Порты кластера серверов 1С: значения по умолчанию и настройка

Кластер серверов 1С использует несколько десятков TCP-портов для связи между компонентами: центральным сервером, рабочими процессами, менеджером кластера и клиентами. Неправильная настройка сетевого экрана или блокировка портов приводит к отказу в подключении, зависанию сеансов и потере данных. В этой статье разберём, какие порты открывать между компонентами 1С, как проверить их доступность и настроить безопасную конфигурацию файрвола.

Архитектура кластера 1С и сетевое взаимодействие

Платформа 1С:Предприятие 8 работает по клиент-серверной модели. Клиентские приложения (толстый, тонкий клиент, веб-клиент) подключаются к кластеру серверов через агент кластера — процесс ragent. Агент принимает запросы на подключение, балансирует нагрузку и передаёт управление рабочим процессам rmngr и rphost.

Компоненты кластера:

• ragent — агент кластера, диспетчер подключений. Стартует автоматически при запуске службы «Агент сервера 1С:Предприятие 8.3» на Windows или сервиса srv1cv83 на Linux.
• rmngr — менеджер кластера. Управляет информационными базами, сеансами пользователей, блокировками. Запускается агентом ragent.
• rphost — рабочий процесс. Выполняет код 1С, обрабатывает запросы клиентов, работает с базой данных. Количество процессов настраивается в конфигураторе (обычно 4-16 на каждом сервере кластера).
• Клиент — толстый клиент 1cv8.exe, тонкий клиент 1cv8c.exe или веб-клиент через браузер.

Взаимодействие происходит по протоколу TCP. Все порты работают в диапазоне от 1540 до 1591 по умолчанию. Изменить их можно в настройках кластера через консоль администрирования или утилиту rac.

Порт сервера 1С по умолчанию: таблица всех портов

Платформа 1С резервирует диапазон портов для различных компонентов. Приводим полный список портов кластера серверов 1С с указанием назначения и направления соединения.

Порт	Компонент	Назначение	Направление соединения
1540	ragent	Агент кластера (главный порт для подключения клиентов)	Клиент → Сервер
1541	rmngr	Менеджер кластера (управление информационными базами)	ragent → rmngr, rphost → rmngr
1560-1591	rphost	Рабочие процессы (обработка запросов клиентов)	ragent → rphost, Клиент → rphost
1545	Консоль кластера	Удалённое администрирование через консоль (rac)	Администратор → ragent
1542-1544	Резерв	Зарезервированы платформой, не используются по умолчанию	—
1550-1559	Резерв	Зарезервированы для дополнительных экземпляров rmngr	—

Основные порты для работы кластера — 1540, 1541 и диапазон 1560-1591. Клиенты сначала подключаются к порту 1540 (ragent), получают информацию о доступных рабочих процессах, затем устанавливают соединение с одним из портов в диапазоне 1560-1591 (rphost). Менеджер кластера на порту 1541 используется для управления базами и блокировками — клиенты к нему напрямую не подключаются.

Какие порты открывать для работы 1С

Набор портов зависит от топологии вашей инфраструктуры. Разберём четыре типовых сценария.

Сценарий 1: один сервер приложений 1С

Клиенты и сервер 1С находятся в одной локальной сети. Все компоненты кластера работают на одном физическом сервере.

Открыть на сервере 1С (входящие):

• TCP 1540 — для подключения клиентов к агенту кластера
• TCP 1541 — для взаимодействия агента с менеджером кластера
• TCP 1560-1591 — для рабочих процессов

Открыть на клиентских машинах (исходящие):

• TCP 1540, 1560-1591 — для подключения к кластеру

Если используете СУБД SQL Server или PostgreSQL, добавьте порты баз данных: 1433 для SQL Server, 5432 для PostgreSQL. Подключение к базе идёт с сервера 1С, поэтому открывайте порты между сервером приложений 1С и сервером СУБД.

Сценарий 2: кластер из двух серверов 1С

Два сервера приложений для балансировки нагрузки. Один из серверов — центральный (на нём работает основной rmngr), второй — рабочий (дополнительные rphost).

Открыть между серверами кластера (двусторонне):

• TCP 1540 — для взаимодействия агентов кластера
• TCP 1541 — для синхронизации менеджеров
• TCP 1560-1591 — для перенаправления клиентов между серверами

Открыть на обоих серверах (входящие от клиентов):

• TCP 1540, 1560-1591

Клиенты могут подключаться к любому из серверов. Агент на первом сервере может перенаправить клиента на рабочий процесс второго сервера, если на первом нет свободных мощностей.

Сценарий 3: веб-сервер с публикацией 1С через IIS или Apache

Клиенты подключаются через браузер к веб-серверу (IIS, Apache), веб-сервер проксирует запросы на сервер приложений 1С.

Открыть между веб-сервером и сервером 1С:

• TCP 1540, 1560-1591 — веб-сервер выступает клиентом для кластера 1С

Открыть на веб-сервере (входящие от пользователей):

• TCP 80 (HTTP) или TCP 443 (HTTPS)

Пользователи не имеют прямого доступа к портам 1540-1591. Связь идёт через веб-сервер. Дополнительно настройте веб-публикацию в конфигураторе 1С: укажите каталог на веб-сервере и параметры виртуального каталога.

Сценарий 4: удалённое администрирование через rac

Администратор подключается к кластеру с удалённой машины через утилиту командной строки rac (remote administration console).

Открыть на сервере 1С (входящие от машины администратора):

• TCP 1545 — порт для консоли администрирования

Утилита rac позволяет управлять кластером без графического интерфейса: создавать и удалять информационные базы, завершать сеансы пользователей, менять параметры кластера. Доступ к порту 1545 должен быть ограничен только для администраторов — через него можно получить полный контроль над кластером.

Настройка Windows Firewall для кластера 1С

Брандмауэр Windows блокирует входящие подключения по умолчанию. Создайте правила для портов кластера 1С вручную через графический интерфейс или PowerShell.

Создание правил через графический интерфейс

Откройте «Панель управления» → «Система и безопасность» → «Брандмауэр Защитника Windows» → «Дополнительные параметры». В меню слева выберите «Правила для входящих подключений», справа — «Создать правило».

1. Тип правила: «Для порта»
2. Протокол: TCP
3. Порты: введите 1540,1541,1560-1591
4. Действие: «Разрешить подключение»
5. Профиль: выберите «Доменный» и «Частный» (если сервер в локальной сети)
6. Имя: укажите «Порты кластера 1С»

Нажмите «Готово». Правило создано. Проверьте, что оно включено в списке правил входящих подключений.

Создание правил через PowerShell

Запустите PowerShell от имени администратора и выполните команду:

New-NetFirewallRule -DisplayName "1C Cluster Ports" -Direction Inbound -Protocol TCP -LocalPort 1540,1541,1560-1591 -Action Allow -Profile Domain,Private

Команда создаёт правило для входящих подключений по TCP на порты 1540, 1541 и диапазон 1560-1591. Профили Domain и Private разрешают подключения только внутри доменной и частной сетей — публичные сети (Wi-Fi в кафе, аэропортах) блокируются.

Для удалённого администрирования добавьте порт 1545:

New-NetFirewallRule -DisplayName "1C Remote Admin" -Direction Inbound -Protocol TCP -LocalPort 1545 -Action Allow -Profile Domain

Ограничьте доступ к порту 1545 только с IP-адресов администраторов через параметр -RemoteAddress:

New-NetFirewallRule -DisplayName "1C Remote Admin (restricted)" -Direction Inbound -Protocol TCP -LocalPort 1545 -Action Allow -RemoteAddress 192.168.1.100,192.168.1.101 -Profile Domain

Замените 192.168.1.100 и 192.168.1.101 на IP-адреса машин администраторов.

Настройка iptables для кластера 1С на Linux

На серверах Linux (CentOS, Ubuntu Server, Debian) используйте iptables или firewalld для открытия портов кластера 1С.

Настройка через iptables

Добавьте правила для входящих подключений:

sudo iptables -A INPUT -p tcp --dport 1540 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 1541 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 1560:1591 -j ACCEPT

Сохраните правила, чтобы они применялись после перезагрузки:

sudo iptables-save > /etc/iptables/rules.v4

На CentOS и Red Hat используйте команду:

sudo service iptables save

Настройка через firewalld

Firewalld используется по умолчанию в CentOS 7-8, Red Hat 7-8, Fedora. Добавьте порты в зону по умолчанию (обычно public):

sudo firewall-cmd --permanent --add-port=1540/tcp
sudo firewall-cmd --permanent --add-port=1541/tcp
sudo firewall-cmd --permanent --add-port=1560-1591/tcp
sudo firewall-cmd --reload

Параметр --permanent сохраняет правила после перезагрузки. Команда --reload применяет изменения без перезапуска firewalld.

Проверьте список открытых портов:

sudo firewall-cmd --list-ports

Вы должны увидеть 1540/tcp 1541/tcp 1560-1591/tcp в выводе команды.

Как проверить доступность портов кластера 1С

После настройки файрвола убедитесь, что порты открыты и доступны для подключения. Используйте утилиты telnet, ncat или Test-NetConnection.

Проверка через telnet

На клиентской машине выполните команду:

telnet 192.168.1.10 1540

Замените 192.168.1.10 на IP-адрес сервера 1С. Если порт открыт, вы увидите пустой экран с мигающим курсором или сообщение «Connected to...». Закройте соединение комбинацией Ctrl+] и командой quit.

Если порт закрыт, telnet выдаст ошибку «Connection refused» или «Could not open connection».

Telnet по умолчанию отключён в Windows 10-11. Включите его через «Панель управления» → «Программы и компоненты» → «Включение или отключение компонентов Windows» → поставьте галочку «Клиент Telnet».

Проверка через PowerShell (Test-NetConnection)

В Windows 10-11 используйте встроенную команду PowerShell:

Test-NetConnection -ComputerName 192.168.1.10 -Port 1540

Если порт открыт, вы увидите TcpTestSucceeded : True в выводе команды. Если закрыт — TcpTestSucceeded : False.

Проверьте все ключевые порты:

Test-NetConnection -ComputerName 192.168.1.10 -Port 1540
Test-NetConnection -ComputerName 192.168.1.10 -Port 1541
Test-NetConnection -ComputerName 192.168.1.10 -Port 1560

Проверка через nmap

Утилита nmap сканирует диапазон портов и показывает статус каждого. Установите nmap на Linux:

sudo apt install nmap

Или скачайте для Windows с официального сайта nmap.org. Выполните сканирование:

nmap -p 1540,1541,1560-1591 192.168.1.10

В выводе команды вы увидите список портов и их статус: open (открыт), closed (закрыт), filtered (заблокирован файрволом).

Изменение портов кластера 1С

По умолчанию кластер 1С использует порты 1540-1591. Измените их, если эти порты заняты другими приложениями или требуется нестандартная конфигурация.

Изменение порта агента кластера (ragent)

Порт агента меняется в реестре Windows или конфигурационном файле на Linux.

Windows:

1. Откройте редактор реестра (Win+R → regedit)
2. Перейдите в ветку HKEY_LOCAL_MACHINE\SOFTWARE\1C\1cv8\8.3\<экземпляр сервера>
3. Найдите параметр MainPort (тип DWORD)
4. Измените значение на нужный порт (например, 2540)
5. Перезапустите службу «Агент сервера 1С:Предприятие 8.3»

Linux:

Откройте файл конфигурации кластера (путь зависит от дистрибутива, обычно /opt/1cv8/conf/conf.cfg или /etc/sysconfig/1cv8-<экземпляр>). Найдите строку:

port=1540

Измените на:

port=2540

Перезапустите службу 1С:

sudo systemctl restart srv1cv83

Изменение диапазона портов рабочих процессов (rphost)

Диапазон портов для rphost настраивается через консоль администрирования кластера или утилиту rac.

Запустите консоль кластера из каталога установки платформы 1С (обычно C:\Program Files\1cv8\8.3\<версия>\bin):

rac cluster --cluster=<идентификатор кластера> --cluster-admin=<администратор> --cluster-pwd=<пароль> --port-range 2560:2591

Параметр --port-range задаёт новый диапазон портов для рабочих процессов. После изменения перезапустите кластер:

rac cluster restart --cluster=<идентификатор кластера>

Изменения вступают в силу после перезапуска всех рабочих процессов.

Частые проблемы с портами кластера 1С

Ошибка «Не удалось соединиться с сервером 1С:Предприятия»

Причина: порт 1540 заблокирован файрволом или служба агента кластера не запущена.

