Mitandao ya VPN kulingana na teknolojia ya MPLS

  • Teknolojia za mtandao

    • Nani anahitaji VPN?

    Kufikia Machi 2017, sehemu ya nafasi za kazi na ufikiaji wa mbali zilizochapishwa kwenye hh.ru ilikuwa 1.5% au nafasi 13,339. Katika mwaka huo idadi yao iliongezeka maradufu. Mnamo 2014, idadi ya wafanyikazi wa mbali ilikadiriwa kuwa watu elfu 600 au 1% ya watu wanaofanya kazi kiuchumi (umri wa miaka 15-69). J"son & Partners Consulting inatabiri kwamba kufikia 2018, karibu 20% ya Warusi wote walioajiriwa watafanya kazi kwa mbali. Kwa mfano, mwishoni mwa 2017, Beeline inapanga kuhamisha kutoka 50% hadi 70% ya wafanyakazi wake kwa ushirikiano wa mbali.


    Kwa nini kampuni huhamisha wafanyikazi kwa kazi ya mbali:

    • Kupunguza gharama za kampuni kwa kukodisha na kutunza maeneo ya kazi.
    • Kutofungamana na eneo moja kunawezesha kukusanyika timu
      mradi, ambao haungeweza kukusanywa ndani ya jiji moja. Faida ya ziada ni uwezekano wa kutumia kazi ya bei nafuu.
    • Kukidhi mahitaji ya wafanyikazi kuhusiana na hali zao za familia.

    Tuligundua hitaji la VPN zaidi ya miaka 10 iliyopita. Kwetu sisi, kichocheo cha kutoa ufikiaji wa VPN kwa wafanyikazi ilikuwa uwezo wa kufikia haraka mtandao wa ushirika kutoka mahali popote ulimwenguni na wakati wowote wa mchana au usiku.

    Njia ya kuchagua suluhisho bora la VPN

    Kuna mengi kabisa ya ufumbuzi iwezekanavyo. Mara nyingi uamuzi unapaswa kufanywa kulingana na vifaa gani na programu tayari kutumika katika kampuni, na ni programu gani msimamizi wa mfumo ana ujuzi wa kusanidi. Nitaanza na kile tulichokataa mara moja, na kisha nitakuambia kile tulichojaribu na kile ambacho hatimaye tulitatua.

    VPN katika ruta

    Kuna mengi yanayoitwa "suluhisho za Kichina" kwenye soko. Takriban kipanga njia chochote kina utendakazi wa seva ya VPN iliyojengewa ndani. Kawaida hii ni utendakazi rahisi wa kuwasha/kuzima na kuongeza logi na nywila kwa watumiaji, wakati mwingine kuunganishwa na seva ya Radius. Kwa nini hatukuzingatia suluhisho kama hilo? Kwanza kabisa tunafikiria juu ya usalama wetu na mwendelezo wa huduma. Vipande sawa vya vifaa haviwezi kujivunia ulinzi wa kuaminika (sasisho za firmware kawaida hutolewa mara chache sana, au hazijatolewa kabisa), na uaminifu wa uendeshaji wao huacha kuhitajika.

    Darasa la Biashara ya VPN

    Ikiwa unatazama mraba wa Gartner, nafasi za kuongoza katika soko la VPN kwa muda mrefu zimechukuliwa na makampuni ambayo huzalisha vifaa vya mtandao. Juniper, Cisco, Check Point: zote zina suluhisho kamili ambazo ni pamoja na huduma ya VPN.



    Labda kuna pande mbili za suluhisho kama hizo. Jambo la kwanza na kuu ni gharama kubwa. Pili, kasi ya udhaifu wa kufunga huacha kuhitajika, na ikiwa hulipa ada za kila mwaka za usaidizi, basi usipaswi kutarajia sasisho za usalama. Sio muda mrefu uliopita, hatua ya tatu ilionekana - alamisho zilizojengwa kwenye programu ya wachuuzi wakubwa wa mtandao.

    Microsoft VPN

    Miaka 10 iliyopita tulikuwa kampuni ya Windows-first. Microsoft inatoa suluhisho la bure kwa wale ambao miundombinu yao yote imejengwa kwenye msingi wao. Katika hali rahisi, kuanzisha si vigumu hata kwa msimamizi wa mfumo wa novice. Kwa upande wetu, tulitaka kupata manufaa zaidi kutoka kwa VPN katika suala la usalama, kwa hivyo matumizi ya nenosiri yalitengwa. Kwa kawaida tulitaka kutumia vyeti badala ya manenosiri na kutumia bidhaa yetu ya Rutoken EDS kuhifadhi jozi muhimu. Ili kutekeleza mradi, tulihitaji: kidhibiti cha kikoa, seva ya radius, na miundombinu ya PKI iliyosakinishwa na kusanidiwa ipasavyo. Sitakaa juu ya usanidi kwa undani; kuna habari nyingi juu ya maswala haya kwenye Mtandao, na usanidi sahihi wa PKI kwa ujumla unaweza kuchukua nakala kadhaa. Itifaki ya kwanza tuliyotumia nyumbani ilikuwa itifaki ya PPTP. Kwa muda mrefu, chaguo hili la VPN lilitufaa, lakini mwishowe tulilazimika kuiacha kwa sababu mbili: PPTP haikufanya kazi kila mahali na tulianza kutumia sio Windows tu, bali pia mifumo mingine ya uendeshaji. Kwa hiyo, tulianza kutafuta njia mbadala. Tafadhali kumbuka kuwa usaidizi wa PPTP ulikomeshwa hivi majuzi na Apple. Kuanza, tuliamua kuona ni itifaki zingine ambazo Microsoft inapaswa kutoa. STP/L2TP. SSTP ilikuwa sawa nasi, isipokuwa kwamba ilifanya kazi kwenye Windows pekee. L2TP haikuwa na kikwazo hiki, lakini kuiweka na kuidumisha ikifanya kazi ilionekana kuwa ghali sana kwetu na tuliamua kujaribu njia mbadala. Nilitaka suluhisho rahisi kwa watumiaji na wasimamizi.

    OpenVPN

    Sisi katika Aktiv tunapenda kwa dhati chanzo wazi. Wakati wa kuchagua mbadala wa Microsoft VPN, hatukuweza kupuuza suluhisho la OpenVPN. Faida kuu kwetu ilikuwa kwamba suluhisho hufanya kazi nje ya boksi kwenye majukwaa yote. Kuinua seva katika kesi rahisi ni rahisi sana. Sasa, kwa kutumia docker na, kwa mfano, picha iliyopangwa tayari, hii inaweza kufanyika kwa dakika chache. Lakini tulitaka zaidi. Tulitaka kuongeza ushirikiano na Microsoft CA kwenye mradi ili kutumia vyeti vilivyotolewa awali. Tulitaka kuongeza usaidizi kwa ishara tunazotumia. Jinsi ya kuanzisha mchanganyiko wa OpenVPN na ishara imeelezwa, kwa mfano, katika hii. Ilikuwa ngumu zaidi kusanidi ujumuishaji wa Microsoft CA na OpenVPN, lakini kwa ujumla pia iliwezekana kabisa. Tulitumia suluhisho lililosababishwa kwa karibu miaka mitatu, lakini wakati huu wote tuliendelea kutafuta chaguo rahisi zaidi. Kipengele kikuu tulichopata kwa kubadili OpenVPN ilikuwa ufikiaji kutoka kwa OS yoyote. Lakini malalamiko mawili zaidi yalibaki: wafanyikazi wa kampuni walilazimika kupitia miduara 7 ya kuzimu ya Microsoft CA ili kutoa cheti, na wasimamizi bado walilazimika kudumisha miundombinu ngumu ya VPN.

