Обеспечение стабильного соединения между рабочими местами пользователей и сервером 1С:Предприятие является критически важной задачей для любого системного администратора. Неправильная настройка межсетевого экрана или брандмауэра часто приводит к тому, что тонкий клиент попросту не видит базу данных или зависает на этапе подключения. В отличие от толстого клиента, который чаще всего использует прямое соединение по фиксированному порту, архитектура тонкого клиента существенно сложнее и требует открытия целого диапазона портов для корректной работы с веб-сервером и кластером серверов.

Современные версии платформы 8.3 используют динамическое распределение ресурсов, что делает жесткую привязку к одному порту невозможной в условиях кластерной архитектуры. Вам необходимо понимать разницу между портом публикации на веб-сервере (обычно 80 или 443) и служебными портами агента сервера 1С:Предприятие. Игнорирование любого из этих элементов в правилах фаервола приведет к ошибкам типа "Не найдено соответствие между именем информационной базы и адресом кластера" или бесконечной попытке подключения.

В этом руководстве мы детально разберем, какие именно сетевые интерфейсы необходимо настроить, чтобы пользовательское соединение устанавливалось мгновенно и работало без разрывов. Мы рассмотрим стандартные сценарии установки на базе Windows и Linux, а также нюансы работы в защищенном контуре, где трафик строго регламентирован.

Архитектура соединения и роль портов в 1С

Понимание того, как именно тонкий клиент взаимодействует с сервером, является фундаментом для правильной настройки сети. Процесс подключения не является одномоментным действием, а представляет собой цепочку запросов, проходящих через разные службы. Сначала клиент обращается к веб-серверу за списком баз, затем получает адрес кластера серверов и только после этого устанавливает сессию с рабочим процессом rphost.

Центральным элементом в этой схеме выступает агент сервера 1С:Предприятие (srv1cv83), который управляет распределением нагрузки. Именно он диктует, на каком порту будет работать конкретная сессия пользователя. Если ваш брандмауэр блокирует динамически выделенный порт, сессия не сможет инициализироваться, несмотря на то, что начальный "рукопожатие" прошло успешно.

⚠️ Внимание: Многие администраторы ошибочно открывают только порт 1540 или 1541, считая это достаточным. В реальности для работы тонкого клиента через публикацию критически важны порты веб-сервера (80/443), без которых клиент даже не сможет получить список доступных информационных баз.

Кроме того, стоит учитывать, что в распределенных системах, где серверы 1С и базы данных расположены на разных физических машинах, требуется дополнительная настройка правил для портов СУБД (PostgreSQL, MSSQL или Oracle). Хотя это не относится напрямую к клиентской части, отсутствие связи между сервером приложений и СУБД приведет к тем же симптомам неработоспособности, что и блокировка клиентских портов.

📊 Какая у вас архитектура 1С?
Файловый вариант
Клиент-серверный вариант
Терминальный сервер (RDP)
Веб-клиент в браузере

Стандартные порты для публикации на веб-сервере

Первым этапом настройки всегда является обеспечение доступа к веб-серверу, на котором опубликована база данных. Именно через этот канал тонкий клиент получает первичную информацию. По умолчанию для этого используются стандартные протоколы передачи данных, порты которых должны быть открыты на входящие соединения со стороны клиентских машин.

Если вы используете классическую схему без шифрования трафика, основным портом будет 80 (HTTP). В случаях, когда требуется безопасное соединение по протоколу HTTPS, необходимо открыть порт 443.

Для корпоративных сред часто практикуется использование нестандартных портов в целях безопасности или из-за занятости стандартных диапазонов другими сервисами. В такой ситуации вам необходимо явно указать порт в строке подключения тонкого клиента, добавив его через двоеточие после адреса сервера, например: server_name:8080. Убедитесь, что выбранное значение не попадает в диапазон динамических портов, используемых агентом сервера 1С.

  • 🌐 Порт 80 — стандартный HTTP трафик для веб-публикации баз данных.
  • 🔒 Порт 443 — защищенный HTTPS канал, обязательный для работы через интернет.
  • ⚙️ Нестандартные порты (например, 8080, 8443) — используются при конфликте служб или специфических требованиях безопасности.

Настройка правил в брандмауэре Windows или iptables в Linux должна разрешать входящие TCP-соединения именно на эти порты. Не забудьте проверить, не блокирует ли трафик промежуточное сетевое оборудование, такое как маршрутизаторы или аппаратные фаерволы, которые могут стоять между сегментом пользователей и серверной зоной.

💡

Если вы меняете порт веб-сервера, не забудьте обновить ссылку публикации в консоли управления веб-сайтом IIS или в конфигурационных файлах Apache, иначе 1С не сможет найти виртуальный каталог.

Порты кластера серверов и агента 1С:Предприятие

После успешного обращения к веб-серверу, тонкий клиент получает адрес кластера серверов и пытается соединиться с ним. Здесь вступает в работу служба агента сервера 1С:Предприятие. По умолчанию эта служба использует TCP порт 1540 для приема первичных подключений от клиентов и управления кластером.

Однако, открытие только 1540 порта часто бывает недостаточным. Агент сервера может быть настроен на использование дополнительного порта для реестра кластеров, который по умолчанию равен 1541. Эти два порта обеспечивают базовую коммуникацию: первый отвечает за прием запросов на запуск, второй — за служебный обмен данными внутри кластера и репликацию информации о состоянии.

netstat -ano | findstr "1540"

netstat -ano | findstr "1541"

Выполнение подобных команд на сервере позволит вам убедиться, что службы действительно слушают указанные интерфейсы. Если вы изменили конфигурацию кластера через консоль управления серверами 1С, значения портов могут отличаться от стандартных. В таком случае критически важно внести изменения в правила фильтрации пакетов, иначе клиентское приложение будет терять соединение сразу после начала авторизации.

Что делать, если порты 1540 и 1541 заняты?

Если стандартные порты заняты другими приложениями, вы можете изменить их в свойствах службы "Агент сервера 1С:Предприятия" через оснастку services.msc или утилиту командной строки. После смены портов потребуется перезапуск службы и обновление правил брандмауэра.

Также стоит отметить, что в некоторых конфигурациях с высокой нагрузкой администраторы настраивают разделение портов для разных типов трафика. Всегда сверяйтесь с актуальной конфигурацией вашего кластера, так как параметры могут быть изменены в ходе оптимизации производительности или миграции на новые версии платформы.

Динамический диапазон портов рабочих процессов

Наиболее сложным моментом в настройке является работа с динамическим диапазоном портов, которые выделяются для рабочих процессов rphost. Когда клиент проходит аутентификацию, кластер серверов выделяет свободный порт из заданного диапазона для обслуживания конкретной сессии пользователя. Если этот порт заблокирован, сессия не запустится.

По умолчанию в современных версиях платформы 1С диапазон динамических портов составляет от 1560 до 1591. Это означает, что вам необходимо открыть для входящих соединений весь этот диапазон, состоящий из 32 портов. Сужение этого диапазона возможно, но требует тщательного расчета количества одновременных пользователей, чтобы избежать исчерпания доступных портов в пиковые часы.

Тип порта Значение по умолчанию Протокол Назначение
Порт агента 1540 TCP Регистрация клиентов в кластере
Порт реестра 1541 TCP Служебный обмен внутри кластера
Диапазон рабочих процессов 1560-1591 TCP Непосредственная работа сессий пользователей
Порт менеджера кластера 1540 TCP Управление кластером (удаленное)

Если вы планируете поддерживать более 32 одновременных подключений к одному рабочему процессу или используете специфические настройки пула процессов, диапазон может быть расширен. Проверить текущие настройки можно в консоли управления серверами 1С, выбрав свойства кластера и перейдя на вкладку портов.

⚠️ Внимание: При изменении диапазона динамических портов убедитесь, что новые значения не пересекаются с портами других критических служб на сервере, такими как SQL Server или службы мониторинга, чтобы избежать конфликтов и нестабильной работы системы.

☑️ Проверка настроек портов

Выполнено: 0 / 1

Настройка брандмауэра Windows для 1С

В операционных системах семейства Windows Server основным инструментом защиты является встроенный брандмауэр Защитника Windows. Для корректной работы 1С необходимо создать правила входящих подключений, которые будут разрешать трафик на описанные выше порты. Это можно сделать как через графический интерфейс, так и с помощью командной строки.

Рекомендуется создавать отдельные правила для каждого диапазона портов, чтобы в случае проблем легче было провести диагностику. Например, одно правило для портов агента (1540-1541) и отдельное правило для диапазона рабочих процессов. При создании правила выберите тип "Для порта", укажите протокол TCP и введите соответствующие номера локальных портов.

Не забудьте применить правило ко всем профилям сети (Домен, Частная, Публичная), если сервер находится в гибридной среде, или только к необходимому профилю, если сеть строго сегментирована. В поле "Действие" обязательно выберите "Разрешить подключение", а в разделе "Программа" лучше указать путь к исполняемому файлу агента: C:\Program Files\1cv8\srvinfo\bin\ragent.exe, хотя часто достаточно указать "Для всех программ".

  • 🛡️ Создайте правило для TCP портов 1540, 1541 с именем "1C Agent Ports".
  • 🚀 Создайте правило для диапазона TCP 1560-1591 с именем "1C Work Processes".
  • 🌍 Создайте правило для порта 80/443 с именем "1C Web Publication".

После применения настроек настоятельно рекомендуется выполнить команду gpupdate /force для немедленного применения групповых политик, если управление брандмауэром централизовано. Проверка доступности портов с клиентской машины утилитой telnet или Test-NetConnection в PowerShell поможет убедиться в эффективности настроек.

💡

Правильная настройка брандмауэра Windows требует создания отдельных правил для статических портов агента и динамического диапазона рабочих процессов, иначе сессии пользователей будут обрываться на этапе запуска.

Конфигурация iptables и firewalld в Linux

Если ваш сервер 1С развернут на базе дистрибутива Linux (например, Ubuntu, CentOS или Debian), настройка сетевых экранов будет отличаться. В большинстве современных дистрибутивов используется служба firewalld или классический iptables. Принцип остается тем же: необходимо явно разрешить входящие соединения на нужные порты.

Для firewalld вы можете использовать команду firewall-cmd для добавления портов в постоянную конфигурацию. Это предпочтительный метод, так как он сохраняет настройки после перезагрузки. Команда должна выполняться от имени суперпользователя (root) и включать флаг --permanent, чтобы изменения вступили в силу после перезапуска службы.

firewall-cmd --permanent --add-port=1540/tcp

firewall-cmd --permanent --add-port=1541/tcp


firewall-cmd --permanent --add-port=1560-1591/tcp


firewall-cmd --reload

В случае использования iptables напрямую, правила добавляются в цепочку INPUT. Важно помнить о порядке правил: разрешающие правила должны стоять выше общих запрещающих политик. Также стоит учесть, что в Linux имена служб могут отличаться, и процесс агента может называться просто ragent.

После внесения изменений в конфигурацию сетевых экранов Linux, обязательно проверьте статус службы командой systemctl status firewalld или просмотрите текущие правила через iptables -L -n -v. Отсутствие ошибок в логах /var/log/messages или /var/log/syslog подтвердит успешное применение правил.

Как открыть порты в ufw?

Если вы используете Ubuntu с фаерволом ufw, команды будут выглядеть так: "ufw allow 1540/tcp", "ufw allow 1541/tcp" и "ufw allow 1560:1591/tcp". Не забудьте выполнить "ufw reload" для применения.

