Administración SAP
Logo de cursosapnetweaver

Instalación y configuración de SAP Router

Manual detallado y extenso en español sobre la instalación y configuración de SAP Router, basado prioritariamente en la guía oficial y ampliado con mejores prácticas actuales.

Requisitos previos

Antes de iniciar la instalación:

  • Verifica tener una cuenta registrada en el SAP Service Marketplace con acceso autorizado.

  • Asegúrate de contar con permisos de administrador sobre el servidor donde instalarás SAP Router.

  • Prepara la dirección IP pública y el nombre del host del servidor SAP Router, así como el número de cliente SAP para el registro ante soporte SAP.

Descarga de archivos necesarios

  1. Ingresa al SAP Service Marketplace usando la cuenta OSS.

  2. Descarga los siguientes archivos desde el portal:

    • SAPROUTER

    • SAPCAR

    • SAPCRYPTOLIB (librería criptográfica).

Creación de la estructura de directorios

  1. Crea la carpeta principal para SAP Router, por ejemplo:

    • En Windows: C:\usr\sap\<SID>\saprouter

  2. Copia todos los archivos descargados en este directorio.

Desempaquetado de archivos SAR

  1. Accede al directorio creado y ejecuta:

    • sapcar.exe -xvf saprouter_<versión>.sar

    • sapcar.exe -xvf sapcryptolib_<versión>.sar

  2. Verifica que los ejecutables y la DLL sapcrypto.dll estén presentes.

Configuración de variables de entorno

  1. Configura las siguientes variables para el usuario del sistema que ejecutará SAP Router:

    • SECUDIR = C:\usr\sap\<SID>\saprouter

    • SNC_LIB = C:\usr\sap\<SID>\saprouter\sapcrypto.dll.

Puertos necesarios

Los principales puertos a abrir son:

PuertoDescripción
32nnConexión de soporte R3 (donde "nn" es el número de instancia de tu SAP R3) 
3299Puerto principal de SAPRouter (escucha por defecto) 
23Telnet (acceso remoto)
1503Netmeeting (comunicación remota)
5601PC-Anywhere (soporte remoto de escritorio)
3389Windows Terminal Server (WTS/Remote Desktop)

Consideraciones y pasos recomendados

  • Si el sistema SAP tiene varias instancias, abrir el rango correspondiente (por ejemplo, 3200, 3201, 3202, etc.).

  • El puerto 3299 debe estar abierto para que SAPRouter consiga comunicarse con SAP y otras herramientas de soporte.

  • Los puertos 23, 1503, 5601 y 3389 deben habilitarse solo si se requiere soporte remoto adicional como Telnet, Netmeeting, PC-Anywhere o Escritorio Remoto Windows.

  • Para conexiones especializadas o herramientas, consulta la documentación y políticas de seguridad propias del sistema o red.

Mejores prácticas de seguridad

  • Limita la apertura exclusiva a los puertos indispensables.

  • Aplica reglas de acceso que permitan conexiones solo desde las direcciones IP autorizadas.

  • Revisa y actualiza periódicamente la configuración de puertos en coordinación con el área de seguridad de TI.

Generación y registro de certificados

  1. Genera una solicitud de certificado con el comando:

    text
    sapgenpse get_pse -v -onlyreq -r certreq -p local.pse "CN=<hostname>, OU=<customer_number>, OU=SAProuter, O=SAP, C=DE"

  2. Abre el archivo certreq y copia su contenido.

  3. Pegue el contenido “como texto” en el área de generación de certificados en el SAP Marketplace bajo la sección de SAProuter SNC.

  4. Descarga el certificado emitido por SAP y guárdalo como srcert.

  5. Instala el certificado con:

    sapgenpse import_own_cert -c srcert -p local.pse

  6. Crea las credenciales en el SAProuter:

    sapgenpse seclogin -p local.pse

    Este comando genera el archivo cred_v2 y lo asocia al usuario ejecutante.

Configuración de permisos de red y puertos

  • Verifica que el puerto estándar TCP 3299 esté abierto tanto en el servidor como en el firewall.

  • Si se requiere, abre puertos adicionales para conexiones SNC, NetMeeting, Telnet, etc. según la guía.

Configuración de la tabla de rutas (saprouttab)

  1. Crea o edita el archivo saprouttab en el directorio del SAProuter para definir las reglas de acceso permitidas y denegadas. Ejemplo de líneas en la saprouttab:

    KT “p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE” 194.39.131.34 *
KP * “p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE” 3299
D * * *

    • KT se utiliza para conexiones SNC.

    • KP para permisos a sistemas designados.

    • D para denegar todo lo demás.

Instalación como servicio en Windows

  1. Ejecuta el siguiente comando para registrar SAProuter como servicio:

    sc.exe create SAPRouter binPath= "<ruta>\saprouter.exe service -r -W 60000 -R <ruta>\saprouttab -K ^p:<nombre_distintivo>^" start= auto obj= "NT AUTHORITY\LocalService"

    • Reemplaza <ruta> y <nombre_distintivo> por tus datos reales.

  2. Abre services.msc, busca el servicio SAPRouter, edita el tipo de inicio a “Automático” y configura el usuario bajo el cual se ejecutará el servicio (debe coincidir con el usado en el paso de credenciales).

Inicio y comprobación de SAP Router

  1. Inicia el servicio desde la propia ventana o usa:

    net start SAPRouter

    O bien inicia desde línea de comandos:

    saprouter -r -K "p:CN=<hostname>, OU=<customer_number>, OU=SAProuter, O=SAP, C=DE"

  2. Verifica su funcionamiento con:

    saprouter -l

Verificación de conexión

  • Revisa la RFC SAPOSS en la transacción SM59 del sistema SAP.

  • Prueba la conexión usando el grupo adecuado, usuario y password definidos.

Consideraciones adicionales

  • Actualiza los certificados en SAP Router antes de su vencimiento.

  • Documenta cualquier cambio en la configuración de la tabla saprouttab.

  • Asegúrate que las reglas de firewall y seguridad en la red estén correctamente alineadas con los requisitos actuales de conectividad.

Este manual cubre todo el ciclo desde la preparación hasta la puesta en marcha y verificación del SAP Router en un entorno Windows, con recomendaciones que también aplican a otros sistemas operativos.

No hay comentarios:
Suscribirse a: Entradas (Atom)

SAP FIORI

Otros

AWS

Enter your email address:

Delivered by FeedBurner

Creditos