Фпсу клиент сбербанк флешка что это
Фпсу клиент сбербанк флешка что это
По вопросам гарантии обращаться по e-mail shestakov@amicon.ru.
Внутренние добавочные номера для связи с отделами:
| Бухгалтерия | 105 |
| АНЕТ | 127 |
| Закупки | 117 |
| Техническая поддержка | 106 |
Для обеспечения удаленного доступа от абонентского пункта (отдельной ПЭВМ) к ресурсам информационной системы (ИС) по открытым каналам связи ООО «АМИКОН» предлагает использовать высокоэффективную технологию VPN, реализуемую при взаимодействии комплексов «ФПСУ-IP» и «ФПСУ-IP/Клиент».
Данная программно-аппаратная система обеспечивает безопасный информационный обмен между удаленным абонентским пунктом (рабочей станцией) и защищенной комплексом «ФПСУ-IP» сетью через открытые сети передачи данных. Комплекс «ФПСУ-IP/Клиент» устанавливается на рабочей станции удаленного пользователя и выполняет функции межсетевого экрана и VPN построителя для информационных взаимодействий «рабочие станции – защищенные сервера». Тем самым обеспечивается аутентифицированный и безопасный доступ к серверам, защищаемым комплексом «ФПСУ-IP», за счет создания VPN-соединения между рабочей станцией и центральным комплексом «ФПСУ-IP». Административное управление, контроль и аудит всех VPN-соединений осуществляется централизованно с использованием АРМ «Удаленного управления», при этом может одновременно использоваться до 12-ти АРМ, наделенных соответствующими полномочиями, что предопределяет высокую устойчивость и надежность управления с возможностью осуществления перекрестного аудита управления.
Комплекс «ФПСУ-IP/Клиент» состоит из программного обеспечения пользователя, устанавливаемого на ПЭВМ, и интеллектуального USB-устройства «VPN-key/Клиент», хранящего уникальный идентификатор клиента, ключевую и служебную информацию и являющегося, по существу, микро-ЭВМ.
После этого комплексы «ФПСУ-IP/Клиент» и «ФПСУ-IP» (содержащий соответствующую подсистему обслуживания комплексов «ФПСУ-IP/Клиент») выполняют аутентификацию и авторизацию пользователя и устанавливают защищенное соединение. Аутентификация происходит при создании VPN-туннеля между комплексами «ФПСУ-IP/Клиент» и «ФПСУ-IP». После аутентификации комплексом «ФПСУ-IP» выполняется авторизация клиента. Одновременно обеспечивается трансляция реального IP-адреса клиента в IP-адрес защищаемой сети.
В процессе взаимодействия комплексами «ФПСУ-IP/Клиент» и «ФПСУ-IP» выполняется фильтрация и передача данных в зашифрованном виде по VPN-каналу от РС пользователя до комплекса «ФПСУ-IP». Дополнительно может осуществляться проходное сжатие передаваемых данных, что существенно уменьшает объем передаваемой информации и повышает скорость взаимодействия.
Разрыв соединения происходит либо по запросу пользователя, либо при отключении устройства «VPN–key/Клиент» от USB-порта ПЭВМ.
Особенностью технологии «ФПСУ-IP/Клиент» является возможность работы пользователя из произвольного места размещения РС в сети, т.е. не требуется привязка к определенному IP-адресу. При этом обеспечивается строгая двухсторонняя аутентификация всех взаимодействий РС и ФПСУ-IP. Идентификация пользователя осуществляется по четырехзначному цифровому PIN-коду пользователя, количество попыток ввода которого ограничено (с дальнейшим переходом на необходимость использования 10-ти значного PUK-кода). Авторизация и аутентификация пользователей обеспечивается средствами комплекса «ФПСУ-IP».
Система удаленного администрирования и мониторинга комплексов «ФПСУ-IP» и «ФПСУ-IP/Клиент» обеспечивает полное управление и наблюдение за защищаемой сетью. Возможности системы аудита позволяют выполнять раздельный подсчет объемов передаваемых данных между конкретными РС и комплексами «ФПСУ-IP», что позволяет организовать четкий контроль за работой абонентов.
Комплекс «ФПСУ-IP/Клиент» абсолютно прозрачен для всех стандартных Интернет протоколов и может использоваться совместно с любым программным обеспечением, обеспечивающим доступ к ресурсам информационных систем.
Для обеспечения большей защищенности имеется возможность административно (удаленно или локально) ограничивать доступ пользователям «ФПСУ-IP/Клиент» к открытым сегментам сети при работе с защищаемыми ресурсами, вплоть до полного запрета.
За счет аппаратной реализации комплекса и интуитивно понятного интерфейса управления использование системы «ФПСУ-IP/Клиент» удобно для пользователя и не требует значительных дополнительных накладных расходов на обучение.
МЭ ФПСУ-IP/Клиент совместно с комплексами ФПСУ-IP обеспечивают надежную и устойчивую защиту информационных ресурсов системы, выполняя функции межсетевого экрана и VPN построителя. Надежность и бесперебойность функционирования комплексов ФПСУ-IP обеспечивается за счет горячего резервирования. Доступность и непрерывность функционирования обеспечивается за счет возможности кластеризации комплексов и работы ФПСУ-IP/Клиента с основным или резервным ФПСУ-IP. Количество клиентов, обслуживаемых одним комплексом ФПСУ-IP – до 128000. Максимальная пропускная способность комплексов ФПСУ-IP/Клиента на современной аппаратной платформе (Intel Core i7) – не менее 250 Мбит/с.
При работе с клиентской стороны допускаются следующие типы сетевых подключений: LAN, DialUP, прямое подключение/выделенная линия, IR-порт и др. Взаимодействие с внешней сетью может осуществляться как непосредственно (маршрутизатор, модем и др.), так и через прокси-сервер или межсетевой экран.
На настоящий момент комплексы эксплуатируются в крупных защищенных ИС, общее количество внедрений – более 400 000 комплексов «ФПСУ-IP/Клиент».
Хранение ключевых контейнеров СКЗИ КриптоПро (до 4 контейнеров)
Функции смарт-карты для хранения сертификатов и аутентификации в домене Microsoft.
Фпсу клиент сбербанк флешка что это
При возникновении вопросов по установке свяжитесь с нами или ознакомьтесь с подробной инструкцией по установке и настройке торгового терминала SberCIB Terminal.
Запустите драйвер от имени администратора
Когда программа предложит проверить VPN-ключи на совместимость нажмите «Да»
На следующем шаге установки вставьте ваш VPN-ключ в USB-порт ПК и нажмите «Ок»
В следующем окне нажмите на кнопку «Нет» если у вас один ключ
После перезагрузки вставьте VPN-ключ, полученный в обслуживающем подразделении, в ваш компьютер
Если система предложит отформатировать ваш ключ нажмите «Отмена»
Введите пин-код пользователя (пин-1) для установления соединения с сервером
После подтверждения пароля в правом нижнем углу появится уведомление «Соединение установлено»
Скачайте дистрибутив программы торгового терминала SberCIB Terminal и распакуйте его на локальном диске
Запустите файл «SberCIB_Terminal» от имени администратора
В открывшемся окне нажмите кнопку «Далее»
Выберите «КА (USB-токен)» и нажмите кнопку «Далее»
Если вас устраивают рекомендованные настройки установки, то нажмите кнопку «Далее» до начала инсталляции
По окончании установки нажмите кнопку «Завершить»
Запустите торговый терминал SberCIB Terminal
Введите пин-код пользователя (пин-1) для входа
После настройки терминала проверьте базовые настройки интерфейса с помощью руководства
При возникновении вопросов по установке свяжитесь с нами или ознакомьтесь с подробной инструкцией по установке и настройке торгового терминала SberCIB Terminal.
Бетке Сергей: iT блог
Клиент-банк Сбербанка (СБ РФ), ФПСУ-IP/Клиент Амикон и ISA Server – строим специализированный ФПСУ маршрутизатор
Возникла необходимость обеспечить работу с несколькими разными ФПСУ банка (часть организаций “вынудил” СБ работать через СПЭД, часть – всё ещё на клиенте СБ, а ФПСУ то разные). Описанное ранее решение работало только в случае, если ключ один. Посему и пришлось искать другое решение, но на рабочие станции ставить ФПСУ IP клиент вообще никакого желания нет. Реализованное решение и опишу.
Принцип работы ФПСУ клиента уже ранее описывал, повторяться не буду. Приведу идею:
Учитывая проблемы, которые нам уже создавал Сбербанк, не будем создавать себе проблемы и пытаться решить проблему только в рамках ISA хоста. Для этих целей будем использовать “ведро” – простенькую рабочую станцию, на которой работать уже грешно, а выкидывать жалко. Назовём её “наш Амикон-маршрутизатор”, или просто — “Амикон-маршрутизатор”.
P.S. В конце статьи остановлюсь на том, как реализовать это решение на виртуальном сервере, так как в случае наличия Windows Enterprise Server реализация в рамках виртуального сервера не потребует от Вас дополнительных затрат (на лицензирование).