Диагностика проблем с подключением

Даже при правильной настройке портов могут возникать ситуации, когда тонкий клиент не может подключиться к базе данных. Первым шагом в диагностике всегда должна быть проверка доступности портов с рабочей станции пользователя. Используйте утилиту telnet (если она установлена) или встроенные средства PowerShell для проверки соединения.

Команда Test-NetConnection -ComputerName server_name -Port 1540 в PowerShell покажет, проходит ли пакет до сервера. Если результат отрицательный (TcpTestSucceeded : False), проблема находится на уровне сети или брандмауэра. Если же порт доступен, но 1С не запускается, стоит проверить логи сервера 1С, расположенные в каталоге srvinfo.

Частой ошибкой является блокировка исходящего трафика на клиентских машинах корпоративным антивирусом. Убедитесь, что исполняемый файл 1cv8c.exe (тонкий клиент) добавлен в исключения защитного ПО. Также проверьте, не меняются ли IP-адреса серверов при использовании DHCP, что может привести к потере связи, если правила фаервола привязаны к конкретным адресам.

⚠️ Внимание: Если вы используете NAT или проброс портов на маршрутизаторе, убедитесь, что транслируются не только внешние порты, но и внутренние адреса соответствуют реальной топологии сети, иначе пакеты могут теряться на обратном пути.

В сложных случаях рекомендуется использовать снифферы трафика, такие как Wireshark, для анализа пакетов. Это позволит увидеть, на каком именно этапе обрывается соединение: при запросе списка баз, при аутентификации или при попытке выделения рабочего процесса. Анализ флагов TCP (SYN, ACK, RST) даст точное понимание причины сбоя.

💡

Для быстрой проверки доступности всего диапазона портов 1С можно написать простой скрипт на PowerShell, который переберет порты от 1540 до 1591 и выведет статус каждого, что сэкономит время при ручной проверке.

Какой порт используется для файлового варианта 1С?

Для файлового варианта работы 1С:Предприятие открытие специальных портов 1С не требуется, так как обмен данными происходит через стандартные механизмы доступа к файлам (SMB). Необходимо обеспечить доступ к сетевой папке по порту 445 (SMB) и разрешить доступ к файлам базы данных на уровне прав файловой системы.

Можно ли изменить диапазон динамических портов?

Да, диапазон портов рабочих процессов (по умолчанию 1560-1591) можно изменить в консоли управления серверами 1С. Для этого нужно зайти в свойства кластера серверов и указать новые значения начального и конечного порта. После этого необходимо обновить правила брандмауэра, открыв новый диапазон.

Почему 1С подключается, но работает очень медленно?

Медленная работа может быть связана не только с портами, но и с потерей пакетов или высокой задержкой (Ping). Проверьте качество сетевого соединения. Также убедитесь, что не блокируются порты СУБД (например, 1433 для MSSQL или 5432 для PostgreSQL), так как задержки в общении сервера 1С с базой данных напрямую влияют на скорость работы клиентов.

Нужно ли открывать порты для толстого клиента?

Толстый клиент в клиент-серверном варианте использует те же порты кластера серверов (1540, 1541 и диапазон 1560-1591), что и тонкий клиент. Разница лишь в том, что толстый клиент не требует публикации на веб-сервере (порты 80/443), если не используется веб-расширение, так как он подключается к кластеру напрямую по адресу сервера.

Как проверить, слушает ли сервер порты 1С?

На сервере выполните команду netstat -an | findstr "1540" (в Windows) или netstat -tulpn | grep 1540 (в Linux). Если вы видите строку со статусом LISTEN и адресом 0.0.0.0:1540 или IP-адресом сервера, значит служба активна и ожидает подключений. Если адрес 127.0.0.1, то подключения извне будут заблокированы.