Vpn key tls сбербанк настройка

Не виден ключ на СБЕРовской флешке, выпущенный ФНС

Форум Рутокен → Техническая поддержка пользователей → Не виден ключ на СБЕРовской флешке, выпущенный ФНС

Сообщений 15

#1 Тема от Юрий_Про 2022-02-20 10:16:41

• Юрий_Про
• Посетитель
• Неактивен

Не виден ключ на СБЕРовской флешке, выпущенный ФНС

Добрый день.
Флешка от Сбера Рутокен TLS.
То, что со всеми проблемы с этим флешками — «идите в СБЕР» я читал. Звонил им, послали к вам, поскольку это техническая проблема драйверов (вероятно).
Суть: Сбер, как агент ФНС, записал на эту флешку ключ. Мы установили Крипто-Про 5, на некоторых компьютерах все работает нормально. Ключ виден и работает без проблем. Но на некоторых (Win7 и Win10) упорно не желает видеть ключ. Перепробовал все возможные варианты ранее предложенные на форуме и в поддержке. Зачищал драйвера, удалял устройства, восстанавливал драйвера, перезагружал и т.п. Не работает!
На тех компах, где все нормально, токен нормально определяется через Панель управления Рутокен.
Если он там не виден — соответственно не работает.
То есть в данном случае проблема не со Сбером, Крипто-Про или самим ключом, а с настройками связки Рутокен-Комп.



Прошу помощи, поскольку ключ некопируемый и приходится его использовать на некотором количестве компьютеров.

#2 Ответ от Ксения Шаврова 2022-02-20 21:08:13

• Ксения Шаврова
• Администратор
• Неактивен

Re: Не виден ключ на СБЕРовской флешке, выпущенный ФНС

Юрий_Про, приветствую.

Уточните, пожалуйста, следующие моменты:
1) версия «Панели управления Рутокен» на том ПК, где устройство Рутокен работает корректно и версия «Панели управления Рутокен» на том ПК, где устройство не работает (вкладка «О программе»)
2) на том, ПК, где Рутокен виден, сделайте скриншот окна: «Панель управления Рутокен» — вкладка «Администрирование» — кнопка «Информация»
3) приложите, пожалуйста, фото устройства Рутокен, на который была сгенерирована ЭП в Сбере от имени УЦ ФНС.

#3 Ответ от Юрий_Про 2022-02-21 10:37:37

• Юрий_Про
• Посетитель
• Неактивен

Re: Не виден ключ на СБЕРовской флешке, выпущенный ФНС

#4 Ответ от Ксения Шаврова 2022-02-21 13:17:47

• Ксения Шаврова
• Администратор
• Неактивен

Re: Не виден ключ на СБЕРовской флешке, выпущенный ФНС

Юрий_Про, добрый день.

Устройство Рутокен TLS будет корректно работать только с версией «Драйверов Рутокен», начиная с 4.8.1. Таким образом, нам с вами нужно установить на все ПК, где планируется работать, актуальную версию «Драйверов Рутокен» — Причина в версии входящих в состав библиотек — более ранние версии библиотек не работают с Рутокен TLS.

При этом, устройство Рутокен TLS не будет отображаться в Панели управления Рутокен, это ожидаемое поведение.

Для диагностики и работы с сертификатами на устройстве Рутокен TLS нужно использовать «Инструменты КриптоПро» из состава версии «КриптоПро CSP» не ниже 5.0 R2 (12000). Лучше установить сразу версию с поддержкой PKCS#11 модулей.

Если и после обновления компонентов возникают проблемы с отображением сертификата в «Инструментах КриптоПро», проверьте, что в программе «КриптоПро CSP» — вкладка «Оборудование» — «Настроить считыватели» добавлен считыватель «Все считыватели смарт-карт PKCS#11». Если их нет, то:

1) Проверить, что установлена актуальная версия «Драйверов Рутокен»
2) Запустить «КриптоПро CSP» с правами Администратора
3) Выбрать «Оборудование» — «Настроить считыватели» — «Все считыватели смарт-карт PKCS#11»

#5 Ответ от Юрий_Про 2022-02-21 15:47:13 (2022-02-21 15:52:31 отредактировано Юрий_Про)

• Юрий_Про
• Посетитель
• Неактивен

Re: Не виден ключ на СБЕРовской флешке, выпущенный ФНС

Спасибо за подсказку с драйверами, только всё ровным счетом наоборот!
На старых драйверах Рутокена всё работает нормально. В частности на первых скриншотах Драйвер 4.3.4.0 — всё работает.
На самом свежем драйвере 4.9.1.0 — не работает. Ни в Win7, ни в Win10.
Нашел старый драйвер версии 4.6.2.0 — тоже работает. А в новом нет!

Так что по состоянию на сегодня решение — ключ ФНС на Сберовских флешках работает ТОЛЬКО со старыми драйверами. Конкретно версия драйверов 4.9.1.0 не читает ключ ФНС (других носителей с ключами ФНС пока нет).

Для Ксении Шавровой — Если нужна будет помощь с поиском проблемы — буду рад помочь (предоставить тестовый компьютер, например) для удаленного подключения и демонстрации.

Спасибо за оперативность и помощь!

#6 Ответ от Ксения Шаврова 2022-02-21 16:19:12

• Ксения Шаврова
• Администратор
• Неактивен

Re: Не виден ключ на СБЕРовской флешке, выпущенный ФНС

Юрий_Про, уточните, пожалуйста, что вы подразумеваете под фразой «все работает нормально»?
Вы про отображение ключей в «Панели управления Рутокен»? Или про работу в сторонних сервисах с ЭП?

#7 Ответ от Юрий_Про 2022-02-22 09:29:59

• Юрий_Про
• Посетитель
• Неактивен

Re: Не виден ключ на СБЕРовской флешке, выпущенный ФНС

Уточняю.
Отображение ключей в «Панели управления Рутокен» и работа в сторонних сервисах взаимосвязаны.
Я в самом первом сообщении писал «На тех компах, где все нормально, токен нормально определяется через Панель управления Рутокен.
Если он там не виден — соответственно не работает.»
Если Токен Сбера отображается в Панели управления Рутокеном, значит он виден в Крипто Про 5, значит он будет работать во всех сторонних сервисах.
В версии драйвера 4.9.1.0 — Рутокен НЕ виден в Панели и не отображается в Крипто Про 5, естественно. Все скрины я присылал в предыдущем сообщении.

#8 Ответ от Ксения Шаврова 2022-02-22 11:23:09

• Ксения Шаврова
• Администратор
• Неактивен

Re: Не виден ключ на СБЕРовской флешке, выпущенный ФНС

Юрий_Про, то что вы описываете — совершенно не связанные друг с другом вещи.
Отображение устройства в Панели управления Рутокен — не влияет на работоспособность устройства Рутокен TLS.
Вот что может влиять:
1) Посмотрите какая версия КриптоПро CSP (полностью версия и номер сборки) установлена на ПК где работает и где нет. Будет работать начиная с версии 5.0 12000 и новее
2) Добавлены ли «Все считыватели смарт-карт PKCS#11» в Оборудовании в КриптоПро CSP?
3) Версия библиотеки rtPKCS11ECP.dll в папке C:\Windows\System32

Еще раз повторюсь, что Рутокен TLS не должен быть виден в современных версиях Панели управления Рутокен — это нормальное поведение. Работа с этим устройством и диагностика содержимого производится с помощью других инструментов.

Источник

Windows-терминалы WTware

Программа-клиент службы терминалов Windows Terminal Services, для бездисковых терминалов и загрузки по сети. Основной сайт http://www.wtware.ru

Сбербанк VPN-Key-TLS

Сбербанк VPN-Key-TLS

Сообщение Seravee » Чт май 05, 2016 4:02 am

Доброго времени суток.

