СФР Маршрутизатор

По всей видимости это повышение устойчивости к утечек информации. Грубо говоря, это проксирование обращений через программу к серверам ФСС.

Выглядит, как очень плохой костыль. В принципе, ничего нового. И почему нельзя это было реализовать внутри программы тоже непонятно.

Давайте разбираться.

Новость

18.06.2026 г в целях обеспечения требований к информационной безопасности информационных систем гос. органов в сервисах ЭЛН будет выполнен переход на криптографический протокол TLS (Transport Layer Security) с шифрованием по алгоритмам ГОСТ

Если Вы этого не сделали, то получите такую ошибку: Ошибка вызова сервиса передачи/получения данных. Received fatal alert: handshake_failure

Значит, что придется почитать, что за СФР Маршрутиризатор и настроиь его. Если у Вас не получается: то напишите мне через любой удобный способ со странице Контакты. Я беру недорого, делаю быстро и без лишних вопросов.

Общий принцип работы

Это не официальная информация, а моё понимание и представление. В логике разработчиков, что на каждой рабочей станции должен работать ФСС Маршрутиризатор. Я в этом вижу ряд неудоств. Во-первых, это куча времени на настройку каждого рабочего места. Во-вторых, это необходимо дополнительно сотрудникам, кто работает с СФР, объяснять и показывать, как запустить программу ФСС Маршрутиризатор и говорить, что его ни в коем случае нельзя закрывать.

Поэтому для себя я выбрал такую схему. В сети будет один сервер, к которому будут обращаться другие.

Визуально это выглядит вот так:

Подготовка

Поскольку, я буду делать это все на отдельной виртуальной машине внутри локальной сети – покажу пример именно такого сценария. Ваш сценарий может отличаться. Учтите это.

В процессе установки нам потребуется Java8, КриптоПро JCP, ФСС Маршрутиризатор. Ссылки для загрузки:

  1. Скачать дистрибутив можно по ссылке: https://lk-test.fss.ru/tls.html
  2. Скачать дистрибутив Java8 можно по ссылке: https://www.java.com/ru/download/
  3. Скачать КритоПро JCP / JCP 2.0 можно по ссылке: https://www.cryptopro.ru/products/csp/jcp

Установка СФР Маршрутизатор

Установка происходит стандартно, ничего не меняем.

После установки надо отредактировать файл fss_mo.ini

Открываем любым текстовым редактором  файл C:\FssRouter\fss_mo.iniудаляем содержимое  и вставляем вот такое:

Обратите внимание на строчки

-Djavax.net.ssl.trustStore=C:\FssRouter\gost.keystore

-Djava.security.properties="C:\FssRouter\jre\lib\security\java.security"

Если меняли пути установки – тут тоже требуется внести изменения.

Установка Java8

Для работы КриптоПро JCP требуется Java8.
Её необходимо скачать и установить на рабочую станцию, где мы устанавливает СФР Маршрутизатор.

Установка стандартная. Ничего не меняем. Перезагружаем комп/сервер (иначе будет ошибка, описана в траблшуте).

Установка КриптоПро JCP / JCP 2.0

Для этого не требуется лицензия Крипто-Про, достаточно зайти на сайт https://www.cryptopro.ru/products/csp/jcp

Перейти в раздел загрузки:

Далее необходимо войти (создать учетку) для загрузки. Это бесплатно. Выдыхаем.
Согласиться с Лиц. соглашением.

Далее на странице нужно найти: “КриптоПро JCP и JTLS R3 (2.0.40502 для Java 8)”

Далее распакуем архив jcp-2.0.40502и запустим файл setup.exe

Далее выбираем “Установить”, принимаем лиц. соглашение. На пункте “Выберите JRE” нужно указать jre от ФСС. Стандартно он по пути C:\FssRouter\jre

Выбор продуктов у нас должен выглядеть вот так:

На шаге серийный номер просто оставляем все пустое и пропускаем.

Запускаем процесс установки и ждем завершения.

Первый запуск

Запускаем программу ФСС Маршрутизатор. И первым делом необходимо указать порт через который к нам будут обращаться клиенты (ФСС МЧД, ФСС АРМ ЛПУ и т.д.).

Разработчик рекомендует 8080, но утверждает, что можно запустить на любом свободном порту. Не будем злить ФСС и оставим, как они рекомендуют. Далее надо актировать галочки сервисов, которые мы используем. В моем примере это ЭЛН.

Строчка ЭЛН:  https://eln.sfr.gov.ru/ws-mo-crypto/FileOperationsLnService?wsdl

Полный список строчек находиться тут: https://lk-test.fss.ru/tls.html

И запускаем маршрутизатор. Если всё окей — будет такая картинка:

Для проверки можно попробовать открыть в браузере адрес http://localhost:8080/eln для ЭЛН

Примерная картинка будет вот такой:

Открываем порт для всех

Теперь, когда локально у нас настроен СФР Маршрутизатор можно открыть доступ для всех компьютеров в локальной сети и попробовать подключиться. Тут может инструкция отличаться, т.к. у Вас могут быть не штатные инструменты Firewall. Я опишу на штатном брандмауэре.

Правой кнопкой по “Правила для входящих подключений” → создать правило

Указываем правило для порта:

Указываем порт, который мы указали в настройках СФР Маршрутизатор

Разрешаем подключение

И указываем профили, оставим все галочки.

Имя укажем любое. Главное понимать, что это.

Что делать дальше?

В этом примере у нас два объекта: виртуальный сервер ФСС Маршрутизитор и компьютер с ФСС ЭЛП, где выпускают больничные листы для пациентов. После того, как мы открыли порт подключения 8080 на сервере – клиенты могут к нему обращаться.

В примере IP адрес сервера СФР Маршрутизатор имеет IP адрес 192.168.1.181

Для проверки связи, откроем браузер и попробуем перейти по ссылке http://192.168.1.181/eln

ФСС АРМ ЛПУ сначала его необходимо обновить до последний версии 2_01_27 (прямая ссылка на загрузку https://lk.fss.ru/fss_eln_setup_2_01_27_20260525_01_x64.exe). В принципе, тут ничего нового, если Вы не знаете как это делается то вот тут мой гайд: https://bite-byte.ru/programmy/fss/obnovlenie-fss-arm-lpu/. Процесс стандартный.

После обновления

Теперь возьмём, ФСС ЭЛН:

Запускаем программу. Переходим на вкладку Администрирование → Настройка сервисов СФР.

И меняем строчку (старая строчка) на http://192.168.1.181:8080/eln

Нажимаем на “Проверить соединение”, если всё успешно, то мы увидим вот такое сообщение:

Больше никаких изменений не требуется. И в работе врача ничего не меняется.

Мои мысли на этот счёт

Хочу описать важные моменты, которые мне сразу не понравились.

  1. Разработчик ФСС принуждает (может, и не специально) ставить нас СФР Маршрутиризатор на каждую рабочую станцию. Это ужасный геморрой и для системного администратора, и для врача. Попробуйте каждому объяснить, что теперь для выдачи больничного надо запускать две программы. Врачи не должны в этих технических моментах разбираться. Совсем. Они врачи – людей лечат. Итог этой мысли: возможно, идея то и здравая, но реализация хромает. Разработчик должен учитывать, что его конченый пользователь врач, а не bite-byte)))
  2. Чем у нас больше элементов тем выше вероятность поломки. Добавляется еще один продукт за которым требуется следить. Я не совсем понимаю почему нельзя это все было “вшить” в основную программу. Но видимо, там очень жесктие технические моменты, которые еще и идут в связке с требованием ФСБ и прочими структурами, кто отвечает за безопастность.
  3. Зная, что ФСС частенько после обновлений потом еще “шлифует” свой программный продукт – нас ждут баги, обновления и веселье.

Траблшут

Ошибка при выполнение установки JCP 2.0.40502

Текст ошибки:

Скриншот:

Решение: Я ставил Java и не перезагрузился. После перезагрузки ошибка ушла и процесс установки завершился.

При проверки связи с СФР — null

Траблшут от читателя Бонифация

При проверки связи с СФР вылезает ошибка: (0)null.

Решение:

в конфиге fss_mo.ini true заменить на false

В настройках КриптоПро JCP отключить галочки


Если мой материал был полезен, то можете угостить меня кофе ☕️


Подписаться
Уведомить о
guest
48 комментариев
Старые
Новые Популярные
Денис
Денис
29 дней назад

Так зачем ставить на каждого клиента? Ставь на сервер с базой данных и будет тебе счастье. А клиентам подключение к маршрутизатору на сервере отдавай

Гена
Гена
29 дней назад

а запускать на сервере эту поделку сумашедшего все равно руками, так как автозапуска у него нет….

миха
миха
29 дней назад

Привет. А что делать есть прога маршрутизатор с этими параметрами не хочет запускаться?

миха
миха
29 дней назад

Собстаенно нашел ответ. не указал правильную папку установки Далее выбираем “Установить”, принимаем лиц. соглашение. На пункте “Выберите JRE” нужно указать jre от ФСС. Стандартно он по пути C:\FssRouter\jre

Иван
Иван
29 дней назад

Спасибо,тебе добрый человек!

Александр
Александр
29 дней назад

А если пишет при указании любого порта что он занят

Александр
Александр
Ответить на  Александр
29 дней назад

Никак не могу победить

Вячеслав
Вячеслав
29 дней назад

Столкнулся с такой проблемой при нажатии запуск маршрутизатора выдает сообщение ошибки. Пробовал разные порты

2026-06-19_23-22-22
Вячеслав
Вячеслав
Ответить на  Вячеслав
29 дней назад

при повторном нажатии

2026-06-19_23-30-04
Максим
Максим
29 дней назад

bite-byte можешь помочь по удаленке? На платной основе

Вячеслав
Вячеслав
Ответить на  bite-byte
29 дней назад

Спасибо разобрался, в этом пункте была ошибка. Не указал правильно путь.
C:\ FssRouter\ jre

Последний раз редактировалось 29 дней назад Вячеслав ем
Сирожа
Сирожа
29 дней назад

Добавьте еще траблшутинг по ошибке «ERR_4030:Указанная Доверенность не найдена. Убедитесь в корректности указанного UUID…» Суть в том, чтобы не забыть вернуть рабочие, а НЕ ТЕСТОВЫЕ настройки в маршрутизатор ФСС, так как на тестовом походу не прописаны МЧД, и не забыть восстановить в ЕЛН предыдущий, а не тестовый сертификат СФР.

Александр
Александр
28 дней назад

Вроде все правильно настроено, при проверке ошибка «Не удалось подключиться к сервису СФР. Ошибка 0(null)». У кого-нибудь встречалось?

Последний раз редактировалось 28 дней назад Александр ем
Александр
Александр
Ответить на  bite-byte
28 дней назад

Установка по инструкции и путь до JRE точный. И на сервере еще установил, такая же ошибка.

Александр
Александр
Ответить на  bite-byte
28 дней назад

Показало: curl: (52) Empty reply from server

Александр
Александр
Ответить на  bite-byte
25 дней назад

Связи не было из-за провайдера, не пропускался шифрованный трафик, При смене маршрута через другой канал все заработало.

Последний раз редактировалось 25 дней назад Александр ем
йцук
йцук
Ответить на  Александр
26 дней назад

Было такое, номер порта по инструкции 8585 ставил, работало, на следующий день такая ошибка, изменил на 8080, после этого опять связь появилась

Олег
Олег
Ответить на  йцук
26 дней назад

Сегодня все настроил, несколько ЛВН благополучно ушло в СФР, а через пару часов выходит ошибка «Не удалось подключиться к сервису СФР. Ошибка 0(null)».
Перезагрузили компьютер, опять все заработало, еще несколько ЛВН отправили.

itdoctor
itdoctor
26 дней назад

Кто сталкивался проблемой при запуске маршрутизатора:
the fss_mo executeble launcher was unable to locate its companion shared library ?
Установка на windows 10
Все было установлено корректно по инструкции.
Ошибка возникает после замены ini файла.

Александр
Александр
Ответить на  itdoctor
26 дней назад

Аналогичная проблема. Вы как нибудь победили?

Александр
Александр
Ответить на  Александр
26 дней назад

Появилось подозрение на несовместимость разрядности.
Windows 7 — 64
СФР маршрутизатор — 32

Михаил
Михаил
Ответить на  Александр
26 дней назад

Ставил на win 7 32 и АРМ 32
и win 10 64- АРМ 32. Проявилась такая ошибка

Александр
Александр
Ответить на  Михаил
26 дней назад

В общем, у меня дело в следующем было:
В «Руководство администратора АРМ ЛПУ_2_01_27» (именно 27) есть два варианта ini-файла. Для 32-разрядного мне подошел.
СФР маршрутизатор запустился и тест соединения с СФР прошел

Михаил
Михаил
Ответить на  Александр
26 дней назад

Спасибо, поищу этот вариант.
Для Win 64- АРМ 64 все заработало как в статье. Спасибо большое

itdoctor
itdoctor
Ответить на  Александр
25 дней назад

Да. Первые 4 строчки должны выглядеть как 2, там в конфиге затесался «перенос строки», если удалить ,все стартует.
startup plugins/org.eclipse.equinox.launcher_1.4.0.v201612191356.jar
launcher.library plugins/org.eclipse.equinox.launcher.win32.win32.x86_64_1.1.500.v201705311133

KyZZMI4
KyZZMI4
Ответить на  itdoctor
24 дней назад

Спасибо вам огромное! Долго смотрел в конфиг и не заметил переноса строки.

Михаил
Михаил
Ответить на  itdoctor
26 дней назад

Такая же проблема, Windows 10 и 7, после замены содержимого файла не запускается этот Маршрутизатор.
Путь к java верный C:\FssRouter\jre

Семен
Семен
26 дней назад

Спасибо большое! Очень помогло!

Алексей
Алексей
26 дней назад

Благодарю за статью! Очень помогло!

Bonus
Bonus
26 дней назад

У меня вот такая ошибка:
java.net.sockettimeoutexception: read timed out
Все уже перепробовал и проверил

Роман
Роман
26 дней назад

Добрый день.
Подскажите, пожалуйста.
Уже трижды по инструкции прошёлся по всем пунктам.

При указании любого порта вылетает ошибка, что он уже занят.

Путь установки jcp указан верно, ini файл для 64 винды тоже указан верно, Java8 установлена.
Не совсем пойму на счёт вот этого пункта -Djavax.net.ssl.trustStore=C:\FssRouter\gost.keystore

у меня нет такого файла в этой папке.

Роман
Роман
26 дней назад

Привет.
Подскажите, пожалуйста.
На какую почту т\п можно писать, если ничего не помогает?

Вячеслав
Вячеслав
24 дней назад

Всем добра. Подскажите кто ни будь реализовал автозапуск программы? Через планировщик или автозагрузку можно сделать запуск самой программы, но вот как сделать запуск самой службы маршрутизатора пока не допер.

ВАся
ВАся
23 дней назад

ТриДваРаз

Последний раз редактировалось 23 дней назад ВАся ем
Митя
Митя
22 дней назад

Друг, спасибо за статью — все заработало. Более кривого софта, чем этот элн, я не встречал.

Дмитрий
Дмитрий
18 дней назад

Добрый день при запуске маршрутизатора все время выскакивает ошибка, что порт уже занят, проверяю по pid. Порт занят именно этой программой программу выключаю. Порт свободен, прописываю любой другойпорт в маршрутеиз, не запускается, пишет, что порт опять занят. В pid смотрю, появляется. Данный порт. Занят этим же процессом

Дмитрий
Дмитрий
Ответить на  Дмитрий
17 дней назад

спасибо разобрался

Evgen
Evgen
11 дней назад

Дополните, что «Ошибка запуска маршрутизатора» может решаться запуском с правами администратора… если всё остальное сделано по инструкции

Zion94
Zion94
1 день назад

Вопрос, если это крутиться как я понимаю, на локальной машине, я так понямаю за это не отвечает СФР а теперь клиент ?