рук. 2. ViPNet_Client_4_Руководство_пользователя. Руководство пользователя ао ИнфоТеКС

ViPNet Client 4. Руководство пользователя |
95
Примечание. Одиночный туннелируемый адрес — это адрес, который явно (а не в составе диапазона адресов) указан в настройках туннелируемых адресов узла.
Следует учитывать, что по умолчанию для виртуальных адресов используется один из интернет-диапазонов. Поэтому при взаимодействии узла с открытыми ресурсами интернета может возникнуть конфликт, если у открытого ресурса IP-адрес совпадет с виртуальным адресом одного из узлов сети ViPNet. Соединение с таким открытым ресурсом будет невозможно. В этом случае доступ к этому ресурсу можно настроить одним из способов:
 сменить диапазон виртуальных адресов;
 работать с ресурсом через прокси-сервер.
При этом работать с защищенными узлами через прокси-сервер нельзя. Поэтому при использовании прокси-сервера требуется IP-адреса защищенных узлов указать в качестве исключений.
Виртуальные адреса сетевых узлов отображаются на вкладке IP-адреса в окне Свойства узла для каждого сетевого узла. Виртуальные адреса туннелируемых узлов отображаются на вкладке
Туннель в окне Свойства узла для координатора, осуществляющего туннелирование.
Виртуальные адреса для сетевых узлов закрепляются не за конкретными реальными адресами, а за уникальными идентификаторами сетевых узлов, присвоенными в ViPNet Центр управления сетью.
Виртуальные адреса для одиночных туннелируемых узлов закрепляются за каждым реальным туннелируемым IP-адресом. Виртуальные адреса закрепляются за сетевыми узлами и одиночными туннелируемыми адресами до тех пор, пока сетевые узлы или туннелируемые адреса не будут удалены.
Внимание! Чтобы избежать ошибок при назначении начальных адресов для генератора виртуальных адресов, следует иметь в виду следующее:

Значение первого (младшего) октета должно быть в диапазоне 1–254.

Значение четвертого октета должно быть в диапазоне 1–239.

Значение второго и третьего октетов должно быть в диапазоне 0–255.
Вновь добавленным сетевым узлам, реальным IP-адресам узлов и одиночным туннелируемым адресам ставятся в соответствие новые свободные виртуальные адреса. Виртуальные адреса, выделенные для туннелируемых диапазонов адресов, могут измениться при добавлении новых диапазонов туннелируемых адресов.
При смене начального адреса для генератора виртуальных адресов все виртуальные адреса формируются заново.

ViPNet Client 4. Руководство пользователя |
96
Настройка подключения к защищенной сети
Для подключения клиента к защищенной сети ViPNet в общем случае не требуется никаких настроек. Дополнительные настройки при подключении могут быть нужны только в некоторых особых ситуациях. Например, вы со своим мобильным компьютером подключаетесь к локальной сети другой организации. В этой сети нет доступа к вашему серверу соединений
(см. глоссарий, стр. 385), но в ней есть координатор, имеющий связь с вашим узлом. В этом случае в настройках подключения к сети ViPNet вам потребуется изменить сервер соединений.
Совет. Если вы часто подключаетесь к другой локальной сети, то для удобства вы можете создать конфигурацию, в которой этот вариант настройки подключения будет сохранен. Информацию по созданию конфигурации см. в разделе
Управление конфигурациями программы
(на стр. 199).
Выбрать другой сервер соединений вы также можете, если ваш координатор по каким-то причинам оказался недоступным.
Чтобы назначить сервер соединений:
1 В меню Сервис выберите пункт Настройка приложения.
2 В окне Настройка выберите раздел Защищенная сеть.
3 В списке Сервер соединений выберите координатор, с помощью которого клиент будет устанавливать соединения с другими узлами. Если нужного координатора нет в списке, нажмите кнопку и выберите координатор в окне Выбор сетевого узла.
Этот координатор должен быть доступен либо напрямую, либо через межсетевой экран со статической трансляцией адресов.
4 Нажмите кнопку Применить.
Если необходимо, нажмите кнопку Показать дополнительные настройки и укажите:
 Весь трафик направлять через сервер соединений.
Направлять IP-трафик через сервер соединений может потребоваться в том случае, если есть необходимость в контроле всего передаваемого IP-трафика. При этом стоит учитывать, что передача IP-трафика через сервер соединений может привести к существенному снижению скорости обмена данными между узлами.
 Если требуется установить клиент за межсетевой экран со статической трансляцией адресов, установите флажок Зафиксировать порт UDP и в поле ниже укажите порт инкапсуляции
UDP-пакетов. Для этого порта на устройстве NAT должно быть создано соответствующее статическое правило.

ViPNet Client 4. Руководство пользователя |
97
 Если требуется изменить интервал отправки IP-пакетов серверу соединений при работе через межсетевой экран с динамической трансляцией адресов, в поле Тайм-аут поддержки
соединений через устройства с динамическим NAT укажите новое значение. По умолчанию отправка IP-пакетов производится каждые 25 секунд. Как правило, этого интервала достаточно, чтобы поддерживать связь с сервером соединений при работе через большинство устройств
NAT.
 Выберите координатор в списке Сервер IP-адресов.
Внимание! Не изменяйте сервер IP-адресов без согласования с администратором сети ViPNet. Если в качестве сервера IP-адресов вы укажете координатор другой сети ViPNet, то на ваш узел поступит информация только об узлах этой сети. При этом узлы вашей сети будут недоступны.
Рисунок 35. Настройка подключения клиента к защищенной сети ViPNet
 Если требуется установить принудительный режим соединения с сервером IP-адресов через
TCP-туннель (см.
Протоколы соединений в защищенной сети на стр. 89), одновременно установите следующие флажки: o
Работать только через TCP-туннель. o
Весь трафик направлять через сервер соединений.
Например, это может быть полезно при подключении к интернету через канал связи, по которому TCP-пакеты передаются в более приоритетном порядке, чем UDP-пакеты.
 Если при работе с некоторыми устройствами NAT не проходит передача длинных пакетов, перейдите в подраздел Защищенная сеть > Дополнительные параметры и уменьшите значение MSS (максимальный размер сегмента).

ViPNet Client 4. Руководство пользователя |
98
Рисунок 36. Настройка дополнительных параметров
 Если вам требуется изменить системное время на вашем компьютере, в разделе
Дополнительные параметры в списке Устанавливать на компьютере время защищенной
сети ViPNet выберите значение Спрашивать или Не устанавливать. Следует учитывать, что при несовпадении системного времени на вашем компьютере и на вашем сервере соединений, доступ к защищенной сети ViPNet будет невозможен.
Данная настройка доступна только для уровня полномочий пользователя «Максимальный».
Подробнее см. «Классификация полномочий. Приложение к документации ViPNet».

ViPNet Client 4. Руководство пользователя |
99
Настройка доступа к защищенным узлам
Для соединения с другими узлами в сети ViPNet должны быть настроены параметры доступа. На клиенте достаточно настроить параметры доступа только для координатора, который является сервером IP-адресов и сервером соединений. При этом данная настройка требуется в том случае, если в программе ViPNet Administrator IP-адреса и параметры подключения координаторов не были заданы централизованно.
Необходимые параметры доступа к другим сетевым узлам будут автоматически получены у сервера IP-адресов после установления с ним связи. Вы можете их изменить, например, при возникновении конфликта IP-адресов. В других случаях изменять их не рекомендуется.
Чтобы настроить доступ к сетевому узлу:
1 Выберите раздел Защищенная сеть и дважды щелкните нужный сетевой узел.
2 В окне Свойства узла на вкладке IP-адреса добавьте в список реальный IP-адрес сетевого узла.
Автоматически новому адресу будет сопоставлен виртуальный IP-адрес.
Если вам не известен IP-адрес узла, то вы можете определить его по имени компьютера. Для этого нажмите кнопку Определить имя/IP-адрес и в появившемся окне выполните поиск
IP-адреса по указанному имени.
При добавлении IP-адреса будет автоматически выполнена его проверка на наличие конфликта с IP-адресами, уже заданными в списке, и IP-адресами других сетевых узлов (в том числе, туннелируемых), если для узлов не установлена видимость по виртуальным IP-адресам.
Данная проверка позволит избежать задания одинаковых IP-адресов. Если в ходе проверки будет обнаружен конфликт IP-адресов, появится соответствующее сообщение. Устраните конфликт IP-адресов (см.
Обнаружен конфликт IP-адресов или DNS-имен на стр. 285).
Вы также можете выполнить проверку на конфликт IP-адресов вручную. Для этого нажмите кнопку Проверить конфликты

ViPNet Client 4. Руководство пользователя |
100
Рисунок 37. Задание IP-адреса сетевого узла
3 В списке IP-адреса видимости узла укажите, по каким адресам должен быть доступен сетевой узел. По умолчанию IP-адреса видимости выбираются автоматически. Если возможен конфликт реальных IP-адресов с адресами других узлов в сети, в списке выберите
Виртуальные IP-адреса.
При изменении IP-адресов видимости в свойствах координатора вам будет предложено установить аналогичные IP-адреса видимости на всех узлах, использующих данный координатор в качестве транспортного сервера.
Примечание. Узлы ViPNet, для которых назначена роль VPN Client для мобильных
устройств, поддерживают доступ только по виртуальным адресам. Поэтому для них нет возможности установить видимость.
4 Если для доступа к сетевому узлу необходимо использовать DNS-имя, убедитесь, что узел доступен по этому имени в сети. Затем установите флажок Использовать DNS-имя и добавьте в список DNS-имя сетевого узла.
Если вам не известно DNS-имя узла, то вы можете определить его по IP-адресу компьютера.
Для этого нажмите кнопку Определить имя/IP-адрес и в появившемся окне выполните поиск по IP-адресу.
При добавлении DNS-имени будет автоматически выполнена его проверка на наличие конфликта с DNS-именами, уже заданными в программе. Если в ходе проверки будет обнаружен конфликт DNS-имен, устраните его (см.
Обнаружен конфликт IP-адресов или

ViPNet Client 4. Руководство пользователя |
101
DNS-имен на стр. 285). Вы также можете выполнить проверку на конфликт DNS-имен с помощью кнопки Проверить конфликты
Для любого узла можно задать несколько DNS-имен. При настройке параметров доступа к координатору DNS-имена узлов, туннелируемых этим координатором, также следует добавить в список на вкладке IP-адреса (см.
Настройка доступа к туннелируемым узлам на стр. 106).
Для клиента порядок DNS-имен в списке не имеет значения. Для координатора в первой строке списка нужно указать DNS-имя, соответствующее IP-адресу координатора. Подробная информация об использовании службы DNS в сети ViPNet см. в разделе
Настройка и использование служб имен DNS и WINS в сети ViPNet
(на стр. 111).
5 При настройке параметров доступа к координатору на вкладке Межсетевой экран добавьте
IP-адрес межсетевого экрана, если он используется. При необходимости укажите дополнительные IP-адреса. Если будет указано несколько IP-адресов доступа через межсетевой экран, то вы можете указать приоритет этих адресов с помощью метрик
(см.
Настройка приоритета IP-адресов доступа к координатору на стр. 103).
В поле Порт UDP укажите порт доступа через межсетевой экран.
Рисунок 38. Настройка доступа к координатору через межсетевой экран
6 При настройке параметров доступа к координатору на вкладке Межсетевой экран в поле
Порт доступа для TCP-туннеля вы можете указать порт, по которому ваш узел сможет соединяться с координатором по TCP-протоколу (через TCP-туннель). Порт рекомендуется задавать в том случае, если в свойствах координатора он не задан, но при этом известно, что на данном координаторе настроен TCP-туннель для соединений по TCP-протоколу.

ViPNet Client 4. Руководство пользователя |
102
Как правило, информация о номере порта доступа по TCP-протоколу поступает на сетевой узел автоматически сразу после настройки на координаторе TCP-туннеля. Поэтому если в свойствах координатора порт доступа по TCP-протоколу указан, изменять его не следует.
7 Чтобы сохранить указанные настройки, нажмите кнопку Применить.

ViPNet Client 4. Руководство пользователя |
103
Настройка приоритета IP-адресов доступа к координатору
Если координатор имеет несколько адресов доступа (например, по разным каналам связи), то можно настроить приоритет каналов для установления соединения с координатором. Если самый приоритетный канал по каким-то причинам недоступен, то канал связи будет выбран в соответствии с приоритетами оставшихся каналов. Когда самый приоритетный канал станет доступен, соединение с координатором вновь будет установлено через него.
Примечание. Следует учитывать, что эффективной данная настройка может быть только в случае, если узел связывается с координатором по разным каналам, например, через интернет и выделенную сеть (то есть при маршрутизации через разные шлюзы).
Приоритет каналов задается с помощью метрики для каждого адреса доступа координатора. По умолчанию метрика назначается автоматически. При назначении метрик нужно придерживаться следующих принципов:
 Метрика определяет задержку (в миллисекундах) отправки тестовых IP-пакетов при выполнении опроса для определения доступности адреса. Соединение устанавливается по тому адресу, доступность которого быстрее определяется в результате опроса.
 Опросы осуществляются в следующих случаях: o
При запуске ViPNet Client. o
При проверке соединения с узлом вручную. o
Периодически. Период опросов задается на координаторе в окне Настройка в разделе
Защищенная сеть > Дополнительные параметры. По умолчанию период опроса координаторами других координаторов равен 15 минутам, период опроса своего координатора клиентами равен 5 минутам.
 Адрес с наименьшей метрикой считается самым приоритетным. Соединение с координатором устанавливается по адресу с наименьшей метрикой всегда, когда этот адрес доступен.
 Если для всех адресов доступа узла метрика назначена автоматически, то значение метрики равно 0. Если для части адресов метрика назначена вручную, а для остальных — автоматически, то значение автоматически назначенной метрики всегда на 100 миллисекунд больше максимального значения метрики, присвоенной вручную.
 Чем больше разница между наименьшей метрикой и остальными метриками, тем меньше вероятность того, что в случае кратковременного сбоя самого приоритетного канала будет выбран менее приоритетный канал. При использовании менее приоритетного канала сетевой узел быстрее сможет вернуться к работе через самый приоритетный канал, когда он станет доступен.

ViPNet Client 4. Руководство пользователя |
104
 Если все метрики равны, то для работы будет выбран тот канал, через который соединение с координатором будет установлено быстрее. После того как канал выбран, определение доступности других каналов связи выполняется только при потере соединения по текущему каналу. Этот же механизм действует в случае, если выбран канал связи с наименьшей метрикой.
 Если хотя бы для одного адреса доступа значение метрики задано вручную и выбран не самый приоритетный канал, то определение доступности других каналов связи с целью возвращения к каналу с наименьшей метрикой начнется одновременно с периодическим опросом по выбранному каналу.
 После определения канала доступа текущий адрес доступа отобразится в окне свойств координатора в первой строке списка IP-адресов на вкладке Межсетевой экран.
Чтобы назначить метрики для адресов доступа к координатору:
1 Выберите раздел Защищенная сеть и дважды щелкните координатор.
2 В окне Свойства узла откройте вкладку Межсетевой экран.
3 В случае необходимости настройте параметры доступа к координатору через межсетевой экран (см.
Настройка доступа к защищенным узлам на стр. 99).
4 Чтобы назначить IP-адресу доступа метрику, выберите в списке адрес и нажмите кнопку
Изменить.
Рисунок 39. Назначение метрики
5 В появившемся окне установите флажок Назначить метрику и в поле рядом введите значение метрики в миллисекундах (допустимые значения от 0 до 9999), после чего нажмите кнопку OK.
Рассмотрим пример использования метрики. Предположим, координатор имеет четыре адреса доступа по каналам связи А, В, С и D. Требуется задать метрики для этих каналов.
Пусть каналы имеют следующий приоритет:
1 А — самый быстрый и безопасный канал. Используется в первую очередь.
2 С и D — безопасные, но менее быстрые каналы. Используются, если канал А недоступен.
3 B — менее безопасный канал. Используется в последнюю очередь.
Чтобы канал A стал самым приоритетным, зададим для него самую маленькую метрику, например,
1. Для канала B зададим максимальную метрику 9999, так как работа через этот канал нежелательна. Для каналов C и D зададим одинаковую метрику, причем такую, чтобы разница с метрикой для канала А была небольшой, например, 500.
При указанных значениях метрик канал А будет использоваться всегда, когда доступен. Если в момент проверки он недоступен или его качество ухудшилось (он стал медленнее), то соединение

ViPNet Client 4. Руководство пользователя |
105 с координатором будет установлено по каналу С или D. И только в крайнем случае, если в момент проверки каналы А, С или D недоступны или их качество значительно ухудшилось, для работы может быть выбран канал В.
Если для соединения с координатором используются каналы В, С или D, то по истечении периода опроса, при перезапуске ViPNet Client или при проверке соединения с координатором сетевой узел будет пытаться установить соединение с координатором по каналу А. Чем меньше период опроса, тем быстрее происходит переход на другой канал в случае сбоев и возвращение на более приоритетный канал.

ViPNet Client 4. Руководство пользователя |
106
Настройка доступа к туннелируемым узлам
Если настройки параметров туннелирования для всех координаторов были сделаны в программе
ViPNet Administrator, то в программе ViPNet Client на сетевом узле ничего дополнительно настраивать не требуется. Сетевой узел сможет устанавливать соединения с туннелируемыми узлами.
Если предварительных настроек не было, настройте параметры соединения: