1. Для чого використовуються VPN?
2. Особливості налаштування VPN з'єднання
3. Всі клієнти отримують адреси в діапазоні локальної мережі
4. VPN З'єднання двох підмереж
5. Налаштування сервера PPTP
6. Налаштування клієнтського комп'ютера
7. Відео: Налаштування VPN сервера на Windows 7

Щоб розібратися з налаштуванням VPN, необхідно розуміти, що ж це таке. VPN (Virtual Private Network) - це віртуальна приватна мережа. У неї входить група протоколів, за допомогою яких можна організувати візуальну мережу поверх незахищеною мережі. Її використовують для того, щоб отримати доступ в інтернет, доступ в корпоративну мережу і об'єднання її сегментів.

На які типи поділяють VPN?

VPN діляться на:

• PPTP (Point-to-point Tunneling Protocol) - тунельний протокол типу точка-точка. Такий протокол організовує захист з'єднання. Для цього створюється тунель поверх стандартної мережі. На даний момент цей тип протоколу не рекомендують, тому що він вважається найнебезпечнішим протоколом. Як організувати такий протокол? Для настройки використовуються 2 мережеві сесії: PPP і TCP сесія. Для установки PPP сесії необхідний протокол GRE. Цю сесію встановлюють для передачі даних. Для управління використовується з'єднання на TCP порту. Через такого «будови» протоколу в готельних і мобільних операторах можуть з'явитися проблеми.
• L2TP (Layer 2 Tunneling Protocol). Цей протокол краще, ніж попередній. Він базується на двох протоколах: PPTP і L2F. У ньому поєднується канали даних і управління, також додається шифрування, що робить його більш безопасним.Помімо цього, є ще одна перевага L2TP перед PPTP - L2TP набагато легше сприймається більшістю брандмауерів, на відміну від PPTP.
• SSTP (Secure Socket Tunneling Protocol) - протокол безпечного тунелювання сокетов. Він ґрунтується на SSL, який є безпечним рівнем сокета і побудований на криптографічного системі з використанням відкритого і закритого ключа. SSTP допускає створення захищеного з'єднання з будь-якого місця за допомогою HTTPS і відкритого порту 443. Його найважливішим гідністю є ефективне використання мережевих ресурсів.

Для чого використовуються VPN?

Давайте більш детально розглянемо найчастіші сфери застосування VPN:

• Вихід в мережу інтернету. Найчастіше, використовується провайдерами міських мереж. Але також цей спосіб досить популярний і в мережах підприємств. Головна його перевага полягає в володінні високим рівнем безпеки. Цьому факту сприяє здійснення доступу в інтернет через дві різні між собою мережі. Це дозволяє задати для них різні рівні безпеки. Класичне рішення має на увазі в собі роздачу інтернету в корпоративну мережу. У цьому випадки витримати рівні безпеки для локального та інтернет трафіку практично неможливо.
• Доступ в корпоративну мережу зовні. Також існує можливість об'єднання мереж всіх філій в одну мережу. Ця функція і є основною метою розробників VPN - можливість організації безпечної роботи в єдиній корпоративної мережі для користувачів, розташування яких поза підприємства. Досить широко застосовується в якості з'єднувача територіально-рознесених підрозділів, забезпечення виходу в мережу для співробітників, які перебувають у відрядженні чи у відпустці, відкриває можливість працювати, не виходячи з власного будинку.
• Об'єднання компонентів корпоративної мережі. Найчастіше мережу підприємства включає в себе певну кількість сегментів, які мають різні рівні безпеки і довіри. У цій ситуації для взаємодії між сегментами можна застосувати VPN. Це рішення вважається найбільш безпечним, якщо порівнювати його з простим з'єднанням. Роблячи таким чином можна організувати доступ мережі складів до окремих ресурсів мережі відділу реалізації. У зв'язку з тим, що це окрема логічна мережа, для неї можна задати потрібні вимоги з безпеки і при цьому не втручатися в функціональний процес окремих мереж.

Особливості налаштування VPN з'єднання

Присутній велика ймовірність того, що клієнтами VPN будуть робочі станції під управлінням операційної системи Windows. Але необхідно підкреслити, що сервер може безперешкодно виконувати свої основні функції як під Windows, так і під Linux або BSD. У зв'язку з цим ми приступимо до розгляду Windows 7. Не варто зупиняти свою увагу на базових налаштуваннях. У них немає нічого складного, і вони зрозумілі абсолютно кожному користувачеві. Потрібно зупинитися на одному тонкому нюансі:

• Під час підключення стандартного VPN з'єднання головний шлюз буде вказано для VPN мережі, іншими словами, на клієнтській машині інтернет повністю зникне або ж буде використовуватися через підключення в будь-якої віддаленої мережі. Таке незручність може привести до істотних фінансових витрат - подвійної оплати трафіку (перший раз оплачується віддалена мережа, а вдруге мережу провайдера). Щоб не допустити таких ситуацій необхідно на закладці «Мережа», у властивостях протоколу TCP / IPv4, натиснути кнопку «додатково» і в новому відкритому вікні зняти галочку з позиції «Використовувати основний шлюз в віддаленої мережі». На малюнку можна візуально ознайомитися з цією дією.

Це питання не вимагав докладного розгляду, якби не масові виникнення проблем і незнання причин такої дивної поведінки VPN з'єднання у багатьох системних співробітників.

Що ж таке маршрутизація? Якщо особливо не вдавться в подробиці темріналогій то можна сказати, що це сукупність правил, які визначають маршрут прямування даних в зв'язкових мережах. Їх можна порівняти з дорожніми покажчиками і розміткою. Уявіть собі ситуацію: ви потрапили в абсолютно чужий для вас місто, де отсуствуют будь-які знаки і розмітка на перехрестях. Ви впадаєте в розгубленість. Аналогічна ситуація відбувається і в мережах. Люие мережеві пакети здійснюють своє пересування згідно певним набором правил - таблиць маршрутизації. Саме завдяки їм можна відправити документ на мережевий принтер для його роздруківки, а електронного листа потрапить точно адресатом.

Якщо ж ви бажаєте використовувати VPN з'єднання в якості роботи віддалених клієнтів в корпоративній мережі, то виникає необхідність настройки маршрутів. Якщо ж не провести цей процес, то, як тоді пакет самостійно визначить, що йому необхідно саме через тунель потрапити в вашу корпоративну мережу? Ви ж не вказуєте в поштовому листі або телеграмі, що її потрібно доставити «бабусі в село».

На сьогоднішній день відомі кілька способів побудови віртуальної мережі. Кожен з них має на увазі в собі свою унікальну схему маршрутизації. Давайте розглянемо їх детальніше:

Всі клієнти отримують адреси в діапазоні локальної мережі

Цей варіант функціонує тільки за умови підтримки з боку Proxy ARP, що дозволяє об'єднати дві які зв'язкові між собою мережі в одну цілу. Вважається, що всі хости розташовані на одній фізичній мережі і обмінюються трафіком без додаткової маршрутизації.

Основними перевагами цього способу є простота і повний доступ до мережі віддалених клієнтів. Однак в такому випадку ви отримуєте низький рівень безпеки і неможливість розмежування доступу між користувачами локальної мережі і VPN клієнтам.

В результаті клієнти можуть отримати адреси в діапазоні, який не є частиною локальної мережі, але який маршрутизируется з неї.

В такому випадку віддалені клієнти виділяються в окрему підмережу (на зображенні це 10.0.1.0/24). При цьому на малюнку видно, що обидві підмережі можуть бути складовими загальної мережі - 10.0.0.0/23. Таким чином, управління структурою може здійснюватися за допомогою маршрутизації або маски підмережі.

Перший варіант полягає в переміщенні комп'ютерів в мережу 10.0.0.0/23 (для цього необхідно змінити маску мережі на 255.255.254.0), що надасть йому доступ до обох подсетям.

Другий варіант полягає в напрямку пакетів з однієї підмережі в іншу за допомогою шлюзу. Цей спосіб краще підходить для цієї ситуації, так як ми отримаємо можливість налаштовувати правила для різних підмереж, створюючи різні рівні довіри.

Для того щоб отримати доступ до комп'ютера клієнта, що знаходиться в одній підмережі, в іншу, слід використовувати статичну маршрутизацію. Записи будуть мати такий шаблон:

XXXX mask YYYY ZZZZ

У цьому шаблоні мережу - Х.Х.Х.Х, маска мережі - YYYY, а шлюз - ZZZZ для того щоб додати маршрут в ОС Windows потрібно скористатися командою routeadd. Загальна запис команди виглядає так:

routeadd XXXX mask YYYY ZZZZ

В ОС Linux запис трохи змінює свою форму, але в цілому залишається незмінною:

routeadd -net XXXX netmask YYYY gw ZZZZ

Варто відзначити, що команди діють до першого перезавантаження. Хоча це створює певні труднощі, цією властивістю можна скористатися при помилку в створенні маршруту. Після того як ви переконалися, що все працює правильно, слід додати постійні маршрути. Для цього до вже відомої нам команді слід додати ключ -p:

routeadd XXXX mask YYYY ZZZZ -p

Щоб здійснити це в Ubuntu, після опису інтерфейсу в файлі / etc / network / interfaces, слід додати рядок:

uprouteadd -net XXXX netmask YYYY gw ZZZZ

Тепер повернемося до маршрутів. Для того щоб надати доступ до локальної мережі, слід для віддалених клієнтів прописати до неї маршрут:

10.0.0.0 mask 255.255.255.0 10.0.1.1

І навпаки: для здійснення доступу з локальної мережі до ПК віддалених клієнтів слід прописати

10.0.1.0 mask 255.255.255.0 10.0.0.1

Таку схему рекомендується використовувати в більшості випадків, адже ви зможете регулювати права клієнтів в локальній мережі.

Дистанційні клієнти мають адреси, які не є частиною локальної мережі, але можуть з неї маршрутизироваться.

Зверніть увагу, що ця схема не розрахована на маршрутизацію з локальної мережі в віддалену. Найчастіше вона використовується для надання доступу клієнтам з низьким ступенем довіри. Таким чином, клієнтам доступні тільки опубліковані в VPN ресурси. Варто зазначити, що для доступу до локальної мережі цього недостатньо - додатково слід налаштувати сервер на трансляцію пакетів з віддаленої мережі в локальну і назад.

Публікацію ресурсу в мережі VPN можна здійснити наступними шляхами: за допомогою розміщення його на VPN сервері і вирішенню доступу до нього з віддаленої мережі, шляхом прокинути порти в віддалену мережу або ж підключення ресурсу в ролі клієнта мережі. Нижче представлена ​​схема, на якій зображений сервер терміналів з маршрутом 10.0.0.2, доступний за адресою 172.16.0.2 віддаленої мережі.

VPN З'єднання двох підмереж

Наведена схема служить для з'єднання декількох підмереж в цілісну єдину мережу. Така мережа має більш складну структуру. Однак якщо зрозуміти процес напрямки пакетів через інтерфейси, відразу все стає на місця. За даних умов XXXX - IP адреса основного офісу, а філії мають сірі IP адреси. Роутер офісу здійснює підключення в якості клієнта. На ньому знаходиться VPN сервер.

Тепер поговоримо про маршрутизації. Клієнти підмережі LAN1 виробляють передачу пакетів до підмережі LAN2 на мережевий шлюз роутера. Так само роутер передає пакети на протилежний кінець VPN тунелю. Точно така ж маршрутизація повинна бути проведена для підмережі LAN2.

Для цього необхідно написати маршрут до LAN2 на клієнтах підмережі LAN1:

10.0.1.0 mask 255.255.255.0 10.0.0.1

Потрібно також прописати маршрут іншого кінця тунелю на роутері LAN1:

10.0.1.0 mask 255.255.255.0 172.16.0.2

Для клієнтів LAN2 маршрути повинні мати наступний вигляд:

10.0.0.0 mask 255.255.255.0 10.0.1.1

PPTP є простим в реалізації протоколом. Але не варто забувати про те, що не потрібно використовувати його при роботі з найважливішими даними, оскільки PPTP - слабкозахищеній протокол.

