Подключение к 1с через vpn
Обновлено: 18.07.2024
Первый вариант предпочтительнее т.к. RDP менее требователен к каналу(передаёться только картинка).
Второй вариант можно использовать, только если твоя конфигурация полностью на упровляемых формах.
Конфигурация УПП 1.3, скорее всего толстый клиент, так как в конфигурации еще не у всех объектов есть управляемая форма.
Собираюсь настроить на Windows Server 2008 R2 терминал, на нем развернуть базу 1С, а с помощью программы Hamachi настроить сеть через интернет, пользователей будет порядка 10, поэтому можно и у каждого поставить Hamachi.
Что Вы скажете о таком варианте?
(3) maksim.s,
Самый лучший и простой вариант для твоего случая.
RDP + SSL + RemoteAPP
И не нужно никакого vpn.
Последняя версия rdp и без vpn великолепно щифруется.
но мне нужен будет белый ip-адрес, а с Hamachi он не нужен ))
а вообще кто-нибудь пробовал с этой программой работать?
А что Вы можете сказать по поводу вообще работы 10 пользователей через 1 канал интернета?
Какая минимальная скорость приблизительно необходима, что бы не было тормозов?
попробывал вчера на 3-х компах Hamachi и что-то он на каждом по 1 разу ошибку выдавал, приходилось удалять (без удаления настроек) и заново ставить и тогда нормально запускался, пишут на форумах что это бывает возникает проблема с драйвером для виртуальной сетевой. Думаю можно попробывать, но как-то не надежно.
Можете подсказать про настройку RDP + SSL + RemoteAPP, как я понимаю нужно установить терминальные службы, добавить 1С в RemoteAPP, а вот что с SSL. где его настраивают?
(9) В свойствах сервера терминалов.
На Windows Server 2008:
Пуск->Администрирование->Службы удаленных раб. столов -> Конфигурация узла сеансов .
Правой мышкой на RDP-Tcp подключение - попадаем в свойства.
Там и выбираем.
Большое спасибо за помощь!
А можете подсказать, если поставить компу (например, дома) белый IP адрес, настроить на Windows Server 2008 R2 службы терминалов, RDP + SSL + RemoteAPP, но как обезопасить комп от несанкционированного подключения с интернета или попадания вреданосного кода. в брандмауэре думаю нужно поставить, что это сетевое подключение в общественном месте, в ОС вход возможен только с логином и паролем. может быть что-нибудь еще можно сделать для улучшения безопасности?
Сегодня мы можем подключаться к нашей офисной базе 1С из дома, из гостиницы в какой-нибудь экзотической стране мира, из аэропорта, а сейчас в Москве даже из машины на ходу, и вы не заметите никакой разницы в скорости работы. На компьютере будет всё точно так же, как будто вы сидите и работаете с 1С в офисе. Эта технология называется «Удалённый доступ» или иногда «Терминальный доступ». Как это устроено можно подробнее посмотреть в нашей статье про терминальный сервер. Ценность этой технологии трудно переоценить.
Вот лишь маленькая часть преимуществ её использования.
Ваши сотрудники могут поработать с программой 1С, а также с почтой, общими документами из любого места, например, из дома. Это даёт нам множество выигрышей, особенно во время кризиса. Нам не нужно оплачивать более большой и дорогой офис, дорогие рабочие места. Мы можем вообще использовать дешёвую рабочую силу из удалённых регионов России или стран СНГ.
Вы будете иметь доступ к базе и сможете контролировать работу компании, где бы вы не находились. То есть, благодаря этой технологии, вы в любой момент можете уехать в отпуск, и при этом не потерять контроля над ситуацией.
Ваш сервер с программой базы 1С или с документами вообще не обязан находиться в вашем офисе. Он может находиться где угодно. Даже не в нашей стране. Последнее время для многих московских компаний стало модным устанавливать свои сервера где-нибудь в Швейцарии или Голландии. Почему они это делают? Это очень хороший вариант обезопасить себя от неправомерных действий различных проверяющих органов. Даже если сотрудники милиции, ОБЭП и других структур заберут ваши компьютеры, они ровным счётом ничего не получат, а вы сможете продолжать работать дальше, ничего не потеряв.
Ещё одно преимущество то, что вы имеете полный КОНТРОЛЬ. Это ваш сервер.
