Puertos SapRouter - Maintain Service Connection

[ger1201]

Antes que nada un saludo a toda la gente de este Foro.

Les comento que tengo un problema al querer abrir una conexión en el portal de SAP desde el "Maintain Service Connection" a mis equipos de BW.

El problema radica en el firewall, no se que puertos debo abrir para que se establezca esta conexión, ya que tengo abiertos para el saprouter el rago de puertos del 3200 al 3299, si intento conectarme por medio sal SAP GUI todo funciona bien, pero al querer hacer la conexión desde el portal de SAP me dice que el host no responde, sin embargo para efecto de pruebas abro todos los puertos en el firewall hacia el SAP ROUTER y la conexión se establece sin problemas.

Ya intente poner un sniffer en SAPROUTER, escanear los puertos y en ningún caso puedo localizar los puertos, ya he leido la documentación y abri los puertos que me dicen que son los que se usan para esa conexión y nada:

3200-3299
3300-3399
3400-3499
3500-3599
3600-3699
4700-4799
4800-4899
5600-5699
23
1503
5601
3389
7269

Mi duda es ¿Que puertos debo dejar abiertos para que se establezca esta conexión?, ya que por razones de seguridad no puedo dejar todos los puertos abiertos .

[koletas]

Hola,

Primero lee estas notas y luego sigue leyendo:

Note 52959 - sapms..., sapdp.., sapgw.. unknown (or not found)
Note 540379 - Ports and services used by SAP
Note 30289 - SAProuter documentation
Note 31515 - Service connections
Note 37001 - Telnet link to customer systems
Note 812732 - R3 Support service connection
Note 35010 - Service connections - Composite note (overview)

Hay un documento que se llama TCP-IP Ports Used by SAP Applications, no lo puedo subir porque ocupa 130k.

Conexiones entre el saprouter de SAP (sapserv1) a nuestro saprouter (misaprouter)
IP sapserv1 194.117.106.129 Puerto 3299
IP misaprouter la ip de misaprouter Puerto 3299

añade tambien el hostname de tu saprouter y el puerto correspondiente, en este caso el 3200:
misaprouter 3200


yo pondría todos en el fichero services del 00-99:
Nombre Puerto
sapdp00 3200/tcp # SAP System Dispatcher Port
sapdp00s 4700/tcp # SAP System Dispatcher Security Port
sapgw00 3300/tcp # SAP System Gateway Port
sapgw00s 4800/tcp # SAP System Gateway Security Port


Comprueba la RFC SAPOSS. desde la OSS1 haz lo mismo. Haz un ping a su saprouter 194.117.106.129, desde tu saprouter. Desde la SNOTE, bajando una nota o actualizando una. Comprueba tus entradas en el fichero saprouttab.

Desde SAP hacen esto:

sapserv1:> ping (nuestra IP con SAP)
PING (nuestra IP con SAP): 64 byte packets
64 bytes from (nuestra IP con SAP): icmp_seq=0. time=52. ms
64 bytes from (nuestra IP con SAP): icmp_seq=1. time=48. ms
64 bytes from (nuestra IP con SAP): icmp_seq=2. time=48. ms

sapserv1:> telnet (nuestra IP con SAP) 3299
Trying...
Connected to (nuestra IP con SAP).
Escape character is '^]'.

sapserv1 (194.117.106.129)
sapserv2 (194.39.131.34)
sapserv3 (147.204.2.5)


Nosotros:
Desde la máquina implicada:
# ping 192.168.1.3
192.168.1.3 is alive
# telnet 192.168.1.3 3299
Trying 192.168.1.3...
Connected to 192.168.1.3.
Escape character is '^]'.
^ZConnection to 192.168.1.3 closed by foreign host.
#

más información en:



Espero te sea de ayuda

[ger1201]

Antes que nada muchas gracias koletas por tu información.

Te comento que ya lei las notas que me enviaste y tengo todo según lo describen ahi, la comunicación por medio de la oss1 me funciona perfectamente, el saprouter como tal esta funcionando bien ya que como te había comentado me puedo conectar desde cualquier pc en la internet sin ningún problema, el saptab tambien funciona bien por que al abrir todos los puertos se conecta sin ningun problema.

Agregue todos los puertos a mi archivo de services como me lo recomentaste.

Con respecto al proceso que realiza SAP de que hacen un ping a mi SAPROUTER pense que ahi estaría el problema por que no tenia habilitado el ping, sin embargo lo active, al igual que el telnet y tampoco asi funciona.

Realmente ando bastante perdido con este tema, lo de menos es dejar abierto todos los puertos por 9 días, pero no es la mejor opción.

De antemano te agradezco nuevamente y si hay alguna sugerencia se los agradezco.

Saludos.

[koletas]

Pues eso es todo lo que tienes que hacer, habla con la gente de comunicaciones que ellos si que ven el puerto al que se intenta conectar SAP, pasales la IP y que lo miren, pero si los puertos ya están habilitados y la conexión segura con SAP también, puedes hacer ping al serpserv1, el problema está en la parte de SAP. Reinicia el proceso de saprouter, vuelve a comprobar y si no les pones un mensaje, que muchas veces no avisan mientras manipulan su saprouter.

[ger1201]

Pues solamente comentar como lo hice trabajar, no es la mejor forma, pero se cumple el objetivo de la seguridad.

paso1. Abro TODOS los puertos hacia el saprouter.
paso2. Establezco la conexión desde el portal de SAP.
paso3. Espero 5 minutos en lo que se establece la conexión.
paso4. Cierro los puertos a exepción de los que se indica en la documentación de SAP ( 3299, 32XX, telnet, ping, etc )

Y solo asi se mantiene la conexión y puedo tener restringidos los puertos, se que ni siquiera es una solución como tal, pero es lo mejor a lo que pude llegar sin tener que escanear los mas de 60 mil puertos

Saludos.

[koletas]

Puff, qué atrevido abrir todos los puertos. Si directamente el ping entre saprouters no te funciona fijo que es de puertos y creo que los que te comenté son todos. Mira a ver si una regla pisa a otra y por eso no te deja.
hay veces que para establecer el tunel entre saprouters, tienes que dejar un ping continuo del tuyo al de SAP.

Bueno si das con la solución me avisas y siempre puedes abrir un mensaje OSS, a ver que solución te dan ellos. añade desde un principio las notas leidas, aplicadas, así como los puertos del firewall, así ahorrarás tiempo.

[abaltazar]

Se Que Mi Pregunta No Va Relacionado A Lo Que Hablan Pero Quiero Saber Como Puedo Visualizar Los Puertos Tanto Abiertos Como Cerrados.

No Se Si Me Pueden Indicar Los Pasos A Seguir Para Visualizar Esos Puertos.

Esperando Su Pronta Respuesta Estoy A Sus Ordenes.

Gracias.

[johangonz]

comando netstat, googlealo un poco que tiene una serie de opciones que despliega distinta informacion.