Створена нами в тестовій лабораторії схема, яка допоможе практично ознайомитись з технологією:

Ми маємо локальну мережу 10.0.0.0/24, в якій розташований роутер, що виконує функції VPN сервера термінальний сервер. Для VPN була закріплена мережу з маршрутом 10.0.1.0/24. Зовнішній вигляд сервера має домовлений адреса XXXX Нам необхідно надати доступ віддаленим клієнтам до ресурсів термінального сервера.

Налаштування сервера PPTP

Встановлюємо пакет pptpd:

sudo apt-get install pptpd

Далі запускаємо /etc/pptpd.conf і задаємо найбільш важливі настройки VPN сервера. Для цього вказуємо в кінці файлу адреса сервера:

localip 10.0.1.1

Для видачі клієнтам вказуємо діапазон адрес:

remoteip 10.0.1.200-250

Чи не перезапустивши pptpd, неможливо буде збільшити кількість адрес, тому необхідно ставити їх з запасом. Необхідно також знайти і переписати рядок:

bcrelay eth1

Існує дві опції, які можливо використовувати. Це listen і speed. За допомогою listen вказується IP адреса від локального інтерфейсу. Потрібно це з метою прослуховування РРТР-з'єднання. Другий - speed - дозволяє з точністю показати VPN-з'єднання в біт / с. Як приклад можна взяти дозвіл для серверів прийом РРТР-з'єднання, але лише при зовнішньому інтерфейсі:

listen XXXX

У файлі / etc / ppp / pptpd - options знаходяться настройки набагато тонше. Беручи настройки «за замовчуванням», це буде найбільш відповідати необхідним вимогам. Для кращого уявлення варто розповісти про декілька з них.

За шифровку доданих даних, а також перевірку на справжність несе відповідальність секція #Encryption. Будь імовірно небезпечний протокол типу CHAP, PAP і MS-CHAP, застарілі протоколи забороняються опціями:

refuse-pap
refuse-chap
refuse-mschap

Наступним етапом є застосування протоколу перевірки на справжність (MS-CHAP v2, а також 128-бітове MPPE-128):

require-mschap-v2
require-mppe-128

Далі варто згадати про секцію #Network і Routing. Секція для використання DNS-серверів, орієнтуючись на внутрішню мережу. Чому це, найімовірніше, стане вельми вигідним? Тому що дозволяє звернути сигнал безпосередньо до комп'ютера через імена, не тільки через IP. Таке можливо при вмісті в DNS всіх портативних комп'ютерів. Але в нашій ситуації вищевказана опція абсолютно марна. В цьому випадку потрібно всього лише ввести адресу WINS-сервера через опцію ms-wins.

У тому ж розділі є proxyarp опція. Вона включає в себе підтримку за допомогою сервера Proxy ARP.

Наступна секція #Miscellaneous і міститься в ній lock-опція. Лімітує можливості будь-якого клієнта всього лише через одне підключення.

Настроювання сервера цілком можна вважати завершеним процесом. Останнє, що залишилося, це розробити самих користувачів. Для того щоб зробити це, внесіть в / etc / ppp / chap-secrets всі потрібні записи:

ivanov * 123 *
petrov * 456 10.0.1.201

Перший запис дає можливість підключитися до сервера користувачеві, пароль якого 123, а також присвоюється персональний IP-адреса. Другий запис створює наступного користувача. Вона так само видає йому постійна адреса (10.0.1.201).

Далі потрібно перезапустити pptpd:

sudo /etc/init.d/pptpd restart

Зверніть увагу! У тих випадках, коли pptpd відмовляє в перезапуску, висне, / var / log / syslog видає рядок про long config file line ignored, негайно вводите в кінці файлу /etc/pptpd.conf перенесення рядки.

Нарешті, сервер повністю підготовлений до роботи.

Налаштування клієнтського комп'ютера

У більшості випадків для VPN з'єднання підходять настройки «за замовчуванням», але не буде зайвим вказати конкретний тип з'єднання і відключити протоколи шифрування, які не будуть використовуватися.

Після цього, потрібно прописати адреси статичних маршрутів і основного шлюзу, при цьому враховуючи особливості структури мережі. Дані питання розглядалися в попередніх розділах.

Після установки VPN з'єднання можемо пропінгувати будь-який комп'ютер, що входить в локальну мережу, так ми без особливих зусиль отримуємо доступ до термінального сервера:

Увага, ще одне важливе зауваження! Найчастіше доступ до ПК в локальній мережі буде здійснюватися по IP адресам. Мається на увазі - шлях \\\\ 10.0.0.1 буде робочим, а \\\\ SERVER - не буде працювати. Такий варіант буде досить незвичним для користувачів і може викликати додаткові труднощі. Від цих проблем можна позбутися кількома способами:

1. Якщо ваша мережа побудована на основі доменної структури, тоді необхідно для VPN з'єднання адресою DNS-сервера вказати адресу сервера контролера домену. Можна скористатися функцією в настройках сервера ms-dns в / etc / ppp / pptpd-options і дані настройки клієнтом будуть виходити автоматично.
2. Якщо у вашій мережі відсутня DNS сервер, тоді можна створити WINS-сервер і аналогічно налаштувати для нього автоматичну передачу даних для клієнтських комп'ютерів, використовуючи опцію ms-wins.
3. Якщо кількість віддалених клієнтів невелика, ви можете налаштувати файли hosts на кожному з комп'ютерів, прописавши в них рядок виду: 10.0.0.2 SERVER. Файл hosts ви можете знайти в папці (C: \\ Windows \\ System32 \\ drivers \\ etc \\ hosts).

Основою нашого сервера став маршрутизатор, який використовує WindowsServer 2008 R2. Налаштування сервера розглядалася раніше. Налаштування актуальні і для серверів на основі WindowsServer 2003 - 2008 з невеликими особливостями.

Налаштування закінчена і, в крайньому випадку, в процесі запуску майстра, необхідно буде вибрати потрібну конфігурацію. При відкритті диспетчера сервера, в ролях потрібно знайти «маршрутизація і віддалений дост п» зайти в її властивості (відкривається за допомогою правої кнопки миші). У вікні, потрібно встановити перемикач «IPv4» в стан локальної мережі і виклику на вимогу і встановити галочку навпроти «IPv4 сервер віддаленого доступу«.

Після даних маніпуляцій потрібно в закладці «безпека» вибрати перевірку справжності за допомогою протоколу MS-CHAPV2 і заборонити підключення без перевірки.

Далі слід ще одна закладка IPv4. На ній потрібно позначити з якого діапазону значень клієнти VPN мережі будуть отримувати свої адреси, і встановити інтерфейс, який буде прийнятий підключенням.

Після збереження змін, служба увімкнеться знову і додасться роль VPN сервера. В консолі (ліва частина) повинен з'явитися пункт «порти», в його властивості нам і потрібно зайти. За замовчуванням система створює 5 PPTP і 5 L2TP портів. В налаштуваннях PPTP встановлюємо галочки навпроти підключення на вимогу і підключення віддаленого доступу. Крім цього, необхідно вказати максимальну кількість портів. Всі зайві порти рекомендується відключити.

На даному етапі налаштування сервера може вважатися завершеним дією. Необхідно лише визначити кількість користувачів, для яких буде доступний віддалений доступ до сервера.

Налаштування доступу проводиться розділі локальних користувачів і груп, де знаходимо «властивості користувача» і дозволяємо доступ в розділі «права доступу до мережі» у «вхідні дзвінки».

Щоб упевнитися в правильності всіх налаштувань, потрібно підключитися з комп'ютера клієнта, при цьому вибравши потрібний нам тип перевірки доступу. Список підключених клієнтських комп'ютерів можна побачити в консолі, де розташований пункт «Клієнти віддаленого доступу».

Для твору діагностики проблем з підключенням в першу чергу необхідно вивчати журнал подій, в якому фіксуються всі найбільш важливі події. В описах ви зможете знайти повну інформацію для швидкого виявлення та усунення виниклої проблеми.

Відео: Налаштування VPN сервера на Windows 7

Відео: Налаштування VPN сервера на Windows 8 R2

Поділитися "Налаштування VPN сервера та клієнтського комп'ютера"

Цікаве по темі: