажите умеет ли разные порты отдавать разным серверам ?Arkadiy писал(а): Многие юзают HYPER-V, а там проброса USB нет, пришлось USB-сервер железный заюзать, благо железка была куплена более года назад http://market.yandex.ru/search.xml?text ... redirect=2.
Поддерживает ли windows 2008R2 / 2012 ?
Re: VPN-key-TLS Сбербанк бизнес онлайн
Нет, не удалось. Даже через железный USB сервер не работает, устройства видит, но при старте софтина ругается. Видимо она наточена в терминальной сессии не работать.
В итоге, к виртуальной машине, где стоит клиент-банк приходиться через VNC ходить для работы с СБ@Л.
В итоге, к виртуальной машине, где стоит клиент-банк приходиться через VNC ходить для работы с СБ@Л.
Re: VPN-key-TLS Сбербанк бизнес онлайн
У меня сберовский VPN-key от "Сбербанк ОНЛАЙН" работает на vmware esxi 5. Сами терминалы его не определяют, пришлось воткнуть в хост, и назначить этот юсб нужной виртуальной машине. Нормально работает.
Re: VPN-key-TLS Сбербанк бизнес онлайн
2gserg
не работает эта штука в втвари, т.к. нет линуксовых дров (ответ разработчика)
не работает эта штука в втвари, т.к. нет линуксовых дров (ответ разработчика)
-
- Сообщения: 351
- Зарегистрирован: Вс мар 05, 2006 12:19 pm
- Откуда: рядом с Москвой
- Контактная информация:
Re: Токен VPN-key-TLS "Сбербанк Бизнес Онлайн"
Апну тему.
Что нибудь за два года изменилось? То с чего я начинал работало только на отдельном железном ноуте. Потом счета в этом отделении закрыли
и проблема снялась. Теперь с 1 июля перестает работать классический банк-клиент (не интернет) и говорят что нужен переход на интернет версию. На выбор "АС Сбербанк бизнес" или "АС Сбербанк бизнес онлайн". В обоих версиях выше упомянутые токены. Мысли какие-то или опыт есть? Прошу поделиться
Что нибудь за два года изменилось? То с чего я начинал работало только на отдельном железном ноуте. Потом счета в этом отделении закрыли
и проблема снялась. Теперь с 1 июля перестает работать классический банк-клиент (не интернет) и говорят что нужен переход на интернет версию. На выбор "АС Сбербанк бизнес" или "АС Сбербанк бизнес онлайн". В обоих версиях выше упомянутые токены. Мысли какие-то или опыт есть? Прошу поделиться
-
- Разработчик
- Сообщения: 12005
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Токен VPN-key-TLS "Сбербанк Бизнес Онлайн"
Нам сбербанк заменил токена в клиентбанке, теперь у нас другой USB ID. Но линуксовый драйверов нет ни под прежний, ни под нынешний.
Re: Токен VPN-key-TLS "Сбербанк Бизнес Онлайн"
[quote="aka"]Нам сбербанк заменил токена в клиентбанке, теперь у нас другой USB ID. Но линуксовый драйверов нет ни под прежний, ни под нынешний.[/quote]
Андрей, приветствую. И каким образом работаете?
Андрей, приветствую. И каким образом работаете?
-
- Разработчик
- Сообщения: 12005
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Токен VPN-key-TLS "Сбербанк Бизнес Онлайн"
Воткнули влюч в сервер и перенаправили его отдельной виртуальной машине, на которой живёт клиент-банк и ничего больше.
Re: Токен VPN-key-TLS "Сбербанк Бизнес Онлайн"
[quote="aka"]Воткнули влюч в сервер и перенаправили его отдельной виртуальной машине, на которой живёт клиент-банк и ничего больше.[/quote]
К виртуалке по RDP подсоединяетесь? В некоторых клиентах сбербанка соединение по RDP блокируют.
К виртуалке по RDP подсоединяетесь? В некоторых клиентах сбербанка соединение по RDP блокируют.
Re: Токен VPN-key-TLS "Сбербанк Бизнес Онлайн"
Апну тему. И снова Сбербанк Бизнес Онлайн. Подключаю токен - пробрасывается корректно. Запускаю start.exe с него - выдается сообщение об ошибке "не удается открыть infocrypt hwdssl device".
Поддерживается ли этот токен в настоящее время?
Поддерживается ли этот токен в настоящее время?
-
- Разработчик
- Сообщения: 12005
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Токен VPN-key-TLS "Сбербанк Бизнес Онлайн"
Неужели. Как определяешь, что пробрасывается корректно?Станислав писал(а):Подключаю токен - пробрасывается корректно.
-
- Сообщения: 63
- Зарегистрирован: Чт май 23, 2019 12:16 pm
Re: Токен VPN-key-TLS "Сбербанк Бизнес Онлайн"
Ну что, в 21м году не завелось ни у кого?)
Re: Токен VPN-key-TLS "Сбербанк Бизнес Онлайн"
Завелась через RDP. С картинками пишите на xmagsoft@rambler.ru вышлю.
Есть такая проблема :
1. Токен Сбера в рабочей машине бухгалтера, Бухгалтер посредством RDP подключается со своего домашнего компьютера.
I) Если на домашнюю машину бухгалтера установить Токен и даже если он видит Смарт-кард-ридер и CD от токена, то система не работает. Да, запускается проброшенный start.exe но система выдает ошибку HWDSSL DEVICE (проверяли с разных машин и ноутбуков). Даже если бы этот вариант работал, он нам не подходит, так как нам нельзя просто так отдавать банковский ключи сотрудникам на дом.
II) Если на Рабочем компе оставить Токен, то подключение по RDP не видит PIN коды (если только пользователь не зашел консольно или через подобие teamviever и не запустил start.exe вручную) а потом зашел через RDP. Но этот вариант нам тоже не подходит. Про системе ИБ мы не может оставлять токены в компьютерах в нерабочее время, выходные или без присмотра сотрудника на рабочем месте. Либо кто-то довереный должен это делать вручную и опять же кто-то должен или логинится, запускать из консоли start.exe или удаленно через teamviever это делать, но использовать что-то кроме VPN RDP нам запрещено.
III) Вариант который был реализован и нам подходит с точки зрения ИБ и который рабочий в настоящий момент. Токен находится в серверной, закрытой стойке на физическом сервере. Далее с помощью USB Redirector мы пробрасываем на Рабочий Бухгалтерский компьютер USB Токен сбербанка, при этом происходит автоматическое подключение токена при загрузки компьютера бухгалтера с помощью USB redirector. До этого Все файлы с CD Токена были скопированы на Диск C: в папкуб напрмиер Sber и была создана задача которая под системой запускает после загрузки компьютера Start.exe.
Получаем после загрузки компьютера автоматически подмонтируется USB токен с удаленного сервера к необходимой бухгалтерской машине, затем запускается start.exe при загрузке компьютера с помощью задачи. Когда бухгалтер подключается по терминал сессии из дома и подключается к Сбер банк Бизнесс Он-Лайн или Сбер Бизнес, то системапрекрасно видит Токен, система видит PIN и вся система в целом работает. Так делается на всех необходимых компьютерах бухгалтерии.
- Минус - если размонтировать USB с токеном а потом под монтировать Токен, то ничего не работает и чтобы начать работать надо перезагрузить рабочий компьютер (как я понимаю тут надо сервис перезапускать который запускает start.exe, а у простых пользователях этой возможности нет по причине прав доступа, но тоже можно легко можно решить написав сам свой сервис с функцией “передергивания” start.exe для пользователя в RDP сессии, что наверное я сам напишу если других мыслей не возникнет)
+ Плюсы - соблюдаем ИБ для своей организации, Бухгалтера согласно инструкции кому надо подключают данный токен Программно к своему рабочему компьютеру через бесплатного клиента USB Redirector, в режим автоматического подключения при загрузке системы и перезагружают совой рабочий компьютер, далее начинают штатно работать со Сбер клиентом как на локальном компьютере через RDP сессию.
Есть такая проблема :
1. Токен Сбера в рабочей машине бухгалтера, Бухгалтер посредством RDP подключается со своего домашнего компьютера.
I) Если на домашнюю машину бухгалтера установить Токен и даже если он видит Смарт-кард-ридер и CD от токена, то система не работает. Да, запускается проброшенный start.exe но система выдает ошибку HWDSSL DEVICE (проверяли с разных машин и ноутбуков). Даже если бы этот вариант работал, он нам не подходит, так как нам нельзя просто так отдавать банковский ключи сотрудникам на дом.
II) Если на Рабочем компе оставить Токен, то подключение по RDP не видит PIN коды (если только пользователь не зашел консольно или через подобие teamviever и не запустил start.exe вручную) а потом зашел через RDP. Но этот вариант нам тоже не подходит. Про системе ИБ мы не может оставлять токены в компьютерах в нерабочее время, выходные или без присмотра сотрудника на рабочем месте. Либо кто-то довереный должен это делать вручную и опять же кто-то должен или логинится, запускать из консоли start.exe или удаленно через teamviever это делать, но использовать что-то кроме VPN RDP нам запрещено.
III) Вариант который был реализован и нам подходит с точки зрения ИБ и который рабочий в настоящий момент. Токен находится в серверной, закрытой стойке на физическом сервере. Далее с помощью USB Redirector мы пробрасываем на Рабочий Бухгалтерский компьютер USB Токен сбербанка, при этом происходит автоматическое подключение токена при загрузки компьютера бухгалтера с помощью USB redirector. До этого Все файлы с CD Токена были скопированы на Диск C: в папкуб напрмиер Sber и была создана задача которая под системой запускает после загрузки компьютера Start.exe.
Получаем после загрузки компьютера автоматически подмонтируется USB токен с удаленного сервера к необходимой бухгалтерской машине, затем запускается start.exe при загрузке компьютера с помощью задачи. Когда бухгалтер подключается по терминал сессии из дома и подключается к Сбер банк Бизнесс Он-Лайн или Сбер Бизнес, то системапрекрасно видит Токен, система видит PIN и вся система в целом работает. Так делается на всех необходимых компьютерах бухгалтерии.
- Минус - если размонтировать USB с токеном а потом под монтировать Токен, то ничего не работает и чтобы начать работать надо перезагрузить рабочий компьютер (как я понимаю тут надо сервис перезапускать который запускает start.exe, а у простых пользователях этой возможности нет по причине прав доступа, но тоже можно легко можно решить написав сам свой сервис с функцией “передергивания” start.exe для пользователя в RDP сессии, что наверное я сам напишу если других мыслей не возникнет)
+ Плюсы - соблюдаем ИБ для своей организации, Бухгалтера согласно инструкции кому надо подключают данный токен Программно к своему рабочему компьютеру через бесплатного клиента USB Redirector, в режим автоматического подключения при загрузке системы и перезагружают совой рабочий компьютер, далее начинают штатно работать со Сбер клиентом как на локальном компьютере через RDP сессию.