Нет платы за обслуживание. Мы один раз делаем это, и оно работает на вас долгие годы.
Как это делается и настраивается. Все просто!
Установка сервера терминалов.
Нужен компьютер, на котором мы поднимаем сервер терминалов. Это может быть Windows Server, а может быть Window XP. Нужно включить сервер терминалов и настроить. Настроить - это прописать, кто может подключатся к серверу, какие у них пароли, какие у них права. Можно сделать так, чтобы при подключении открывалась только одна программа, например 1С, а при закрытии программы отключался сеанс. В этом случае многие пользователи даже не заметят разницы. При переходе на работу в терминальном режиме.
Настройка удаленного подключения к 1С.
На своем рабочем компьютере мы настраиваем подключение к серверу терминалов. И выводим ярлык на рабочий стол. Ярлык можно замаскировать под 1С. Просто нажать сменить значок в свойствах ярлыка и выбрать картинку из папки запуска 1С. И все! Все выглядит так, как будто мы запускаем 1С как обычно. Только работает быстрее =)
Настройка безопасного соединения к 1С из Интернет.
Для того, чтобы к нему был доступ из Интернет. Это немного сложнее. Почему? Есть пресловутое слово – Безопасность. Вы же не хотите, чтобы доступ к вашей сети, а стало быть и к вашей базе данных 1С имели все пользователи Интернет. Если нам нужен доступ из одного какого-то места, с конкретным ip-адресом… Это легко, прописываем его на роутере (это маленькая коробочка стоит 100$). И он пускает пользователя только с этого адреса. А для других пользователей Интернета нашего сервера терминалов и нашей 1С не существует. Если задача ставится шире, например у нас есть несколько работников, которые должны подключатся к базе 1С из любого места. Тогда необходимо разработать систему определения «Свой-чужой». И показывать, что здесь есть сеть и база 1С только своим. Для этого лучше использовать компьютер на операционной системе Unix (или Linux). На сегодняшний день на таких компьютерах делают наиболее безопасные решения. Какие возможности открывает использование Интернет-Шлюза на Юникс-подобной операционной системе мы опишем следующих статьях.
Обозначенную задачу можно реализовать двумя способами, с использованием двух разных реализаций технологии VPN (Virtual Private Network):
1. Поднять VPN-сервер на компьютере, выполняющем роль SQL-сервера (или на другом хосте, запущенном во время использования 1С удаленным сотрудником). Сделать это можно стандартными средствами Windows (PPTP VPN). Плюсы: быстро и легко настраивается; нет необходимости устанавливать стороннее ПО; поддерживается почти всеми современными ОС. Минусы: PPTP давно считается небезопасным решением (в т.ч. по заявлениям Microsoft), что может быть существенным нюансом при работе с конфиденциальными данными. Второй вариант - использовать сторонние инструменты для создания виртуальной частной сети (см. "типы VPN"). Например, простой, бесплатный и стабильный способ - OpenVPN. Плюсы: несложно; считается достаточно безопасным (этот параметр зависит от настроек шифрования VPN-сервера); почти на все вопросы по конфигурации можно быстро найти ответ в сети ввиду большой популярности продукта; есть клиентское ПО почти для всех настольных и мобильных ОС. Минусы: в начале придется потратить немного времени на чтение инструкций (для начала хватит простого обзора параметров файлов конфигурации сервера/клиентов); необходимо установить стороннее ПО на сервере и удаленном компьютере, хотя оно бесплатно и требует минимальных железных ресурсов.
2. Настроить VPN-сервер непосредственно на маршрутизаторе. Но этот способ зависит от конкретного сетевого оборудования, используемого в вашем офисе. На многих современных роутерах (в т.ч. домашних) есть функция сервера VPN (см. документацию к своему оборудованию). Плюсы: как правило, сетевой маршрутизатор активен всегда, значит удаленный сотрудник сможет подключаться вне зависимости от состояния хоста, выполняющего роль сервера VPN; не нужно пробрасывать порты, используемые VPN, на маршрутизаторе для переадресации внешних подключений на сервер в локальной сети. Минусы: придется настроить не только ПК удаленного сотрудника, но и сервер 1С (в режиме клиента); функционал VPN привязан к возможностям маршрутизатора.