Решение:

1. Проверьте статус службы 1С:
   • Windows: откройте «Службы» (services.msc), найдите «Агент сервера 1С:Предприятие 8.3», убедитесь, что служба запущена
   • Linux: выполните sudo systemctl status srv1cv83
2. Проверьте доступность порта 1540 через telnet или Test-NetConnection
3. Откройте порт в файрволе (см. разделы выше)

Клиенты подключаются, но через несколько минут соединение разрывается

Причина: заблокированы порты рабочих процессов (1560-1591). Клиент подключается к агенту на порту 1540, но не может установить соединение с rphost.

Решение: откройте весь диапазон портов 1560-1591 в файрволе. Недостаточно открыть только 1540 — клиенты должны иметь доступ ко всем рабочим процессам.

Ошибка «Превышен тайм-аут ожидания операции»

Причина: сетевая задержка между клиентом и сервером, перегруженный канал связи, проблемы с маршрутизацией.

Решение:

1. Проверьте пинг до сервера: ping 192.168.1.10 — задержка должна быть менее 50 мс для локальной сети
2. Проверьте загрузку сети на сервере через диспетчер задач (Windows) или iftop (Linux)
3. Увеличьте тайм-ауты подключения в конфигураторе 1С: откройте свойства информационной базы → вкладка «Дополнительно» → увеличьте значение «Тайм-аут соединения» с 10 до 30 секунд

Порт 1540 занят другим приложением

Причина: другой процесс использует порт 1540 (например, другой экземпляр 1С или стороннее ПО).

Решение:

1. Определите, какой процесс занял порт:
   • Windows: netstat -ano | findstr :1540 — последнее число в строке — PID процесса
   • Linux: sudo lsof -i :1540 или sudo netstat -tulpn | grep 1540
2. Завершите процесс или измените порт агента кластера 1С (см. раздел «Изменение портов»)

Безопасность: как ограничить доступ к портам кластера 1С

Открытые порты кластера 1С — потенциальная точка атаки. Ограничьте доступ к портам только с доверенных IP-адресов.

Ограничение доступа по IP-адресам в Windows Firewall

Откройте правило «Порты кластера 1С» в брандмауэре Windows → вкладка «Область» → раздел «Удалённый IP-адрес» → выберите «Указанные IP-адреса» → добавьте диапазон IP-адресов клиентов (например, 192.168.1.0/24).

Через PowerShell:

Set-NetFirewallRule -DisplayName "1C Cluster Ports" -RemoteAddress 192.168.1.0/24

Команда ограничивает доступ к портам кластера только с подсети 192.168.1.0/24.

Ограничение доступа через iptables

Удалите старые правила и добавьте новые с ограничением по IP:

sudo iptables -D INPUT -p tcp --dport 1540 -j ACCEPT
sudo iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 1540 -j ACCEPT
sudo iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 1541 -j ACCEPT
sudo iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 1560:1591 -j ACCEPT

Параметр -s 192.168.1.0/24 разрешает подключения только с указанной подсети. Все остальные запросы блокируются.

Использование VPN для удалённого доступа

Если клиенты подключаются к кластеру 1С через интернет, используйте VPN (OpenVPN, WireGuard, IPsec). Не открывайте порты 1540-1591 наружу — это создаёт риск несанкционированного доступа и DDoS-атак.

Настройте VPN-сервер на пограничном маршрутизаторе или выделенном сервере. Клиенты подключаются к VPN, получают IP-адрес из внутренней сети (например, 10.0.0.0/24) и работают с кластером как локальные пользователи.

Серверное оборудование для кластера 1С

Производительность кластера 1С зависит от конфигурации серверов: количества ядер процессора, объёма оперативной памяти, скорости сетевых адаптеров. Для небольших организаций (до 50 пользователей) достаточно одного сервера. Для средних и крупных компаний (100+ пользователей) рекомендуется кластер из двух-трёх серверов с балансировкой нагрузки.

Критически важна скорость сетевого подключения. Используйте сетевые адаптеры 1GbE или 10GbE для связи между серверами кластера и серверами баз данных. Встроенные сетевые карты 100 Мбит/с не справятся с нагрузкой при работе 50+ пользователей — появятся задержки, зависания, тайм-ауты.

Для построения отказоустойчивой инфраструктуры подключите серверы через коммутаторы Dell PowerSwitch с поддержкой VLAN и агрегации каналов (LACP). Это обеспечит резервирование сетевых подключений и защиту от отказа одного из коммутаторов.

Вопросы и ответы