V در این اواخردر دنیای ارتباطات از راه دور علاقه فزاینده ای وجود دارد شبکه های خصوصی مجازی (شبکه خصوصی مجازی - VPN)... این امر به دلیل نیاز به کاهش هزینه های نگهداری شبکه های شرکتی به دلیل اتصال ارزان تر دفاتر راه دور و کاربران از راه دور از طریق اینترنت است. در واقع، هنگام مقایسه هزینه خدمات برای اتصال چندین شبکه از طریق اینترنت، به عنوان مثال، با شبکه ها رله فریمقابل مشاهده است تفاوت معنی داردر هزینه با این حال، باید توجه داشت که هنگام اتصال شبکه ها از طریق اینترنت، بلافاصله این سوال در مورد امنیت انتقال داده ها مطرح می شود، بنابراین، ایجاد مکانیسم هایی برای اطمینان از محرمانه بودن و یکپارچگی اطلاعات ارسال شده ضروری شد. شبکه هایی که بر اساس چنین مکانیزم هایی ساخته شده اند VPN نامیده می شوند.

همچنین، اغلب اوقات انسان مدرنوقتی کسب و کار خود را توسعه می دهید، باید زیاد سفر کنید. اینها می تواند سفر به نقاط دورافتاده کشورمان یا کشورهای خارجی باشد. اغلب افراد نیاز به دسترسی به اطلاعات ذخیره شده در رایانه خانگی خود یا رایانه شرکت دارند. این مشکل را می توان با سازماندهی دسترسی از راه دور به آن با استفاده از مودم و خط تلفن حل کرد. استفاده از خط تلفن ویژگی های خاص خود را دارد. عیب این راه حل این است که تماس از یک کشور دیگر هزینه زیادی دارد. همچنین راه حل دیگری به نام VPN وجود دارد. مزایای فناوری VPN این است که سازماندهی دسترسی از راه دور از طریق انجام نمی شود خط تلفن، اما از طریق اینترنت که بسیار ارزانتر و بهتر است. به نظر من تکنولوژی

VPN چشم انداز پذیرش گسترده در سراسر جهان را دارد.

1. مفهوم و طبقه بندی شبکه های VPN، ساخت و ساز آنها

1.1 VPN چیست

VPN(انگلیسی مجازی خصوصی شبکه- شبکه خصوصی مجازی) - یک شبکه منطقی که در بالای شبکه دیگری مانند اینترنت ایجاد می شود. علیرغم این واقعیت که ارتباطات از طریق شبکه های عمومی با استفاده از پروتکل های ناامن انجام می شود، رمزگذاری کانال های تبادل اطلاعات را ایجاد می کند که از خارج بسته می شود. VPN به شما این امکان را می دهد که به عنوان مثال چندین دفتر یک سازمان را با استفاده از کانال های کنترل نشده برای ارتباط بین آنها در یک شبکه واحد ترکیب کنید.

به گفته او ماهیت VPNبسیاری از ویژگی های یک خط اجاره ای را دارد، اما در یک شبکه عمومی مانند اینترنت مستقر است. با تکنیک تونل زنی، بسته های داده از طریق شبکه عمومی پخش می شوند که گویی از طریق یک اتصال نقطه به نقطه معمولی هستند. نوعی تونل بین هر جفت "فرستنده و گیرنده داده" ایجاد می شود - یک اتصال منطقی امن که به شما امکان می دهد داده ها را از یک پروتکل در بسته های پروتکل دیگری کپسوله کنید. اجزای اصلی تونل عبارتند از:

آغازگر

· شبکه مسیریابی.

سوئیچ تونل.

· یک یا چند ترمیناتور تونل.

به خودی خود، اصل عملکرد VPN با اصل اصلی در تضاد نیست فن آوری های شبکهو پروتکل ها به عنوان مثال، هنگام برقراری ارتباط دسترسی از راه دورمشتری جریانی از بسته های PPP را به سرور ارسال می کند. در مورد سازماندهی خطوط مجازی اجاره ای بین شبکه های محلی، روترهای آنها نیز بسته های PPP را مبادله می کنند. با این حال، اساساً جدید، ارسال بسته ها از طریق یک تونل امن است که در شبکه عمومی سازماندهی شده است.

تونل سازی به شما امکان می دهد تا انتقال بسته های یک بسته را سازماندهی کنید

پروتکل در یک محیط منطقی با استفاده از پروتکل متفاوت. در نتیجه، حل مشکلات تعامل چندین نوع مختلف شبکه امکان پذیر می شود، که از نیاز به اطمینان از یکپارچگی و محرمانه بودن داده های ارسالی شروع می شود و با غلبه بر تناقضات در پروتکل های خارجی یا طرح های آدرس دهی پایان می یابد.

موجود زیرساخت شبکهشرکت ها را می توان آماده کرد با استفاده از VPNهم به کمک نرم افزار و هم با کمک سخت افزار... سازماندهی مجازی شبکه خصوصیرا می توان با کابل کشی از طریق یک شبکه جهانی مقایسه کرد. به طور معمول یک ارتباط مستقیم بین کاربر راه دورو توسط نقطه پایانی تونل از طریق PPP ایجاد می شود.

رایج ترین روش ایجاد تونل های VPN- کپسوله سازی پروتکل های شبکه (IP، IPX، AppleTalk و غیره) در PPP و پس از آن بسته بندی بسته های حاصل در پروتکل تونل سازی. به طور معمول، دومی IP یا (بسیار کمتر) ATM و Frame Relay است. این رویکرد لایه 2 تونل نامیده می شود، زیرا "مسافر" در اینجا پروتکل لایه 2 است.

یک رویکرد جایگزین بسته بندی بسته است پروتکل شبکهبه طور مستقیم به یک پروتکل تونل زنی (مانند VTP) تونل زنی لایه 3 گفته می شود.

مهم نیست که چه پروتکل هایی استفاده می شود یا چه هدفی

هنگام سازماندهی یک تونل دنبال می شوند، تکنیک اصلی باقی می ماند

عملا بدون تغییر معمولاً یک پروتکل برای ایجاد ارتباط با یک میزبان راه دور و دیگری برای کپسوله کردن داده ها و اطلاعات خدماتبه منظور انتقال از طریق تونل.

1.2 طبقه بندی شبکه های VPN

راه حل های VPN را می توان بر اساس چندین پارامتر اصلی طبقه بندی کرد:

1. بر اساس نوع محیط مورد استفاده:

· حفاظت شده VPN شبکه های.رایج ترین نوع شبکه های خصوصی خصوصی. با کمک آن می توان یک زیرشبکه قابل اعتماد و مطمئن بر اساس یک شبکه غیرقابل اعتماد، معمولاً اینترنت، ایجاد کرد. نمونه هایی از VPN های امن عبارتند از: IPSec، OpenVPN، و PPTP.

· متولیان VPN شبکه های.آنها در مواردی استفاده می شوند که رسانه انتقال را می توان قابل اعتماد در نظر گرفت و فقط برای حل مشکل ایجاد یک زیرشبکه مجازی در داخل ضروری است. شبکه بزرگتر... مسائل امنیتی در حال بی ربط شدن هستند. نمونه هایی از چنین راه حل های VPN عبارتند از: MPLS و L2TP. درست تر است که بگوییم این پروتکل ها وظیفه تضمین امنیت را به دیگران منتقل می کنند، به عنوان مثال L2TP، به عنوان یک قاعده، در ارتباط با IPSec استفاده می شود.

2. از طریق اجرا :

· VPN شبکه ها در قالب نرم افزار و سخت افزار خاص.شبکه VPN با استفاده از مجموعه نرم افزاری و سخت افزاری خاصی پیاده سازی می شود. این پیاده سازی عملکرد بالا و به عنوان یک قاعده، درجه بالایی از امنیت را ارائه می دهد.

· VPN شبکه ها به عنوان یک راه حل نرم افزاریاستفاده کنید کامپیوتر شخصیبا نرم افزار ویژه ای که قابلیت VPN را ارائه می دهد.

· VPN شبکه ها با راه حل یکپارچهعملکرد VPN مجموعه ای را فراهم می کند که وظایف فیلترینگ را نیز حل می کند ترافیک شبکه، سازمان های دیواره آتشو تضمین کیفیت خدمات

3. با تعیین وقت قبلی:

· VPN اینترانت... آنها برای ترکیب چندین شعبه توزیع شده یک سازمان در یک شبکه امن واحد، تبادل داده ها از طریق کانال های ارتباطی باز استفاده می شوند.

· VPN دسترسی از راه دور.برای ایجاد یک کانال امن بین یک بخش استفاده می شود شبکه شرکتی(دفتر مرکزی یا شعبه) و یک کاربر مجرد که در حین کار از خانه به آن متصل می شود منابع شرکتیبا کامپیوتر خانگییا در حین سفر کاری، با استفاده از لپ تاپ به منابع شرکت متصل می شود.

· VPN اکسترانت... برای شبکه هایی استفاده می شود که کاربران خارجی (مانند مشتریان یا مشتریان) به آنها متصل می شوند. سطح اعتماد به آنها بسیار کمتر از کارمندان شرکت است، بنابراین، لازم است "خطوط" حفاظتی ویژه ای ارائه شود، از دسترسی آنها به اطلاعات با ارزش و محرمانه جلوگیری یا محدود شود.

4. بر اساس نوع پروتکل:

پیاده سازی شبکه های خصوصی مجازی در زیر وجود دارد TCP / IP، IPXو AppleTalk... اما امروزه تمایل به انتقال کلی به پروتکل وجود دارد TCP / IP، و اکثریت قریب به اتفاق راه حل های VPN از آن پشتیبانی می کنند.

5. بر اساس سطح پروتکل شبکه:

بر اساس سطح پروتکل شبکه بر اساس مقایسه با سطوح مرجع مدل شبکه ISO / OSI.

1.3. ساخت VPN

وجود دارد گزینه های مختلفساخت VPN هنگام انتخاب راه حل، باید عوامل عملکرد سازنده VPN خود را در نظر بگیرید. به عنوان مثال، اگر یک روتر در حال حاضر با محدودیت قدرت پردازنده خود کار می کند، افزودن تونل های VPN و اعمال رمزگذاری / رمزگشایی اطلاعات می تواند عملکرد کل شبکه را متوقف کند، زیرا این روتر قادر به مقابله با آن نخواهد بود. ترافیک ساده چه برسد به VPN. تجربه نشان می دهد که برای ساختن VPN بهتر استدر کل از تجهیزات تخصصی استفاده کنید، اما اگر محدودیتی در بودجه وجود دارد، می توانید به یک راه حل صرفا نرم افزاری توجه کنید. بیایید چند گزینه برای ساخت VPN در نظر بگیریم.

· فایروال VPN

فایروال اکثر سازندگان از تونل سازی و رمزگذاری داده ها پشتیبانی می کنند. همه چیز محصولات مشابهبر اساس این واقعیت که ترافیک عبوری از فایروال رمزگذاری شده است. یک ماژول رمزگذاری به نرم افزار فایروال واقعی اضافه می شود. نقطه ضعف این روش این است که عملکرد به سخت افزاری که فایروال را اجرا می کند بستگی دارد. هنگام استفاده از فایروال های مبتنی بر رایانه شخصی، به یاد داشته باشید که این راه حل فقط برای آن قابل استفاده است شبکه های کوچکبا مقدار کمی اطلاعات ارسالی

نمونه ای از فایروال مبتنی بر VPN، فایروال-1 شرکت است نقطه چکفناوری های نرم افزاری FairWall-1 برای ساخت VPN استفاده می کند رویکرد استانداردبر اساس IPSec ترافیک ورودی به فایروال رمزگشایی می شود و سپس قوانین استاندارد کنترل دسترسی روی آن اعمال می شود. فایروال 1 در حال اجرا است سیستم های عاملسولاریس و ویندوز NT 4.0.

· روتر VPN

راه دیگر برای ساخت VPN استفاده از روترها برای ایجاد کانال های امن است. از آنجایی که تمام اطلاعات خروجی از شبکه محلی از طریق روتر عبور می کند، توصیه می شود وظایف رمزگذاری را به این روتر اختصاص دهید.

ساماندهی کانال های VPN بین شعب این شرکت می باشد پراهمیتدر کار هر متخصص IT. این مقاله یکی از راه‌های اجرای این کار را بر اساس محصول نرم‌افزار OpenVPN مورد بحث قرار می‌دهد.

در زیر توپولوژی شبکه را در نظر می گیریم که در آن یک تونل VPN را سازماندهی می کنیم، ویژگی های پیکربندی برنامه OpenVPN را تجزیه و تحلیل می کنیم و مسیریابی گام به گام را برای دفاتر خود پیکربندی می کنیم. مقاله با این انتظار نوشته شده است که OpenVPN روی آن نصب شود پلتفرم های ویندوز 7 و ویندوز سرور 2008.

توپولوژی شبکه.

توپولوژی شبکه ای که ما استفاده کردیم استاندارد است. یک شبکه دفتر مرکزی (بیایید آن را SCO بنامیم) و یک شبکه شعبه (بیایید آن را SF بنامیم) وجود دارد. وظیفه اتصال دفاتر به گونه ای است که رایانه کاربر نهایی (از این پس PC1) دفتر SCO به آن دسترسی داشته باشد. منابع مشترککامپیوتر کاربر (از این پس PC2) SF.

SCO شامل:

• یک دروازه اینترنتی (بیایید آن را ISH1 بنامیم) با دو رابط شبکه:
• 111.111.111.111 - صادر شده توسط ارائه دهنده، به اینترنت نگاه می کند.
• 192.168.0.1 - اختصاص داده شده توسط ما، در SCO به نظر می رسد.
• سرور OpenVPN (از این پس سیستم عامل نامیده می شود) که در آن OpenVPN را با یک رابط مجازی و یک رابط فیزیکی افزایش خواهیم داد:
• 10.8.0.1 آدرس رابط مجازی است (اینترفیس در حین نصب برنامه OpenVPN نصب می شود). آدرس این رابط توسط برنامه اختصاص داده شده است. من و شما نباید آدرس را خودمان از مدیریت آداپتورهای شبکه تغییر دهیم.
• 192.168.0.2 - رابط فیزیکی، پارامترها توسط ما تنظیم می شوند، به نظر می رسد در SCO.
• PC1 - کامپیوتر کاربر 1، با رابط شبکه 192.168.0.3، در SCO یکسان به نظر می رسد.

SF شامل:

• دروازه اینترنت (از این پس ISH2) با دو رابط شبکه:
• 222.222.222.222 - صادر شده توسط ارائه دهنده، به اینترنت نگاه می کند.
• 192.168.1.2 - منصوب شده توسط ما، به نظر می رسد در SF.
• OpenVPN Client (از این پس OK) که در آن OpenVPN را با یک رابط مجازی و یک رابط فیزیکی افزایش خواهیم داد:
• 10.8.0.2 - آدرس رابط شبکه مجازی (اینترفیس در هنگام نصب برنامه OpenVPN نصب می شود). آدرس این رابط نیز توسط برنامه OpenVPN اختصاص داده شده است.
• 192.168.1.2 - رابط فیزیکی، پارامترها توسط ما تنظیم شده است، در SF به نظر می رسد.
• PC2 - کامپیوتر کاربر 2، با رابط شبکه 192.168.1.3، در SF به نظر می رسد.

راه اندازی سرور OpenVPN.

حالا بیایید به خود برنامه، اصول اولیه و ویژگی های پیکربندی آن برویم. OpenVPN در انواع مختلف برای لینوکس و ویندوز موجود است. شما میتوانید دانلود کنید بسته نصببر روی .

فرآیند نصب به خودی خود مشکلی ایجاد نخواهد کرد. تنها نکته این است که در هنگام نصب آنتی ویروس را غیرفعال کنید تا از آن جلوگیری کنید مشکلات اضافی... برای مثال، در زمان نگارش این مقاله، محصولات Kaspersky Lab نصب را مسدود نکردند، بلکه تنها باعث ایجاد سوء ظن در مورد برخی از اجزای نصب شده شدند.