Готовим маршрутизатор
Всё, что нам потребуется от самодельного маршрутизатора – хотя бы один USB порт, минимальные требования совместимости с MS Windows 2000/2003 Standard Server (да, потребуется сервер, потому как потребуется RRAS ради NAT) и два сетевых интерфейса. Можно обойтись и Windows XP, но в этом случае Вам потребуется через реестр включить маршрутизацию и NAT включить через netsh.
Устанавливаем ФПСУ IP-клиент
Пришло время установить сам клиент (сразу после установки Windows Server).
Настраиваем сетевые интерфейсы маршрутизатора
Настраиваем сетевые интерфейсы маршрутизатораNAT, Amicon ФПСУ IP/клиент и RRAS
В процессе длительных экспериментов наблюдал следующую картину: с нашего “самопального” маршрутизатора соединение с ФПСУ банка устанавливается, сервера банка доступны (tracert показывает маршрут в один hop, что и понятно – пролетает весь путь в туннеле ФПСУ). А с других компьютеров, с которых маршрут к серверам банка ведёт через наш Амикон-маршрутизатор, сервера банка недоступны. 
При этом на в ФПСУ IP/Клиенте в статистике видно, что пакеты он отправляет, а обратно ничего не возвращается. Возникло предположение, что сервер ФПСУ Амикона не выполняет NAT (об этом информация пробегала здесь). Именно этим, на мой взгляд (здесь – исключительно догадки), объясняется работоспособность решения с установкой фильтра на ISA хост с привязкой к WAN интерфейсу – ISA реализует NAT на WAN интерфейсе. Поэтому и выбрал серверную ОС – ради NAT (в RRAS). Итак, нам необходим NAT на интерфейсе Amicon.
В первую очередь останавливаем службу ICS (Internet Connection Sharing), устанавливаем для неё режим запуска – Отключена (рекомендую этот шаг выполнить через созданный выше GPO), запускаем мастер настройки маршрутизации и удалённого доступа. При настройке выбираем вариант NAT маршрутизатора без файрвола. После установки RRAS настроить его можно следующим сценарием NetSh:
Но суть сценария в разделе настройки NAT: интерфейс Amicon в режиме NAT-full, LAN – в режиме NAT-private.
На этом настройка нашего Амикон-маршрутизатора закончена практически. Теперь, при установленном соединении с ФПСУ банка сервера банка будут доступны с любой рабочей станции Вашей сети (благодаря NAT и маршрутам на ISA хосте).
P.S. Кстати, мы по-прежнему можем контролировать доступ к серверам банка с наших рабочих станций. Для этих целей мы можем использовать правила фильтрации на RRAS, которые, кстати, можно установить через GPO+GPP.
Настраиваем ISA Server
Теперь мы должны написать маршруты, благодаря которым трафик, направленный в адрес ФПСУ банка и хостов банка, будет направлен на наш Амикон-маршрутизатор.
Маршрутизация
Для начала следует уточнить адрес ФПСУ банка и адреса серверов банка (хостов в терминологии ФПСУ). Для этих целей щёлкаем правой кнопкой на значке ФПСУ IP/клиента в трее, пункт – “VPN-key Settings”. После ввода PIN кода администратора (Вы должны были получить PIN коды вместе с ключом) не забудьте установить опцию — “Администратор”, после чего жмём Ok.
Окно с настройками IP клиента представлено слева. Нас интересует разделы ФПСУ (адрес межсетевого экрана банка, в моём примере – 84.204.34.245) и Хосты (адреса серверов банка, маршрут к которым возможен только через туннель ФПСУ, в моём примере – 55.251.189.1).
Идея в следующем. На ISA хосте мы должны прописать маршрут к серверам банка через наш новоявленный Амикон-маршрутизатор. Я добавил маршрут через консоль RRAS, можно – через route add, как удобнее будет. В результате таблица маршрутизации на ISA хосте будет выглядеть приблизительно так:
Видите маршрут к серверам банка (55.251.189.1) через наше “ведро” (172.31.2.200)? Важно, чтобы это маршрут имел меньшую метрику, чем шлюз по умолчанию.
Маршрут прописываем только до серверов банка (хостов), ни в коем случае не до ФПСУ банка! (иначе получим кольцо и связи не будет).
P.S. Для каждого ФПСУ нам придётся использовать своё “ведро”-маршрутизатор, и для каждого – маршрут на ISA хосте.
Забыли про LAT?
Я думаю, Вы уже получили ругань в журнале событий на ISA хосте. И правильно — мы новую локальную подсеть создали, а в LAT то её кто будет прописывать? В общем — вносим 192.168.202.0-192.168.202.255 в LAT в консоли ISA сервера, перезапускаем ISA Control.
Правила протоколов (protocol rules)
ISA готова к эксперименту. Не забываем перезапустить службу Microsoft Firewall.
Эксперименты
Теперь пришло время подключить VPN. На нашем “маршрутизаторе”, в меню клиента ФПСУ – Подключить. Если на предыдущем шаге всё сделано правильно, то с нашего маршрутизатора tracert выдаст следующий результат:
Ну а благодаря NAT аналогичный результат (как минимум – на один hop длиннее) мы получим с любой рабочей станции Вашей сети.
MTU + ФПСУ IP клиент = проблемы
Однако, без без потенциальных проблем и здесь не обошлось. Очевидно, что фильтру Амикона требуется увеличить размер пакета, чтобы дописать свой заголовок. По результатам экспериментов – 28 байт требуется. В моём случае до ФПСУ банка допустим MTU 1500. Из-за дополнительного заголовка ФПСУ – 1472 байта. Первое, что приходит в голову – установить на интерфейсе Amicon MTU 1472.
Но не тут то было. Запускаем тест с рабочей станции Вашей сети:
Флагом –f мы запрещаем фрагментацию пакетов. Размер пакета (1470) меньше MTU (1472), поэтому ICMP ответа “требуется фрагментация” не последует. Но с заголовком размер пакета составит 1498. Меньше 1500. Но ведь размер – больше MTU, поэтому и уйти такой пакет через сетевой интерфейс не сможет. И какой бы размер MTU мы не установили в реестре, проблема размером в 28 байт сохранится.
По моему субъективному мнению, разработчикам IP клиента была допущена архитектурная ошибка. Не было бы никаких проблем, если бы клиент создавал новый виртуальный сетевой интерфейс, как и многие другие VPN решения. Тогда не возникло бы и проблем с установкой MTU для этого нового виртуального интерфейса – берём MTU сетевого интерфейса, через который поднят VPN, вычитаем 28 – и получаем MTU виртуального Amicon VPN интерфейса. Но Амикон пошёл другим путём, они создали NDIS фильтр. Хотя, судя по MSDN, фильтры не должны изменять размеры пакетов. А фильтр Амикона – меняет. Вот и результат.
Другими словами – с MTU проблема у ФПСУ IP-клиента. В любом варианте установки. При этом, если отправитель не выставит флаг “фрагментация запрещена” – проблем не будет (пакет будет фрагментирован, что подтверждается успешным выполнением ping –t 213.148.164.75 –l 2000). А если отправитель выставит этот флаг, и размер пакета будет меньше MTU сетевого интерфейса, но больше, чем (MTU-28 байт) – не будет и ICMP ответа о необходимости фрагментации, и пакет отправлен не будет.
По факту могу сказать, что ни клиент СБ РФ, ни СПЭД не выставляет флага “фрагментация запрещена”. Поэтому и проблем не возникает, хотя потенциальная проблема при этом существует.
Периодический разрыв соединения и что с этим делать
По поводу разрыва соединения через интервал keep-alive пришла в голову идея — а он и должен рваться! Он не может не рваться, я бы сказал. Ведь не стоит забывать, что на ISA работает NAT. Protocol rule — send-receive. Время жизни динамического сопоставления UDP в NAT невелико. В моём случае из огромого потока коротких UDP сессий время жизни UDP сопоставления пришлось уменьшить до 1 минуты. При установке RRAS на Windows 2003 по умолчанию время жизни UDP сопоставлению будет 60 минут. Дальше всё зависит от keep-alive интервала, установленного на ФПСУ сервере. Ответный пакет (точнее любой входящий пакет) от ФПСУ сервера к клиенту будет пропущен не позднее, чем через (время жизни UDP сопоставления) после отправки последнего пакета от клиента серверу! А keep-alive на стороне ФПСУ сервера, как я понял (опять-таки — догадки), обрабатывается просто — сервер посылает пакет клиенту. И в моём случае это время выше времени жизни UDP сопоставления. Ну так пакет клиента и не достигнет.
Предложил разработчикам контролировать keep-alive на стороне клиента ФПСУ, а не сервера. Именно клиент должен посылать запрос (пакет) через keep-alive интервал после последней активности. Если не получает ответ — канал разорван. А сервер просто ждёт чуть больше, чем keep-alive интервал на клиенте. Если нет пакетов от клиента — то и слать незачем. Можно попытки на сервер и оставить, они не помешают, но на клиенте их надо ввести. В этом случае клиент отправляет пакет, вновь создаётся (либо «обновляется» время жизни существующего) сопоставления на NAT для NAT клиентов, и ответ от сервера в течение времени жизни UDP сопоставления спокойно пройдёт обратно.
Пока же, если у Вас также имеют место быть ограничения на максимальное время жизни UDP сопоставления на NAT, предлагаю создать назначенное задание на Амикон маршрутизаторе от имени Local System: раз в пять минут запускаем
А что же FWC?
По логике вещей на нашем спецмаршрутизаторе не нужен FWC вовсе. Но с другой стороны – он и не помешает, не сможет! Так что никаких специальных настроек FWC не потребуется. Однако, рекомендую отключить службу агента клиента межсетевого экрана, опять-таки – через GPO (можно даже и без GPP).
По описанным выше причинам авторизация на протокол UDP87 возможна только по IP адресам. Если требуется авторизация по учётным записям, следует запускать службу Амикона от имени специальной учётной записи, включить FWC — и авторизация возможна. Но здесь не об этом.
Да, FWC не требует настройки на Amicon-маршрутизаторе, но на клиенте-то (СПЭД, клиент СБ РФ) требует!
IP пакеты должны идти напрямую от workstation в адрес сервера (хоста). То есть, если они и проходят по пути какие-либо туннели, то они должны выйти из этих туннелей до фильтра Amicon NDIS IM Filter Driver, то есть — до нашего Amicon-маршрутизатора, иначе последний их просто “не поймает”.
Что же нам может помешать? А помешать нам может FWC. Вспомним, как он себя ведёт. Для того, чтобы обеспечить авторизацию трафика на ISA firewall service, он также “заворачивает” пакеты клиента, отправляемые за пределы LAT. Если мы не исключим FWC в нашем случае, ISA firewall service безусловно “развернёт” туннель FWC, и пакеты “уйдут” через внешний интерфейс ISA, однако при этом они не попадут на наш Amicon-маршрутизатор. И, соответственно, не пройдут межсетевой экран банка. Итак, FWC нам необходимо исключить для трафика клиент-банка (точнее — для любого трафика, который должен идти через туннели ФПСУ).
Смотрим настройки FWC (application.ini) и дописываем исключение для клиент-банка:
Важны последние две секции: для «родного» клиент-банка и для СПЭД соответственно.
Обращаю внимание. Настройки могут быть как глобальными (через mspclnt) так и специфичными для приложения (wspcfg.ini в каталоге программы). Порядок и приоритеты:
Для СПЭД можно использовать файл wspcfg.ini с указанным выше содержимым в каталоге клиент-банка рядом с исполняемым файлом, для «родного» клиент-банка — нет. Будем пробовать глобальную конфигурацию.
Внёс изменения непосредственно в консоли ISA. После этого перезапустил клиент файрвола (FWC) на машине, сеанс связи клиент-банка — и всё идёт.
ISA, DNS PTR и проблемы с подключением Амикон ФПСУ IP-Клиента
Остановлюсь на одном неочевидном моменте, не имеющим напрямую отношения к ФПСУ. Проверьте наличие PTR записи в обратной зоне DNS для IP адреса ФПСУ сервера банка. В моём случае:
Если для Вашего ФПСУ картина та же — будут проблемы. Соединение с ФПСУ банка будет устанавливаться далеко не с первого раза, и во время нагрузок ситуация вообще будет плачевная (с 100ого раза, а то и того хуже). Причину подсказал Network Monitor:
Хорошо видно, что между запросом и ответом прошло более 9 секунд!, естественно, клиент ответа не дождался. А причина такого поведения ISA (задержка именно из-за ISA, проверено с помощью сниффера провайдера) — в отсутствии PTR записи для ФПСУ сервера в обратной зоне DNS.
У себя создал обратную DNS зону на своих серверах следующего содержания:
И без перезапуска сервисов на ISA всё просто «залетало». Соединение поднимается с первого раза за доли секунды! Результаты RDNS запроса:
Вот такие вот тонкости…
Итоги
На этом и всё. Итого – мы добились работоспособности клиентов банка СБ РФ без каких-либо настроек ФПСУ на клиентах, не устанавливая при этом потенциально проблемного софта на ISA/TMG.
Можно избежать лишних затрат на технику и на лицензии, если у Вас есть лицензия на Windows Enterprise Server. Для описанных задач вполне подойдёт и виртуальный сервер. Но – нет поддержки в Hyper-V передачи USB портов в виртуальную среду. Зато есть сторонние решения типа USB-to-LAN. Я надеюсь, в ближайшее время смогу испробовать это решение в описанной задачи.
Кроме того, доступны программные решения для организации виртуальных сетевых интерфейсов, которые в контексте описанной задачи помогут исключить необходимость во втором “физическом” сетевом адаптере (безусловно, в случае виртуального сервера подобное решение смысла не имеет).
Фпсу клиент сбербанк флешка что это
Технологии шагнули очень далеко вперед
Драйвер для токена Сбербанк бизнес онлайн
Драйвер для токена Сбербанк бизнес онлайн
Не запускается start.exe Сбербанка онлайн, что делать? — FAQ «Банки онлайн»
Система Сбербанк бизнес онлайн давно знаком многим. Это система, при помощи которой люди стали намного больше времени уделять работе. Большие компании начали стремительно развивать собственный бизнес. Если быть точнее, под данной системой стоит понимать дистанционное банковское обслуживание. Это такого рода обслуживание, что позволяет при помощи Интернет обрабатывать информацию, связанную с доходами и расходами многих компаний. У каждой компании или же отдельного физического лица есть доступ к системе.
Документооборот, который проходит через систему Сбербанк Бизнес онлайн, позволяет намного быстрее осуществлять работу. При обмене сообщениями сотрудники банка могут напрямую общаться с сотрудниками компаний. Таким образом, в электронной системе образуется документ, выписки со счетов, все данные о расходах и доходах, которые поступают в банк и наоборот. Конечно, любая система имеет недостатки, и эта не исключение. Если вы не можете подключиться к этой системе, точнее, не запускается start.exe, то стоит обратить внимание на ошибку.
Правильно ли вы установили программу и как вы все проделали. Бывают моменты, когда программа может давать сбои, например, при попытке запустить Start.exe выдаётся сообщение, что диск (флешка) защищён от записи, либо после запуска токена процесс start.exe грузит процессор на 100%,. Тогда стоит обратиться к сотрудникам банков и приостановить работу программы. Это необходимо в целях безопасности данных. Ведь войдя в систему, любой человек имеет возможность что-то сделать, перевести средства. Несмотря на довольно хорошую систему безопасности, были случаи, когда мошенник пользовались системой.
При возникновении некоторых проблем лучше всего перезагрузить компьютер, если не удается снова подключиться, то попытайтесь заново установить программу, либо воспользоваться другим компьютером. При самостоятельной настройке стоит помнить, что необходимо наличие открытого порта номер 443 по протоколу TLS. Но многие из нас не разбираются в установках и программах, поэтому лучше всего воспользоваться услугами специалиста. Он переустановит программу и все будет работать.
Не удается открыть Infocrypt HWDSSL Device: что это, решение ошибки
При запуске приложения Бизнес Онлайн (файл start.exe) с накопителя, система выдает ошибку: «Ошибка! Не удается открыть Infocrypt HWDSSL Device». Ниже приведены способы решения проблемы (обновление, переустановка драйвера, запуск с правами администратора), когда включение приложения с флешки невозможно.
Причины возникновения ошибки
Причин может быть несколько и исправить их не составит труда:
Ссылки на скачивание:
Это последние драйвера для ОС Windows XP. В операционных системах Windows 7 и новее данный софт не требует отдельной установки. Для переустановки драйверов вставьте установочный диск в дисковод и выполните «Восстановление системы».
Важно! Драйвера скачивайте только на официальных сайтах производителя. Не подвергайте опасности финансовые транзакции.
Главное окно правильно работающего приложения Бизнес Онлайн от Сбербанк изображено ниже.
Требования к среде и программному обеспечению
Для избежания подобных ошибок, производитель приводит следующие рекомендации:
Совет! Одновременно используйте только один токен, он будет запускаться на машине, которая соответствует требованиям, описанным выше. Драйвера должны быть последней версии и установлены правильно.
Хороший сайт? Может подписаться?
Рассылка новостей из мира IT, полезных компьютерных трюков, интересных и познавательных статей. Всем подписчикам бесплатная компьютерная помощь.
Токен Сбербанка (VPNKey-TLS) перестал определяться в системе
Сегодня был встречен очень интересный случай, когда позвонил клиент и сказал что после работы сотрудника фирмы исчез токен (перестал определяться в системе как usb устройство. Сам же токен на самом деле в диспетчере задач определялся, и даже виделся как смарт-карта, а вот как флешка в моем компьютере для запуска Сбербанк-Онлайн нет.
Немного поискав причину попался на глаза тот момент, что в системном трее (где обычно мы видим подключенные флешки) устройство определялось как LOADER DEVICE. Меня это сразу же насторожило, и я подумал, что возможно токену обновляли версию прошивки и он случайно, по неопытности пользователя) остался в режиме загрузчика.
После недолгих поисков на глаза попалась Утилита для перевода токена из технологического режима в рабочий (LOADER-HWDSSL).
Скачать саму утилиту можете в конце статьи после инструкции по ее применению, а пока что читаем что и как правильно сделать:
Инструкция по применению утилиты перевода токена в рабочий режим
Для перевода токена в рабочий режим
Сама утилита для скачивания:
Утилита для перевода токена из технологического режима в рабочий (LOADER-HWDSSL).
UzBeast
Из тех, кто с компьютером на ты еще со школьной скамьи.
Настройка Сбербанк бизнес онлайн через Usergate 2.8
Столкнулся тут на днях с полным выносом мозга при настройке приложения «Сбербанк бизнес онлайн».Сам по себе интернет-банк несложный в установке и настройке если Вас устраивает при отправке каждой платежки вводить разовый пароль, присылаемый по SMS.Но когда платежей много то для бухгалтера это оборачивается немалой головной болью. Чтобы решить эту проблему Сбербанк предложил для авторизации на сайте использовать USB-токен. Получили мы сей девайс к которому прилагалась красивая, блестящая инструкция.
Задумка такая: вставляешь эту «флешку» в комп, тут-же открывается интернет-браузер с окошком ввода пин-кода токена, вводишь пин-код, попадаешь на страницу банка, там жмёшь слева большую зелёную кнопку «Сбербанк бизнес онлайн» вводишь свои логин и пароль и радуешься привалившему счастию. Однако радоваться пришлось очень и очень нескоро:)Итак вставляем токен, на компе стоит windows XP, она без проблем определяет устройство, пытается автоматом поставить дрова, естественно не находит, это не проблема: скачиваем по ссылке, любезно предоставленной банком в их инструкции, распаковываем в какую-нибудь папку, устанавливаем через диспетчер устройств (правой кнопкой на токене, обновить драйвер, вручную, установить с диска, указать путь к папке с 3-мя файлами из полученного архива, ОК, готово). Вынимаем токен, вставляем обратно. Комп начинает думать, появляется голубой значок в трее, и вдруг выдает диалоговое окошечко: «Не удалось получить IP гейта». Спустя некоторое время браузер все-таки запускается, на открывшейся странице вводим пин-код, открывается страница имеющая кнопку для входа в Интернет банк. Жмём, ждём, ждём, ждём, ждать можно долго: IE через некоторое время начинает петь свою любимую песню: «Невозможно отобразить страницу», Firefox показывает чистый лист. С другими браузерами не пробовал, банк гарантирует работу только в IE (кто-бысомневался) и (о чудо!) в Мозилле не ниже 3-й версии. Впрочем надежды, что это заработает в других браузерах нет никакой ибо «Не удалось получить IP гейта»!
Так как Интернет пользователи получают через прокси Usergate версии 2.8, иду самым простым путём: прописываю адрес и порт прокси в настройках токена(окно настроек можно открыть кликнув по уже упоминавшемуся голубому значку в трее). Не помогло. «IP гейта» так и не получен. О дальнейших звонках в техподдержку, танцах с бубном с проксёй, антивирусами, гуглением и файлом hosts рассказывать не буду, а то выйдет слишком длинно и эмоционально:)Готовое решение нашел на этом сайте и решил продублировать здесь со своим пониманием проблемы.
Итак, банк утверждает что единственным условием работы данного ПО является открытый наружу 443 порт. Адрес «гейта» 194.186.207.182 DNS-псевдоним ftls.sberbank.ru. Видимо, из-за того, что вышеупомянутый Юзергейт не имеет в себе ни NAT ни возможности пропускать пинги и является простым классическим прокси, клиентский (бухгалтерский) комп не мог разрешить IP, не помогла строка в hosts вида «194.186.207.182 ftls.sberbank.ru». IP на пинг не отвечает, команда «telnet 194.186.207.182 443» даёт сбой подключения. Замечу что соединение с банком устанавливает не браузер, а спец ПО банка, а страница браузера является лишь интерфейсом к этому софту, о чём можно догадаться по слову localhost в адресной строке браузера.
Итак решение заставить это ПО коннектиться на адрес 194.186.207.182 по 443 порту разделяется на две задачи:1. Для начала попробуем обмануть программку токена, добавив в конец файла hosts следующую строку:192.168.0.1 ftls.sberbank.ruгде «192.168.0.1» адрес внутреннего интерфейса нашего прокси-сервера, «смотрящий» в локальную сеть. Что это даёт? Обнаружив эту запись в файле hosts программка токена вместо бесплодного поиска IP банка будет ломиться на 443 порт нашего прокси.
2. Вытекает из первого. Необходимо «пробросить» 443 порт с локального прокси-сервера на удаленный компьютер банка. Для этого идём в «Назначение портов» на вкладке «Настройка», жмём кнопку «Добавить», вводим произвольное имя правила, например, «sberbank-online», протокол выбираем TCP, в качестве исходящего адреса указываем IP локального ПК, где установлен банковский софт, т.к. именно с него нужно пробросить порт (хотя можно оставить значение по умолчанию «Любой», в этом случае наше правило будет работать для всех компьютеров локалки, кому как больше нравится). В качестве слушающего IP ставим адрес внутреннего сетевого интерфейса proxy, того самого на который мы перенаправили ПО токена строчкой в файле hosts, порт ставим необходимый нам 443. В назначении указываем IP удаленного банковского шлюза 194.186.207.182 или его DNS-псевдоним ftls.sberbank.ru, порт 443. Нажимаем ОК, Применить. На всякий случай перезапускаем Usergate.Всё, по идее всё должно работать. В инструкции, на которую я привел ссылку говорится что в настройках сетевой карты НЕ должен быть указан Основной шлюз, но у меня всё заработало и со шлюзом:)
Теперь по идее когда Вы вставляете токен, через несколько секунд должен запуститься браузер без появления окошка о невозможности обнаружить IP гейта. В моем случае, правда, оказалось не всё так гладко, при нажатии кнопки входа в «Сбербанк онлайн» браузеры всё равно не хотели отображать страницу, но этому мешал уже Вэб-контроль антивируса Касперского, отключение оного (Вэб-контроля, а не антивируса) полностью решило проблему. Т.е. основной трудностью было избавиться от сообщения про IP гейта, далее все довольно просто решается локально на компьютере пользователя. Всё, надеюсь это кому-нибудь поможет, ибо контор использующих эту версию Usergate не так уж и мало.Кстати это решение судя по всему будет работать и на других прокси, не имеющих NAT, но имеющих возможность пробрасывать порты. Ух длинно получилось…
Обновление прошивки токена в Сбербанк Бизнес Онлайн
Чтобы пользоваться услугами Сбербанк Бизнес Онлайн, пользователю нужен доступ к личному кабинету, который позволяет проводить операции удаленно. Для этого можно использовать SMS-оповещения с обновляемым кодом или eToken. Но в первом случае необходимо стабильное покрытие для мобильной связи, поэтому все больше клиентов отдают предпочтение компактному устройству электронной подписи.
Токен: все, что нужно знать об устройстве
Токен (англ. token) – оцифрованная подпись клиента; ключ, который открывает доступ к личному банковскому кабинету. Внешне он напоминает обычную флешку, которую можно вставить в USB-разъем ноутбука или компьютера. Токен также необходим для того, чтобы заверить электронные версии документов.
Корпоративные клиенты часто приобретают несколько устройств: например, для управляющего и заместителей. При этом банк предоставляет возможность выполнять отдельные финансовые операции только после того, как электронный документ будет подтвержден подписью руководителя.
Как войти в Сбербанк Бизнес онлайн через токен?
Выданный банком eToken уже готов к работе. Клиенту необходимо следовать простой инструкции:
После этого можно пользоваться системой для проведения любых транзакций.
Правила обновления прошивки токена
Прошивка eToken – это обновление его программного обеспечения. Сервис постоянно совершенствуют, поэтому программа электронного ключа также нуждается в модернизации.
Если на мониторе появилась надпись «Ошибка при инициализации» или «Для работы нужно обновить прошивку», выполняют следующие действия:
Эта процедура может занять около пяти минут: в это время нельзя выключать ПК или вынимать eToken с разъема. Когда процесс переустановки завершится, на экране появится надпись об успешной установке обновлений. Пользователь нажимает «Выйти» и продолжает работу в личном кабинете.
Если клиент не может провести операцию самостоятельно, он всегда может обратиться в службу поддержки банка по номеру 900.
Компьютер не видит устройство: алгоритм действий
Проблемы в работе токена могут начаться из-за отсутствия обновлений, сбоя в работе компьютера или отсутствия настройки автозапуска, а также механических повреждений.
Необходимо удостовериться, что ПК «видит» eToken. Для этого необходимо кликнуть на «Мой компьютер»: если в перечне дисков высвечивается устройство, проблемы могут возникнуть с автозапуском.
Можно попробовать запустить eToken, следуя инструкции:
Если окно токена не открывается, стоит обновить его драйвера. Для этого:
При механических повреждениях стоит обраться в отдел обслуживания клиентов банка и подать заявление о замене электронного ключа. На устройстве, полученном взамен поврежденного, нужно заново настроить сертификаты.