Руководство пользователя 19912012 оао ИнфоТеКС

ViPNet Client Монитор 3.2. Руководство пользователя
101
Рисунок 50: Подключение клиента через МЭ с динамической трансляцией адресов
5 Из списка Координатор для организации соединений с внешними узлами выберите координатор для входящих соединений. Этот координатор должен быть доступен либо напрямую, либо через межсетевой экран со статической трансляцией адресов.
Чтобы поддерживать соединение в активном состоянии, клиент периодически посылает UDP-пакеты на свой координатор входящих соединений. По умолчанию интервал отправки пакетов равен 25 секундам. При необходимости это значение можно изменить в поле Допустимый таймаут отсутствия трафика. Установленное значение не должно превышать время существования динамического правила на
NAT-устройстве.
6 Если требуется направлять весь входящий и исходящий трафик через координатор входящих соединений, установите флажок Весь трафик с внешними сетевыми
узлами направлять через координатор.
Примечание. Если установлен этот флажок, весь входящий и исходящий трафик будет направляться через координатор входящих соединений. Это может привести к существенному снижению скорости обмена данными. Поэтому данный режим следует использовать только в определенных ситуациях (см.
«
Особые случаи использования различных типов подключения
» на стр. 107).
7 Чтобы сохранить настройки, нажмите кнопку Применить.

ViPNet Client Монитор 3.2. Руководство пользователя
102
Если при работе с некоторыми DSL-модемами не проходит передача длинных пакетов, в программе ViPNet Монитор в окне Настройка в подразделе Защищенная сеть >
Дополнительные параметры можно уменьшить значение MSS (максимальный размер сегмента).
Рисунок 51: Настройка дополнительных параметров

ViPNet Client Монитор 3.2. Руководство пользователя
103
Подключение через межсетевой экран со статической трансляцией адресов
О подключении через межсетевой экран со статической
трансляцией адресов
На абонентском пункте данный тип подключения следует использовать только в том случае, если в локальной сети нет координатора или невозможно использовать координатор в качестве межсетевого экрана, а соединение с внешней сетью происходит через межсетевой экран, на котором можно настроить статические правила трансляции адресов.
Рисунок 52: Подключение через МЭ со статической трансляцией адресов
Для правильной работы подключения через межсетевой экран Со статической
трансляцией адресов адрес используемого межсетевого экрана должен быть указан в сетевых настройках ОС абонентского пункта в качестве шлюза по умолчанию. На межсетевом экране следует настроить статические правила трансляции адресов:

Пропускать исходящие UDP-пакеты с адресами и портами абонентских пунктов, находящихся за межсетевым экраном;

Пропускать и перенаправлять входящие UDP-пакеты с портом назначения, заданным в настройках абонентских пунктов.

ViPNet Client Монитор 3.2. Руководство пользователя
104
Внимание! Если несколько абонентских пунктов используют один и тот же межсетевой экран со статической трансляцией адресов, для каждого абонентского пункта должен быть назначен собственный номер порта UDP. В случае использования несколькими абонентскими пунктами одного и того же порта возникают конфликты.
Настройка подключения
Чтобы настроить подключение абонентского пункта через межсетевой экран со статической трансляцией адресов:
1 В окне программы ViPNet Монитор в меню Сервис выберите пункт Настройки.
2 На панели навигации окна Настройка выберите раздел Защищенная сеть.
3 Установите флажок Использовать межсетевой экран.
4 Из списка Тип межсетевого экрана выберите Со статической трансляцией
адресов.
5 При необходимости измените значение в поле Порт инкапсуляции в UDP-пакеты.
По умолчанию задан порт номер 55777. Изменять номер порта нужно в том случае, если несколько сетевых узлов ViPNet подключены через один межсетевой экран.
Каждый сетевой узел должен иметь собственный номер порта.
Рисунок 53: Подключение клиента через МЭ со статической трансляцией адресов

ViPNet Client Монитор 3.2. Руководство пользователя
105
6 При необходимости установите флажок Зафиксировать внешний IP-адрес
доступа через межсетевой экран и выберите требуемый IP-адрес из списка
Внешний IP-адрес.
Рекомендуется использовать эту настройку, только если межсетевой экран имеет несколько внешних адресов и требуется направлять входящие пакеты через определенный адрес независимо от того, с какого адреса были отправлены исходящие пакеты (см. «
Фиксирование внешнего IP-адреса доступа через межсетевой экран
» на стр. 105).
7 Чтобы сохранить настройки, нажмите кнопку Применить.
Фиксирование внешнего IP-адреса доступа через
межсетевой экран
Если внешний IP-адрес доступа не зафиксирован, он определяется по внешним параметрам IP-пакета. Это значит, что внешние узлы будут отправлять ответные IP- пакеты на тот IP-адрес, с которого был принят исходный пакет. Если установлен флажок
Зафиксировать внешний IP-адрес доступа через межсетевой экран, внешние узлы будут отправлять ответные пакеты для рассматриваемого сетевого узла на указанный IP- адрес независимо от внешних параметров пакета. IP-адрес отправителя пакета не учитывается и заменяется фиксированным IP-адресом доступа. При этом на межсетевом экране должны быть настроены правила трансляции адресов, обеспечивающие доставку ответных пакетов получателю.
Внимание! Рекомендуется фиксировать внешний IP-адрес доступа только в том случае, если межсетевой экран имеет несколько внешних IP-адресов, и по какой- либо причине необходимо направлять все входящие пакеты через определенный адрес межсетевого экрана.
Рассмотрим следующий пример. IP-пакет имеет параметры:
IP-адрес отправителя: 192.168.2.1
IP-адрес получателя: 79.15.89.11
При прохождении пакета через межсетевой экран IP-адрес отправителя будет заменен на публичный адрес межсетевого экрана, например 68.89.90.110.
Если флажок Зафиксировать внешний IP-адрес доступа через межсетевой экран снят, ответный IP-пакет будет иметь следующие параметры:
IP-адрес отправителя: 79.15.89.11

ViPNet Client Монитор 3.2. Руководство пользователя
106
IP-адрес получателя: 68.89.90.110
Когда ответный пакет будет принят на межсетевом экране, адрес получателя будет заменен на 192.168.2.1.
Если флажок Зафиксировать внешний IP-адрес доступа через межсетевой экран установлен и в поле Внешний IP-адрес указан адрес 78.56.89.43, то ответный пакет будет иметь следующие параметры:
IP-адрес отправителя: 79.15.89.11
IP-адрес получателя: 78.56.89.43
На межсетевом экране следует настроить правила трансляции адресов, направляющие такие ответные пакеты на локальный адрес получателя (192.168.2.1).

ViPNet Client Монитор 3.2. Руководство пользователя
107
Особые случаи использования различных типов подключения
В некоторых случаях необходимо выбрать тип подключения, не соответствующий рекомендациям предыдущих разделов.
Если абонентский пункт доступен по публичному IP-адресу и для него выбран тип межсетевого экрана Со статической трансляцией адресов (при этом ни в коем случае не рекомендуется фиксировать внешний адрес доступа), то все остальные связанные с ним сетевые узлы будут уведомлены о том, что этот абонентский пункт будто бы использует несуществующий межсетевой экран. В этом случае абонентский пункт будет доступен по виртуальному IP-адресу (см. «
Виртуальные IP-адреса
» на стр. 110) и все его соединения с другими сетевыми узлами будут осуществляться только по протоколу UDP.
Это бывает удобно, так как некоторые интернет-провайдеры могут блокировать соединения по протоколу IP/241. Тот же результат (возможность использовать виртуальные адреса) можно получить, используя межсетевой экран С динамической
трансляцией адресов, однако это порождает дополнительный трафик через сервер IP- адресов. Поэтому для перехода к использованию виртуальных адресов первый вариант предпочтительнее.
Если сетевой узел находится в одном сегменте сети с координатором, который установлен на границе этого сегмента, то целесообразно установить для этого сетевого узла режим работы через координатор (использовать этот координатор в качестве межсетевого экрана). Вместе с тем, сетевые узлы будут работоспособны, если выбрать для них подключение через межсетевой экран С динамической трансляцией адресов или Со статической трансляцией адресов. В этом случае сетевые узлы, которые могут обмениваться между собой широковещательными пакетами, будут устанавливать соединения друг с другом только по реальным IP-адресам. Для обмена шифрованным трафиком с сетевыми узлами ViPNet, которые недоступны для широковещательных пакетов, в качестве шлюза по умолчанию в сетевых настройках ОС Windows на абонентских пунктах требуется задать координатор, находящийся на границе сегмента сети. Это позволяет опытному администратору создавать различные правила маршрутизации для сегментирования сети и организации разграничения доступа к информации по IP-адресу.
Если удаленные пользователи (например, работающие из дома) подключаются к сети через различные межсетевые экраны (на которых невозможно задать статические правила трансляции адресов), им следует выбрать тип межсетевого экрана С динамической
трансляцией адресов и установить флажок Весь трафик с внешними сетевыми

ViPNet Client Монитор 3.2. Руководство пользователя
108
узлами направлять через координатор. В результате взаимодействие с сетевыми узлами ViPNet будет более стабильным, хотя при этом возможно некоторое замедление обмена данными за счет концентрации трафика на сервере IP-адресов.

ViPNet Client Монитор 3.2. Руководство пользователя
109
Настройка доступа к узлам сети ViPNet
Виртуальные IP-адреса
110
Настройка доступа к защищенным узлам
113
Использование псевдонимов для защищенных узлов
117
Настройка доступа к туннелируемым узлам
119
Настройка приоритета IP-адресов доступа к координатору
121
3

ViPNet Client Монитор 3.2. Руководство пользователя
110
Виртуальные IP-адреса
О виртуальных IP-адресах
Технологию виртуальных адресов следует использовать, когда участвующие в соединении сетевые узлы из разных подсетей имеют одинаковые частные IP-адреса.
Такие ситуации случаются часто, так как многие устройства (точки доступа Wi-Fi, xDSL и другие) вынуждают использовать в локальных сетях стандартные частные адреса типа
192.168.x.x. Виртуальные адреса позволяют эффективно решить эту проблему.
Также виртуальные адреса можно использовать, чтобы установить правила доступа к ресурсу на основе виртуальных адресов. Для чего это нужно? Известно, что если IP-адрес используется для идентификации пользователя, то одной из сетевых угроз является подделка IP-адреса. Однако в сети ViPNet подделка адреса невозможна. В момент приема пакета из сети ViPNet-драйвер передает его приложению после подстановки вместо реального адреса отправителя соответствующего виртуального адреса. Это происходит только в случае успешной расшифровки пакета на ключах отправителя, то есть после идентификации отправителя пакета. Это обеспечивает защиту от подмены адреса отправителя и надежное разграничение доступа к ресурсам на основе виртуальных адресов.
Каждый сетевой узел ViPNet автоматически формирует один или несколько виртуальных
IP-адресов для каждого сетевого узла, с которым он связан. Число формируемых виртуальных адресов зависит от числа реальных адресов и числа туннелируемых адресов узла. Виртуальные адреса никак не зависят от реальных адресов и определяются уникальными идентификаторами сетевых узлов.
Каждый сетевой узел имеет свой собственный список виртуальных адресов для других узлов ViPNet и туннелируемых узлов. Все приложения при работе в сети могут использовать эти виртуальные адреса для соединения с соответствующими узлами.
ViPNet-драйвер подменяет адреса в момент отправки и получения IP-пакетов (включая пакеты служб DNS, WINS, NetBIOS и так далее).
По умолчанию сетевой узел использует виртуальные адреса для соединения с другими сетевыми узлами, если эти узлы работают через межсетевой экран (см. «
Принципы осуществления соединений в сети ViPNet
» на стр. 89). Реальные IP-адреса всегда используются для соединения с узлами, от которых данный узел получает широковещательные пакеты, а также в ряде других случаев, когда не ожидается конфликта IP-адресов.

ViPNet Client Монитор 3.2. Руководство пользователя
111
Сетевой узел автоматически начинает взаимодействовать с другим узлом по реальным адресам, если этот узел перестает использовать межсетевой экран либо от него поступают широковещательные пакеты.
Рассмотрим следующий пример. Сетевой узел А соединяется с сетевым узлом B по реальному IP-адресу. Затем узел B меняет тип подключения к сети и начинает использовать межсетевой экран. Узел A начнет автоматически устанавливать соединения с узлом B по виртуальному адресу, только если в настройках узла А включено использование виртуального адреса для узла В.
По умолчанию сетевые узлы ViPNet для соединения с туннелируемыми узлами всегда используют реальные адреса. Чтобы начать использование виртуальных адресов, нужно вручную включить соответствующую функцию.
Общие принципы назначения виртуальных адресов
По умолчанию начальный адрес для генератора виртуальных адресов – 11.0.0.1 (маска подсети: 255.0.0.0). Начальный адрес можно изменить в окне Настройка, в разделе
Защищенная сеть > Дополнительные параметры. Автоматическое формирование виртуальных IP-адресов для сетевых узлов ViPNet и одиночных туннелируемых адресов начинается с этого адреса.
Для диапазонов туннелируемых адресов начальным виртуальным адресом по умолчанию является 12.0.0.1 либо адрес, в котором значение первого октета на 1 больше, чем значение первого октета начального адреса для генератора виртуальных адресов.
Примечание. Одиночный туннелируемый адрес – это адрес, который явно (а не в составе диапазона адресов) указан в настройках туннелируемых адресов узла.
Виртуальные адреса сетевых узлов отображаются на вкладке IP-адреса в окне Свойства
узла для каждого сетевого узла. Виртуальные адреса туннелируемых узлов отображаются на вкладке Туннель в окне Свойства узла для координатора, осуществляющего туннелирование.
Виртуальные адреса для сетевых узлов закрепляются не за конкретными реальными адресами, а за уникальными идентификаторами сетевых узлов, присвоенными в ViPNet
Центр управления сетью или ViPNet Manager. Виртуальные адреса для одиночных туннелируемых узлов закрепляются за каждым реальным туннелируемым IP-адресом.
Виртуальные адреса закрепляются за сетевыми узлами и одиночными туннелируемыми адресами до тех пор, пока сетевые узлы и туннелируемые адреса не будут удалены.

ViPNet Client Монитор 3.2. Руководство пользователя
112
Внимание! Чтобы избежать ошибок при назначении начальных адресов для генератора виртуальных адресов, следует иметь в виду следующее:

Значение первого октета должно быть в диапазоне 1–254.

Значение четвертого октета должно быть в диапазоне 1–239.

Значение второго и третьего октетов должно быть в диапазоне 0–255.
При обновлении адресных справочников, при изменении реальных адресов какого-либо узла или при добавлении одиночного туннелируемого адреса сформированные виртуальные адреса не изменяются. Вновь добавленным сетевым узлам, реальным IP- адресам узлов и одиночным туннелируемым адресам ставятся в соответствие новые свободные виртуальные адреса. Виртуальные адреса, выделенные для туннелируемых диапазонов адресов, могут измениться при добавлении новых диапазонов туннелируемых адресов.
При смене начального адреса для генератора виртуальных адресов все виртуальные адреса формируются заново.

ViPNet Client Монитор 3.2. Руководство пользователя
113
Настройка доступа к защищенным узлам
На абонентском пункте достаточно настроить параметры доступа только для сервера IP- адресов. Если возможно установить соединение с сервером IP-адресов, то все необходимые параметры доступа к другим сетевым узлам автоматически запрашиваются у сервера IP-адресов.
Примечание. Если IP-адреса и параметры подключения координаторов были заданы в программе ViPNet Administrator или ViPNet Manager, то в программе
ViPNet Монитор на сетевом узле не требуется выполнять никаких дополнительных настроек.
Чтобы настроить параметры доступа к защищенному узлу ViPNet, выполните следующие действия:
1 В окне программы ViPNet Монитор на панели навигации выберите раздел
Защищенная сеть.
2 В разделе Защищенная сеть дважды щелкните нужный сетевой узел.
3 В окне