Файл: Руководство пользователя ао ИнфоТеКС.pdf

ViPNet Client 4. Руководство пользователя |
90 сети ViPNet из гостиниц или других общественных мест. В таком случае весь IP-трафик может передаваться через TCP-туннель, настроенный на сервере соединений узла, являющегося инициатором соединения. При настройке TCP-туннеля на сервере соединений
(см. глоссарий, стр. 385) может быть указан произвольный порт. По умолчанию используется порт 443.
Рисунок 33. Сетевые узлы соединяются через межсетевой экран
На сервере соединений полученные IP-пакеты извлекаются из TCP-туннеля и передаются дальше на узел назначения по UDP-протоколу.

ViPNet Client 4. Руководство пользователя |
91
Принципы осуществления соединений в защищенной сети
Клиентские узлы в сети ViPNet автоматически выполняют соединения с другими узлами по кратчайшим доступным маршрутам. Для установки соединений они используют серверы соединений
(см. глоссарий, стр. 385). Информацию о других узлах, параметрах доступа и их активности в данный момент клиенты получают от своего сервера IP-адресов
(см. глоссарий, стр. 385). По умолчанию сервер IP-адресов является сервером соединений для клиента, но при необходимости сервером соединений может быть назначен другой координатор.
Параметры подключения к сети определяются клиентами автоматически также с помощью серверов соединений.
Организация соединений между клиентскими узлами осуществляется следующим образом:
 Перед установкой соединения с другим узлом клиент определяет канал доступа к своему серверу соединений. Если клиент определил, что работает через устройство NAT, то он продолжает поддерживать канал путем периодической отправки на сервер IP-пакетов.
Интервал отправки IP-пакетов на сервер соединений по умолчанию равен 25 секундам. Этого, как правило, достаточно для работы через большинство устройств NAT. При необходимости интервал (тайм-аут) может быть изменен.
 После того как связь между клиентом и его сервером соединений будет установлена, клиент начинает устанавливать соединение с другим узлом. Он начинает передавать тестовые
IP-пакеты удаленному узлу через свой сервер соединений. Одновременно с этим клиент передает тестовые IP-пакеты на сервер соединений удаленного узла и напрямую на удаленный узел.
 Если тестовые IP-пакеты дошли до удаленного узла, то удаленный узел регистрирует соединение и начинает ответный IP-трафик передавать напрямую. Клиент при получении ответного IP-трафика от удаленного узла свой последующий IP-трафик ему также начинает передавать напрямую.
Если тестовые IP-пакеты дошли только до сервера соединений удаленного узла, то сервер соединений регистрирует это соединение и отправляет напрямую клиенту ответные IP-пакеты удаленного узла.
То есть с удаленным узлом устанавливается прямое соединение или соединение через его сервер соединений. Если ответный IP-трафик так и не поступил от удаленного узла или его сервера соединений, то клиент по-прежнему осуществляет соединение с удаленным узлом через свой сервер соединений.

ViPNet Client 4. Руководство пользователя |
92
Рисунок 34. Взаимодействие между сетевыми узлами
Таким образом, если существует возможность, узлы устанавливают взаимодействие друг с другом по кратчайшим маршрутам без участия координаторов, за счет чего повышается скорость обмена шифрованным IP-трафиком и снижается нагрузка на координаторы.
Примечание. Описанный порядок установления соединения применим в полном объеме только в том случае, если на всех узлах используется ПО ViPNet версии не ниже 4.2.х.
Кроме этого, существуют следующие особенности при установлении соединений в сети:
 Если узлы находятся в маршрутизируемой сети, то соединение между клиентами будет производиться в соответствии с заданными маршрутами через шлюзы сети, а не координаторы.
 Если удаленный узел, с которым устанавливается соединение, не расположен за устройством
NAT, то информация о возможности прямого доступа к нему запоминается и при следующих соединениях с этим узлом, если не изменилось его местоположение, тестовые IP-пакеты не отправляются, IP-трафик начинает сразу передаваться по прямому маршруту.
 Если клиенты, между которыми устанавливается соединение, расположены за устройствами с динамической трансляцией адресов, то они также в состоянии соединиться друг с другом напрямую. Это происходит за счет того, что серверы соединений передают клиентам информацию об IP-адресах и портах, по которым они могут получить доступ к другим узлам через устройства NAT. Данную информацию серверы определяют по полученным от клиентов
IP-пакетам.
Имея эту информацию, клиенты отправляют друг другу тестовые IP-пакеты на зарегистрированные IP-адреса и порты. Если тестовые пакеты будут получены хотя бы одной стороной, весь IP-трафик начинает передаваться между клиентами напрямую. То есть технология установления прямого соединения между клиентами будет применена, если хотя бы одно из устройств NAT при отправке IP-пакетов от узла по разным адресам сохраняет для данного узла выделенный порт.

ViPNet Client 4. Руководство пользователя |
93
Прямое соединение между клиентами будет невозможно, если устройства NAT обоих клиентов при отправке IP-пакетов от них по разным адресам каждый раз выделяют случайный порт.
Таким образом работает так называемый симметричный NAT. В этом случае соединение между двумя такими клиентами установится через один из серверов соединений.
 Возможность прямого соединения с удаленным узлом, стоящим за устройством с динамической трансляцией адресов, сохраняется по умолчанию в течение 75 секунд (трех тайм-аутов или интервалов отправки IP-пакетов) с момента окончания предыдущего соединения.
 Если клиент расположен за устройством со статической трансляцией адресов, то в его настройках необходимо зафиксировать нужный порт инкапсуляции UDP-пакетов. В противном случае порт будет изменяться, а вследствие этого соединение клиента с другими узлами будет невозможно.

ViPNet Client 4. Руководство пользователя |
94
Использование виртуальных
IP-адресов
Технология виртуальных адресов позволяет решить проблему с пересечением IP-адресов в локальных и глобальных сетях. Кроме того, виртуальные адреса можно использовать для настройки правил доступа к ресурсу. Поскольку IP-адрес используется для идентификации пользователя, то одной из сетевых угроз является подделка IP-адреса. Однако в сети ViPNet подделка адреса невозможна. В момент приема пакета из сети ViPNet-драйвер подставляет вместо реального адреса отправителя соответствующий виртуальный адрес, затем пакет передается приложению.
Это происходит только в случае успешной расшифровки пакета на ключах отправителя, то есть после идентификации отправителя пакета. Это обеспечивает защиту от подмены адреса отправителя и надежное разграничение доступа к ресурсам на основе виртуальных адресов.
Каждый сетевой узел ViPNet автоматически формирует один или несколько виртуальных
IP-адресов для каждого сетевого узла ViPNet и туннелируемого узла, с которым он связан. Каждому реальному адресу узла ставится в соответствие виртуальный IP-адрес. То есть число формируемых виртуальных адресов зависит от числа реальных адресов узла и числа туннелируемых этим узлом адресов.
У каждого сетевого узла собственный список виртуальных адресов для других узлов. Все приложения при работе в сети могут использовать эти виртуальные адреса для соединения с соответствующими узлами. ViPNet-драйвер подменяет адреса в момент отправки и получения
IP-пакетов (включая пакеты служб DNS, WINS, NetBIOS, SCCP, SIP и другие).
По умолчанию сетевой узел автоматически использует виртуальные адреса для соединения с другими сетевыми узлами, если эти узлы недоступны по широковещательным IP-адресам. Для туннелируемых узлов по умолчанию используются реальные IP-адреса. При необходимости можно принудительно установить для любых узлов реальную или виртуальную видимость.
Общие принципы назначения виртуальных адресов
По умолчанию начальный адрес для генератора виртуальных адресов — 11.0.0.1 (маска подсети:
255.0.0.0). Начальный адрес можно изменить в окне

ViPNet Client 4. Руководство пользователя |
95
Примечание. Одиночный туннелируемый адрес — это адрес, который явно (а не в составе диапазона адресов) указан в настройках туннелируемых адресов узла.
Следует учитывать, что по умолчанию для виртуальных адресов используется один из интернет-диапазонов. Поэтому при взаимодействии узла с открытыми ресурсами интернета может возникнуть конфликт, если у открытого ресурса IP-адрес совпадет с виртуальным адресом одного из узлов сети ViPNet. Соединение с таким открытым ресурсом будет невозможно. В этом случае доступ к этому ресурсу можно настроить одним из способов:
 сменить диапазон виртуальных адресов;
 работать с ресурсом через прокси-сервер.
При этом работать с защищенными узлами через прокси-сервер нельзя. Поэтому при использовании прокси-сервера требуется IP-адреса защищенных узлов указать в качестве исключений.
Виртуальные адреса сетевых узлов отображаются на вкладке IP-адреса в окне Свойства узла для каждого сетевого узла. Виртуальные адреса туннелируемых узлов отображаются на вкладке
Туннель в окне Свойства узла для координатора, осуществляющего туннелирование.
Виртуальные адреса для сетевых узлов закрепляются не за конкретными реальными адресами, а за уникальными идентификаторами сетевых узлов, присвоенными в ViPNet Центр управления сетью.
Виртуальные адреса для одиночных туннелируемых узлов закрепляются за каждым реальным туннелируемым IP-адресом. Виртуальные адреса закрепляются за сетевыми узлами и одиночными туннелируемыми адресами до тех пор, пока сетевые узлы или туннелируемые адреса не будут удалены.
Внимание! Чтобы избежать ошибок при назначении начальных адресов для генератора виртуальных адресов, следует иметь в виду следующее:

Значение первого (младшего) октета должно быть в диапазоне 1–254.

Значение четвертого октета должно быть в диапазоне 1–239.

Значение второго и третьего октетов должно быть в диапазоне 0–255.
Вновь добавленным сетевым узлам, реальным IP-адресам узлов и одиночным туннелируемым адресам ставятся в соответствие новые свободные виртуальные адреса. Виртуальные адреса, выделенные для туннелируемых диапазонов адресов, могут измениться при добавлении новых диапазонов туннелируемых адресов.
При смене начального адреса для генератора виртуальных адресов все виртуальные адреса формируются заново.

ViPNet Client 4. Руководство пользователя |
96
Настройка подключения к защищенной сети
Для подключения клиента к защищенной сети ViPNet в общем случае не требуется никаких настроек. Дополнительные настройки при подключении могут быть нужны только в некоторых особых ситуациях. Например, вы со своим мобильным компьютером подключаетесь к локальной сети другой организации. В этой сети нет доступа к вашему серверу соединений
(см. глоссарий, стр. 385), но в ней есть координатор, имеющий связь с вашим узлом. В этом случае в настройках подключения к сети ViPNet вам потребуется изменить сервер соединений.
Совет. Если вы часто подключаетесь к другой локальной сети, то для удобства вы можете создать конфигурацию, в которой этот вариант настройки подключения будет сохранен. Информацию по созданию конфигурации см. в разделе
Управление конфигурациями программы
(на стр. 199).
Выбрать другой сервер соединений вы также можете, если ваш координатор по каким-то причинам оказался недоступным.
Чтобы назначить сервер соединений:
1 В меню Сервис выберите пункт Настройка приложения.
2 В окне Настройка выберите раздел Защищенная сеть.
3 В списке Сервер соединений выберите координатор, с помощью которого клиент будет устанавливать соединения с другими узлами. Если нужного координатора нет в списке, нажмите кнопку и выберите координатор в окне Выбор сетевого узла.
Этот координатор должен быть доступен либо напрямую, либо через межсетевой экран со статической трансляцией адресов.
4 Нажмите кнопку Применить.
Если необходимо, нажмите кнопку Показать дополнительные настройки и укажите:
 Весь трафик направлять через сервер соединений.
Направлять IP-трафик через сервер соединений может потребоваться в том случае, если есть необходимость в контроле всего передаваемого IP-трафика. При этом стоит учитывать, что передача IP-трафика через сервер соединений может привести к существенному снижению скорости обмена данными между узлами.
 Если требуется установить клиент за межсетевой экран со статической трансляцией адресов, установите флажок Зафиксировать порт UDP и в поле ниже укажите порт инкапсуляции
UDP-пакетов. Для этого порта на устройстве NAT должно быть создано соответствующее статическое правило.