Появилось ли решение для токенов Сбербанка VPN-Key-TLS ?
Запускаю через тонкие клиенты и там выпадает ошибка 0x000000f, если же вставляю в сервер напрямую и запускаю опять через тонкий, то ошибка: Не удается открыть Infocrypt HWDSSL Device.
Но это все на тестовом, на рабочем там всё ещё хуже, т.к. сервер, куда подключаются пользователи расположен в Hyper-V

Re: Сбербанк VPN-Key-TLS

Сообщение aka » Чт май 05, 2016 1:03 pm

Перенаправления через smartcard= не будет. Потому что для этих ключей нет линуксовых драйверов.

Можно попробовать перенаправить как USB устрйоство в консольную сессию win8 enterprise, подробнее здесь: http://forum.wtware.ru/viewforum.php?f=33. Но там надо самостоятельно разбираться. Такого чтобы вставил и заработало — нет, мы не сможем так сделать.

Re: Сбербанк VPN-Key-TLS

Сообщение Seravee » Пт май 06, 2016 2:11 am

Re: Сбербанк VPN-Key-TLS

Сообщение Barvinok » Сб май 07, 2016 12:59 am

Делаем собственную службу в Windows 2008 R2
Копируем srvany.exe в C:\Windows\System32\
Создаём сервис:
sc create SberBank_BO binPath= C:\Windows\System32\srvany.exe DisplayName= «Сбербанк Бизнес Онлайн»
Создаём раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SberBank_BO\Parameters
В нём создаём строковой параметр Application со значением Y:\START.EXE

ФПСУ, разумеется, должна быть назначена буква Y:

Источник

Vpn key tls сбербанк настройка

ПАК «ФПСУ-IP» функционирует на базе ядра ОС Linux с использованием собственного стека протоколов.

По-умолчанию, для создания туннеля используется протокол IP-53. Для оптимизации трафика возможно разделение потока на 8 независимых туннелей. ПАК «ФПСУ-IP» версии 3 позволяет создавать туннель с использованием протокола UPD порт 30004.

В данном случае возможна следующая последовательность действий:
— необходимо проверить правильность настроек конфигурации «ФПСУ-IP»
— проверить правильность настроек LAN-адаптеров «ФПСУ-IP»
— проверить правильность коммутации портов «ФПСУ-IP» с сетевым оборудованием
— попробуйте изменить в конфигурации на обоих «ФПСУ-IP» служебный протокол для туннеля (например, можно использовать 110 IP протокол (2 поток)).
Для проверки прохождения трафика по служебным протоколам можно использовать утилиту TESTCLIENT.

Необходимо проверить:
— настройки BIOS (Первым загрузочным устройством должно быть «Access BIOS PnP» (INTEL BIOS) или LAN (Award BIOS)).
— дополнительный LAN адаптер или плату «АККОРД» (Возможно, потребуется вынуть-вставить плату в PCI-разъеме ).

«Общие правила разделения потоков могут быть описаны с использованием соответствующей команды меню конфигурации МЭ “ФПСУ-IP”. Подчеркнём, что операция по определению общих правил носит абстрактный характер, установленные здесь правила при работе комплекса не используются, а только служат “заготовками” при формировании параметров порта конфигурируемого МЭ “ФПСУ-IP”.» (Руководство администратора ч.4.2.7 Общие правила разделения потоков).

Поддерживается ОС : Windows 2000, Windows XP, Server 2003, Windows Vista, Windows 7, 8, 10 для архитектуры Intel x86-x64. Не совместима с Windows RT и Windows ARM.

В зависимости от версии ПАК «ФПСУ-IP» может использоваться протокол IP-56 либо UDP/30003.

Данная проблема связана с MTU. Взаимодействие между «Удаленным администратором ФПСУ-IP» и ПАК «ФПСУ-IP» осуществляется при помощи IP пакетов, в которых установлен флаг «DF» (запрет фрагментации). При обработке этих пакетов транзитный маршрутизатор не может передать их далее по маршруту, т.к. MTU следующего транзитного канала меньше, чем MTU обрабатываемого пакета. Обычно транзитный маршрутизатор посылает отправителю данного пакета (т.е. в IP адрес АРМ «Удаленный администратор ФПСУ-IP» или ПАК «ФПСУ-IP») ICMP сообщение о необходимости уменьшить размер пакета. «Удаленный администратор ФПСУ-IP» при получении такого ICMP сообщения уменьшает свой MTU до указанного в пакете размера. Но проблема в том, что не все маршрутизаторы посылают такие ICMP сообщения (или же посланные сообщения не доходят до получателя). В ближайшем будущем в АРМ «Удаленный администратор ФПСУ-IP» будет добавлена возможность изменять MTU административно.

Отправить файл ipadmfar.bug разработчикам с описанием действий, повлекших ошибку.

Рекомендуемая строка запуска АРМ УА:
ipadmfar.exe > trap.txt
В файле trap.txt будет сохранен дамп регистров. Его необходимо переслать разработчикам с описанием действий, повлекших ошибку

Для устранения ошибки, необходимо отключить самозащиту Kaspersky. Подробная инструкция: https://support.kaspersky.ru/13912.

Для построения VPN-туннеля используется UDP-протокол (на ПАК «ФПСУ-IP» используется 87 порт, «ФПСУ-IP/Клиент» использует стандартные порты выше 1024 (динамические)).

Windows 2000 (все версии), Windows XP (все версии), Server 2003 (с ограничениями по версиям), Vista (все версии), Server 2008 (все версии), Windows 7, 8, 10, 11 для архитектуры Intel x86-x64 (Не совместима с Windows RT и Windows ARM), различные версии ОС на базе Linux, macOS, Android OS, iOS.

Да, можно. Запустите файл ip-client.exe с параметром «/?» для получения более детальной информации.

Проверьте, не установлены ли в настройках «ФПСУ-IP/Клиент» блокировки «Все пакеты, кроме IP стека протоколов». Если эти блокировки установлены локально в VPN-key (маркеры в checkbox), то, используя PIN-код администратора, снимите их.
Если рядом с checkbox стоит значок «stop», то снять эту блокировку может только Администратор «ФПСУ-IP». Свяжитесь с организацией, занимающейся эксплуатацией вашей системы.

‘)» onmouseout=»return nd();» onclick=» «>
Если для подключения к провайдеру используется «высокоскоростное подключение» активировать в «Локальных настройках» опцию для отключения блокировок используемого протокола L2TP или PPTP.
‘)» onmouseout=»return nd();» onclick=» «>

Обновите версию ФПСУ-IP/Клиент до 5.7 и выше. Проверьте блокировки в настройках USB-устройства и Локальных настройках.

В реестре есть ключ типа DWORD HKEY_LOCAL_MACHINE\SOFTWARE\Amicon\Client FPSU-IP\TCPSessionIDLETimeout. В данном ключе содержится время в МИНУТАХ (по умолчанию час — 60 минут), в течение которого TCP сессия будет «жить», если по ней не идут пакеты, после этого времени будет заблокирована файерволом АМИКОН.

«Ошибка по тесту Р1» .
Данное сообщение означает, что необходимо обновить микрокод vpn-key. Подробнее в разделе «Обновление микрокода VPN-Key».

«ФПСУ не доступен, или отвергает авторизацию по неизвестной причине» .
Данное сообщение означает, что необходимо проверить доступность 87-го порта по протоколу UDP. Подробнее в «вопросе №14».

«Проверьте настройки межсетевого экрана и IP-адрес ФПСУ» .
Проверьте настройки сетевого подключения, а также доступность 87-го порта по протоколу UDP (вопрос №14).

«Удаленный хост недоступен» .
Проверьте, подключен ли компьютер к сети internet.

При попытке установить соединение выдается следующее сообщение. Что оно означает?
‘)» onmouseout=»return nd();» onclick=» «>
Подобное сообщение означает, что маршрут для отправки запроса на соединение с ФПСУ-IP неизвестен. В этом случае необходимо добавить маршрутизатор по умолчанию в настройках протокола TCP/IP сетевого подключения (или правильный маршрут в таблицу маршрутизации ).

a) В настройках ФПСУ-IP/Клиент в качестве IP-адреса Основного ФПСУ-IP указывается IP-адрес внутреннего порта proxy-server:

‘)» onmouseout=»return nd();» onclick=» «>
б) На proxy-server настраивается port-mapping:
Стандартная схема port-mapping для proxy-server прикладного уровня (Wingate, UserGate и т.д.) при настройке доступа ФПСУ-IP/Клиент в сеть Интернет :

ВНИМАНИЕ.
Технология работы ФПСУ-IP/Клиент такова, что он перехватывает пакеты для отправки их через VPN-соединение в зависимости от IP-адреса назначения (перехватываются те адреса, которые указаны в конфигурации USB-ключа или получены с ФПСУ-IP) + все пакеты, которые идут в адрес самого ФПСУ-IP. А при работе с proxy-server, в качестве адреса ФПСУ-IP, указывается адрес proxy и все пользовательские пакеты, которые идут в Интернет через proxy, перехватываются ФПСУ-IP/Клиент и уходят в VPN. Т.ч. Интернет при такой схеме с установленным VPN-соединением может не работать.

а) Скачайте тестовое приложение TEST CLIENT
б) Запустите файл «client.exe».
в) Введите IP-адрес сервера 77.108.111.100 и нажмите «Проверить».
г) Получение ответа от сервера означает корректность настройки межсетевого экрана или прокси-сервера. Примечание: если используется прокси-клиент ( т.к. ISA-client и др.), то его необходимо отключить на время проведения тестирования.

В Windows 7 X64 изменился алгоритм цифровой подписи драйверов. Для решения проблем с установкой драйверов необходимо установить обновления Windows.
Для поддержки цифровой подписи файлов новым типом хэша SHA256 необходимо установить пакет сервисных обновлений SP1: KB976932-SP1 x64 затем KB3033929 x64.

Для установки ПАК ФПСУ-IP/Клиента и установки драйвера устройства необходимы права администратора. Для дальнейшего штатного использования ПАК ФПСУ-IP/Клиента достаточно прав обычного пользователя

Если ваш VPN-ключ вышел из строя и нуждается в замене, то Вам следует обратиться в компанию, у которой непосредственно был приобретен ключ.

«VPN-Key-TLS» является устройством стандартного класса CCID и работает с использованием встроенных драйверов операционных систем Windows XP, Windows Vista, Windows 7, 8, 10.

Запустите диагностическую утилиту ICDIAG , вышлите на vpnkey@infocrypt.ru 3 файла с отчетами о диагностике + заполненную форму (см. п.4 «Методики») с описанием проблемы.

Запустите диагностическую утилиту ICDIAG , вышлите на vpnkey@infocrypt.ru 3 файла с отчетами о диагностике + заполненную форму (см. п.4 «Методики») с описанием проблемы.

Повторите попытку подключить токен 2-3 раза. Если ситуация повторяется, необходимо заменить токен.

Для обновления версии ПО «VPN-Key-TLS» Вам необходимо на сайте Сбербанка https://www.sberbank.ru/ru/s_m_business/help/sbbol в разделе «Инструкции, тарифы» скачать архив «Прошивка токенов».
Архив содержит инструкцию и утилиту для обновления «VPN-Key-TLS».

Для работы LAN-версии приемопередатчика необходим виртуальный пакетный драйвер (Ndis3Pkt) для соответствующей ОС.

Текущая версия АНЕТ обеспечивает следующие скорости передачи:
— LAN 200 Кбит/с (Ethernet, IP/IPX)
— COM 115 Кбит/с (асинхронный V.24)
— С101 до 2 Мбит/с (синхронный, V.35)
Данные значения справедливы для больших пакетов (2-4 кб) и максимального пакетного окна. При загрузке по 5-6 виртуальным каналам. При уменьшении размера пакета скорость пропорционально уменьшается.

Один центр коммутации пакетов обрабатывает 45 портов. Для расширения числа портов необходимо добавить вторую машину к ЦКП и установить туда дополнительное ПО (покупается как второй ЦКП).

Нет, работа ЦКП возможна только под управлением DOS.

Источник