Previous 

Установка правил работы клиентов

Next

Параметры соединений клиентов группы с ФПСУ-IP определяются специальными записями – описаниями. Для перехода к списку существующих в группе описаний, выберите группу в окне списка групп криптосетей и нажмите клавишу <Enter>. В открывшемся окне списка описаний клиентов, пустом по умолчанию, администратор может создавать, удалять и разделять описания правил работы клиентов.

В левой верхней части окна выводится символы признака группы: «(группа мобильных клиентов), «(группа клиентов с расширенным режимом RKL), « (группа RKL-клиентов), подробнее см. пункт «Описание логической группы клиентов».

Для каждой логической группы может быть создано от одного до 64 описаний правил работы, причем для каждого клиента правила работы устанавливаются однозначно, то есть номера клиентов, входящих в одно описание, не могут повторяться в других описаниях.

Чтобы добавить в группу новое описание работы клиентов (с пустыми полями), нажмите <Ins> в окне списка описаний, а чтобы использовать имеющееся описание за основу – установите курсор на нужное описание и воспользуйтесь комбинацией клавиш <Ctrl+Ins>. В открывшемся окне введите имя для описателя диапазона номеров группы клиентов (произвольный текст-памятка для удобства администратора ФПСУ-IP) и нажмите кнопку «Добавить».

Появится окно указания параметров взаимодействия клиентов и ФПСУ-IP.

Чтобы отредактировать/удалить существующее описание, воспользуйтесь соответствующими командами или клавишами <Enter>/<Del>.

ВНИМАНИЕ! Клиентам может быть предоставлен доступ со стороны каждого из портов ФПСУ-IP, поэтому некоторые параметры работы клиентов описываются отдельно для каждого порта.

В поля открывшегося окна описания введите:

Параметр

Описание параметра

Диапазон номеров

- диапазон уникальных номеров клиентов, для которых устанавливаются правила. Диапазоны номеров различных описаний не могут пересекаться;

NAT при соединении

- указание ФПСУ-IP производить трансляцию реальных IP адресов клиентов описываемого диапазона во внутренние (виртуальные) адреса защищаемой подсети при соединениях со стороны данного порта;

Начальный адрес

- в случае применения NAT-трансляции первый из IP адресов внутренней подсети, в который будет транслироваться реальный IP-адрес первого клиента описываемого диапазона;

Маска подсети

- в случае применения NAT-трансляции используется маска внутренней подсети, рассчитанная на количество клиентов описываемого диапазона.

ВНИМАНИЕ! В диапазон адресов, образованный начальным адресом и маской, не должен попадать ни один реально существующий IP-адрес, указанный в конфигурации ФПСУ-IP;

Разрешено

соединение

через ФПСУ

- разрешение ФПСУ-IP производить соединения с клиентами со стороны данного порта в задаваемом режиме (обмениваться данными с описываемыми клиентами непосредственно или через другой ФПСУ-IP). Если режим соединений с клиентами не регламентируется, включите при помощи клавиши <Пробел> оба флага. Если ни один флаг не установлен – доступ клиентам со стороны данного порта ФПСУ-IP предоставляться не будет;

Разрешен

доступ к абонентам

- разрешение ФПСУ-IP предоставлять клиентам, работающим со стороны данного порта, доступ к станциям назначения (со стороны любого порта) только в задаваемом режиме. Если режим соединений ФПСУ-IP с рабочими станциями не регламентируется, включите при помощи клавиши <Пробел> оба флага. Если ни один флаг не установлен, доступ клиентам со стороны данного порта ФПСУ-IP к другим рабочим станциям предоставляться не будет;

Через адаптер, ведущий к ФПСУ

- опция, изменяющая сетевые настройки на стороне рабочей станции Клиента. После её включения, все IP-пакеты, отправляемые рабочей станцией Клиента через сетевой адаптер, ведущий к ФПСУ-IP, будут зашифрованы и отправлены в туннель к ФПСУ-IP.

ВНИМАНИЕ! При включении опции открытые соединения рабочей станции Клиента через ведущий к ФПСУ-IP сетевой адаптер будут невозможны;

Клиентам

блокировать

- указание клиентам при работе со стороны данного порта ФПСУ-IP блокировать соответствующие соединения. Установленные администратором ФПСУ-IP ограничения будут выполняться на всех указанных сетевых адаптерах рабочих станций клиентов принудительно, независимо от собственных установок клиентов.

ВНИМАНИЕ! Для клиентов типа VPNPROGRAM такой вид дополнительной настройки недоступен;

Не применять к локальной сети

- флаг, разрешающий не применять указанные блокировки опции «Клиентам блокировать» для сетевых взаимодействий в пределах локальной сети рабочей станции Клиента.

Разорвать вход. TCP на старте

- указание принудительного разрыва всех входящих TCP сессий на рабочей станции Клиента, в момент установления соединения с ФПСУ.

Абоненты

- список IP-адресов абонентов, к которым клиенты могут запрашивать доступ при соединении с ФПСУ-IP. Этот список будет передаваться клиентам при установке туннеля и дополнять их собственные списки абонентов.

Локальные настройки

- устанавливаемые для ФПСУ-IP/Клиентов локальные настройки, передаются с ФПСУ-IP в момент соединения c ФПСУ-IP/Клиентом;

Контроль соединения

- временной интервал (от 1 до 10 минут), по истечении которого после получения последних данных от клиента ФПСУ-IP будет производить контроль соединения с ним. В случае отсутствия связи соединение будет сброшено. Для клиентов RKL-Криптосети временной интервал (от 1 до 255 минут), поле может быть пустым, если контроль не требуется.

Данная опция важна для тех каналов, в которых происходят частые обрывы связи (например, PPP). В сочетании с опциями ПАК ФПСУ-IP/Клиент «Помнить введенный Pin-код пока VPN-Key не отсоединен» и «Автосоединение при подключении VPN-Key» (подробнее см. руководство пользователя ФПСУ-IP/Клиента) позволяет при таких разрывах автоматически восстанавливать туннель между Клиентом и ФПСУ-IP;

Описание активно

- указание ФПСУ-IP на активность описания. Если флаг не установлен в положение «Х», работа клиентов данного диапазона будет блокирована. Флаг включается и выключается при помощи клавиши <Пробел>.

По нажатию кнопки «Локальные настройки» открывается окно с настройками ФПСУ-IP/Клиента, которые задаются на ФПСУ-IP и при соединении с ФПСУ-IP/Клиентом устанавливаются на клиенте, в этом случае настройки на клиенте недоступны для изменения.

Блокировать все пакеты, кроме IP-стека протоколов – установленный флаг означает, что при приеме и передаче все пакеты, не соответствующие формату пакетов стека TCP/IP, будут сброшены Клиентом.

Работа только через ФПСУ-IP, все остальные IP-пакеты блокируются – установленный флаг означает, что, при отсутствии соединения между ФПСУ-IP/Клиентом и ФПСУ-IP, рабочая станция или устройство с установленным программным обеспечением ФПСУ-IP/Клиент будет блокировать передачу в сеть всех IP пакетов, кроме служебных в адрес ФПCУ-IP. После установления соединения между ФПСУ-IP/Клиент и ФПСУ-IP блокировка передачи пакетов в сеть с помощью этой опции не осуществляется.

Блокировать входящие TCP и ICMP не через ФПСУ – – установленный флаг означает, что ФПСУ-IP/Клиент после установления соединения с ФПСУ-IP будет блокировать новые входящие TCP и ICMP-cоединения, если они пришли не из туннеля к ФПСУ-IP (исключение: входящие соединения FTP-data разрешаются).

Автоматически проверять обновления на ФПСУ-IP - флаг, при установке которого при каждом соединении с ФПСУ‑IP (основным или дополнительным) ФПСУ-IP/Клиент будет запрашивать у него наличие новых версий программного обеспечения ФПСУ-IP/Клиента.

Очистить кэш DNS - флаг, при установке которого выполняется сброс кэша DNS на рабочей станции ФПСУ-IP/Клиента при установления соединения с ФПСУ-IP.

Автоматическая привязка в БД - установленный флаг позволяет привязать Клиента к рабочей станции или устройству с установленным программным обеспечением ФПСУ-IP/Клиент, чтобы пользователь мог работать с этим Клиентом только на одном АРМ. Привязка клиента хранит данные о серийных номерах ОС (только для Windows), материнской платы и системного диска устройства с установленным программным обеспечением ФПСУ-IP/Клиент в базе данных на ФПСУ-IP. Каждый раз при подключении ФПСУ-IP/Клиента к ФПСУ-IP эти данные сверяются, в случае подключения клиента с другого устройства работа данного клиента блокируется. База данных с привязками клиентов синхронизируется с дополнительным ФПСУ-IP, заданным в настройках ФПСУ-IP/Клиента.

Нажатие кнопки «Сохранить» или клавиши <F2> сохраняет локальные настройки и возвращает в окно описания диапазона номеров группы клиентов.

Для создания или корректировки списка абонентов, нажмите кнопку «Абоненты», после чего откроется окно списка передаваемых клиенту IP-адресов.

Абонентами могут выступать описатели отдельного IP-адреса (столбец «Хост»), подсети (столбец «Подсеть»), диапазон последовательно идущих IP-адресов (столбец «Диапазон») и специальный абонент «DNS» (DNS-сервер).

Для добавления/удаления/редактирования описателя того или иного абонента для настраиваемой группы клиентов, перейдите в соответствующий столбец курсором и воспользуйтесь клавишами <Ins> (для добавления абонента), <Del> (для удаления), <Enter> или <Пробел> (для редактирования).

Настройки RKLустанавливаемые для ФПСУ-IP/Клиентов настройки удаленной загрузки ключевых данных, передаются с ФПСУ-IP в момент соединения c ФПСУ-IP/Клиентом, позволяют удаленно обновлять ключевые данные ФПСУ-IP/Клиентам без участия администратора (см. пункт «Настройка диапазона клиентов на работу с RKL»).

Настройки Сервера лицензирования  – устанавливаемые для ФПСУ-IP/Клиентов настройки удаленного автообновления программных лицензий, передаются с ФПСУ-IP в момент соединения c ФПСУ-IP/Клиентом, позволяют удаленно обновлять лицензии ФПСУ-IP/Клиентам без участия администратора до истечения срока действия лицензии, если Сервер лицензирования доступен в сети (см.пункт «Настройка диапазона клиентов на работу с Сервером лицензирования»).

Настройки RADIUS – устанавливаются для аутентификации ФПСУ-IP/Клиентов в сети (см. пункт «Настройка диапазона клиентов на работу с Radius»).

После установки всех параметров в окне «Абоненты» активизируйте поле «Сохранить», после чего будет произведен выход в окно списка описаний клиентов в группе.

Для перехода к форме списка описаний отдельного клиента нажмите клавишу <Пробел>.

Знак «√» около описания означает, что правила работы данного диапазона клиентов активны. Знак «−» означает, что правила работы данного диапазона клиентов установлены, но их работа временно блокирована. Описания содержат сведения о номерах клиентов, составляющих данный диапазон, о количестве клиентов в диапазоне и правилах NAT-трансляции.

Для сохранения списка описателей нажмите клавишу <F2> или кнопку «Сохранить», при этом система перейдет в режим отображения списка зарегистрированных на ФПСУ-IP клиентов логической группы.

Чтобы разрешить/запретить работу через ФПСУ-IP выбранному клиенту группы, воспользуйтесь клавишами <+>/<−>, а для диапазона номеров клиентов - клавишами <Ins> и <Del>.

Перемещение по списку осуществляется при помощи клавиш управления курсором, а перемещение по списку разрешенных (запрещенных) клиентов – при помощи клавиш <Ctrl ↑↓> (<Alt ↑↓>).