VPN-netwerken gebaseerd op MPLS-technologie

  • Netwerktechnologieën

    • Wie heeft een VPN nodig?

    Vanaf maart 2017 bedroeg het aandeel vacatures voor werk met toegang op afstand op hh.ru 1,5% of 13.339 vacatures. Gedurende het jaar verdubbelde hun aantal. In 2014 werd het aantal thuiswerkers geschat op 600 duizend mensen, oftewel 1% van de economisch actieve bevolking (15-69 jaar oud). J'son & Partners Consulting voorspelt dat in 2018 ongeveer 20% van alle werkende Russen op afstand zal werken. Beeline is bijvoorbeeld van plan om tegen eind 2017 van 50% naar 70% van zijn personeel over te stappen naar samenwerking op afstand.


    Waarom bedrijven werknemers overplaatsen naar werken op afstand:

    • Het verlagen van de kosten van het bedrijf voor het huren en onderhouden van werkplekken.
    • Het niet gebonden zijn aan één locatie maakt het mogelijk om een ​​team samen te stellen
      project, dat nooit binnen één stad verzameld zou kunnen worden. Bijkomend voordeel is de mogelijkheid om goedkopere arbeid in te zetten.
    • Het voorzien in de behoeften van medewerkers in verband met hun familieomstandigheden.

    We ontdekten de noodzaak van een VPN meer dan 10 jaar geleden. Voor ons was de drijfveer om werknemers VPN-toegang te bieden de mogelijkheid om overal ter wereld en op elk moment van de dag en nacht snel toegang te krijgen tot het bedrijfsnetwerk.

    De weg naar het kiezen van de ideale VPN-oplossing

    Er zijn heel veel mogelijke oplossingen. Vaak moet de beslissing worden genomen op basis van welke apparatuur en software al in het bedrijf wordt gebruikt en welke software de systeembeheerder kan configureren. Ik zal beginnen met wat we meteen hebben afgewezen, en dan zal ik je vertellen wat we hebben geprobeerd en waar we uiteindelijk voor zijn uitgekomen.

    VPN in routers

    Er zijn veel zogenaamde ‘Chinese oplossingen’ op de markt. Vrijwel elke router heeft de functionaliteit van een ingebouwde VPN-server. Meestal is dit een eenvoudige aan/uit-functionaliteit en het toevoegen van logins en wachtwoorden voor gebruikers, soms integratie met de Radius-server. Waarom hebben we een dergelijke oplossing niet overwogen? Wij denken allereerst aan onze veiligheid en continuïteit van dienstverlening. Soortgelijke hardwareonderdelen kunnen niet bogen op betrouwbare bescherming (firmware-updates worden meestal zeer zelden of helemaal niet uitgebracht) en de betrouwbaarheid van hun werking laat veel te wensen over.

    VPN Enterprise-klasse

    Als je naar het Gartner-plein kijkt, worden de leidende posities op de VPN-markt al lang ingenomen door bedrijven die netwerkapparatuur produceren. Juniper, Cisco, Check Point: ze hebben allemaal uitgebreide oplossingen inclusief een VPN-service.



    Er kleven misschien twee nadelen aan dergelijke oplossingen. Het eerste en belangrijkste zijn de hoge kosten. Ten tweede laat de snelheid waarmee kwetsbaarheden worden gedicht veel te wensen over, en als u geen jaarlijkse ondersteuningskosten betaalt, hoeft u ook geen beveiligingsupdates te verwachten. Nog niet zo lang geleden verscheen er een derde punt: bladwijzers ingebouwd in de software van grote netwerkleveranciers.

    Microsoft-VPN

    10 jaar geleden waren we een Windows-first-bedrijf. Microsoft biedt een gratis oplossing voor degenen die hun volledige infrastructuur op hun basis laten bouwen. In eenvoudige gevallen is de installatie zelfs voor een beginnende systeembeheerder niet moeilijk. In ons geval wilden we qua veiligheid het maximale uit de VPN halen, dus het gebruik van wachtwoorden werd uitgesloten. Wij wilden uiteraard certificaten gebruiken in plaats van wachtwoorden en ons product Rutoken EDS gebruiken om het sleutelpaar op te slaan. Om het project te implementeren hadden we het volgende nodig: een domeincontroller, een radiusserver en een correct geïnstalleerde en geconfigureerde PKI-infrastructuur. Ik zal niet in detail op de opzet ingaan; er is behoorlijk wat informatie over deze kwesties op internet te vinden, en voor de juiste opzet van PKI zijn doorgaans een tiental artikelen nodig. Het eerste protocol dat we thuis gebruikten was het PPTP-protocol. Deze VPN-optie beviel ons lange tijd, maar uiteindelijk moesten we er om twee redenen afstand van doen: PPTP werkte niet overal en we begonnen niet alleen Windows te gebruiken, maar ook andere besturingssystemen. Daarom zijn we op zoek gegaan naar alternatieven. Houd er rekening mee dat PPTP-ondersteuning onlangs door Apple is stopgezet. Om te beginnen hebben we besloten om te kijken welke andere protocollen Microsoft te bieden heeft. SSTP/L2TP. SSTP was prima voor ons, behalve dat het alleen op Windows werkte. L2TP had dit nadeel niet, maar het opzetten en in bedrijf houden ervan leek ons ​​behoorlijk duur en we besloten alternatieven te proberen. Ik wilde een eenvoudiger oplossing voor zowel gebruikers als beheerders.

    OpenVPN

    Wij bij Aktiv houden oprecht van open source. Bij het kiezen van een vervanger voor Microsoft VPN konden we niet om de OpenVPN-oplossing heen. Het belangrijkste voordeel voor ons was dat de oplossing out-of-the-box op alle platforms werkt. Het verhogen van een server in een eenvoudig geval is vrij eenvoudig. Nu is dit met docker en bijvoorbeeld een kant-en-klare image in een paar minuten te doen. Maar wij wilden meer. We wilden de integratie met Microsoft CA aan het project toevoegen om eerder uitgegeven certificaten te kunnen gebruiken. We wilden ondersteuning toevoegen voor de tokens die we gebruiken. Hoe je een combinatie van OpenVPN en tokens opzet, wordt bijvoorbeeld hierin beschreven. Het was lastiger om de integratie van Microsoft CA en OpenVPN op te zetten, maar over het algemeen is het ook goed haalbaar. We hebben de resulterende oplossing ongeveer drie jaar gebruikt, maar al die tijd bleven we zoeken naar handiger opties. De belangrijkste functie die we kregen door over te schakelen naar OpenVPN was toegang vanaf elk besturingssysteem. Maar er bleven nog twee klachten over: werknemers van het bedrijf moesten zeven cirkels van Microsoft CA-hel doorlopen om een ​​certificaat uit te geven, en beheerders moesten nog steeds een vrij complexe VPN-infrastructuur onderhouden.

