Все нужные сведения в САП передали еще в марте..
Оказывется нету туннеля VPN.
Сетевики копают.
Интересно, он этот туннель, всегда бывает включен или его надо инициализировать?
Ну, да, не мое дело.
По окончании этой мороки, - доложу все обстоятельно.

Собственно с самого начала интересовался: есть/нет

Ключик шифрования получили от SAP-а ?

Еще - я в осс писал по этому поводу, ибо сам имел траблы. Они присылали мне логи свои и говорили что делать.

Единственные грабли были - что в нашем ЧекПоинте мой внешний ИП был прописан как сеть, а надо было как просто 1 узел.

Вобщем прямая дорога в осс - мне отвечали оперативно.

Сетевики говорят, что ключик давно получили. Еще года два назад.
Что такое ЧекПоинт? Это то, что называется Connection Data Sheet?
Да. Поддержка толково и терпеливо отвечает. За это им решпект.

Трям!

Как мы это дело у себя строили.
- покурили мануалы
- соорудили и протестировали у себя локально VPN между кошкой и виндой (второй кошки свободной не было) _ВАЖНО_ построить VPN именно с такими параметрами шифрования, как хотят в САП'е. этим сетевики занимались, так что тонкостей не знаю.
- была сооружена подсеть из 4-ех белых ip-адресов (два адреса - это адрес сети и широковешательный, остальные два адреса - это терминирующий для туннеля и собственно адрес сапроутера )
- проверили, что вся эта бодяга нормально видна извне, т.е. пров отмаршруттизил наши ip-шники
- заполнили Connection Data Sheet и отправили его в САП
- получили факс с ключем (паролем?)
- настроили VPN уже начисто с требуемыми параметрами и ключами.
- проверили, что труба(VPN) поднимается и фурычит (опять же тонкостями не владею, но по логам кошки можно понять, что труба появилась)
- пронатили адрес белый адрес сапроутера на серый (т.к. свободными ip не располагаем, пришлось пойти на эту хитрость)
- объяснили всем участникам этого безобразия чего куда слать, т.е. сапроутеру сказали, что все что идет на sapserv1 должно идти на серый адрес кошки, кошка все это дело принимает и заворачивает в трубу, ну и т.д.
- пустили пинг - работает, зашли на ftp - работает. на ОSS создали мессагу, мол проверте соединение с нашей системой.
- была грабля, кошка настроена параноиком и маленькие пакеты бегали хорошо, а вот большые не ходили, т.к. кошка не пропускала определенного вида ICMP пакеты, которые собственно и несли инфу о том, чтобы сапроутер уменьшил окно для посылаемых пакетов, после доработки напильником все запустилось и пока (тьфу^3) работает.

схема получилась следующая:

sap________________________________________мы
saprouter->vpn router -> vpn over inet ->vpn router-> nat->sap router

Удачи!

Наши сетевики ничего не тестировали, а сразу настраивали на Вальдорф. И ничего, заработало.

В этом факсе помимо пароля (pre-shared secret) указаны публичные IP-адреса со стороны САПа и клиента, параметры шифрования (encryption) и IP-адрес сапроутера. Следует отметить, что VPN клиента и сапроутер имеют внешние(!) IP-адреса.

Дык я ж не против, я просто описал как мы это делали.
Тяжело в учении - легко в бою

Докладываю.
поддержка даже из вальдорфа подключилась.
потресили нас.
Сетевики, наконецто, заглянули в мануалы.. мля... подняли таки ВПН..
К сожалению, подвигнуть их на этот "подвиг" стало возможным только через неделю мытарств..
По сути, ни какой поддержки со стороны САПа и не требовалось. Свои сисадмины оказались вялыми спецами.

теперь начались проблемы с премишенами.
При попытке зайти из системы в группу Public_1 через ГУИ-САП-логон, роутер sapserv1 пишет:
***************
sapserv1: route premission denied (66.105.42.22 to 147.204.100.12, sapdp01)
location SapRouter on Sapserv1
***************
И как с этим бороться?
Наверное надо еще где-то зарегистрировать свой адрес... Или я не знаю что..

Насколько я помню, доступ на sapserv1 закрыли еще 3 апреля. Другими словами, коннектиться просто некуда, это саповцы могут приконнектиться к системе клиента.
На service.sap.com/system-data нужно прописать параметры системы R/3, а также IP-адреса своих сапроутеров. На service.sap.com/serviceconnection или service.sap.com/access-support открывается удаленный доступ через саповский портал.

Никак! Просто уже два месяца подключение в sapserv1 через SAPGUI закрыто - всем предложено пользоваться service.sap.com...

Зашибись...
Как же мне проверить-то соединение...
человек из поддержки попытался подключиться к нашей системе, но получил premission denied.
Вот что он написал:
**************************
I tried to log into your system ABC. But unfortunately an error
'route permission denied' occurs.
May be it is nessesary to enter password to your SAP router. Please,
tell it.
Additionally, please, tell logon data to your system.
Best regards,
Dogadushkin Pavel.
**************************

Люди, дайте правильный пример saprouttab. Кажись здесь загвоздка.

Самый примитивный пример файла saprouttab
P * * *
Это означает - разрешить всё!!!
А запускается командным файлом saprouter.cmd, в котором прописана одна строка
saprouter.exe -r -G saprouter.log -V 3

У меня запускается как сервис. Строка запуска такая:
************
c:\sap\saprouter.exe service -r -G C:\sap\sapConnect.log -R C:\sap\saprouttab.tbl -T C:\sap\dev_rout.log -V 9 -W 200000
************
кажись все правильно.

P * * * - так и стоит. Перезапускал. Чего ему надо...

А на service.sap.com коннект открывал?

Открывал. "SAP R3 Support", кажись так называется.