Приложения, совместимые с ПО ViPNet


Обеспечена совместимость программного обеспечения ViPNet со следующими приложениями:
□ Lumension Device Control (ранее Sanctuary Device Control).
□ Cisco Security Agent.
□ Kaspersky Administration Kit.
□ Microsoft SQL Server 2000 Desktop Engine (MSDE 2000).
Работа с сетью
Исходный пакет после шифрования упаковывается в UDP-пакет. Если на пути следования IP-пакета расположено устройство NAT, на этом устройстве должны быть настроены правила динамической или статической трансляции адресов, которые разрешают обмен трафиком с узлами своей сети, использующими по умолчанию порт 55777.
Для правильной работы подключения через межсетевой экран С динамической трансляцией адресов во внешней сети должен существовать координатор, доступный по публичному IP-адресу. Адрес используемого межсетевого экрана должен быть указан в сетевых настройках ОС абонентского пункта в качестве шлюза по умолчанию. Подключение через межсетевой экран с динамической трансляцией адресов наиболее универсально и может быть использовано практически в любых ситуациях. Однако основное его назначение — обеспечить надежное двустороннее соединение с защищенными узлами, подключенными к внешней сети через межсетевые экраны или NAT -устройства, на которых настройка статических правил трансляции адресов затруднена или невозможна (в том числе и просто из-за отсутствия полномочий у пользователя). Такая ситуация типична при использовании простейших сетевых NAT -устройств, например, DSL-модемов, беспроводных точек доступа, а также при использовании общего доступа к подключению Интернет (ICS — Internet Connection Sharing) в операционной системе Windows. Затруднительно также произвести настройки правил трансляции на межсетевых экранах, установленных у провайдера (в домашних сетях, сетях GPRS и других сетях, где провайдер предоставляет частный IP-адрес). Все NAT-устройства обеспечивают пропускание UDP-трафика благодаря автоматическому созданию так называемых динамических NAT-правил для входящего трафика. Эти правила создаются на основании параметров исходящих пакетов, пропускаемых NAT-устройством.
Например, через NAT-устройство проходит несколько однотипных исходящих пакетов, для них создается динамическое правило. Входящие пакеты, параметры которых соответствуют этому динамическому правилу, пропускаются в течение определенного промежутка времени (таймаута) после прохождения последнего исходящего пакета. По истечении данного промежутка времени динамическое правило удаляется, и NAT-устройство начинает блокировать входящие пакеты.
Это означает, что внешний источник не может инициировать соединение с сетевым узлом, подключенным к внешней сети через NAT-устройство. Внутренний узел должен время от времени передавать исходящий трафик внешнему узлу для сохранения динамического правила в активном состоянии.
Для преодоления этой проблемы на сетевом узле, подключенном к внешней сети через NAT-устройство, нужно настроить подключение через межсетевой экран с динамической трансляцией адресов. Одновременно должен существовать постоянно доступный ViPNet-координатор, расположенный во внешней сети (схема ниже). Назовем его координатором входящих соединений. Координатор входящих соединений должен быть доступен из внешней сети по публичному IP-адресу или через межсетевой экран со статической трансляцией адресов. Координатор входящих соединений не должен работать через тот же межсетевой экран, что и сетевой узел.
Сетевой узел, использующий подключение через межсетевой экран с динамической трансляцией адресов, периодически отправляет на свой координатор входящих соединений UDP-пакеты, чтобы поддерживать динамическое правило в активном состоянии. По умолчанию период отправки — 25 секунд. Это позволяет любому внешнему узлу ViPNet в любое время отправлять IP-пакеты на сетевой узел, работающий через NAT-устройство, через координатор входящих соединений. При этом ответные исходящие пакеты сетевой узел всегда направляет внешнему узлу напрямую, минуя свой координатор входящих соединений (если внешний узел ViPNet не использует межсетевой экран с динамической трансляцией адресов). После получения первого пакета внешний узел, не использующий межсетевой экран с динамической трансляцией адресов, также начинает передавать весь трафик напрямую на сетевой узел, работающий через NAT - устройство. Таким образом, образуется прямой обмен UDP-трафиком между узлами ViPNet.
Такая технология позволяет осуществлять постоянный доступ к ViPNet- узлам, работающим через NAT-устройства (так как динамические правила на NAT-устройстве не удаляются). Кроме того, обеспечивается высокая скорость обмена шифрованным трафиком, так как этот обмен использует координаторы входящих соединений только при инициализации, после чего весь обмен трафиком идет напрямую между узлами (схема выше). Следует учитывать, что исходящий трафик от сетевого узла, использующего подключение через межсетевой экран c динамической трансляцией адресов, на другой такой же узел всегда идет через координатор входящих соединений другого узла.