Tuneli VPN midis zyrave. Konsolidimi i rrjeteve të zyrave në distancë

27.04.2019 Windows 7, XP

V Kohët e fundit në botën e telekomunikacionit ka një interes të shtuar për rrjete private virtuale (Rrjeti privat virtual - VPN)... Kjo është për shkak të nevojës për të ulur koston e mirëmbajtjes së rrjeteve të korporatave për shkak të lidhjes më të lirë të zyrave në distancë dhe përdoruesve të largët nëpërmjet internetit. Në të vërtetë, kur krahasoni koston e shërbimeve për lidhjen e disa rrjeteve përmes internetit, për shembull, me rrjetet Rele kornizë mund të shihet dallim domethënës në kosto. Sidoqoftë, duhet të theksohet se gjatë lidhjes së rrjeteve përmes Internetit, menjëherë lind pyetja për sigurinë e transmetimit të të dhënave, prandaj, u bë e nevojshme krijimi i mekanizmave për të siguruar konfidencialitetin dhe integritetin e informacionit të transmetuar. Rrjetet e ndërtuara mbi bazën e mekanizmave të tillë quhen VPN.

Gjithashtu, shumë shpesh njeriu modern Kur zhvilloni biznesin tuaj, duhet të udhëtoni shumë. Këto mund të jenë udhëtime në qoshe të largëta të vendit tonë ose në vende të huaja. Shpesh njerëzit kanë nevojë për qasje në informacionin e tyre të ruajtur në kompjuterin e tyre të shtëpisë ose në një kompjuter të kompanisë. Ky problem mund të zgjidhet duke organizuar qasje në distancë në të duke përdorur një modem dhe një linjë telefonike. Përdorimi i linjës telefonike ka karakteristikat e veta. Disavantazhi i kësaj zgjidhjeje është se një telefonatë nga një vend tjetër kushton shumë para. Ekziston edhe një zgjidhje tjetër e quajtur VPN. Përparësitë e teknologjisë VPN janë se organizimi i aksesit në distancë nuk bëhet përmes linjë telefonike, por nëpërmjet internetit, i cili është shumë më i lirë dhe më i mirë. Sipas mendimit tim, teknologjia

VPN ka perspektivën e adoptimit të gjerë në të gjithë botën.

1. Koncepti dhe klasifikimi Rrjetet VPN, ndërtimi i tyre

1.1 Çfarë është VPN

VPN(eng. Virtual Privat Rrjeti- rrjet privat virtual) - një rrjet logjik i krijuar në krye të një rrjeti tjetër, siç është Interneti. Përkundër faktit se komunikimet kryhen përmes rrjeteve publike duke përdorur protokolle të pasigurta, kriptimi krijon kanale shkëmbimi informacioni që mbyllen nga të huajt. VPN ju lejon të kombinoni, për shembull, disa zyra të një organizate në një rrjet të vetëm duke përdorur kanale të pakontrolluara për komunikim ndërmjet tyre.

Sipas tij Thelbi i VPN-së ka shumë nga vetitë e një linje me qira, por ajo është e vendosur brenda një rrjeti publik siç është Interneti. Me teknikën e tunelit, paketat e të dhënave transmetohen në rrjetin publik sikur mbi një lidhje normale pikë-për-pikë. Një lloj tuneli është krijuar midis çdo çifti "dërguesi-marrësi të të dhënave" - një lidhje e sigurt logjike që ju lejon të kapsuloni të dhënat nga një protokoll në paketat e një tjetri. Përbërësit kryesorë të tunelit janë:

Iniciator

· Rrjeti i drejtuar;

· Ndërprerës tuneli;

· Një ose më shumë terminatorë tuneli.

Në vetvete, parimi i funksionimit të VPN nuk bie ndesh me atë kryesor teknologjitë e rrjetit dhe protokollet. Për shembull, kur krijoni një lidhje akses në distancë klienti dërgon një rrymë paketash PPP në server. Në rastin e organizimit të linjave virtuale me qira ndërmjet rrjeteve lokale, ruterët e tyre shkëmbejnë gjithashtu paketa PPP. Megjithatë, thelbësisht e re është përcjellja e paketave përmes një tuneli të sigurt të organizuar brenda rrjetit publik.

Tuneli ju lejon të organizoni transmetimin e paketave të një

protokoll në një mjedis logjik duke përdorur një protokoll tjetër. Si rezultat, bëhet e mundur zgjidhja e problemeve të ndërveprimit të disa llojeve të ndryshme të rrjeteve, duke filluar nga nevoja për të siguruar integritetin dhe konfidencialitetin e të dhënave të transmetuara dhe duke përfunduar me tejkalimin e mospërputhjeve në protokollet e jashtme ose skemat e adresimit.

Egzistuesja infrastrukturës së rrjetit korporatat mund të përgatiten për duke përdorur VPN si me ndihmën e softuerit ashtu edhe me ndihmën hardware... Organizimi i një virtuale rrjet privat mund të krahasohet me vendosjen e një kablloje përmes një rrjeti global. Zakonisht një lidhje e drejtpërdrejtë ndërmjet përdorues në distancë dhe vendoset nga pika fundore e tunelit nëpërmjet PPP.

Metoda më e zakonshme e krijimit Tunelet VPN- kapsulimi i protokolleve të rrjetit (IP, IPX, AppleTalk, etj.) në PPP dhe kapsulimi i mëpasshëm i paketave që rezultojnë në protokollin e tunelit. Në mënyrë tipike, kjo e fundit është IP ose (shumë më rrallë) ATM dhe Frame Relay. Kjo qasje quhet Layer 2 Tunneling, pasi "pasagjeri" këtu është protokolli i Shtresës 2.

Një qasje alternative është kapsulimi i paketave protokolli i rrjetit drejtpërsëdrejti në një protokoll tunelimi (siç është VTP) quhet tunelizimi i shtresës 3.

Pa marrë parasysh se çfarë protokolle përdoren ose çfarë qëllimi

ndiqen gjatë organizimit të një tuneli, teknika bazë mbetet

praktikisht i pandryshuar. Zakonisht një protokoll përdoret për të krijuar një lidhje me një host të largët dhe një tjetër përdoret për të përmbledhur të dhënat dhe informacion shërbimi me qëllim transmetimin përmes tunelit.

1.2 Klasifikimi i rrjeteve VPN

Zgjidhjet VPN mund të klasifikohen sipas disa parametrave kryesorë:

1. Sipas llojit të mjedisit të përdorur:

· I mbrojtur VPN rrjeteve. Varianti më i zakonshëm i rrjeteve private. Me ndihmën e tij, është e mundur të krijohet një nënrrjet i besueshëm dhe i sigurt i bazuar në një rrjet jo të besueshëm, zakonisht në internet. Shembuj të VPN-ve të sigurta janë: IPSec, OpenVPN dhe PPTP.

· Të besuarit VPN rrjeteve. Ato përdoren në rastet kur mediumi i transmetimit mund të konsiderohet i besueshëm dhe është e nevojshme vetëm të zgjidhet problemi i krijimit të një nënrrjeti virtual brenda rrjet më të madh... Çështjet e sigurisë po bëhen të parëndësishme. Shembuj të zgjidhjeve të tilla VPN janë: MPLS dhe L2TP. Do të ishte më e saktë të thuhet se këto protokolle zhvendosin detyrën e sigurimit të sigurisë tek të tjerët, për shembull L2TP, si rregull, përdoret në lidhje me IPSec.

2. Me anë të zbatimit :

· VPN rrjete në formën e softuerit dhe harduerit të veçantë. Rrjeti VPN zbatohet duke përdorur një grup të veçantë softueri dhe hardueri. Ky zbatim siguron performancë të lartë dhe, si rregull, një shkallë të lartë sigurie.

· VPN rrjetet si zgjidhje softuerike. Përdorni Kompjuter personal me softuer special që ofron funksionalitet VPN.

· VPN rrjete me një zgjidhje të integruar. Funksionaliteti VPN ofron një kompleks që gjithashtu zgjidh detyrat e filtrimit trafiku i rrjetit, organizata muri i zjarrit dhe sigurimin e cilësisë së shërbimit.

3. Me takim:

· Intranet VPN... Ato përdoren për të kombinuar disa degë të shpërndara të një organizate në një rrjet të vetëm të sigurt, duke shkëmbyer të dhëna nëpërmjet kanaleve të hapura të komunikimit.

· VPN me qasje në distancë. Përdoret për të krijuar një kanal të sigurt midis një segmenti rrjeti i korporatës(zyra qendrore ose zyra e degës) dhe një përdorues i vetëm i cili, ndërsa punon nga shtëpia, lidhet me burimet e korporatës Me kompjuter në shtëpi ose, gjatë një udhëtimi pune, lidhet me burimet e korporatës duke përdorur një laptop.

· VPN ekstranet... Përdoret për rrjetet me të cilat lidhen përdoruesit "të jashtëm" (të tillë si klientët ose klientët). Niveli i besimit ndaj tyre është shumë më i ulët se sa tek punonjësit e kompanisë, prandaj është e nevojshme të sigurohen "linja" të veçanta mbrojtjeje, duke parandaluar ose kufizuar aksesin e këtyre të fundit në informacione veçanërisht të vlefshme, konfidenciale.

4. Sipas llojit të protokollit:

Ka implementime të rrjeteve private virtuale nën TCP / IP, IPX dhe AppleTalk... Por sot ka një tendencë drejt një kalimi të përgjithshëm në protokoll TCP / IP, dhe shumica dërrmuese e zgjidhjeve VPN e mbështesin atë.

5. Sipas nivelit të protokollit të rrjetit:

Sipas nivelit të protokollit të rrjetit bazuar në krahasimin me nivelet e referencës modeli i rrjetit ISO / OSI.

1.3. Ndërtimi i një VPN

ekziston opsione të ndryshme ndërtimi i VPN. Kur zgjidhni një zgjidhje, duhet të merrni parasysh faktorët e performancës së ndërtuesit tuaj VPN. Për shembull, nëse një ruter funksionon tashmë në kufirin e fuqisë së tij të procesorit, atëherë shtimi i tuneleve VPN dhe aplikimi i enkriptimit / deshifrimit të informacionit mund të ndalojë funksionimin e të gjithë rrjetit për shkak të faktit se ky ruter nuk do të jetë në gjendje të përballojë trafik i thjeshtë, e lëre më VPN. Përvoja tregon se për të ndërtuar VPN është më e mirë përdorni pajisje të specializuara në total, por nëse ka një kufizim në fonde, atëherë mund t'i kushtoni vëmendje një zgjidhjeje thjesht softuerike. Le të shqyrtojmë disa opsione për ndërtimin e një VPN.

· Firewall VPN

Shumica e mureve të zjarrit të prodhuesve mbështesin tunelizimin dhe enkriptimin e të dhënave. Gjithçka produkte të ngjashme bazuar në faktin se trafiku që kalon nëpër murin e zjarrit është i koduar. Një modul enkriptimi i shtohet softuerit aktual të murit të zjarrit. Disavantazhi i kësaj metode është se performanca varet nga hardueri që drejton murin e zjarrit. Kur përdorni mure zjarri të bazuara në PC, mbani mend se kjo zgjidhje mund të përdoret vetëm për rrjete të vogla me një sasi të vogël informacioni të transmetuar.

Një shembull i një muri zjarri të bazuar në VPN është FireWall-1 i kompanisë Pika e kontrollit Teknologjitë e Softuerit. FairWall-1 përdoret për të ndërtuar VPN qasje standarde bazuar në IPSec. Trafiku që hyn në murin e zjarrit deshifrohet, dhe më pas rregullat standarde të kontrollit të aksesit zbatohen në të. FireWall-1 po funksionon sistemet operative Solaris dhe Windows NT 4.0.

· Ruteri VPN

Një mënyrë tjetër për të ndërtuar një VPN është përdorimi i ruterave për të krijuar kanale të sigurta. Meqenëse i gjithë informacioni që del nga rrjeti lokal kalon përmes ruterit, këshillohet që të caktohen detyrat e enkriptimit në këtë ruter.

Organizimi i kanaleve VPN ndërmjet degëve të kompanisë ka rëndësi të madhe në punën e çdo specialisti të IT. Ky artikull diskuton një nga mënyrat për të zbatuar këtë detyrë bazuar në produktin e softuerit OpenVPN.

Më poshtë do të shqyrtojmë topologjinë e rrjetit në të cilën do të organizojmë një tunel VPN, do të analizojmë veçoritë e konfigurimit të programit OpenVPN dhe do të konfigurojmë hap pas hapi rrugëzimin për zyrat tona. Artikulli u shkrua me shpresën që OpenVPN të instalohet platformat Windows 7 dhe Windows Server 2008.

Topologjia e rrjetit.

Topologjia e rrjetit që kemi përdorur është standarde. Ekziston një Rrjet Zyrash Qendrore (le ta quajmë SCO) dhe një Rrjet Degësh (le ta quajmë SF). Detyra është të lidhni zyrat në atë mënyrë që kompjuteri i përdoruesit përfundimtar (në tekstin e mëtejmë PC1) i zyrës së SCO-së të ketë akses në burimet e përbashkëta kompjuteri i përdoruesit (në tekstin e mëtejmë PC2) SF.

SCO përfshin:

Një portë interneti (le ta quajmë ISH1) me dy ndërfaqe rrjeti:

111.111.111.111 - lëshuar nga ofruesi, shikon internetin.
192.168.0.1 - caktuar nga ne, duket në SCO.

Serveri OpenVPN (në tekstin e mëtejmë i referuar si OS) në të cilin do të ngremë OpenVPN me një ndërfaqe virtuale dhe një fizike:

10.8.0.1 është adresa e ndërfaqes virtuale (ndërfaqja instalohet gjatë instalimit të programit OpenVPN). Adresa për këtë ndërfaqe caktohet nga programi. Ju dhe unë nuk duhet ta ndryshojmë vetë adresën nga menaxhimi i përshtatësve të rrjetit.
192.168.0.2 - ndërfaqe fizike, parametrat janë vendosur nga ne, duket në SCO.

PC1 - kompjuteri i përdoruesit 1, me një ndërfaqe rrjeti 192.168.0.3, duket i njëjtë në SCO.

SF përfshin:

Porta e internetit (në tekstin e mëtejmë ISH2) me dy ndërfaqe rrjeti:

222.222.222.222 - lëshuar nga ofruesi, shikon internetin.
192.168.1.2 - emëruar nga ne, shikon në SF.

Klienti OpenVPN (në tekstin e mëtejmë OK) në të cilin ne do të ngremë OpenVPN me një ndërfaqe virtuale dhe një fizike:

10.8.0.2 - adresa e ndërfaqes së rrjetit virtual (ndërfaqja është instaluar gjatë instalimit të programit OpenVPN). Adresa për këtë ndërfaqe caktohet gjithashtu nga programi OpenVPN.
192.168.1.2 - ndërfaqja fizike, parametrat vendosen nga ne, duket në SF.

PC2 - kompjuteri i përdoruesit 2, me një ndërfaqe rrjeti 192.168.1.3, duket në SF.

Vendosja e një serveri OpenVPN.

Tani le të kalojmë te vetë programi, bazat dhe veçoritë e konfigurimit të tij. OpenVPN është i disponueshëm në shije për Linux dhe Windows. Ju mund të shkarkoni paketën e instalimit në .

Procesi i instalimit në vetvete nuk do të shkaktojë ndonjë problem. E vetmja gjë është të çaktivizoni antivirusin gjatë instalimit për të shmangur probleme shtesë... Në kohën e këtij shkrimi, për shembull, produktet e Kaspersky Lab nuk e bllokuan instalimin, por vetëm ngritën dyshime për disa nga komponentët e instaluar.

Gjatë procesit të instalimit, një përshtatës rrjeti virtual është instaluar në sistem. Përshtatës TAP-Win32 V9 dhe, në përputhje me rrethanat, shoferi për të. Programi OpenVPN do të caktojë adresën ip dhe maskën e rrjetit virtual OpenVPN në këtë ndërfaqe. Në rastin tonë, i është caktuar adresa 10.8.0.1 me një maskë 255.255.255.0 në serverin OS dhe 10.8.0.2 me një maskë të ngjashme në klientin OK.

Sipas standardit, programi është i instaluar në C: \ ProgramFiles \ OpenVPN... Në këtë direktori, duhet të krijoni menjëherë një dosje shtesë çelësat(këtu do të ruajmë dosjen e çelësave të vërtetimit). ccd(këtu do të jenë konfigurimet e cilësimeve të serverit për klientin).

Në drejtori C: \ ProgramFiles \ OpenVPN \ sample-config janë paraqitur konfigurimet standarde. Konfigurimet që do të krijojmë duhet të jenë të vendosura në drejtori C: \ Program Files \ OpenVPN \ konfigurim.

Konfigurimi i OpenVPN fillon me gjenerimin e çelësave. Çelësat e krijuar ndahen në:

Certifikata kryesore CertificateAuthority (CA) dhe çelësi i përdorur për të nënshkruar çdo certifikatë serveri dhe klienti.
çelësat publikë dhe privatë për serverin dhe secilin klient (kjo është e rëndësishme) veç e veç.

Sekuenca e krijimit të çelësave është si më poshtë (emrat e certifikatës dhe skedarët kryesorë tregohen në kllapa):

Ne gjenerojmë certifikatën kryesore CA (ca.crt) dhe çelësin CA (ca.key).
Gjeneroni çelësin tls-auth (ta.key) për vërtetimin e paketave.

Le të analizojmë secilën pikë në më shumë detaje.

Ne gjenerojmë certifikatën kryesore CA dhe çelësin CA:

Shkoni në Fillimi - Vraponi rekrutimi cmd, klikoni OK, shkoni në rreshtin e komandës. Ne shkruajmë:

Cd C: / Skedarët e programit / OpenVPN / easy-rsa

Kështu, ne jemi në drejtori lehtë-rsa:

Gjatë ekzekutimit të të gjitha hapave për gjenerimin e çelësave, duhet të jeni në të. Ne ekzekutojmë komandën:

Init-config

Pa mbyllur vijën e komandës, shkoni te C: \ ProgramFiles \ OpenVpn \ easy-rsa dhe redaktoni skedarin vars.bat duke plotësuar parametrat e mëposhtëm (duke treguar, natyrisht, të dhënat tuaja):

KEY_COUNTRY = RF
KEY_PROVINCE = MO
KEY_CITY = Malinino
KEY_ORG = Organizimi
[email i mbrojtur]

Tani le të krijojmë një certifikatë CA dhe një çelës CA. Ne hapim linjën e komandës, e cila gjatë gjithë kësaj kohe ishte e varur diku në desktop dhe vazhdojmë të futim komandat:

Vars
pastër-të gjitha
ndërtoj-ca

Komanda e fundit vetëm gjeneron certifikatën CA dhe çelësin CA. Në procesin e krijimit të një çelësi, do t'ju bëhen pyetje, të cilave mund t'u përgjigjeni thjesht duke shtypur Enter "a (atëherë vlerat do të merren nga skedari vars.bat që kemi redaktuar më lart) ose futni tuajat. ia vlen t'i kushtohet vëmendje pyetjes:

Emri i zakonshëm (p.sh., emri juaj ose emri i hostit të serverit tuaj): OpenVPNS

Këtu vendosni një emër për serverin - në shembullin që kemi futur OpenVPNS.

Ne gjenerojmë një certifikatë (server.crt) dhe një çelës (server.key) të serverit.

Pa lënë drejtorinë, në tonë linja e komandës ne do të vazhdojmë të fusim komandat. Le të krijojmë një certifikatë serveri dhe një çelës me komandën:

Ndërtoni server-çelës-server

Ne u përgjigjemi pyetjeve në të njëjtën mënyrë si në paragrafin e parë. Për pyetjen:

Emri i përbashkët *: server

Le të prezantojmë: server... Në pyetjet:

Nënshkruani certifikatën?

1 nga 1 kërkesa për certifikatë u vërtetuan, a angazhoheni?

duhet dhënë një përgjigje pozitive: Y.

Ne gjenerojmë një certifikatë (office1.crt) dhe një çelës (office1.key) për klientin.

Natyrisht, mund të ketë shumë klientë, në shembullin tonë ai është një - zyra 1... Në varësi të numrit të klientëve, komanda e mëposhtme në vijën e komandës ekzekutohet disa herë, dhe emrat e çelësave të gjeneruar gjithashtu duhet të ndryshohen:

Ndërtoni zyrën kryesore1

nëse keni nevojë për më shumë certifikata dhe çelësa, thoni për klientin e dytë, më pas futni:

Ndërtoni zyrën kryesore2

Në procesin e përgjigjes së pyetjeve, mos harroni se çdo klient në pyetjen Emer i perbashket duhet të marrë një emër unik si: office1, office2, etj.

Gjenerimi i parametrave DiffieHellman (dh1024.pem).

Ne futemi në vijën e komandës, ato gjenden në të njëjtën direktori easy-rsa:

Ndërtoj-dh

Gjeneroni çelësin tls-auth (ta.key) për vërtetimin e paketave

Së fundi, ne krijojmë një çelës për tls-autentifikimin me komandën:

Openvpn --genkey --ta.key sekret

Tani le të kuptojmë se cilat skedarë duhet të lihen në server dhe cilët të transferohen te klienti. Në server (OC), vetëm skedarët e mëposhtëm duhet të jenë në dosjen e çelësave që krijuam:

ca.crt
ca.çelës
dh1024.pem
server.crt
server.çelës
ta.çelës

Në klientin OK, në mënyrë të ngjashme me serverin OS, krijoni dosjen e çelësave, duhet të ketë:

ca.crt
zyra1.crt
zyra1.çelës
ta.çelës

Të gjithë skedarët me shtesën .key janë sekret. Ato duhet të transmetohen vetëm përmes kanaleve të sigurta, mundësisht në një medium fizik.

Më pas, le të fillojmë të krijojmë një konfigurim për serverin tonë OS dhe klientin OK. Në drejtorinë e konfigurimit, krijoni një skedar me emrin dhe shtrirjen e mëposhtme: server.ovpn E hapim me notepad dhe fillojmë të shkruajmë konfigurimin:

Zgjedhja e një protokolli për transferimin e të dhënave - në në këtë rast përditësim:

Proto udp

Porta standarde për OpenVPN:

Porti 1194

Mënyra e funksionimit të programit L3-tunel. V këtë mënyrë OpenVPN - ruteri:

Modaliteti klient-server:

Tls-server

Kjo topologji është e disponueshme që nga versioni 2.1 dhe konsiston në faktin se çdo klienti i jepet 1 adresë, pa porta të ruterit virtual:

Nënrrjeti i topologjisë

Rrugët shtohen përmes .exe - kjo është e rëndësishme:

Metoda e rrugës exe

Vonesa kur shtohet një itinerar mund të reduktohet në 5:

Vonesa e rrugës 10

Ky opsion cakton organizimin e rrjetit. Ne kemi një rrjet virtual 10.8.0.0 / 24. Adresa e parë nga ky rrjet, domethënë 10.8.0.1 i lëshohet serverit, tjetra (10.8.0.2, 10.8.0.3, etj.) për klientët. Serveri DHPC merr adresën 10.8.0.254:

Serveri 10.8.0.0 255.255.255.0

Vendosni portën në rrjetin openvpn:

Route-gateway 10.8.0.1

Drejtoria në të cilën duhet të vendosim skedarin me emrin e klientit tonë, pra office1 pa ekstension dhe në të shkruajmë komandat që do të ekzekutohen në klient:

Client-config-dir "C: \\ Program Files \\ OpenVPN \\ ccd"

çertifikatë "C: \\ Skedarët e programit \\ OpenVPN \\ çelësat \\ server.crt"
çelësi "C: \\ Skedarët e programit \\ OpenVPN \\ çelësat \\ server.key"
dh "C: \\ skedarët e programit \\ OpenVPN \\ çelësat \\ dh1024.pem"
tls-auth "C: \\ Program Files \\ OpenVPN \\ çelësat \\ ta.key" 0

Vendosni serverin OS një rrugë drejt të gjithë rrjetit:

Linja 10.8.0.0 255.255.255.0

Zgjedhja e një metode kompresimi:

Shifra BF-CBC

Vendosni kompresimin e trafikut:

Komp-lzo

OpenVPN nuk e kalon programin në sistemin e regjistrimit të ngjarjeve. gabime kritike rrjeteve. Në praktikë, kjo do të zvogëlojë përmbajtjen e dritares së statusit që shfaqet kur fillon serveri OpenVPN:

Serveri bën ping në anën e kundërt me një interval prej 10 sekondash, dhe nëse pala nuk përgjigjet në 60 sekonda, atëherë serveri do të fillojë një rilidhje:

Keepalive 5 60

Më pas, shkoni te drejtoria ccd dhe krijoni një skedar që do të përmbajë komandat që i dërgohen klientit nga serveri. Duhet të quhet njësoj siç e quajtëm vetë klientin, për shembull zyra 1... Skedari nuk do të ketë një shtesë.

Ne e modifikojmë atë përmes bllokut të shënimeve. Të gjithë parametrat e specifikuar më poshtë do të transferohen automatikisht te klienti:

Ne vendosëm ip-në dhe maskën për zyrën tonë të klientit1:

Ifconfig-push 10.8.0.2 255.255.255.0

Ne i dërgojmë itinerarit në të gjithë rrjetin:

Push "rruga 10.8.0.0 255.255.255.0"

Ne vendosëm portën për të:

Push "route-gateway 10.8.0.1"

Kjo komandë i tregon serverit OS se pas këtij klienti, përkatësisht OK (office1), është rrjeti 192.168.1.0:

Iroute 192.168.1.0 255.255.255.0

Kështu, ne kemi përfunduar konfigurimin e serverit në anën e OS.

Personalizimi i klientit.

Tjetra, le të fillojmë të ndryshojmë parametrat e klientit. Le të shkojmë me makinë OK në dosje konfigurim... Le të krijojmë një skedar në të office1.ovpn Le të fillojmë ta modifikojmë, një numër opsionesh janë të njëjta si në server, kështu që ne nuk do t'i shpjegojmë ato:

Dev tun
proto udp
porti 1194

Ne tregojmë adresën e jashtme të ISh1:

Telekomanda 111.111.111.111

Klienti do të punojë në modalitetin e klientit tls:

Tls-klient

Ky opsion mbron nga mashtrimi i serverit nga një palë e tretë:

Serveri i certifikatës në distancë

Këto opsione janë të njëjta si për serverin:

Metoda e rrugës exe
rrugë-vonesa 10

Vendosni një rrugë drejt rrjetit 192.168.0.0:

Me këtë komandë, ne mundësojmë marrjen e konfigurimit të klientit nga serveri:

Rrugët kryesore:

Ca "C: \\ skedarët e programit \\ OpenVPN \\ çelësat \\ ca.crt"
çertifikatë "C: \\ Skedarët e programit \\ OpenVPN \\ çelësat \\ office1.crt"
çelësi "C: \\ skedarët e programit \\ OpenVPN \\ çelësat \\ office1.key"
tls-auth "C: \\ Skedarët e programit \\ OpenVPN \\ çelësat \\ ta.key" 1

Pjesa tjetër e opsioneve janë gjithashtu të ngjashme me serverin:

Shifra BF-CBC
komp-lzo
folja 1
ruaj 5 60

Kjo përfundon konfigurimin e programit në anën e klientit.

Konfigurimi dhe drejtimi i murit të zjarrit.

Dhe kështu, ne kemi konfiguruar konfigurimet në OK dhe në OS. Tani do të analizojmë shumë pika të rëndësishme... Le të bëjmë një rezervim paraprakisht nëse përdorni KIS 2011 ose të ngjashëm softuer antivirus, atëherë në cilësimet e murit të zjarrit duhet të lejoni kalimin e paketave ICMP. Kjo do të na lejojë të bëjmë ping pa probleme hostet në rrjetet tona.

Vlen gjithashtu të shtojmë ndërfaqen tonë virtuale të programit OpenVPN në listën e rrjeteve të besuara.

Në ISh1, duhet të kryhen veprimet e mëposhtme:

Përcjellja e portit 1194 është konfiguruar Protokolli UDP nga ndërfaqja 111.111.111.111 në ndërfaqen e serverit OS 192.168.0.2
Firewall-i duhet të lejohet të transmetojë në portin 1194 të protokollit UDP, përndryshe ping-u nuk do të kalojë as ndërmjet OS dhe OK.

Në ISh2, veprime të ngjashme duhet të ndërmerren:

Konfiguro përcjelljen e portit UDP 1194 nga ndërfaqja 222.222.222.222 në ndërfaqen e klientit OK 192.168.1.2
Kontrolloni nëse porti UDP 1194 është i hapur në murin e zjarrit.

Në Usergate 5.2, për shembull, konfigurimi i përcjelljes së paketave në portën UDP 1194 duket kështu:

Në këtë fazë, ne tashmë po pingojmë OK dhe OS në adresat e tyre OpenVPN, domethënë 10.8.0.1 dhe 10.8.0.2. Më pas, duhet të sigurojmë rrugën e saktë të paketave nga klienti OK në rrjetin e largët 192.168.0.0. Ne e bëjmë këtë në një nga disa mënyra:

Ose pyesim rrugë e përhershme në këtë rrjet në vetë klientin OK:

Route -p shtoni 192.168.0.0 maskë 255.255.255.0 10.8.0.1

Ose vendosim këtë rrugë në konfigurimin ccd të klientit në server, përkatësisht në skedarin office1 shtojmë:

Push "rruga 192.168.0.0 255.255.255.0"

Ju gjithashtu mund ta bëni këtë duke shtuar një linjë direkt në konfigurimin e klientit OK:

Linja 192.168.0.0 255.255.255.0

Pastaj ju duhet të siguroni një rrugë për paketat nga serveri OS në rrjetin e largët 192.168.1.0. kjo bëhet në të njëjtën mënyrë si më sipër me disa përjashtime.

Shtoni komandën në konfigurimin e serverit OS:

Linja 192.168.1.0 255.255.255.0 10.8.0.2

ose shtoni komandën direkt në vijën e komandës:

Route -p shtoni 192.168.1.0 maskë 255.255.255.0 10.8.0.2

Është gjithashtu e nevojshme në serverin OS dhe klientin OK për të aktivizuar shërbimin në shërbime Drejtimi dhe aksesi në distancë, duke siguruar kështu rrugëzim në rrjetin e brendshëm (forwarding). Pa këtë, adresat e brendshme në rrjetet SCS dhe SF të klientit OK dhe serverit OS nuk do të bëjnë ping.

Në këtë fazë, ne tashmë mund të bëjmë ping lirisht adresat e brendshme të sistemit tonë operativ dhe OK, d.m.th. duke shtypur në serverin OS ping 192.168.1.2 dhe në klientin OK ping 192.168.0.2 marrim rezultat pozitiv si:

Kështu, OK dhe OS bëjnë ping reciprokisht në adresat e tyre OpenVPN dhe të brendshme SCS dhe SF. Më pas, duhet të regjistrojmë një rrugë në linjën e komandës për në rrjetin 10.8.0.0 në PC1 dhe PC2 tonë. Kjo bëhet nga komandat e mëposhtme:

Route -p shtoni 192.168.1.0 maskë 255.255.255.0 192.168.0.2

Route -p shtoni 192.168.0.0 maskë 255.255.255.0 192.168.1.2

Si rezultat, burimet e përbashkëta në PC1 dhe PC2 do të jenë të disponueshme në adresën e tyre të intranetit:

Etiketa:

Ju lutemi aktivizoni JavaScript për të parë

udhëzime

Klikoni në menunë "Start" dhe zgjidhni "Paneli i Kontrollit". Gjeni seksionin "Rrjeti dhe Interneti". Për Organizatat VPN-lidhjet, duhet të ekzekutoni snap-in e Rrjetit dhe Qendrës së Ndarjes akses të përgjithshëm". Ju gjithashtu mund të klikoni në ikonën e rrjetit në tabaka dhe të zgjidhni një komandë të ngjashme. Vazhdoni të krijoni një lidhje ose rrjet të ri, duke vënë në dukje se duhet të organizoni një lidhje me desktopin. Klikoni "Next". Do t'ju kërkohet të përdorni një lidhje ekzistuese. Kontrolloni kutinë "Jo, krijoni një lidhje të re" dhe vazhdoni në fazën tjetër të cilësimeve.

Zgjidhni komandën "Përdor lidhjen time të internetit" për të konfiguruar një lidhje VPN. Shtyjeni kërkesën që rezulton për konfigurimin e internetit përpara se të vazhdoni. Do të shfaqet një dritare në të cilën duhet të specifikoni adresën e serverit VPN sipas kontratës dhe të dilni me një emër për lidhjen, i cili do të shfaqet në Qendrën e Rrjetit dhe Ndarjes. Kontrolloni kutinë "Mos u lidh tani", përndryshe kompjuteri do të përpiqet të krijojë një lidhje menjëherë pas konfigurimit. Kontrolloni Përdorni kartën inteligjente nëse bashkëmoshatari i largët VPN vërteton lidhjen e kartës inteligjente. Klikoni Next.

Futni emrin e përdoruesit, fjalëkalimin dhe domenin, sipas të cilit ju merrni akses në rrjetin në distancë. Klikoni butonin "Krijo" dhe prisni derisa të konfigurohet lidhja VPN. Tani ju duhet të krijoni një lidhje interneti. Për ta bërë këtë, klikoni në ikonën e rrjetit në tabaka e sistemit dhe filloni të konfiguroni vetitë e lidhjes së krijuar.

Klikoni skedën Siguria. Vendosni "Lloji VPN" në "Automatic" dhe "Kriptimi i të dhënave" në "Opsionale". Kontrolloni kutinë "Lejo protokollet e mëposhtme" dhe zgjidhni protokollet CHAP dhe MS-CHAP. Shkoni te skeda "Rrjeti" dhe lini një shenjë vetëm pranë artikullit "Versioni i Protokollit të Internetit 4". Klikoni butonin "OK" dhe lidhni lidhjen VPN.

Çdo VPN- neto parashikon praninë e një serveri specifik që do të sigurojë komunikim kompjuterët e rrjetit dhe pajisje të tjera. Në të njëjtën kohë, ai u siguron disa prej tyre (ose të gjithë) qasje në një rrjet të jashtëm, për shembull, internet.

Do t'ju duhet

- kabllo rrjeti;
- Kartë LAN.

udhëzime

Shembulli më i thjeshtë i një rrjeti vpn mund të shërbejë si krijimi i një rrjeti lokal ndërmjet, secila prej të cilave do të ketë akses në internet. Natyrisht, vetëm një PC do të ketë një lidhje të drejtpërdrejtë me serverin e ofruesit. Zgjidhni këtë kompjuter.

Instaloni një përshtatës rrjeti shtesë në të, i cili do të lidhet me kompjuterin e dytë. Duke përdorur një kabllo rrjeti me gjatësinë e duhur, lidheni kartat e rrjetit dy kompjuterë së bashku. Tek një tjetër përshtatës rrjeti Lidhni kabllon ISP me kompjuterin kryesor.

Konfiguro lidhjen tënde të internetit. Mund të jetë një lidhje LAN ose DSL. Në këtë rast, nuk ka fare rëndësi. Pasi të keni mbaruar krijimin dhe konfigurimin e një lidhjeje të re, shkoni te vetitë e saj.

Hapni menunë "Access" në dritaren që shfaqet. Lejo që kjo lidhje interneti të përdoret nga të gjithë kompjuterët në rrjetin lokal të specifikuar. Ju lutemi tregoni neto formuar nga dy kompjuterët tuaj.

Në kushtet moderne të zhvillimit të teknologjisë së informacionit, përfitimet e krijimit të rrjeteve private virtuale janë të pamohueshme. Por para se të renditni më të dukshmet dhe mënyra të dobishme organizimi i rrjeteve private virtuale, është e nevojshme të përcaktohet vetë koncepti. Një rrjet privat virtual ose thjesht VPN (Virtual Private Network) është një teknologji në të cilën informacioni shkëmbehet me një rrjet lokal të largët nëpërmjet një kanali virtual përmes rrjetit. përdorim të përbashkët me lidhje private të simuluar pikë-për-pikë. Një rrjet publik mund të nënkuptojë si internetin ashtu edhe një intranet tjetër.

Sfondi

Origjina e VPN-së daton në vitet 1960, kur departamenti i inxhinierisë së një kompanie telefonike në Nju Jork zhvilloi sistemin vendosje automatike lidhjet e abonentëve të centralit telefonik automatik - Centrex (Central Exchange). Me fjalë të tjera, nuk është asgjë më shumë se një privat virtual rrjeti telefonik që nga viti u morën me qira kanalet e komunikimit të krijuara tashmë, d.m.th. krijoi kanale virtuale për transmetimin e informacionit zanor. Aktualisht, ky shërbim është duke u zëvendësuar nga analogu i tij më i avancuar - IP-Centrex. Konfidencialiteti ka qenë një aspekt i rëndësishëm në transferimin e informacionit tashmë mjaftueshëm kohe e gjate, rreth vitit 1900 para Krishtit përpjekjet e para për kriptografi u treguan nga egjiptianët, duke shtrembëruar simbolet e mesazheve. Dhe në shekullin e 15 pas Krishtit, modeli i parë kriptografik u krijua nga matematikani Leon Batiste Alberti. Në ditët e sotme, është rrjeti privat virtual ai që mund të sigurojë besueshmëri të mjaftueshme të informacionit të transmetuar së bashku me fleksibilitet dhe shtrirje të shkëlqyer të sistemit.

VPN kundrejt PN

Kur organizohen kanale të sigurta për transmetimin e informacionit në institucione, është e padrejtë të mos merret parasysh mundësia e organizimit të një rrjeti privat të plotë. Figura më poshtë tregon një kompani të vogël me 2 degë që organizon një rrjet privat.

Qasja në rrjetin e jashtëm mund të kryhet si përmes Zyra kryesore dhe të decentralizuara. Kjo organizatë rrjeti ka përparësitë e mëposhtme të pamohueshme:

shpejtësia e lartë e transferimit të informacionit, në fakt, shpejtësia me një lidhje të tillë do të jetë e barabartë me shpejtësinë e rrjetit lokal të ndërmarrjes;
siguria, të dhënat e transmetuara nuk bien në rrjetin publik;
askush nuk ka nevojë të paguajë për përdorimin e një rrjeti të organizuar, realisht investime kapitale do të bëhen vetëm në fazën e krijimit të rrjetit.

Figura e mëposhtme përshkruan një opsion të ngjashëm për një rrjet të degëve, por vetëm duke përdorur VPN.

Në këtë rast, avantazhet e dhëna për rrjetet private rezultojnë të jenë disavantazhe për VPN-të, por a janë këto disavantazhe kaq domethënëse? Le ta kuptojmë:

shpejtësia e transferimit të të dhënave. Ofruesit mund të ofrojnë akses në internet me shpejtësi mjaft të lartë, por ende nuk mund të krahasohet me një rrjet lokal 100 Mbit të testuar me kohë. Por a është kaq e rëndësishme çdo ditë të pomposh qindra megabajt informacione përmes një rrjeti të organizuar? Për të hyrë në faqen e ndërmarrjes lokale, përcjellja email me dokumentin, shpejtësia që ofruesit e internetit mund të ofrojnë është mjaft e mjaftueshme;
siguria e të dhënave të transmetuara. Kur organizoni një VPN, informacioni i transmetuar hyn në rrjetin e jashtëm, kështu që do të duhet të kujdeseni paraprakisht për organizimin e sigurisë. Por tashmë sot ekzistojnë algoritme të kriptimit të informacionit që janë mjaft rezistente ndaj sulmeve, të cilat lejojnë pronarët e të dhënave të transmetuara të mos shqetësohen për sigurinë. Lexoni më shumë rreth metodave të sigurisë dhe algoritmeve të kriptimit më poshtë;
askush nuk duhet të paguajë për një rrjet të organizuar. Ky është një avantazh mjaft i diskutueshëm, pasi, ndryshe nga kostoja e ulët e përdorimit të rrjetit, ka kosto të mëdha kapitale për krijimin e tij, të cilat mund të rezultojnë të papërballueshme për një institucion të vogël. Në të njëjtën kohë, pagesa për përdorimin e internetit këto ditë është në vetvete mjaft demokratike dhe tarifat fleksibël i lejojnë të gjithë të zgjedhin paketën optimale.

Tani le të merremi me më së shumti avantazhe të dukshme VPN:

shkallëzueshmëria e sistemit. Kur hapni një degë të re ose shtoni një punonjës që lejohet të përdorë aksesin në distancë, nuk kërkohen kosto shtesë komunikimi.
fleksibiliteti i sistemit. Për një VPN, nuk ka rëndësi se nga hyni. Një punonjës individual mund të punojë nga shtëpia, ose gjatë leximit të postës nga një korporatë kuti postare kompanitë qëndrojnë në një udhëtim pune në një gjendje krejtësisht të ndryshme. Gjithashtu u bë i mundur përdorimi i të ashtuquajturave zyra mobile, ku nuk ka lidhje me një zonë të caktuar.
nga e mëparshme rrjedh se për organizimin e vendit të tij të punës një person është gjeografikisht i pakufizuar, gjë që është praktikisht e pamundur kur përdor një rrjet privat.

Një pikë e veçantë është krijimi i rrjeteve private jo me tela, por pa tel. Me këtë qasje, madje mund ta konsideroni opsionin me shokun tuaj. Megjithatë, në këtë rast, kostot fillestare arrijnë lartësi astronomike, shpejtësia reduktohet në fakt në shpejtësinë e përdorimit rrjet i gjere boteror, dhe për siguri të besueshme është e nevojshme të përdoret përsëri enkriptimi. Dhe në fund, ne marrim të njëjtin rrjet privat virtual, vetëm me kosto fillestare tepër të larta dhe kosto të mirëmbajtjes së të gjitha pajisjeve në gjendje pune. Metodat e organizimit Në një VPN, është më e përshtatshme të dallohen tre metodat kryesore të mëposhtme: Në këtë rast, për klientët në distancë mundësitë për përdorimin e rrjetit të korporatës do të kufizohen shumë, në fakt, ato do të kufizohen në aksesin në ato burime të kompanisë që janë të nevojshme kur punoni me klientët e tyre, për shembull, një faqe interneti me oferta komerciale, dhe në këtë përdoret një VPN. rast për transferimin e sigurt të të dhënave konfidenciale. Mjetet e sigurisë së informacionit - Protokollet e kriptimit Meqenëse të dhënat në VPN udhëtojnë përmes një rrjeti publik, prandaj, ato duhet të mbrohen në mënyrë të besueshme nga sy kureshtarë... Për të zbatuar mbrojtjen e informacionit të transmetuar, ka shumë protokolle që mbrojnë VPN, por të gjitha ato ndahen në dy lloje dhe punojnë në çifte:

protokollet që përmbledhin të dhënat dhe formojnë një lidhje VPN;
protokollet që enkriptojnë të dhënat brenda tunelit të krijuar.

Lloji i parë i protokolleve krijon një lidhje me tunel, dhe lloji i dytë është drejtpërdrejt përgjegjës për enkriptimin e të dhënave. Le të hedhim një vështrim në disa nga zgjidhjet standarde të ofruara nga lideri botëror i njohur globalisht në zhvillimin e sistemeve operative. Si set standard propozohet të bëhet një zgjedhje e dy protokolleve, do të ishte më e saktë të thuash grupe:

PPTP (Point-to-Point Tunneling Protocol) është një protokoll tunelimi pikë-për-pikë, ide e Microsoft dhe është një zgjatim i PPP (Point-to-Point Protocol), prandaj, përdor mekanizmat e tij të vërtetimit, kompresimit dhe enkriptimit. . PPTP është ndërtuar në klientin në distancë Qasja në Windows XP. Në zgjedhje standarde të këtij protokolli Microsoft sugjeron përdorimin e metodës së enkriptimit të Microsoft Point-to-Point Encryption (MPPE). Ju mund të transferoni të dhëna pa enkriptim në tekst të qartë. Enkapsulimi i të dhënave PPTP bëhet duke shtuar një titull Generic Routing Encapsulation (GRE) dhe një kokë IP në të dhënat e përpunuara nga PPP.
L2TP (Layer Two Tunneling Protocol) është një protokoll më i avancuar, i lindur nga kombinimi i PPTP (nga Microsoft) dhe L2F (nga Cisco), duke përfshirë më të mirën nga këto dy protokolle. Ofron një lidhje më të sigurt se opsioni i parë, kriptimi kryhet duke përdorur protokollin IPSec (IP-siguria). L2TP është gjithashtu i integruar në klientin e aksesit në distancë të Windows XP; për më tepër, kur zbulon automatikisht llojin e lidhjes, klienti fillimisht përpiqet të lidhet me serverin duke përdorur këtë protokoll, pasi është më i preferueshëm përsa i përket sigurisë.

Enkapsulimi i të dhënave ndodh duke shtuar titujt L2TP dhe IPSec në të dhënat e përpunuara nga PPP. Kriptimi i të dhënave arrihet duke aplikuar Algoritmi DES(Standardi i enkriptimit të të dhënave) ose 3DES. Pikërisht në rastin e fundit arritur sigurinë më të madhe të të dhënave të transmetuara, megjithatë, në këtë rast, do të duhet të paguani me shpejtësinë e lidhjes, si dhe me burimet e procesorit qendror. Kur bëhet fjalë për përdorimin e protokolleve, Microsoft dhe Cisco formojnë një lloj simbioze, gjykoni vetë, protokolli PPTP është Zhvillimi i Microsoft, por përdoret së bashku me GRE, dhe ky është një produkt Cisco, pastaj protokolli L2TP, i cili është më i avancuar në aspektin e sigurisë, nuk është gjë tjetër veçse një hibrid që përfshin të gjitha PPTP-të më të mira (ne tashmë e dimë se e kujt) dhe L2F, po, saktë, i zhvilluar nga Cisco. Ndoshta kjo është arsyeja pse një VPN, kur bëhet siç duhet në një organizatë, konsiderohet një mënyrë e besueshme për të transferuar të dhëna të ndjeshme. Shembujt e protokolleve të konsideruara këtu nuk janë të vetmit, ka shumë zgjidhje alternative, për shembull, PopTop - një zbatim Unix PPTP, ose FreeSWAN - një protokoll për vendosjen e lidhjeve IPSec nën Linux, si dhe: Vtun, Racoon, ISAKMPD, etj.

Zbatim praktik

Tani le të kalojmë nga teoria në praktikë, sepse, siç e dini: "praktika është kriteri i së vërtetës". Le të përpiqemi të organizojmë një version të thjeshtë të një rrjeti privat virtual, të paraqitur në figurën më poshtë.

Një punonjës ose punonjës në distancë është jashtë zyrës dhe ka akses në një rrjet publik, le të jetë interneti. Adresa e rrjetit në të cilën duhet të hyni 11.7.0.0 subnet mask, përkatësisht 255.255.0.0. Ky rrjet i korporatës është një rrjet domeni, nën Kontrolli i Windows 2003 Server Corporate Edition. Serveri ka dy ndërfaqja e rrjetit me adresa IP, të brendshme për rrjetin e korporatës 11.7.3.1 dhe të jashtme 191.168.0.2. Duhet të theksohet se kur hartoni një rrjet VPN, serveri vendoset në vendin e fundit, kështu që ju mundeni probleme të veçanta organizoni hyrjen VPN në rrjetin tashmë të korrigjuar dhe të formuar të organizatës, por, në të njëjtën kohë, nëse në rrjetin e menaxhuar kanë ndodhur ndryshime të rëndësishme, atëherë mund t'ju duhet të rikonfiguroni serverin VPN. Në rastin tonë, ekziston një rrjet tashmë i formuar, me adresat e përshkruara më sipër, është e nevojshme të konfiguroni serverin VPN dhe gjithashtu të lejoni përdorues të caktuar të hyjnë nga rrjeti i jashtëm. Rrjeti i korporatës ka një faqe të brendshme në të cilën ne do të përpiqemi të hyjmë përmes një rrjeti privat virtual. Në Windows 2003 Server, duke instaluar një rol Server VPNështë mjaft e thjeshtë.

Pas kërkesave të magjistarit, instalojeni parametrat e kërkuar: në hapin e dytë, zgjidhni aksesin në distancë (VPN ose modem); pastaj akses në distancë nëpërmjet internetit; në hapin e 4-të, ne tregojmë ndërfaqen e serverit të lidhur me internetin, në rastin tonë 191.168.0.2; Më pas, ne përcaktojmë metodën e caktimit të adresave për klientët në distancë, në rastin tonë këto do të caktohen automatikisht; nëse rrjeti juaj ka një server RADIUS, për vërtetimin e centralizuar të lidhjeve, zgjidhni atë, nëse jo, atëherë lëreni këtë detyrë në serverin VPN. Pra, serveri VPN është krijuar, pasi të jenë bërë cilësimet, ne vazhdojmë me menaxhimin e përdoruesve të domenit tonë dhe për punonjësit që kanë nevojë për qasje në distancë në rrjeti i brendshëm organizatat, lejoni të njëjtën qasje duke vendosur çelësin e duhur në skedën "Thirrjet hyrëse".

Kur konfiguroni një VPN, mbani mend këtë punë korrekteështë e nevojshme që firewall i instaluar lejoi protokollet e përdorura nga VPN. Ne kemi mbaruar me pjesën e serverit, le të kalojmë në krijimin e një klienti të rrjetit privat virtual kompjuter në distancë... Për ta bërë këtë, duhet të ekzekutoni magjistarin lidhjet e rrjetit... Në hapin e dytë, duke ndjekur udhëzimet, zgjidhni artikullin "Lidhu me rrjetin në vendin e punës". Hapi i tretë është "Lidhja me një rrjet privat virtual". Hapi tjetër është të futni emrin e lidhjes. Hapi i pestë - zgjidhni nëse së pari duhet të lidheni me internetin (nëse jeni duke u lidhur nga një vend me akses të vazhdueshëm, zgjidhni "jo", nëse përdorni, për shembull, celular si modem, më pas thirrni paraprakisht numrin për t'u lidhur me internetin). Në hapin e parafundit, futni adresën IP të serverit në të cilin po aksesoni.

Për një lidhje të krijuar tashmë, mund të modifikoni vetitë në çdo kohë, si dhe të konfiguroni disa pika në lidhje me sigurinë dhe llojin e lidhjes së krijuar.

Ekzaminimi

Konfigurimi i aksesit në distancë ka përfunduar, është koha për të testuar funksionalitetin e tij. Le të fillojmë tradicionalisht, me komandën e preferuar "ping" të të gjithëve, thjesht përpiquni të "ping" disa stacione pune nga rrjeti ynë i korporatës.

E shkëlqyeshme, kompjuterët janë të dukshëm, por një punonjës i largët nuk ka gjasa të ketë nevojë për këtë, le të përpiqemi të shkojmë në faqen lokale të organizatës.

Gjithçka funksionon mirë, mbetet për të matur performancën e rrjetit privat virtual të krijuar. Për ta bërë këtë, kopjoni skedarin përmes lidhjes VPN, dhe gjithashtu, pa e përdorur atë, në serverin VPN. Si mjedisi fizik Transmetimi i informacionit do të kryhet nga një rrjet 100 Mbit, në këtë rast gjerësia e brezit të rrjetit nuk është një faktor kufizues. Pra, kopjimi i një skedari prej 342,921,216 byte zgjati 121 sekonda. ME Lidhje VPN- 153 sekonda. Në përgjithësi, humbja në kohën e kopjimit ishte 26%, që është e natyrshme, pasi gjatë transferimit të informacionit përmes VPN ka kosto shtesë të përgjithshme në formën e kriptimit / deshifrimit të të dhënave. Në rastin tonë, u përdor protokolli PPTP, kur përdorni lloje të tjera të protokolleve, humbja e kohës gjithashtu do të ndryshojë. Aktualisht koha e Microsoft rekomandon përdorimin e L2TP IPSec në lidhje me kartat inteligjente për siguri maksimale në vërtetim dhe komunikim.

konkluzionet

Rrjeti privat virtual nuk është i ri, por, siç e shohim, është një shpikje shumë e dobishme në botën e teknologjisë së informacionit, e cila do t'ju ndihmojë të merrni në mënyrë të sigurt informacionin që ju intereson. Duhet të theksohet se ekzistojnë sisteme të tëra harduerike për implementimin e VPN, por ato nuk janë përdorur gjerësisht për shkak të fokusit të tyre në shërbimin e ndërmarrjeve të mëdha dhe, si rrjedhojë, kostos së tyre të lartë. Fuqia llogaritëse e zgjidhjeve harduerike është, natyrisht, shumë e lartë, por jo gjithmonë në kërkesë, prandaj zgjidhje softuerike, dhe aq më tepër ato standarde, të cilat nuk kërkojnë kosto shtesë për kërkimin dhe blerjen e softuerit shtesë, kanë fituar një popullaritet kaq të madh. VPN-ja që rezulton është në të vërtetë shumë e thjeshtë, por mbulon bazat e ndërtimit të një VPN. Ndërtimi i llojeve të tjera të VPN-ve bazuar në Serverin Microsoft 2003 nuk ndryshon në parim, gjithçka është e thjeshtë dhe e lehtë. Si përfundim, do të doja të them se, në fakt, mënyrat Aplikacionet VPN ka vërtet shumë, dhe ato nuk kufizohen në rastet e përshkruara në këtë artikull, dhe është pothuajse e pamundur të numërohen metodat e zbatimit. Sidoqoftë, nëse keni gjetur një rrugëdalje nga situata me ndihmën e një VPN, mos harroni kurrë një komponent kaq të rëndësishëm si siguria e jo vetëm informacionit që transmetohet, por edhe vetë lidhjes.

Një gjë e mirë në lidhje me një rrjet privat virtual (VPN) është se ai i siguron përdoruesit një kanal të sigurt ose të besuar me një kompjuter tjetër pa pasur nevojë të sigurojë një kanal të dedikuar komunikimi. Ai është krijuar në krye të një rrjeti tjetër - Interneti, për shembull.

Windows ka mjete të integruara për vendosjen e lidhjeve VPN midis kompjuterëve në distanca të gjata. Le të krijojmë një tunel VPN midis dy PC që kontrollohen nga mjedisi Windows.

Le të krijojmë anën e serverit

Lidhja e klientëve në distancë me rrjetin VPN organizohet përmes një serveri të veçantë aksesi. Nga lidhja në hyrje, mund të kërkojë kalimin e procedurave të identifikimit dhe vërtetimit. Ai e di se cilët përdorues kanë akses në rrjetin virtual. Gjithashtu, ai ka informacion në lidhje me adresat IP të lejuara.

Për të konfiguruar një server aksesi VPN në Qendrën e Kontrollit të Rrjetit, hapni aplikacionin e ndryshimit të cilësimeve të përshtatësit. Nëse menyja kryesore e aplikacionit nuk shfaqet, shtypni butonin "Alt". Në krye të aplikacionit, duhet të shfaqet menyja kryesore, në të cilën duhet të gjeni artikullin "File" dhe më pas të zgjidhni "Lidhje e re hyrëse". Le të shqyrtojmë më në detaje.

Në panelin e kontrollit, shkoni te "Rrjeti dhe Interneti".

Në hapi tjeter do të hapim një qendër rrjeti.

Le të krijojmë një lidhje të re hyrëse.

Dritarja që shfaqet do të ofrojë për të zgjedhur nga përdoruesit ekzistues ose për të përcaktuar një të ri që do të lejohet të lidhet me këtë PC.

Kur shtoni një "përdorues" të ri, duhet të specifikoni emrin dhe fjalëkalimin me të cilin ai do të lejohet të lidhet me serverin e aksesit VPN.

Në hapin tjetër, magjistari i konfigurimit të rrjetit privat do të pyesë se si do të lidhen përdoruesit.

Është e nevojshme të tregohet se ata do ta bëjnë këtë përmes Internetit, kështu që kontrolloni opsionin e kërkuar.

Hapi tjetër lidhet me vendosjen aplikacionet e rrjetit që duhet të pranojë lidhjet hyrëse. Midis tyre është komponenti i Protokollit të Internetit Versioni 4 (TCP / IPv4). Do t'ju duhet të hapni vetitë e tij dhe të futni manualisht gamën e adresave IP që lejohen të hyjnë në server.

Përndryshe, lëreni këtë çështje në serverin DHCP për zbulimin automatik të adresave IP. Në rastin tonë, na duhej t'i përcaktonim ato manualisht.

Pas përpunimit të të dhënave të futura, serveri i aksesit do të marrë informacionin e kërkuar për të dhënë lejet e nevojshme për përdoruesit e autorizuar. Në të njëjtën kohë, sistemi do të kërkojë emrin e kompjuterit, i cili do të jetë i nevojshëm në të ardhmen.

Si rezultat, ne do të marrim rezultatin e mëposhtëm. Nuk ka ende klientë të lidhur.

Konfigurimi i klientit

Rrjetet moderne më së shpeshti ndërtohen sipas arkitektura klient-server... Kjo ju lejon të nënvizoni kompjuter kryesor në një mjedis të rrjetit. Klientët nisin kërkesat në server dhe janë të parët që tentojnë të lidhen me serverin.

Ne kemi konfiguruar tashmë anën e serverit të kësaj arkitekture. Tani mbetet për të vendosur punën e pjesës së klientit. Klienti duhet të jetë një kompjuter tjetër.

V qendra e rrjetit një kompjuter tjetër (klient), ne do të krijojmë një lidhje të re.

Duhet të lidhemi drejtpërdrejt me vendin e punës.

Përsëri, le t'i drejtohemi rrjetit Windows Center vetëm tani një PC tjetër. Le të zgjedhim opsionin për të konfiguruar një lidhje të re. Apleti që shfaqet do të ofrojë disa opsione për të zgjedhur, megjithatë, ne kemi nevojë për opsionin për t'u lidhur me vendin e punës. Magjistari do të pyesë se si ta bëjë lidhjen. Ne duhet të zgjedhim vendosjen e një lidhjeje interneti (VPN).

Në hapin tjetër, magjistari do t'ju kërkojë të specifikoni adresën IP të serverit të aksesit VPN dhe të caktoni një emër destinacioni. Adresa IP e serverit të aksesit mund të gjendet në kompjuterin tonë të parë duke futur komandën ipconfig në vijën e komandës. Adresa IP e rrjetit Ethernet do të jetë adresa e dëshiruar.

Më pas, sistemi do të zbatojë të gjitha cilësimet e futura.

Le të lidhemi

Koha X për eksperimentin tonë është të krijojmë një lidhje klienti me anën e serverit të rrjetit tonë. Në qendrën e rrjetit, zgjidhni opsionin "Lidhu me rrjetin". Në dritaren që shfaqet, klikoni VPN-Test (ne kemi treguar destinacionin me këtë emër) dhe klikoni butonin lidh.

Kjo do të hapë aplikacionin e lidhjes VPN-Test. Në fushat e tekstit, ne do të tregojmë emrin dhe fjalëkalimin e "përdoruesit" për autorizim në serverin e aksesit. Nëse gjithçka shkon mirë dhe përdoruesi ynë jo vetëm që regjistrohet në rrjet, por gjithashtu mund të lidhet plotësisht me serverin e aksesit, atëherë përcaktimi i "përdoruesit" të lidhur do të shfaqet në anën e kundërt.

Por ndonjëherë, ky lloj gabimi mund të ndodhë. Serveri VPN nuk po përgjigjet.

Klikoni në skedën për lidhjet hyrëse.

Në skedën e shënuar, hapni vetitë e protokollit IP.

Le të vendosim opsionin për të specifikuar adresat IP në mënyrë eksplicite dhe të shkruajmë se cilat "adresa IP" duhet të shërbehen.

Kur të rilidhemi, do të shohim foton e mëposhtme. Sistemi na tregon se një klient është i lidhur dhe ky klient vpn (SimpleUser).

Përmbledhje e shkurtër

Pra, për të krijuar një rrjet VPN midis dy PC-ve, duhet të vendosni se cili prej tyre duhet të bëhet "kryesori" dhe të luajë rolin e një serveri. Pjesa tjetër e PC-ve duhet të lidhen me të përmes sistemit të autorizimit. Windows ka mjete për të siguruar një fund të pasme për rrjetin tonë. Konfigurohet duke krijuar një lidhje të re hyrëse, duke specifikuar përdoruesin, si dhe aplikacionet që duhet të pranojnë lidhjen. Klienti konfigurohet duke krijuar një lidhje me vendin e punës, duke specifikuar përdoruesin dhe të dhënat e serverit me të cilin duhet të lidhet ky përdorues.