Файл: Руководство пользователя ао ИнфоТеКС.pdf

ViPNet Client 4. Руководство пользователя |
97
 Если требуется изменить интервал отправки IP-пакетов серверу соединений при работе через межсетевой экран с динамической трансляцией адресов, в поле Тайм-аут поддержки
соединений через устройства с динамическим NAT укажите новое значение. По умолчанию отправка IP-пакетов производится каждые 25 секунд. Как правило, этого интервала достаточно, чтобы поддерживать связь с сервером соединений при работе через большинство устройств
NAT.
 Выберите координатор в списке Сервер IP-адресов.
Внимание! Не изменяйте сервер IP-адресов без согласования с администратором сети ViPNet. Если в качестве сервера IP-адресов вы укажете координатор другой сети ViPNet, то на ваш узел поступит информация только об узлах этой сети. При этом узлы вашей сети будут недоступны.
Рисунок 35. Настройка подключения клиента к защищенной сети ViPNet
 Если требуется установить принудительный режим соединения с сервером IP-адресов через
TCP-туннель (см.
Протоколы соединений в защищенной сети на стр. 89), одновременно установите следующие флажки: o
Работать только через TCP-туннель. o
Весь трафик направлять через сервер соединений.
Например, это может быть полезно при подключении к интернету через канал связи, по которому TCP-пакеты передаются в более приоритетном порядке, чем UDP-пакеты.
 Если при работе с некоторыми устройствами NAT не проходит передача длинных пакетов, перейдите в подраздел Защищенная сеть > Дополнительные параметры и уменьшите значение MSS (максимальный размер сегмента).

ViPNet Client 4. Руководство пользователя |
98
Рисунок 36. Настройка дополнительных параметров
 Если вам требуется изменить системное время на вашем компьютере, в разделе
Дополнительные параметры в списке Устанавливать на компьютере время защищенной
сети ViPNet выберите значение Спрашивать или Не устанавливать. Следует учитывать, что при несовпадении системного времени на вашем компьютере и на вашем сервере соединений, доступ к защищенной сети ViPNet будет невозможен.
Данная настройка доступна только для уровня полномочий пользователя «Максимальный».
Подробнее см. «Классификация полномочий. Приложение к документации ViPNet».

ViPNet Client 4. Руководство пользователя |
99
Настройка доступа к защищенным узлам
Для соединения с другими узлами в сети ViPNet должны быть настроены параметры доступа. На клиенте достаточно настроить параметры доступа только для координатора, который является сервером IP-адресов и сервером соединений. При этом данная настройка требуется в том случае, если в программе ViPNet Administrator IP-адреса и параметры подключения координаторов не были заданы централизованно.
Необходимые параметры доступа к другим сетевым узлам будут автоматически получены у сервера IP-адресов после установления с ним связи. Вы можете их изменить, например, при возникновении конфликта IP-адресов. В других случаях изменять их не рекомендуется.
Чтобы настроить доступ к сетевому узлу:
1 Выберите раздел Защищенная сеть и дважды щелкните нужный сетевой узел.
2 В окне Свойства узла на вкладке IP-адреса добавьте в список реальный IP-адрес сетевого узла.
Автоматически новому адресу будет сопоставлен виртуальный IP-адрес.
Если вам не известен IP-адрес узла, то вы можете определить его по имени компьютера. Для этого нажмите кнопку Определить имя/IP-адрес и в появившемся окне выполните поиск
IP-адреса по указанному имени.
При добавлении IP-адреса будет автоматически выполнена его проверка на наличие конфликта с IP-адресами, уже заданными в списке, и IP-адресами других сетевых узлов (в том числе, туннелируемых), если для узлов не установлена видимость по виртуальным IP-адресам.
Данная проверка позволит избежать задания одинаковых IP-адресов. Если в ходе проверки будет обнаружен конфликт IP-адресов, появится соответствующее сообщение. Устраните конфликт IP-адресов (см.
Обнаружен конфликт IP-адресов или DNS-имен на стр. 285).
Вы также можете выполнить проверку на конфликт IP-адресов вручную. Для этого нажмите кнопку Проверить конфликты

ViPNet Client 4. Руководство пользователя |
100
Рисунок 37. Задание IP-адреса сетевого узла
3 В списке IP-адреса видимости узла укажите, по каким адресам должен быть доступен сетевой узел. По умолчанию IP-адреса видимости выбираются автоматически. Если возможен конфликт реальных IP-адресов с адресами других узлов в сети, в списке выберите
Виртуальные IP-адреса.
При изменении IP-адресов видимости в свойствах координатора вам будет предложено установить аналогичные IP-адреса видимости на всех узлах, использующих данный координатор в качестве транспортного сервера.
Примечание. Узлы ViPNet, для которых назначена роль VPN Client для мобильных
устройств, поддерживают доступ только по виртуальным адресам. Поэтому для них нет возможности установить видимость.
4 Если для доступа к сетевому узлу необходимо использовать DNS-имя, убедитесь, что узел доступен по этому имени в сети. Затем установите флажок Использовать DNS-имя и добавьте в список DNS-имя сетевого узла.
Если вам не известно DNS-имя узла, то вы можете определить его по IP-адресу компьютера.
Для этого нажмите кнопку Определить имя/IP-адрес и в появившемся окне выполните поиск по IP-адресу.
При добавлении DNS-имени будет автоматически выполнена его проверка на наличие конфликта с DNS-именами, уже заданными в программе. Если в ходе проверки будет обнаружен конфликт DNS-имен, устраните его (см.
Обнаружен конфликт IP-адресов или

ViPNet Client 4. Руководство пользователя |
101
DNS-имен на стр. 285). Вы также можете выполнить проверку на конфликт DNS-имен с помощью кнопки Проверить конфликты
Для любого узла можно задать несколько DNS-имен. При настройке параметров доступа к координатору DNS-имена узлов, туннелируемых этим координатором, также следует добавить в список на вкладке IP-адреса (см.
Настройка доступа к туннелируемым узлам на стр. 106).
Для клиента порядок DNS-имен в списке не имеет значения. Для координатора в первой строке списка нужно указать DNS-имя, соответствующее IP-адресу координатора. Подробная информация об использовании службы DNS в сети ViPNet см. в разделе
Настройка и использование служб имен DNS и WINS в сети ViPNet
(на стр. 111).
5 При настройке параметров доступа к координатору на вкладке Межсетевой экран добавьте
IP-адрес межсетевого экрана, если он используется. При необходимости укажите дополнительные IP-адреса. Если будет указано несколько IP-адресов доступа через межсетевой экран, то вы можете указать приоритет этих адресов с помощью метрик
(см.
Настройка приоритета IP-адресов доступа к координатору на стр. 103).
В поле Порт UDP укажите порт доступа через межсетевой экран.
Рисунок 38. Настройка доступа к координатору через межсетевой экран
6 При настройке параметров доступа к координатору на вкладке Межсетевой экран в поле
Порт доступа для TCP-туннеля вы можете указать порт, по которому ваш узел сможет соединяться с координатором по TCP-протоколу (через TCP-туннель). Порт рекомендуется задавать в том случае, если в свойствах координатора он не задан, но при этом известно, что на данном координаторе настроен TCP-туннель для соединений по TCP-протоколу.

ViPNet Client 4. Руководство пользователя |
102
Как правило, информация о номере порта доступа по TCP-протоколу поступает на сетевой узел автоматически сразу после настройки на координаторе TCP-туннеля. Поэтому если в свойствах координатора порт доступа по TCP-протоколу указан, изменять его не следует.
7 Чтобы сохранить указанные настройки, нажмите кнопку Применить.

ViPNet Client 4. Руководство пользователя |
103
Настройка приоритета IP-адресов доступа к координатору
Если координатор имеет несколько адресов доступа (например, по разным каналам связи), то можно настроить приоритет каналов для установления соединения с координатором. Если самый приоритетный канал по каким-то причинам недоступен, то канал связи будет выбран в соответствии с приоритетами оставшихся каналов. Когда самый приоритетный канал станет доступен, соединение с координатором вновь будет установлено через него.
Примечание. Следует учитывать, что эффективной данная настройка может быть только в случае, если узел связывается с координатором по разным каналам, например, через интернет и выделенную сеть (то есть при маршрутизации через разные шлюзы).
Приоритет каналов задается с помощью метрики для каждого адреса доступа координатора. По умолчанию метрика назначается автоматически. При назначении метрик нужно придерживаться следующих принципов:
 Метрика определяет задержку (в миллисекундах) отправки тестовых IP-пакетов при выполнении опроса для определения доступности адреса. Соединение устанавливается по тому адресу, доступность которого быстрее определяется в результате опроса.
 Опросы осуществляются в следующих случаях: o
При запуске ViPNet Client. o
При проверке соединения с узлом вручную. o
Периодически. Период опросов задается на координаторе в окне Настройка в разделе
Защищенная сеть > Дополнительные параметры. По умолчанию период опроса координаторами других координаторов равен 15 минутам, период опроса своего координатора клиентами равен 5 минутам.
 Адрес с наименьшей метрикой считается самым приоритетным. Соединение с координатором устанавливается по адресу с наименьшей метрикой всегда, когда этот адрес доступен.
 Если для всех адресов доступа узла метрика назначена автоматически, то значение метрики равно 0. Если для части адресов метрика назначена вручную, а для остальных — автоматически, то значение автоматически назначенной метрики всегда на 100 миллисекунд больше максимального значения метрики, присвоенной вручную.
 Чем больше разница между наименьшей метрикой и остальными метриками, тем меньше вероятность того, что в случае кратковременного сбоя самого приоритетного канала будет выбран менее приоритетный канал. При использовании менее приоритетного канала сетевой узел быстрее сможет вернуться к работе через самый приоритетный канал, когда он станет доступен.

ViPNet Client 4. Руководство пользователя |
104
 Если все метрики равны, то для работы будет выбран тот канал, через который соединение с координатором будет установлено быстрее. После того как канал выбран, определение доступности других каналов связи выполняется только при потере соединения по текущему каналу. Этот же механизм действует в случае, если выбран канал связи с наименьшей метрикой.
 Если хотя бы для одного адреса доступа значение метрики задано вручную и выбран не самый приоритетный канал, то определение доступности других каналов связи с целью возвращения к каналу с наименьшей метрикой начнется одновременно с периодическим опросом по выбранному каналу.
 После определения канала доступа текущий адрес доступа отобразится в окне свойств координатора в первой строке списка IP-адресов на вкладке Межсетевой экран.
Чтобы назначить метрики для адресов доступа к координатору:
1 Выберите раздел Защищенная сеть и дважды щелкните координатор.
2 В окне Свойства узла откройте вкладку Межсетевой экран.
3 В случае необходимости настройте параметры доступа к координатору через межсетевой экран (см.
Настройка доступа к защищенным узлам на стр. 99).
4 Чтобы назначить IP-адресу доступа метрику, выберите в списке адрес и нажмите кнопку
Изменить.
Рисунок 39. Назначение метрики
5 В появившемся окне установите флажок Назначить метрику и в поле рядом введите значение метрики в миллисекундах (допустимые значения от 0 до 9999), после чего нажмите кнопку OK.
Рассмотрим пример использования метрики. Предположим, координатор имеет четыре адреса доступа по каналам связи А, В, С и D. Требуется задать метрики для этих каналов.
Пусть каналы имеют следующий приоритет:
1 А — самый быстрый и безопасный канал. Используется в первую очередь.
2 С и D — безопасные, но менее быстрые каналы. Используются, если канал А недоступен.
3 B — менее безопасный канал. Используется в последнюю очередь.
Чтобы канал A стал самым приоритетным, зададим для него самую маленькую метрику, например,
1. Для канала B зададим максимальную метрику 9999, так как работа через этот канал нежелательна. Для каналов C и D зададим одинаковую метрику, причем такую, чтобы разница с метрикой для канала А была небольшой, например, 500.
При указанных значениях метрик канал А будет использоваться всегда, когда доступен. Если в момент проверки он недоступен или его качество ухудшилось (он стал медленнее), то соединение

ViPNet Client 4. Руководство пользователя |
105 с координатором будет установлено по каналу С или D. И только в крайнем случае, если в момент проверки каналы А, С или D недоступны или их качество значительно ухудшилось, для работы может быть выбран канал В.
Если для соединения с координатором используются каналы В, С или D, то по истечении периода опроса, при перезапуске ViPNet Client или при проверке соединения с координатором сетевой узел будет пытаться установить соединение с координатором по каналу А. Чем меньше период опроса, тем быстрее происходит переход на другой канал в случае сбоев и возвращение на более приоритетный канал.

ViPNet Client 4. Руководство пользователя |
106
Настройка доступа к туннелируемым узлам
Если настройки параметров туннелирования для всех координаторов были сделаны в программе
ViPNet Administrator, то в программе ViPNet Client на сетевом узле ничего дополнительно настраивать не требуется. Сетевой узел сможет устанавливать соединения с туннелируемыми узлами.
Если предварительных настроек не было, настройте параметры соединения: