Задать вопрос
@accountnujen

Что использовать, чтобы у всех пользователей был один ip?

С новым законом нужно на каждого сотрудника делать эцп в каждом филиале компании. Это получается дорого. Как по реализации, так и по налогам. Размножить, как раньше, ЭЦП директора нельзя. Как минимум, инструкции к Рутокен 2.0 ещё нет.

Операторы электронного документооборота (в частности СБИС) предлагают схему с созданием "сервера" и подключением туда эцп директора. Все операции буду проходить через этот сервер. Свой сервер нас не устраивает, потому что нет возможности за малые деньги организовать стабильную работу. В чужой облачный сервер свой эцп мы не вставим. Или вставим, но опять же - дорого.

Мы можем получить на одного сотрудника (замдиректора) ЭЦП и размножить его (потому что другой тип ключа) на все филиалы, однако у налоговой может возникнуть вопрос: как так получилось, что документы в один момент подписывались с разных ip. Тогда в голову приходит мысль: если симулировать работу сервера? Мне нужно, чтобы весь трафик, который идёт с ПК - создавал видимость, что он идёт со определённого ip. Тогда для госконтор будет создана видимость, будто мы работаем через сервер, то есть схему, которую нам предложил СБИС.

Поправьте меня если я не прав:
1. Я покупаю vds сервер в рф
2. ставлю на него OpenVPN или Wireguard (отдельный вопрос, что для меня больше подойдёт?)
3. ставлю компьютеры всех сотрудников клиенты программы и подключаюсь к серверу.
4. Теперь весь трафик (весь ли?) для всех госконтор выглядит, будто он идёт с одного ip.
Прав ли я в своих рассуждениях и какие подводные?
  • Вопрос задан
  • 503 просмотра
Подписаться 3 Простой 1 комментарий
Пригласить эксперта
Ответы на вопрос 5
@fpir
Рутокен 2 поддерживает 2 варианта ключа.
1. Не извлекаемый - закрытый ключ генерится на токене и не может быть извлечён никак и никогда. Примерно так-же часто используется.
2. Не экспортируемый - закрытый ключ генерится на компе налоговички и записывается на токен с флагом. Софт рутокена и криптопро на этот флаг внимание обращает. Другой - игнорирует и отлично экспортирует.
Вариант, что у вас "неизвлекаемый" в теории возможен, на практике - хз, я не встречал.
Ответ написан
Комментировать
@brar
2. В целом по-барабану в данном случае. Вопрос только в умениях настроить. Но, предполагаю, OpenVPN будет проще настроить (главное чтобы он был через UDP, а не через TCP). Хотя для него надо будет ставить на клиентские компы софт. И есть более правильный вариант в виде ike2 туннеля. На вдс ставите strangswan|charon. На клиентских виндовых тачках ( win10 если) есть нативная поддержка ike2 туннелей (тунель по сути можно создавать заготовленым PS-скриптом в одно касание).
4. Если на клиентских машинах вы будете заворачивать асболютно весь трафик (ну кроме того, что до внешнего айпишника вашего вдс сервера) через туннель, то да, весь трафик будет идти через вдс, там NAT-иться и уходить в дикий инет. Но если по какой-либо причине туннель упал, а инет продолжает работать, то сотрудник, не зная об этом, подписывает благополучно со своего провадерского адреса. Короче, над схемой еще работать надо.
И тут более правильным будет строить site-to-site туннели на роутерах офисов, а не на АРМ сотрудников.

Так же, вся схема может превратиться в тыкву, если фнс станет следить не только за айпишником, а еще за каким-нибудь параметром эцп.
Еще вариант - завести терминальный сервер, завести там юзеров, которые работают с эцп и всё. Это я бы сказал, самый правильный и простой вариант.
Но геморра бизнесу подкинули в очередной раз. То маркировка, теперь эти мчд.
Кстати, закон про мчд перенесли на 31 августа 2023.
Ответ написан
подпись можно размножить, есть гайды
Ответ написан
@efcadu
Системный администратор
Может перевыпустить ЭЦП на другом носителе - Рутокен Лайт, с которого можно скопировать и размножить подпись.
Это конечно не ответ на поставленный вопрос, но вариант решения задачи.
Ответ написан
ipatov_dn
@ipatov_dn
С новым законом есть вариант получить в удостоверяющем центре федерального казначейства абсолютно бесплатно на всех сотрудников
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы