8.х WEB Порты web-клиента

Тема в разделе ""1C:Web-Сервер"", создана пользователем Dem0lisher, 23 ноя 2012.

  1. TopicStarter Overlay
    Dem0lisher
    Offline

    Dem0lisher Профессионал в 1С

    Регистрация:
    4 авг 2009
    Сообщения:
    1.028
    Симпатии:
    51
    Баллы:
    54
    Опубликовали базу на веб-клиенте. Но она доступна только в лок. сети.
    Подскажите, что нужно сделать, чтобы база стала доступна извне?
  2. Эмин
    Offline

    Эмин Руководитель проектов

    Регистрация:
    25 май 2007
    Сообщения:
    1.178
    Симпатии:
    1
    Баллы:
    26
    Почитайте внимательно как публиковать базы - в книжках написано. Плюс это, скорее, настройки вашего IIS или Apache - через что вы там публиковали. Или настройки конкретной публикации. Но дело не в 1С.
  3. TopicStarter Overlay
    Dem0lisher
    Offline

    Dem0lisher Профессионал в 1С

    Регистрация:
    4 авг 2009
    Сообщения:
    1.028
    Симпатии:
    51
    Баллы:
    54
    Ну да, не в 1с, я думал кто подскажет, какие порты надо открыть или каким-то спец. образом настроить сеть.
  4. Эмин
    Offline

    Эмин Руководитель проектов

    Регистрация:
    25 май 2007
    Сообщения:
    1.178
    Симпатии:
    1
    Баллы:
    26
    Ну, то. что у меня было по опыту - просто страничку публиковали только для интранета, поэтому так и работало. Но тогда и нужно было .чтобы извне никак.
    Я думаю, что оптимальнее в тематическом форуме по вашему в######ерверу спросить. Но тут может позже тоже помогут.

    Есть ли у вас другие опубликованные странички/базы на том же сервере?

    дело не в портах, как мне кажется, а именно в настройках публикации или самого сервера
  5. uza
    Offline

    uza 1С, VBA (EXCEL), VB (.NET + WEB)

    Регистрация:
    10 июл 2007
    Сообщения:
    1.845
    Симпатии:
    1
    Баллы:
    29
    Дело как раз таки может оказаться в портах. Опишу ситуацию
    Сервер 1С - размещен в локальной сети. Выход в интернет если и имеет, то через цепочку маршрутизаторов, файрволов и прокси. Т.е. достучаться до сервера извне очень сложно. В идеале - вообще не возможно (защита'с)
    WEB сервер - размещен в DMZ (демилитаризованная зона). Т.е. находится в некоем пограничном состоянии. С одной стороны вот он, физически в нашей серверной, с другой стороны из локалки он видет сильно ограниченно. Таким образом подломить WEB сервер злоумышленик теоретически может (ну про...бал админ дырку, а то и небыла на дурку заплатка еще выпущенна). Но далее WEB злоумышленик все одно может из локалки получить очень ограниченную инфу. Максимум, при условии что злоумышленик получил ПОЛНОЕ управление сервером - он может на...бнуть этот самый сервер, ну и погонять запросы к базе данных (при условии что он знает имя сервера БД из локалки, с логином, паролем и портом, через который идет обмен с сервером БД локалки).

    Исходя из представленной схемы реализации (довольно распространенной, кстати) для развертывания WEB морды 1Ски на WEB сервере (который в DMZ) - нам необходимо настроить:
    * Установить на WEB сервер 1С (клиентскую часть + WEB серверную... могу ошибаться, и клиентская часть не нужна)
    * Пробросить порты 1С (для работы самого клиента) из DMZ в локалку (настраиваем сам WEB сервер, маршрутизатор и сервер 1С). По умолчанию это 1541ый порт.
    * Пробросить порт раздачи ключей (для возможности выдавать ключи от сервера лицензий, расположенного в локалке) - для HASPовых ключей по умолчанию это порт 475. Либо часть лицензий (ключей) перенести сразу на WEB сервер, и настроить на нем менеджер лицензий (проверить настройки портов, чтобы пользователи из локалки не получали ключи с WEB сервера, и наоборот)
    * Согласно общим рекомендациям сконфигурировать WEB сервер: настроить IIS/Apache + опубликовать БД средствами 1С на стороне WEB сервера.
    * При необходимости на стороне клиентов внутри локалки, или proxy сервера, через который ходят клиенты в интернеты настроить правило по маршрутизации на ресурс https:\\mycopanyname-syper/my1C мимо инторнетов. Иначе могет и не взлететь, либо придется для "внешних" перцев озвучивать один адрес (https:\\mycopanyname-syper/my1C) а для внутренних - другой http:\\[myserver_dmz]/my1C

    Ну это хорошо когда WEB сервер один.
    А вот вариант, когда WEB сервера два, а БД (БД + сервер 1С) одна. Т.е. одни WEB сервер для "наружки", и один для "внутренних" - как раз сегодня меня самого заинтересовал.
    Рекомендаций или "асисяй! низяяя!" что то не нашел.
    А то ведь внутренний то уже поднят и сконфигурен, и люди уже привыкли (в смысле добавили в избранное, или вообще начальную страницу броузера) - и переносить его в DMZ ну никах не канает.
    Тем более что из DMZ сервер не сможет постучаться до AD, и как следствие автоматическая авторизация локальных пользователей - станет недоступна (снова: залогинился в винду - и в 1С отдельно логинься).
    Мне вот нужно выносить Service Desc наружу. А мои уже отвыкли от мысли дополнительной авторизации в 1Ске. А в обозримом будущем, возможно еще и систему документооборота...

    Так что если кто то даст отзывы за тему "один сервер 1С, одна БД 1С - два сервера WEB". Буду очень благодарен.
  6. TopicStarter Overlay
    Dem0lisher
    Offline

    Dem0lisher Профессионал в 1С

    Регистрация:
    4 авг 2009
    Сообщения:
    1.028
    Симпатии:
    51
    Баллы:
    54
    Uza, как всегда с развернутым ответом!
    В нашем случае один Web-сервер и Apache "сконфигурирован согласно общим рекомендациям".
  7. kkipa
    Offline

    kkipa

    Регистрация:
    18 июн 2014
    Сообщения:
    3
    Симпатии:
    0
    Баллы:
    1
    У себя настроил 2 веб-сервера. Установлен Апачи и его конфиге указываю по каким портам он должен работать. По умолчанию это порт 80, но рекомендую сразу его заменить на другой, по причине постоянного отвала клиентов извне офиса. На первом сервере пишем порт 8080 а второй 8181. на маршрутизаторе пробрасываем эти порты сами на себя, так как Апачи именно их и выставит наружу. и собственно все, по стат. адресу и порту заходим в наши базы.
    Пример:
    20.20.20.20:8080
    20.20.20.20:8181
    где 20.20.20.20 это наш стат. адрес, полученный у провайдера и проброшенные порты. В итоге с доступом к базе получаем такой путь:
    http://20.20.20.20:8080/база1 (сервер1)
    http://20.20.20.20:8181/база2 (сервер2)
    адреса внутри сети будут:
    http://192.168.1.101:8080/база1 (сервер1)
    http://192.168.1.102:8181/база12 (сервер2)
    Собственно и все, никаких сложностей в работе.
    Кстати, не забываем эти порты пробрасывать через брандмауэр, так как по умолчанию они закрыты. Можно прописать в тонком клиенте эти же настройки и тогда будет доступна работа в привычном интерфейсе, не обязательно в браузере.
    Последнее редактирование: 18 июн 2014

Поделиться этой страницей