Добрый день!

у нас такая ситуация
в городе N развернут САП(что то там), мы ходим по вебинтерфейсу к ним
начальство из этого города, говорит, некоторых юзверей теперь надо пускать через SAP gui и SAProuter
дали нам его установщик и говорят делайте... но не говорят как ...
а мы как бы вообще неучи в нем
если я правильно понимаю, на нашем серваке надо поднять её как сервис и настроить правила доступа (где мы выпускаем только определенных пользователей на туда) и всё?
можно немного вкратце теорию на русском только про сапроутер
спасибо

можно сходить сюда http://service.sap.com/internetconnection и выкачать документ "Практические рекомендации по организации сервисного канала Удаленного Доступа" на русском, хотя он касается настройки канала с SapSupport, у себя можно настроить что-то подобное. В том числе там есть краткое описание saprouter

там доступ по паролю

там доступ по паролю[/quote]

Ну Вам же нужен документ на русском, попробуйте попросить у своего начальства доступ к этому ресурсу

До этого момента считал, что сапроутер лучше всего смотрится на стороне сервера, а не на стороне клиента
Т.е. в сети, где стоит SAP-система, ставится сапроутер, настраивается и в его правилах доступа определяется с каких адресов и на какие адреса можно через него получить доступ. С внешнего адреса делается проброс одного порта - и все счастливы, поскольку политику доступа, как я считаю, должен определять "хозяин" системы. Клиенты в параметрах системы указывают строку сапроутера в виде IP-адреса.
Ну да вам виднее
Сапроутер при запуске читает файл saprouttab из своего каталога. Его синтаксис можно посмотреть сделав перенаправление вывода сапроутера в какой-нибудь файл.
В простом варианте там ставят одну строку
S <from net/addr> <to net/addr>
Например:
S 192.168.0.1 192.168.0.2 - разрешаем сап-протокол с адреса 0.1 на адрес 0.2
S 194.220.109.* 10.2.5.* - с сетки на сетку.

Больше никаких сложностей там нету. Опции свои он говорит при запуске без параметров.
Под win можно запустить как сервис.
Под *nix тоже не составляет принципиальных сложностей.

Но, все-таки, я бы его поставил в сетке системы...

Есть сложность.
мы в разных городах, внутренние сети друг друга не видим, общаемся только по внешним IP, но через ВПН канал

Роутеры как раз по внешнему IP общаются.

да сапроутерам пофиг по каким IP общатсья, главное чтобы этот IP был виден с машины saprouter, а как это происходит ему аббасалютно фиолетово.

h0kum
Вам пытаются объяснить, что для доступа к системам с помощью SAP Gui через saprouter, которые стоят пёс знает где и для доступа к которым НЕ требуется дополнительная защита (SNC шифрование например), saprouter должен ставиться ТОЛЬКО на стороне этих систем. Это всего лишь некий шлюз, который позволяет вводить ограничения доступа(например по таблице разрешений доступа).
как происходит физический коннект saprouter-у до лампочки.
Если же Вам хотят впарить, что с двух сторон VPN соединения должен стоять saprouter без SNC, то это всего лишь желание ввести ограниение доступа из вашей подсети к системам (в таблице доступа пропишутся IP машин. которые могут ходит в SAP), однако при этом усложнится строка saprout-string, но безопасность при таком раскладке не повыситься ниразу, т.к. те, кто имеет VPN доступ, могут пройти на saprouter на стороне систем минуя оный в вашей сети.

еще раз: сапроутер, это всего лишь шлюз, который позволяет вводить некоторые ограничения на доступ, поэтому без SNC он ставится только на стороне систем.

надеюсь все доступно изложил.

А зачем тогда вообще сапроутер? Если Вы напрямую видите саповские системы, то сапроутер - бессмысленное развлечение.

поэтому мы и ставим сапроутер с нашей стороны, потому, что они хотят чтобы через сапгуи выходили только "избранные"
остальные по вебморде.

я тут пока пробую по локалке попробовать
у нас крутятся свои сап сервера.
на одной машине (172.30.80.108) поставил сапроутер, запускаю обычно:
saprouter.exe -r -G .\log.txt
таблица доступа по умолчанию разрешаем всем куда угодно

сапсервер на машине 172.30.32.252

у себя в сапгуи создал соединение на 172.30.32.252
в фаерволле посмотрел порт на который коннектиться клиент - 3200
всё нормально проходит.

создал второе содинение со строкой в String SAP router:
/H/saprouter/S/3299/H/172.30.32.252/S/3200/H/

он мне сразу выдает:
invalid data in status 3
если поменять порт:
/H/saprouter/S/3299/H/172.30.32.252/S/3201/H/
он хоть призадумывается и выдает:
Connection refused
на фаерволлах разрешил весь трафик ...

в той же сети где стоят сапсервера, на другой виндовый сервак поставил:
niping.exe -s
у себя на компе запустил:
niping.exe -c -H /H/172.30.80.108/H/dione
тест нормально проходит
не пойму ...

/H/saprouter/S/3299/H/
оставьте только это...можно даже без сервиса

даже лучше вот так:
/H/172.30.80.108/H/

так ...
цепочка должна быть такая:

сапгуи - сапроутер -----сапроутер - сапсервер
?
так не попрет:
сапгуи - сапроутер -----сапсервер
?