    Rutoken VPN

    Tuna ujuzi wa jinsi ya kutumia ishara kwenye mfumo wowote wa uendeshaji, tuna ufahamu wa jinsi ya kuandaa vizuri miundombinu ya PKI, tunajua jinsi ya kusanidi matoleo tofauti ya OpenVPN, na tuna teknolojia zinazotuwezesha kusimamia haya yote katika njia ya kirafiki kutoka kwa dirisha la kivinjari. Hivi ndivyo wazo la bidhaa mpya liliibuka.



    Kuanzisha Rutoken VPN

    Kwa kweli tulijaribu kufanya usanidi kuwa rahisi na moja kwa moja. Usanidi mzima huchukua dakika chache tu na hutekelezwa kama mchawi wa usanidi wa awali. Hatua ya kwanza ni kusanidi mipangilio ya mtandao ya kifaa; nadhani maoni hapa yatakuwa ya juu sana.




    Katika hatua ya pili, unahitaji kuingiza jina la kampuni na kusubiri dakika chache wakati kifaa kinasanidi mamlaka ya cheti kilichojengwa.







    Hatua ya tatu ni kusanidi huduma ya VPN yenyewe. Taja IP ya nje ambayo uunganisho utatokea. Chagua aina ya usimbaji fiche na anwani ya mtandao.




    Hatua ya nne ya usanidi ni kuunda watumiaji wa ndani, au kuwaongeza kutoka AD




    Akaunti ya kibinafsi ya mfanyakazi




    Kulingana na mfumo wa uendeshaji na kivinjari cha mfanyakazi, utahitaji kufunga Plugin na ugani wa kivinjari ambayo ni muhimu kufanya kazi na ishara.




    Baada ya kusakinisha programu-jalizi/kiendelezi, tunachopaswa kufanya ni kutoa cheti cha Rutoken EDS yetu.







    Na usakinishe mteja kwa mfumo wa uendeshaji unaotaka:



    Yote hufanyaje kazi?

    Kidogo kuhusu vifaa. Hapo awali, tulifikiria kwa muda mrefu juu ya "msingi" gani wa kutumia kwa suluhisho letu, kwani ilikuwa muhimu kudumisha usawa kati ya gharama, urahisi, na utendaji. Baada ya kutafiti kile kinachotolewa kwenye soko, tulitatua chaguzi mbili za utekelezaji na usambazaji zaidi wa suluhisho:

    • x86 (Enterprise) ni suluhisho la programu ambalo hutolewa kwa mtumiaji wa mwisho kwa njia ya picha ya mashine pepe ambayo inaweza kutumwa ndani ya miundombinu yake ya TEHAMA.
    • Raspberry Pi tayari ni kompyuta ndogo inayojulikana ambayo ina utendaji mzuri kwa gharama isiyo ya juu sana na ambayo inaweza kutumika kama seva ya VPN ndani ya dakika 10 baada ya kuondolewa kwenye boksi.

    Kwa hiyo, sasa hebu tuangalie jinsi ufumbuzi wetu unavyofanya kazi. Kwanza kabisa, ningependa kuwakumbusha kwamba tumetekeleza uthibitishaji wa mambo mawili. Ishara za uzalishaji wetu wenyewe, pamoja na programu ya kufanya kazi nao, hutumiwa kama wabebaji wa funguo za kibinafsi za mteja na cheti.


    Lakini mwanzoni, bado tunahitaji kusanidi huduma zinazohitajika ili bidhaa ifanye kazi kwa usahihi. Huduma kwa sasa zimesanidiwa na wataalamu wa kampuni yetu katika hali ya nusu otomatiki. Hii ina maana kwamba mchakato wa kupeleka programu na mipangilio ya awali ni ya kiotomatiki, lakini uanzishaji wa mchakato huu bado unabaki kuwa fursa ya kibinadamu. Wakati wa usanidi wa awali, vifurushi vya mfumo, python, django, OpenVPN, msimamizi, OpenSSL, nk.


    Nini kinafuata? Ifuatayo, unahitaji kusanidi miundombinu yote, ambayo kwa kweli inawajibika kwa usalama kwa ujumla. Yaani: CA (mamlaka ya cheti), PKI (miundombinu muhimu ya umma), andika funguo na vyeti muhimu.


    Uundaji wa PKI na CA, pamoja na uundaji wa faili ya usanidi wa seva ya OpenVPN, kizazi muhimu na utoaji wa cheti hufanyika baada ya bidhaa kuhamishiwa kwa mteja. Lakini hii haina maana kwamba kwa hili unahitaji kuwa na ujuzi fulani maalum na upatikanaji wa moja kwa moja kwenye mfumo wa uendeshaji. Kila kitu kinatekelezwa katika mantiki ya biashara ya backend ya mfumo wa utawala, upatikanaji ambao hutolewa kupitia interface ya Mtandao. Mteja anahitajika tu kuingiza seti ya chini ya sifa (zilizoelezwa hapo juu), baada ya hapo mchakato wa kuanzisha PKI na uundaji wa CA huanza. Hakuna hatua fulani katika kuelezea wito maalum kwa amri za mfumo, kwa kuwa kila kitu kimeelezewa kwa muda mrefu na kutafunwa mbele yetu. Jambo kuu tulilofanya ni kugeuza mchakato huu kiotomatiki, kuondoa hitaji la mtumiaji kuwa na maarifa maalum katika utawala.


    Ili kufanya kazi na funguo na vyeti, tuliamua kutoanzisha tena gurudumu (ingawa tulitaka sana na bado tunacheza na wazo la kuirejesha kulingana na mipango yetu ya ukuzaji wa bidhaa za siku zijazo) na kutumia rahisi-rsa.


    Mchakato mrefu zaidi wakati wa kusanidi miundombinu ni kutengeneza faili ya Diffie-Hellman. Tulijaribu vigezo kwa muda mrefu na tukafikia usawa wa "ubora na utendaji". Ingawa kulikuwa na mawazo ya kuondoa hatua hii kabisa, toa faili kama hizo mapema kwa kutumia nguvu ya seva yetu na "usambaze" tu wakati wa uanzishaji wa kwanza. Zaidi ya hayo, data iliyo katika faili hii si ya faragha. Lakini kwa sasa tuliacha mawazo haya kwa "utafiti" zaidi.


    Ifuatayo, ni muhimu kumpa mtumiaji wa mwisho utaratibu wa kuunda kwa kujitegemea jozi muhimu, kuzalisha maombi ya kutoa cheti kwa CA, na kwa kweli kupokea cheti hiki na rekodi kwenye ishara. Pia unahitaji mteja anayekuruhusu kuanzisha muunganisho wa VPN na uthibitishaji wa mapema kwa kutumia tokeni.


    Tulitatua tatizo la kwanza kutokana na programu-jalizi yetu, ambayo hutekeleza utendakazi wa sahihi ya kielektroniki, usimbaji fiche na uthibitishaji wa vipengele viwili kwa huduma za Wavuti na SaaS. Ili kutoa cheti na kuandika kwa ishara, mtumiaji lazima asakinishe programu-jalizi hii, fuata kiungo ili kufikia akaunti ya kibinafsi ya huduma ya RutokenVPN, baada ya kuunganisha ishara kwenye kompyuta (unaweza kusoma zaidi kuhusu programu-jalizi kwenye kompyuta yako). rasilimali zetu)


    Wakati wa kuanzisha mchakato wa kutoa cheti, ombi linafanywa kwa ishara ya kuzalisha jozi muhimu, pamoja na ombi la kutoa cheti kwa CA. Ufunguo wa kibinafsi umeandikwa kwa ishara, na ombi la kutoa cheti hutumwa kwa CA, ambayo kwa upande wake hutoa na kuirudisha kwa jibu. Baada ya hapo cheti pia kimeandikwa kwa ishara.


    Karibu kila kitu kiko tayari kuanzisha muunganisho wa VPN. Kinachokosekana ni mteja ambaye "anajua" jinsi ya kufanya kazi na seva na ishara zetu.




    Mteja wetu anatekelezwa katika Electron. Kwa wale ambao hawajui ni aina gani ya mnyama huyu, basi kuiweka kwa ufupi sana - uwezo wa kutekeleza programu ya desktop kwa kutumia js, css na html. Bila kuingia katika maelezo, mteja ni aina ya "wrapper" juu ya mteja wa OpenVPN, kuruhusu kuitwa na vigezo muhimu. Kwa nini iko hivi? Kwa kweli, ilikuwa rahisi zaidi kwetu, ingawa suluhisho lililochaguliwa linaweka vikwazo fulani.


    Kwa kuwa tunatumia tokeni kama mtoa huduma wa taarifa muhimu zinazohitajika kwa ajili ya uthibitishaji wakati wa kuanzisha kipindi cha VPN, tunahitaji kusanidi mteja wa OpenVPN ili kufanya kazi nayo. Mtoa huduma wa PKCS#11 ni maktaba iliyojitayarisha ya kufanya kazi na tokeni zetu, njia ambayo imebainishwa katika mipangilio ya mteja wa OpenVPN. Unaweza kusoma zaidi juu yake.


    Ombi linapofanywa ili kuanzisha muunganisho wa VPN, msimbo wa PIN unaombwa, ikiwa umeingizwa kwa usahihi, cheti kinarejeshwa ili kuthibitisha mteja, kushikana mkono kunafanywa kati ya mteja na seva, na uhusiano wa VPN umeanzishwa. Watu wenye ujuzi wanaweza kusema kuwa sio kila kitu ni rahisi sana, lakini madhumuni ya maelezo haya sio kuwaambia ugumu wote wa OpenVPN, lakini tu kuonyesha pointi kuu za utekelezaji wetu.


    Kidogo kuhusu mipango yetu. Jambo kuu ambalo tunafanya kazi sasa ni utekelezaji wa usimbuaji wa GOST. Tayari tumeshughulikia njia ndefu ya utafiti, ambayo imeturuhusu kupata karibu iwezekanavyo kwa utekelezaji wake. Katika siku za usoni tutaweza kukidhi maslahi ya wateja watarajiwa katika utendakazi huu.

    Lebo:

    • vpn
    • openvpn
    • raspberry pi
    • roottoken
    • openssl
    Ongeza vitambulisho

    Kiwango cha Republican kwa mahitaji ya biashara ya ukubwa wa kati. Usitafute hapa mwongozo wa teknolojia za VPN - hakuna moja hapa, kuna miongozo maalum kwa hiyo, inayopatikana katika fomu ya kielektroniki na iliyochapishwa. Nitajaribu tu kutoa wazo, kwa kutumia mfano wa vitendo, ni aina gani ya "mnyama" VPN hii ni, na kuonyesha vipengele vya kujenga miundombinu hiyo katika hali zetu, wakati huo huo muhtasari wa uzoefu wangu katika uwanja huu. Kila nilichosema hakidai kuwa ukweli mkuu, na kinaonyesha maoni yangu tu.

    Kwa nini hii ni muhimu?

    Kwa hivyo, masharti ya awali ni kama ifuatavyo: shirika lako lina matawi kadhaa yaliyo umbali mkubwa kutoka kwa kila mmoja ndani ya jiji moja au hata katika miji tofauti ya nchi. Umepewa, kwa mtazamo wa kwanza, kazi ya ajabu kabisa: kuunganisha mitandao ya tawi ya ndani katika mtandao mmoja wa kimataifa; ili kila kompyuta iweze kufikia kompyuta nyingine kwenye mtandao huu, bila kujali iko wapi - katika chumba kinachofuata au kilomita elfu mbali. Wakati mwingine hali ya kazi inaonekana tofauti: kutoa upatikanaji wa rasilimali fulani ya tawi moja kutoka kwa kompyuta kwenye mtandao wa matawi mengine (lakini kiini cha jambo hilo haibadilika).

    Na jinsi ya kufanya hili?

    Hii inafanywa kwa kutumia teknolojia ya VPN. Kwa ufupi, mtandao wa kimantiki "unatupwa" juu ya mitandao yako binafsi, vipengele vya mtu binafsi (yaani, matawi) ambavyo vinaweza kuunganishwa kwa kila mmoja kwa njia mbalimbali: kupitia chaneli za umma (Mtandao), kupitia mistari iliyokodishwa. mtandao wa wireless. Matokeo yake ni mtandao wa homogeneous unaojumuisha vipengele tofauti.

    Ni wazi kuwa chaguo la kuwekewa chaneli mwenyewe haliwezi kuzingatiwa kwa sababu ya masharti yaliyowekwa; hakuna mtu atakayekuruhusu kuendesha kebo katika jiji lote, na hii ni kazi isiyo na shukrani. Kwa hiyo, hakuna kitu kingine cha kufanya lakini wasiliana na mtoa huduma wa mawasiliano ya simu, au, kwa urahisi zaidi, mtoa huduma. Kuchagua mtoaji ni mada tofauti kwa ajili ya majadiliano ambayo ni nje ya upeo wa makala haya. Mtu anapaswa kutambua tu kwamba kila kitu kitategemea mambo kadhaa, ambayo muhimu zaidi ni kiasi cha huduma zinazotolewa na ubora wa mawasiliano. Bei za uhamisho wa data hazitakuwa na umuhimu mdogo, na hapa unahitaji kuchagua msingi kati ya bei na ubora. Kwa kuwa kila mtu hujiwekea baa hii kwa kibinafsi (kwa wengine, saa nzima bila mawasiliano sio shida, lakini kwa wengine, dakika tano za kupumzika zitaonekana kuwa janga), haiwezekani kushauri chochote hapa.

    Katika hatua hii, unahitaji kukaa chini na kuzingatia kwa uangalifu ni matawi gani ya shirika lako yatajumuishwa kwenye mtandao. Ikiwa kuna zaidi ya mbili au tatu, kwa uwazi, unaweza hata kuchora mchoro na ishara inayoonyesha anwani na mawasiliano ya kila tawi. Ikiwa unahitaji kuandaa mtandao uliosambazwa ndani ya jiji moja, kwa kawaida una chaguo la chaguo kadhaa za uunganisho kutoka kwa watoa huduma tofauti. Katika kesi yangu, ilikuwa ni lazima kuchanganya mitandao kadhaa iko katika miji tofauti katika kanda; hapa, kama wanasema, hakuna chaguzi - lazima ugeuke kwa kampuni ya ukiritimba ya Kazakhtelecom, muuzaji pekee wa kimataifa wa aina hii ya mawasiliano katika Jamhuri ya Kazakhstan. Baadaye katika kifungu nitazingatia kuunganishwa haswa kupitia Kazakhtelecom kama njia ya ulimwengu wote; kurekebisha mapendekezo kwa mtoaji maalum haitakuwa ngumu.

    Ingawa mada hiyo imedukuliwa, hata hivyo, wengi hupata matatizo mara nyingi - iwe msimamizi wa mfumo wa novice au mtumiaji wa hali ya juu ambaye alilazimishwa na wakubwa wake kutekeleza majukumu ya mtaalamu wa Enikey. Inashangaza, lakini licha ya habari nyingi juu ya VPN, kupata chaguo wazi ni shida halisi. Isitoshe, mtu hata hupata maoni kwamba mtu aliiandika, huku wengine wakinakili maandishi hayo kwa ujasiri. Kama matokeo, matokeo ya utaftaji yamejaa habari nyingi zisizo za lazima, ambayo ni nadra kutolewa kitu chenye thamani. Kwa hiyo, niliamua kutafuna nuances yote kwa njia yangu mwenyewe (labda itakuwa na manufaa kwa mtu).

    Kwa hivyo VPN ni nini? VPN (MtandaoniPrivatMtandao- mtandao wa kibinafsi wa kawaida) ni jina la jumla la teknolojia zinazoruhusu muunganisho wa mtandao mmoja au zaidi (mtandao wa kimantiki) kutolewa kwa mtandao mwingine (pamoja na Mtandao). Kulingana na itifaki na madhumuni yaliyotumiwa, VPN inaweza kutoa aina tatu za miunganisho: nodi-nodi, nodi-mtandao Na mtandao-mtandao. Kama wanasema, hakuna maoni.

    Mpango wa kawaida wa VPN

    VPN hukuruhusu kuchanganya kwa urahisi mwenyeji wa mbali na mtandao wa ndani wa kampuni au mwenyeji mwingine, na pia kuchanganya mitandao kuwa moja. Faida ni dhahiri kabisa - tunaweza kufikia mtandao wa biashara kwa urahisi kutoka kwa mteja wa VPN. Kwa kuongeza, VPN pia hulinda data yako kupitia usimbaji fiche.

    Sijifanya kukuelezea kanuni zote za uendeshaji wa VPN, kwa kuwa kuna maandiko mengi maalumu, na kuwa waaminifu, sijui mambo mengi mwenyewe. Walakini, ikiwa kazi yako ni "Fanya hivyo!", unahitaji haraka kushiriki katika mada.

    Wacha tuangalie shida kutoka kwa mazoezi yangu ya kibinafsi, nilipohitaji kuunganisha ofisi mbili kupitia VPN - ofisi kuu na ofisi ya tawi. Hali ilikuwa ngumu zaidi na ukweli kwamba kulikuwa na seva ya video kwenye ofisi kuu, ambayo ilipaswa kupokea video kutoka kwa kamera ya IP ya tawi. Hapa kuna jukumu kwa ufupi.

    Kuna suluhisho nyingi. Yote inategemea kile ulicho nacho mkononi. Kwa ujumla, VPN ni rahisi kujenga kwa kutumia ufumbuzi wa vifaa kulingana na ruta mbalimbali za Zyxel. Kwa hakika, inaweza pia kutokea kwamba Mtandao unasambazwa kwa ofisi zote mbili na mtoa huduma mmoja na basi hutakuwa na matatizo yoyote (unahitaji tu kuwasiliana na mtoa huduma). Ikiwa kampuni ni tajiri, basi inaweza kumudu CISCO. Lakini kwa kawaida kila kitu kinatatuliwa kwa kutumia programu.

    Na hapa chaguo ni nzuri - Open VPN, WinRoute (kumbuka kuwa inalipwa), zana za mfumo wa uendeshaji, programu kama Hamanchi (kuwa waaminifu, katika hali nadra inaweza kusaidia, lakini sipendekezi kuitegemea - toleo la bure lina kikomo cha majeshi 5 na hasara nyingine muhimu ni kwamba muunganisho wako wote unategemea mwenyeji wa Hamanchi, ambayo sio nzuri kila wakati). Katika kesi yangu, itakuwa bora kutumia OpenVPN, programu ya bure ambayo inaweza kuunda muunganisho wa kuaminika wa VPN kwa urahisi. Lakini, kama kawaida, tutafuata njia ya upinzani mdogo.

    Katika tawi langu, Mtandao unasambazwa na lango kulingana na mteja wa Windows. Nakubali, sio suluhisho bora, lakini ni ya kutosha kwa kompyuta tatu za mteja. Ninahitaji kutengeneza seva ya VPN kutoka kwa lango hili. Kwa kuwa unasoma nakala hii, labda una uhakika kuwa wewe ni mpya kwa VPN. Kwa hiyo, kwa ajili yenu ninatoa mfano rahisi zaidi, ambao, kwa kanuni, unanifaa.

    Familia ya Windows NT tayari ina uwezo mdogo wa seva uliojengwa ndani yake. Kuweka seva ya VPN kwenye moja ya mashine sio ngumu. Kama seva, nitatoa mifano ya skrini za Windows 7, lakini kanuni za jumla zitakuwa sawa na XP ya zamani.

    Tafadhali kumbuka kuwa ili kuunganisha mitandao miwili, unahitaji walikuwa na anuwai tofauti! Kwa mfano, katika ofisi kuu safu inaweza kuwa 192.168.0.x, na kwenye tawi - 192.168.20.x (au aina yoyote ya IP ya kijivu). Hii ni muhimu sana, hivyo kuwa makini. Sasa, unaweza kuanza kusanidi.

    Nenda kwa seva ya VPN kwenye Jopo la Kudhibiti -> Mtandao na Kituo cha Kushiriki -> badilisha mipangilio ya adapta.

    Sasa bonyeza kitufe cha Alt kuleta menyu. Huko, katika kipengee cha Faili, unahitaji kuchagua "Muunganisho mpya unaoingia".

    Angalia visanduku kwa watumiaji wanaoweza kuingia kupitia VPN. Ninapendekeza sana Kuongeza mtumiaji mpya, kumpa jina la kirafiki na kugawa nenosiri.

    Baada ya kufanya hivyo, unahitaji kuchagua katika dirisha ijayo jinsi watumiaji wataunganisha. Angalia kisanduku "Kupitia Mtandao". Sasa unahitaji tu kugawa anuwai ya anwani za mtandao pepe. Aidha, unaweza kuchagua kompyuta ngapi zinaweza kushiriki katika kubadilishana data. Katika dirisha linalofuata, chagua itifaki ya TCP/IP toleo la 4, bofya "Sifa":

    Utaona nilichonacho kwenye skrini. Ikiwa unataka mteja kupata ufikiaji wa mtandao wa ndani ambamo seva iko, chagua kisanduku cha kuteua "Ruhusu wapigaji kufikia mtandao wa karibu". Katika sehemu ya "Kugawia anwani za IP", ninapendekeza kutaja anwani kwa mikono kulingana na kanuni niliyoelezea hapo juu. Katika mfano wangu, nilitoa anwani ishirini na tano tu, ingawa ningeweza kutaja mbili au 255 tu.

    Baada ya hayo, bonyeza kitufe cha "Ruhusu ufikiaji".

    Mfumo utaunda seva ya VPN kiotomatiki, ambayo itasubiri upweke kwa mtu kujiunga nayo.

    Sasa kilichobaki kufanya ni kusanidi mteja wa VPN. Kwenye mashine ya mteja, pia nenda kwenye Kituo cha Mtandao na Kushiriki na uchague Kuweka muunganisho mpya au mtandao. Sasa utahitaji kuchagua kipengee "Kuunganisha mahali pa kazi"

    Bonyeza "Tumia muunganisho wangu wa Mtandao" na sasa utatupwa nje ya dirisha ambapo utahitaji kuingiza anwani ya lango letu la Mtandao kwenye tawi. Kwangu mimi inaonekana kama 95.2.x.x

    Sasa unaweza kupiga uunganisho, ingiza jina la mtumiaji na nenosiri uliloingiza kwenye seva na ujaribu kuunganisha. Ikiwa kila kitu kiko sawa, utaunganishwa. Kwa upande wangu, tayari ninaweza kubandika kompyuta yoyote ya tawi na kuomba kamera. Sasa mono wake ni rahisi kuunganisha kwenye seva ya video. Unaweza kuwa na kitu tofauti.

    Vinginevyo, wakati wa kuunganisha, hitilafu ya 800 inaweza kutokea, ikionyesha kuwa kuna kitu kibaya na uunganisho. Hili ni suala la ngome ya mteja au seva. Siwezi kukuambia haswa - kila kitu kimedhamiriwa kwa majaribio.

    Hivi ndivyo tulivyounda VPN kati ya ofisi mbili. Wachezaji wanaweza kuunganishwa kwa njia sawa. Walakini, usisahau kuwa hii bado haitakuwa seva kamili na ni bora kutumia zana za hali ya juu zaidi, ambazo nitazungumza juu yake katika sehemu zifuatazo.

    Hasa, katika Sehemu ya 2 tutaangalia kusanidi OPenVPN kwa Windows na Linux.

    Kupanga vituo kati ya mitandao ya mbali kupitia muunganisho wa VPN ni mojawapo ya mada maarufu kwenye tovuti yetu. Wakati huo huo, kama majibu ya msomaji yanavyoonyesha, shida kubwa zaidi husababishwa na usanidi sahihi wa uelekezaji, ingawa tulizingatia haswa hatua hii. Baada ya kuchambua maswali yanayoulizwa mara kwa mara, tuliamua kutoa nakala tofauti kwa mada ya uelekezaji. Una maswali? Tunatarajia kwamba baada ya kusoma nyenzo hii kutakuwa na wachache wao.

    Kwanza kabisa, hebu tujue ni nini uelekezaji. Uelekezaji ni mchakato wa kuamua njia ya habari kufuata katika mitandao ya mawasiliano. Wacha tuwe waaminifu, mada hii ni ya kina sana na inahitaji maarifa madhubuti ya kinadharia, kwa hivyo, ndani ya mfumo wa kifungu hiki, tutarahisisha picha kwa makusudi na kugusa nadharia haswa kwa kiwango ambacho kitatosha kuelewa michakato. kinachofanyika na kupata matokeo ya vitendo.

    Wacha tuchukue kituo cha kazi cha kiholela kilichounganishwa kwenye mtandao, inaamuaje wapi kutuma hii au pakiti hiyo? Kwa kusudi hili ni lengo meza ya uelekezaji, ambayo ina orodha ya sheria kwa maeneo yote yanayowezekana. Kulingana na jedwali hili, seva pangishi (au kipanga njia) huamua kiolesura kipi na anwani lengwa ya kutuma pakiti iliyoelekezwa kwa mpokeaji mahususi.

    Uchapishaji wa njia

    Kama matokeo, tutaona meza ifuatayo:

    Kila kitu ni rahisi sana, tunavutiwa na sehemu hiyo Jedwali la njia ya IPv4, safu wima mbili za kwanza zina anwani lengwa na barakoa, ikifuatiwa na lango - nodi ambayo pakiti zinapaswa kutumwa kwa lengwa, kiolesura na kipimo kilichobainishwa. Ikiwa kwenye safu Lango imeonyeshwa Kwenye kiungo, hii inamaanisha kuwa anwani lengwa iko kwenye mtandao sawa na seva pangishi na inaweza kufikiwa bila kuelekeza. Vipimo huamua kipaumbele cha sheria za uelekezaji; ikiwa anwani lengwa ina sheria kadhaa kwenye jedwali la njia, basi ile iliyo na kipimo cha chini hutumiwa.

    Kituo chetu cha kazi ni cha mtandao 192.168.31.0 na, kwa mujibu wa meza ya njia, maombi yote kwa mtandao huu yanatumwa kwa interface 192.168.31.175, ambayo inafanana na anwani ya mtandao ya kituo hiki. Ikiwa anwani lengwa iko kwenye mtandao sawa na anwani ya chanzo, basi taarifa huwasilishwa bila kutumia njia ya IP (safu ya mtandao ya L3 ya muundo wa OSI), kwenye safu ya kiungo cha data (L2). Vinginevyo, pakiti hutumwa kwa seva pangishi iliyobainishwa katika kanuni inayolingana ya jedwali la uelekezaji wa mtandao.

    Ikiwa hakuna sheria hiyo, basi pakiti inatumwa kupitia njia sifuri, ambayo ina anwani ya lango chaguo-msingi la mtandao. Kwa upande wetu, hii ni anwani ya router 192.168.31.100. Njia hii inaitwa sifuri kwa sababu anwani lengwa lake ni 0.0.0.0. Hatua hii ni muhimu sana kwa uelewa zaidi wa mchakato wa uelekezaji: pakiti zote si mali ya mtandao huu na kutokuwa na njia tofauti, Kila mara zinatumwa lango kuu mitandao.

    Router itafanya nini inapopokea pakiti kama hiyo? Kwanza kabisa, hebu tuone jinsi router inatofautiana na kituo cha kawaida cha mtandao. Kwa maneno yaliyorahisishwa sana, kipanga njia ni kifaa cha mtandao ambacho kimeundwa kusambaza pakiti kati ya miingiliano ya mtandao. Kwenye Windows hii inafanikiwa kwa kuwezesha huduma Njia na ufikiaji wa mbali, katika Linux kwa kuweka chaguo ip_mbele.

    Uamuzi wa kusambaza pakiti katika kesi hii pia hufanywa kulingana na meza ya uelekezaji. Hebu tuone ni nini meza hii ina kwenye router ya kawaida, kwa mfano, moja tuliyoelezea katika makala :. Kwenye mifumo ya Linux, unaweza kupata jedwali la njia na amri:

    Njia -n

    Kama unaweza kuona, kipanga njia chetu kina njia za mitandao inayojulikana 192.168.31.0 na 192.168.3.0, pamoja na njia isiyofaa ya lango la juu la mto 192.168.3.1.