Что касается Hamachi - это, действительно, очень простое решение, но его можно назвать скорее временным и подходящим только для компаний с очень небольшим количеством пользователей и не требующих стабильности/гибкости частной виртуальной сети. Мой опыт работы с Hamachi завершился отказом от использования этого продукта ввиду большого количества отрицательных нюансов. Не буду подробно описывать их здесь - эти минусы подробно описаны в сети.
В базе 1С под платформой версии 8.1 настроено взаимодействие с SQL-сервером сторонней организации.
С этого SQL-сервера в базу 1С загружаются некоторые данные.
Эта загрузка может выполняться как на стороне клиента 1С,
так и на стороне сервера 1С-Предприятия (в регламентном задании).
Кроме этого на стороне клиента 1С имеются онлайновые сервисы,
выполняющие добавление и удаление определенных данных на SQL-сервере.
Связь со сторонним SQL-сервером организована через VPN.
Причем на разных серверах используются разные VPN-соединения под разными пользователями.
И было бы все хорошо, но VPN-соединение вещь капризная – регулярно вылетает.
Поэтому приходилось часто заходить на сервера и перезапускать VPN-соединения вручную.
В связи с описанным возникла идея, при необходимости «пинать» VPN из самой 1С из командной строки.
Переподключать VPN-соединение требуется в самых вариантах:
- на стороне клиента 1С;
- на стороне сервера 1С;
- на стороне клиента с передачей выполнения команды на сервер 1С.
При переподключении соединения естественно надо контролировать результат выполнения действия.
Решение задачи:
После общения с админами выяснилось следующее:
Команда для подключения VPN-соединения:
“rasdial ИмяСоединения ИмяПользователя Пароль /DOMAIN:ИмяДомена”
Команда для разрыва VPN-соединения:
“rasdial ИмяСоединения /DISCONNECT ” .
В связи с этим напрашивается два штатных для 1С варианта решения задачи:
1) Процедура КомандаСистемы ( СтрокаКоманды ,)
2) Процедура ЗапуститьПриложение ( СтрокаКоманды ,,Истина)
Первый вариант отпадает, поскольку процедура не доступна на стороне сервера 1С.
Второй вариант также не годится, поскольку не работает на стороне сервера 1С для платформы 8.1.
Кроме этого узнать результат выполнения команды с помощью процедуры ЗапуститьПриложение ()
можно только для платформы 1С, начиная с версии 8.2.15 .
У этого объекта имеется метод Run ( СтрокаКоманды , РежимОкна , ОжидатьЗавершение ) ,
позволяющий выполнить любую команду системы с контролем ее результата:
Реализация решения задачи:
По ряду соображений для реализации задачи было решено приспособить план обмена «Обмен данными COM» в составе подсистемы «COMExchange».
Для этого в плане обмена, начиная с версии подсистемы 8.1.1.3 , были сделаны следующие изменения:
1) Часть функционала из модуля объекта плана обмена "ОбменДаннымиCOM" перенесена в новый общий модуль "COMУзел"
(для совместимости с видимостью контекстов в управляемом приложении) с сохранением обратной совместимости;
2) Добавлено пользовательское событие ПередОтключением ( Соединение , Disconnect ) , которое позволяет переопределить
строку соединения с источником данных (строку команды) или текст модуля закрытия соединения;
3) Добавлена возможность подключения-отключения к источнику данных на стороне сервера с инициализацией (передачей управления)
со стороны клиента - регулируется опцией подключения-отключения « ВыполнятьНаСервере » (Рис.4, Рис.6);
4) Добавлена возможность заново создавать COM-объект приложения источника данных КоннекторCOM перед выполнением
модуля закрытия соединения - регулируется опцией отключения « ПересоздатьCOM » (Рис.6);
5) В список стандартных настроек плана обмена добавлены настройки для работы с операционной системой через объект "WScript.Shell" (Рис.2);
6) В форме автозаполнения добавлено заполнение стандартных узлов с кодами "WSH.Run " и " WSH.Exec" (Рис.1);
7) В дополнение к реквизитам «Пользователь» и «Пароль» добавлен реквизит «Домен» и соответствующее ему макроимя !Домен!
в строке соединения для указания домена пользователя (Рис.3);
8) В дополнение к реквизиту «Используется» добавлен реквизит «ИмяКомпьютера» для поиска нужного узла
в зависимости от компьютера, на котором запущен сеанс 1С (Рис.3).
Описание демонстрационной информационной базы:
В файле поставки к статье COMExchangeDemо.rar находится выгрузка информационной базы
для демонстрации реализованного функционала управления VPN-соединениями.
В план обмена «Обмен данными COM» этой базы добавлены три дополнительных узла ( Рис.1):
В демонстрационной базе также имеется тестовая обработка «Управление VPN-соединением из 1С» (Рис.7), выполняющая следующие действия:
Для выполнения подключения и отключения VPN-соединения обработка использует стандартный узел "WSH.Run" .
При этом в пользовательских событиях ПередПодключением () и ПередОтключением ()
переопределяется строка соединения с источником данных узла, используемая в качестве строки команды.
Благодарности:
Выражаю благодарность коллегам - системным администраторам, за плодотворное общение.
В результате на ПК получаю подключение с настройками:
На gate добавляю DNS запись
Проверяю доступ с ПК
Консоль кластера открывается нормально, а при обращении клиента получаю ошибку
Причина в том что при инициализации кластера 1С использует hostname операционной системы, а оно краткое, и прописывает его в конфигурационные файла кластера (статья по теме). Изменяю настройки конфигурации, все вхождения "srv1c" меняю на "srv1c.malikov.lan". Перезапускаю сервис.
Запускаю конфигуратор, проверяю результат
Для работы тонкого клиента по TCP WINS не обязателен, по DNS работает отлично.
Пример на *nix системах, но подход работает и на win.
Благодарю за внимание.
Специальные предложения
И да, я завидую, хе-хе. перечитал 3 раза, так и не понял в чем смысл, единственное, что приходит в голову - просто тупо "лупануть" статью за старт-мани
как пример корректной и гибкой настройки.
Недавно передали настройки подключения
У меня при подключении передается один файл (key inline), который из pfSense генерируется парой кликов.
(3) "статью за старт-мани" - за такой объем текста не начисляют . Изучал ранее данный вопрос, но меня остановило то, что на локальной машине мы прописываем DNS-сервер удалённого хоста, соответственно все DNS-запросы пользователя начинают идти через канал VPN. Понятно, что опрашиваются и DNS-сервера, указанные на машине пользователя, и они скорее всего дадут ответ быстрее, но ненужный трафик всё равно идёт в vpn-канал. По этому решил подключать пользователей через web-сервер, там и по ip-адресу всё прекрасно работает. В VPN идут DNS запросы только по домену указанному в DHCP(8) Основные сервера DNS указаны для IP указаннго локально у них приоритет, при подключении по VPN активизируется доп интерфейс для которого указывается доменное имя и DNS сервер.
Для перенаправления всех запросов на DNS за VPN передается параметр push "block-outside-dns";
Если не прав, то уточните в чем именно.
С Windows всё не так просто, и даже не однозначно. Навскидку: https://bozza.ru/art-278.html . Windows вообще не может легко и быстро переключаться с одного dns-сервера на другой, если текущий отвечает.У меня на удалённой площадке в этом же городе, с RTT до внутреннего dns (на главной площадке) в 2-3 мс, после поднятия туннеля весь dns-трафик уходил в него. Без туннеля был настроен Яндекс.днс с RTT 40 мс. "block-outside-dns" я не прописывал, наоборот, хотелось бы чтоб было так, как вы описали :)
уже файл hosts отменили? а при правильно настроенном DNS - все работает сходу
(10) Вы правы, заметил что при подключении VPN c DNS пускает через него все запросы (часть CDN некорректно работают).
(11) "уже файл hosts отменили?" - на клиенте у меня нек к нему доступа, выдаю только файлы конфигураций для VPN.
"а при правильно настроенном DNS" - это как для win? При том что только часть запросов (определенная DNS зона) нужно пускать на DNS сервер за VPN.
(13) "умник" - если у тебя поднят где-то DHCP, то оттуда и получаешь АйПиху и основные ДНСу меня везде первый - локальный ДНС, второй приоритетный ДНС - 8.8.8.8 (задумайся зачем), и ты поднимай/опускай ВПН - все будет идти через указанные в основном подключении (13) Понимание приходит с опытом (решенными задачами), для себя недавно открыл перенаправление DNS зоны на микротике. Промежуточный вывод: DNS лучше управлять на шлюзе/локальном сервере, а DNS по RA как запасной вариант со своими ограничениями.