    Rutoken VPN

    We hebben de kennis van het gebruik van tokens op elk besturingssysteem, we hebben inzicht in hoe we een PKI-infrastructuur op de juiste manier kunnen voorbereiden, we weten hoe we verschillende versies van OpenVPN moeten configureren, en we hebben de technologieën waarmee we dit allemaal in een mum van tijd kunnen beheren. een gebruiksvriendelijke manier vanuit een browservenster. Zo ontstond het idee voor een nieuw product.



    Rutoken VPN instellen

    We hebben echt geprobeerd de installatie eenvoudig en duidelijk te maken. De gehele installatie duurt slechts een paar minuten en wordt geïmplementeerd als een initiële installatiewizard. De eerste stap is het configureren van de netwerkinstellingen van het apparaat; ik denk dat opmerkingen hier overbodig zijn.




    In de tweede stap moet u de bedrijfsnaam invoeren en een paar minuten wachten terwijl het apparaat de ingebouwde certificeringsinstantie configureert.







    De derde stap is het configureren van de VPN-service zelf. Geef het externe IP-adres op waarmee de verbinding tot stand zal komen. Selecteer het coderingstype en de netwerkadressering.




    De vierde configuratiestap is het maken van lokale gebruikers, of het toevoegen ervan vanuit AD




    Persoonlijk account van de medewerker




    Afhankelijk van het besturingssysteem en de browser van de medewerker zul je een plugin en browserextensie moeten installeren die nodig zijn om met tokens te kunnen werken.




    Na het installeren van de plug-in/extensie hoeven we alleen nog maar een certificaat voor onze Rutoken EDS te genereren.







    En installeer de client voor het gewenste besturingssysteem:



    Hoe werkt het allemaal?

    Iets over de hardware. In eerste instantie hebben we lang nagedacht over welke ‘basis’ we moesten gebruiken voor onze oplossing, omdat we een evenwicht moesten bewaren tussen kosten, gemak en prestaties. Na onderzoek te hebben gedaan naar wat er op de markt wordt aangeboden, kwamen we tot twee opties voor de implementatie en verdere distributie van de oplossing:

    • x86 (Enterprise) is een softwareoplossing die aan de eindgebruiker wordt geleverd in de vorm van een virtuele machine-image die kan worden ingezet binnen zijn IT-infrastructuur.
    • Raspberry Pi is al een redelijk bekende microcomputer die behoorlijk goede prestaties levert tegen niet al te hoge kosten en die binnen 10 minuten nadat hij letterlijk uit de doos is gehaald als VPN-server kan worden gebruikt.

    Laten we nu eens kijken hoe onze oplossing werkt. Allereerst wil ik u eraan herinneren dat we tweefactorauthenticatie hebben geïmplementeerd. Tokens van onze eigen productie, evenals software om ermee te werken, worden gebruikt als dragers van privésleutels en certificaten van klanten.


    Maar in eerste instantie moeten we nog de services configureren die nodig zijn om het product correct te laten werken. Diensten worden momenteel door de specialisten van ons bedrijf in een semi-automatische modus geconfigureerd. Dit betekent dat het proces van software-implementatie en initiële instellingen geautomatiseerd is, maar het initialiseren van dit proces blijft nog steeds een menselijk voorrecht. Tijdens de eerste installatie worden systeempakketten, python, django, OpenVPN, supervisor, OpenSSL, etc. geïnstalleerd.


    Wat is het volgende? Vervolgens moet u de gehele infrastructuur configureren, die feitelijk verantwoordelijk is voor de beveiliging in het algemeen. Namelijk: CA (certificaatautoriteit), PKI (public key infrastructure), schrijf de benodigde sleutels en certificaten uit.


    De creatie van PKI en CA, evenals de vorming van het OpenVPN-serverconfiguratiebestand, het genereren van sleutels en de uitgifte van certificaten worden uitgevoerd nadat het product naar de klant is overgedragen. Maar dit betekent niet dat u hiervoor enige specifieke kennis en directe toegang tot het besturingssysteem nodig heeft. Alles is geïmplementeerd in de bedrijfslogica van de backend van het administratiesysteem, waartoe toegang wordt verleend via de webinterface. De klant hoeft alleen een minimale set attributen in te voeren (hierboven beschreven), waarna het proces van PKI-initialisatie en CA-creatie begint. Het heeft geen enkel nut om specifieke oproepen naar systeemopdrachten te beschrijven, aangezien alles al lang voor ons is beschreven en gekauwd. Het belangrijkste dat we deden was dit proces automatiseren, waardoor de gebruiker geen specifieke kennis op administratief gebied hoefde te hebben.


    Om met sleutels en certificaten te werken, hebben we besloten het wiel niet opnieuw uit te vinden (hoewel we heel graag met het idee wilden en nog steeds spelen om het opnieuw uit te vinden op basis van onze toekomstige productontwikkelingsplannen) en easy-rsa te gebruiken.


    Het langste proces bij het opzetten van infrastructuur is het genereren van het Diffie-Hellman-bestand. We hebben lang met de parameters geëxperimenteerd en zijn tot een balans gekomen tussen “kwaliteit en prestatie”. Hoewel er gedachten waren om deze stap helemaal achterwege te laten, kunt u dergelijke bestanden vooraf genereren met behulp van onze serverkracht en ze eenvoudigweg 'distribueren' tijdens de initiële initialisatie. Bovendien zijn de gegevens in dit bestand niet privé. Maar voorlopig lieten we deze gedachten achter voor verder “onderzoek”.


    Vervolgens is het noodzakelijk om de eindgebruiker te voorzien van een mechanisme voor het zelfstandig aanmaken van sleutelparen, het genereren van verzoeken om een ​​certificaat uit te geven aan de CA, en het daadwerkelijk ontvangen van dit certificaat met een record op het token. Daarnaast heb je een client nodig waarmee je een VPN-verbinding tot stand kunt brengen met pre-authenticatie met behulp van een token.


