Корректная настройка сетевых экранов и межсетевых экранов (брандмауэров) является фундаментом стабильной работы многопользовательской системы 1С:Предприятие. Если вы развернули сервер 1С в новой инфраструктуре или перенесли базу в облако, первым делом необходимо открыть доступ к специфическим служебным портам. Игнорирование этого этапа приводит к тому, что пользователи не могут подключиться к базе, консоль администрирования не видит кластер серверов, а обновления конфигурации завершаются ошибками таймаута.
Процесс настройки не ограничивается простым разрешением одного адреса, так как архитектура сервера 1С подразумевает динамическое распределение ресурсов. Протоколы взаимодействия между клиентским приложением, менеджером кластера и рабочими процессами требуют открытия целого диапазона портов для штатного функционирования. В этой статье мы подробно разберем, какие именно порты TCP и UDP необходимо добавить в исключения брандмауэра Windows или Linux, чтобы обеспечить бесперебойный доступ к данным.
Базовые порты кластера серверов 1С
Основным узлом, с которого начинается любое взаимодействие с системой, является Менеджер кластера серверов. Он отвечает за регистрацию информационных баз и перенаправление клиентов к нужным рабочим процессам. Для его работы жестко закреплен один статический порт, который должен быть открыт всегда. Это порт 1540 по протоколу TCP. Без доступа к нему клиентское приложение просто не сможет «постучаться» на сервер и узнать список доступных баз данных.
Однако, если вы планируете использовать веб-доступ к 1С или работу через веб-сервер (например, Apache или IIS), вам потребуется также открыть порт 1541. Он используется для взаимодействия с веб-сервером и публикации баз в каталоге веб-сервера. Часто администраторы забывают про этот порт, пытаясь настроить тонкий клиент через HTTP, и сталкиваются с непонятными ошибками подключения, хотя основной порт 1540 уже открыт.
Критически важным элементом для обнаружения серверов в локальной сети является протокол UDP. Порт 1545 используется агентом сервера для рассылки широковещательных пакетов, позволяющих клиентам автоматически находить серверы в списке подключений. Если этот порт закрыт, функция автообнаружения перестанет работать, и пользователям придется вводить адрес сервера вручную при каждом подключении.
Для повышения безопасности в публичных сетях рекомендуется отключить широковещательную рассылку на порту 1545 и требовать от пользователей ручного ввода адреса сервера.
Таким образом, минимальный набор правил для базового подключения выглядит следующим образом:
- 🔹 TCP 1540 — основной порт менеджера кластера (обязательно).
- 🔹 TCP 1541 — порт для публикации через веб-сервер (опционально, но часто нужно).
- 🔹 UDP 1545 — порт для автообнаружения серверов в сети.
Настройка диапазона динамических портов рабочих процессов
Самая распространенная ошибка при настройке брандмауэра заключается в открытии только статических портов менеджера. Дело в том, что после первичного соединения на порту 1540, менеджер кластера выделяет для работы с конкретной информационной базой отдельный рабочий процесс. Этот процесс запускается на случайном динамическом порте из заданного диапазона.
По умолчанию в современных версиях платформы 1С:Предприятие 8.3 используется диапазон портов от 1560 до 1591. Если ваш брандмауэр блокирует этот диапазон, пользователь успешно пройдет авторизацию в списке баз, но при попытке запуска самой программы получит ошибку соединения с сервером. Клиент просто не сможет «дотянуться» до выделенного ему рабочего процесса.
Важно понимать, что количество портов в диапазоне влияет на масштабируемость системы. Каждый активный пользователь или фоновое задание занимает один порт из этого пула. Если у вас работает 50 пользователей одновременно, а диапазон открыт всего на 10 портов, часть пользователей не сможет подключиться. Рекомендуется открывать весь стандартный диапазон целиком, не пытаясь угадать нужные значения.
⚠️ Внимание: В старых версиях платформы (до 8.3.10) диапазон динамических портов мог отличаться или настраиваться через реестр. Если вы используете устаревшее ПО, проверьте документацию к вашей конкретной версии релиза.
Для настройки правил в брандмауэре Windows вам потребуется создать правило для входящих подключений, указав диапазон портов. В командной строке это может выглядеть как разрешение для локального порта 1560-1591. Убедитесь, что правило применено к профилям «Домен», «Частная» и «Публичная» сеть в соответствии с вашей инфраструктурой.
Порты для работы с СУБД (MS SQL Server и PostgreSQL)
Сервер 1С не хранит данные самостоятельно в файловом виде при клиент-серверном варианте работы; он выступает посредником между клиентом и системой управления базами данных (СУБД). Поэтому, помимо портов самой платформы 1С, необходимо обеспечить сетевой доступ к портам СУБД. Без этого сервер 1С не сможет читать и записывать информацию в таблицы базы данных.
Для самой популярной связки — 1С + MS SQL Server — стандартным портом является 1433 (TCP). Именно через него происходит основной обмен данными. Однако, если у вас используется именованный экземпляр SQL Server (не default instance), ситуация усложняется. В этом случае используется служба Browser SQL, которая работает на порту 1434 (UDP) и сообщает клиенту, на каком динамическом порту запущен конкретный экземпляр базы.
В случае использования свободной СУБД PostgreSQL, стандартный порт для подключения составляет 5432 (TCP). Принципиальных отличий в настройке брандмауэра нет: необходимо просто разрешить входящие TCP-подключения на этот адрес от сервера 1С. Если СУБД расположена на том же физическом или виртуальном сервере, что и 1С, эти порты можно оставить закрытыми для внешней сети, разрешив доступ только с localhost (127.0.0.1).
| Компонент | Протокол | Порт | Назначение |
|---|---|---|---|
| 1С:Менеджер кластера | TCP | 1540 | Регистрация и управление базами |
| 1С:Рабочие процессы | TCP | 1560-1591 | Непосредственная работа пользователей |
| MS SQL Server | TCP | 1433 | Доступ к данным (Default Instance) |
| SQL Server Browser | UDP | 1434 | Поиск именованных экземпляров |
| PostgreSQL | TCP | 5432 | Доступ к данным |
Специфика настройки для файлового варианта работы
Нередко возникает вопрос о портах для файлового варианта работы 1С, когда база лежит в общей сетевой папке. В этом случае порты платформы 1С (1540, 1560 и т.д.) открывать не нужно, так как сервер кластера не запускается. Вместо этого критически важными становятся порты файлового протокола SMB (Server Message Block), используемого операционной системой Windows для обмена файлами.
Для корректной работы с сетевой папкой необходимо открыть порты 445 (TCP) и 139 (TCP/UDP). Порт 445 является основным для прямого размещения SMB over TCP/IP в современных версиях Windows. Блокировка этого порта на уровне брандмауэра приведет к тому, что пользователи не смогут даже увидеть папку с базой данных или получат ошибку «Монопольный режим» при попытке входа.
Почему файловая база тормозит по сети?
При работе по сети каждый запрос к данным может генерировать множество мелких пакетов обмена. Если сеть перегружена или порт 445 фильтруется антивирусом, производительность падает катастрофически.
Стоит также учитывать, что некоторые антивирусные решения могут блокировать SMB-трафик, считая его подозрительным, даже если порт формально открыт в брандмауэре. В таких случаях требуется добавить исключение в настройках самого антивируса для процесса 1cv8.exe и системного процесса System, отвечающего за сетевой доступ.
Диагностика и проверка открытых портов
После внесения изменений в правила брандмауэра необходимо убедиться, что настройки применены корректно и пакеты действительно проходят. Самый простой способ проверки — использование утилиты telnet или Test-NetConnection в PowerShell. Например, команда Test-NetConnection -ComputerName 192.168.1.10 -Port 1540 покажет, доступен ли порт менеджера кластера на указанном IP-адресе.
Более глубокую диагностику можно провести с помощью утилиты netstat. Запустив консоль с правами администратора на сервере 1С и введя команду netstat -ano | findstr :1540, вы увидите, слушает ли служба 1С этот порт. Если строка с адресом 0.0.0.0:1540 или [::]:1540 отсутствует, значит, служба либо не запущена, либо настроена на прослушивание только локального интерфейса.
⚠️ Внимание: Если команда telnet не выполняется, возможно, компонент «Клиент Telnet» не установлен в вашей версии Windows. Его можно активировать через «Включение или отключение компонентов Windows».
Для проверки динамических портов запустите базу 1С в режиме предприятия на клиентской машине, а затем на сервере выполните команду netstat -an. Вы должны увидеть установленные соединения (состояние ESTABLISHED) от IP-адреса клиента к портам в диапазоне 1560-1591. Отсутствие таких соединений при работающем клиенте — верный признак блокировки трафика.
☑️ Проверка доступности портов
Частые ошибки и методы их устранения
Одной из самых коварных проблем является наличие нескольких сетевых интерфейсов на сервере. Если сервер 1С имеет, например, адрес для внутренней сети и адрес для DMZ, служба может зарегистрироваться только на одном из них. В этом случае внешние пользователи не смогут подключиться, даже если брандмауэр настроен идеально. Решением является явное указание адреса в настройках службы или добавление правил для всех интерфейсов.
Также часто встречается ситуация, когда порты открыты, но пользователи жалуются на медленную работу или периодические разрывы связи. Это может быть связано с настройками MTU (Maximum Transmission Unit) или фрагментацией пакетов, особенно если между клиентом и сервером есть VPN-туннель. В таких случаях стоит попробовать временно отключить брандмауэр для диагностики: если проблема исчезнет, значит, дело именно в правилах фильтрации, а не в оборудовании.
Не забывайте про обновления платформы. При переходе на новые версии 1С:Предприятие (например, с 8.3.18 на 8.3.23) иногда меняются требования к безопасности или внутренние механизмы сетевого взаимодействия. Хотя базовые порты остаются неизменными годами, всегда полезно сверяться с официальным описанием релиза новой версии.
Главная причина ошибок подключения в 90% случаев — закрытый диапазон динамических портов (1560-1591), а не основной порт 1540.
Какой порт использовать для веб-доступа к 1С через браузер?
Для доступа через браузер используется стандартный HTTP порт 80 или HTTPS порт 443, на которых работает ваш веб-сервер (IIS или Apache). Сама платформа 1С при этом использует порт 1541 для связи с веб-сервером, но этот порт обычно не требует открытия во внешнюю сеть, только между сервером 1С и веб-сервером.
Можно ли изменить стандартные порты 1С на другие?
Да, порт менеджера кластера (1540) и диапазон рабочих портов можно изменить через реестр Windows или параметры командной строки при установке сервера. Однако это усложнит поддержку и настройку клиентских мест, поэтому без острой необходимости (например, конфликта с другим ПО) делать это не рекомендуется.
Почему не работает автообнаружение серверов в списке 1С?
Скорее всего, на сервере или клиенте заблокирован UDP порт 1545. Также эта функция может не работать при подключении через сложные маршрутизируемые сети (через интернет), так как широковещательные пакеты не проходят через шлюзы. В таких случаях адрес сервера нужно вводить вручную.
Нужно ли открывать порты для службы обновлений 1С?
Если сервер 1С сам скачивает обновления, ему нужен доступ наружу на HTTP/HTTPS (порты 80/443). Если же вы обновляете платформы централизованно с другого сервера, то между серверами обновлений и целевыми серверами 1С должен быть открыт порт 1540 и диапазон динамических портов для администрирования.