Уважаемые! Обращаюсь к Вам с вопросом. У кого-нибудь функционирует saprouter через аппаратный Firewall?

Дело в том, что у нас стоит Cisco PIX-525, открыли на нем 3299 порт до одного из серверов САП, запустили на нем saprouter. Внутри сети все функционирует, а при попытках достучаться до системы извне – все отваливается по таймауту. Техподдержка САП разводит руками. Присылали к нам гонцов, но те, кроме совета пустить работать saprouter в обход системы защиты, никакими другими идеями блеснуть не смогли.

Вопрос в общем выше, работает у кого-нибудь эта мандула через аппаратный Firewall? Может что еще открывать нужно помимо описанного в ноте 48243 и астральном документе “Практические рекомендации по организации Удаленного Доступа”? =)

Два вопроса.
1. Порт открыли внутрь, а в обратную с этого порта на any открыли?
2. У вас NAT? А проброс порта с внешнего IP на внутренний адрес сделали?

Выделили живой IP и пробрасываем с него на внутресетевой.

access-list outs2in extended permit tcp any host <живой IP> eq 3299
static (inside,outside) <живой IP> <внутресетевой IP> netmask 255.255.255.255

Не помню киску...
Но не увидел что-то типа:
permit tcp <живой IP> eq 3299 any host
Разрешение с 3299 с вашего IP на любой внешний.

Да я тоже не бобер по цискам. Сделали по аналогии с Ослом. Принцип тот же, только у Осла 2 порта. Осел работает, САПроутер – нет =(

Остается только логи смотреть на киске. Ну или на saprouter'е

воспользоваться tcpdump и посмотреть что происходит когда на роутер пытается вломиться кто-либо извне. так увидете происходит ли вообще к роутеру обращение. если к роутеру обращаются, смотреть что длаьше проиходят. проходят ли пакеты от роутера наружу, возможно закрыто что либо.

Чтото припоминаю смутно - должен быть файлик, в котором лежит таблица разрешенных IPшников. непомню как называется. Конфигуратор там же, в тойже директории. В энтом файлике помоему как раз и рассказывается сапроутеру кто и куда может через него ходить.

Припоминаю не смутно =)

------------------
P * * *
------------------

Т.е. все лезут куда хотят.

Как я понимаю, по теории (т.к. до практики еще не дошло), когда появится продуктив, необходимо будет запускать в него немчуру для проверки этого самого продуктива. Тут и сапроутер понадобится и настроенный с sap.com VPN-канал. Сразу появляется дополнительный вопрос. А действительно так по жизни и складывается, что немцы лезут и смотрят продуктив, генерят отчеты и дают дельные советы? Кто-то дожил до этого?

Общение со “спецами” из техподдерки САП СНГ у меня пока что вызывает тихий ужас,
поэтому предпочитаю читать НОТЫ перед сном. =)

Складывается.Но в основном вопросы не по Базис , а по другому функционалу.

вотвотвот - оно самое и типа все равно не парит?

Саповцы действительно просят логон скажем в продуктив - у себя воспроизвести какуюто ошибку кастомера они не могут.

На сколько я помню на файрволе надо было действительно прописывать тех кто будет коннектиться к сапрутеру. У нас правда не пикс был, а обычный фв-1-чекпоинт, но тем не менее.

В любом случае должны быть логи файрвола - пытаешься залогиниться через рутер, как отваливается смотришь логи. В логах четко пишется, по какому протоколу, какой порт, какой хост, чего хотел. Я так и настраивал - всё в итоге работало.

У нас стоит PIX-515 и сапроутер. Тот, кто это все настроил, уже работает в другой конторе.
На самом PIXе настроен VPN, в DMZ с внешним IP-адресом стоит сапроутер. Его адрес прописан статически на внутренний. Поскольку серверов несколько, пришлось поставить еще и внутренний сапроутер, а через него коннектиться на R/3 системы.

А доступ к access-листам Пикса остался? =) Взглянуть бы на тот раздел, где роутеры описаны.

Сделано у Вас грамотно, т.к. это только сказки САПа про одинокий 3299 порт. В общем, идея такая. Один сап-роутер в DMZ-зоне (назовем его внешним) шуршит наружу и внутрь по порту 3299. Второй (внутренний), шуршит со всеми системами SAP по портам 32** и имеет доступ в DMZ-зону к внешнему САП-роутеру по порту 3299.

К PIX-y у меня доступа нет, здесь ничем помочь, к сожалению, не смогу.
Еще один момент. Как написано в ноте 169924, в файле /etc/services сапроутера должна быть запись "sapdpXX 32XX/tcp", где ХХ-номер R/3 системы. По видимости, должен быть еще открыт порт 32ХХ.