25 августа, воскресенье 16:22
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

О переходе УЭО группы №2 на схему взаимодействия с Банком России через ТШ КБР

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Караул!
    МЦИ не отвечает на ED999!!!

    Комментарий


    • EugenR
      Уф! Заработало...

      Комментарий


      • Боевой контур сегодня конкретно тормозит.
        Ушел, всем пока.

        Комментарий


        • Jenyok
          Сообщение от rew Посмотреть сообщение
          Jenyok Здравствуйте! Вышлите, пожалуйста, Скрипты для ГАРАНТИРОВАННОЙ УСТАНОВКИ связи на yugfhdnwrsdz@mail.ru . С уважением, rew
          Спасибо!

          Комментарий


          • Отправил.
            .

            Комментарий


            • Не бейте ногами, писал еще в соседнюю ветку)
              Пытаемся настроить КБР-Н и ТШ КБР, по AnyConnect подключаем туннель на 172.16.20.34, нажимаем кнопку тест, все проходит нормально, используем настройки файлового обмена.
              Таблица 3 Основные параметры настройки СПО, необходимые для осуществления взаимодействия с тестовым ТШ КБР.
              Параметр Значение
              URL отправки собщений http://172.16.19.211:7777/in
              Корневой каталог сканирования определяется участником обмена
              URL приема сообщений http://172.16.19.211:7777/get
              Реквезиты для аутентификации на веб-сервере: Имя пользователя имя прикладной учетной записи, выданной Банком России для взаимодействия с тестовым ТШ КБР
              Реквезиты для аутентификации на веб-сервере: Пароль пароль прикладной учетной записи, выданной Банком России для взаимодействия с тестовым ТШ КБР


              Однако, все это делается под учеткой АРМадминистратора, как только мы заходим под учеткой Оператора, включаем туннель, запускаем АРМ КБР-Н, кидаем ему файлы на обработку и отправку, он все обрабатывает, кладет в каталог отправки, а в сам туннель не запихивает, файлы как лежали в out, так и лежать, и еще скажите пожалуйста, ED997 надо отправлять в общей куче? Спасибо

              Комментарий


              • Тип точки обмена какой у вас?

                Должен быть File - SVK_HTTP
                Ушел, всем пока.

                Комментарий


                • Сообщение от Antonioki Посмотреть сообщение
                  Тип точки обмена какой у вас?

                  Должен быть File - SVK_HTTP
                  Точка обмена файловая, выбор же только или файл или MQ:
                  Вот настройки:
                  Последний раз редактировалось san25; 12.04.2019, 12:25.

                  Комментарий


                  • Сообщение от san25 Посмотреть сообщение
                    Точка обмена файловая, выбор же только или файл или MQ
                    В разделе "ШЛЮЗ" интерфейс с ЦОИ переключить на "СВК.HTTP". В рекомендациях по настройке все это есть на последних двух страницах.
                    С уважением...
                    Lёssik

                    Комментарий


                    • Что-то у меня сегодня на ССТ VPN не поднялся... и доступен только один из двух ip для тестового VPN...
                      А вчера вполне себе работало...

                      Комментарий


                      • Сообщение от gptashkin Посмотреть сообщение
                        Что-то у меня сегодня на ССТ VPN не поднялся
                        Есть мнение, что поменялся сертификат сервера. VPN через GUI подключается легко и непринуждённо, а консольная программка, которая vpncli.exe, похоже, где-то закэшировала старый. Кто знает, коллеги, где у неё может быть кэш?
                        Если не разобраться сейчас, то, скорее всего, будет аналогичная проблема на боевом, когда туда VPN вернётся
                        Сергей

                        Комментарий


                        • Сообщение от Sokols Посмотреть сообщение

                          Есть мнение, что поменялся сертификат сервера. VPN через GUI подключается легко и непринуждённо, а консольная программка, которая vpncli.exe, похоже, где-то закэшировала старый. Кто знает, коллеги, где у неё может быть кэш?
                          Если не разобраться сейчас, то, скорее всего, будет аналогичная проблема на боевом, когда туда VPN вернётся
                          У меня тоже не поднимается!

                          Комментарий


                          • Сообщение от san25 Посмотреть сообщение
                            У меня тоже не поднимается!
                            Гуёвый тоже?
                            Сергей

                            Комментарий


                            • И у меня:
                              The certificate on the secury gateway is invalid

                              Комментарий


                              • И у меня . .

                                Комментарий


                                • позвонил на техподдержку, рассказал про "беду" с ССТ ТШ VPN:

                                  "секундочку...
                                  (и на заднем плане) - Народ! Кого интересовало?... вот ещё один клиент!..
                                  (потом нормально) - В настоящий момент идут работы, это нормально... "

                                  Комментарий


                                  • Сообщение от gptashkin Посмотреть сообщение
                                    позвонил на техподдержку, рассказал про "беду" с ССТ ТШ VPN:

                                    "секундочку...
                                    (и на заднем плане) - Народ! Кого интересовало?... вот ещё один клиент!..
                                    (потом нормально) - В настоящий момент идут работы, это нормально... "
                                    Странность в том, что GUI нормально соединяется, а вот vpncli - нет.
                                    Новый сертификат установлен в Trusted Root ...
                                    Ушел, всем пока.

                                    Комментарий


                                    • Сообщение от Antonioki Посмотреть сообщение

                                      Странность в том, что GUI нормально соединяется, а вот vpncli - нет.
                                      Новый сертификат установлен в Trusted Root ...
                                      Странно, у меня с утра абсолютно без проблем зацепился VPN через командную строку на ССТ. И сейчас работает.

                                      Комментарий


                                      • заработало, потом опять те же грабли
                                        Ушел, всем пока.

                                        Комментарий


                                        • Вобщем поиски в инете привели к тому, что это все-таки вина циски, невено задан или вобще не задан CN

                                          В host file не пропишешь Subject из сертификата с пробелами ASA Temporary Self Signed Certificate

                                          В старом сертификате Subject = firepower, in, in, in, in, in

                                          Ошибки при подключении клиента


                                          Начиная с версии 2.4 клиент стал более требовательным к сертификатам и разрешению имён.
                                          Если у вас вылезает ошибка "The certificate on the secure gateway is invalid. The VPN connect will not establish" это как раз по этой главе.

                                          Приведу комментарий от циски:
                                          This error occurs due to an issue documented in Cisco bug ID CSCtb73337 (registered customers only) . AnyConnect Client version 2.4 does not work with Cisco IOS headend when a certificate is used that is not trusted or there is mismatchin the host name entered in the URL to that to the CN (common name) or SAN (subject alternative name) in the Cisco IOS router certificate. AnyConnect 2.4 fails to connect with Cisco IOS headend due to certificate verify fail error. This issue can be resolved through one of these workarounds: - Make sure that the router certificate is trusted (import into certificate store) and then match the CN/SAN on the certificate to that of the URL. If there is no DNS entry, then you can use a local DNS entry by updating the host file for the host name in certificate. - Downgrade AnyConnect to a previous version: 2.3.


                                          В нашем случае мы можем прописать cn для нашего сертификата:

                                          conf t
                                          webvpn gateway gateway_1
                                          no inservice
                                          no ssl trustpoint WEBVPN
                                          no crypto pki trustpoint WEBVPN
                                          crypto pki trustpoint WEBVPN
                                          enrollment selfsigned
                                          rsakeypair WEBVPN 1024
                                          subject-name cn=195.239.55.142
                                          crypto pki enroll WEBVPN
                                          !
                                          % Include the router serial number in the subject name? [yes/no]: no
                                          % Include an IP address in the subject name? [no]:
                                          Generate Self Signed Router Certificate? [yes/no]: yes
                                          !
                                          webvpn gateway gateway_1
                                          ssl trustpoint WEBVPN
                                          inservice
                                          Последний раз редактировалось Antonioki; 12.04.2019, 15:19.
                                          Ушел, всем пока.

                                          Комментарий


                                          • Если соединяться по 172.16.20.42 приложение при каждом коннекте скачивает одно и тоже обновление DART и устанавливает его, как это отключить?

                                            Комментарий


                                            • Сообщение от san25 Посмотреть сообщение
                                              Если соединяться по 172.16.20.42 приложение при каждом коннекте скачивает одно и тоже обновление DART и устанавливает его, как это отключить?
                                              <BypassDownloader>true</BypassDownloader> в файле профиля AllUsers\Cisco\Cisco Any Connect Secure Mobility Client\AnyConnectLocalPolicy.xml
                                              Ушел, всем пока.

                                              Комментарий


                                              • Сообщение от Antonioki Посмотреть сообщение

                                                <BypassDownloader>true</BypassDownloader> в файле профиля AllUsers\Cisco\Cisco Any Connect Secure Mobility Client\AnyConnectLocalPolicy.xml
                                                Ох, спасибо огромное!, может еще в курсе почему по профилям не соединяется вообще, а только если вручную вбивать IP адрес?

                                                Комментарий


                                                • san25

                                                  В этой ветке все уже обсуждалось, читай с начала
                                                  Ушел, всем пока.

                                                  Комментарий


                                                  • Сообщение от Antonioki Посмотреть сообщение
                                                    san25

                                                    В этой ветке все уже обсуждалось, читай с начала
                                                    Читал, сначала... буду перечитывать)

                                                    Комментарий


                                                    • ССТ починили. Я оказался прав. В новом сертификате ССТ теперь человеческий CN.
                                                      Ушел, всем пока.

                                                      Комментарий


                                                      • Сообщение от Lessik Посмотреть сообщение

                                                        В разделе "ШЛЮЗ" интерфейс с ЦОИ переключить на "СВК.HTTP". В рекомендациях по настройке все это есть на последних двух страницах.
                                                        Спасибо большое.

                                                        Соединяется, однако на отправку сообщения не уходят, ошибка 500. Кто с таким сталкивался? На прием работает.

                                                        Комментарий


                                                        • san25
                                                          А Вы на HelpDesk МЦИ отправляли письмо о готовности тестироваться с ТШ КБР?

                                                          Комментарий


                                                          • Сообщение от gptashkin Посмотреть сообщение
                                                            san25
                                                            А Вы на HelpDesk МЦИ отправляли письмо о готовности тестироваться с ТШ КБР?
                                                            Прочитали, ответные сообщение), мы заблокированы. Пишем письмо. Спасибо.

                                                            Комментарий


                                                            • А у нас тоже ошибка 500...а как проверить, заблокирована уз или нет?

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X