    Anwani 0.0.0.0 katika safu wima ya Gateway inaonyesha kuwa anwani lengwa inaweza kufikiwa bila kuelekeza. Kwa hivyo, pakiti zote zilizo na anwani za marudio katika mitandao 192.168.31.0 na 192.168.3.0 zitatumwa kwa interface inayofanana, na pakiti nyingine zote zitatumwa kwa njia isiyofaa.

    Jambo linalofuata muhimu ni anwani za mitandao ya kibinafsi (ya faragha), pia ni "kijivu"; hizi ni pamoja na safu tatu:

    • 10.0.0.0/8
    • 172.16.0.0/12
    • 192.168.0.0/16

    Anwani hizi zinaweza kutumiwa kwa uhuru na mtu yeyote na kwa hivyo wao haijapitishwa. Ina maana gani? Pakiti yoyote iliyo na anwani lengwa ya mojawapo ya mitandao hii itatupwa na kipanga njia isipokuwa iwe na ingizo tofauti katika jedwali la kuelekeza. Kuweka tu, njia ya msingi (null) kwa pakiti hizo haitumiwi na router. Inapaswa pia kueleweka kwamba sheria hii inatumika tu wakati wa kusambaza, i.e. Wakati wa kusambaza pakiti kati ya violesura, pakiti inayotoka yenye anwani ya "kijivu" itatumwa kwa njia isiyofaa, hata kama nodi hii yenyewe ni kipanga njia.

    Kwa mfano, ikiwa router yetu inapokea pakiti inayoingia na marudio, sema, 10.8.0.1, itatupwa, kwani mtandao kama huo haujulikani kwake na anwani katika safu hii hazijapitishwa. Lakini ikiwa tunapata node sawa moja kwa moja kutoka kwa router, pakiti itatumwa kando ya njia ya sifuri hadi lango 192.168.3.1 na itatupwa nayo.

    Ni wakati wa kuangalia jinsi yote inavyofanya kazi. Hebu jaribu kutoka kwa node yetu 192.168.31.175 hadi ping node 192.168.3.106, ambayo iko kwenye mtandao nyuma ya router. Kama unavyoona, tulifaulu, ingawa jedwali la njia la mwenyeji halina taarifa yoyote kuhusu mtandao wa 192.168.3.0.

    Hili liliwezekanaje? Kwa kuwa nodi ya chanzo haijui chochote kuhusu mtandao lengwa, itatuma pakiti kwa anwani ya lango. Lango litaangalia jedwali la njia yake, pata ingizo la mtandao 192.168.3.0 hapo na kutuma pakiti kwenye kiolesura kinachofaa. Unaweza kuthibitisha hili kwa urahisi kwa kuendesha amri ya kufuatilia, ambayo itaonyesha njia nzima ya pakiti yetu:

    Tracert 192.168.3.106

    Sasa hebu jaribu ping node 192.168.31.175 kutoka node 192.168.3.106, i.e. katika mwelekeo kinyume. Haikufaa kwetu. Kwa nini?

    Wacha tuangalie kwa karibu meza ya uelekezaji. Haina maingizo yoyote ya mtandao 192.168.31.0, kwa hivyo pakiti itatumwa kwa kipanga njia 192.168.3.1, kama lango kuu la mtandao, ambalo litatupa pakiti hii, kwani haina data yoyote kuhusu mtandao wa marudio. . Nifanye nini? Kwa wazi, pakiti inapaswa kutumwa kwa node ambayo ina taarifa muhimu na inaweza kusambaza pakiti kwa marudio yake, kwa upande wetu hii ni router 192.168.31.100, ambayo katika mtandao huu ina anwani 192.168.3.108.

    Ili pakiti za mtandao wa 192.168.31.0 kutumwa mahsusi kwake, tunahitaji kuunda njia tofauti.

    192.168.31.0 barakoa 255.255.255.0 192.168.3.108

    Katika siku zijazo tutashikamana na nukuu hii ya njia, inamaanisha nini? Ni rahisi, pakiti za mtandao 192.168.31.0 na mask 255.255.255.0 zinapaswa kutumwa kwa node 192.168.3.108. Kwenye Windows, unaweza kuongeza njia kwa amri:

    Ongeza njia 192.168.31.0 barakoa 255.255.255.0 192.168.3.108

    Njia ya kuongeza -wavu 192.168.31.0 barakoa 255.255.255.0 gw 192.168.3.108

    Tujaribu.

    Wacha tuchambue matokeo, njia imeonekana kwenye jedwali la uelekezaji na pakiti zote za mtandao 192.168.31.0 sasa zimetumwa kwa kipanga njia cha mtandao huu, kama inavyoonekana kutoka kwa jibu la amri ya ping, lakini usifikie marudio yao. Kuna nini? Ni wakati wa kukumbuka kuwa moja ya kazi kuu za router sio tu kuelekeza, lakini pia kazi ya firewall, ambayo inakataza wazi ufikiaji kutoka kwa mtandao wa nje hadi ndani. Ikiwa tunabadilisha sheria hii kwa muda na inaruhusiwa, basi kila kitu kitafanya kazi.

    Njia zilizoongezwa na amri zilizo hapo juu zimehifadhiwa hadi node itakapoanzishwa tena, hii ni rahisi, hata ikiwa umechanganya sana, unahitaji tu kuanzisha upya ili kufuta mabadiliko yaliyofanywa. Ili kuongeza njia ya kudumu katika Windows, endesha amri:

    Ongeza njia 192.168.31.0 mask 255.255.255.0 192.168.3.108 -p

    Katika Linux /etc/network/interfaces, baada ya maelezo ya kiolesura, unapaswa kuongeza:

    Njia ya baada ya kupanda -net 192.168.31.0 netmask 255.255.255.0 gw 192.168.3.108

    Kwa njia, hii sio njia pekee ya kusanidi ufikiaji kutoka kwa mtandao 192.168.3.0 hadi mtandao 192.168.31.0; badala ya kuongeza njia kwa kila nodi, unaweza "kufundisha" router kutuma pakiti kwa usahihi.

    Katika kesi hii, nodi ya chanzo haina rekodi kuhusu mtandao lengwa na itatuma pakiti kwenye lango Mara ya mwisho lango lilitupa pakiti kama hiyo, lakini sasa tumeongeza njia inayotakiwa kwenye jedwali lake la uelekezaji, na itatuma pakiti kwa nodi 192.168.3.108, ambayo itatoa kwa marudio yake.

    Tunapendekeza sana ujizoeze kutumia mifano kama hiyo wewe mwenyewe, ili uelekezaji wakome kuwa kisanduku cheusi kwako, na njia zikome kuwa hati ya Kichina. Mara uelewa unapotokea, unaweza kuendelea na sehemu ya pili ya makala hii.

    Sasa hebu tuangalie mifano halisi ya kuchanganya mitandao ya ofisi kupitia muunganisho wa VPN. Licha ya ukweli kwamba OpenVPN hutumiwa mara nyingi kwa madhumuni haya na katika mifano yetu pia tunamaanisha ufumbuzi kulingana na hilo, kila kitu kilichosemwa kitakuwa kweli kwa aina yoyote ya uhusiano wa VPN.

    Kesi rahisi zaidi ni wakati seva ya VPN (mteja) na kipanga njia cha mtandao ziko kwenye mwenyeji mmoja. Fikiria mchoro ufuatao:

    Kwa kuwa, tunatarajia, umejifunza nadharia na kuiimarisha katika mazoezi, hebu tuchambue njia ya pakiti kutoka mtandao wa ofisi 192.168.31.0 hadi mtandao wa tawi 192.168.44.0, pakiti hiyo itatumwa kwa lango la msingi, ambalo ni pia seva ya VPN. Walakini, nodi hii haijui chochote kuhusu mtandao lengwa na italazimika kutupa pakiti hii. Wakati huo huo, tunaweza tayari kuwasiliana na router ya tawi kwenye anwani yake katika mtandao wa VPN 10.8.0.2, kwa kuwa mtandao huu unapatikana kutoka kwa router ya ofisi.

    Ili kupata ufikiaji wa mtandao wa tawi, tunahitaji kuwasilisha pakiti za mtandao huo kwenye nodi ambayo ni sehemu ya mtandao huo au ina njia ya kuuendea. Kwa upande wetu, hii ni router ya tawi. Kwa hivyo, kwenye router ya ofisi tunaongeza njia:

    Sasa lango la ofisi, baada ya kupokea pakiti kwa mtandao wa tawi, litaituma kwa njia ya VPN kwa router ya tawi, ambayo, kuwa node ya mtandao 192.168.44.0, itatoa pakiti kwenye marudio yake. Ili kufikia kutoka kwa mtandao wa tawi hadi mtandao wa ofisi, unahitaji kujiandikisha njia sawa kwenye router ya tawi.

    Hebu tuchukue mpango ngumu zaidi, wakati router na seva ya VPN (mteja) ni nodes tofauti za mtandao. Kuna chaguo mbili hapa: kuhamisha pakiti inayohitajika moja kwa moja kwenye seva ya VPN (mteja) au kulazimisha lango kufanya hivyo.

    Hebu tuangalie chaguo la kwanza kwanza.

    Ili pakiti za mtandao wa tawi zifikie mtandao wa VPN, lazima tuongeze njia kwa seva ya VPN (mteja) kwa kila mteja wa mtandao, vinginevyo zitatumwa kwenye lango, ambalo litazitupa:

    Walakini, seva ya VPN haijui chochote kuhusu mtandao wa tawi, lakini inaweza kutuma pakiti ndani ya mtandao wa VPN ambapo nodi ya mtandao wa tawi tunayopendezwa nayo iko, kwa hivyo tutatuma pakiti huko kwa kuongeza njia kwenye seva ya VPN ( mteja):

    192.168.44.0 barakoa 255.255.255.0 10.8.0.2

    Hasara ya mpango huu ni haja ya kusajili njia kwenye kila node ya mtandao, ambayo si rahisi kila wakati. Inaweza kutumika ikiwa kuna vifaa vichache kwenye mtandao au ufikiaji wa kuchagua unahitajika. Katika hali nyingine, itakuwa sahihi zaidi kukabidhi kazi ya uelekezaji kwa kipanga njia kikuu cha mtandao.

    Katika kesi hii, vifaa vya mtandao wa ofisi havijui chochote kuhusu mtandao wa tawi na vitatuma pakiti kwa hiyo kupitia njia isiyofaa, lango la mtandao. Sasa kazi ya lango ni kuelekeza pakiti hii kwa seva ya VPN (mteja); hii inaweza kufanywa kwa urahisi kwa kuongeza njia inayotaka kwenye jedwali lake la uelekezaji:

    192.168.44.0 barakoa 255.255.255.0 192.168.31.101

    Tulitaja kazi ya seva ya VPN (mteja) hapo juu; lazima ipeleke pakiti kwenye nodi ya mtandao ya VPN ambayo ni sehemu ya mtandao lengwa au ina njia yake.

    192.168.44.0 barakoa 255.255.255.0 10.8.0.2

    Ili kufikia kutoka kwa mtandao wa tawi hadi mtandao wa ofisi, utahitaji kuongeza njia zinazofaa kwenye nodes za mtandao wa tawi. Hii inaweza kufanyika kwa njia yoyote rahisi, si lazima kwa njia sawa na inafanywa katika ofisi. Mfano rahisi wa maisha halisi: kompyuta zote katika ofisi ya tawi lazima zipate mtandao wa ofisi, lakini si kompyuta zote za ofisini zinapaswa kufikia ofisi ya tawi. Katika kesi hii, katika tawi tunaongeza njia kwa seva ya VPN (mteja) kwenye router, na katika ofisi tunaiongeza tu kwenye kompyuta muhimu.

    Kwa ujumla, ikiwa unaelewa jinsi uelekezaji unavyofanya kazi na jinsi maamuzi ya usambazaji wa pakiti hufanywa, na unajua jinsi ya kusoma meza ya uelekezaji, basi kuweka njia sahihi haipaswi kuwa ngumu. Tunatumahi kuwa baada ya kusoma nakala hii hautakuwa nao pia.

    • Lebo:

    Tafadhali wezesha JavaScript kutazama

    Katika makala hii, tutaangalia kwa undani mchakato wa kuanzisha seva ya VPN katika mfumo wa uendeshaji wa Windows Server, na pia kujibu maswali: VPN ni nini na jinsi ya kuanzisha uhusiano wa VPN?

    Muunganisho wa VPN ni nini?

    VPN (Mtandao wa Kibinafsi wa Kibinafsi) ni mtandao wa kibinafsi ambao hutumiwa kutoa muunganisho salama kwa mtandao. Teknolojia ambayo hukuruhusu kuunganisha nambari yoyote ya vifaa kwenye mtandao wa kibinafsi. Kama sheria, kupitia mtandao.

    Ingawa teknolojia hii si mpya, hivi majuzi imepata umuhimu kutokana na hamu ya watumiaji kudumisha uadilifu wa data au faragha kwa wakati halisi.

    Njia hii ya uunganisho inaitwa handaki ya VPN. Unaweza kuunganisha kwa VPN kutoka kwa kompyuta yoyote, na mfumo wowote wa uendeshaji unaotumia muunganisho wa VPN. Au VPN-Mteja imesakinishwa, ambayo ina uwezo wa kusambaza bandari kwa kutumia TCP/IP kwenye mtandao pepe.

    VPN hufanya nini?

    VPN hutoa muunganisho wa mbali kwa mitandao ya kibinafsi

    Unaweza pia kuchanganya salama mitandao na seva kadhaa

    Kompyuta zilizo na anwani za IP kutoka 192.168.0.10 hadi 192.168.0.125 zimeunganishwa kupitia lango la mtandao, ambalo hufanya kama seva ya VPN. Sheria za miunganisho kupitia chaneli ya VPN lazima kwanza ziandikwe kwenye seva na kipanga njia.

    VPN hukuruhusu kutumia Mtandao kwa usalama unapounganisha hata kufungua mitandao ya Wi-Fi katika maeneo ya umma (katika vituo vya ununuzi, hoteli au viwanja vya ndege)

    Na pia kukwepa vizuizi vya kuonyesha yaliyomo katika nchi fulani

    VPN huzuia vitisho vya mtandao dhidi ya kunasa habari na mshambuliaji kwenye nzi, bila kutambuliwa na mpokeaji.

    Jinsi VPN inavyofanya kazi

    Wacha tuangalie jinsi muunganisho wa VPN unavyofanya kazi kwa kanuni.

    Wacha tufikirie kuwa upitishaji ni harakati ya pakiti kwenye barabara kuu kutoka kwa uhakika A hadi B; kando ya njia ya pakiti kuna vituo vya kupitisha pakiti ya data. Unapotumia VPN, njia hii inalindwa zaidi na mfumo wa usimbaji fiche na uthibitishaji wa mtumiaji ili kulinda trafiki iliyo na pakiti ya data. Njia hii inaitwa "tunneling" (tunneling - kwa kutumia handaki)

    Katika kituo hiki, mawasiliano yote yanalindwa kwa uhakika, na nodi zote za kati za upitishaji data zinahusika na kifurushi kilichosimbwa na tu wakati data inapotumwa kwa mpokeaji, data iliyo kwenye kifurushi husimbwa na inapatikana kwa mpokeaji aliyeidhinishwa.

    VPN itahakikisha ufaragha wa maelezo yako pamoja na antivirus ya kina.

    VPN inasaidia vyeti kama vile OpenVPN, L2TP, IPSec, PPTP, PPOE na inageuka kuwa njia salama na salama kabisa ya kuhamisha data.

    Ufungaji wa VPN hutumiwa:

    1. Ndani ya mtandao wa ushirika.
    2. Ujumuishaji wa ofisi za mbali, pamoja na matawi madogo.
    3. Upatikanaji wa rasilimali za IT za nje.
    4. Kwa ajili ya kujenga mikutano ya video.

    Kuunda VPN, kuchagua na kusanidi vifaa.

    Kwa mawasiliano ya ushirika katika mashirika makubwa au kuchanganya ofisi mbali na kila mmoja, vifaa hutumiwa ambavyo vina uwezo wa kudumisha uendeshaji na usalama usioingiliwa kwenye mtandao.

    Ili kutumia huduma ya VPN, jukumu la lango la mtandao linaweza kuwa: seva za Linux/Windows, kipanga njia na lango la mtandao ambalo VPN imewekwa.

    Router lazima ihakikishe uendeshaji wa kuaminika wa mtandao bila kufungia. Kazi ya VPN iliyojengwa inakuwezesha kubadilisha usanidi wa kufanya kazi nyumbani, katika shirika au katika ofisi ya tawi.

    Kuanzisha seva ya VPN.

    Ikiwa unataka kusakinisha na kutumia seva ya VPN kulingana na familia ya Windows, basi unahitaji kuelewa kuwa mashine za mteja za Windows XP/7/8/10 haziungi mkono kazi hii; unahitaji mfumo wa utambuzi, au seva ya kimwili kwenye Windows 2000/2003/2008/ jukwaa 2012/2016, lakini tutazingatia kipengele hiki kwenye Windows Server 2008 R2.

    1. Kwanza, unahitaji kusakinisha jukumu la seva ya "Sera ya Mtandao na Huduma za Ufikiaji." Ili kufanya hivyo, fungua kidhibiti cha seva na ubofye kiungo cha "Ongeza jukumu":

    Chagua jukumu la Huduma za Sera ya Mtandao na Ufikiaji na ubofye ifuatayo:

    Chagua "Huduma za Njia na Ufikiaji wa Mbali" na ubofye Ifuatayo na Usakinishe.

    2. Baada ya kufunga jukumu, unahitaji kuisanidi. Nenda kwa Kidhibiti cha Seva, panua tawi la "Majukumu", chagua jukumu la "Huduma za Sera ya Mtandao na Ufikiaji", uipanue, bonyeza-click kwenye "Njia na Ufikiaji wa Mbali" na uchague "Sanidi na uwezesha uelekezaji na ufikiaji wa mbali"

    Baada ya kuanza huduma, tunazingatia usanidi wa jukumu kamili. Sasa unahitaji kuruhusu watumiaji kufikia seva na kusanidi utoaji wa anwani za IP kwa wateja.

    Bandari ambazo VPN inasaidia. Baada ya huduma kuinuliwa, hufungua kwenye firewall.

    Kwa PPTP: 1723 (TCP);

    Kwa L2TP: 1701 (TCP)

    Kwa STTP: 443 (TCP).

    Itifaki ya L2TP/IpSec inapendekezwa zaidi kwa ajili ya kujenga mitandao ya VPN, hasa kwa usalama na upatikanaji wa juu zaidi, kutokana na ukweli kwamba kipindi kimoja cha UDP kinatumika kwa data na njia za udhibiti. Leo tutaangalia kusanidi seva ya L2TP/IpSec VPN kwenye jukwaa la Windows Server 2008 r2.

    Unaweza kujaribu kupeleka kwenye itifaki zifuatazo: PPTP, PPOE, SSTP, L2TP/L2TP/IpSec

    Twende Meneja wa Seva: Majukumu - Uelekezaji na Ufikiaji wa Mbali, bonyeza kulia kwenye jukumu hili na uchague " Mali", kwenye kichupo cha "Jumla", chagua kisanduku cha kipanga njia cha IPv4, chagua "mtandao wa karibu na simu ya mahitaji", na seva ya ufikiaji wa mbali ya IPv4:

    Sasa tunahitaji kuingiza ufunguo ulioshirikiwa awali. Nenda kwenye kichupo Usalama na shambani Ruhusu sera maalum za IPSec za miunganisho ya L2TP, chagua kisanduku na ingiza ufunguo wako. (Kuhusu ufunguo. Unaweza kuingiza mchanganyiko wa kiholela wa barua na nambari huko; kanuni kuu ni kwamba mchanganyiko zaidi, ni salama zaidi, na kukumbuka au kuandika mchanganyiko huu; tutauhitaji baadaye). Katika kichupo cha Mtoa Uthibitishaji, chagua Uthibitishaji wa Windows.

    Sasa tunahitaji kusanidi Usalama wa muunganisho. Ili kufanya hivyo, nenda kwenye kichupo Usalama na kuchagua Mbinu za Uthibitishaji, angalia visanduku EAP na Uthibitishaji Uliosimbwa (Toleo la 2 la Microsoft, MS-CHAP v2):

    Ifuatayo twende kwenye kichupo IPv4, hapo tutaonyesha kiolesura kipi kitakubali miunganisho ya VPN, na pia kusanidi kundi la anwani zinazotolewa kwa wateja wa L2TP VPN kwenye kichupo cha IPv4 (Weka Kiolesura cha "Ruhusu RAS kuchagua adapta"):

    Sasa hebu tuende kwenye kichupo kinachoonekana Bandari, bofya kulia na Mali, chagua muunganisho L2TP na vyombo vya habari Tune, tutaionyesha kwenye dirisha jipya Muunganisho wa ufikiaji wa mbali (zinazoingia tu) Na Muunganisho unapohitajika (zinazoingia na zinazotoka) na kuweka idadi ya juu zaidi ya milango, idadi ya milango lazima ilingane au ipite idadi inayotarajiwa ya wateja. Ni bora kuzima itifaki ambazo hazijatumiwa kwa kuteua kisanduku cha kuteua katika sifa zao.

    Orodha ya bandari ambazo tumeacha kwa idadi maalum.

    Hii inakamilisha usanidi wa seva. Kinachobaki ni kuruhusu watumiaji kuunganishwa kwenye seva. Enda kwa Meneja wa Seva Saraka Inayotumika watumiaji - tunapata mtumiaji tunayemtaka ruhusu ufikiaji vyombo vya habari mali, nenda kwenye alamisho simu zinazoingia



    MAKALA INAYOHUSIANA