Что использовать, чтобы у всех пользователей был один ip?

Question

[accountnujen]

С новым законом нужно на каждого сотрудника делать эцп в каждом филиале компании. Это получается дорого. Как по реализации, так и по налогам. Размножить, как раньше, ЭЦП директора нельзя. Как минимум, инструкции к Рутокен 2.0 ещё нет.

Операторы электронного документооборота (в частности СБИС) предлагают схему с созданием "сервера" и подключением туда эцп директора. Все операции буду проходить через этот сервер. Свой сервер нас не устраивает, потому что нет возможности за малые деньги организовать стабильную работу. В чужой облачный сервер свой эцп мы не вставим. Или вставим, но опять же - дорого.

Мы можем получить на одного сотрудника (замдиректора) ЭЦП и размножить его (потому что другой тип ключа) на все филиалы, однако у налоговой может возникнуть вопрос: как так получилось, что документы в один момент подписывались с разных ip. Тогда в голову приходит мысль: если симулировать работу сервера? Мне нужно, чтобы весь трафик, который идёт с ПК - создавал видимость, что он идёт со определённого ip. Тогда для госконтор будет создана видимость, будто мы работаем через сервер, то есть схему, которую нам предложил СБИС.

Поправьте меня если я не прав:
1. Я покупаю vds сервер в рф
2. ставлю на него OpenVPN или Wireguard (отдельный вопрос, что для меня больше подойдёт?)
3. ставлю компьютеры всех сотрудников клиенты программы и подключаюсь к серверу.
4. Теперь весь трафик (весь ли?) для всех госконтор выглядит, будто он идёт с одного ip.
Прав ли я в своих рассуждениях и какие подводные?

Comments

[Олег]

accountnujen,

как так получилось, что документы в один момент подписывались с разных ip

А как налоговая по-вашему узнает с какого IP подписывались документы?

Answer 1

[fpir]

Рутокен 2 поддерживает 2 варианта ключа.
1. Не извлекаемый - закрытый ключ генерится на токене и не может быть извлечён никак и никогда. Примерно так-же часто используется.
2. Не экспортируемый - закрытый ключ генерится на компе налоговички и записывается на токен с флагом. Софт рутокена и криптопро на этот флаг внимание обращает. Другой - игнорирует и отлично экспортирует.
Вариант, что у вас "неизвлекаемый" в теории возможен, на практике - хз, я не встречал.

Answer 2

[brar]

2. В целом по-барабану в данном случае. Вопрос только в умениях настроить. Но, предполагаю, OpenVPN будет проще настроить (главное чтобы он был через UDP, а не через TCP). Хотя для него надо будет ставить на клиентские компы софт. И есть более правильный вариант в виде ike2 туннеля. На вдс ставите strangswan|charon. На клиентских виндовых тачках ( win10 если) есть нативная поддержка ike2 туннелей (тунель по сути можно создавать заготовленым PS-скриптом в одно касание).
4. Если на клиентских машинах вы будете заворачивать асболютно весь трафик (ну кроме того, что до внешнего айпишника вашего вдс сервера) через туннель, то да, весь трафик будет идти через вдс, там NAT-иться и уходить в дикий инет. Но если по какой-либо причине туннель упал, а инет продолжает работать, то сотрудник, не зная об этом, подписывает благополучно со своего провадерского адреса. Короче, над схемой еще работать надо.
И тут более правильным будет строить site-to-site туннели на роутерах офисов, а не на АРМ сотрудников.

Так же, вся схема может превратиться в тыкву, если фнс станет следить не только за айпишником, а еще за каким-нибудь параметром эцп.
Еще вариант - завести терминальный сервер, завести там юзеров, которые работают с эцп и всё. Это я бы сказал, самый правильный и простой вариант.
Но геморра бизнесу подкинули в очередной раз. То маркировка, теперь эти мчд.
Кстати, закон про мчд перенесли на 31 августа 2023.

Comments

[accountnujen]

Но если по какой-либо причине туннель упал, а инет продолжает работать, то сотрудник, не зная об этом, подписывает благополучно со своего провадерского адреса.

как заранее знать, почему туннель упал (упускаем момент, что сервер внезапно отключился) и предотвратить падение? У вас в предыдущей версии ответа была сказано:

Но поддерживать всё в рабочем состоянии понадобится. Тут вариант "настроил и забыл" не прокатит.

почему настроил и забыл - нельзя? прям обидно за отечество, что ничего не работает стабильно без участие человека.

Кстати, закон про мчд перенесли на 31 августа 2023.

да, 19 числа подписали, видел, но у нас на ИП ключ до февраля, а ООО, который месяц назад открыли - сразу должен идти по этой дорожке.

Еще вариант - завести терминальный сервер, завести там юзеров, которые работают с эцп и всё. Это я бы сказал, самый правильный и простой вариант.

Тип тонкие клиенты и сервак с RDP? если у нас городить, в городе - в замкадье нестабильный свет и инет, поэтому вывести в автономный режим - дорого. Да и сам сервак с лицензией - уже дохрена. А если сторонний сервер покупать, то стабильно, но не менее дорого. мы малый бизнес(

[res2001]

Но если по какой-либо причине туннель упал, а инет продолжает работать, то сотрудник, не зная об этом, подписывает благополучно со своего провадерского адреса.

Если даже при падении туннеля маршрут в таблице маршрутизации удалится и трафик пойдет по маршруту по умолчанию, то надо просто блокировать трафик, предназначенный для туннеля, на других интерфейсах средствами фаервола.

[accountnujen]

res2001,
openvpn так умеет

[res2001]

accountnujen, Может быть это хорошо. Но еще не известно как оно будет работать в реальности.
Когда говорят про Internet в контексте чего-то блокировать, то это подразумевается, что блокируется (каким-то образом) маршрут "по умолчанию". В вашем же случае, видимо, в ВПН должен отправляться только какой-то конкретный трафик (до определенного получателя), все остальное должно идти мимо ВПН.

Могу ошибаться, но, по моему, OpenVPN так не умеет, что-то не припомню опцию конфига, которая бы делала что-то подобное. Скорее всего это умеет вот эта конкретная GUI оболочка, где есть эта галка. Разных GUI оболочек для OpenVPN есть некоторое количество. Сам же OpenVPN - это консольная утилита, которая может работать как сервис, и не имеет GUI интерфейса. Хотя есть "родной" GUI клиент, который то же только оболочка.

Вы собираетесь настраивать ВПН на устройствах с которыми работают пользователи? По моему это плохая идея. ВПН надо поднимать где-то на роутере/шлюзе. Тогда через ВПН канал могут ходить все внутренние клиенты и настраивать маршрутизацию и правила фаервола надо только в одном месте. Кроме того, так вы автоматически убираете "человеческий фактор".

Answer 3

[Андрей Гаврилов]

подпись можно размножить, есть гайды

Comments

[accountnujen]

нет

[Андрей Гаврилов]

accountnujen, https://forum.infostart.ru/forum86/topic275877/

[accountnujen]

Андрей Гаврилов, я не вижу инструкции для Рутокен 2.0. Может быть вы конкретнее сможете указать?

[Александр Слыжук]

accountnujen, Tokens_CertFix тебе в помощь.
У меня получилось выгрузить с Рутокен-лайт в файлы, файлы на флешку, флешку на токен - и теперь у меня есть скопированный сертификат. Хоть бэкап есть.
А чтобы был у всех один айпи на выходе - виртуалка с присоединённым физическим токеном. Люди через RDP подсоединяются и работают.

[Александр Слыжук]

Да, и по RDP не будет работать.

Работает если токен подключить физически к компу к которому по RDP подключаются.
И даже токен работает через RDP если он подключен к клиентскому компьютеру, но это не удобно - токен надо к разным компам подключать.

[accountnujen]

Александр Слыжук, а теперь попробуй погуглить, RDP + эцп и окажется, что перебрасывается он только на тот комп, к которому ты подключаешься. А чтобы на клиенте получить эцп - нужно использовать другие средства, не RDP.

[fpir]

accountnujen,
Во блин, век живи - век учись! А я и не знал. И поэтому пользовался лет 10 уже как. Ставишь сертификат на сервер и пользователи подключаются по RDP, запускают на сервере браузер и работают с подписью. Теперь-то уже всё, раз вы сказали, то больше так не получится.

Answer 4

[Олег]

Может перевыпустить ЭЦП на другом носителе - Рутокен Лайт, с которого можно скопировать и размножить подпись.
Это конечно не ответ на поставленный вопрос, но вариант решения задачи.

Comments

[Олег]

accountnujen, А вы коммерческая организация?
Что значит послали? В большинстве случаев, когда организации получали ЭЦП в налоговой, они приходили со своими носителями (чаще всего Рутокен лайт). Ну или покупали носитель в ближайшей конторе, которая например кассы обслуживает.
Выданную ЭЦП можно условно поломать и прийти со своим носителем за другой.
Насчет гос. контор не знаю, но вряд-ли процедура отличается.

[accountnujen]

Олег, мы с маркировкой взаимодействуем. к нам отдельные требования

[Олег]

accountnujen,
С маркировкой чего? Каким боком ФНС относится к маркировке?
У нас тоже маркировка - табак, шины, одежда, обувь. Нет никаких особых требований к ЭЦП и носителям, все как у всех.

[accountnujen]

Олег, мдлп

Answer 5

[Дмитрий]

С новым законом есть вариант получить в удостоверяющем центре федерального казначейства абсолютно бесплатно на всех сотрудников

Comments

[accountnujen]

флешки тоже бесплатно выдают?

[Дмитрий]

accountnujen, флешка только нужна на момент формирования закрытой части, открытую часть присылают на эл. почту, на одну флешку можно сколько хочешь закрытых частей на формировать, а потом только в реестр закинуть пользователю и все