    We hebben het eerste probleem opgelost dankzij onze plug-in, die de functionaliteit van elektronische handtekening, encryptie en tweefactorauthenticatie voor web- en SaaS-services implementeert. Om een ​​certificaat uit te geven en naar het token te schrijven, moet de gebruiker deze plug-in installeren, de link volgen om naar het persoonlijke account van de RutokenVPN-service te gaan, nadat hij eerst het token op de computer heeft aangesloten (u kunt meer lezen over de plug-in op onze bron)


    Bij het initialiseren van het proces van het uitgeven van een certificaat wordt een verzoek gedaan om een ​​token om een ​​sleutelpaar te genereren, evenals een verzoek om een ​​certificaat aan de CA uit te geven. De privésleutel wordt naar het token geschreven en een verzoek om een ​​certificaat uit te geven wordt naar de CA gestuurd, die het op zijn beurt uitgeeft en in een reactie retourneert. Vervolgens wordt het certificaat ook naar het token geschreven.


    Bijna alles is klaar om een ​​VPN-verbinding tot stand te brengen. Wat ontbreekt is een client die “weet” hoe hij met de server en onze tokens moet werken.




    Onze klant is geïmplementeerd in Electron. Voor degenen die niet weten wat voor soort beest dit is, om het heel kort te zeggen: de mogelijkheid om een ​​desktopapplicatie te implementeren met behulp van js, css en html. Zonder in details te treden: de client is een soort ‘wrapper’ over de OpenVPN-client, waardoor deze met de nodige parameters kan worden aangeroepen. Waarom is dit zo? In feite was het voor ons handiger, hoewel de gekozen oplossing bepaalde beperkingen oplegt.


    Omdat we het token gebruiken als drager van belangrijke informatie die nodig is voor authenticatie bij het opzetten van een VPN-sessie, moeten we de OpenVPN-client configureren om ermee te werken. De PKCS#11-provider is een zelfontwikkelde bibliotheek voor het werken met onze tokens, waarvan het pad is opgegeven in de OpenVPN-clientinstellingen. Je kunt er meer over lezen.


    Wanneer er een verzoek wordt gedaan om een ​​VPN-verbinding tot stand te brengen, wordt om de pincode gevraagd. Indien correct ingevoerd, wordt een certificaat opgehaald om de client te authenticeren, wordt er een handshake uitgevoerd tussen de client en de server en wordt er een VPN-verbinding tot stand gebracht. Mensen met kennis van zaken kunnen beweren dat niet alles zo eenvoudig is, maar het doel van deze beschrijving is niet om alle fijne kneepjes van OpenVPN te vertellen, maar alleen om de belangrijkste punten van onze implementatie te benadrukken.


    Iets over onze plannen. Het belangrijkste waar we nu aan werken is de implementatie van GOST-codering. We hebben al een behoorlijk lang onderzoekstraject achter de rug, waardoor we zo dicht mogelijk bij de implementatie ervan konden komen. In de nabije toekomst zullen we de interesse van potentiële klanten in deze functionaliteit kunnen bevredigen.

    Tags:

    • vpn
    • openvpn
    • frambozen pi
    • roottoken
    • opensl
    Tags toevoegen

    Republikeinse schaal voor de behoeften van een middelgrote onderneming. Zoek hier niet naar een gids voor VPN-technologieën - die is er hier niet, daar zijn gespecialiseerde handleidingen voor, beschikbaar in elektronische en gedrukte vorm. Ik zal proberen aan de hand van een praktisch voorbeeld een idee te geven van wat voor soort ‘beest’ deze VPN is, en de kenmerken aanwijzen van het bouwen van een dergelijke infrastructuur onder onze omstandigheden, terwijl ik tegelijkertijd mijn ervaring op dit gebied samenvat. Alles wat ik zei beweert niet de ultieme waarheid te zijn, en weerspiegelt alleen mijn eigen standpunt.

    Waarom is dit nodig?

    De initiële voorwaarden zijn dus als volgt: uw organisatie heeft meerdere vestigingen op grote afstand van elkaar in dezelfde stad of zelfs in verschillende steden van het land. Op het eerste gezicht is u een absoluut fantastische taak gegeven: het verenigen van lokale vestigingsnetwerken tot één mondiaal netwerk; zodat elke computer toegang heeft tot een andere computer op dit netwerk, ongeacht waar deze zich bevindt: in de volgende kamer of duizend kilometer verderop. Soms ziet de taakvoorwaarde er anders uit: toegang verlenen tot een bepaalde bron van de ene vestiging vanaf computers in een netwerk van andere vestigingen (maar de essentie van de zaak verandert niet).

    En hoe moet je dit doen?

    Dit gebeurt met behulp van VPN-technologie. Simpel gezegd wordt er een logisch netwerk bovenop uw individuele netwerken “gegooid”, waarvan de afzonderlijke componenten (dus vertakkingen) op verschillende manieren met elkaar kunnen worden verbonden: via publieke kanalen (internet), via huurlijnen, via een draadloos netwerk. Het resultaat is een homogeen netwerk bestaande uit heterogene componenten.

    Het is duidelijk dat de mogelijkheid om zelf kanalen aan te leggen niet kan worden overwogen vanwege de gestelde voorwaarden; niemand laat je een kabel door de hele stad leggen, en dit is een ondankbare klus. Er zit dus niets anders op dan contact op te nemen met de aanbieder van telecommunicatiediensten, of eenvoudiger gezegd: de aanbieder. Het kiezen van een aanbieder is een apart discussieonderwerp dat buiten het bestek van dit artikel valt. Er moet alleen worden opgemerkt dat alles afhangt van verschillende factoren, waarvan de belangrijkste het volume van de geleverde diensten en de kwaliteit van de communicatie zijn. Prijzen voor gegevensoverdracht zullen van niet gering belang zijn, en hier moet u de middenweg kiezen tussen prijs en kwaliteit. Omdat iedereen deze lat individueel voor zichzelf legt (voor sommigen is een heel uur zonder communicatie geen probleem, maar voor anderen lijkt vijf minuten downtime een tragedie), is het onmogelijk om hier iets te adviseren.

    In dit stadium moet u gaan zitten en zorgvuldig overwegen welke takken van uw organisatie in het netwerk zullen worden opgenomen. Als er meer dan twee of drie zijn, kunt u voor de duidelijkheid zelfs een diagram tekenen met een bordje dat de adressen en contacten van elke vestiging aangeeft. Als je binnen één stad een gedistribueerd netwerk moet organiseren, heb je meestal de keuze uit meerdere aansluitmogelijkheden van verschillende aanbieders. In mijn geval was het nodig om verschillende netwerken in verschillende steden in de regio te combineren; hier zijn, zoals ze zeggen, geen opties - je moet je wenden tot het monopoliebedrijf Kazakhtelecom, de enige wereldwijde leverancier van dit soort communicatie in de Republiek Kazachstan. Verderop in het artikel zal ik overwegen om specifiek verbinding te maken via Kazachtelecom als de meest universele manier om aanbevelingen voor een specifieke provider aan te passen.

    Hoewel het onderwerp afgezaagd is, ervaren veel mensen toch vaak problemen - of het nu een beginnende systeembeheerder is of gewoon een gevorderde gebruiker die door zijn superieuren werd gedwongen om de functies van een Enikey-specialist uit te voeren. Het is paradoxaal, maar ondanks de overvloed aan informatie over VPN’s is het vinden van een duidelijke optie een reëel probleem. Bovendien krijg je zelfs de indruk dat jij het hebt geschreven, terwijl anderen de tekst schaamteloos hebben gekopieerd. Het resultaat is dat de zoekresultaten letterlijk volgestopt zijn met een overvloed aan onnodige informatie, waaruit zelden iets waardevols kan worden gehaald. Daarom besloot ik op mijn eigen manier op alle nuances te kauwen (misschien zal het voor iemand nuttig zijn).

    Dus wat is een VPN? VPN (VirtueelPrivéNetwerk- virtueel particulier netwerk) is een algemene naam voor technologieën waarmee een of meer netwerkverbindingen (logisch netwerk) via een ander netwerk (inclusief internet) kunnen worden aangeboden. Afhankelijk van de gebruikte protocollen en doeleinden kan VPN drie soorten verbindingen bieden: knooppunt-knooppunt, knooppunt-netwerk En netwerk-netwerk. Zoals ze zeggen, geen commentaar.

    Stereotiep VPN-schema

    Met VPN kunt u eenvoudig een externe host combineren met het lokale netwerk van een bedrijf of een andere host, en netwerken tot één host combineren. Het voordeel ligt voor de hand: we hebben eenvoudig toegang tot het bedrijfsnetwerk vanaf de VPN-client. Daarnaast beschermt VPN uw gegevens ook door middel van encryptie.

    Ik pretendeer niet dat ik u alle principes van de VPN-werking beschrijf, aangezien er veel gespecialiseerde literatuur is, en om eerlijk te zijn, ik weet zelf niet veel dingen. Als uw taak echter "Doe het!" Is, moet u dringend bij het onderwerp betrokken raken.

    Laten we eens kijken naar een probleem uit mijn persoonlijke praktijk, toen ik twee kantoren via VPN moest verbinden: een hoofdkantoor en een filiaal. De situatie werd verder gecompliceerd door het feit dat er op het hoofdkantoor een videoserver stond, die video moest ontvangen van de IP-camera van het filiaal. Hier is de taak in het kort.

    Er zijn veel oplossingen. Het hangt allemaal af van wat je bij de hand hebt. Over het algemeen is een VPN eenvoudig te bouwen met behulp van een hardwareoplossing op basis van verschillende Zyxel-routers. Idealiter kan het ook gebeuren dat het internet door één provider naar beide kantoren wordt gedistribueerd en dan heb je helemaal geen problemen (je hoeft alleen maar contact op te nemen met de provider). Als het bedrijf rijk is, kan het CISCO betalen. Maar meestal wordt alles softwarematig opgelost.

    En hier is de keuze geweldig - Open VPN, WinRoute (merk op dat het betaald is), besturingssysteemtools, programma's zoals Hamanchi (om eerlijk te zijn, in zeldzame gevallen kan het helpen, maar ik raad niet aan erop te vertrouwen - de de gratis versie heeft een limiet van 5 hosts en een ander belangrijk nadeel is dat je hele verbinding afhankelijk is van de Hamanchi-host, wat niet altijd goed is). In mijn geval zou het ideaal zijn om OpenVPN te gebruiken, een gratis programma waarmee je eenvoudig een betrouwbare VPN-verbinding tot stand kunt brengen. Maar zoals altijd zullen wij de weg van de minste weerstand volgen.

    In mijn branche wordt het internet gedistribueerd via een gateway op basis van client Windows. Ik ben het ermee eens, het is niet de beste oplossing, maar het is genoeg voor drie clientcomputers. Ik moet van deze gateway een VPN-server maken. Aangezien u dit artikel leest, weet u waarschijnlijk zeker dat u nieuw bent bij VPN. Daarom geef ik voor jou het eenvoudigste voorbeeld, dat in principe bij mij past.

    In de Windows NT-familie zijn al rudimentaire servermogelijkheden ingebouwd. Het opzetten van een VPN-server op een van de machines is niet moeilijk. Als server zal ik voorbeelden geven van Windows 7-screenshots, maar de algemene principes zullen hetzelfde zijn als voor oude XP.

    Houd er rekening mee dat u twee netwerken nodig heeft om verbinding te maken ze hadden een ander bereik! Op het hoofdkantoor kan het bereik bijvoorbeeld 192.168.0.x zijn, en op het filiaal kan dit 192.168.20.x zijn (of een ander grijs IP-bereik). Dit is erg belangrijk, dus wees voorzichtig. Nu kunt u beginnen met het instellen.

    Ga naar de VPN-server in Configuratiescherm -> Netwerkcentrum -> adapterinstellingen wijzigen.

    Druk nu op de Alt-toets om het menu te openen. Daar moet u in het item Bestand "Nieuwe inkomende verbinding" selecteren.

    Vink de vakjes aan voor gebruikers die kunnen inloggen via VPN. Ik raad ten zeerste aan om een ​​nieuwe gebruiker toe te voegen, deze een beschrijvende naam te geven en een wachtwoord toe te wijzen.

    Nadat u dit heeft gedaan, moet u in het volgende venster selecteren hoe gebruikers verbinding zullen maken. Vink het vakje ‘Via internet’ aan. Nu hoeft u alleen maar een reeks virtuele netwerkadressen toe te wijzen. Bovendien kunt u kiezen hoeveel computers kunnen deelnemen aan de gegevensuitwisseling. In het volgende venster selecteert u het TCP/IP versie 4-protocol en klikt u op “Eigenschappen”:

    Je zult zien wat ik heb in de schermafbeelding. Als u wilt dat de client toegang krijgt tot het lokale netwerk waarop de server zich bevindt, vinkt u eenvoudigweg het selectievakje 'Bellers toegang tot het lokale netwerk toestaan' aan. In het gedeelte “IP-adressen toewijzen” raad ik aan om adressen handmatig op te geven volgens het principe dat ik hierboven heb beschreven. In mijn voorbeeld gaf ik het bereik slechts vijfentwintig adressen, hoewel ik er eenvoudigweg twee of 255 had kunnen opgeven.

    Klik daarna op de knop "Toegang toestaan".

    Het systeem maakt automatisch een VPN-server aan, die eenzaam wacht tot iemand zich erbij aansluit.

    Nu hoeft u alleen nog maar een VPN-client in te stellen. Ga op de clientcomputer ook naar het Netwerkcentrum en selecteer Een nieuwe verbinding of netwerk opzetten. Nu moet u het item selecteren "Verbinden met de werkvloer"

    Klik op “Gebruik mijn internetverbinding” en u wordt nu uit een venster gegooid waarin u het adres van onze internetgateway in het filiaal moet invoeren. Voor mij lijkt het op 95.2.x.x

    Nu kunt u de verbinding oproepen, de gebruikersnaam en het wachtwoord invoeren die u op de server hebt ingevoerd en proberen verbinding te maken. Als alles klopt, wordt u verbonden. In mijn geval kan ik al elke filiaalcomputer pingen en een camera aanvragen. Nu is de mono eenvoudig aan te sluiten op een videoserver. Het kan zijn dat jij iets anders hebt.

    Als alternatief kan er tijdens het verbinden een 800-fout verschijnen, wat aangeeft dat er iets mis is met de verbinding. Dit is een probleem met de client- of serverfirewall. Ik kan het je niet specifiek vertellen: alles wordt experimenteel bepaald.

    Zo creëerden we eenvoudig een VPN tussen twee kantoren. Spelers kunnen op dezelfde manier verenigd worden. Vergeet echter niet dat dit nog steeds geen volwaardige server zal zijn en dat het beter is om geavanceerdere tools te gebruiken, waarover ik in de volgende delen zal praten.

    In deel 2 zullen we vooral kijken naar het opzetten van OPenVPN voor Windows en Linux.

    Het organiseren van kanalen tussen externe netwerken via een VPN-verbinding is een van de meest populaire onderwerpen op onze website. Tegelijkertijd worden, zoals uit het antwoord van de lezer blijkt, de grootste problemen veroorzaakt door de juiste routeringsconfiguratie, hoewel we specifiek aandacht aan dit punt hebben besteed. Na analyse van de meest gestelde vragen hebben we besloten een apart artikel te wijden aan het onderwerp routing. Heeft u vragen? We hopen dat er na het lezen van dit materiaal minder zullen zijn.

    Laten we eerst eens kijken wat het is routering. Routing is het proces waarbij de route wordt bepaald die informatie in communicatienetwerken moet volgen. Laten we eerlijk zijn, dit onderwerp is erg diepgaand en vereist een stevige hoeveelheid theoretische kennis. Daarom zullen we in het kader van dit artikel het beeld opzettelijk vereenvoudigen en de theorie precies in die mate aanroeren dat dit voldoende zal zijn om de processen te begrijpen. plaatsvinden en praktische resultaten behalen.

    Laten we een willekeurig werkstation nemen dat op het netwerk is aangesloten. Hoe bepaalt het waar dit of dat pakket naartoe moet worden gestuurd? Voor dit doel is het bedoeld routeringstabel, dat een lijst met regels bevat voor alle mogelijke bestemmingen. Op basis van deze tabel beslist de host (of router) welke interface en bestemmingsadres een pakket naar een specifieke ontvanger moet sturen.

    Routeafdruk

    Als gevolg hiervan zien we de volgende tabel:

    Alles is heel eenvoudig, we zijn geïnteresseerd in de sectie IPv4-routetabel, bevatten de eerste twee kolommen het bestemmingsadres en het netmasker, gevolgd door de gateway - het knooppunt waarnaar pakketten moeten worden doorgestuurd voor de opgegeven bestemming, interface en metriek. Als in de kolom Poort aangegeven On-link Dit betekent dat het bestemmingsadres zich op hetzelfde netwerk bevindt als de host en zonder routering toegankelijk is. Statistieken bepaalt de prioriteit van routeringsregels als het bestemmingsadres meerdere regels in de routetabel heeft, dan wordt degene met de lagere metriek gebruikt.

    Ons werkstation behoort tot het netwerk 192.168.31.0 en volgens de routetabel worden alle verzoeken aan dit netwerk verzonden naar interface 192.168.31.175, wat overeenkomt met het netwerkadres van dit station. Als het bestemmingsadres zich op hetzelfde netwerk bevindt als het bronadres, wordt informatie geleverd zonder gebruik te maken van IP-routing (L3-netwerklaag van het OSI-model), op de datalinklaag (L2). Anders wordt het pakket verzonden naar de host die is opgegeven in de overeenkomstige regel voor de routeringstabel van het bestemmingsnetwerk.

    Als een dergelijke regel niet bestaat, wordt het pakket verzonden via nul traject, dat het adres van de standaardgateway van het netwerk bevat. In ons geval is dit het routeradres 192.168.31.100. Deze route wordt nul genoemd omdat het bestemmingsadres ervoor 0.0.0.0 is. Dit punt is erg belangrijk voor een beter begrip van het routeringsproces: alle pakketten behoort niet tot dit netwerk en geen aparte routes hebben, Altijd worden verzonden belangrijkste toegangspoort netwerken.

    Wat zal de router doen als hij zo'n pakket ontvangt? Laten we eerst eens kijken hoe een router verschilt van een gewoon netwerkstation. In extreem vereenvoudigde termen is een router een netwerkapparaat dat is geconfigureerd om pakketten tussen netwerkinterfaces te verzenden. Op Windows wordt dit bereikt door de service in te schakelen Routering en toegang op afstand, in Linux door de optie in te stellen ip_forward.

    De beslissing om pakketten te verzenden wordt in dit geval ook genomen op basis van de routeringstabel. Laten we eens kijken wat deze tabel bevat op de meest voorkomende router, bijvoorbeeld degene die we in het artikel hebben beschreven: Op Linux-systemen kun je de routetabel ophalen met de opdracht:

    Route -n

    Zoals je kunt zien bevat onze router routes naar de bekende netwerken 192.168.31.0 en 192.168.3.0, evenals een nulroute naar de upstream gateway 192.168.3.1.

    Het adres 0.0.0.0 in de Gateway-kolom geeft aan dat het bestemmingsadres bereikbaar is zonder routering. Alle pakketten met bestemmingsadressen in de netwerken 192.168.31.0 en 192.168.3.0 worden dus naar de corresponderende interface gestuurd, en alle andere pakketten worden verder langs de nulroute doorgestuurd.

    Het volgende belangrijke punt zijn de adressen van particuliere (privé) netwerken, deze zijn ook “grijs”; deze omvatten drie bereiken:

    • 10.0.0.0/8
    • 172.16.0.0/12
    • 192.168.0.0/16

    Deze adressen kunnen door iedereen vrij gebruikt worden en daarom ook door hen niet gerouteerd. Wat betekent het? Elk pakket met een bestemmingsadres dat tot een van deze netwerken behoort, wordt door de router verwijderd, tenzij het een aparte vermelding in de routeringstabel heeft. Simpel gezegd wordt de standaardroute (null) voor dergelijke pakketten niet door de router gebruikt. Het moet ook duidelijk zijn dat deze regel alleen van toepassing is bij routering, d.w.z. Bij het verzenden van pakketten tussen interfaces wordt een uitgaand pakket met een "grijs" adres langs de nulroute verzonden, zelfs als dit knooppunt zelf een router is.

    Als onze router bijvoorbeeld een binnenkomend pakket ontvangt met als bestemming 10.8.0.1, wordt dit weggegooid, omdat een dergelijk netwerk hem onbekend is en adressen in dit bereik niet worden gerouteerd. Maar als we hetzelfde knooppunt rechtstreeks vanaf de router benaderen, wordt het pakket langs de nulroute naar gateway 192.168.3.1 verzonden en door deze verwijderd.

    Het is tijd om te kijken hoe het allemaal werkt. Laten we proberen knooppunt 192.168.3.106, dat zich op het netwerk achter de router bevindt, te pingen vanaf ons knooppunt 192.168.31.175. Zoals je ziet is dat gelukt, ook al bevat de routetabel van de host geen enkele informatie over het 192.168.3.0-netwerk.

    Hoe werd dit mogelijk? Omdat het bronknooppunt niets weet over het bestemmingsnetwerk, zal het het pakket naar het gateway-adres sturen. De gateway zal zijn routetabel controleren, daar een vermelding voor netwerk 192.168.3.0 vinden en het pakket naar de juiste interface sturen. U kunt dit eenvoudig verifiëren door het trace-commando uit te voeren, dat het volledige pad van ons pakket zal tonen:

    Tracert 192.168.3.106

    Laten we nu proberen knooppunt 192.168.31.175 te pingen vanaf knooppunt 192.168.3.106, d.w.z. in de tegenovergestelde richting. Het werkte niet voor ons. Waarom?

    Laten we de routeringstabel eens nader bekijken. Het bevat geen vermeldingen voor het netwerk 192.168.31.0, dus het pakket wordt verzonden naar router 192.168.3.1, als de hoofdgateway van het netwerk, die dit pakket zal weggooien, omdat het geen gegevens heeft over het bestemmingsnetwerk . Wat moet ik doen? Het pakket moet uiteraard naar het knooppunt worden gestuurd dat de benodigde informatie bevat en het pakket kan doorsturen naar zijn bestemming, in ons geval is dit de router 192.168.31.100, die in dit netwerk het adres 192.168.3.108 heeft.

    Om ervoor te zorgen dat pakketten voor het 192.168.31.0-netwerk er specifiek naartoe worden verzonden, moeten we een aparte route creëren.

    192.168.31.0 masker 255.255.255.0 192.168.3.108

    In de toekomst zullen we vasthouden aan deze notatie van routes, wat betekent dit? Het is eenvoudig: pakketten voor netwerk 192.168.31.0 met masker 255.255.255.0 moeten naar knooppunt 192.168.3.108 worden gestuurd. In Windows kun je een route toevoegen met de opdracht:

    Route toevoegen 192.168.31.0 masker 255.255.255.0 192.168.3.108

    Route toevoegen -net 192.168.31.0 netmasker 255.255.255.0 gw 192.168.3.108

    Laten we het proberen.

    Laten we het resultaat analyseren, er is een route verschenen in de routeringstabel en alle pakketten naar netwerk 192.168.31.0 worden nu naar de router van dit netwerk gestuurd, zoals te zien is aan de reactie van het ping-commando, maar bereiken hun bestemming niet. Wat is er aan de hand? Het is tijd om te onthouden dat een van de hoofdtaken van een router niet alleen routering is, maar ook de firewallfunctie, die duidelijk de toegang van het externe netwerk naar binnen verbiedt. Als we deze regel tijdelijk vervangen door een tolerante regel, zal alles werken.

    De routes die door de bovenstaande commando's zijn toegevoegd, worden opgeslagen totdat het knooppunt opnieuw wordt opgestart, dit is handig, zelfs als je veel fouten hebt gemaakt, hoef je alleen maar opnieuw op te starten om de aangebrachte wijzigingen te annuleren. Om een ​​permanente route in Windows toe te voegen, voert u de opdracht uit:

    Route toevoegen 192.168.31.0 masker 255.255.255.0 192.168.3.108 -p

    Onder Linux /etc/netwerk/interfaces, na de interfacebeschrijving moet u toevoegen:

    Post-up route toevoegen -net 192.168.31.0 netmasker 255.255.255.0 gw 192.168.3.108

    Dit is overigens niet de enige manier om de toegang van netwerk 192.168.3.0 naar netwerk 192.168.31.0 te configureren; in plaats van een route voor elk knooppunt toe te voegen, kunt u de router “leren” om pakketten correct te verzenden.

    In dit geval heeft het bronknooppunt geen gegevens over het bestemmingsnetwerk en zal het het pakket naar de gateway sturen. De laatste keer heeft de gateway een dergelijk pakket weggegooid, maar nu hebben we de gewenste route aan zijn routeringstabel toegevoegd en zal het de pakket naar knooppunt 192.168.3.108, dat het op zijn bestemming zal afleveren.

    We raden u ten zeerste aan om zelf te oefenen met het gebruik van vergelijkbare voorbeelden, zodat routering niet langer een black box voor u is, en routes niet langer een Chinees schrift zijn. Zodra er begrip ontstaat, kunt u doorgaan naar het tweede deel van dit artikel.

    Laten we nu eens kijken naar echte voorbeelden van het combineren van kantoornetwerken via een VPN-verbinding. Ondanks dat OpenVPN het meest voor deze doeleinden wordt gebruikt en we in onze voorbeelden ook oplossingen bedoelen die daarop gebaseerd zijn, geldt alles wat gezegd wordt voor elk type VPN-verbinding.

    Het eenvoudigste geval is wanneer de VPN-server (client) en de netwerkrouter zich op dezelfde host bevinden. Beschouw het onderstaande diagram:

    Omdat we hopen dat je de theorie hebt geleerd en deze in de praktijk hebt geconsolideerd, laten we de route van pakketten van het kantoornetwerk 192.168.31.0 naar het vestigingsnetwerk 192.168.44.0 analyseren. Zo'n pakket wordt naar de standaardgateway gestuurd, namelijk ook een VPN-server. Dit knooppunt weet echter niets van het bestemmingsnetwerk en zal dit pakket moeten weggooien. Tegelijkertijd kunnen we al contact opnemen met de filiaalrouter op zijn adres in het VPN-netwerk 10.8.0.2, aangezien dit netwerk toegankelijk is vanaf de kantoorrouter.

    Om toegang te krijgen tot een filiaalnetwerk, moeten we pakketten voor dat netwerk afleveren bij een knooppunt dat deel uitmaakt van dat netwerk of een route ernaartoe heeft. In ons geval is dit de filiaalrouter. Daarom voegen we op de kantoorrouter de route toe:

    Nu zal de kantoorgateway, nadat hij het pakket voor het vestigingsnetwerk heeft ontvangen, dit via het VPN-kanaal naar de vestigingsrouter sturen, die, als netwerkknooppunt 192.168.44.0, het pakket op zijn bestemming zal afleveren. Om vanuit het vestigingsnetwerk toegang te krijgen tot het kantoornetwerk, moet u een soortgelijke route registreren op de vestigingsrouter.

    Laten we een ingewikkelder schema nemen, waarbij de router en de VPN-server (client) verschillende netwerkknooppunten zijn. Er zijn hier twee opties: het vereiste pakket rechtstreeks naar de VPN-server (client) overbrengen of de gateway daartoe dwingen.

    Laten we eerst naar de eerste optie kijken.

    Om ervoor te zorgen dat pakketten voor het vestigingsnetwerk het VPN-netwerk bereiken, moeten we aan elke netwerkclient een route naar de VPN-server (client) toevoegen, anders worden ze naar de gateway gestuurd, die ze verwijdert:

    De VPN-server weet echter niets van het filiaalnetwerk, maar kan pakketten verzenden binnen het VPN-netwerk waar het filiaalnetwerkknooppunt waarin we geïnteresseerd zijn zich bevindt, dus we zullen het pakket daarheen sturen door een route op de VPN-server toe te voegen ( cliënt):

    192.168.44.0 masker 255.255.255.0 10.8.0.2

    Het nadeel van dit schema is de noodzaak om routes op elk netwerkknooppunt te registreren, wat niet altijd handig is. Het kan worden gebruikt als er weinig apparaten op het netwerk zijn of als selectieve toegang vereist is. In andere gevallen zou het passender zijn om de routeringstaak te delegeren aan de hoofdrouter van het netwerk.

    In dit geval weten de kantoornetwerkapparaten niets van het vestigingsnetwerk en sturen ze er pakketten voor via de nulroute, de netwerkgateway. De taak van de gateway is nu om dit pakket door te sturen naar de VPN-server (client). Dit kan eenvoudig worden gedaan door de gewenste route aan de routeringstabel toe te voegen:

    192.168.44.0 masker 255.255.255.0 192.168.31.101

    We hebben hierboven de taak van de VPN-server (client) genoemd; deze moet pakketten afleveren bij het VPN-netwerkknooppunt dat deel uitmaakt van het bestemmingsnetwerk of daar een route naartoe heeft.

    192.168.44.0 masker 255.255.255.0 10.8.0.2

    Om vanuit het vestigingsnetwerk toegang te krijgen tot het kantoornetwerk, moet u de juiste routes toevoegen aan de knooppunten van het vestigingsnetwerk. Dit kan op elke handige manier worden gedaan, niet noodzakelijkerwijs op dezelfde manier als op kantoor. Een eenvoudig voorbeeld uit de praktijk: alle computers in een filiaal moeten toegang hebben tot het kantoornetwerk, maar niet alle computers op kantoor moeten toegang hebben tot het filiaal. In dit geval voegen we in het filiaal een route toe naar de VPN-server (client) op de router, en op kantoor voegen we deze alleen toe aan de benodigde computers.

    Als u begrijpt hoe routering werkt en hoe beslissingen over het doorsturen van pakketten worden genomen, en u weet hoe u een routeringstabel moet lezen, zou het instellen van de juiste routes over het algemeen niet moeilijk moeten zijn. We hopen dat jij ze na het lezen van dit artikel ook niet hebt.

    • Tags:

    Schakel JavaScript in om de

    In dit artikel gaan we gedetailleerd in op het proces van het opzetten van een VPN-server in het Windows Server-besturingssysteem, en beantwoorden we ook de vragen: Wat is een VPN en hoe zet je een VPN-verbinding op?

    Wat is een VPN-verbinding?

    VPN (Virtual Private Network) is een virtueel particulier netwerk dat wordt gebruikt om een ​​veilige verbinding met het netwerk te bieden. Een technologie waarmee u een willekeurig aantal apparaten op een privénetwerk kunt aansluiten. In de regel via internet.

    Hoewel deze technologie niet nieuw is, heeft deze onlangs aan relevantie gewonnen vanwege de wens van gebruikers om de gegevensintegriteit of privacy in realtime te behouden.

    Deze verbindingsmethode wordt een VPN-tunnel genoemd. U kunt vanaf elke computer verbinding maken met een VPN, met elk besturingssysteem dat een VPN-verbinding ondersteunt. Of er wordt een VPN-client geïnstalleerd, die in staat is poorten via TCP/IP door te sturen naar een virtueel netwerk.

    Wat doet een VPN?

    VPN biedt externe verbinding met privénetwerken

    Ook kun je veilig meerdere netwerken en servers combineren

    Computers met IP-adressen van 192.168.0.10 tot 192.168.0.125 zijn verbonden via een netwerkgateway, die fungeert als een VPN-server. De regels voor verbindingen via het VPN-kanaal moeten eerst op de server en router worden geschreven.

    Met VPN kunt u veilig internet gebruiken wanneer u verbinding maakt, zelfs met open Wi-Fi-netwerken in openbare ruimtes (in winkelcentra, hotels of luchthavens)

    En omzeil ook de beperkingen op het weergeven van inhoud in bepaalde landen

    VPN voorkomt dat cyberdreigingen on-the-fly informatie onderscheppen door een aanvaller, onopgemerkt door de ontvanger.

    Hoe VPN werkt

    Laten we eens kijken hoe een VPN-verbinding in principe werkt.

    Laten we ons voorstellen dat transmissie de beweging is van een pakket langs een snelweg van punt A naar punt B; langs het pad van het pakket zijn er controlepunten voor het passeren van het datapakket. Bij gebruik van een VPN wordt deze route bovendien beschermd door een encryptiesysteem en gebruikersauthenticatie om het verkeer dat het datapakket bevat te beveiligen. Deze methode wordt “tunneling” genoemd (tunnelen - een tunnel gebruiken)

    In dit kanaal wordt alle communicatie op betrouwbare wijze beschermd en behandelen alle tussenliggende datatransmissieknooppunten een gecodeerd pakket. Alleen wanneer de data naar de ontvanger worden verzonden, worden de gegevens in het pakket gedecodeerd en komen ze beschikbaar voor de geautoriseerde ontvanger.

    VPN garandeert de privacy van uw informatie, samen met een uitgebreide antivirus.

    VPN ondersteunt certificaten als OpenVPN, L2TP, IPSec, PPTP, PPOE en het blijkt een volledig veilige en veilige methode voor gegevensoverdracht te zijn.

    Er wordt gebruik gemaakt van VPN-tunneling:

    1. Binnen het bedrijfsnetwerk.
    2. Consolidatie van externe kantoren, evenals kleine vestigingen.
    3. Toegang tot externe IT-bronnen.
    4. Voor het bouwen van videoconferenties.

    Een VPN opzetten, apparatuur selecteren en configureren.

    Voor bedrijfscommunicatie in grote organisaties of het combineren van kantoren die op afstand van elkaar liggen, wordt hardware gebruikt die in staat is een ononderbroken werking en veiligheid in het netwerk te handhaven.

    Om de VPN-service te gebruiken kan de rol van de netwerkgateway zijn: Linux/Windows-servers, een router en een netwerkgateway waarop de VPN is geïnstalleerd.

    De router moet zorgen voor een betrouwbare werking van het netwerk zonder bevriezing. Met de ingebouwde VPN-functie verander je de configuratie voor thuiswerken, in een organisatie of in een filiaal.

    Een VPN-server opzetten.

    Als u een VPN-server op basis van de Windows-familie wilt installeren en gebruiken, moet u begrijpen dat clientmachines Windows XP/7/8/10 deze functie niet ondersteunen; u hebt een virtualisatiesysteem of een fysieke server nodig Windows 2000/2003/2008/platform 2012/2016, maar we zullen deze functie bekijken op Windows Server 2008 R2.

    1. Eerst moet u de serverrol “Netwerkbeleid en toegangsservices” installeren. Open hiervoor de serverbeheerder en klik op de link “Rol toevoegen”:

    Selecteer de rol Network and Access Policy Services en klik op volgende:

    Selecteer "Routing and Remote Access Services" en klik op Volgende en installeren.

    2. Nadat u de rol hebt geïnstalleerd, moet u deze configureren. Ga naar Serverbeheer, vouw de tak "Rollen" uit, selecteer de rol "Netwerk- en toegangsbeleidsservices", vouw deze uit, klik met de rechtermuisknop op "Routing en externe toegang" en selecteer "Routering en externe toegang configureren en inschakelen"

    Na het starten van de service beschouwen wij de configuratie van de rol als voltooid. Nu moet u gebruikers toegang tot de server verlenen en de uitgifte van IP-adressen aan clients configureren.

    Poorten die VPN ondersteunt. Nadat de service is geactiveerd, worden ze geopend in de firewall.

    Voor PPTP: 1723 (TCP);

    Voor L2TP: 1701 (TCP)

    Voor SSTP: 443 (TCP).

    Het L2TP/IpSec-protocol verdient meer de voorkeur voor het bouwen van VPN-netwerken, vooral vanwege de beveiliging en hogere beschikbaarheid, vanwege het feit dat een enkele UDP-sessie wordt gebruikt voor gegevens- en controlekanalen. Vandaag zullen we kijken naar het opzetten van een L2TP/IpSec VPN-server op het Windows Server 2008 r2-platform.

    U kunt proberen de volgende protocollen te implementeren: PPTP, PPOE, SSTP, L2TP/L2TP/IpSec

    Laten we naar gaan Servermanager: Rollen - Routering en externe toegang, klik met de rechtermuisknop op deze rol en selecteer “ Eigenschappen", op het tabblad "Algemeen", vink het vakje IPv4-router aan, selecteer "lokaal netwerk en vraagoproep" en IPv4-server voor externe toegang:

    Nu moeten we de vooraf gedeelde sleutel invoeren. Ga naar het tabblad Veiligheid en in het veld Sta speciaal IPSec-beleid toe voor L2TP-verbindingen, vink het vakje aan en voer uw sleutel in. (Over de sleutel. Je kunt daar een willekeurige combinatie van letters en cijfers invoeren; het belangrijkste principe is dat hoe complexer de combinatie, hoe veiliger deze is, en onthoud of schrijf deze combinatie op; we hebben deze later nodig). Selecteer op het tabblad Authenticatieprovider de optie Windows-authenticatie.

    Nu moeten we configureren Verbindingsbeveiliging. Ga hiervoor naar het tabblad Veiligheid en kies Authenticatiemethoden, vink de vakjes aan EAP en gecodeerde authenticatie (Microsoft versie 2, MS-CHAP v2):

    Laten we vervolgens naar het tabblad gaan IPv4, daar zullen we aangeven welke interface VPN-verbindingen accepteert, en ook de pool van adressen configureren die zijn uitgegeven aan L2TP VPN-clients op het IPv4-tabblad (Stel de interface in op "Allow RAS to select an adapter"):

    Laten we nu naar het tabblad gaan dat verschijnt Poorten, klik met de rechtermuisknop en Eigenschappen, selecteer een verbinding L2TP en druk op Stem af, we zullen het in een nieuw venster weergeven Verbinding voor externe toegang (alleen inkomend) En On-demand verbinding (inkomend en uitgaand) en het maximale aantal poorten instelt, moet het aantal poorten overeenkomen met of groter zijn dan het verwachte aantal clients. Het is beter om ongebruikte protocollen uit te schakelen door beide selectievakjes in hun eigenschappen uit te schakelen.

    Lijst met porten die we nog hebben in de opgegeven hoeveelheid.

    Hiermee is de serverinstallatie voltooid. Het enige dat overblijft is dat gebruikers verbinding kunnen maken met de server. Ga naar Serverbeheerder Actieve map gebruikers – we vinden de gebruiker die we zoeken toegang toestaan druk eigenschappen, ga naar de bladwijzer inkomende oproepen



    GERELATEERDE ARTIKELEN