Проблемы с сбербанк бизнес онлайн



  • Добрый вечер. Ситуация в следующем. При подключение к сбербанк бизнес онлайн через pfsense 2.1-RELEASE (i386) после ввода логина и пароля вылазиет 401 ошибка (https://sbi.sberbank.ru:9443/ic/wm1/j_security_check.). Если подключаться через простой роутер то данной проблемы не наблюдается. На сайте сбербанка нашел , что необходимо открыть порт 9443 и сервис  работает на ip 194.54.14.136. Пробовал по всякому настраивать открывать порты, но так проблема и не решилась. Объяснить как правильно открыть порт. Возможно еще какие то дополнительные настройки необходимо сделать. Заранее спасибо.



  • настройки Firewall: Rules wan lan приведи.



  • Так вроде привел же настройку на скринах в своем первом сообщении. Или дополнительно что то надо?



  • @3axap_:

    Так вроде привел же настройку на скринах в своем первом сообщении. Или дополнительно что то надо?

    Про WAN молчу, ибо не понимаю цели этих правил.
    На LAN не правильно заданы правила в плане Destination. Почему у Вас там LAN/LAN subnet стоит, когда должны быть адреса СБРФ ?



  • Так вроде привел же настройку на скринах в своем первом сообщении
    Извиняюсь - были отключены отображения картинок  :)



  • Сделал как сказал dvserg. выдает туже самую ошибку



  • @3axap_:

    Сделал как сказал dvserg.

    1. А пробовали открыть все порты и все протоколы во всех направлениях?
    2. Status: - System logs: - Firewall
    всегда можно посмотреть какое правило блокирует запрос.



  • В первом разрешающем правиле попробуйте поставить gateway – default
    А то у Вас получается из Lan идет через testwan gateway, а во втором правиле все через default.
    Или попробуйте переместить 2 правило выше, и source Lan subnet



  • @dr.gopher:

    @3axap_:

    Сделал как сказал dvserg.

    1. А пробовали открыть все порты и все протоколы во всех направлениях?
    2. Status: - System logs: - Firewall
    всегда можно посмотреть какое правило блокирует запрос.

    В логах ничего по ip Сбербанка нету.
    Если не сложно объясните как сразу открыть все порты и все протоколы на все направления.

    @gr0mW:

    В первом разрешающем правиле попробуйте поставить gateway – default
    А то у Вас получается из Lan идет через testwan gateway, а во втором правиле все через default.
    Или попробуйте переместить 2 правило выше, и source Lan subnet

    поменял, чтоб везде было через testwan. Проблема осталась.
    так понять и не могу что не нравиться сервису банка(



  • Наверное работаете через прокси? СБРФ пустите мимо прокси.



  • @dvserg:

    Наверное работаете через прокси? СБРФ пустите мимо прокси.

    Нет прокси сервер даже не устанавливал
    Забыл добавить служба тех.поддержки банка сказала, что необходимо открыть порт на роутере и должно все заработать.



  • открыть порт на роутере и должно все заработать.

    Так откройте.



  • Оставь на WAN LAN по одному разрешающему все правилу, остальное снеси (потом добавишь).



  • Кстати Сбербанк пишет что надо использовать IE или Firefox. Попробуйте.



  • @NegoroX:

    Оставь на WAN LAN по одному разрешающему все правилу, остальное снеси (потом добавишь).

    Сделал так,
    Забыл еще написать, что у меня через multi-wan  все работает. т.к. имеются 3 внешних канала на маленькой скорости, вот я их и в один мульти объединил. Возможно , что проблема из-за этого?
    С такими настройками вылазиет та же самая ошибка(



  • По моему личному опыту - сам пользую DualWAN. Проблема неразрешима, имхо, потому что gateways переключаются независимо и подключение к сберу в произвольный момент времени имеет разные ип, что сбер категорически не одобряет.



  • @DiskWizard:

    По моему личному опыту - сам пользую DualWAN. Проблема неразрешима, имхо, потому что gateways переключаются независимо и подключение к сберу в произвольный момент времени имеет разные ип, что сбер категорически не одобряет.

    Т.е. попробовать как вариант отключить другие wan и оставить рабочий только один. и глянуть решиться данная проблема или нет. если да. То можно будет чтоб для одного IP из сети использовался только один wan?



  • Äà, íî êîíôèãóðàöèþ DualWAN ïðèä¸òñÿ ðåøàòü äðóãèìè âàðèàíòàìè, ïðî êîòîðûå ÿ íå â êóðñå. Êîíêðåòíî ó ìåíÿ ÷òî âîçìîæíî ñäåëàòü - äîáàâèòü àäðåñîâ íà èíòåðôåéñû, íàäåþñü.



  • @3axap_:

    @DiskWizard:

    По моему личному опыту - сам пользую DualWAN. Проблема неразрешима, имхо, потому что gateways переключаются независимо и подключение к сберу в произвольный момент времени имеет разные ип, что сбер категорически не одобряет.

    Т.е. попробовать как вариант отключить другие wan и оставить рабочий только один. и глянуть решиться данная проблема или нет. если да. То можно будет чтоб для одного IP из сети использовался только один wan?

    Выбор конкретного WAN в правиле делается указанием соотв. Gateway.



  • @dvserg:

    @3axap_:

    @DiskWizard:

    По моему личному опыту - сам пользую DualWAN. Проблема неразрешима, имхо, потому что gateways переключаются независимо и подключение к сберу в произвольный момент времени имеет разные ип, что сбер категорически не одобряет.

    Т.е. попробовать как вариант отключить другие wan и оставить рабочий только один. и глянуть решиться данная проблема или нет. если да. То можно будет чтоб для одного IP из сети использовался только один wan?

    Выбор конкретного WAN в правиле делается указанием соотв. Gateway.

    C одним WAN все работает нормально. Как теперь в правилах настроить для конкретного компьютера , чтоб он через определенный шлюз подключался к интернету?



  • @3axap_:

    @dvserg:

    @3axap_:

    @DiskWizard:

    По моему личному опыту - сам пользую DualWAN. Проблема неразрешима, имхо, потому что gateways переключаются независимо и подключение к сберу в произвольный момент времени имеет разные ип, что сбер категорически не одобряет.

    Т.е. попробовать как вариант отключить другие wan и оставить рабочий только один. и глянуть решиться данная проблема или нет. если да. То можно будет чтоб для одного IP из сети использовался только один wan?

    Выбор конкретного WAN в правиле делается указанием соотв. Gateway.

    C одним WAN все работает нормально. Как теперь в правилах настроить для конкретного компьютера , чтоб он через определенный шлюз подключался к интернету?

    В правиле для Сбера указать конкретный Gateway.



  • @3axap_:

    @dvserg:

    @3axap_:

    @DiskWizard:

    По моему личному опыту - сам пользую DualWAN. Проблема неразрешима, имхо, потому что gateways переключаются независимо и подключение к сберу в произвольный момент времени имеет разные ип, что сбер категорически не одобряет.

    Т.е. попробовать как вариант отключить другие wan и оставить рабочий только один. и глянуть решиться данная проблема или нет. если да. То можно будет чтоб для одного IP из сети использовался только один wan?

    Выбор конкретного WAN в правиле делается указанием соотв. Gateway.

    C одним WAN все работает нормально. Как теперь в правилах настроить для конкретного компьютера , чтоб он через определенный шлюз подключался к интернету?

    Вам же ответили.
    Создайте в LAN правило для IP этого компьютера, указав для него в Advanced конкретный gatеway. Правило это поместите выше общего, пускающего LAN в интернет.
    Если таких компьютеров несколько - создайте для них алиас и в правиле вместо IP укажите этот алиас.

    В похожих случаях вместо назначения шлюза  помогало простое включение в pfsense Sticky connections



  • Добрый день. Проблема решилась созданием правил с указанием конкретного gatеway для каждого компьютера. У остальных пользователей так же оставил multi-wan. Всем большое спасибо за помощь и советы.



  • только Firefox, упаси боже ИЕ, и убери мультиван из ГВ - поставь * на ЛАН правиле.
    сам со сбером напарился, но что бы не пускало - это надо опять же смотреть фильтр в логах фаервола по Сурсу (ПК со сбером)

    у меня через мультиван - без каких либо проблем работает, прозрачный сквид еще стоит, но единственное у меня нет ограничения иЗ локалки наружу.



  • Тоже вчера столкнулся с проблемой такой. У меня работает всё через кальмара. Добавил порт кальмару 9443 в acl sslports и всё заработало.



  • оффтоп.
    У меня нет этих вещей. Нам дали токен и программу. Программа устанавливает свой VPN. Никаких пробросов не нужно.



  • Попробуйте включить в
    System: Advanced: Miscellaneous
    Use sticky connections

    Или назначить для банка конкретный Gateway



  • @DiskWizard:

    По моему личному опыту - сам пользую DualWAN. Проблема неразрешима, имхо, потому что gateways переключаются независимо и подключение к сберу в произвольный момент времени имеет разные ип, что сбер категорически не одобряет.

    Вот это на самом деле засада полная, при обычном трафике это не заметно, а вот при банках или защищенных соединениях не работает, каналы скачут не пойми как и всегда ошибка подключения.
    Возможно балансировку настроить по человечески, что бы сессия висела на одном а следующие уже на другой могли перескакивать?
    Понятное дело что такие компы правилами вешаются принудительно на канал, но это не решение, это выход из ситуации.



  • @Kowex:

    @DiskWizard:

    По моему личному опыту - сам пользую DualWAN. Проблема неразрешима, имхо, потому что gateways переключаются независимо и подключение к сберу в произвольный момент времени имеет разные ип, что сбер категорически не одобряет.

    Вот это на самом деле засада полная, при обычном трафике это не заметно, а вот при банках или защищенных соединениях не работает, каналы скачут не пойми как и всегда ошибка подключения.
    Возможно балансировку настроить по человечески, что бы сессия висела на одном а следующие уже на другой могли перескакивать?
    Понятное дело что такие компы правилами вешаются принудительно на канал, но это не решение, это выход из ситуации.

    Если Вы используете Load Balansing, то он по своей природе старается равномерно раскидать соединения по каналам. Сессии TCP и HTTP разные вещи, и при очередном HTTP запросе в рамках одной сессии может случиться несколько TCP подключений, что будет раскидано балансером по разным каналам. Так что это не проблема, а свойство (лед холодный, а вода мокрая).

    ПС Речь именно о балансинге а не о файловере.



  • @dvserg:

    ПС Речь именно о балансинге а не о файловере.

    Да, именно о нем. А можно как то задать правила балансировки?



  • Ребята я решил наконец-то! Может кому-то надо:

    Заходишь в Diagnostic-Edit file, в открывшемся окне нажимаешь Browser переходишь в /usr/local/pkg/squid.inc. Ищешь строчку "acl sslports port 443 563" и добавляешь порт который надо. Вообщем строка у меня выглядит так
    "acl sslports port 443 563 9443 $webgui_port $addtl_sslports"
    Потом перезагрузите шлюз и попробуйте зайти.



  • @oxigen87:

    Ребята я решил наконец-то! Может кому-то надо:

    Заходишь в Diagnostic-Edit file, в открывшемся окне нажимаешь Browser переходишь в /usr/local/pkg/squid.inc. Ищешь строчку "acl sslports port 443 563" и добавляешь порт который надо. Вообщем строка у меня выглядит так
    "acl sslports port 443 563 9443 $webgui_port $addtl_sslports"
    Потом перезагрузите шлюз и попробуйте зайти.

    Зачем править файл руками ? В ГУИ же есть эта опция.



  • Не сильно силен, Гуи в каком разделе?



  • В настройках squid в advanced в самом низу, вроде , не оно ? Там еще что-то типа acl ports написано
    У меня нет сквида установленного, чтобы глянуть.



  • Хоть убей! В сервисах вижу запущенную службу Squid, а зайти в настройки не могу!? :-\



  • pfSense 2.2.6, Squid 3

    Services > Squid Proxy Server > вкладка ACLs > Squid Allowed Ports (в самом низу) > ACL SSLPorts