VipNet и Firewall

Материал из Техническая поддержки
Версия от 15:16, 8 июня 2017; Support (обсуждение | вклад) (Новая страница: « 1.1 Настройка параметров работы через Firewall, осуществляющие преобразование адресов (NAT) Е…»)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к: навигация, поиск


1.1 Настройка параметров работы через Firewall, осуществляющие преобразование адресов (NAT) Если узел с ПО ViPNet работает во внутренней сети с внутренними IP-адресами и на входе этой сети установлен Firewall или другое устройство, осуществляющее NAT, и если в локальной сети нет ViPNet-координатора, то в Мониторе требуется произвести некоторые настройки. Поскольку ПО ViPNet при работе через внешние сети осуществляет преобразование любого типа IP-пакетов в IP-пакеты с протоколом UDP, то организация их прохождения через устройства NAT не вызывает каких-либо сложностей. Может быть два типа Firewall: • Firewall (или устройство) со статическим NAT (см. п.1.1.1), • Firewall (или устройство) с динамическим NAT (см. п.1.1.2). Напомним, если есть ViPNet-координатор, установленный во внутренней сети, то на АП следует настроить работу через этот ViPNet-координатор (т.е. в поле Тип Firewall следует выбрать ViPNet-координатор (см. п.13.3, стр.126)), а настройки через Firewall (со статическим NAT или с динамическим NAT) произвести на координаторе. 1.1.1 Настройка параметров работы через Firewall, внешний IP-адрес которого известен и не меняется в процессе работы (тип Firewall "Со статическим NAT") На таком Firewall доступна настройка статических правил NAT. IP-адрес Вашего АП и порт доступа к нему, жестко заданы на Firewall.


Настройки на Firewall Для пропуска пакетов на Firewall (или устройстве с NAT), на котором можно настроить статические правила NAT, должен быть обеспечен: • Пропуск исходящих UDP-пакетов с IP-адресом и портом Вашего узла (Source-порт) на любой внешний адрес и порт (с подменой адреса источника на свой адрес). • Пропуск и перенаправление входящих UDP-пакетов с портом Вашего узла (Destination-порт) на IP-адрес Вашего узла.


На АП настройки работы через Firewall Со статическим NAT требуется производить, если в локальной сети нет ViPNet-координатора. В этом случае на каждом из абонентских пунктов должен быть выбран тип Firewall Со статическим NAT и произведена настройка маршрутизации на этот Firewall. При этом на каждом узле должен быть назначен свой порт доступа. А именно: Для настройки работы через Firewall, в окне Защищенная сеть дважды щелкните левой кнопкой мыши на собственной записи (имени Вашего АП). Откроется окно Настройки. В это окно можно также попасть, просто выбрав окно Настройки. Поставьте "галочку" в опции Использовать межсетевой экран (Firewall) и в нижней части появится дополнительное окно Параметры работы через Firewall (Рисунок 79). Далее в поле Тип Firewall необходимо выбрать значение Со статическим NAT (Рисунок 79), а также если требуется настроить: • Порт UDP (по умолчанию 55777) – параметр определяет номер порта, от которого преобразованные ПО ViPNet в UDP-формат пакеты уходят с Вашего узла (Source-порт), и на который такие пакеты приходят на Ваш узел (Destination-порт). Номер порта имеет смысл изменять, только если внутри Вашей сети через один Firewall (или устройство с NAT) работает несколько узлов с ПО ViPNet. В этом случае у всех таких узлов номера портов должны быть разные. • Опцию Зафиксировать внешний IP-адрес и порт доступа UDP через Firewall и поле Внешний IP-адрес Firewall настроить в зависимости от следующих ситуаций:  Если на внешнем Firewall с NAT есть возможность настроить статические правила только для входящих пакетов, предназначенных Вашему узлу, то есть обеспечить пропуск пакетов, имеющих адрес и порт назначения, указанных в соответствующих полях данного окна, а также их перенаправление на адрес Вашего узла, то опцию Зафиксировать внешний IP-адрес и порт доступа UDP через Firewall следует включить (поставить "галочку"). В этом случае в полях Внешний IP-адрес Firewall и Порт UDP необходимо указать внешний адрес Firewall и порт, на которые должны поступать пакеты для Вашего узла.  Если правила на внешнем Firewall с NAT настроены и для исходящих пакетов Вашего узла, и порт источника пакета при прохождении через Firewall не подменяется, то опция Зафиксировать внешний IP-адрес и порт доступа UDP через Firewall может быть выключена. В этом случае на других узлах параметры доступа к Вашему узлу будут регистрироваться по внешним параметрам пакета и внешний адрес Firewall также определится в процессе работы. По завершении всех действий нажмите Применить.

Рисунок 79 Информация об IP-адресе Firewall и порте доступа сообщается программой через сервер IP-адресов всем остальным узлам, с которыми связан Ваш АП. 1.1.2 Настройка параметров работы через Firewall, где внешний IP-адрес и порт доступа заранее не известны и (или) могут меняться в процессе работы (тип Firewall "С динамическим NAT") Назначение режима работы с использованием типа Firewall "С динамическим NAT" и технология работы в этом режиме. Режим работы с использованием типа Firewall С динамическим NAT наиболее универсален и может использоваться практически во всех случаях. Однако основное его назначение – обеспечить надежную двустороннюю связь с узлами, работающими через устройства NAT, на которых настройка статических правил NAT затруднена или невозможна. Такая ситуация типична для простых устройств NAT с минимумом настроек, например, DSL-модемов, Wireless-устройств, а также при использовании технологии общего доступа Microsoft через компьютер, подключенный к Интернет по удаленному соединению и в других случаях. Затруднительно также произвести настройки на устройствах NAT, установленных у провайдера (в домашних сетях Home network, GPRS и других сетях, где провайдер предоставляет частный IP-адрес). Опишем кратко технологию пропуска трафика такими устройствами с NAT: Все устройства NAT обеспечивают пропуск UDP-трафика в режиме автоматического создания так называемых динамических правил NAT. То есть пропускаются любые исходящие пакеты с подменой адреса и порта, фиксируются их параметры, и на основании этих параметров создаются динамические правила пропуска для входящего трафика. В течение определенного промежутка времени (таймаута) пропускаются входящие пакеты, параметры которых соответствуют созданным правилам. По завершении данного промежутка времени после прохождения последнего исходящего пакета, соответствующие динамические правила удаляются, и входящие пакеты начинают блокироваться. То есть инициативное соединение извне с узлами, работающими через такие устройства NAT, невозможно, если не будет соответствующего исходящего трафика.

После выполнения всех настроек, необходимо проверить соединение с сервером, для этого необходимо в окне «Защищенная сеть» выбрать SM Profi-plus, Samara и проверить соединение


В случае установки соединения появится окно следующего содержания:


Для обеспечения возможности двусторонней работы на узле, работающем через устройство с NAT, устанавливается режим с использованием типа Firewall С динамическим NAT. Одновременно должен присутствовать постоянно доступный координатор, находящийся во внешней сети. Для абонентского пункта по умолчанию – это его сервер IP-адресов (если иное не задано в ЦУСе). Пользователь, при необходимости может выбрать любой другой координатор, доступный ему. Узел в режиме использования типа Firewall С динамическим NAT после подключения к сети, с заданным периодом (по умолчанию – 25 секунд), производит отправку UDP-пакетов на свой координатор (сервер IP-адресов), (Рисунок 80). Это позволяет любому внешнему узлу в любой момент прислать на этот узел через его сервер IP-адресов пакет любого типа (Рисунок 80). Исходящие пакеты узел (в режиме С динамическим NAT) всегда отправляет напрямую адресату, минуя свой сервер IP-адресов. После первого, полученного в ответ пакета, внешний узел автоматически начинает передавать весь трафик напрямую узлу, работающему через устройство с NAT (Рисунок 80). Такая технология обеспечивает постоянную доступность узла, работающего через устройство с NAT (т.к. не удаляются динамические правила на устройстве с NAT), и, одновременно, существенно увеличивает скорость обмена между узлами.

Рисунок 80 Настройки АП. Для настройки работы через такой Firewall, в окне Защищенная сеть дважды щелкните левой кнопкой мыши на собственной записи (имени Вашего АП). Откроется окно Настройки. В это окно можно также попасть, просто выбрав окно Настройки. Поставьте "галочку" в опции Использовать межсетевой экран (Firewall) и в нижней части появится дополнительное окно Параметры работы через Firewall (Рисунок 81). Далее в поле Тип Firewall нужно выбрать значение С динамическим NAT (Рисунок 81), а также: • В поле Сервер IP-адресов по умолчанию установлен ViPNet-координатор, на котором Ваш АП зарегистрирован в ЦУСе (если в ЦУСе не задано иное). Этот ViPNet-координатор должен быть постоянно доступен и иметь все необходимые адреса, отображаемые в окне Защищенная сеть, а также он не должен работать через данный Firewall с динамическим NAT. Через этот координатор будут происходить входящие соединения с Вашим АП. При необходимости Вы можете выбрать любой другой координатор, доступный Вам. • Значение параметра Период опроса сервера IP-адресов для обеспечения пропуска входящего трафика через Firewall по умолчанию 25 секунд (Рисунок 81). Ваш АП с данным периодом производит отправку UDP-пакетов на свой ViPNet-координатор (из поля Сервер IP-адресов). Период отправки этих пакетов не должен намного превышать таймаут сохранности динамического правила на устройстве с NAT. У разных устройств с NAT этот таймаут устанавливается разный, но обычно не менее 30 секунд. По окончании настроек нажмите Применить. В поле Порт UDP (Рисунок 81) будет автоматически отображена следующая информация – порт доступа UDP (по умолчанию 55777). Данный параметр определяет номер порта, от которого преобразованные ПО ViPNet в UDP-формат пакеты уходят с Вашего узла (Source-порт), и на который такие пакеты приходят на Ваш узел (Destination-порт). Этот порт модифицируется на устройстве с NAT при отправке пакетов и восстанавливается при их приеме. В окне Настройки присутствует также опция Любой трафик с внешними узлами направлять через сервер IP-адресов – если включить эту опцию, то все соединения с другими узлами будут происходить ТОЛЬКО через внешний ViPNet-координатор, выбранный в поле Сервер IP-адресов (Рисунок 81), т.е. технология, описанная выше (Рисунок 80), использоваться не будет. В этом режиме из-за удлинения маршрута прохождения пакетов возможно снижение скорости обмена. Опция Любой трафик с внешними узлами направлять через сервер IP-адресов (Рисунок 81) по умолчанию выключена (не помечена "галочкой"). Для работы этой опции необходимо чтобы ViPNet Координатор, через который будет работать АП, имел версию не ниже 2.8.9. Если Вы произвели дополнительные настройки, то нажмите кнопку Применить.

Рисунок 81 Внимание! Узел в режиме С динамическим NAT для взаимодействия с узлами, работающими через какой-либо ViPNet-координатор, должен быть связан с этим координатором. Замечание: При работе с некоторыми модемами DSL, если не проходит передача длинных пакетов, можно уменьшить значение MTU в окне дополнительных настроек Монитора (см. п. 17, стр. 145, опция Уменьшить значение MTU на:) Информация об IP-адресе Firewall и порте доступа сообщается программой через сервер IP-адресов всем остальным узлам, с которыми связан Ваш АП.


2.1 VipNet И Handycache

Необходимо разрешить работу по протоколу UDP по порту 55777, если у вас используется ViPNet Клиент «Монитор». Если у вас используется ViPNet Клиент «Деловая почта», то необходимо разрешить работу по протоколу TCP по диапазону портов 5000-5003.


Обычно не требуется настраивать ViPNet для работы через прокси-сервера, фаерволы и NAT’ы, поскольку в настройках по умолчанию в ViPNet предусмотрена работа через прокси-сервера, фаерволы и NAT’ы. Необходимо зайти в «настройки» в ViPNet Клиент «Монитор», убедиться, что включена опция «Использовать межсетевой экран» и тип межсетевого экрана выбран «С динамической трансляцией адресов». В том, случае, если у вас используется ISA server (2000, 2004, 2006), то в настройках ViPNet обычно необходимо включить работу с использованием межсетевого экрана «Со статической трансляцией адресов». Также, если у вас статический внешний реальный адрес (выдаваемый провайдером), то желательно включить опцию «Зафиксировать внешний IP-адрес доступа через межсетевой экран» и указать ваш внешний реальный IP-адрес. Также необходимо, чтобы на компьютере, где установлен ViPNet Клиент в настройках подключения по локальной сети в разделе «Протокол TCP/IP» обязательно был указан адрес шлюза – именно на этот адрес ViPNet и будет направлять пакеты.