Удаленное подключение к серверу 1С

1. spezc 792 03.10.17 05:58 Сейчас в теме
Коллеги, добрый день.

Есть удаленный сервер (в интернете), к которому нужно подключаться:

1. консолью сервера, для администрирования сервера 1С.
2. конфигуратором, для загрузки СФ и прочих работ.
3. клиентом, для работы.

Как это сделать? Какие порты открыть и что опубликовать? Если для клиента понятно - http. То как подключиться к серверу предприятия консолью и базе конфигуратором?

Суть - мне нужно не подключаясь по RDP к удаленному серверу создать новую базу, загрузить CF, добавить пользователей.
По теме из базы знаний
Вознаграждение за ответ
Показать полностью
Ответы
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
8. Fox-trot 163 03.10.17 10:20 Сейчас в теме
15. Sprinter2000 04.10.17 11:29 Сейчас в теме
(1)При наличии нормального интернета все вполне комфортно делать выше указанное.
Чем уже канал, тем больше ожиданий, но работать можно.

Для связи нужен VPN (можно на базе OpenVPN).
Соответственно либо у Вас должен быть белый IP адрес, либо на сервере. Достаточно открыть один порт для OpenVPN на белом адресе и все.
Поднимаете канал и с 1С сервером уже обращаетесь по IP адресу этого сервера (но в некоторых случаях нужно Имя компьютера), как буд-то он стоит рядом с вами и подключен к хабу.

Так уже давно работаю и с виртуозками, хостовые машины которых где-то в другом городе, и с клиентскими серверами. Через этот же ВПН и RDP можно использовать.
Никаких портов нигде дополнительно открывать не надо, только порт для OpenVPN.
Berckk; Rust; jawakharlal; spezc; +4 Ответить
18. spezc 792 04.10.17 12:20 Сейчас в теме
(15) спасибо, буду думать над этим вариантом.
20. Rust 05.10.17 06:29 Сейчас в теме
(18) Да здесь и думать нечего, просто поверьте только VPN берите и поднимайте. Это самый верный способ.
22. collider 05.10.17 07:47 Сейчас в теме
24. EVKash 16 05.10.17 08:16 Сейчас в теме
(22) потому, что лучше всего в плане безопасности.
(23) потому, что не безопасно.
(19)
VPN - это будут жуткие тормоза
только если не правильно настроить... тот же mtu-mru
26. collider 05.10.17 08:21 Сейчас в теме
(24) Можно более конкретно, попунктно? Чем конкретно лучше в плане безопасности?
Если, например, открыть порты для подключения только с определённых адресов, в чём тут будет опасность?
43. Rust 09.10.17 06:50 Сейчас в теме
Пиши обработку Да потаму что =) Шифорвание канала, и прочее прочее. С точки зрения безопасности. Если не RDP то значит VPN и на оборот да и по постановки задачи VPN больше всего подходит. Будет сеть и будешь к конфигуратору цепляться
(22)
16. Xershi 1555 04.10.17 11:35 Сейчас в теме
(1) для работы клиента достаточно базу опубликовать, для выполнения действий с конфигуратором, можно скрипты писать!
Но на кой надо такое извращение, если можно просто поднять ВПН!
30. Noob001 05.10.17 20:04 Сейчас в теме
(1) Для линукс сервера использую стандартный механизм PuTty
В тунелях прописываете прописывает порты
Единственный момент из-за того что 1С все равно возвращает имя сервера а не его ip прийдется править файл c:\Windows\System32\drivers\etc\hosts внося в него следующую запись:
127.0.0.1 Имя_вашего_сервера

Далее соединяетесь по ssh через Putty.
И работаете так как будто сервер прямо в вашей сети, обращаетесь по имени и т.п.

Для windows версии, лучще всего использовать VPN, вариантов много, но более удобный настроить vpn на роутере (современные нормальные роутеры все позволяют это сделать)
PPTP - самый простой, и легко подключаться штатными средствами Windows. Но скомпроментирован.
L2TP IpSec - надежно защищен , но моя попытка настроить подключение штатными средствами винды провалилась, но это из-за ненадобности мне вообщем и моих кривых рук. )
Прикрепленные файлы:
orcommander; SergSC; +2 Ответить
33. spezc 792 06.10.17 11:01 Сейчас в теме
(30) я тоже использую ssh, но через него не загрузишь сф и не сделаешь нужные манипуляции с конфигуратором. вообщем пока склоняюсь к впн
39. Noob001 06.10.17 16:26 Сейчас в теме
(33)
я тоже использую ssh, но через него не загрузишь сф и не сделаешь нужные манипуляции с конфигуратором.


Так на прикрепленной картинке, посмотрите настройки проброса портов через ssh я скинул.
Получается что-то типа ВПН через ssh и не надо ничего настраивать (в смысле строний ВНП)

При указанных мною сообщением выше настройках, конфигуратор работает без проблем, консоль кластера, и др. режимы, вплоть до толстого клиента.

Если используете putty это лучший путь.
40. spezc 792 06.10.17 16:41 Сейчас в теме
(39) хм... спасибо. попробую еще раз внимательнее посмотреть.
41. Noob001 06.10.17 17:08 Сейчас в теме
(40) В source port пишете тот порт по которому вы будете обращаться
В Destantion пишете IP:Port на удаленной машине (Если тот комп к которому вы подключаетесь по ssh и есть сервер то достаточно написать 127.0.0.1:Port, если другая машина то указываете адрес сервера в удаленной сети например 192.168.0.111:Port)

Как Минимум надо будет прописать следующие порты:
S- 1540
D- 127.0.0.1:1540
S- 1541
D- 127.0.0.1:1541
S- 1560
D- 127.0.0.1:1560
S- 1561
D- 127.0.0.1:1561

Далее надо поправить файл Host на том компьютере с которого производиться подключение (где запускаете putty)
Добавив следующую строку:
127.0.0.1 1CSrv1 //Имя_вашего_сервера

Теперь, когда вы будете обращаться с вашему серверу например при запуске конфигуратора по имени 1CSrv1, компьютер заглянет в хосты найдет там запись и направит запрос на локальный порт, putty в свою очередь примет запрос на локальном порту и отправит его по зашифрованному ssh на удаленный Сервер.

Таким образом можно обслуживать сразу несколько совершенно разных серверов.
Либо подключаясь по ssh одновременно только к одному из серверов.
Либо написать пробросы с разных локальных портов на стандартные порты на разных серверах.
например для сервера 1CSrv2 можно прописать следующее:
S- 1640
D- 127.0.0.1:1540
S- 1641
D- 127.0.0.1:1541
S- 1660
D- 127.0.0.1:1560
S- 1661
D- 127.0.0.1:1561

в Host - 127.0.0.1 1CSrv2 //Имя_вашего_сервера

Единственное для сервера 1CSrv2 в Консоли кластера и Пути базы надо указать с нестандартным портом Srvr="1CSrv2:1640";Ref="Вашабаза"
При этом в удаленной сети сервер все также останется на стандартных портах.

Теперь вы можете открыть 2 соединения ssh с 1CSrv1 и 1CSrv2 и работать с ними одновременно.
user1010432; motorsoft; +2 Ответить
48. nomadon 369 27.11.18 15:05 Сейчас в теме
(41) а у меня если рабочие сервера в кластере имеют сетевое имя - то рабочий процесс ругается при соединении. если рабочие сервера на loopback то нормально.
49. nomadon 369 27.11.18 15:07 Сейчас в теме
(48) получается что менеджер кластера отправляет клиента на конкретный рабочий процесс на конкретном сервере, клиент вроде к нему достукивается по тоннелю, но сервер не может ответить, потому что по сети localhost совсем другое нежели на клиенте, в пакета протокола обмена прописываются имена серверов видимо
32. DAL 05.10.17 21:24 Сейчас в теме
(1)
Суть - мне нужно не подключаясь по RDP к удаленному серверу создать новую базу, загрузить CF, добавить пользователей.


На самом деле варианта два.

Первый описали. При нормальной ширине канала подтверждаю терпимую скорость работы. При чем пробовал даже вариант с Hamachi. Удивитесь, но работает.
Прямой хвост в интернет не желателен.

Для достижения указанных целей есть вариант второй. Более сложный в реализации, но более быстрый в плане работы.

Логика следующая.
Создается собственная конфа для администрирования и командный протокол (судя по задачам он будет коротким).
Общения с сервером можно делать через FTP, mail, и т.д.

Делаете командный файл, в котором описываете последовательность команд.

СоздатьБазу; Имя = МояБаза; SRVR=MyServer1C; login=xxx; pass=xxx; (все от собственной фантазии).
ЗагрузитьКонфигурацию; Путь = "//ftp;...";
ДобавитьПользователя; Имя=..; Пароль=;


И на стороне сервера создаете обработчик.

Делал и одно и другое.

Если цели именно такие, как Вы описали в условии - второй вариант предпочтительнее на мой взгляд. Но писанины много)))
35. spezc 792 06.10.17 11:05 Сейчас в теме
(32) интересное решение, спасибо) тоже к подобному приходил. но на той стороне создать конфигурацию обработчик можно только в том случае, если там Винда или Линукс с граф оболочкой. именно поэтому я и пришел к тому, чтобы с помощью впн создавать ака локальную сеть и ходить на тот сервер конфигуратором с локальной машины.
42. DAL 07.10.17 11:25 Сейчас в теме
(35)На самом деле не так.
На серверной стороне обработчик командного файла можно написать не на 1С (например, на C#, плюсы, делфи...). А с клиентской стороны (откуда нужно управлять) можно выкладывать командный файл даже с помощью блокнота)))
44. Nigelist 02.02.18 12:16 Сейчас в теме
(1) если канал широкий, то штатно либо через белый IP-адрес, либо через доменное имя (если оно привязано к серверу).

Если белого IP-адреса нет, то можно с помощью DynDNS сервиса. Можно купить услугу либо самому поднять свой DynDNS сервер.

P.S. Для сервера 1С:Предприятие надо обязательно открыть порты 1541, 1560:1591, если файрвол блокирует всё что не разрешено.

Для *nix-подобных (и не только) ОС, есть вот это. Сам не пробовал, потому ничего не скажу.
2. Vladimir87 228 03.10.17 06:37 Сейчас в теме
Можно вопрос, почему нельзя по RDP? И по-конкретнее, что из себя представляет сервер 1С.
3. collider 03.10.17 07:18 Сейчас в теме
Чтобы подключаться конфигуратором к серверу 1С, нужно открывать весь диапазон 1540-1591.
Для безопасности можно хотя бы ограничить адреса, с которых можно подключаться.
Консоль тоже будет работать.

Ещё можно сделать VPN. А там уж всё просто как в локальной сети будет.

Но конфигуратор по интернету будет медленно работать в любом случае. Даю гарантию 105%.
Berckk; Sprinter2000; roman77; alex-l19041; Prikum; +5 Ответить
4. maks_20 169 03.10.17 09:01 Сейчас в теме
Поднять vpn канал - самый простой способ решения проблемы.
EVKash; roman77; alex-l19041; +3 1 Ответить
5. collider 03.10.17 09:31 Сейчас в теме
(4) Самый простой-это открыть порты.
17. Sprinter2000 04.10.17 11:36 Сейчас в теме
(5)Но не самый безопасный. Хотя список портов 1С не входит в список распространенных для ломания.
6. evgens_infostart 03.10.17 09:42 Сейчас в теме
Смотря какой сервер. Если прямой выход в инет - просто открыть стандартные порты в брандмауэре (разрешить подключение из внешних ip). Но такое бывает редко.
Наверняка сервер стоит за роутером и (возможно аппаратным) файрволом, Это заметно усложнит задачу. Придётся делать пробросы.
Ketzalkoatl; Nigelist; +2 1 Ответить
7. besica 03.10.17 09:57 Сейчас в теме
Нормально конфигуратор работает только локально. Любые обновления по схеме с портами или впн - близки к бесконечным по времени.
Может в новых платформах 8.3.10 x что нибудь и изменилось - поправте кто в курсе.
aka Любитель XML; roman77; Vladimir87; Fox-trot; +4 Ответить
9. spezc 792 03.10.17 11:59 Сейчас в теме
т.е. получается единственный вариант - внп? открытие просто портов конфигуратору будет недостаточно?
13. collider 03.10.17 12:47 Сейчас в теме
(9) Чтобы конфигуратор заработал, достаточно открыть порты.
14. Fox-trot 163 03.10.17 15:20 Сейчас в теме
(9)
открытие просто портов конфигуратору будет недостаточно?

да
10. krasnodar-it 03.10.17 12:04 Сейчас в теме
Внешний IP есть у сервера ?
Промежуточное оборудование между интернетом и сервером есть или IP назначен на сам сервер ?
11. krasnodar-it 03.10.17 12:17 Сейчас в теме
Консоль администрирования серверов «1С:Предприятия» - 1540
Рабочие процессы - 1560 по 1591
Клиенты - 1541
12. krasnodar-it 03.10.17 12:20 Сейчас в теме
Пример настройки с картинками : _http://tavalik.ru/dobavlenie-pravila-v-brandmauer-windows-server_2012_r2/
19. user726855 2 04.10.17 16:25 Сейчас в теме
RDP. Открыть один порт в роутере, разрешить удаленный доступ. VPN - это будут жуткие тормоза.
21. nick-name 05.10.17 06:56 Сейчас в теме
для загрузки CF на удаленную машину использовать VPN лично я бы не рискнул. всегда есть риск "отвала" интернета а если в это время происходит загрузка конфигурации то в лучшем случае ее придется загружать заново, а в худшем.....возможна масса неприятностей. Сам я использую только RDP. Подключился, распаковал скаченный CF, накатил его на конфу. Даже если связь оборвалась RDP просто переподключится и работа в это время на сервере не прервется.
Для безопасности работы можно ограничить подключение к серверу с определенных машин, сертификаты свои использовать, работать под жестко ограниченной учеткой и т.д.
Ну а для простого добавления пользователей можно использовать VPN. Тогда сервер будет словно в одной сети.
Просто открывать на сервере порты, пусть даже и сменив их на не стандартные не рекомендуется.
23. collider 05.10.17 07:48 Сейчас в теме
(21)
Просто открывать на сервере порты, пусть даже и сменив их на не стандартные не рекомендуется.

Почему не рекомендуется?
29. nick-name 05.10.17 08:43 Сейчас в теме
(23)
Почему не рекомендуется?

потому как чем меньше открытых портов мы светим в Интернет, тем меньше шансов быть взломанными.
(25) в такой связке VPN и RDP вообще оптимальный вариант
25. Shevon 1 05.10.17 08:17 Сейчас в теме
для загрузки CF на удаленную машину использовать VPN лично я бы не рискнул


Сам я использую только RDP


Подключили VPN. И пожалуйста, хоть по RDP, хоть в режиме клиента (толстого, тонкого, WEB). Загружать CF по RDP надежнее конечно. OpenVPN позволяет сделать вполне надежные сертификаты, не используя сертификационных центров или самоподписных сертификатов. Т.е. организовать вполне защищенный канал.
27. user726855 2 05.10.17 08:35 Сейчас в теме
А что, RDP кому-то удалось взломать? - не видел, не слышал, не участвовал. Я имею в виду не подбор имени и пароля, это можно и к VPN подобрать. Защищенность VPN как аргумент отпадает.
28. collider 05.10.17 08:38 Сейчас в теме
(27) Здесь RDP отпадает потому что автор так изначально поставил вопрос прямо в первом посте.
Он может отпадать по разным причинам. Из очевидных - это недоверие админа к программисту или сервер на линупсе и, соответственно, без RDP.
38. Ziggurat 50 06.10.17 14:29 Сейчас в теме
(27)
Защищенность VPN как аргумент отпадает.

С тем же OpenVPN нужно будет подбирать RSA ключ, который, в зависимости от психического состояния настраивающего может быть 8 кБ, кроме того, может присутствовать tls ключ, при отсутствии которого злоумышленник просто не сможет определить есть на той стороне VPN или нет. А rdp ЕМНИП, имел ранее имел уязвимости, сейчас не знаю как дела обстоят. Лучше ВПН только прямой физический канал.
31. pavel06 2 05.10.17 20:57 Сейчас в теме
Автор темы мало дал информации для номального ответа: какая платформа и ОС,
почему не RDP, какая скорость канала до сервера.

Порты можно указывать, но работать будет так тормозно в некоторых случаях, что покажется будто не работает.
34. spezc 792 06.10.17 11:02 Сейчас в теме
(31) не рдп, потому там голый линукс. платформа 8.3.10, канал относительно широкий и стабильный.
45. ratinc 04.03.18 20:26 Сейчас в теме
Через ssh можно вполне комфортно передавать файлы с винды.
Используйте winscp. И там есть "гарантированная доставка". Это для скептиков которые считают что CF побъется.
даже при очень жирном канале файл лучше размещать локально. При удаленной передаче в любую сторону, будь то хоть выгрузка в DT время значительно увеличивается. Работать уже совсем некомфортно. Так что каким бы вы способом не воспользовались для консолей, VPN или пробросы портов, файлы все равно придется просто тупо копировать.
46. sokir 2 21.05.18 12:06 Сейчас в теме
Я в роутере сделал переброс порта с внешнего 33055 на внутренний 1541 + внутренний ип сервера прописал.
Пытаюсь подключиться на удаленный сервер 1С по строке Srvr="ххх:33055";Ref="test"; - не подключается "Этот хост не известен".
Хотя соединение Srvr="ххх:1541";Ref="test"; на удаленном сервере - норм работает.

А вот проброс к порту скуля 1433 и подключение удаленной базы к внутреннему серверу 1С нормально отработал, даже конфигуратор открывается.

Впн не хочу. Мне достаточно что бы предприятие запускалось (конфигуратор не нужен).
Можно как то подключиться к удаленному серверу 1С? Может еще какие порты пробросить надо?
50. nomadon 369 27.11.18 15:09 Сейчас в теме
(46) в кластере серверов 1с все прописать на localhost рабочие процессы и сервера что бы были, 1541 это порт менеджера, после соединения, он выберет рабочий процесс (попросив решить задачку, самый бездельник - тот кто быстрее решит, почти как в жизни) и скажет клиенту подключись к порту 1560-1591. хорошо бы и их открыть, хотя бы первые N (количество клиентов) + 5
47. sokir 2 23.05.18 11:40 Сейчас в теме
+ пользователи жалуются на подтормаживание.
Оно то понятно что будет работать медленнее.
Сравнивал ли кто, что быстрее работает: подключение к терминальному серверу через инет (на котором крутится сервере 1С и скуль) или подключение с локального терминального на удаленный скуль?
51. nomadon 369 27.11.18 15:15 Сейчас в теме
(47) на терминале конечно будет быстрее, потому что в терминале по сети передается только картинка, а скуль будет гонять все данные, особенно для толстого клиента будет заметно, ну и холиварный sharedmemory
Оставьте свое сообщение

Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот