Руководство пользователя 19912012 оао ИнфоТеКС

ViPNet Client Монитор 3.2. Руководство пользователя
87
Примечание. В 64-разрядных операционных системах функция Watch Dog не поддерживается.

ViPNet Client Монитор 3.2. Руководство пользователя
88
Настройка параметров подключения к сети
Принципы осуществления соединений в сети ViPNet
89
Выбор сервера IP-адресов
91
Подключение без использования межсетевого экрана
93
Подключение через координатор
95
Подключение через межсетевой экран с динамической трансляцией адресов
98
Подключение через межсетевой экран со статической трансляцией адресов
103
Особые случаи использования различных типов подключения
107
2

ViPNet Client Монитор 3.2. Руководство пользователя
89
Принципы осуществления соединений в сети ViPNet
Узлы сети ViPNet могут быть подключены к внешней сети непосредственно либо взаимодействовать с внешней сетью через различные межсетевые экраны (МЭ), в том числе ViPNet-координатор.
Информацию об узлах ViPNet, параметрах доступа и их активности в данный момент каждый компьютер получает от своего сервера IP-адресов (см. «
Выбор сервера IP- адресов
» на стр. 91) или от других координаторов (если узел сам является координатором). Таким образом, координатор отвечает за сбор и рассылку информации о сетевых узлах на узлы, для которых он выполняет функции сервера IP-адресов.
Сетевые узлы ViPNet могут располагаться внутри локальных сетей любого типа, поддерживающих IP-протокол. Способ подключения к сети может быть любой: сеть
Ethernet, PPPoE через XDSL-подключение, PPP через подключение Dial-up или ISDN, сеть сотовой связи GPRS или UMTS, устройства Wi-Fi, сети MPLS или VLAN. ПО
ViPNet автоматически поддерживает разнообразные протоколы канального уровня. Для создания защищенных VPN-туннелей между сетевыми узлами используются IP- протоколы двух типов (IP/241 и IP/UDP), в которые упаковываются пакеты любых других
IP-протоколов.
При взаимодействии любых сетевых узлов между собой, если между ними отсутствуют межсетевые экраны с преобразованием адресов, используется протокол IP/241. Этот протокол более экономичен, так как не имеет UDP-заголовка размером 8 байт. Исходный пакет после шифрования упаковывается в пакет IP-протокола номер 241.
Рисунок 43: Между сетевыми узлами нет межсетевых экранов
Если между сетевыми узлами находится межсетевой экран, выполняющий преобразование сетевых адресов (в том числе координатор ViPNet), автоматически используется протокол UDP, который позволяет IP-пакетам проходить через межсетевые экраны. Исходный пакет после шифрования упаковывается в UDP-пакет. Для настройки соединения между узлами на межсетевом экране необходимо указать разрешающее

ViPNet Client Монитор 3.2. Руководство пользователя
90
правило для UDP-протокола с фиксированным портом источника. Порт назначения в общем случае не задается, поскольку он регистрируется по пакетам от узла получателя.
Рисунок 44: Сетевые узлы соединяются через межсетевой экран
На сетевых узлах ViPNet можно настроить следующие типы подключения к внешней сети:
1 Непосредственное подключение к внешней сети, межсетевой экран не используется
(см. «
О подключении без использования межсетевого экрана
» на стр. 93). В этом случае никаких настроек параметров межсетевого экрана выполнять не нужно.
2 Подключение через координатор, обеспечивающий трансляцию адресов для сетевых узлов ViPNet. Тип межсетевого экрана — Координатор (см. «
О подключении через координатор
» на стр. 95).
3 Подключение через межсетевой экран, на котором настройка статических правил трансляции адресов затруднительна или невозможна. Тип межсетевого экрана — С
динамической трансляцией адресов (см. «
О подключении через межсетевой экран с динамической трансляцией адресов
» на стр. 98).
4 Подключение через межсетевой экран, на котором возможна настройка статических правил трансляции адресов. Тип межсетевого экрана — Со статической
трансляцией адресов (см. «
О подключении через межсетевой экран со статической трансляцией адресов
» на стр. 103).
Чтобы избежать настройки типа подключения непосредственно на каждом сетевом узле, рекомендуется задать параметры подключения сетевых узлов централизованно в программе ViPNet Administrator или ViPNet Manager.

ViPNet Client Монитор 3.2. Руководство пользователя
91
Выбор сервера IP-адресов
Сервер IP-адресов — это координатор, от которого абонентский пункт получает информацию об IP-адресах, параметрах доступа и состоянии сетевых узлов, с которыми связан данный абонентский пункт.
В случае изменения IP-адреса абонентского пункта и параметров его подключения к сети новые данные отправляются на сервер IP-адресов. Периодически абонентский пункт подтверждает серверу IP-адресов свое присутствие в сети.
По умолчанию в качестве сервера IP-адресов установлен координатор, на котором данный абонентский пункт зарегистрирован в программе ViPNet Administrator или
ViPNet Manager, то есть сервер-маршрутизатор абонентского пункта. Рекомендуется использовать сервер IP-адресов по умолчанию, однако в случае необходимости в качестве сервера IP-адресов можно выбрать любой координатор своей сети, с которым связан данный абонентский пункт.
Чтобы изменить сервер IP-адресов, выполните следующие действия:
1 В окне программы ViPNet Монитор в меню Сервис выберите пункт Настройки.
2 На левой панели окна Настройка выберите раздел Защищенная сеть.
Рисунок 45: Выбор сервера IP-адресов

ViPNet Client Монитор 3.2. Руководство пользователя
92
3 В списке Сервер IP-адресов выберите координатор, который требуется назначить сервером IP-адресов.
Если нужного координатора нет в списке, нажмите кнопку и выберите координатор в окне Выбор сетевого узла.
Внимание! Не рекомендуется выбирать в качестве сервера IP-адресов координатор доверенной сети ViPNet (это возможно, если с другой сетью установлено межсетевое взаимодействие). Если выбрать сервер IP-адресов из другой сети ViPNet, абонентский пункт будет получать информацию о состоянии только тех сетевых узлов, которые принадлежат к сети сервера IP-адресов. В этом случае соединение с некоторыми узлами своей сети ViPNet может быть невозможно.
4 Чтобы сохранить настройки, нажмите кнопку Применить.
5 Убедитесь, что указаны верные параметры доступа к выбранному серверу IP- адресов (см. «
Настройка доступа к защищенным узлам
» на стр. 113).

ViPNet Client Монитор 3.2. Руководство пользователя
93
Подключение без использования межсетевого экрана
О подключении без использования межсетевого экрана
Данный тип подключения следует выбирать на сетевом узле, если он имеет хотя бы один
IP-адрес, доступный по общим правилам маршрутизации пакетов любым другим узлам, с которыми данный узел должен устанавливать соединения. Например, это может быть публичный IP-адрес.
Сетевые узлы, использующие такой тип подключения, всегда соединяются друг с другом напрямую по протоколу IP/241. При этом шифрованный трафик от таких клиентов к координаторам, а также к клиентам, использующим в качестве межсетевого экрана координаторы, всегда инкапсулируется в UDP-пакеты.
Внимание! Если на сетевом узле, который имеет частный IP-адрес внутри локальной сети и выходит в Интернет через межсетевой экран, настроено подключение без использования межсетевого экрана, то этот узел не сможет устанавливать соединения с сетевыми узлами ViPNet, расположенными вне локальной сети с ее системой частных IP-адресов.
Настройка подключения без использования
межсетевого экрана
Для настройки подключения без использования сетевого экрана:
1 В окне программы ViPNet Монитор в меню Сервис выберите пункт Настройки.
2 В окне Настройка выберите раздел Защищенная сеть.

ViPNet Client Монитор 3.2. Руководство пользователя
94
Рисунок 46: Подключение клиента без использования межсетевого экрана
3 Снимите флажок Использовать межсетевой экран и нажмите кнопку OK.

ViPNet Client Монитор 3.2. Руководство пользователя
95
Подключение через координатор
О подключении через координатор
Если на границе локальной сети в качестве шлюза установлен ViPNet-координатор, то для абонентских пунктов локальной сети рекомендуется выбрать этот координатор в качестве межсетевого экрана.
Внимание! Для правильной работы данного типа подключения необходимо, чтобы между абонентским пунктом и координатором не было никаких устройств, осуществляющих трансляцию адресов (NAT).
Если клиент использует в качестве межсетевого экрана координатор, то шифрованный трафик между этим клиентом и узлами, которые недоступны напрямую по их адресам, будет перенаправляться через координатор. В этом случае координатор играет роль криптошлюза — маршрутизатора для шифрованных пакетов с функцией трансляции адресов (осуществляется преобразование IP- и MAC-адресов).
Автоматическая маршрутизация шифрованных пакетов клиента через координатор осуществляется без изменения настроек протокола TCP/IP в операционной системе.
Настройки сетевого шлюза, используемого по умолчанию, после установки ПО ViPNet не изменяются. В результате маршрутизация нешифрованных пакетов также остается неизменной, и работа в сети может быть продолжена сразу после установки ПО ViPNet.
Новые маршруты создаются только для шифрованного IP-трафика.
Рисунок 47: Подключение абонентских пунктов через координатор

ViPNet Client Монитор 3.2. Руководство пользователя
96
В качестве межсетевого экрана можно выбрать координатор, не являющийся сервером IP- адресов для данного абонентского пункта.
Эта возможность может быть полезна для мобильного пользователя ViPNet, находящегося в чужой локальной сети. Для работы в сети ViPNet в обычном режиме мобильному пользователю достаточно выбрать в качестве межсетевого экрана координатор, напрямую доступный в этой локальной сети (при наличии связи с этим координатором).
Кроме того, обеспечивается своего рода резервирование криптошлюзов в сети. Если заданный координатор недоступен, то можно выбрать в списке другой подходящий координатор и продолжить работу.
Настройка подключения
Чтобы настроить подключение абонентского пункта через координатор:
1 В окне программы ViPNet Монитор в меню Сервис выберите пункт Настройки.
2 На панели навигации окна Настройка выберите раздел Защищенная сеть.
3 Установите флажок Использовать межсетевой экран.
4 Из списка Тип межсетевого экрана выберите Координатор.
5 По умолчанию в качестве межсетевого экрана будет выбран координатор, указанный в качестве сервера IP-адресов. При необходимости из списка
Координатор можно выбрать другой координатор. Например, мобильные пользователи ViPNet в разных сетях могут использовать в качестве межсетевого экрана разные координаторы.

ViPNet Client Монитор 3.2. Руководство пользователя
97
Рисунок 48: Подключение абонентского пункта через координатор
Примечание. Не изменяйте значение в списке Сервер IP-адресов, чтобы гарантированно получать от сервера IP-адресов полный список допустимых соединений (другие координаторы могут обладать неполной информацией).
6 Чтобы сохранить настройки, нажмите кнопку Применить.

ViPNet Client Монитор 3.2. Руководство пользователя
98
Подключение через межсетевой экран с динамической трансляцией адресов
О подключении через межсетевой экран с динамической
трансляцией адресов
Данный тип подключения для абонентского пункта следует выбирать в том случае, если в локальной сети нет координатора или невозможно использовать координатор в качестве межсетевого экрана, а соединение с внешней сетью происходит через межсетевой экран, на котором затруднительно настроить статические правила трансляции адресов.
Для правильной работы подключения через межсетевой экран С динамической
трансляцией адресов во внешней сети должен существовать координатор, доступный по публичному IP-адресу. Адрес используемого межсетевого экрана должен быть указан в сетевых настройках ОС абонентского пункта в качестве шлюза по умолчанию.
Соединение через межсетевой экран С динамической трансляцией адресов наиболее универсально и может быть использовано практически в любых ситуациях. Основное его назначение — обеспечить надежное двустороннее соединение с узлами, работающими через межсетевые экраны, при этом настройка статических правил трансляции адресов на межсетевых экранах затруднена или невозможна (в том числе и просто из-за отсутствия полномочий у пользователя). Такая ситуация типична при использовании простейших сетевых NAT-устройств, например, DSL-модемов, беспроводных точек доступа, а также при использовании общего доступа к подключению Интернет (ICS — Internet Connection
Sharing) в ОС Windows. Затруднительно также произвести настройки правил трансляции на межсетевых экранах, установленных у провайдера (в домашних сетях, сетях GPRS и других сетях, где провайдер предоставляет частный IP-адрес).
Все NAT-устройства обеспечивают пропускание UDP-трафика благодаря автоматическому созданию так называемых динамических NAT-правил для входящего трафика. Эти правила создаются на основании параметров исходящих пакетов, пропускаемых NAT-устройством.
Например, через NAT-устройство проходит несколько однотипных исходящих пакетов, для них создается динамическое правило. Входящие пакеты, параметры которых соответствуют этому динамическому правилу, пропускаются в течение определенного

ViPNet Client Монитор 3.2. Руководство пользователя
99
промежутка времени (таймаута) после прохождения последнего исходящего пакета. По истечении данного промежутка времени динамическое правило удаляется, и NAT- устройство начинает блокировать входящие пакеты.
Это означает, что внешний источник не может инициировать соединение с сетевым узлом, работающим через NAT-устройство. Внутренний узел должен время от времени передавать исходящий трафик внешнему узлу для сохранения динамического правила в активном состоянии.
Для преодоления этой проблемы на сетевом узле, работающем через NAT-устройство, нужно выбрать тип межсетевого экрана С динамической трансляцией адресов.
Одновременно должен существовать постоянно доступный ViPNet-координатор, расположенный во внешней сети (схема ниже). Назовем его координатором входящих соединений. Для внутреннего сетевого узла координатор входящих соединений служит сервером IP-адресов. Координатор входящих соединений должен быть доступен по публичному IP-адресу или через межсетевой экран со статической трансляцией адресов.
Координатор входящих соединений не должен работать через тот же межсетевой экран, что и сетевой узел.
Рисунок 49: Подключение через МЭ с динамической трансляцией адресов
Сетевой узел, работающий через NAT-устройство, периодически отправляет на свой координатор входящих соединений UDP-пакеты, чтобы поддерживать динамическое правило в активном состоянии. По умолчанию период отправки — 25 секунд. Это

ViPNet Client Монитор 3.2. Руководство пользователя
100
позволяет любому внешнему узлу ViPNet в любое время присылать на сетевой узел, работающий через NAT-устройство, IP-пакеты через координатор входящих соединений.
При этом ответные исходящие пакеты сетевой узел всегда направляет внешнему узлу напрямую, минуя свой координатор входящих соединений (если внешний узел ViPNet не использует МЭ C динамической трансляцией адресов). После получения первого пакета внешний узел, не использующий МЭ C динамической трансляцией адресов, также начинает передавать весь трафик напрямую на сетевой узел, работающий через
NAT-устройство. Таким образом, образуется прямой обмен UDP-трафиком между узлами
ViPNet.
Такая технология позволяет осуществлять постоянный доступ к ViPNet-узлам, работающим через NAT-устройства (так как динамические правила на NAT-устройстве не удаляются). Кроме того, обеспечивается высокая скорость обмена шифрованным трафиком, так как этот обмен использует координаторы входящих соединений только при инициализации, после чего весь обмен трафиком идет напрямую между узлами
(схема выше). Следует учитывать, что исходящий трафик от сетевого узла с типом МЭ