FortiGate a Klient JPK

Tomasz W. Administrator
Systemów
Informatycznych

Temat: FortiGate a Klient JPK

Dzień dobry,
Czy ktoś z Was używa FortiGate i ma problem z wysyłka płków JPK z pomocą softu od MF Klient JPK ?
Po przetworzeniu pliku, po jego podpisie podpisem kwalifikowanym następuje wysyłka pliku do MF.
W tym momencie pojawia się komunikat statusu przetwarzania dokumentów: Wysłanie zaszyfrowanych plików nie powiodło się.
FortiGate80E - na regule dostępu do internetu włączone SSL Inspection / custom-deep-inspection.
Jak wyłączę SSL Inspection - pliki zaszyfrowane JPK przechodzą.

Pozdrawiam
Tomek

Link do wypowiedzi

Andrzej K. IT Network
Administrator

Temat: FortiGate a Klient JPK

W pytaniu odpowiedziałeś sobie sam na nie, to zasada działania SSL Inspection na FG.
Rozwiązanie:
Stwórz sobie police która umożliwia ruch do tylko do MF bez SSL Inspection i temat załatwiony.

Link do wypowiedzi

Tomasz W. Administrator
Systemów
Informatycznych

Temat: FortiGate a Klient JPK

Dziękuję.
Jeszcze mam pytanie, nową polisę dla JPK ustawić przed polisą dostępu do internetu czy za ?

Link do wypowiedzi

Andrzej K. IT Network
Administrator

Temat: FortiGate a Klient JPK

Musi być przed, czyli nr Seq ma być niższy.
Działa to lopatologicznie na zasadzie złap i przeciągnij.

Przykład police
edit "numer kolejny utworzonej police"
set name "Nazwa wg upodobań"
set srcintf "port na którym podłaczeni są ludziki którzy będą się tam łączyć"
set dstintf " port wan"
set srcaddr "adresy uprawnionych lub cała podsieć"
set dstaddr "adres docelowy czyli MF, IP lub FQDN"
set action accept
set status enable
set schedule "always"
set service "all"
set logtraffic all
set nat enable
next

Jakby coś pytaj.

Link do wypowiedzi

Tomasz W. Administrator
Systemów
Informatycznych

Temat: FortiGate a Klient JPK

Pytałem o kolejność.
Polisę już mam utworzoną. Jak - też wiem.
Chodzi mi o kolejność - czyli ustawić ją przed polisą dostępu ogólnego do internetu dla użytkowników ?
W polisie tej ( dostęp do internetu) mam własnie ustawione inspekcje SSL jako deep-custom-inspection, która to własnie plików JPK nie przepuszcza.

OK, ustawione przed. Sprawdzę i dam znać :)

Link do wypowiedzi

Andrzej K. IT Network
Administrator

Temat: FortiGate a Klient JPK

Andrzej K.:
Musi być przed, czyli nr Seq ma być niższy.

Tomek W.:
OK, ustawione przed. Sprawdzę i dam znać :)

No i superTen post został edytowany przez Autora dnia 07.03.18 o godzinie 09:16

Link do wypowiedzi

Tomasz W. Administrator
Systemów
Informatycznych

Temat: FortiGate a Klient JPK

Witam ponownie.
niestety nie działa Twoja sugestia.

w tej konfiguracji:
seq:
15 - Klient JPK - Source: All i Grupa_AD, włączone profile bezpieczeństwa w tym SLL inspect.:
certyfikate-inspection
16 - Dostęp Internet - Source: All i Grupa_AD - włączone profile bezpieczeństwa w tym SLL inspect.:Custom-deep-inspection

W momencie wysyłki JPK do MF - komunikat Wysłanie zaszyfrowanych plików nie powiodło się.

Gdy w seq 16 - zmienię SLL inspect.:Custom-deep-inspection na certyfikate-inspection - wysyłka JPK przechodzi.

Jakieś inne pomysły ?

Link do wypowiedzi

Andrzej K. IT Network
Administrator

Temat: FortiGate a Klient JPK

1) Jak możesz wrzuć police Seq 15
2) Czy klient wysyłając JPK w ogóle wyszedł przez police Seq 15

Link do wypowiedzi

Tomasz W. Administrator
Systemów
Informatycznych

Temat: FortiGate a Klient JPK

ad1) seq15

FortiGate80E (33) # show
config firewall policy
edit 33
set name "Klient JPK"
set uuid 6308653a-1d3e-51e8-7ee7-45ef7ae02dd4
set srcintf "lan"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "JPK"
set action accept
set schedule "always"
set service "ALL"
set utm-status enable
set logtraffic all
set fsso enable
set groups "Grupa_AD_FSSO_Internet-Allow"
set comments "Dla wysyłki plików JPK do MF"
set av-profile "default"
set webfilter-profile "Flex1"
set dnsfilter-profile "default"
set spamfilter-profile "Flex1"
set ips-sensor "protect_client"
set application-list "Flex1"
set profile-protocol-options "default"
set ssl-ssh-profile "certificate-inspection"
set nat enable

ad2) Wydaje mi się że nie wyszedł.

Brak logowania tej stacji roboczej, żeby zobaczyć gdzie blokuje.Ten post został edytowany przez Autora dnia 27.03.18 o godzinie 09:38

Link do wypowiedzi

Andrzej K. IT Network
Administrator

Temat: FortiGate a Klient JPK

Tomek W.:
ad1) seq15

FortiGate80E (33) # show
config firewall policy
edit 33
set name "Klient JPK"
set uuid 6308653a-1d3e-51e8-7ee7-45ef7ae02dd4
set srcintf "lan"
set dstintf "wan1"

-- masz 2 łącza ?

set srcaddr "all"

-- wszyscy będą JPK wysyłać ?

set dstaddr "JPK"

-- JPK = jakie IP lub FQDN

set action accept
set schedule "always"
set service "ALL"
set utm-status enable
set logtraffic all

-- masz włączone logowanie na police, więc z logów na dysku (80E ma 128GB lub z logów na FortinetCloud) możesz wyciągnąć czy coś przeszło przez tą police

set fsso enable
set groups "Grupa_AD_FSSO_Internet-Allow"
set comments "Dla wysyłki plików JPK do MF"
set av-profile "default"
set webfilter-profile "Flex1"
set dnsfilter-profile "default"
set spamfilter-profile "Flex1"
set ips-sensor "protect_client"
set application-list "Flex1"
set profile-protocol-options "default"
set ssl-ssh-profile "certificate-inspection"
set nat enable

ad2) Wydaje mi się że nie wyszedł.

-- to by tłumaczyło dlaczego police dopyszczająca ruch o złagodzonej inspekcji nie zadziałała, nie wykluczone że tu należy szukać dlaczego. Powodów może być kilka, złe źródło ruchu, zły adres docelowy, police włączona w trakcie połączenia, wtedy sesje będą utrzymane na poprzedniej.

Brak logowania tej stacji roboczej, żeby zobaczyć gdzie blokuje.

Jeżeli faktycznie brak logów to w trakcie próby wysyłki jedynie uratuje Cię sniffer + trace flow aby lub FortiView .

Link do wypowiedzi

Tomasz W. Administrator
Systemów
Informatycznych

Temat: FortiGate a Klient JPK

- masz 2 łącza ? - Incoming interface LAN i Outgoing interface WAN1
- wszyscy będą JPK wysyłać ? - dla sprawdzenia zrobiłem dla wszystkich aby tylko wyszedł pakiet.
- JPK = jakie IP lub FQDN - 52.174.237.213, e-dokumenty.mf.gov.pl
Za:
http://www.finanse.mf.gov.pl/pl/pp/jpk/-/asset_publish...

Ministerstwo Finansów informuje, że zmienił się adres IP dla środowiska produkcyjnego do przyjmowania plików JPK. Aktualny adres to 52.174.237.213.

Czy u Ciebie masz FG i użytkownik wysyła pliki JPK ? Czy t o u Ciebie działa ?

Link do wypowiedzi

Andrzej K. IT Network
Administrator

Temat: FortiGate a Klient JPK

Mam FG i u mnie to działa.

Pozostaje diagnozowanie w takim razie.
1) sposób
Zacznij od FortiView
- ALL Session
- ustaw filtr
- Destination IP na 52.174.237.213
- jeżeli nie widzisz kolumny "Policy" to ją dodaj
--- TEST
Zobaczysz jaką Policy ci to wychodzi i inne przydatne informację.

2) sposób
z konsoli klepiemy

diagnose debug reset
diagnose debug enable
diagnose debug flow show console enable "w zależności od wersjo FortiOS komenda może juz nie występować":
diagnose debug flow show function-name enable
diagnose debug flow filter daddr 52.174.237.213
diagnose debug flow trace start 10
----TEST

W konsoli powinieneś zobaczyć co skąd gdzie i przez jaka police.

Włącz złagodzona police i zobacz czy przez nią wyszło , jak nie to szukaj dlaczego.

Link do wypowiedzi

H P

Temat: FortiGate a Klient JPK

Panie Tomku działa Panu reguła?

Ja przy próbie wysyłki JPK dostaje informację z aplikacji e-Deklaracje:

Wysłanie zaszyfrowanych plików nie powiodło się. Sprawdź status przetwarzania dokumentu w zakładce historii wysyłek.
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

Przy połączeniu poza FortiGate wysyłka jpk działa.

Link do wypowiedzi

Tomasz W. Administrator
Systemów
Informatycznych

Temat: FortiGate a Klient JPK

Działa OK.
Przeczytaj od początku korespondencje i zastosuj.
Musisz utworzyć polisę dla komputerów wysyłających JPK. oraz w destination wprowadzić adresy serwerów JPK MF.

Link do wypowiedzi

H P

Temat: FortiGate a Klient JPK

Czytałem kilka razy :)
Czy wystarczy jeden adres MF czy należy wprowadzić kilka?

Link do wypowiedzi

Tomasz W. Administrator
Systemów
Informatycznych

Temat: FortiGate a Klient JPK

Ja mam kilka:
esb2.mf.gov.pl
e-dokumenty.mf.gov.pl
52.145.0.0-52.191.255.255 Microdoft net
52.239.212.164/32 Microsoft Net
40.68.232.0-40.68.232.255 Microsoft Net

Link do wypowiedzi

Monitoring Sieci Komputerowych (LAN/WAN)

Czy na pewno chcesz zrezygnować z tej grupy?

Zgłoś nieprawidłowości w wypowiedzi

FortiGate a Klient JPK

Blokowanie użytkownika

Temat: FortiGate a Klient JPK

Temat: FortiGate a Klient JPK

Temat: FortiGate a Klient JPK

Temat: FortiGate a Klient JPK

Temat: FortiGate a Klient JPK

Temat: FortiGate a Klient JPK

Temat: FortiGate a Klient JPK

Temat: FortiGate a Klient JPK

Temat: FortiGate a Klient JPK

Temat: FortiGate a Klient JPK

Temat: FortiGate a Klient JPK

Temat: FortiGate a Klient JPK

Temat: FortiGate a Klient JPK

Temat: FortiGate a Klient JPK

Temat: FortiGate a Klient JPK

Temat: FortiGate a Klient JPK

Podobne tematy

Bezpłatne porady prawne » Audyt-Tajemniczy Klient i nagrywanie rozmowy -

Oracle » Oracle XE 11g już jest, tylko gdzie nowy, dedykowany klient? -

Programy Lojalnościowe » Nowy Klient -

kredyt hipoteczny » Klient na pożyczkę -

Centrum Handlowe » Przedświąteczne BADANIA TAJEMNICZY KLIENT - czy to ma sens? -

Programiści WWW » [Mail] Klient poczty online -

Bezpłatne porady prawne » Czy mój klient ma prawo do zwrotu towaru ? -

IT Łódź » Zapraszam na spotkanie: "Parallel Computing - lessons... -

Akademia Edukacji Regionalnej » Szkolenie: Trudny klient-reklamacja to prezent od klienta... -

SZKOLENIA DO 400 zł » Szkolenie: Trudny klient-reklamacja to prezent od klienta... -

Audyt-Tajemniczy Klient i n...

Network Access Control (NAC)

Axence nVision

Oferty pracy