Корректная настройка сетевой инфраструктуры является фундаментом стабильной работы автоматизированной системы предприятия. Администраторам часто приходится сталкиваться с ситуациями, когда программа не запускается, пользователи не видят базу данных или веб-клиент отказывается подключаться. В 90% случаев корень проблемы кроется в неправильной конфигурации межсетевых экранов или непонимании того, по каким портам работает 1С. Без открытия соответствующих сетевых шлюзов пакеты данных просто блокируются на уровне операционной системы.
Архитектура платформы 1С:Предприятие 8 достаточно сложна и использует динамическое распределение ресурсов. В отличие от простых приложений, использующих один статичный порт, серверный процесс ragent и рабочие процессы rphost могут требовать гибкой настройки диапазонов. Это касается как классического клиент-серверного варианта работы через MS SQL или PostgreSQL, так и файлового режима при доступе по сети. Понимание принципов взаимодействия компонентов позволит вам грамотно настроить правила iptables или Windows Firewall.
В данной статье мы детально разберем стандартные и настраиваемые порты для различных сценариев эксплуатации. Вы узнаете, как ограничить диапазон портов рабочих процессов для упрощения администрирования безопасности. Также будут рассмотрены нюансы работы веб-сервера и служб внешних подключений. Правильная настройка сети — это не только доступность, но и защита от несанкционированного доступа извне.
Основные порты сервера 1С:Предприятие (Ragent)
Центральным элементом сетевой архитектуры является менеджер кластера серверов, известный как ragent. Именно этот процесс принимает входящие соединения от тонких и толстых клиентов, а также от веб-серверов. По умолчанию служба 1С:Предприятие 8.3 Сервер слушает TCP-порт 1541. Через этот шлюз происходит первичный handshake (рукопожатие), когда клиент запрашивает список доступных информационных баз.
После того как клиент получил список баз и выбрал нужную, дальнейшая работа с данными уже не идет через порт 1541. Менеджер кластера перенаправляет клиента на конкретный рабочий процесс rphost, который запускается в динамическом диапазоне портов. Именно здесь часто возникает путаница: вы открываете 1541, но подключения все равно не проходят. Это происходит потому, что фаервол блокирует последующее соединение с рабочим процессом.
Для корректной работы в корпоративной сети необходимо обеспечить беспрепятственный проход трафика к менеджеру кластера. Если вы используете стандартную установку на Windows или Linux, убедитесь, что исключение добавлено именно для исполняемого файла ragent.exe или ragent. В некоторых случаях антивирусное ПО может блокировать этот процесс, считая его подозрительным из-за попыток открытия множественных сетевых соединений.
Если вы меняете стандартный порт 1541 в настройках службы, не забудьте обновить правила брандмауэра и переподключить все существующие ярлыки на рабочих местах пользователей.
Диапазон портов рабочих процессов (rphost)
Рабочие процессы rphost — это "двигатели", которые непосредственно выполняют код 1С и обращаются к базе данных. По умолчанию сервер 1С выделяет под них широкий диапазон портов (обычно от 1560 до 1591 или выше, в зависимости от версии платформы и количества ядер). Проблема в том, что при каждом запуске нового сеанса может выбираться случайный порт из этого диапазона.
Открывать весь возможный диапазон в брандмауэре — плохая практика с точки зрения безопасности. Гораздо эффективнее жестко ограничить диапазон портов, используемых кластером серверов. Это делается через утилиту командной строки ras или через консоль управления кластером серверов 1С:Предприятие. Ограничение диапазона позволяет вам открыть в фаерволе всего несколько портов вместо сотен.
Чтобы установить конкретный диапазон, администратор должен выполнить команду на сервере. Например, для ограничения портов рабочими процессами в пределах от 1550 до 1560 используется следующая конструкция. Это сузит поверхность атаки и упростит диагностику сетевых проблем.
ras cluster --cluster=имя_сервера:1541 --range=1550,1560После применения настроек диапазон необходимо проверить. Убедитесь, что в кластере нет активных сессий, которые могли занять порты вне нового диапазона до применения настроек. В противном случае может потребоваться перезапуск службы сервера 1С:Предприятие для вступления изменений в силу.
☑️ Настройка безопасности портов rphost
Сетевое взаимодействие с СУБД
Сервер 1С:Предприятие не хранит данные самостоятельно, он выступает посредником между клиентом и системой управления базами данных (СУБД). Поэтому, помимо портов самой платформы 1С, критически важны порты, по которым сервер 1С общается с SQL-сервером. Если эти порты закрыты, вы получите ошибку соединения с информационной базой, даже если служба 1С работает исправно.
Для наиболее популярной связки 1С + MS SQL Server используется стандартный порт 1433 (TCP). Однако, если используется именованный экземпляр SQL (например, SQLExpress, который часто ставится по умолчанию), порт может быть динамическим. В таком случае работает служба SQL Server Browser, слушающая UDP-порт 1434. Она сообщает клиенту (в данном случае серверу 1С), на каком динамическом порту слушает конкретный экземпляр базы данных.
В случае использования бесплатной и надежной PostgreSQL, ситуация аналогична. Стандартный порт для подключения — 5432. Если вы развернули базу данных на отдельном сервере, убедитесь, что сервер 1С:Предприятие имеет доступ к этому порту по входящим правилам. Часто администраторы забывают открыть доступ именно в направлении от сервера приложений к серверу баз данных.
| Компонент | Протокол | Порт | Назначение |
|---|---|---|---|
| Менеджер кластера (Ragent) | TCP | 1541 | Первичное подключение клиентов |
| Рабочие процессы (Rphost) | TCP | 1550-1560 | Обработка данных сессий (настраиваемый) |
| MS SQL Server | TCP | 1433 | Доступ к данным СУБД |
| PostgreSQL | TCP | 5432 | Доступ к данным СУБД |
| Веб-сервер (IIS/Apache) | TCP | 80 / 443 | Доступ через браузер (HTTP/HTTPS) |
⚠️ Внимание: При использовании именованных экземпляров MS SQL без фиксированного порта, служба SQL Server Browser (UDP 1434) должна быть разрешена в брандмауэре, иначе сервер 1С не сможет найти базу данных.
Порты для веб-доступа и публикации баз
Современные требования к мобильности сотрудников диктуют необходимость доступа к 1С через веб-браузер или тонкий клиент из интернета. Для этого информационные базы публикуются на веб-сервере (IIS, Apache или встроенный веб-сервер 1С). В этом сценарии появляются дополнительные порты, через которые осуществляется передача данных между браузером и сервером приложений.
Стандартный веб-трафик идет через порт 80 (HTTP) или защищенный порт 443 (HTTPS). При публикации базы в IIS создается виртуальный каталог, и именно на эти порты будут стучаться пользователи извне. Важно понимать, что веб-сервер сам обращается к серверу 1С (на порт 1541 и далее на rphost), поэтому цепочка соединений должна быть полной.
Если вы используете встроенный веб-сервер платформы 1С:Предприятие (что допустимо для небольших групп пользователей или тестирования), он по умолчанию слушает порт 8080. Этот порт также необходимо открыть в настройках безопасности операционной системы. Однако для промышленной эксплуатации настоятельно рекомендуется использовать полноценные веб-серверы с поддержкой SSL-шифрования.
Особенности работы HTTPS в 1С
При настройке HTTPS убедитесь, что сертификат установлен в хранилище "Личные" для локального компьютера, а не текущего пользователя, иначе веб-сервер не сможет его подхватить при старте службы.
Файловый режим работы по локальной сети
Не все компании используют клиент-серверный вариант. В небольших организациях до 5-10 пользователей часто применяется файловый режим, когда база данных лежит в общей папке на файловом сервере. В этом случае порты самого приложения 1С не используются для доступа к данным, так как чтение и запись идут напрямую в файлы .1CD.
Здесь ключевую роль играют порты протокола SMB (Server Message Block), используемые операционной системой Windows для обмена файлами. Стандартные порты для работы общих папок — 445 (TCP) и 139 (TCP/UDP). Если эти порты закрыты между рабочим местом пользователя и файловым сервером, 1С выдаст ошибку монопольного захвата или невозможности открытия базы.
При настройке файлового режима стоит учитывать, что трафик 1С в этом случае очень чувствителен к задержкам сети (latency). В отличие от клиент-серверного варианта, где по сети передаются только запросы и результаты, при файловом варианте по сети гоняются страницы данных. Поэтому скорость работы напрямую зависит от пропускной способности канала на порту 445.
Служба внешних подключений и COM-соединения
В сложных инфраструктурах 1С часто выступает не как изолированная система, а как часть экосистемы. Она обменивается данными с сайтами, CRM-системами, оборудованием (сканеры штрих-кода, весы) или другими учетными системами через внешние подключения. Для этих целей может использоваться Служба внешних подключений или технологии COM/DCOM.
Служба внешних подключений 1С:Предприятие позволяет внешним программам подключаться к базе данных как к COM-объекту или через ODBC/JDBC. По умолчанию эта служба использует тот же порт 1541 для регистрации, но для самих соединений могут задействоваться дополнительные диапазоны, если настроена распределенная работа. В конфигурационном файле srvinfo\reg_1541 можно найти настройки ограничений для таких подключений.
При использовании DCOM для взаимодействия между серверами (например, при распределенной информационной базе) настройка портов становится крайне сложной задачей, так как DCOM использует динамические порты в диапазоне 1024-65535. В таких случаях рекомендуется использовать туннелирование или фиксировать порты через реестр Windows, чтобы не открывать весь диапазон в брандмауэре.
⚠️ Внимание: Интерфейсы и точные номера портов для специфических сервисов (например, лицензионного сервера или службы обновления) могут меняться в новых релизах платформы. Всегда сверяйтесь с документацией к конкретной версии 1С:Предприятие, которую вы устанавливаете.
Для стабильной работы внешних интеграций лучше использовать HTTP-сервисы 1С (на портах 80/443), чем устаревшие COM-соединения, требующие сложной настройки DCOM и прав доступа.
Диагностика и проверка открытых портов
После настройки правил брандмауэра необходимо убедиться, что изменения применены корректно и порты действительно открыты для входящих соединений. Существует несколько способов проверки, от простых утилит командной строки до специализированных сканеров. Игнорирование этого этапа может привести к тому, что пользователи будут жаловаться на недоступность системы в час пик.
Самый быстрый способ проверить состояние порта на сервере — использовать утилиту netstat. Она покажет список всех слушающих портов и их состояние. Если порт 1541 отсутствует в списке, значит, служба сервера 1С не запущена или настроена на другой порт. Команда выполняется в командной строке с правами администратора.
netstat -ano | findstr :1541Для проверки доступности порта с удаленного рабочего места используйте утилиту telnet или Test-NetConnection в PowerShell. Попытка подключиться к закрытому порту завершится таймаутом или отказом в соединении. Это верный признак того, что где-то на пути (локальный фаервол, корпоративный шлюз, настройки роутера) стоит блокировка.
Если вы видите, что порт открыт на сервере, но недоступен с клиента, проблема почти наверняка в сетевом экране промежуточного узла или в настройках самого клиента. В корпоративных сетях часто действуют групповые политики (GPO), которые могут перезаписывать локальные настройки безопасности, закрывая нужные порты принудительно.
Используйте команду telnet IP_сервера 1541 для быстрой проверки доступности менеджера кластера. Если экран мигнет и появится черный курсор — порт открыт и принимает соединения.
Какой порт использовать для подключения толстого клиента в файловом режиме?
В файловом режиме работы толстый клиент не использует сетевые порты приложения 1С (1541 и др.). Подключение происходит напрямую к общей папке по протоколу SMB (порт 445). Указание порта в строке подключения к файловой базе не требуется, указывается только сетевой путь (\\server\base).
Можно ли изменить стандартный порт 1541 на другой?
Да, порт менеджера кластера можно изменить. Это делается через свойства службы "1С:Предприятие 8.3 Сервер" в оснастке services.msc или через реестр. После смены порта необходимо обновить правила брандмауэра и исправить строки подключения во всех ярлыках пользователей.
Почему 1С не видит базу при открытом порте 1541?
Скорее всего, заблокирован диапазон портов рабочих процессов (rphost). Порт 1541 используется только для первичного обращения. Для работы с данными клиент должен соединиться с рабочим процессом в диапазоне, настроенном в кластере серверов (по умолчанию 1560-1591).
Нужно ли открывать порты для лицензионного сервера HASP?
Да, если лицензионный сервер (HASP License Manager) установлен на отдельной машине, необходимо открыть UDP-порт 475 для обнаружения ключа и TCP-порт 1947 для управления лицензиями. Без этого 1С запустится в демо-режиме.
Как проверить, какой порт занимает конкретный процесс 1С?
Используйте команду netstat -bno в командной строке от имени администратора. Она покажет список процессов (exe) и соответствующие им порты. Найдите в списке rphost.exe или ragent.exe, чтобы увидеть актуальные номера портов.