Просмотры 2141
Загрузки 0
Рейтинг 7
Создание 03.11.20 09:00
Обновление 03.11.20 09:00
№ Публикации 1320436
Тип файла Нет файла
Конфигурация Не имеет значения
Операционная система Не имеет значения
Вид учета Не имеет значения
Доступ к файлу Бесплатно (free)
Код открыт Да
См. также
Подбираем сервер для 1C:ERP Промо
На Infostart Meetup Ekaterinburg ведущий разработчик 1С в компании ФТО Виталий Онянов рассказал, как подобрать сервер для 1С:ERP и на какие показатели ориентироваться, чтобы оборудование для высоконагруженной системы оправдало вложения.
26.03.2021 15289 Tavalik 72
Профили управления доступом к объектам в любой конфигурации на БСП
В данной статье рассмотрим механизмы стандартного управления профилями доступа к объектам в любой типовой конфигурации, в основе которой лежит БСП.
17.11.2021 1644 quazare 3
Запрет изменения документа для всех пользователей, кроме автора
Вариант решения вопроса, как закрыть возможность изменить документ для всех пользователей, кроме автора. Подходит для конфигураций, снятых с поддержки, придется внести изменения в конфигурацию. Решение разрабатывалось для УТ 10.3, обычные формы.
12.11.2021 557 shar74 5
Особенности (ограничения) производительного RLS
В своей деятельности при работе с производительным RLS мы сталкиваемся с рядом особенностей (ограничений) данного RLS. В своей статье Ретунский Александр, ведущий программист компании АО «Корпоративные ИТ-проекты» (официальный партнер ИнфоСофт), поделится информацией, полученной опытным путем на ряде задач по производительному RLS.
05.11.2021 777 Alexsandr_Retunskiy 5
Права доступа в 1С:Документооборот 2.1 Промо
В программе 1С:Документооборот ред 2.1 механизм системы прав доступа сильно изменился. С одной стороны, права доступа в данной версии стали проще и быстрее, с другой стороны - права по рабочим группам объектов теперь могут противоречить политикам доступа. Разберемся в данной статье как работает механизм прав доступа в 1с документообороте 2.1.
16.09.2016 88477 vlush78 0
Публикация веб-сервисов 1С 8.3 вручную в Linux
Актуальный пример настройки публикации веб-сервисов под Linux
02.11.2021 393 tubusx 1
Внешняя компонента как REST-API-компонента.
. и совсем немного кода на С[++].
01.11.2021 1094 starik-2005 10
22.10.2021 592 malikov_pro 0
Доработки RLS. Примеры шаблонов. (в т.ч исключения из ограничений) Промо
Допиливаем шаблоны RLS. Даем доступ пользователям к некоторым объектам
19.06.2013 70703 EvilDoc 38
Настройка аутентификации OpenID connect используя Keykloack при подключении к 1С
В статье опишу порядок настройки, проверки и направления изучения по теме "Технология единого входа (англ. Single Sign-On), SSO".
22.10.2021 657 malikov_pro 1
Обновление платформы 1С тонкого клиента с вебсервера, когда сервер 1С ПРОФ
19.10.2021 1441 ser6702 13
Как доработать производительный RLS
Неоднократно в последнее время поступали задачи, когда требовалось доработать новый производительный RLS. В своей статье Ретунский Александр, программист компании АО «Корпоративные ИТ-проекты» (официальный партнер ИнфоСофт) опишет последовательность действий при доработке нового RLS, ключевые моменты и сложности, с которыми столкнулся. В Интернете статей или инструкций, которые подробно и просто описывают – как доработать производительный RLS, не так много и автор делиться своим опытом. В данной статье не будут описаны различия и плюсы/минусы между стандартным и производительным RLS, в Интернете по этому вопросу есть много информации.
18.10.2021 2456 Alexsandr_Retunskiy 4
1С, Linux, облака…
05.10.2021 1029 ArtfulCrom 2
Перекуем Cloud на Oracle. Тестируем размещение 1С в облачной платформе Oracle Cloud.
После цикла публикаций про размещение 1С в облачных сервисах я думал, что все различные варианты рассмотрены и тема для меня закрыта. Однако есть события, мимо которых не пройти. Так вот и сейчас, когда наблюдается аттракцион невиданной щедрости от Oracle, мимо этого просто так не пройти.
02.09.2021 676 capitan 22
Ферма ОДИНа или как управлять множеством Серверов 1С: Предприятие из одной точки
У Вас много серверов приложений 1С Предприятие разных версий и их надо мониторить и администрировать. Новое приложение для управления фермой ОДИНа как раз для тебя.
26.08.2021 1077 khorevaa 8
Доменная аутентификация ОС при бесшовной интеграции 1С:Документооборот 8 КОРП, редакция 2.1 и 1С:ERP Управление предприятием 2 (в клиент-серверном режиме)
Доменная аутентификация ОС при бесшовной интеграции 1С:Документооборот 8 КОРП, редакция 2.1 (2.1.27.1) и 1С:ERP Управление предприятием 2 (2.4.13.103) (в клиент-серверном режиме). Проблема: «После перехода на новую платформу перестала работать доменная аутентификация».
01.06.2021 2414 user1387741 13
Как добыть последнюю версию SQL Server 2012 Native Client
Краткое руководство администраторам 1С по получению свежей версии SQL Server 2012 Native Client, необходимого для работы сервера 1С.
13.05.2021 2134 tedkuban 3
Настройка сборки данных в Performance Monitor Windows Server. Рецепты от Капитана
Каждый опытный сисадмин знает, что лучший показатель ухудшения быстродействия 1С, это главный бухгалтер, движущийся в сторону ИТ отдела со скоростью, превышающей 1.1 м/с. Но только мудрейшие из них настраивают сбор счетчиков, чтобы эта встреча не застала их врасплох. Об этом и поговорим под катом.
07.05.2021 3551 capitan 21
Статистика для кадровика
Вызов отчетов статистики П-4 для кадровика.
05.05.2021 487 VladSmall2020 0
Xubuntu 20.04 для бухгалтера 1С
В публикации представлен необходимый минимум для настройки Xubuntu 20.04 в качестве рабочего места бухгалтера, ведущего учёт в программе 1С: Бухгалтерия 3.0 файловый вариант. Кроме этого, настроено подключение и других сотрудников через тонкий клиент 1С к опубликованной на веб-сервере базе бухгалтерии.
12.04.2021 4809 compil7 25
Подготовка отчетности за 2020 год в условиях ограничений на уровне записей RLS в УПП 1.3
Если предприятие использует ограничения на уровне записей RLS в УПП 1.3 и ограничение на доступ к организациям, бухгалтерскую отчетность за 2020 год (конкретно Пояснения. Раздел 5 "Дебиторская и кредиторская задолженность") сформировать невозможно пользователю, у которого нет прав на чтение всех платежных поручений и кассовых ордеров по всем организациям. Происходит ошибка "У пользователя недостаточно прав на исполнение операции над базой данных.". Данная статья предлагает решение этой проблемы.
29.03.2021 849 ksnik 0
16.03.2021 3717 ardn 10
Установка платформы 1С 8.3.20.1363 и более старших версий на RHEL8 и любые другие rpm-based linux. Решение проблемы установки меньших версий 1С8.3 (webkitgtk3) на RHEL 8 / CentOS 8 / Fedora Linux
08.03.2021 3701 ksnik 47
CRM в облаках
29.01.2021 1352 Plotks2017 1
Как убрать/заблокировать давно удаленных пользователей из Системы взаимодействия
Данная статья будет служить как вспомогательная человеку, столкнувшемуся на своем пути с Системой взаимодействия, и особо особенному человеку, у кого конфигурация 1С:Предприятие 8. Автосервис (1.6.16.153).
22.01.2021 929 user1135816 0
Восстановление пароля в 1С 8.3
Здравствуйте, коллеги! Сегодня поговорим о восстановлении паролей 1С и трудностях, которые могут возникнуть у пользователя в процессе. Сейчас, если пользователь забыл пароль, ему необходимо обращаться к администратору базы, чтобы он сбросил его, назначив новый самостоятельно, либо поставив флаг о том, что при удачной авторизации пользователь может придумать новый пароль самостоятельно. Данная процедура занимает много времени как у пользователя, так и у администратора, отвлекая его от других дел.
Читайте также: