V În ultima vremeîn lumea telecomunicațiilor, există un interes crescut pentru rețele private virtuale (Rețea privată virtuală - VPN). Acest lucru se datorează necesității de a reduce costurile de întreținere a rețelelor corporative datorită conexiunii mai ieftine a birourilor de la distanță și a utilizatorilor la distanță prin Internet. Într-adevăr, atunci când se compară costul serviciilor pentru conectarea mai multor rețele prin Internet, de exemplu, cu rețele releu cadru poti sa vezi diferenta semnificativa in cost. Cu toate acestea, trebuie remarcat faptul că atunci când rețelele sunt conectate prin Internet, se pune imediat problema securității transmiterii datelor, așa că a devenit necesară crearea unor mecanisme care să asigure confidențialitatea și integritatea informațiilor transmise. Rețelele construite pe baza unor astfel de mecanisme se numesc VPN-uri.

În plus, foarte des omul modern, dezvoltându-ți afacerea, trebuie să călătorești mult. Pot fi excursii în colțuri îndepărtate ale țării noastre sau în țări străine. Nu este neobișnuit ca oamenii să aibă nevoie de acces la informațiile lor stocate pe computerul de acasă sau al companiei. Această problemă poate fi rezolvată prin aranjarea accesului de la distanță la acesta folosind un modem și o linie telefonică. Utilizarea unei linii telefonice are propriile sale caracteristici. Dezavantajele acestei soluții este că un apel din altă țară costă foarte mulți bani. Există o altă soluție numită VPN. Avantajele tehnologiei VPN sunt că organizarea accesului de la distanță nu se face prin intermediul linie telefonică, dar prin Internet, care este mult mai ieftin și mai bun. Dupa parerea mea tehnologia

VPN-ul are perspectiva de a fi adoptat pe scară largă în întreaga lume.

1. Concept și clasificare Rețele VPN, construcția lor

1.1 Ce este VPN

VPN(Engleză) Virtual Privat reţea- rețea privată virtuală) - o rețea logică creată deasupra unei alte rețele, cum ar fi Internetul. În ciuda faptului că comunicațiile se desfășoară prin rețele publice folosind protocoale nesigure, criptarea creează canale de schimb de informații închise pentru cei din afară. VPN vă permite să combinați, de exemplu, mai multe birouri ale unei organizații într-o singură rețea folosind canale necontrolate pentru comunicarea între ele.

În felul său esența unui VPN are multe dintre proprietățile unei linii închiriate, dar este implementat într-o rețea publică, cum ar fi Internetul. Cu tehnica tunelului, pachetele de date sunt difuzate prin rețeaua publică ca și cum ar fi printr-o conexiune normală punct la punct. Se stabilește un fel de tunel între fiecare pereche de date emițător-receptor - o conexiune logică sigură care permite încapsularea datelor dintr-un protocol în pachete ale altuia. Principalele componente ale tunelului sunt:

iniţiator

o rețea direcționată

· comutator de tunel;

unul sau mai multe terminatoare de tunel.

Prin el însuși, principiul de funcționare al unui VPN nu contrazice principalul tehnologii de rețeași protocoale. De exemplu, la stabilirea unei conexiuni acces de la distanță clientul trimite un flux de pachete PPP standard către server. În cazul organizării de linii virtuale închiriate între rețelele locale, routerele acestora schimbă și pachete PPP. Cu toate acestea, un punct fundamental nou este transmiterea pachetelor printr-un tunel securizat organizat în cadrul rețelei publice.

Tunnelarea vă permite să organizați transmisia pachetelor de unul

protocol într-un mediu logic care utilizează un alt protocol. Ca urmare, devine posibilă rezolvarea problemelor de interacțiune între mai multe rețele eterogene, începând cu necesitatea asigurării integrității și confidențialității datelor transmise și terminând cu depășirea neconcordanțelor din protocoalele externe sau schemele de adresare.

Existent infrastructura retelei corporațiile pot fi pregătite pentru folosind un VPN atât prin software cât şi hardware. Organizarea virtualului rețea privată poate fi comparat cu așezarea unui cablu printr-o rețea globală. De regulă, o legătură directă între utilizator de la distanță iar dispozitivul de capăt al tunelului este stabilit prin protocolul PPP.

Cea mai comună metodă de creare tuneluri VPN– încapsularea protocoalelor de rețea (IP, IPX, AppleTalk etc.) în PPP și încapsularea ulterioară a pachetelor generate într-un protocol de tunel. De obicei, acesta din urmă este IP sau (mult mai rar) ATM și Frame Relay. Această abordare se numește tunelizare layer 2, deoarece „pasagerul” aici este protocolul layer 2.

Abordare alternativă - Încapsularea pachetelor protocol de rețea direct într-un protocol de tunel (cum ar fi VTP) se numește tunel de nivel 3.

Indiferent ce protocoale sunt folosite sau ce obiective

persecutat în organizarea tunelului rămâne tehnica de bază

practic neschimbat. De obicei, un protocol este utilizat pentru a stabili o conexiune cu o gazdă la distanță, iar un alt protocol este utilizat pentru a încapsula date și informatii de serviciuîn scopul transmiterii prin tunel.

1.2 Clasificarea rețelelor VPN

Soluțiile VPN pot fi clasificate în funcție de mai mulți parametri principali:

1. După tipul de mediu utilizat:

· Protejat VPN retelelor. Cea mai comună variantă a rețelelor private private. Cu ajutorul acestuia, este posibil să se creeze o subrețea fiabilă și sigură bazată pe o rețea nesigură, de obicei Internet. Exemple de VPN-uri securizate sunt: ​​IPSec, OpenVPN și PPTP.

· Încredere VPN retelelor. Ele sunt utilizate în cazurile în care mediul de transmisie poate fi considerat fiabil și este necesar doar să se rezolve problema creării unei subrețele virtuale în cadrul rețea mai mare. Problemele de securitate devin irelevante. Exemple de astfel de soluții VPN sunt: ​​MPLS și L2TP. Este mai corect să spunem că aceste protocoale schimbă sarcina de a oferi securitate altora, de exemplu, L2TP este de obicei folosit în tandem cu IPSec.

2. Pe cale de implementare :

· VPN rețele sub formă de software și hardware special. Implementarea rețelei VPN se realizează folosind un set special de software și hardware. Această implementare oferă performanțe ridicate și, de regulă, un grad ridicat de securitate.

