Порты 1С-сервера 8.3: какие открыть в брандмауэре Windows

Клиент-серверная работа в 1С:Предприятие 8.3 требует, чтобы сетевые порты на сервере были открыты и доступны для клиентских подключений. Если брандмауэр Windows или аппаратный файрвол блокирует нужные порты, пользователи не смогут подключиться к базе — соединение будет обрываться или зависать при запуске. В этом гайде разбираем, какие порты использует 1С-сервер, как правильно настроить Windows Firewall и как диагностировать проблемы с подключением.

Инструкция актуальна для 1С:Предприятие 8.3 всех редакций (платформа 8.3.10 и выше), Windows Server 2012 R2–2022, MS SQL Server 2012–2022, PostgreSQL 10–15.

Какие порты использует 1С-сервер 8.3

1С:Предприятие работает по архитектуре «клиент — агент сервера — рабочий процесс — СУБД». Каждый компонент использует отдельные порты TCP для входящих соединений. Порты можно оставить по умолчанию или изменить в конфигурационных файлах.

Основные порты 1С-сервера

Компонент	Порт по умолчанию	Протокол	Назначение
Агент сервера (ragent)	1540	TCP	Принимает подключения от клиентов, распределяет запросы на рабочие процессы
Менеджер кластера (rmngr)	1541	TCP	Управление кластером серверов через консоль администрирования
Рабочие процессы (rphost)	1560–1591	TCP	Обработка клиентских запросов (диапазон — по количеству процессов)
Сервер HTTP	80, 443	TCP	Веб-клиент и публикация на портале (если используется)

Важно: если на сервере работает несколько кластеров 1С (например, боевой и тестовый), каждый должен использовать отдельные порты. Конфликт портов приведёт к ошибке запуска службы.

Порты СУБД для 1С-сервера

1С-сервер обращается к базе данных через локальное или сетевое подключение. Если СУБД установлена на отдельном сервере, дополнительно открываем порты для MS SQL Server или PostgreSQL.

СУБД	Порт по умолчанию	Протокол	Назначение
MS SQL Server	1433	TCP	Клиентские подключения к SQL Server
MS SQL Server (именованный экземпляр)	Динамический	TCP	Зависит от настроек SQL Server Configuration Manager
MS SQL Browser	1434	UDP	Определение порта для именованных экземпляров SQL
PostgreSQL	5432	TCP	Клиентские подключения к PostgreSQL

Если используется именованный экземпляр MS SQL Server (например, SQLEXPRESS), нужно либо зафиксировать порт в настройках SQL, либо открыть UDP-порт 1434 для службы SQL Server Browser — она сообщает клиентам, на каком динамическом порту слушает экземпляр.

Как узнать, какие порты использует ваш 1С-сервер

Если сервер уже установлен, но вы не помните, какие порты были назначены при настройке, есть несколько способов их проверить.

Через консоль администрирования 1С

Запустите Администрирование серверов 1С:Предприятия (ярлык в меню «Пуск» или C:\Program Files\1cv8\common\1cestart.exe).
Подключитесь к центральному серверу: укажите адрес сервера и порт агента (по умолчанию 1540).
Раскройте узел кластера → Рабочие серверы → выберите сервер.
В свойствах сервера смотрите Главный порт (агент) и Диапазон портов рабочих процессов.

Через конфигурационные файлы

Настройки портов хранятся в файле ragent.exe.config (путь по умолчанию: C:\Program Files\1cv8\srvinfo\reg_1541\).

Откройте файл текстовым редактором и найдите параметры:

<agent port="1540" /> — порт агента сервера
<manager port="1541" /> — порт менеджера кластера
<cluster port="1560" range="32" /> — начальный порт и количество рабочих процессов (в примере: 1560–1591)

Через утилиту netstat

Если сервер запущен, можно посмотреть активные порты через командную строку Windows:

netstat -ano | findstr "ragent"

Команда покажет список портов, которые слушает процесс ragent.exe. Столбец «Локальный адрес» содержит порты в формате 0.0.0.0:1540.

Настройка Windows Firewall для 1С-сервера

По умолчанию брандмауэр Windows блокирует все входящие подключения, кроме разрешённых правилами. Для корректной работы 1С нужно создать правила для портов агента, менеджера кластера и рабочих процессов.

Создание правила для портов 1С через графический интерфейс

Откройте Панель управления → Система и безопасность → Брандмауэр Защитника Windows → Дополнительные параметры.
В левой панели выберите Правила для входящих подключений.
В правой панели нажмите Создать правило.
Тип правила: Для порта → Далее.
Протокол: TCP. Укажите Определённые локальные порты: 1540, 1541, 1560-1591 → Далее.
Действие: Разрешить подключение → Далее.
Профиль: оставьте все три галочки (Доменный, Частный, Публичный) → Далее.
Имя правила: 1C Enterprise Server 8.3 → Готово.

Правило создано. Теперь клиенты могут подключаться к серверу по портам 1540–1591.

Настройка через командную строку (PowerShell)

Если нужно автоматизировать настройку (например, через скрипты развёртывания), используйте PowerShell. Откройте PowerShell от имени администратора и выполните команды:

New-NetFirewallRule -DisplayName "1C Server Agent" -Direction Inbound -Protocol TCP -LocalPort 1540 -Action Allow

New-NetFirewallRule -DisplayName "1C Cluster Manager" -Direction Inbound -Protocol TCP -LocalPort 1541 -Action Allow

New-NetFirewallRule -DisplayName "1C Working Processes" -Direction Inbound -Protocol TCP -LocalPort 1560-1591 -Action Allow

Команды создают три отдельных правила для каждого компонента. Проверить правила можно командой:

Get-NetFirewallRule -DisplayName "1C*"

Открытие портов для MS SQL Server

Если SQL Server установлен на отдельном сервере, на нём тоже нужно настроить брандмауэр. Для стандартного экземпляра SQL достаточно одного правила:

New-NetFirewallRule -DisplayName "MS SQL Server" -Direction Inbound -Protocol TCP -LocalPort 1433 -Action Allow

Для именованного экземпляра (например, SQLEXPRESS) дополнительно откройте UDP-порт 1434 для службы SQL Server Browser:

New-NetFirewallRule -DisplayName "MS SQL Browser" -Direction Inbound -Protocol UDP -LocalPort 1434 -Action Allow

Если вы зафиксировали статический порт для именованного экземпляра в SQL Server Configuration Manager (рекомендуется для продакшена), откройте этот порт вместо 1434:

New-NetFirewallRule -DisplayName "MS SQL Named Instance" -Direction Inbound -Protocol TCP -LocalPort 14330 -Action Allow

(В примере используется порт 14330 — замените на свой.)

Типовые конфигурации портов для разных сценариев

В зависимости от архитектуры инфраструктуры набор открытых портов может отличаться. Ниже — готовые конфигурации для популярных сценариев развёртывания 1С.

Сценарий	Компоненты	Порты для открытия	Примечание
Один сервер (всё на одной машине)	1С + SQL на одном сервере	1540, 1541, 1560–1591	SQL работает локально — внешний порт не нужен
Двухуровневая архитектура	1С-сервер + отдельный SQL-сервер	1С: 1540, 1541, 1560–1591 SQL: 1433	На SQL-сервере открыт 1433 для 1С
Кластер 1С (несколько серверов приложений)	Центральный + рабочие серверы	Все серверы: 1540, 1541, 1560–1591	Серверы общаются между собой по тем же портам
Веб-клиент через IIS	1С + IIS	80 (HTTP), 443 (HTTPS), 1540, 1541, 1560–1591	IIS проксирует запросы на 1С-сервер
Удалённая публикация через RDP	Terminal Server + 1С толстый клиент	3389 (RDP), 1540, 1541, 1560–1591	Пользователи работают через терминальные сессии

Рекомендация: для продакшен-окружений разделяйте 1С-сервер и СУБД на разные физические (или виртуальные) машины. Это упрощает масштабирование и повышает отказоустойчивость. Для виртуализации подходят серверы начального уровня с поддержкой ECC-памяти и аппаратного RAID.

Частые ошибки при настройке портов 1С-сервера

Ошибка «Не удалось установить соединение с агентом сервера»

Причина: брандмауэр блокирует порт 1540, или служба 1С-сервера не запущена.

Решение: проверьте, что правило для порта 1540 создано и активно. Откройте Службы Windows (services.msc), найдите Сервер 1С:Предприятие 8.3 и убедитесь, что служба запущена. Если служба не стартует, проверьте журнал событий Windows (Event Viewer) — там будут детали ошибки.

Клиенты подключаются, но «зависают» при открытии базы

Причина: открыт порт агента (1540), но не открыты порты рабочих процессов (1560–1591).

Решение: агент принимает соединение и перенаправляет клиента на рабочий процесс, но клиент не может подключиться к процессу из-за блокировки. Откройте диапазон портов 1560–1591 (или тот диапазон, который настроен у вас).

Ошибка «Соединение с SQL Server не установлено»

Причина: брандмауэр на SQL-сервере блокирует порт 1433, или SQL Server не слушает TCP-подключения.

Решение: откройте SQL Server Configuration Manager → Сетевая конфигурация SQL Server → Протоколы для [имя экземпляра]. Убедитесь, что протокол TCP/IP включён. Перезапустите службу SQL Server. Затем откройте порт 1433 в брандмауэре Windows на SQL-сервере.

Порты открыты, но подключение не работает из других подсетей

Причина: аппаратный файрвол или маршрутизатор блокирует трафик между подсетями.

Решение: проверьте правила на сетевом оборудовании (Cisco ASA, FortiGate, pfSense и т.д.). Если используется VLAN-сегментация, убедитесь, что между VLAN разрешён трафик на порты 1540–1591. Используйте команду telnet <IP-сервера> 1540 с клиентской машины — если соединение не устанавливается, проблема на сетевом уровне.

Диагностика проблем с подключением к 1С-серверу

Если после настройки брандмауэра клиенты всё равно не могут подключиться, проведите пошаговую диагностику.

Проверка доступности портов с клиентской машины

Откройте командную строку на клиентском компьютере и выполните:

telnet <IP-адрес-сервера> 1540

Если команда telnet не найдена, установите компонент через Программы и компоненты → Включение или отключение компонентов Windows → Клиент Telnet.

Если соединение успешно, вы увидите пустой экран — это нормально. Если «не удаётся подключиться», порт заблокирован.

Альтернатива: используйте PowerShell-команду Test-NetConnection -ComputerName <IP-адрес> -Port 1540. В выводе смотрите параметр TcpTestSucceeded — должно быть True.

Проверка правил брандмауэра на сервере

На сервере откройте PowerShell и выполните:

Get-NetFirewallRule -DisplayName "*1C*" | Select-Object DisplayName, Enabled, Direction, Action

Убедитесь, что правила включены (Enabled: True), направление Inbound, действие Allow.

Проверка логов 1С-сервера

Логи сервера 1С хранятся в папке C:\Program Files\1cv8\srvinfo\reg_1541\ (путь может отличаться). Найдите файлы с расширением .log и откройте последний. Ищите строки с ошибками:

Error binding to port 1540 — порт занят другим приложением.
Access denied — служба запущена без прав администратора.
Connection refused — клиент подключился к агенту, но не смог подключиться к рабочему процессу.

Сброс настроек брандмауэра (крайний случай)

Если правила запутались и неясно, что блокирует соединение, можно временно отключить брандмауэр для теста:

Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False

Попробуйте подключиться с клиента. Если подключение работает, проблема точно в брандмауэре — пересоздайте правила. После теста обязательно включите брандмауэр обратно:

Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True

Внимание: не оставляйте брандмауэр отключённым на боевых серверах. Это критическая уязвимость безопасности.

Дополнительные рекомендации по безопасности

Открытие портов 1С-сервера в брандмауэре — необходимая мера, но она снижает уровень защиты сервера. Используйте дополнительные меры для безопасной эксплуатации.

Ограничение доступа по IP-адресам

Если клиенты подключаются из фиксированных подсетей (например, офисная сеть), настройте правила брандмауэра с ограничением по источнику:

New-NetFirewallRule -DisplayName "1C Server (Office Network Only)" -Direction Inbound -Protocol TCP -LocalPort 1540-1591 -RemoteAddress 192.168.1.0/24 -Action Allow

Это запретит подключения из других сетей.

Использование VPN для удалённых сотрудников

Вместо открытия портов 1С-сервера в интернет настройте VPN-туннель (OpenVPN, WireGuard, IPSec). Пользователи подключаются через VPN, получают IP из корпоративной сети и работают с 1С как из офиса. Это безопаснее, чем публичное открытие портов.

Регулярное обновление платформы 1С

Следите за выходом обновлений платформы 1С:Предприятие. Обновления закрывают уязвимости и улучшают стабильность сервера. Установка обновлений не требует пересоздания правил брандмауэра — порты остаются прежними.

Часто задаваемые вопросы

Можно ли изменить порты 1С-сервера после установки?

Да, порты меняются в конфигурационном файле ragent.exe.config. Остановите службу 1С-сервера, откройте файл, измените параметры port для агента, менеджера и рабочих процессов, сохраните, запустите службу. После изменения обновите правила брандмауэра — удалите старые и создайте новые с актуальными портами. Не забудьте обновить настройки подключения в клиентских приложениях — в списке информационных баз укажите новый порт сервера.

Нужно ли открывать порты для тонкого и толстого клиента 1С отдельно?

Нет, оба типа клиентов (тонкий и толстый) используют одни и те же порты сервера 1С — 1540 для агента и 1560–1591 для рабочих процессов. Разница в том, что тонкий клиент легче, работает через веб-сервер (если настроена публикация), но для прямого подключения к серверу приложений оба клиента используют одинаковый протокол TCP.

Как узнать, сколько рабочих процессов запущено на сервере 1С?

Откройте консоль администрирования 1С (1cestart.exe), подключитесь к кластеру, раскройте узел «Рабочие серверы» и выберите сервер. В свойствах сервера смотрите параметр «Количество рабочих процессов». Также можно посмотреть через Диспетчер задач Windows — процессы называются rphost.exe. Количество процессов rphost равно количеству рабочих процессов. Каждый процесс занимает один порт из диапазона 1560–1591.

Порты 1С-сервера: какие открыть в брандмауэре для подключения