В заметке агрегированы настройки для сетевого экрана на работу сервиса СБИС
Введение
К сожалению многие отечественные компании-разработчики ИТ решений в госсекторе не уделяют должного внимания на предоставление потребителям технической системной документации, и, порой не удосуживаются нормализации работы своих приложений. В общем виде это выглядит так: приложение должно иметь доступ куда угодно, без прокси сервера, работать с привелегиями администратора, да еще и в антивирусном программном обеспечении должно быть добавлено исключение. Как правило это вызвано отнюдь не спецификой работы и функциональности программного продукта, а его некачественной разработкой некомпетентными людьми, прикрывающимися лобби государственных органов.
Но в нормальной ИТ инфраструктуре, где хоть как-то думают о порядке, подход дать "все права" и "открыть доступ куда угодно" неприемлим.
Настройка доступа по документации
1. Итак, у СБИС имеется какая-то системная документация, где указаны список портов и ресурсов куда требуется дать доступ.
Разрешен доступ к сайтам:
* online.sbis.ru (https-протокол, открытый порт: 443)
* srv.ea.tensor.ru (http-протокол, открытый порт: 80)
* cfs.tensor.ru (https-протокол, порты: 80 и 443)
* update.sbis.ru (http-протокол, порт: 80)
* smtp.ea.tensor.ru (SMTP, порт 25 или 251)
* pop.ea.tensor.ru (POP3, порт 110 или 1101)my.sbis.ru
* my.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)
Если вы читаете эту статью найдя её в поисковике, наверняка, вы из тех кто уже понял, что данных настроек явно недостаточно для работы СБИС, а вернее, они не полные.
2. Далее нужно добавить список ресурсов куда отправляется отчетность
(ФСС - http://f4.fss.ru и http://docs.fss.ru, ФСРАР - https://service.alcolicenziat.ru и https://service.fsrar.ru, РПН - https://pnv-rpn.ru), в противном случае обратитесь к системному администратору для настройки доступа...
Но и это еще не всё. Далее в зависимости от фаервола и способа добавления ресурсов в его правила(
FQDN,IP...) могут возникнуть проблемы с обновлениямми
Не удалось подключиться к сервису оператора ЭДО.Проверьте подключение к сети Интернет
Подключение по протоколу HTTP |Не удалось подключиться к сервису оператора ЭДО.Проверьте подключение к сети Интернет!
srv.ea.tensor.ru 91.213.144.202
online.sbis.ru 91.213.144.211
нет ошибок
srv.ea.tensor.ru 91.213.144.190
online.sbis.ru 91.213.144.212
спустя минут 4-5 уже ошибибка
srv.ea.tensor.ru 91.213.144.227
online.sbis.ru 91.213.144.178
перезапуск ПО ошибок нет через tcpviwert на 91.213.144.208
srv.ea.tensor.ru 91.213.144.208
online.sbis.ru 91.213.144.195
3.Таким образом добавляем подсеть правилом для подсети 91.213.144.0/24
4.Так же доступ к сайту: http://sbis.ru/updates/ для загрузки автоматических обновлений
Этот костыль вызван ещё и тем, что СБИС кэширует при запуске ответ ДНС запроса и далее живет счастливо с ним до следующего перезапуска приложения.
Меню Сервис/Конфигурация задачи/Оператор связи/НАЖАТЬ F3/адрес http-сервиса используемого оператора.
6. И доступ к передаче отчетности по протоколу гарантированной доставки
по порту 8585 на адрес oper.tensor.ru ;
по порту 8585 на адрес pgd.ea.tensor.ru ;
НО, и это ещё не все: есть перечень, который необходимый добавить в исключение для работы с порталом не через программу а через браузер
Разрешен доступ к сайтам:
online.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)
stomp-online.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)
xp-online.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)
crypto.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)
cdn.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)
stomp-call.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)
call.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)
update.sbis.ru (http-протокол, порт: 53, 80)
update1.sbis.ru (http-протокол, порт: 80)
update2.sbis.ru (http-протокол, порт: 80)
update3.sbis.ru (http-протокол, порт: 80)
update4.sbis.ru (http-протокол, порт: 80)
update5.sbis.ru (http-протокол, порт: 80)
turn.sbis.ru (tcp\ udp-протокол, порт: 3478, 443)
turn2.sbis.ru (tcp-протокол, порт: 3478, 443)
help.sbis.ru (http\ https-протокол, порт: 80, 443)
download.sbis.ru (http-протокол, порт: 80)
localhost (порты: 843, 8181, 8484)
my.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)
rhm-server.sbis.ru (tcp-протокол, порт: 443)
symcb.com (http-протокол, порт: 80)
comodoca.com (https-протокол, порт: 80, 443)
ns1.stomp.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)
ns2.stomp.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)
хотя список там же для работы через десктоп программу который уже добавлен ранее:
Разрешен доступ к сайтам:
online.sbis.ru (https-протокол, открытый порт: 443)
srv.ea.tensor.ru (http-протокол, открытый порт: 80)
cfs.tensor.ru (https-протокол, порты: 80 и 443)
update.sbis.ru (http-протокол, порт: 80)
smtp.ea.tensor.ru (SMTP, порт 25 или 251)
pop.ea.tensor.ru (POP3, порт 110 или 1101)my.sbis.ru
my.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)
7. Добавляем недостающие из списка браузерной версии ресурсы в правила сетевого экрана и ВУАЛЯ
К тому же рекомендую дать доступ на все порты описанные в документации на все описанные ресурсы - глубоко не было времени разобраться слушая трафик, но где и как по факту с ресурсами общается СБИС вопрос открытый.
Эпилог:
Вот в чём причина, что производитель программного обеспечения, имея веб ресурс поддержки (как бы поддержки) с технической документацией (как бы документацией), не предоставляет потребителям сводной корректной и актуальной информации о необходимых настройках окружения?