در طی مراحل نصب، یک آداپتور شبکه مجازی در سیستم نصب می شود. آداپتور TAP-Win32 V9و بر این اساس، راننده برای آن. برنامه OpenVPN آدرس IP و ماسک شبکه مجازی OpenVPN را به این رابط اختصاص می دهد. در مورد ما، آدرس 10.8.0.1 با ماسک 255.255.255.0 در سرور سیستم عامل و 10.8.0.2 با ماسک مشابه در سرویس گیرنده OK اختصاص داده شده است.

طبق استاندارد، برنامه در نصب شده است ج: \ ProgramFiles \ OpenVPN... در این دایرکتوری، باید بلافاصله یک پوشه اضافی ایجاد کنید کلیدها(این جایی است که ما کلیدهای احراز هویت را ذخیره خواهیم کرد). سی سی دی(در اینجا پیکربندی تنظیمات سرور برای مشتری خواهد بود).

در دایرکتوری ج: \ ProgramFiles \ OpenVPN \ sample-configتنظیمات استاندارد ارائه شده است. تنظیماتی که ایجاد خواهیم کرد باید در دایرکتوری قرار داشته باشند C: \ Program Files \ OpenVPN \ config.

راه اندازی OpenVPN با تولید کلیدها شروع می شود. کلیدهای تولید شده به دو دسته تقسیم می شوند:

• گواهی و کلید اصلی CertificateAuthority (CA) که برای امضای هر گواهی سرور و مشتری استفاده می شود.
• کلیدهای عمومی و خصوصی برای سرور و هر مشتری (این مهم است) به طور جداگانه.

ترتیب ایجاد کلیدها به شرح زیر است (نام گواهی و فایل های کلید در داخل پرانتز مشخص شده است):

• ما گواهینامه اصلی CA (ca.crt) و کلید CA (ca.key) را تولید می کنیم.
• کلید tls-auth (ta.key) را برای احراز هویت بسته ایجاد کنید.

بیایید هر نقطه را با جزئیات بیشتری تجزیه و تحلیل کنیم.

ما گواهینامه اصلی CA و کلید CA را تولید می کنیم:

قابل اعتماد و متخصص شروع - اجرااستخدام cmd، روی OK کلیک کنید، به خط فرمان بروید. ما نوشتیم:

سی دی C: / فایل های برنامه / OpenVPN / easy-rsa

بنابراین، ما در دایرکتوری هستیم easy-rsa:

در طول اجرای تمامی مراحل تولید کلید باید در آن حضور داشته باشید. دستور را اجرا می کنیم:

init-config

بدون بستن خط فرمان، به ج: \ ProgramFiles \ OpenVpn \ easy-rsaو فایل را ویرایش کنید vars.batبا پر کردن پارامترهای زیر (البته نشان دهنده داده های شما):

KEY_COUNTRY = RF
KEY_PROVINCE = MO
KEY_CITY = مالینینو
KEY_ORG = سازمان
[ایمیل محافظت شده]

حال اجازه دهید یک گواهی CA و یک کلید CA ایجاد کنیم. خط فرمان را که در تمام این مدت در جایی روی دسکتاپ آویزان بود باز می کنیم و همچنان دستورات را وارد می کنیم:

Vars
همه چیز تمیز
build-ca

آخرین دستور فقط گواهینامه CA و کلید CA را تولید می کند. در فرآیند ایجاد یک کلید، سوالاتی از شما پرسیده می شود که می توانید به سادگی با فشردن Enter "a به آنها پاسخ دهید (سپس مقادیر از فایل vars.bat که در بالا ویرایش کردیم گرفته می شود) یا فایل خود را وارد کنید. ارزش توجه به این سوال را دارد:

نام مشترک (به عنوان مثال، نام شما یا نام میزبان سرور شما): OpenVPNS

اینجا جایی است که شما یک نام برای سرور تعیین می کنید - در مثالی که ما OpenVPNS ​​را وارد کردیم.

ما یک گواهی (server.crt) و یک کلید (server.key) سرور تولید می کنیم.

بدون ترک دایرکتوری، در ما خط فرمانما به وارد کردن دستورات ادامه خواهیم داد. بیایید یک گواهی سرور و یک کلید با دستور ایجاد کنیم:

سرور ساخت کلید سرور

ما به سوالات مانند پاراگراف اول پاسخ می دهیم. به این سوال:

نام مشترک *: سرور

معرفی کنیم: سرور... در مورد سوالات:

گواهی را امضا کنید؟

1 از 1 درخواست گواهی تایید شد، متعهد می شوید؟

باید جواب مثبت داد: Y.

ما یک گواهی (office1.crt) و یک کلید (office1.key) برای مشتری تولید می کنیم.

بدیهی است که مشتریان زیادی می توانند وجود داشته باشند، در مثال ما او یکی است - دفتر 1... بسته به تعداد کلاینت ها، دستور زیر در خط فرمان چندین بار اجرا می شود و نام کلیدهای تولید شده نیز باید تغییر کند:

Build-key office1

اگر به گواهی ها و کلیدهای بیشتری نیاز دارید، برای مشتری دوم بگویید، سپس وارد کنید:

Build-key office2

در فرآیند پاسخ دادن به سوالات، فراموش نکنید که هر مشتری در یک سوال نام متداولباید یک نام منحصر به فرد مانند: office1، office2 و غیره داشته باشد.

ایجاد پارامترهای DiffieHellman (dh1024.pem).

ما در خط فرمان وارد می کنیم، آنها در همان فهرست easy-rsa یافت می شوند:

Build-dh

کلید tls-auth (ta.key) را برای احراز هویت بسته ایجاد کنید

در پایان یک کلید برای احراز هویت tls با دستور زیر ایجاد می کنیم:

Openvpn --genkey --secret ta.key

حالا بیایید بفهمیم کدام فایل ها را روی سرور بگذاریم و کدام را به کلاینت منتقل کنیم. در سرور (OC)، فقط فایل‌های زیر باید در پوشه کلیدهایی که ایجاد کرده‌ایم باشند:

• ca.crt
• ca.key
• dh1024.pem
• server.crt
• server.key
• ta.key

در کلاینت OK، مشابه سرور سیستم عامل، پوشه کلیدها را ایجاد کنید، باید وجود داشته باشد:

• ca.crt
• office1.crt
• office1.key
• ta.key

همه فایل‌های دارای پسوند کلید مخفی هستند. آنها باید فقط از طریق کانال های امن و ترجیحاً در یک رسانه فیزیکی منتقل شوند.

بعد، بیایید شروع به ایجاد یک پیکربندی برای سرور سیستم عامل و مشتری OK خود کنیم. در پوشه config فایلی با نام و پسوند زیر ایجاد کنید: server.ovpnما آن را با notepad باز می کنیم و شروع به نوشتن تنظیمات می کنیم:

انتخاب یک پروتکل برای انتقال داده - در در این موردبه روز رسانی:

پروتو udp

پورت استاندارد برای OpenVPN:

پورت 1194

نحوه عملکرد برنامه L3-tunnel. V این حالت OpenVPN - روتر:

حالت کلاینت-سرور:

Tls-server

این توپولوژی از نسخه 2.1 موجود است و شامل این واقعیت است که به هر کلاینت 1 آدرس داده می شود، بدون پورت های روتر مجازی:

زیرشبکه توپولوژی

مسیرها از طریق exe اضافه می شوند - این مهم است:

exe روش مسیر

تاخیر هنگام افزودن مسیر را می توان به 5 کاهش داد:

تاخیر در مسیر 10

این گزینه سازماندهی شبکه را تنظیم می کند. ما یک شبکه مجازی 10.8.0.0 / 24 داریم. اولین آدرس از این شبکه یعنی 10.8.0.1 برای سرور و بعدی (10.8.0.2، 10.8.0.3 و ...) برای کلاینت ها صادر می شود. سرور DHPC آدرس 10.8.0.254 را دریافت می کند:

سرور 10.8.0.0 255.255.255.0

دروازه را به شبکه openvpn تنظیم کنید:

Route-gateway 10.8.0.1

دایرکتوری که باید فایل را با نام کلاینت خود یعنی office1 بدون پسوند در آن قرار دهیم و در آن دستوراتی را که روی کلاینت اجرا می شود بنویسیم:

Client-config-dir "C: \\ Program Files \\ OpenVPN \\ ccd"

گواهی "C: \\ Program Files \\ OpenVPN \\ keys \\ server.crt"
کلید "C: \\ Program Files \\ OpenVPN \\ keys \\ server.key"
dh "C: \\ Program Files \\ OpenVPN \\ keys \\ dh1024.pem"
tls-auth "C: \\ Program Files \\ OpenVPN \\ keys \\ ta.key" 0

برای سرور سیستم عامل مسیری به کل شبکه تنظیم کنید:

مسیر 10.8.0.0 255.255.255.0

انتخاب روش فشرده سازی:

رمز BF-CBC

تنظیم فشرده سازی ترافیک:

Comp-lzo

OpenVPN برنامه را به سیستم ثبت رویداد منتقل نمی کند. خطاهای بحرانیشبکه های. در عمل، این باعث کاهش محتوای پنجره وضعیتی می شود که هنگام راه اندازی سرور OpenVPN ظاهر می شود:

سرور با فاصله 10 ثانیه طرف مقابل را پینگ می کند و اگر طرف در 60 ثانیه پاسخ ندهد، سرور اتصال مجدد را شروع می کند:

Keepalive 5 60

در مرحله بعد، به دایرکتوری ccd بروید و یک فایل ایجاد کنید که حاوی دستورات ارسال شده از سرور به مشتری باشد. باید همون اسمی باشه که مثلا خود کلاینت رو صدا کردیم دفتر 1... فایل پسوندی نخواهد داشت.

ما آن را از طریق دفترچه یادداشت ویرایش می کنیم. تمام پارامترهای مشخص شده در زیر به طور خودکار به مشتری منتقل می شود:

ما ip و ماسک را برای office1 مشتری خود تنظیم می کنیم:

Ifconfig-push 10.8.0.2 255.255.255.0

ما مسیر را به کل شبکه ارسال می کنیم:

"route 10.8.0.0 255.255.255.0" را فشار دهید

ما دروازه را برای آن تنظیم می کنیم:

"route-gateway 10.8.0.1" را فشار دهید

این دستور به سرور سیستم عامل می گوید که پشت این کلاینت، یعنی OK (office1)، شبکه 192.168.1.0 قرار دارد:

Iroute 192.168.1.0 255.255.255.0

بنابراین، پیکربندی سرور در سمت سیستم عامل را به پایان رساندیم.

سفارشی سازی مشتری

در مرحله بعد، اجازه دهید شروع به تغییر پارامترهای مشتری کنیم. بیا با ماشین برویم OK به پوشه پیکربندی... بیایید یک فایل در آن ایجاد کنیم office1.ovpnبیایید شروع به ویرایش کنیم، تعدادی از گزینه ها مانند سرور هستند، بنابراین آنها را توضیح نمی دهیم:

توسعه دهنده
پروتو udp
پورت 1194

ما آدرس خارجی ISh1 را نشان می دهیم:

ریموت 111.111.111.111

کلاینت در حالت کلاینت tls کار خواهد کرد:

Tls-client

این گزینه در برابر جعل سرور توسط شخص ثالث محافظت می کند:

سرور Remote-cert-tls

این گزینه ها مانند سرور هستند:

exe روش مسیر
تاخیر در مسیر 10

مسیری را به شبکه 192.168.0.0 تنظیم کنید:

با این دستور دریافت پیکربندی مشتری از سرور را فعال می کنیم:

مسیرهای کلیدی:

Ca "C: \\ Program Files \\ OpenVPN \\ keys \\ ca.crt"
گواهی "C: \\ Program Files \\ OpenVPN \\ keys \\ office1.crt"
کلید "C: \\ Program Files \\ OpenVPN \\ keys \\ office1.key"
tls-auth "C: \\ Program Files \\ OpenVPN \\ keys \\ ta.key" 1

بقیه گزینه ها نیز مشابه سرور هستند:

رمز BF-CBC
comp-lzo
فعل 1
keepalive 5 60

با این کار پیکربندی برنامه در سمت کلاینت تکمیل می شود.

پیکربندی و مسیریابی فایروال

و بنابراین، ما تنظیمات را روی OK و در سیستم عامل پیکربندی کرده ایم. اکنون بسیار تحلیل خواهیم کرد نکات مهم... اگر از KIS 2011 یا مشابه استفاده می کنید، بیایید از قبل رزرو کنید نرم افزار آنتی ویروس، سپس در تنظیمات فایروال باید اجازه عبور بسته های ICMP را بدهید. این به ما این امکان را می دهد که به راحتی از هاست ها در شبکه های خود پینگ کنیم.

همچنین ارزش افزودن رابط مجازی برنامه OpenVPN خود را به لیست شبکه های قابل اعتماد دارد.

در ISh1، اقدامات زیر باید انجام شود:

• ارسال پورت 1194 پیکربندی شد پروتکل UDPاز رابط 111.111.111.111 تا رابط سرور OS 192.168.0.2
• فایروال باید در پورت 1194 پروتکل UDP اجازه ارسال داشته باشد، در غیر این صورت پینگ حتی بین سیستم عامل و OK نیز عبور نخواهد کرد.

در مورد ISh2، اقدامات مشابهی باید انجام شود:

• پیکربندی انتقال پورت UDP 1194 از رابط 222.222.222.222 به رابط مشتری OK 192.168.1.2
• بررسی کنید که آیا پورت UDP 1194 در فایروال باز است یا خیر.

به عنوان مثال، در Usergate 5.2، راه اندازی ارسال بسته در پورت UDP 1194 به این صورت است:

در این مرحله، ما در حال پینگ OK و OS در آدرس‌های OpenVPN آنها، یعنی 10.8.0.1 و 10.8.0.2 هستیم. در مرحله بعد، ما باید از مسیر صحیح بسته ها از مشتری OK به شبکه راه دور 192.168.0.0 اطمینان حاصل کنیم. ما این کار را به یکی از چندین روش انجام می دهیم:

یا می پرسیم مسیر دائمیبه این شبکه در خود کلاینت OK:

Route -p add 192.168.0.0 mask 255.255.255.0 10.8.0.1

یا این مسیر را در پیکربندی ccd مشتری به سرور تنظیم می کنیم، یعنی در فایل office1 اضافه می کنیم:

فشار "route 192.168.0.0 255.255.255.0"

همچنین می توانید این کار را با افزودن یک خط مستقیم به پیکربندی OK Client انجام دهید:

Route 192.168.0.0 255.255.255.0

سپس باید مسیری را برای بسته ها از سرور سیستم عامل به شبکه راه دور 192.168.1.0 ارائه دهید. این کار به همان روش فوق با چند استثنا انجام می شود.

دستور را به پیکربندی سرور سیستم عامل اضافه کنید:

مسیر 192.168.1.0 255.255.255.0 10.8.0.2

یا دستور را مستقیماً در خط فرمان اضافه کنید:

Route -p add 192.168.1.0 mask 255.255.255.0 10.8.0.2

همچنین در سرور سیستم عامل و کلاینت OK لازم است که سرویس در سرویس ها فعال شود مسیریابی و دسترسی از راه دور، بنابراین مسیریابی به شبکه داخلی (Forwarding) را فراهم می کند. بدون این، آدرس‌های داخلی در شبکه‌های SCS و SF کلاینت OK و سرور سیستم عامل پینگ نمی‌شوند.

در این مرحله، ما می توانیم آزادانه آدرس های داخلی سیستم عامل خود را پینگ کنیم و OK، یعنی. با تایپ روی سرور سیستم عامل پینگ 192.168.1.2 و روی مشتری OK ping 192.168.0.2 دریافت می کنیم نتیجه مثبتمانند:

بنابراین، OK و OS متقابلاً به OpenVPN و آدرس‌های داخلی SCS و SF خود پینگ می‌کنند. در مرحله بعد، باید مسیری را در خط فرمان به شبکه 10.8.0.0 در PC1 و PC2 خود ثبت کنیم. این کار توسط دستورات زیر انجام می شود:

Route -p add 192.168.1.0 mask 255.255.255.0 192.168.0.2

Route -p add 192.168.0.0 mask 255.255.255.0 192.168.1.2

در نتیجه، منابع مشترک در PC1 و PC2 در آدرس اینترانت آنها در دسترس خواهد بود:

• برچسب ها:

لطفا جاوا اسکریپت را برای مشاهده فعال کنید

دستورالعمل ها

روی منوی "شروع" کلیک کرده و "کنترل پنل" را انتخاب کنید. بخش «شبکه و اینترنت» را پیدا کنید. برای سازمان های VPN-اتصالات، باید برنامه شبکه و مرکز اشتراک گذاری را اجرا کنید دسترسی عمومی". همچنین می توانید روی نماد شبکه در سینی کلیک کرده و دستور مشابهی را انتخاب کنید. به ایجاد یک اتصال یا شبکه جدید ادامه دهید، توجه داشته باشید که باید یک اتصال به دسکتاپ را سازماندهی کنید. روی "بعدی" کلیک کنید. از شما خواسته می شود از یک اتصال موجود استفاده کنید. کادر "نه، ایجاد یک اتصال جدید" را علامت بزنید و به مرحله بعدی تنظیمات بروید.

دستور "Use my internet connection" را برای تنظیم اتصال VPN انتخاب کنید. قبل از ادامه، درخواست راه اندازی اینترنت حاصل را به تعویق بیندازید. پنجره ای ظاهر می شود که در آن باید آدرس سرور VPN را طبق قرارداد مشخص کنید و نامی برای اتصال ایجاد کنید که در مرکز شبکه و اشتراک گذاری نمایش داده می شود. کادر "اکنون وصل نشوید" را علامت بزنید، در غیر این صورت رایانه بلافاصله پس از پیکربندی سعی می کند اتصال برقرار کند. اگر همتای VPN از راه دور اتصال کارت هوشمند را تأیید می کند، Use Smart Card را علامت بزنید. روی Next کلیک کنید.

نام کاربری، رمز عبور و دامنه را وارد کنید که با توجه به آنها به شبکه راه دور دسترسی پیدا می کنید. روی دکمه "ایجاد" کلیک کنید و منتظر بمانید تا اتصال VPN پیکربندی شود. اکنون باید یک اتصال اینترنتی برقرار کنید. برای انجام این کار، روی نماد شبکه در سینی سیستم کلیک کنید و پیکربندی ویژگی های اتصال ایجاد شده را شروع کنید.

روی تب Security کلیک کنید. "VPN Type" را روی "Automatic" و "Data Encryption" را روی "Optional" تنظیم کنید. کادر "Allow the following protocols" را علامت بزنید و پروتکل های CHAP و MS-CHAP را انتخاب کنید. به تب "شبکه" بروید و فقط در کنار مورد "پروتکل اینترنت نسخه 4" علامت بزنید. روی دکمه "OK" کلیک کنید و اتصال VPN را وصل کنید.

هر vpn- خالصوجود یک سرور خاص را فراهم می کند که ارتباط را فراهم می کند کامپیوترهای شبکهو دستگاه های دیگر در همان زمان، برخی از آنها (یا همه) را با دسترسی به یک شبکه خارجی، به عنوان مثال، اینترنت فراهم می کند.

شما نیاز خواهید داشت

• - کابل شبکه؛
• - کارت LAN

دستورالعمل ها

ساده ترین مثال از یک شبکه vpn می تواند به عنوان ایجاد یک شبکه محلی بین آنها عمل کند که هر کدام به اینترنت دسترسی خواهند داشت. به طور طبیعی، تنها یک رایانه شخصی به سرور ارائه دهنده اتصال مستقیم خواهد داشت. این کامپیوتر را انتخاب کنید.

یک آداپتور شبکه اضافی را در آن نصب کنید که به رایانه دوم متصل می شود. با استفاده از کابل شبکه با طول مناسب، وصل کنید کارت های شبکهدو کامپیوتر با هم به دیگری آداپتور شبکهکابل ISP را به کامپیوتر اصلی وصل کنید.

اتصال اینترنت خود را تنظیم کنید. این می تواند یک اتصال LAN یا DSL باشد. در این مورد اصلاً مهم نیست. هنگامی که ایجاد و پیکربندی یک اتصال جدید را به پایان رساندید، به ویژگی های آن بروید.

منوی «دسترسی» را در پنجره ظاهر شده باز کنید. اجازه دهید این اتصال اینترنتی توسط همه رایانه‌های موجود در شبکه محلی مشخص شده استفاده شود. لطفا نشان بدهید خالصتوسط دو کامپیوتر شما تشکیل شده است.

در شرایط مدرن توسعه فناوری اطلاعات، مزایای ایجاد شبکه های خصوصی مجازی غیرقابل انکار است. اما قبل از فهرست کردن بارزترین و راه های مفیدسازماندهی شبکه های خصوصی مجازی، لازم است خود مفهوم را تعریف کنیم. شبکه خصوصی مجازی یا به سادگی VPN (شبکه خصوصی مجازی) فناوری است که در آن اطلاعات با یک شبکه محلی راه دور از طریق یک کانال مجازی از طریق شبکه مبادله می شود. استفاده مشترکبا اتصال نقطه به نقطه خصوصی شبیه سازی شده. یک شبکه عمومی می تواند هم به معنای اینترنت و هم اینترانت دیگر باشد.

زمینه

ریشه VPN به دهه 1960 برمی گردد، زمانی که بخش مهندسی یک شرکت تلفن نیویورک این سیستم را توسعه داد. استقرار خودکاراتصالات مشترکین مبادله تلفن اتوماتیک - Centrex (صرافی مرکزی). به عبارت دیگر، چیزی بیش از یک خصوصی مجازی نیست شبکه تلفناز آنجا که کانال های ارتباطی ایجاد شده قبلاً اجاره شده بودند، یعنی. ایجاد کانال های مجازی برای انتقال اطلاعات صوتی. در حال حاضر، این سرویس با آنالوگ پیشرفته تر خود - IP-Centrex جایگزین شده است. محرمانه بودن یک جنبه مهم در انتقال اطلاعات بوده است مدت زمان طولانی، حدود 1900 قبل از میلاد اولین تلاش ها برای رمزنگاری توسط مصری ها نشان داده شد و نمادهای پیام ها را تحریف کردند. و در قرن پانزدهم پس از میلاد، اولین مدل رمزنگاری توسط ریاضیدان لئون باتیست آلبرتی ایجاد شد. امروزه این شبکه خصوصی مجازی است که می تواند قابلیت اطمینان کافی از اطلاعات ارسالی را در کنار انعطاف پذیری و توسعه پذیری عالی سیستم فراهم کند.

VPN در مقابل PN

هنگام سازماندهی کانال های امن برای انتقال اطلاعات در موسسات، ناعادلانه است که گزینه سازماندهی یک شبکه خصوصی تمام عیار را در نظر نگیریم. شکل زیر یک شرکت کوچک با 2 شعبه را نشان می دهد که یک شبکه خصوصی را سازماندهی می کند.

دسترسی به شبکه خارجی می تواند از هر دو طریق انجام شود دفتر مرکزیو غیر متمرکز. این سازمانشبکه دارای مزایای انکارناپذیر زیر است:

• سرعت بالای انتقال اطلاعات، در واقع، سرعت با چنین اتصالی برابر با سرعت شبکه محلی شرکت خواهد بود.
• امنیت، داده های ارسال شده در شبکه عمومی قرار نمی گیرند.
• هیچ کس نیازی به پرداخت هزینه برای استفاده از یک شبکه سازمان یافته ندارد، واقعاً سرمایه گذاری های سرمایه ای فقط در مرحله ساخت شبکه انجام می شود.

شکل زیر گزینه مشابهی را برای یک شبکه شعبه نشان می دهد، اما فقط با استفاده از VPN.

در این مورد، مزایای داده شده برای شبکه های خصوصی به مضرات VPN ها تبدیل می شود، اما آیا این معایب اینقدر قابل توجه است؟ بیایید آن را بفهمیم:

• سرعت انتقال داده ارائه دهندگان می توانند دسترسی به اینترنت با سرعت نسبتاً بالایی را فراهم کنند، اما هنوز نمی تواند با یک شبکه 100 مگابیتی محلی و با زمان آزمایش شده مقایسه شود. اما آیا اینقدر مهم است که هر روز صدها مگابایت اطلاعات را از طریق یک شبکه سازمان یافته پمپاژ کنیم؟ برای دسترسی به سایت سازمانی محلی، حمل و نقل پست الکترونیکبا سند، سرعتی که ارائه دهندگان اینترنت می توانند ارائه دهند کاملاً کافی است.
• امنیت داده های ارسالی هنگام سازماندهی VPN، اطلاعات ارسال شده وارد شبکه خارجی می شود، بنابراین باید از قبل از سازماندهی امنیت مراقبت کنید. اما امروزه الگوریتم های رمزگذاری اطلاعاتی وجود دارد که به اندازه کافی در برابر حملات مقاوم هستند و به صاحبان داده های ارسال شده اجازه می دهد نگران امنیت نباشند. اطلاعات بیشتر در مورد روش های امنیتی و الگوریتم های رمزگذاری را در زیر بخوانید.
• هیچ کس مجبور نیست برای یک شبکه سازمان یافته هزینه کند. این یک مزیت نسبتا بحث برانگیز است، زیرا برخلاف هزینه کم استفاده از شبکه، هزینه های سرمایه زیادی برای ایجاد آن وجود دارد که ممکن است برای یک موسسه کوچک غیرقابل تحمل باشد. در عین حال، پرداخت برای استفاده از اینترنت این روزها به خودی خود کاملاً دموکراتیک است و تعرفه های منعطف به همه اجازه می دهد بسته بهینه را انتخاب کنند.

حالا بیایید به بیشترین موارد بپردازیم مزایای آشکار VPN:

• مقیاس پذیری سیستم هنگام افتتاح شعبه جدید یا اضافه کردن کارمندی که مجاز به استفاده از دسترسی از راه دور است، هیچ هزینه ارتباطی اضافی لازم نیست.
• انعطاف پذیری سیستم برای VPN، مهم نیست که از کجا به آن دسترسی دارید. یک کارمند منفرد می تواند از خانه یا هنگام خواندن نامه های یک شرکت کار کند صندوق پستیشرکت ها در یک سفر کاری در وضعیت کاملا متفاوتی می مانند. همچنین امکان استفاده از دفاتر به اصطلاح سیار فراهم شد که در آن هیچ ارتباطی به منطقه خاصی وجود ندارد.
• از قبلی چنین است که برای سازماندهی محل کار خود یک فرد از نظر جغرافیایی نامحدود است، که در هنگام استفاده از یک شبکه خصوصی عملا غیرممکن است.

یک نکته جداگانه ایجاد شبکه های خصوصی سیمی نیست، بلکه بی سیم است. با این رویکرد حتی می توانید گزینه مورد نظر را با همراه خود در نظر بگیرید. اما در این صورت هزینه های اولیه به ارتفاعات نجومی می رسد و سرعت در واقع به سرعت استفاده کاهش می یابد. وب جهانی، و برای امنیت قابل اعتماد لازم است دوباره از رمزگذاری استفاده کنید. و در نهایت، ما همان شبکه خصوصی مجازی را دریافت می کنیم، تنها با هزینه های اولیه فوق العاده بالا و هزینه های نگهداری تمام تجهیزات در حالت کار. روش‌های سازماندهی در VPN، تشخیص سه روش اصلی زیر بسیار مناسب است: در این مورد، برای مشتریان از راه دورامکانات استفاده از شبکه شرکتی بسیار محدود خواهد شد، در واقع، آنها محدود به دسترسی به آن دسته از منابع شرکت خواهند بود که هنگام کار با مشتریان خود ضروری هستند، به عنوان مثال، یک وب سایت با پیشنهادات تجاری، و یک VPN در این مورد استفاده می شود. کیس برای انتقال ایمن داده های محرمانه ابزارهای امنیت اطلاعات - پروتکل های رمزگذاری از آنجایی که داده ها در VPN ها از طریق یک شبکه عمومی منتقل می شوند، بنابراین باید به طور قابل اعتماد از آنها محافظت شود. چشم کنجکاو... برای اجرای حفاظت از اطلاعات ارسالی، پروتکل های زیادی وجود دارد که از VPN محافظت می کند، اما همه آنها به دو نوع تقسیم می شوند و به صورت جفت کار می کنند:

• پروتکل هایی که داده ها را کپسوله می کنند و یک اتصال VPN را تشکیل می دهند.
• پروتکل هایی که داده ها را در داخل تونل ایجاد شده رمزگذاری می کنند.

پروتکل های نوع اول یک اتصال تونلی ایجاد می کنند و نوع دوم مستقیماً مسئول رمزگذاری داده ها هستند. بیایید به برخی از راه حل های استاندارد ارائه شده توسط رهبر جهانی شناخته شده جهانی در توسعه سیستم عامل ها نگاهی بیندازیم. مانند مجموعه استانداردپیشنهاد می شود از بین دو پروتکل انتخاب شود، بهتر است بگوییم مجموعه ها:

1. PPTP (پروتکل نقطه به نقطه تونل) یک پروتکل تونل نقطه به نقطه، زاییده فکر مایکروسافت و توسعه یافته PPP (پروتکل نقطه به نقطه) است، بنابراین از مکانیسم های آن برای احراز هویت، فشرده سازی و رمزگذاری استفاده می کند. . PPTP در کلاینت راه دور تعبیه شده است دسترسی به ویندوز XP در انتخاب استاندارد این پروتکلمایکروسافت استفاده از روش رمزگذاری نقطه به نقطه مایکروسافت (MPPE) را پیشنهاد می کند. شما می توانید داده ها را بدون رمزگذاری در متن شفاف انتقال دهید. کپسوله‌سازی داده‌های PPTP با افزودن یک هدر Generic Routing Encapsulation (GRE) و یک هدر IP به داده‌های پردازش شده توسط PPP انجام می‌شود.
2. L2TP (پروتکل تونل زنی لایه دو) یک پروتکل پیشرفته تر است که از ترکیب PPTP (از مایکروسافت) و L2F (از سیسکو) به وجود آمده است و بهترین این دو پروتکل را در خود جای داده است. اتصال ایمن تری نسبت به گزینه اول فراهم می کند، رمزگذاری با استفاده از پروتکل IPSec (IP-security) انجام می شود. L2TP همچنین در کلاینت دسترسی از راه دور ویندوز XP تعبیه شده است؛ علاوه بر این، هنگام تشخیص خودکار نوع اتصال، کلاینت ابتدا سعی می کند با استفاده از این پروتکل به سرور متصل شود، زیرا از نظر امنیت ارجحیت بیشتری دارد.

کپسوله سازی داده ها با افزودن سرصفحه های L2TP و IPSec به داده های پردازش شده توسط PPP انجام می شود. رمزگذاری داده ها با اعمال به دست می آید الگوریتم DES(استاندارد رمزگذاری داده ها) یا 3DES. دقیقا در مورد دومبه دست آورد بزرگترین ایمنیاز داده های ارسال شده، با این حال، در این مورد، باید با سرعت اتصال و همچنین با منابع پردازنده مرکزی پرداخت کنید. وقتی صحبت از استفاده از پروتکل ها می شود، مایکروسافت و سیسکو نوعی همزیستی را تشکیل می دهند، خودتان قضاوت کنید، پروتکل PPTP توسعه مایکروسافت، اما در ارتباط با GRE استفاده می شود، و این یک محصول سیسکو است، سپس پروتکل L2TP، که از نظر امنیت پیشرفته تر است، چیزی نیست جز یک ترکیب ترکیبی که بهترین PPTP (ما قبلاً می دانیم که) و L2F، بله، درست است، توسط سیسکو توسعه یافته است. شاید به همین دلیل است که VPN، زمانی که به درستی در یک سازمان انجام شود، راهی قابل اعتماد برای انتقال داده های حساس در نظر گرفته می شود. نمونه‌هایی از پروتکل‌هایی که در اینجا در نظر گرفته می‌شوند تنها موارد نیستند، راه‌حل‌های جایگزین زیادی وجود دارد، به عنوان مثال، PopTop یک پیاده‌سازی Unix PPTP است، یا FreeSWAN پروتکلی برای ایجاد یک اتصال IPSec تحت لینوکس و همچنین: Vtun، Racoon، ISAKMPD است. ، و غیره.

اجرای عملی

حال از تئوری به عمل می رویم، زیرا همانطور که می دانید: «عمل ملاک حقیقت است». بیایید سعی کنیم یک نسخه ساده از یک شبکه خصوصی مجازی را که در شکل زیر نشان داده شده است، سازماندهی کنیم.

یک کارمند یا کارمند از راه دور خارج از دفتر است و به یک شبکه عمومی دسترسی دارد، اجازه دهید اینترنت باشد. آدرس شبکه ای که باید به 11.7.0.0 subnet mask به آن دسترسی داشته باشید، به ترتیب 255.255.0.0. این شبکه شرکتی یک شبکه دامنه است، تحت کنترل ویندوزنسخه شرکتی سرور 2003. سرور دوتا داره رابط شبکهبا آدرس های IP، داخلی برای شبکه شرکتی 11.7.3.1 و خارجی 191.168.0.2. لازم به ذکر است که هنگام طراحی شبکه VPN، سرور در آخرین مکان قرار می گیرد، بنابراین می توانید مشکلات خاصدسترسی VPN به یک شبکه از قبل اشکال زدایی شده و تشکیل شده سازمان را سازماندهی کنید، اما در همان زمان، اگر تغییرات قابل توجهی در شبکه مدیریت شده رخ داده باشد، ممکن است نیاز به پیکربندی مجدد سرور VPN داشته باشید. در مورد ما، یک شبکه از قبل تشکیل شده وجود دارد، با آدرس هایی که در بالا توضیح داده شد، لازم است سرور VPN را پیکربندی کنید و همچنین به کاربران خاصی اجازه دسترسی از شبکه خارجی را بدهید. شبکه شرکتی دارای یک سایت داخلی است که سعی می کنیم از طریق یک شبکه خصوصی مجازی به آن دسترسی داشته باشیم. در ویندوز 2003 سرور، نصب یک نقش سرور VPNبه اندازه کافی ساده است

به دنبال دستورات جادوگر، نصب کنید پارامترهای مورد نیاز: در مرحله دوم دسترسی از راه دور (VPN یا مودم) را انتخاب کنید. سپس دسترسی از راه دور از طریق اینترنت؛ در مرحله 4، رابط سرور متصل به اینترنت را نشان می دهیم، در مورد ما 191.168.0.2. در مرحله بعد، ما روش تخصیص آدرس ها به مشتریان راه دور را تعریف می کنیم، در مورد ما این آدرس ها به طور خودکار به آنها اختصاص داده می شود. اگر شبکه شما دارای سرور RADIUS است، برای احراز هویت متمرکز اتصالات، آن را انتخاب کنید، اگر نه، سپس این کار را به سرور VPN بسپارید. بنابراین، سرور VPN ایجاد شده است، پس از انجام تنظیمات، به مدیریت کاربران دامنه خود و برای کارمندانی که نیاز به دسترسی از راه دور دارند، می‌پردازیم. شبکه داخلیسازمان‌ها، با تنظیم سوئیچ مناسب در برگه «تماس‌های ورودی» به همین دسترسی اجازه دهید.

هنگام پیکربندی VPN، این را به خاطر بسپارید کار درستضروری است که فایروال نصب شدهپروتکل های مورد استفاده توسط VPN را مجاز کرد. ما با بخش سرور تمام شده‌ایم، بیایید به سمت ایجاد یک کلاینت شبکه خصوصی مجازی برویم کامپیوتر از راه دور... برای این کار باید ویزارد را اجرا کنید اتصالات شبکه... در مرحله دوم، به دنبال دستورات، مورد "اتصال به شبکه در محل کار" را انتخاب کنید. مرحله سوم «اتصال به شبکه خصوصی مجازی» است. مرحله بعدی این است که نام اتصال را وارد کنید. مرحله پنجم - انتخاب کنید که آیا ابتدا باید به اینترنت وصل شوید (اگر از مکانی با دسترسی ثابت وصل می شوید، "نه" را انتخاب کنید، اگر مثلاً از تلفن همراهبه عنوان یک مودم، سپس شماره را برای اتصال به اینترنت از قبل شماره گیری کنید). در مرحله ماقبل آخر، آدرس IP سروری را که به آن دسترسی دارید وارد کنید.

برای اتصالی که قبلا ایجاد شده است، می‌توانید ویژگی‌ها را در هر زمان ویرایش کنید، و همچنین برخی از نکات مربوط به امنیت و نوع اتصال ایجاد شده را پیکربندی کنید.

معاینه

پیکربندی دسترسی از راه دور کامل شده است، زمان آن است که عملکرد آن را آزمایش کنید. بیایید به طور سنتی شروع کنیم، با دستور "پینگ" مورد علاقه همه، فقط سعی کنید چند ایستگاه کاری را از شبکه شرکتی ما "پینگ" کنید.

عالی است، رایانه ها قابل مشاهده هستند، اما بعید است که یک کارگر از راه دور به این نیاز داشته باشد، بیایید سعی کنیم به سایت محلی سازمان برویم.

همه چیز خوب کار می کند، اندازه گیری عملکرد شبکه خصوصی مجازی ایجاد شده باقی می ماند. برای این کار فایل را از طریق اتصال VPN و همچنین بدون استفاده از آن در سرور VPN کپی کنید. مانند محیط فیزیکیانتقال اطلاعات توسط یک شبکه 100 مگابیت انجام خواهد شد، در این حالت پهنای باند شبکه یک عامل محدود کننده نیست. بنابراین کپی کردن یک فایل 342921216 بایتی 121 ثانیه طول کشید. با اتصال VPN- 153 ثانیه. به طور کلی، از دست دادن زمان کپی 26٪ بود که طبیعی است، زیرا هنگام انتقال اطلاعات از طریق VPN، هزینه های سربار اضافی در قالب رمزگذاری / رمزگشایی داده ها وجود دارد. در مورد ما، از پروتکل PPTP استفاده شد، در هنگام استفاده از انواع دیگر پروتکل ها، اتلاف زمان نیز متفاوت خواهد بود. در حال حاضر زمان مایکروسافتتوصیه می کند از L2TP IPSec همراه با کارت های هوشمند برای حداکثر امنیت در احراز هویت و ارتباطات استفاده کنید.

نتیجه گیری

شبکه خصوصی مجازی چیز جدیدی نیست، اما همانطور که می بینیم، یک اختراع بسیار مفید در دنیای فناوری اطلاعات است که به شما کمک می کند تا اطلاعات مورد نظر خود را با خیال راحت دریافت کنید. لازم به ذکر است که سیستم های سخت افزاری کاملی برای پیاده سازی VPN وجود دارد، اما به دلیل تمرکز بر روی سرویس دهی به شرکت های بزرگ و در نتیجه هزینه بالای آن ها، چندان مورد استفاده قرار نگرفته اند. قدرت محاسباتی راه‌حل‌های سخت‌افزاری، البته، بسیار بالا است، اما همیشه مورد تقاضا نیست راه حل های نرم افزاریو حتی بیشتر از آن استانداردهایی که برای جستجو و خرید نرم افزار اضافی نیازی به هزینه های اضافی ندارند، چنین محبوبیت زیادی به دست آورده اند. VPN حاصل در واقع بسیار ساده است، اما اصول ساخت یک VPN را پوشش می دهد. ساخت انواع دیگر VPN بر اساس Microsoft 2003 Server در اصل تفاوتی ندارد، همه چیز ساده و آسان است. در پایان، من می خواهم بگویم که، در واقع، راه های برنامه های کاربردی VPNدر واقع تعداد زیادی وجود دارد و به مواردی که در این مقاله توضیح داده شده محدود نمی شود و تقریباً غیرممکن است که روش های اجرا را برشماریم. با این حال، اگر راهی برای خروج از وضعیت با کمک VPN پیدا کرده اید، هرگز مؤلفه مهمی مانند امنیت نه تنها اطلاعاتی که منتقل می شود، بلکه خود اتصال را نیز فراموش نکنید.

یک چیز خوب در مورد شبکه مجازی خصوصی (VPN) این است که بدون نیاز به ارائه یک کانال ارتباطی اختصاصی، یک کانال امن یا قابل اعتماد با رایانه شخصی دیگر در اختیار کاربر قرار می دهد. این در بالای شبکه دیگری ایجاد می شود - برای مثال اینترنت.

ویندوز دارای ابزارهای داخلی برای برقراری ارتباط VPN بین رایانه ها در فواصل طولانی است. بیایید یک تونل VPN بین دو رایانه شخصی که توسط محیط ویندوز کنترل می شوند ایجاد کنیم.

بیایید سمت سرور را ایجاد کنیم

اتصال کلاینت های راه دور به شبکه VPN از طریق یک سرور دسترسی ویژه سازماندهی می شود. از اتصال ورودی، ممکن است نیاز به عبور از مراحل شناسایی و احراز هویت داشته باشد. او می داند که کدام کاربران به شبکه مجازی دسترسی دارند. همچنین، اطلاعاتی در مورد آدرس های IP مجاز دارد.

برای راه اندازی یک سرور دسترسی VPN در مرکز کنترل شبکه، اپلت تغییر تنظیمات آداپتور را باز کنید. اگر منوی اصلی اپلت نمایش داده نشد، دکمه "Alt" را فشار دهید. در بالای اپلت، منوی اصلی باید ظاهر شود، که در آن باید آیتم "File" را پیدا کنید و سپس "اتصال ورودی جدید" را انتخاب کنید. بیایید با جزئیات بیشتری در نظر بگیریم.

در کنترل پنل به «شبکه و اینترنت» بروید.

در گام بعدیما یک مرکز شبکه باز خواهیم کرد.

بیایید یک اتصال ورودی جدید ایجاد کنیم.

پنجره‌ای که ظاهر می‌شود، انتخاب از بین کاربران فعلی را پیشنهاد می‌کند یا کاربر جدیدی را تعریف می‌کند که اجازه اتصال به این رایانه را دارد.

هنگام افزودن یک "کاربر" جدید، باید نام و رمز عبوری را که با آن مجاز است به سرور دسترسی VPN متصل شود، مشخص کنید.

در مرحله بعدی، Private Network Setup Wizard از نحوه اتصال کاربران می پرسد.

لازم به ذکر است که آنها این کار را از طریق اینترنت انجام خواهند داد، بنابراین گزینه مورد نیاز را علامت بزنید.

مرحله بعدی مربوط به تاسیس است برنامه های کاربردی شبکهکه باید اتصالات ورودی را بپذیرد. از جمله آنها جزء پروتکل اینترنت نسخه 4 (TCP / IPv4) است. شما باید ویژگی های آن را باز کنید و به صورت دستی محدوده ای از آدرس های IP را که مجاز به دسترسی به سرور هستند وارد کنید.

در غیر این صورت این موضوع را برای شناسایی خودکار آدرس های IP به سرور DHCP بسپارید. در مورد ما، ما باید آنها را به صورت دستی تعریف کنیم.

پس از پردازش داده های وارد شده، سرور دسترسی اطلاعات مورد نیاز را برای اعطای مجوزهای لازم به کاربران مجاز دریافت می کند. در همان زمان، سیستم نام رایانه را که در آینده مورد نیاز خواهد بود، درخواست می کند.

در نتیجه به نتیجه زیر خواهیم رسید. هنوز هیچ مشتری متصلی وجود ندارد.

پیکربندی مشتری

شبکه های مدرن اغلب بر اساس معماری مشتری-سرور... این به شما امکان می دهد برجسته کنید کامپیوتر اصلیدر یک محیط شبکه ای کلاینت ها درخواست ها را به سرور آغاز می کنند و اولین کسانی هستند که سعی می کنند به سرور متصل شوند.

ما قبلا سمت سرور این معماری را پیکربندی کرده ایم. اکنون باقی مانده است که کار بخش مشتری را ایجاد کنیم. کلاینت باید کامپیوتر دیگری باشد.

V مرکز شبکهیک کامپیوتر دیگر (مشتری)، ما یک اتصال جدید برقرار خواهیم کرد.

ما باید مستقیماً به محل کار وصل شویم.

بیایید دوباره به شبکه بپردازیم Windows Centerفقط الان یه کامپیوتر دیگه بیایید گزینه پیکربندی اتصال جدید را انتخاب کنیم. اپلتی که ظاهر می شود چندین گزینه برای انتخاب ارائه می دهد، با این حال، ما به گزینه ای برای اتصال به محل کار نیاز داریم. جادوگر از شما می پرسد که چگونه اتصال را برقرار کنید. ما باید راه اندازی یک اتصال اینترنتی (VPN) را انتخاب کنیم.

در مرحله بعد، ویزارد از شما می خواهد که آدرس IP سرور دسترسی VPN را مشخص کرده و نام مقصد را تعیین کنید. آدرس IP سرور دسترسی را می توان با وارد کردن دستور ipconfig در خط فرمان در اولین رایانه ما یافت. آدرس IP شبکه اترنت آدرس مورد نظر خواهد بود.

سپس سیستم تمامی تنظیمات وارد شده را اعمال خواهد کرد.

بیایید وصل شویم

زمان X برای آزمایش ما ایجاد اتصال مشتری به سمت سرور شبکه ما است. در مرکز شبکه، گزینه «اتصال به شبکه» را انتخاب کنید. در پنجره ظاهر شده روی VPN-Test کلیک کنید (مقصد را با این نام مشخص کردیم) و دکمه اتصال را کلیک کنید.

با این کار اپلت اتصال VPN-Test باز می شود. در قسمت های متنی، نام و رمز عبور "کاربر" را برای مجوز در سرور دسترسی نشان می دهیم. اگر همه چیز خوب پیش برود و کاربر ما نه تنها در شبکه ثبت نام کند، بلکه بتواند به طور کامل به سرور دسترسی متصل شود، نام "کاربر" متصل در طرف مقابل ظاهر می شود.

اما گاهی اوقات، این نوع خطا ممکن است رخ دهد. سرور VPN پاسخ نمی دهد.

برای اتصالات ورودی روی برگه کلیک کنید.

در تب مشخص شده، ویژگی های پروتکل IP را باز کنید.

بیایید گزینه ای را برای تعیین آدرس های IP به طور صریح تنظیم کنیم و بنویسیم که کدام "آدرس های IP" باید ارائه شوند.

وقتی دوباره وصل شدیم تصویر زیر را می بینیم. سیستم به ما نشان می دهد که یک کلاینت و این کلاینت vpn (SimpleUser) متصل است.

خلاصه کوتاه

بنابراین، برای ایجاد یک شبکه VPN بین دو رایانه شخصی، باید تصمیم بگیرید که کدام یک از آنها باید "اصلی" شود و نقش یک سرور را بازی کند. بقیه رایانه های شخصی باید از طریق سیستم مجوز به آن متصل شوند. ویندوز ابزارهایی برای ارائه یک بک اند برای شبکه ما دارد. با ایجاد یک اتصال ورودی جدید، مشخص کردن کاربر، و همچنین برنامه هایی که باید اتصال را بپذیرند، پیکربندی می شود. کلاینت با ایجاد یک اتصال به محل کار، مشخص کردن کاربر و داده های سروری که این کاربر باید به آن متصل شود، پیکربندی می شود.