· VPN rețelele ca soluție software. utilizare Calculator personal cu software special care oferă funcționalitate VPN.

· VPN rețele cu o soluție integrată. Funcționalitatea VPN este asigurată de un complex care rezolvă și sarcinile de filtrare trafic de rețea, organizații firewall si asigurarea calitatii serviciilor.

3. Prin programare:

· VPN pentru intranet. Acestea sunt folosite pentru a combina mai multe ramuri distribuite ale unei organizații într-o singură rețea securizată, schimbând date prin canale de comunicare deschise.

· VPN cu acces la distanță. Folosit pentru a crea un canal securizat între un segment rețeaua corporativă(sediu central sau sucursală) și un singur utilizator care, în timp ce lucrează de acasă, se conectează la resurse corporative Cu computer de acasă sau, în timpul unei călătorii de afaceri, se conectează la resursele corporative folosind un laptop.

· VPN extranet. Folosit pentru rețelele la care utilizatorii „externi” (de exemplu, clienții sau clienții) se conectează. Nivelul de încredere în aceștia este mult mai scăzut decât în ​​angajații companiei, prin urmare, este necesară asigurarea unor „frontiere” speciale de protecție care împiedică sau restricționează accesul acestora din urmă la informații deosebit de valoroase, confidențiale.

4. După tipul de protocol:

Există implementări de rețele private virtuale sub TCP/IP, IPXși AppleTalk. Dar astăzi există o tendință spre o tranziție generală la protocol TCP/IP, iar marea majoritate a soluțiilor VPN îl acceptă.

5. După nivelul protocolului de rețea:

După nivel de protocol de rețea, pe baza comparației cu nivelurile de referință model de rețea ISO/OSI.

1.3. Construirea unui VPN

Există diverse opțiuni construirea unui VPN. Atunci când alegeți o soluție, trebuie să luați în considerare factorii de performanță ai constructorilor VPN. De exemplu, dacă un router rulează deja la limita puterii procesorului său, atunci adăugarea de tuneluri VPN și aplicarea de criptare/decriptare a informațiilor poate opri întreaga rețea din cauza faptului că acest router nu va putea face față unor probleme simple. trafic, ca să nu mai vorbim de VPN. Experiența arată că pentru a construi VPN-ul este mai bun utilizați doar echipamente specializate, dar dacă există o limitare a fondurilor, atunci puteți acorda atenție unei soluții pur software. Luați în considerare câteva opțiuni pentru construirea unui VPN.

· VPN bazat pe firewall

Majoritatea producătorilor de firewall acceptă tunelarea și criptarea datelor. Tot produse similare se bazează pe faptul că traficul care trece prin firewall este criptat. Un modul de criptare este adăugat la software-ul firewall propriu-zis. Dezavantajul acestei metode este dependența performanței de hardware-ul pe care rulează firewall-ul. Când utilizați firewall-uri bazate pe PC, rețineți că această soluție poate fi folosită numai pentru rețele mici cu o cantitate mică de informații transmise.

Un exemplu de VPN bazat pe firewall este FireWall-1 al companiei punct de control Tehnologii software. FairWall-1 folosește pentru a construi un VPN abordare standard bazat pe IPSec. Traficul care intră în firewall este decriptat, după care i se aplică regulile standard de control al accesului. Firewall-1 rulează sisteme de operare Solaris și Windows NT 4.0.

· VPN bazat pe router

O altă modalitate de a construi un VPN este utilizarea routerelor pentru a crea canale securizate. Deoarece toate informațiile care provin din rețeaua locală trec prin router, este recomandabil să atribuiți sarcini de criptare și acestui router.

Organizarea canalelor VPN între filialele companiei are mare importanțăîn munca oricărui specialist IT. Acest articol discută una dintre modalitățile de implementare a acestei sarcini pe baza produsului software OpenVPN.

Mai jos vom lua în considerare topologia rețelei în care vom organiza un tunel VPN, vom analiza caracteristicile de configurare a programului OpenVPN și vom configura pas cu pas rutarea pentru birourile noastre. Articolul este scris pe presupunerea că OpenVPN va fi instalat Platforme Windows 7 și Windows Server 2008.

Topologie de rețea.

Topologia de rețea folosită de noi este standard. Există o rețea de birouri centrale (să-i spunem SSC) și o rețea de filiale (să-i spunem SF). Sarcina este de a conecta birourile astfel încât computerul utilizatorului final (denumit în continuare PC1) al biroului SSC să aibă acces la resurse partajate calculator utilizator (denumit în continuare PC2) SF.

CSC include:

• Gateway de internet (să-l numim IS1) cu două interfețe de rețea:
• 111.111.111.111 - emis de furnizor, se uită pe Internet.
• 192.168.0.1 - atribuit de noi, se uită la SSC.
• OpenVPN Server (denumit în continuare OS) pe care vom ridica OpenVPN cu o interfață virtuală și una fizică:
• 10.8.0.1 - adresa interfeței virtuale (interfața este setată în timpul instalării programului OpenVPN). Adresa acestei interfețe este atribuită de program. Tu și cu mine nu ar trebui să schimbăm adresa de la gestionarea adaptorului de rețea.
• 192.168.0.2 - interfata fizica, parametrii sunt setati de noi, se uita in SSC.
• PC1 - computerul utilizatorului 1, cu interfața de rețea 192.168.0.3, arată similar în SSC.

SF include:

• Gateway de internet (denumit în continuare IS2) cu două interfețe de rețea:
• 222.222.222.222 - emis de furnizor, se uită pe Internet.
• 192.168.1.2 - atribuit de noi, se uită în Consiliul Federației.
• Client OpenVPN (denumit în continuare OK) pe care vom ridica OpenVPN cu o interfață virtuală și una fizică:
• 10.8.0.2 - adresa interfeței de rețea virtuală (interfața este setată în timpul instalării programului OpenVPN). Adresa acestei interfețe este atribuită și de programul OpenVPN.
• 192.168.1.2 - interfață fizică, parametrii sunt setați de noi, arată în SF.
• PC2 - calculator utilizator 2, cu interfață de rețea 192.168.1.3, arată în SF.

Configurarea unui server OpenVPN.

Acum să trecem la programul în sine, la elementele de bază și la caracteristicile configurației sale. OpenVPN este disponibil în variante pentru Linux și Windows. Poti descarca pachet de instalare pe .

Procesul de instalare în sine nu va cauza probleme. Singurul lucru este să dezactivați antivirusul în timpul instalării pentru a evita probleme suplimentare. La momentul scrierii acestui articol, de exemplu, produsele Kaspersky Lab nu blocau instalarea, ci doar afișau suspiciuni asupra unor componente instalate.

Procesul de instalare instalează un adaptor de rețea virtual în sistem. Adaptor TAP-Win32 V9și, în consecință, șoferul la acesta. Programul OpenVPN va atribui adresa IP și masca rețelei virtuale OpenVPN acestei interfețe. În cazul nostru, i se atribuie adresa 10.8.0.1 cu o mască de 255.255.255.0 pe serverul OS și 10.8.0.2 cu o mască similară pe clientul OK.

Implicit, programul este instalat în C:\ProgramFiles\OpenVPN. În acest director, ar trebui să creați imediat un folder suplimentar chei(aici vom stoca cheile de autentificare) folder ccd(aici vor exista configurații pentru setările serverului pentru client).

În director C:\ProgramFiles\OpenVPN\sample-config sunt prezentate configurații standard. Configurațiile pe care le vom crea trebuie să fie plasate în director C:\Program Files\OpenVPN\config.

Configurarea OpenVPN începe cu generarea cheii. Cheile generate sunt împărțite în:

• certificatul principal și cheia Autorității de certificare (CA) utilizate pentru a semna fiecare certificat de server și client.
• cheile publice și private pentru server și fiecare (acest lucru este important) client separat.

Secvența de creare a cheilor este următoarea (numele certificatului și ale fișierelor cheie sunt date între paranteze):

• Generăm certificatul principal CA (ca.crt) și cheia CA (ca.key).
• Generarea unei chei tls-auth (ta.key) pentru autentificarea pachetelor.

Să analizăm fiecare punct mai detaliat.

Generați certificatul CA principal și cheia CA:

Mergem la Start - Run recrutare cmd, faceți clic pe OK, accesați linia de comandă. Noi scriem:

Cd C:/Fișiere de program/OpenVPN/easy-rsa

Astfel suntem în director uşor-rsa:

În timpul execuției tuturor elementelor de generare a cheilor, trebuie să fiți în el. Executăm comanda:

init-config

Fără a închide linia de comandă, accesați C:\ProgramFiles\OpenVpn\easy-rsași editați fișierul vars.bat prin completarea următorilor parametri (indicând, desigur, datele dumneavoastră):

KEY_COUNTRY=RF
KEY_PROVINCE=LU
KEY_CITY=Malinino
KEY_ORG=Organizare
[email protected]

Acum să creăm un certificat CA și o cheie CA. Deschidem linia de comandă, care în tot acest timp a stat undeva pe desktop și continuăm să introducem comenzi:

Vars
curata tot
construi-ca

Ultima comandă generează doar certificatul CA și cheia CA. În procesul de creare a cheii, vi se vor pune întrebări la care puteți răspunde pur și simplu apăsând Enter „a (apoi valorile vor fi preluate din fișierul vars.bat pe care l-am editat mai sus) sau introduceți-vă propriul dvs. Merită să acordați atenție întrebării:

Nume comun (de exemplu, numele dvs. sau numele de gazdă al serverului dvs.): OpenVPNS

Aici trebuie să dați un nume pentru server - în exemplu am introdus OpenVPNS.

Generăm un certificat (server.crt) și o cheie (server.key) a serverului.

Fără a părăsi directorul, în nostru Linie de comanda Să continuăm să tastăm comenzi. Să generăm un certificat de server și o cheie cu comanda:

Build-key-server

Răspundem la întrebări în același mod ca în primul paragraf. La intrebare:

Nume comun *: server

Să vă prezentăm: Server. Pentru intrebari:

Semnează certificatul?

1 din 1 solicită certificat certificat, comite?

trebuie să se răspundă afirmativ. Y.

Generăm un certificat (office1.crt) și o cheie (office1.key) pentru client.

Evident, pot fi mulți clienți, în exemplul nostru este unul - birou1. În funcție de numărul de clienți, următoarea comandă de pe linia de comandă este executată de mai multe ori, iar numele cheilor generate se modifică și ele:

Build-key office1

dacă sunt necesare mai multe certificate și chei, să spunem pentru al doilea client, apoi introduceți:

Build-key office2

În procesul de a răspunde la întrebări, nu uitați că fiecare client la întrebare denumirea comună trebuie să primească un nume unic, de exemplu: office1, office2 etc.

Generarea parametrilor DiffieHellman (dh1024.pem).

Introduceți pe linia de comandă, găsiți în același director easy-rsa:

Construire-dh

generarea cheii tls-auth (ta.key) pentru autentificarea pachetelor

La sfârșit, creăm o cheie pentru autentificarea tls cu comanda:

Openvpn --genkey --secret ta.key

Acum să ne dăm seama ce fișiere să lăsați pe server și pe care să le transferăm către client. Pe server (OC), doar următoarele fișiere ar trebui să fie localizate în folderul chei pe care l-am creat:

• ca.crt
• ca.cheie
• dh1024.pem
• server.crt
• server.cheie
• ta.cheie

Pe clientul OK, în mod similar cu serverul OS, vom crea și folderul chei, ar trebui să existe:

• ca.crt
• birou1.crt
• birou1.cheie
• ta.cheie

Toate fișierele cu extensia .key sunt secrete. Merită să le transmiteți doar prin canale securizate, este mai bine pe un mediu fizic.

În continuare, să începem să creăm o configurație pentru serverul nostru de sistem de operare și clientul OK. În directorul de configurare, creați un fișier cu următorul nume și extensie: server.ovpn Deschideți-l cu notepad și începeți să scrieți configurația:

Selectați protocolul pentru transferul de date - în acest caz upd:

Proto udp

Port standard pentru OpenVPN:

Portul 1194

Modul de operare program L3-tunnel. V acest mod OpenVPN - Router:

Mod client-server:

tls-server

Această topologie este disponibilă încă din versiunea 2.1 și constă în faptul că fiecărui client i se atribuie 1 adresă, fără porturi virtuale de router:

Subrețea topologie

Rutele sunt adăugate prin .exe - acest lucru este important:

route-method.exe

Întârzierea la adăugarea unei rute poate fi redusă la 5:

Întârziere traseu 10

Această opțiune specifică organizarea rețelei. Avem o rețea virtuală 10.8.0.0 /24. Prima adresă din această rețea, adică 10.8.0.1, este emisă către server, cele ulterioare (10.8.0.2, 10.8.0.3 etc.) către clienți. Serverul DHPC primește adresa 10.8.0.254:

Server 10.8.0.0 255.255.255.0

Setați poarta de acces la rețeaua openvpn:

Route-gateway 10.8.0.1

Directorul în care trebuie să plasăm fișierul cu numele clientului nostru, adică office1 fără extensie, și să notăm comenzile care vor fi executate pe client în el:

Client-config-dir „C:\\Program Files\\OpenVPN\\ccd”

cert „C:\\Program Files\\OpenVPN\\keys\\server.crt”
tasta „C:\\Program Files\\OpenVPN\\keys\\server.key”
dh „C:\\Program Files\\OpenVPN\\keys\\dh1024.pem”
tls-auth „C:\\Program Files\\OpenVPN\\keys\\ta.key” 0

Setăm serverului OS o rută către întreaga rețea:

Traseul 10.8.0.0 255.255.255.0

Alegeți o metodă de compresie:

Cifrul BF-CBC

Setați compresia traficului:

Comp lzo

OpenVPN trimite sistemul de înregistrare a evenimentelor din program nr erori critice retelelor. În practică, acest lucru va reduce conținutul ferestrei de stare care apare la pornirea serverului OpenVPN:

Serverul face ping pe partea opusă la intervale de 10 secunde și dacă partea nu răspunde în 60 de secunde, serverul va începe o reconectare:

Keepalive 5 60

Apoi, mergeți la directorul ccd și creați un fișier care va conține comenzi trimise clientului de pe server. Trebuie să fie numit la fel cum am numit clientul însuși, de exemplu birou1. Fișierul nu va avea extensie.

Editați-l cu notepad. Toți parametrii setați mai jos vor fi transferați automat clientului:

Setați ip și masca pentru clientul nostru office1:

ifconfig-push 10.8.0.2 255.255.255.0

Îi trecem traseul către întreaga rețea:

Apăsați „route 10.8.0.0 255.255.255.0”

Setați poarta de acces pentru aceasta:

Apăsați „route-gateway 10.8.0.1”

Această comandă îi spune serverului OS că în spatele acestui client, și anume OK (office1), există o rețea 192.168.1.0:

Traseul 192.168.1.0 255.255.255.0

Astfel, am terminat de configurat serverul din partea sistemului de operare.

Setarea clientului.

În continuare, să începem să schimbăm setările clientului. Să mergem la aparatul OK din folder config. Să creăm un fișier în el office1.ovpn Să începem editarea, o serie de opțiuni le repetă pe cele de pe server, așa că nu le vom explica:

Dev tun
proto udp
portul 1194

Specificați adresa externă a ISh1:

Telecomanda 111.111.111.111

Clientul va lucra în modul tls-client:

tls-client

Această opțiune protejează împotriva falsificării serverului de către o terță parte:

Server Remote-cert-tls

Aceste opțiuni sunt similare cu serverul:

route-method.exe
traseu-întârziere 10

Setați ruta către rețea 192.168.0.0:

Cu această comandă, permitem ca configurația clientului să fie primită de la server:

Căi cheie:

Ca „C:\\Fișiere de program\\OpenVPN\\keys\\ca.crt”
cert „C:\\Program Files\\OpenVPN\\keys\\office1.crt”
tasta „C:\\Program Files\\OpenVPN\\keys\\office1.key”
tls-auth „C:\\Program Files\\OpenVPN\\keys\\ta.key” 1

Opțiunile rămase sunt, de asemenea, similare cu serverul:

Cifrul BF-CBC
comp lzo
verbul 1
mentine in viata 5 60

Aceasta completează configurarea programului pe partea client OK.

Configurare și rutare firewall.

Și așa, am configurat configurații pe OK și pe OS. Acum să analizăm foarte mult Puncte importante. Să facem o rezervare în avans dacă utilizați KIS 2011 sau similar programe antivirus, apoi în setările firewall-ului ar trebui să permiteți trecerea pachetelor ICMP. Acest lucru ne va permite să facem ping fără probleme gazdelor din rețelele noastre.

De asemenea, merită să adăugați interfața noastră virtuală a programului OpenVPN la lista rețelelor de încredere.

Pe SH1, trebuie făcute următoarele acțiuni:

• Redirecționarea portului 1194 a fost configurată Protocolul UDP de la interfața 111.111.111.111 la interfața OS server 192.168.0.2
• Firewall-ul trebuie să permită portul UDP 1194, altfel ping-ul nu va merge nici măcar între OS și OK.

Pe ISH2, trebuie să faceți acțiuni similare:

• Configurați redirecționarea portului UDP 1194 de la interfața 222.222.222.222 la interfața client OK 192.168.1.2
• Verificați dacă portul UDP 1194 este deschis în firewall.

În Usergate 5.2, de exemplu, configurarea redirecționării pachetelor pe portul 1194 al protocolului UDP arată astfel:

În acest moment, trimitem deja ping la OK și OS la adresele lor OpenVPN, adică 10.8.0.1 și 10.8.0.2. În continuare, trebuie să ne asigurăm că pachetele sunt direcționate corect de la clientul OK la rețeaua de la distanță 192.168.0.0. Facem acest lucru într-unul din mai multe moduri:

Ori stabilim traseu permanent la această rețea de pe client însuși este OK:

Ruta -p adauga 192.168.0.0 masca 255.255.255.0 10.8.0.1

Sau setăm această rută în configurația ccd a clientului către server și anume în fișierul office1 adăugăm:

Apăsați „route 192.168.0.0 255.255.255.0”

Puteți face acest lucru și adăugând o linie direct în configurația clientului OK:

Traseul 192.168.0.0 255.255.255.0

Apoi, trebuie să furnizați o rută de pachete de la serverul OS la rețeaua de la distanță 192.168.1.0. acest lucru se face în același mod ca mai sus, cu câteva excepții.

Adăugați o comandă la configurația serverului OS:

Traseu 192.168.1.0 255.255.255.0 10.8.0.2

sau adăugați comanda direct pe linia de comandă:

Ruta -p adauga 192.168.1.0 masca 255.255.255.0 10.8.0.2

De asemenea, este necesar să activați serviciul pe serverul OS și clientul OK în servicii. Rutare și acces la distanță, oferind astfel rutare către rețeaua internă (redirecționare). Fără aceasta, adresele interne din rețelele SSC și SF ale clientului OK și ale serverului OS nu vor fi trimise ping.

În această etapă, suntem deja liberi să facem ping la adresele interne ale sistemului nostru de operare și OK, de exemplu. tastând pe serverul OS ping 192.168.1.2 și pe client OK ping 192.168.0.2 obținem rezultat pozitiv la fel de:

Astfel, OK și OS fac ping reciproc pe adresele lor OpenVPN și SC și SF interne. Apoi, trebuie să înregistrăm ruta pe linia de comandă către rețeaua 10.8.0.0 pe PC-ul nostru 1 și PC2. Acest lucru se face cu următoarele comenzi:

Ruta -p adaugă 192.168.1.0 masca 255.255.255.0 192.168.0.2

Ruta -p adauga 192.168.0.0 masca 255.255.255.0 192.168.1.2

Ca urmare, resursele partajate din PC1 și PC2 vor fi disponibile la adresa lor de intranet:

• Etichete:

Vă rugăm să activați JavaScript pentru a vizualiza

Instruire

Faceți clic pe meniul „Start” și selectați „Panou de control”. Găsiți secțiunea „Rețea și Internet”. Pentru organizații VPN-conectare, trebuie să rulați snap-in „Centrul de rețea și partajare”. acces public". De asemenea, puteți face clic pe pictograma de rețea din tavă și puteți selecta o comandă similară. Continuați să creați o nouă conexiune sau o rețea, observând că trebuie să stabiliți o conexiune la desktop. Faceți clic pe „Următorul”. Vi se va solicita să utilizați o conexiune existentă. Bifați caseta „Nu, creați o nouă conexiune” și treceți la pasul următor al setărilor.

Selectați „Utilizați conexiunea mea la internet” pentru a configura o conexiune VPN. Lăsați deoparte promptul de configurare a Internetului care apare înainte de a continua. Va apărea o fereastră în care trebuie să specificați adresa serverului VPN conform contractului și să veniți cu un nume pentru conexiune, care va fi afișat în centrul de rețea și partajare. Bifați caseta de selectare „Nu vă conectați acum”, altfel computerul va încerca imediat să stabilească o conexiune după configurare. Bifați „Utilizați cardul inteligent” dacă gazda VPN la distanță autentifică conexiunea cardului inteligent. Faceți clic pe următorul.

Introduceți numele de utilizator, parola și domeniul pe care le utilizați pentru a accesa rețeaua de la distanță. Faceți clic pe butonul „Creați” și așteptați până când conexiunea VPN este configurată. Acum trebuie să stabiliți o conexiune la internet. Pentru a face acest lucru, faceți clic pe pictograma de rețea din tavă și începeți să configurați proprietățile conexiunii create.

Deschideți fila „Securitate”. Setați „Tip VPN” la „Automat” și „Criptare datelor” la „Opțional”. Bifați caseta „Permite următoarele protocoale” și selectați protocoalele CHAP și MS-CHAP. Accesați fila „Rețea” și lăsați o bifă lângă elementul „Internet Protocol version 4”. Faceți clic pe butonul „OK” și conectați conexiunea VPN.

Orice vpn net prevede prezența unui server specific care va asigura comunicarea calculatoare din rețeași alte dispozitive. În același timp, oferă unora dintre ei (sau tuturor) acces la o rețea externă, de exemplu, Internetul.

Vei avea nevoie

• - cablu de rețea;
• - Card LAN.

Instruire

Cel mai simplu exemplu de rețea vpn este crearea unei rețele locale între, fiecare dintre ele va accesa Internetul. Desigur, un singur PC va avea o conexiune directă la serverul furnizorului. Selectați acest computer.

Instalați un adaptor de rețea suplimentar în el, care va fi conectat la al doilea computer. Folosind un cablu de rețea de lungimea corectă, conectați plăci de rețea două computere unul față de celălalt. Altcuiva adaptor de retea conectați cablul ISP la computerul principal.

Configurați-vă conexiunea la internet. Aceasta poate fi o conexiune LAN sau DSL. În acest caz, nu contează deloc. Când ați terminat de creat și configurat o nouă conexiune, accesați proprietățile acesteia.

Deschideți meniul „Acces” în fereastra care apare. Permiteți tuturor computerelor care fac parte dintr-o anumită rețea locală să utilizeze această conexiune la internet. Specifica net format din cele două computere ale tale.

În condițiile moderne de dezvoltare a tehnologiei informației, avantajele creării de rețele private virtuale sunt incontestabile. Dar înainte de a enumera cele mai evidente și moduri utile organizarea rețelelor private virtuale, este necesar să se definească conceptul în sine. O rețea privată virtuală sau pur și simplu VPN (Virtual Private Network) este o tehnologie în care informațiile sunt schimbate cu o rețea locală la distanță printr-un canal virtual printr-o rețea uz comun cu imitarea unei conexiuni private punct la punct. O rețea publică se poate referi atât la Internet, cât și la un alt intranet.

fundal

Originea VPN-ului datează din anii 1960, când departamentul de inginerie al companiei de telefonie din New York a dezvoltat sistemul. stabilire automată conexiuni ale abonaților PBX - Centrex (Central Exchange). Cu alte cuvinte, nu este altceva decât un privat virtual reteaua telefonica, deoarece au fost închiriate canale de comunicare deja create, adică. au fost create canale virtuale pentru transmiterea informaţiei vocale. În prezent, acest serviciu este înlocuit de un analog mai avansat - IP-Centrex. Confidențialitatea a fost un aspect important în transferul de informații deja suficient perioadă lungă de timp, în jurul anului 1900 î.Hr. primele încercări de criptare au fost făcute de egipteni, distorsionând simbolurile mesajelor. Iar în secolul al XV-lea d.Hr., matematicianul Leon Batiste Alberti a creat primul model criptografic. În prezent, este o rețea privată virtuală care poate oferi suficientă fiabilitate a informațiilor transmise, împreună cu o excelentă flexibilitate și extensibilitate a sistemului.

VPN versus PN

Atunci când se organizează canale securizate de transmitere a informațiilor în instituții, este nedrept să nu se ia în considerare opțiunea organizării unei rețele private cu drepturi depline. Figura de mai jos prezintă un scenariu de rețea privată pentru o companie mică cu 2 sucursale.

Accesul la rețeaua externă se poate realiza prin Biroul principalși descentralizate. Această organizație Rețeaua are următoarele avantaje incontestabile:

• viteză mare de transfer de informații, de fapt, viteza cu o astfel de conexiune va fi egală cu viteza rețelei locale a întreprinderii;
• securitate, datele transmise nu intră în rețeaua publică;
• nimeni nu trebuie să plătească pentru utilizarea unei rețele organizate, într-adevăr, investițiile de capital vor fi doar în etapa de producție a rețelei.

Figura următoare prezintă o variantă similară de conectare în rețea a unei instituții cu filiale, dar numai folosind rețele private virtuale.

În acest caz, avantajele citate pentru rețelele private se dovedesc a fi dezavantaje pentru rețelele private virtuale, dar sunt aceste dezavantaje atât de semnificative? Să ne dăm seama:

• rata de date. Furnizorii pot oferi acces la Internet de viteză suficient de mare, dar tot nu poate fi comparat cu o rețea locală de 100 Mbps testată în timp. Dar este atât de important să pompați sute de megaocteți de informații în fiecare zi printr-o rețea organizată? Pentru a accesa un site local de întreprindere, redirecționare e-mail cu un document, viteza pe care o pot oferi furnizorii de internet este destul de suficientă;
• securitatea datelor transmise. La organizarea unui VPN, informațiile transmise intră în rețeaua externă, așa că va trebui să vă ocupați în prealabil de organizarea securității. Dar deja astăzi există algoritmi suficient de rezistenți la atac pentru criptarea informațiilor care permit proprietarilor datelor transmise să nu-și facă griji cu privire la securitate. Citiți mai jos despre metodele de securitate și algoritmii de criptare;
• nimeni nu trebuie să plătească pentru o rețea organizată. Un avantaj destul de controversat, deoarece, spre deosebire de ieftinitatea utilizării rețelei, există costuri mari de capital pentru crearea acesteia, care pot fi inaccesibile pentru o instituție mică. În același timp, taxa pentru utilizarea internetului astăzi este destul de democratică în sine, iar tarifele flexibile permit tuturor să aleagă pachetul optim.

Acum să ne ocupăm de cele mai multe beneficii evidente VPN:

• scalabilitatea sistemului. Când deschideți o nouă sucursală sau adăugați un angajat căruia îi este permis să utilizeze accesul de la distanță, nu sunt necesare costuri suplimentare de comunicare.
• flexibilitatea sistemului. Pentru un VPN, nu contează de unde accesați. Un singur angajat poate lucra de acasă sau în timp ce citește e-mailuri de la o companie cutie poștală firmelor să rămână într-o călătorie de afaceri într-o stare complet diferită. De asemenea, a devenit posibilă utilizarea așa-numitelor birouri mobile, unde nu există nicio legătură cu o anumită zonă.
• din precedentul rezultă că o persoană este nelimitată geografic pentru a-și organiza locul de muncă, ceea ce este practic imposibil atunci când folosește o rețea privată.

Un punct separat este crearea de rețele private nu cu fir, ci fără fir. Cu această abordare, puteți chiar să luați în considerare opțiunea împreună cu însoțitorul dvs. Totuși, în acest caz, costurile inițiale ating cote astronomice, viteza fiind de fapt redusă la viteza de utilizare. World Wide Web, iar pentru securitate de încredere, este necesar să utilizați din nou criptarea. Și ca rezultat, obținem rețeaua privată virtuală mai strânsă, doar cu costuri inițiale incredibil de mari și costul menținerii tuturor echipamentelor în stare de funcționare. Metode de organizare Într-un VPN, cel mai potrivit este să se distingă următoarele trei metode principale: În acest caz, pentru clienți la distanță capacitatea de a utiliza rețeaua corporativă va fi mult redusă, de fapt acestea vor fi limitate la accesul la acele resurse ale companiei care sunt necesare atunci când lucrează cu clienții lor, de exemplu, un site cu oferte comerciale, iar VPN este folosit în acest caz pentru a transferați în siguranță date confidențiale. Instrumente de securitate a informațiilor - Protocoale de criptare priviri indiscrete. Pentru a implementa protecția informațiilor transmise, există multe protocoale care protejează VPN-urile, dar toate sunt împărțite în două tipuri și funcționează în perechi:

• protocoale care încapsulează date și formează o conexiune VPN;
• protocoale care criptează datele în interiorul tunelului creat.

Primul tip de protocoale stabilește o conexiune tunelată, iar al doilea tip este responsabil direct de criptarea datelor. Să luăm în considerare câteva soluții standard oferite de liderul mondial de renume mondial în dezvoltarea sistemelor de operare. La fel de set standard se propune să se facă o alegere dintre două protocoale, ar fi mai corect să se spună seturi:

1. PPTP (Point-to-Point Tunneling Protocol) este un protocol de tunelare punct la punct creat de Microsoft și este o extensie a PPP (Point-to-Point Protocol), prin urmare folosind mecanismele sale de autentificare, compresie și criptare. Protocolul PPTP este încorporat în clientul de la distanță Acces Windows xp. La alegere standard acest protocol Microsoft sugerează utilizarea metodei de criptare MPPE (Microsoft Point-to-Point Encryption). Puteți transfera date fără criptare în clar. Încapsularea datelor PPTP are loc prin adăugarea unui antet GRE (Generic Routing Encapsulation) și a unui antet IP la datele procesate de protocolul PPP.
2. L2TP (Layer Two Tunneling Protocol) este un protocol mai avansat care a luat naștere ca urmare a combinației dintre protocoalele PPTP (de la Microsoft) și L2F (de la Cisco), încorporând tot ce este mai bun dintre aceste două protocoale. Oferă o conexiune mai sigură decât prima opțiune, criptarea are loc folosind protocolul IPSec (securitate IP). L2TP este, de asemenea, încorporat în clientul de acces la distanță Windows XP, în plus, atunci când detectează automat tipul de conexiune, clientul încearcă mai întâi să se conecteze la server folosind acest protocol, care este mai de preferat din punct de vedere al securității.

Încapsularea datelor are loc prin adăugarea antetelor L2TP și IPSec la datele procesate de protocolul PPP. Criptarea datelor se realizează prin aplicare algoritmul DES(Standard de criptare a datelor) sau 3DES. Exact la ultimul caz realizat cea mai mare securitate datele transmise, însă, în acest caz, va trebui să plătiți viteza conexiunii, precum și resursele CPU. În problema aplicării protocolului, Microsoft și Cisco formează un fel de simbioză, judecă singur, protocolul PPTP este Dezvoltare Microsoft, dar este folosit împreună cu GRE, iar acesta este un produs Cisco, mai avansat în ceea ce privește securitatea, protocolul L2TP nu este altceva decât un hibrid care încorporează toate cele mai bune PPTP (știm deja al cui) și L2F, da, așa este, dezvoltat de Cisco. Poate de aceea un VPN, atunci când este făcut corect într-o organizație, este considerat o modalitate fiabilă de a transfera date sensibile. Exemplele de protocoale luate în considerare aici nu sunt singurele, există multe soluții alternative, de exemplu, PopTop - o implementare Unix a PPTP, sau FreeSWAN - un protocol pentru stabilirea unei conexiuni IPSec sub Linux, precum și: Vtun, Racoon, ISAKMPD, etc.

Implementare practică

Acum să trecem de la teorie la practică, pentru că, după cum știți: „practica este criteriul adevărului”. Să încercăm să organizăm o versiune simplă a unei rețele private virtuale, prezentată în figura de mai jos.

Un angajat sau angajat de la distanță este în afara biroului și are acces la o rețea publică, să fie Internet. Adresa rețelei de accesat este 11.7.0.0, masca de subrețea este respectiv 255.255.0.0. Această rețea corporativă este o rețea de domeniu, sub Control Windows 2003 Server Corporate Edition. Serverul are două interfata retea cu adrese IP interne ale rețelei corporative 11.7.3.1 și externe 191.168.0.2. Trebuie remarcat faptul că atunci când proiectați o rețea VPN, serverul este pus pe ultimul loc, așa că puteți probleme speciale organizați accesul VPN la o rețea deja stabilită și stabilită a organizației, dar, în același timp, dacă au existat modificări semnificative în rețeaua gestionată, atunci este posibil să fie necesar să reconfigurați serverul VPN. În cazul nostru, există o rețea deja formată, cu adresele descrise mai sus, este necesară configurarea serverului VPN, precum și permiterea anumitor utilizatori să acceseze din rețeaua externă. Rețeaua corporativă are un site intern, pe care vom încerca să îl accesăm printr-o rețea privată virtuală. Pe Windows 2003 Server, instalarea unui rol servere VPN efectuate destul de simplu.

Instalați urmând instrucțiunile vrăjitorului parametrii necesari: în al doilea pas, selectați acces la distanță (VPN sau modem); apoi acces la distanță prin Internet; la pasul 4, specificați interfața de server conectată la Internet, în cazul nostru 191.168.0.2; în continuare, determinăm metoda de atribuire a adreselor clienților la distanță, în cazul nostru, aceștia vor fi adrese atribuite automat; dacă rețeaua dumneavoastră are un server RADIUS pentru autentificarea centralizată a conexiunilor, selectați-l, dacă nu, atunci lăsați această sarcină pe serverul VPN. Așadar, serverul VPN a fost creat, după ce s-au făcut instalările, trecem la gestionarea utilizatorilor domeniului nostru și pentru lucrătorii care au nevoie de acces la distanță la rețeaua internă organizațiilor, permitem același acces prin setarea comutatorului corespunzător în fila „Apeluri primite”.

Când configurați o rețea privată virtuală, rețineți că pentru funcţionare corectă este necesar să firewall instalat a permis protocoalele utilizate de VPN. Cu partea de server terminată, să trecem la crearea unui client de rețea privată virtuală activat computer la distanță. Pentru a face acest lucru, trebuie să rulați vrăjitorul conexiuni de retea. În al doilea pas, urmând instrucțiunile, selectați elementul „Conectați-vă la rețea la locul de muncă”. În al treilea pas „Conectarea la o rețea privată virtuală”. Următorul pas este să introduceți un nume pentru conexiune. Al cincilea pas este să alegeți dacă trebuie să vă conectați mai întâi la Internet (dacă vă conectați dintr-un loc cu acces constant, selectați „nu”, dacă utilizați, de exemplu, telefon mobil ca modem, atunci ar trebui să selectați pre-dial pentru a vă conecta la Internet). În penultimul pas, introduceți adresa IP a serverului de accesat.

Pentru o conexiune deja creată, puteți oricând edita proprietățile, precum și configura unele puncte privind securitatea și tipul conexiunii create.

Examinare

Configurarea accesului de la distanță este completă, este timpul să-i verificați performanța. Să începem în mod tradițional, cu comanda „ping” preferată a tuturor, doar încercați să „ping” o stație de lucru din rețeaua noastră corporativă.

Grozav, computerele sunt vizibile, dar este puțin probabil ca un lucrător de la distanță să aibă nevoie de acest lucru, să încercăm să accesăm site-ul web local al organizației.

Totul funcționează bine, rămâne de măsurat performanța rețelei private virtuale create. Pentru a face acest lucru, vom copia fișierul prin conexiunea VPN și, de asemenea, fără a-l folosi, pe serverul VPN. La fel de mediu fizic transmiterea informațiilor va fi efectuată de o rețea de 100 Mbps, în acest caz, lățimea de bandă a rețelei nu este un factor limitativ. Deci, copierea unui fișier de 342.921.216 octeți a durat 121 de secunde. CU conexiune VPN- 153 de secunde. În general, pierderea timpului de copiere a fost de 26%, ceea ce este firesc, deoarece la transferul de informații printr-un VPN apar costuri suplimentare suplimentare sub formă de criptare/decriptare a datelor. În cazul nostru, a fost utilizat protocolul PPTP; atunci când se folosesc alte tipuri de protocoale, pierderea de timp va varia și ea. In prezent Ora Microsoft recomandă utilizarea protocolului L2TP IPSec cu smart carduri pentru autentificare și securitate maximă a comunicațiilor.

concluzii

O rețea privată virtuală nu este nouă, dar, după cum vedem, o invenție foarte utilă în lumea tehnologiei informației, care vă va ajuta să primiți în siguranță informațiile care vă interesează. Trebuie remarcat faptul că există complexe hardware întregi pentru implementarea VPN, dar acestea nu au fost utilizate pe scară largă datorită concentrării lor pe deservirea întreprinderilor mari și, ca urmare, a costurilor ridicate. Puterea de calcul a soluțiilor hardware este, desigur, foarte mare, dar nu întotdeauna la cerere soluții software, și cu atât mai mult cele standard, care nu necesită costuri suplimentare pentru căutarea și achiziționarea de software suplimentar, au câștigat o popularitate atât de imensă. VPN-ul rezultat este de fapt foarte simplu, dar acoperă elementele de bază ale construirii unui VPN. Construirea altor tipuri de VPN bazate pe Microsoft 2003 Server nu este în principiu diferită, totul este simplu și ușor. În concluzie, aș vrea să spun că de fapt modalitățile aplicații VPN sunt într-adevăr o mulțime și nu se limitează doar la cazurile descrise în acest articol și este aproape imposibil să enumerăm metodele de implementare. Cu toate acestea, dacă ați găsit o cale de ieșire din situație folosind un VPN, nu uitați niciodată de o componentă atât de importantă precum securitatea nu numai a informațiilor care sunt transmise, ci și a conexiunii în sine.

O rețea virtuală privată (VPN) este bună prin faptul că oferă utilizatorului un canal sigur sau de încredere cu un alt PC, fără a fi nevoie să furnizeze un canal de comunicare dedicat. Este creat printr-o altă rețea - Internet, de exemplu.

Windows are instrumente încorporate pentru stabilirea unei conexiuni VPN între computere situate pe distanțe lungi. Să instalăm un tunel VPN între două computere care sunt controlate de mediul Windows.

Să creăm partea de server

Conectarea clienților la distanță la rețeaua VPN este organizată printr-un server de acces special. Este posibil să necesite o conexiune de intrare pentru a parcurge procedurile de identificare și autentificare. Știe care utilizatori au acces la rețeaua virtuală. De asemenea, are date despre adresele IP permise.

Pentru a configura un server de acces VPN în Centrul de rețea și partajare, trebuie să deschideți aplicația pentru modificarea setărilor adaptorului. Dacă meniul principal al applet-ului nu este afișat, apăsați butonul „Alt”. În partea de sus a applet-ului, ar trebui să apară meniul principal, în care ar trebui să găsiți elementul „Fișier”, apoi selectați „Nouă conexiune de intrare”. Să luăm în considerare mai detaliat.

În panoul de control, accesați „Rețea și Internet”.

Pe urmatorul pas centru de rețea deschis.

Să creăm o nouă conexiune de intrare.

Fereastra care apare vă va solicita să selectați dintre utilizatorii existenți sau să definiți unul nou căruia i se va permite să se conecteze la acest computer.

Când adăugați un nou „utilizator”, trebuie să specificați numele și parola cu care i se va permite să se conecteze la serverul de acces VPN.

În pasul următor, Expertul de configurare a rețelei private va întreba cum se vor conecta utilizatorii.

Este necesar să indicăm că vor face acest lucru prin Internet, așa că verificăm opțiunea necesară.

Următorul pas este configurarea aplicații de rețea Acesta ar trebui să accepte conexiuni de intrare. Printre acestea se numără componenta „Internet Protocol version 4 (TCP/IPv4)”. Va trebui să-i deschideți proprietățile și să introduceți manual intervalul de adrese IP care au permisiunea de a accesa serverul.

În caz contrar, lăsați această problemă pe serverul DHCP pentru a determina automat adresele IP. În cazul nostru, a trebuit să le definim manual.

După procesarea datelor introduse, serverul de acces va primi informațiile necesare pentru a acorda permisiunile necesare utilizatorilor autorizați. În același timp, sistemul va solicita numele computerului care va fi necesar în viitor.

Ca urmare, vom obține un astfel de rezultat. Nu există încă clienți conectați.

Să setăm clientul

Rețelele moderne sunt cel mai adesea construite pe baza arhitectura client-server. Vă permite să evidențiați calculatorul principalîntr-un mediu de rețea. Clienții inițiază cereri către server și sunt primii care încearcă să se conecteze la server.

Am configurat deja partea de server a acestei arhitecturi. Acum rămâne să stabilim munca părții client. Clientul trebuie să fie un alt computer.

V centru de rețea alt PC (client) vom stabili o noua conexiune.

Trebuie să ne conectăm direct la locul de muncă.

Din nou, să trecem la rețea centrul ferestrelor abia acum un alt PC. Selectați opțiunea pentru a configura o nouă conexiune. Appletul care apare va oferi mai multe opțiuni din care să alegem, dar avem nevoie de opțiunea de conectare la locul de muncă. Expertul vă va întreba cum să vă conectați. De asemenea, trebuie să optăm pentru configurarea unei conexiuni la Internet (VPN).

Expertul vă va cere în pasul următor să specificați adresa IP a serverului de acces VPN și să atribuiți un nume de destinație. Adresa IP a serverului de acces poate fi găsită pe primul nostru computer introducând comanda ipconfig la linia de comandă. Adresa IP a rețelei Ethernet va fi adresa pe care o căutați.

Apoi, sistemul va aplica toate setările introduse.

Să ne conectăm

Momentul X pentru experimentul nostru este să realizăm o conexiune client la partea de server a rețelei noastre. În centrul de rețea, selectați opțiunea „Conectați-vă la rețea”. În fereastra care apare, faceți clic pe VPN-Test (am indicat destinația cu acest nume) și faceți clic pe butonul de conectare.

Deci, vom deschide aplicația de conexiune VPN-Test. În câmpurile de text, specificați numele și parola „utilizatorului” pentru autorizare pe serverul de acces. Dacă totul merge bine și utilizatorul nostru nu numai că se înregistrează în rețea, dar este și capabil să se conecteze complet la serverul de acces, atunci desemnarea „utilizatorului” conectat va apărea pe partea opusă.

Dar uneori, acest tip de eroare se poate întâmpla. Serverul VPN nu răspunde.

Faceți clic pe fila pentru conexiunile primite.

În fila marcată, deschideți proprietățile protocolului IP.

Să setăm opțiunea de a specifica adresele IP în mod explicit și să notăm ce adrese IP ar trebui să fie servite.

Când ne vom reconecta, vom vedea o astfel de imagine. Sistemul ne arată că un client este conectat și acest client vpn (SimpleUser).

rezumat

Deci, pentru a stabili o rețea VPN între două PC-uri, va trebui să decideți care dintre ele ar trebui să devină „master” și să joace rolul unui server. Alte PC-uri trebuie să se conecteze la acesta prin sistemul de autorizare. Windows are instrumente pentru a crea back-end pentru rețeaua noastră. Se configurează prin crearea unei noi conexiuni de intrare, specificând utilizatorul, precum și aplicațiile care ar trebui să accepte conexiunea. Clientul este configurat prin stabilirea unei conexiuni la locul de muncă, specificând utilizatorul și datele serverului la care acest utilizator ar trebui să se conecteze.