Белый IP для доступа на сервер 1С

1. Сергей Поликарпов (Serega-artem) 10 15.08.16 23:03 Сейчас в теме
Доброго времени суток! Подскажите, есть сервер 1с. Находится он на машине под управлением ОС Windows Server 2008. Машина имеет статический IP, ну скажем 192.168.1.10. Подключаясь к базам в имени сервера просто пишем IP. Всё работает. Необходимо подключаться через Интернет, на данный момент для этого служит ТимВивер VPN для подключения к Базе используем IP, который предоставляет ТВ как "IP партнера" - всё работает. Есть задача выбросить из схемы ТВ, заменив его "Белым IP". Собственно как я понимаю задачу:

В роутере пробрасываем порт (ну скажем 5555) на IP сервера (192.168.1.10). При подключении к серверу используем в качестве адреса сервера Белый IP и порт (К примеру, 233.168.58.68:5555).

Вопрос: будет работать? Или не всё так просто и есть какие-то пляски с бубном специфические? Заранее спасибо!
Ответы
2. Cooler Silent (Cooler) 20 15.08.16 23:40 Сейчас в теме
(1) Serega-artem,
Вопрос: будет работать?
Будет, если ваш провайдер Интернета обеспечивает белый IP.

И желательно не просто белый, а статический - так будет удобнее всего..

Разумеется, надо еще в настройках сервера указать использование нестандартного порта.

И пароли использовать надежные, а то мало ли что. Либо все-таки поднимать VPN.
3. Сергей Поликарпов (Serega-artem) 10 16.08.16 09:05 Сейчас в теме
(2) Cooler, Провайдер обеспечивать будет, иначе и вопроса бы не было) Спасибо за ответ! А не встречали какую-нибудь толковую статью обзор про это дело? на инсте или еще где-нибудь. Применительно к 1с серверу.
5. борян петров (TODD22) 17 16.08.16 09:10 Сейчас в теме
(3) Serega-artem,
А не встречали какую-нибудь толковую статью обзор про это дело? на инсте или еще где-нибудь. Применительно к 1с серверу.

А какие статьи нужны? Опубликовал базу через web сервер и подключайся.
База на УФ? Какая конфигурация?
4. борян петров (TODD22) 17 16.08.16 09:09 Сейчас в теме
(2) Cooler,
И желательно не просто белый, а статический - так будет удобнее всего..

А что "Белый IP" <> "Статический IP" ?
7. Cooler Silent (Cooler) 20 16.08.16 10:29 Сейчас в теме
(4) TODD22,
А что "Белый IP" <> "Статический IP" ?
Разумеется. Статический - всегда белый, но не всякий белый - статический.

Потому что статический - это постоянный белый, а бывают (и даже чаще) динамические IP.

Например, мне Ростелеком выдает белый IP (то есть по нему ко мне можно достучаться извне), но в каждой сессии он разный, в пределах выделенного пула. Мне это пофиг - сайта не держу, базы не публикую и т.д., а за статический я должен был бы дополнительно платить провайдеру.
6. Роберт В е р т и н с к и й (v3rter) 16.08.16 09:29 Сейчас в теме
Работать будет. Для проброса лучше использовать порты 5000—49000, чтобы не пересекаться с системными и динамическими портами.
Кроме проброса порта в роутере может понадобится настройка брандмауэра. На роутере должна быть свежая прошивка, на сервере - обязательно актуальный антивирус, настроенная система бэкапа на недоступные вирусам носители, сложные пароли (16 символов из разных символьных групп) всех пользователей и отсутствие сохраненных под учетками паролей. Желательно также включить аудит отказов и периодически изучать журнал безопасности.

Собственно из-за проблем безопасности со временем вместо роутера появляется линуксовый шлюз/брандмауэр/vpn сервер ну или керио.
11. Сергей Поликарпов (Serega-artem) 10 16.08.16 15:00 Сейчас в теме
Всем спасибо за ответы!

Мне кажется, что некоторыми участниками обсуждения был не совсем понят вопрос. ТимВивер используется не для удаленного управления сервером, а для проброски VPN-туннеля до сервера. Принцип работы: клиент-сервер БЕЗ RDP (это принципиально). Схема работы: 1с-тонкий клиент на клиентской машине, база на сервере (и лицензии от туда берутся). У самих клиентов на сервере учетных записей нет (только пара админских) они подключаются только к конкретной базе на сервере 1с. Конфигурация НЕ типовая, УФ,но на web не тестировалась (а как мы знаем,есть между работой в тонком и веб клиентами небольшие отличия) соответственно вариант с веб-сервером не подойдет.

(6) v3rter, Собственно что я и хотел узнать, что не забыл ли я о каких-то нюансах. По вашему ответу вижу, что мыслю правильно в целом.

Всем еще раз спасибо)
13. Я торг (32325) 29.08.16 10:23 Сейчас в теме
(11) Serega-artem, Ну если RDP принципиально не рассматриваешь, то тогда мыслишь правильно, реализуешь отпишись))
14. Роман * (Black Cat) 32 29.08.16 16:48 Сейчас в теме
(11) Serega-artem, а если поднять VPN сервер в сети с серваком ? Все таки более безопасно будет чем порты пробрасывать. Много пользователей одновременно будет из вне сидеть ?
8. ан ан (shaman22) 16.08.16 13:00 Сейчас в теме
Подключиться должен, настрой РДП и не мучайся, по Тим Вьюверу тормозит да и не то это, удаленный стол или если не нужен Remote app. там порт прописан жестко TCP 3389, и мануалов по настройке просто куча.
9. ан ан (shaman22) 16.08.16 13:03 Сейчас в теме
И кстати не понятно, если ты собрался подключаться. если использовал ТВ, то был доступ до рабочего стола, а если собрался порты пробрасывать то до папки расшаренной? или все таки рдп? как то непонятно.
10. ан ан (shaman22) 16.08.16 13:07 Сейчас в теме
Если уж совсем дальше зайти можете создать что то типа l2tp соединения через интернет, с настройками на роутре соответственно, при его создании ваш комп какбы будет в локалке с той машиной, ну а там крутите как хотите. Без доп настроек и политик безопасности.
12. ан ан (shaman22) 17.08.16 05:18 Сейчас в теме
можно уточняющий вопрос, почему не рдп? и какой тип бызы у вас файл\MsSQL ?
15. Сергей Поликарпов (Serega-artem) 10 29.08.16 19:30 Сейчас в теме
Добрый день! Прошу прощения,что немного забросил тему - уезжал по делам. Коротко по вопросам:

RDP не вариант ибо нафига попу гармонь? Тонкий клиент для того и создавался, чтобы убирать костыли вроде RDP и тому подобного. VPN - идея несомненно правильная, но более сложный вариант (и в настройке и в обслуживании), а требование заказчика как раз простота решения. Тут как говориться, хозяин - барин. Плюс на клиентах очень слабый инет (3g модемы)+достаточно бюджетная (по самое не могу) конфигурация сервера, думается, что с VPN будут тормоза (ИМХО). Веб-доступ не подходит по тем-же причинам: небезопасно, лишние манипуляции и съеденные ресурсы на сервере,отсутствие у конфиги "официальной" совместимости с веб. Клиентов не много, 5-6 одновременных подключений.

Теперь собственно отчет, а скорее пошаговая инструкция (ибо подводные камни всё-же есть) для тех, кому интересно.

0. Получаем у провайдера белый статический IP.
1. Даем серверу тоже стат ip или закрепляем в dchp на роутере за конкретным mac-адресом конкретный ip.
2. Пробрасываем на роутере 2 порта: 1541 и 1561.
3. Делаем соответствующие настройки в брандмауэрах и фаерволах.
4. В файле hosts на клиенте (C:\Windows\System32\drivers\etc) делаем запись вида: ВашБелыйИП ИмяСервера1с
5. При добавлении базы в список ИБ пишем: Сервер: ИмяСервера1с Имя ИБ: ИмяВашейИБ

Всё...
16. Роман * (Black Cat) 32 30.08.16 00:22 Сейчас в теме
(15) Serega-artem, Знать бы вашу конфигурацию сети... Как юзеры ходят в инет ? Через железный роутер или программный шлюз ?
Я бы VPN поднял. Проброс портов - опасно.
19. Сергей Поликарпов (Serega-artem) 10 30.08.16 10:59 Сейчас в теме
(16) Black Cat, Да конфигурация проще некуда:

Роутер TPLINK модель не помню, но вполне себе обычный, домашний. Сервер (обычный ПК с более или менее хорошими характеристиками по железу) под ОС Сервер 2008, на нем 1с сервер + SQL Expres. На этом крутится самописная конфига на УФ. Клиентов (юзеров) 5-6 в пике. VPN - это гуд, я с вами согласен. Но, повторюсь, требование клиента максимальная простота всего и всё. На счет опасности... Ну опасно в принципе всё, что смотрит в инет. Доморощенному хакеру и это будет не по зубам, а профи везде найдет лазейку. Но профи всё это будет мало интересно.
23. Роман * (Black Cat) 32 30.08.16 14:15 Сейчас в теме
(19) Serega-artem, не думаю, что VPN - это такая сложность для заказчика. На TP Link не знаю, а на Zyxel Keenetic есть встроенный VPN клиент прям в роутере. Ну собственно - дело ваше)))
25. Сергей Поликарпов (Serega-artem) 10 30.08.16 14:36 Сейчас в теме
(23) Black Cat, Не скажу за все TPLINKи, но на этой конкретной модели нет VPN клиента. Настроить на сервере можно, но это всё равно:

-Лишние ресурсы.

-Лишний механизм, а любой лишний механизм усложняет в целом конструкцию, любая усложненная конструкция это минус в надежности.

-Дополнительные (пусть и мелкие) заморочки на клиентах (настроить подключение к VPN, каждый раз подключаться, смотреть чтобы не отваливалось).

Из плюсов только безопасность. В данном случаи, она не так критична.

Вообще, вопрос знатокам: какую опасность (реальный пример) могут таить в себе проброшенные порты? В частности:

3389 - (RDP для админских целей)
1541 и 1561 для 1с

Что с этим может сделать злоумышленник со средними знаниями?
Black Cat; +1 Ответить
26. Александр Бойко (alwiz3) 30.08.16 16:10 Сейчас в теме
(25)
Вообще, вопрос знатокам: какую опасность (реальный пример) могут таить в себе проброшенные порты? В частности:

3389 - (RDP для админских целей)
1541 и 1561 для 1с


Для RDP видел в свободном доступе перебиралку паролей. Вроде до MS Windows Server 2008 на нее не срабатывала политика по блокированию учетки при n неправильных попытках.

Для 1С тоже можно скрипт набросать для перебора, если список пользователей отображается или есть "крот".

Это все конечно не средние знания... Что можно сделать на сервере под админской учеткой и в 1С под пользовательской рассказывать, или сам нафантазируешь? %)
Black Cat; +1 Ответить
28. Сергей Поликарпов (Serega-artem) 10 30.08.16 19:27 Сейчас в теме
(26) alwiz3, Перебералка паролей.... Я не спец по информационной безопасности, но пароль состоящий из символов, спец.символов и цифр (т.е. так, как этого требует политика безопасности сервера) хотя-бы из 6-ти символов работать будет ОЧЕНЬ долго. Опять же ip и порт надо знать, куда стучаться. Пройти авторизацию в 1с путем перебора... тоже самое, но учитывая, что в 1с нет как таковой политики безопасности на пароли, этот вариант более реальный. Но, это скорее теория т.к. всё равно нужны некие начальные сведения: IP и порт для взлома RDP, имя Сервера 1с для подключения к ИБ. Иными словами, нужен слив данных из самой конторы. И чтобы его предотвратить нужен целый спектр мер информационной (и не только) безопасности в организации. Ибо сливают инфу не уборщицы, а люди, которые обладают высоким уровнем доступа к информационным ситемам (админы, начальники отделов и т.д.). И тут никакой VPN не спасет.
30. Роман * (Black Cat) 32 30.08.16 20:59 Сейчас в теме
(28) Serega-artem, это равносильно автомобилю: если его заказали - его обязательно угонят. Так и тут: если ваша локалку кому-то нужно взломать и навредить - ее взломают.
(29) Serega-artem, прикольно, посмеялся))))
32. Александр Бойко (alwiz3) 31.08.16 08:42 Сейчас в теме
(30)
это равносильно автомобилю: если его заказали - его обязательно угонят

Так то оно так... Только если бросать его на парковках и под домом незапертым или с открытми окнами угонят быстрее и 100% даже без заказа ))
И простая пищалка злых пионеров/пьяных пенсионеров отпугнет.
34. борян петров (TODD22) 17 31.08.16 09:12 Сейчас в теме
(30) Black Cat,
это равносильно автомобилю: если его заказали - его обязательно угонят.

Студентом в автосервисе работал. Противоугонки и тд ставил.

Приехала пара супружеская. Купили себе две новые машины. Жена попросила поставить ей обычную сигнализацию, механическую противоугонку и секретку.... Муж поставил обычную сигнализацию и то же рассуждал ходил что "если надо то угонят", а мы мол только на деньги его разводим.
Ну вот через пару дней его машину угнали, а машину его жены не смогли, при чём сломали механическую противоугонку, а на это времени убили не меньше часа, но вот с секреткой справится не смогли... не поняли принцип её работы и как её отключить... скорее всего не хватило времени...

Угоняют, взламывают и тд там где проще... Если максимально жизнь угонщикам(ломальщикам) усложнить то и шансов что угонят или взломают намного меньше.
Black Cat; +1 Ответить
35. Александр Бойко (alwiz3) 31.08.16 09:31 Сейчас в теме
(34) ИМХО - сравнение с машинами не совсем корректное ;) угон ради угона это одно, а взлом предприятия ради взлома... и чо ты с ним будешь делать? барыгам перепродашь?
36. борян петров (TODD22) 17 31.08.16 10:03 Сейчас в теме
(35) alwiz3,
сравнение с машинами не совсем корректное ;)

ИМХО вы путаете процесс и цели.... Что угон, что взлом это процесс. Какие приследуются цели это уже совсем другой вопрос.
(35) alwiz3,
и чо ты с ним будешь делать? барыгам перепродашь?

Вариант зашифровать(удалить данные), а затем предложить их купить у тебя не предлагать?

Угнанную машину то же иногда за деньги вернуть предлагают....
37. Александр Бойко (alwiz3) 31.08.16 10:41 Сейчас в теме
(36)
Что угон, что взлом это процесс. Какие приследуются цели это уже совсем другой вопрос
Согласен.

Вариант зашифровать(удалить данные), а затем предложить их купить у тебя не предлагать?

Не учел. Я смотрю, у Вас тут опыта больше ))
38. борян петров (TODD22) 17 31.08.16 10:44 Сейчас в теме
(37) alwiz3,
Я смотрю, у Вас тут опыта больше ))

Письма и новости от 1С не читаете? Они даже в типовых предупреждают о вирусах шифровальщиках и тд.
31. Александр Бойко (alwiz3) 31.08.16 08:37 Сейчас в теме
(28)
пароль состоящий из символов, спец.символов и цифр (т.е. так, как этого требует политика безопасности сервера) хотя-бы из 6-ти символов работать будет ОЧЕНЬ долго

Так и есть. Только как показывает практика - почти любой подобный пароль написан на мониторе/клавиатуре/в блокнотике на столе на первой странице.

Опять же ip и порт надо знать, куда стучаться.
белый ip узнается на раз-два-три, открытые порты полным перебором максимум за час

Иными словами, нужен слив данных из самой конторы. И чтобы его предотвратить нужен целый спектр мер информационной (и не только) безопасности в организации.

Вот именно! предотвратить слив с текучкой менеджеров практически не возможно, при небольших потугах ЛЮБОЙ жаждущий малолетний придурок с комплексом неполноценности может попытаться самоутверидиться, оно тебе надо? Про целенаправленную атаку - если рассуждать "а тут надо знать ип, тут порт, а тут вообще долго ждать", чем больше таких "и так сойдет" тем проще и быстрее добиться успеха. А VPN.... Настроил клиента/железку, про сертификаты/ключи знают 1.5 человека, и гори эта "социальная инженерия" огнем - кто там что знает, кому он это рассказывает, меньше дырок - крепче сон.
27. Роман * (Black Cat) 32 30.08.16 17:26 Сейчас в теме
29. Сергей Поликарпов (Serega-artem) 10 30.08.16 19:36 Сейчас в теме
(27) Black Cat, Ну там ничего не говорит именно о взломе. Может бывший админ или фриласер, который имел доступ на сервак насолил за не выплаченную З/П. Вариантов много. Вспоминаю курьезный случай, годов 2006-07-х. Городок у нас небольшой и широкополосный инет в то время только начал приходить. В основном, от УралСвязьИнформа (ныне Ростелеком) по адсл, но и появилась одна конкурирующая компания. Подробностей топологии сети не знаю, но весь город был одной большой локалкой из клиентов этой конторы. Со статичными IP типа 192.168.ХХ.ХХ. Соответственно то,что расшаривалось на компе, попадало в общий доступ. Ну физ. лица понятно - фильмы, музыка и т.п. Смешно было когда к этому провайдеру подключались организации,да так криво, что вся их локалка (с расшариными ресурсами) вываливалась в общую сеть. И чего там только не было: 1с базы, вордовские документы, списки поставщиков и клиентов в экселе и т.п. и т.д. Так я к чему, думаю в этих организациях, когда "ломались" базы и пропадали доки, тоже грешили на крутых хакеров и рейдерские атаки))))
33. Александр Бойко (alwiz3) 31.08.16 08:45 Сейчас в теме
(29) чего далеко ходить. 2016 год. Краснодар. провайдер Sky-telecom. Все клиенты друг-друг "видят". Если у тебя аплинк воткнут в свитч, все твои шары/1с-ы открытые.
39. Админы Долгов и К (it-dolgovagro) 04.09.16 15:37 Сейчас в теме
(25) Serega-artem, Если сервер и клиенты в разных офисах, в разных городах.
Берутся два микротика, на них поднимается PPTP и поверх EoIP. При такой схеме сервер и клиенты будут в одной сети.
Можете использовать тонкий клиент. Либо web по локальному адресу сервака
Ни каких пробросов портов не нужно. Кроме вас ни кто не будет знать
реальный внешний ip сервера.
Цена вопроса 4000 руб два MIKROTIK HAP LITE(Если совсем бюджет маленький)
Еще отпадает вопрос с лицензированием TeamViewer. TV в этой схеме не нужен.
40. Сергей Поликарпов (Serega-artem) 10 06.09.16 11:34 Сейчас в теме
(39) it-dolgovagro, Вы думаете это проще чем VPN поднять?
43. Роман * (Black Cat) 32 06.09.16 16:19 Сейчас в теме
(39) it-dolgovagro, это если у автора 2 офиса. А если офис и несколько мобильных клиентов. Тогда это вариант не проктит.
44. Сергей Поликарпов (Serega-artem) 10 06.09.16 18:05 Сейчас в теме
(43) Black Cat, У автора уже всё прекрасно работает) Просто тема стала этаким общим сборником вариантов как решить подобную задачу. И предложенное it-dolgovagro вполне может одним из вариантов решения.
45. Админы Долгов и К (it-dolgovagro) 06.09.16 21:18 Сейчас в теме
(43) Black Cat,

Я В принципе вот это имел ввиду
"Вообще, вопрос знатокам: какую опасность (реальный пример) могут таить в себе проброшенные порты? В частности:

3389 - (RDP для админских целей)
1541 и 1561 для 1с

И описал как сделать,чтоб не надо пробрасывать порты, используя 2 маршрутизатора.
Правда я не понял для чего пробрасывать 1541 и 1561 для 1С.

Если офис и несколько мобильных клиентов- так понимаю работники использующие ноутбук или планшет.
Можно вообще использовать простой браузер. Правда на планшетах не очень удобно.
Сделать публикацию в WEB + на маршрутизаторе прописать нестандартный порт на 80 порт.
17. Я торг (32325) 30.08.16 10:34 Сейчас в теме
(15) Serega-artem, а на слабом интернете это все не отваливается каждые 2 минуты?
18. Сергей Поликарпов (Serega-artem) 10 30.08.16 10:52 Сейчас в теме
(17) 32325, Нет, всё стабильно.
20. Александр Бойко (alwiz3) 30.08.16 11:08 Сейчас в теме
(15)
2. Пробрасываем на роутере 2 порта: 1541 и 1561.

вместо 1561 весь диапазон 1561-1590

(17)
а на слабом интернете это все не отваливается каждые 2 минуты?

там и на 300 кбит/с терпимо тянет. у нас как-то такая схема в удаленном офисе на 3g модеме мегафоновском жила
21. Сергей Поликарпов (Serega-artem) 10 30.08.16 12:45 Сейчас в теме
(20) alwiz3, Пока хватает и двух проброшенных, всё работает ок. Диапазон без необходимости стараюсь не пробрасывать т.к. если есть возможность обойтись конкретными портами это безопаснее. Ну посмотрим еще дальше как работать будет. За совет в любом случаи спасибо)
22. Александр Бойко (alwiz3) 30.08.16 13:30 Сейчас в теме
(21)
Пока хватает и двух проброшенных, всё работает ок

Странно, у нас постоянно по этому диапазону тонкий клиент ломился... Может со времен 8.2 что-то и поменялось, может из-за того, что debug на сервере включен... повторные эксперименты не проводились.
24. Сергей Поликарпов (Serega-artem) 10 30.08.16 14:19 Сейчас в теме
(22) alwiz3, Я, если честно, тоже удивляюсь, что работает пробробросом всего двух портов.Уже не первый раз слышу про то, что требуются целые диапазоны. Будем наблюдать дальше, будут ли траблы.
41. Админы Долгов и К (it-dolgovagro) 06.09.16 15:11 Сейчас в теме
Конечно проще.
+ безопасность - ни кто не знает где ваш сервак находится.
В случае с VPN на рабочей машине вы указываете ip адрес vpn сервера.
42. Сергей Поликарпов (Serega-artem) 10 06.09.16 15:46 Сейчас в теме
(41) it-dolgovagro, Ну в плане безопасности, возможно, а вот то, что проще - сильно сомневаюсь. Впрочем, этот вариант тоже имеет право на жизнь, возможно, кому-то пригодится!
Оставьте свое сообщение