อินเทอร์เน็ตเข้ามาในชีวิตของเราอย่างมั่นคงและหากก่อนหน้านี้ในช่วงหลายปีของการครอบงำของโมเด็มแบบอะนาล็อก ในการเข้าถึงอินเทอร์เน็ตจำเป็นต้องคำนึงถึงทั้งปริมาณการรับส่งข้อมูลและเวลาในการเชื่อมต่อ แต่ปัจจุบันอินเทอร์เน็ตไม่ จำกัด การเชื่อมต่อกลายเป็นบรรทัดฐาน นั่นคือหากไม่มีอินเทอร์เน็ตในเวลาใด ๆ และใน "ระดับเสียง" ใด ๆ แสดงว่านี่เป็นสิ่งที่ไม่ธรรมดาอยู่แล้ว ยิ่งไปกว่านั้น หากก่อนหน้านี้ความพร้อมใช้งานของอินเทอร์เน็ตไม่จำกัดถือเป็นมาตรฐานโดยพฤตินัยสำหรับเครือข่ายองค์กร ในปัจจุบันนี้ได้กลายเป็นบรรทัดฐานสำหรับผู้ใช้ปลายทางไปแล้ว เมื่ออินเทอร์เน็ตพัฒนาขึ้น รูปแบบแนวคิดของการใช้งานก็เปลี่ยนไปเช่นกัน บริการใหม่ ๆ ปรากฏขึ้นมากขึ้นเรื่อยๆ เช่น วิดีโอออนดีมานด์และ VoIP, เครือข่ายการแชร์ไฟล์แบบเพียร์ทูเพียร์ (BitTorrent) ฯลฯ กำลังพัฒนา เมื่อเร็ว ๆ นี้องค์กรของเครือข่ายส่วนตัวเสมือน (VPN) ผ่านทางอินเทอร์เน็ตด้วย ความสามารถในการจัดระเบียบการเข้าถึงคอมพิวเตอร์เครื่องใดก็ได้จากระยะไกลซึ่งเป็นส่วนหนึ่งของเครือข่ายนี้ได้รับความนิยมอย่างมาก จะมีการกล่าวถึงวิธีการนี้ในบทความนี้
เหตุใดจึงจำเป็น?
การจัดระเบียบเครือข่าย VPN บนอินเทอร์เน็ตหรือภายในเครือข่ายท้องถิ่นมีกรณีการใช้งานมากมาย: เกมเครือข่ายบนอินเทอร์เน็ตข้ามเซิร์ฟเวอร์เกม (เช่นเดียวกับเกมบนเครือข่ายท้องถิ่น) การสร้างเครือข่ายที่ปิดจากบุคคลภายนอกเพื่อส่งข้อมูลที่เป็นความลับ ความสามารถจากระยะไกล และจัดการคอมพิวเตอร์อย่างปลอดภัย (ควบคุมเต็มรูปแบบผ่านพีซีระยะไกล) จัดระเบียบการเข้าถึงที่ปลอดภัยสำหรับพนักงานในการเดินทางเพื่อธุรกิจไปยังทรัพยากรเครือข่ายขององค์กร การสื่อสารผ่านเครือข่ายเสมือนของสำนักงานแต่ละแห่ง (เครือข่ายท้องถิ่น)
วิธีการดั้งเดิมในการปรับใช้เครือข่ายส่วนตัวเสมือนคือมีการติดตั้งและกำหนดค่าเซิร์ฟเวอร์ VPN (โดยปกติใช้ระบบปฏิบัติการ Linux) ในเครือข่ายองค์กร และผู้ใช้ระยะไกลเข้าถึงเครือข่ายองค์กรผ่านการเชื่อมต่อ VPN
อย่างไรก็ตาม วิธีการนี้ใช้ไม่ได้เมื่อผู้ใช้จำเป็นต้องเข้าถึงคอมพิวเตอร์ที่บ้านจากระยะไกล ไม่น่าเป็นไปได้ที่สถานการณ์ที่มีการติดตั้งเซิร์ฟเวอร์ VPN แยกต่างหากที่บ้านถือเป็นเรื่องปกติ อย่างไรก็ตามอย่าสิ้นหวัง งานการสร้างเครือข่าย VPN สามารถแก้ไขได้และแม้แต่ผู้ใช้มือใหม่ก็สามารถทำได้ เพื่อจุดประสงค์นี้จึงมีโปรแกรม Hamachi พิเศษซึ่งสามารถดาวน์โหลดได้ฟรีจากอินเทอร์เน็ต (http://www.hamachi.cc/download/list.php) สิ่งที่น่ายินดีเป็นพิเศษคือการมีเวอร์ชัน Russified เพื่อให้ผู้ใช้สามารถเชี่ยวชาญโปรแกรมได้
ฮามาจิ 1.0.2.2
ดังนั้น Hamachi (เวอร์ชันปัจจุบัน - 1.0.2.2) จึงเป็นโปรแกรมที่ให้คุณสร้างเครือข่ายส่วนตัวเสมือน (VPN) ผ่านอินเทอร์เน็ตและเชื่อมต่อคอมพิวเตอร์หลายเครื่องในนั้น หลังจากสร้างเครือข่ายดังกล่าว ผู้ใช้สามารถสร้างเซสชัน VPN กันเองและทำงานบนเครือข่ายนี้ในลักษณะเดียวกับบนเครือข่ายท้องถิ่น (LAN) ทั่วไปที่มีความสามารถในการแชร์ไฟล์ จัดการคอมพิวเตอร์จากระยะไกล ฯลฯ ข้อดีของเครือข่าย VPN ก็คือ ได้รับการปกป้องอย่างสมบูรณ์จากการแทรกแซงที่ไม่ได้รับอนุญาต และจะไม่สามารถมองเห็นได้จากอินเทอร์เน็ต แม้ว่าเครือข่ายดังกล่าวจะมีอยู่บนเครือข่ายนั้นก็ตาม
ต้องติดตั้ง Hamachi บนคอมพิวเตอร์ทุกเครื่องที่จะเชื่อมต่อกับเครือข่ายส่วนตัวเสมือน
เครือข่ายเสมือนถูกสร้างขึ้นโดยใช้เซิร์ฟเวอร์ Hamachi เฉพาะทางบนอินเทอร์เน็ต ในการเชื่อมต่อกับเซิร์ฟเวอร์นี้ จะใช้พอร์ต 12975 และ 32976 พอร์ตแรก (12975) ใช้สำหรับสร้างการเชื่อมต่อเท่านั้น และพอร์ตที่สอง - ระหว่างการดำเนินการ อย่างไรก็ตาม ผู้ใช้ทั่วไปไม่น่าจะต้องการข้อมูลรายละเอียดดังกล่าว
หลังจากใช้เซิร์ฟเวอร์ Hamachi เพื่อสร้างเครือข่ายเสมือนระหว่างคอมพิวเตอร์ที่เลือก การแลกเปลี่ยนข้อมูลระหว่างไคลเอนต์ของเครือข่าย VPN จะเกิดขึ้นโดยตรง นั่นคือโดยไม่ต้องมีส่วนร่วมของเซิร์ฟเวอร์ Hamachi โปรโตคอล UDP ใช้เพื่อแลกเปลี่ยนข้อมูลระหว่างไคลเอนต์ VPN
การติดตั้งโปรแกรม
โปรแกรม Hamachi ได้รับการติดตั้งบนคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows 2000/XP/2003/Vista นอกจากนี้ยังมีโปรแกรมเวอร์ชันคอนโซลสำหรับ Linux และ Mac OS X ต่อไปเราจะดูการติดตั้งและกำหนดค่าโปรแกรมโดยใช้ระบบปฏิบัติการ Windows XP เป็นตัวอย่าง
การติดตั้งโปรแกรม Hamachi นั้นค่อนข้างง่ายและไม่ก่อให้เกิดปัญหา (โดยเฉพาะอย่างยิ่งเมื่อพิจารณาว่าอินเทอร์เฟซของวิซาร์ดการติดตั้งที่เปิดใช้งานเป็นภาษารัสเซีย) หลังจากที่คุณเริ่มติดตั้งโปรแกรมบนคอมพิวเตอร์ของคุณ วิซาร์ดการติดตั้งจะเริ่มต้นขึ้น โดยแจ้งให้คุณยอมรับข้อตกลงใบอนุญาต เลือกโฟลเดอร์ที่จะติดตั้งโปรแกรม (รูปที่ 1) สร้างไอคอนบนเดสก์ท็อป ฯลฯ
ในบรรดาคุณสมบัติเสริมที่เป็นประโยชน์ที่สามารถเปิดใช้งานได้ในระหว่างกระบวนการติดตั้งโปรแกรม ได้แก่ การเปิดตัว Hamachi โดยอัตโนมัติเมื่อคอมพิวเตอร์บูทและการบล็อกบริการที่มีช่องโหว่สำหรับการเชื่อมต่อ Hamachi (รูปที่ 2) ในกรณีหลัง บริการ Windows File Sharing สำหรับอะแดปเตอร์เครือข่ายเสมือน Hamachi จะถูกบล็อก เป็นผลให้ผู้ใช้รายอื่นของเครือข่าย VPN จะไม่สามารถเข้าถึงไฟล์และโฟลเดอร์ที่แชร์บนคอมพิวเตอร์ของคุณ ในเวลาเดียวกัน ผู้ใช้ทั่วไปของเครือข่ายท้องถิ่นจะยังสามารถเข้าถึงไฟล์และโฟลเดอร์เหล่านี้ได้ เพื่อเชื่อมต่อกับผู้ที่ไม่ได้ใช้การเชื่อมต่อ VPN
ข้าว. 1. วิซาร์ดการติดตั้ง Hamachi ช่วยให้คุณระบุโฟลเดอร์ได้
เพื่อวางโปรแกรมให้สร้างไอคอนไว้บนเดสก์ท็อป
และเลือกตัวเลือกเสริมเพื่อเริ่มโปรแกรมโดยอัตโนมัติ
เมื่อคอมพิวเตอร์บูท
นอกเหนือจากการบล็อกบริการ Windows File Sharing แล้ว การบล็อกบริการที่มีช่องโหว่สำหรับการเชื่อมต่อ Hamachi ยังบล็อกการเข้าถึงบริการ Windows บางอย่างจากระยะไกลที่ถูกโจมตีบ่อยครั้งอีกด้วย ดังนั้น หากคุณใช้โปรแกรม Hamachi เพื่อเชื่อมต่อกับไคลเอนต์ที่เชื่อถือได้ที่คุณเชื่อถือ จะเป็นการดีกว่าถ้าปิดใช้งานตัวเลือกในการบล็อกบริการที่มีช่องโหว่
ข้าว. 2. วิซาร์ดการติดตั้ง Hamachi ช่วยให้คุณสามารถบล็อกได้
บริการที่มีช่องโหว่สำหรับการเชื่อมต่อ Hamachi
ในขั้นตอนสุดท้าย วิซาร์ดการติดตั้งจะขอให้คุณเลือกเวอร์ชันของโปรแกรมที่จะติดตั้ง: เวอร์ชันพื้นฐานหรือพรีเมียม ฮามาจิมี 2 เวอร์ชัน เวอร์ชันพื้นฐานนั้นฟรี และเวอร์ชันพรีเมียมซึ่งมีฟีเจอร์ขั้นสูงมากกว่านั้นต้องเสียเงิน โปรดทราบว่าสำหรับผู้ใช้ส่วนใหญ่โปรแกรมเวอร์ชันพื้นฐานฟรีก็เพียงพอแล้ว (เราจะพูดถึงความแตกต่างโดยละเอียดระหว่างเวอร์ชันพื้นฐานและเวอร์ชันพรีเมียมในภายหลังเล็กน้อย) แต่แนวทางมาตรฐานมีดังนี้: ขั้นแรกให้ติดตั้งเวอร์ชันพรีเมียม เป็นเวลา 45 วัน (ฟรี) และหลังจากช่วงเวลานี้ ระบบจะเปลี่ยนไปใช้เวอร์ชันพื้นฐานโดยอัตโนมัติ
หลังจากติดตั้งและเปิดโปรแกรม Hamachi บนคอมพิวเตอร์ของคุณแล้ว หากนี่เป็นครั้งแรกที่คุณติดตั้งโปรแกรม จะมีการเปิดตัวคำแนะนำสั้นๆ เกี่ยวกับ Hamachi ซึ่งอธิบายวิธีทำงานกับโปรแกรม
เปิดตัวโปรแกรมครั้งแรก
เมื่อคุณเปิดโปรแกรมครั้งแรก บัญชีของคุณจะถูกสร้างขึ้น ในขั้นตอนนี้ คุณจะต้องตั้งชื่อคอมพิวเตอร์ที่ผู้ใช้รายอื่นในเครือข่าย VPN จะมองเห็นได้ (รูปที่ 3)
ข้าว. 3. ระบุชื่อของคอมพิวเตอร์ที่ต้องการ
ผู้ใช้รายอื่นของเครือข่าย VPN จะมองเห็นได้
เมื่อระบุชื่อคอมพิวเตอร์ โปรแกรมจะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ฐานข้อมูล Hamachi และขอที่อยู่ IP ซึ่งจะกำหนดให้กับอะแดปเตอร์เครือข่ายเสมือน Hamachi และจะใช้ในภายหลังเพื่อสร้างการเชื่อมต่อ VPN ไคลเอนต์ Hamachi แต่ละตัวจะได้รับการกำหนดที่อยู่ IP ในช่วง 5.0.0.0/8 (ซับเน็ตมาสก์ 255.0.0.0) ซึ่งโดยทั่วไปไม่ได้สงวนไว้สำหรับการใช้งานอินเทอร์เน็ต ช่วงเหล่านี้สงวนไว้สำหรับการใช้งานส่วนตัวบนเครือข่ายท้องถิ่น ได้แก่ ช่วงต่อไปนี้: 10.0.0.0/8 (ช่วงตั้งแต่ 10.0.0.0 ถึง 10.255.255.254), 172.16.0.0/12 (ช่วงตั้งแต่ 172.16.0.0 ถึง 172.31.255.254) และ 192.168 0.0 /16 (ช่วงตั้งแต่ 192.168.0.0 ถึง 192.168.255.254) อย่างไรก็ตาม ช่วง 5.0.0.0/8 ได้รับการสงวนไว้นานกว่า 10 ปีโดย IANA (Internet Assigned Numbers Authority - องค์กรอเมริกันที่จัดการพื้นที่ที่อยู่ IP) และไม่ได้ถูกใช้เป็นที่อยู่อินเทอร์เน็ตสาธารณะ (ภายนอก) ดังนั้น ในด้านหนึ่ง ช่วง 5.0.0.0/8 หมายถึงช่วงของที่อยู่อินเทอร์เน็ตภายนอก (สาธารณะ) นั่นคือ ความเป็นไปได้ที่จะไม่รวมอยู่ว่าที่อยู่ IP ที่กำหนดให้คุณนั้นถูกใช้ไปแล้วในเครือข่ายท้องถิ่นของคุณ (ใน เครือข่ายท้องถิ่นเฉพาะที่สงวนไว้สำหรับแอปพลิเคชันส่วนตัวของที่อยู่ IP) และในทางกลับกัน ที่อยู่เหล่านี้ยังไม่มีใครครอบครอง
หลังจากกำหนดที่อยู่ IP ให้กับคุณในช่วง 5.0.0.0/8 แล้ว ที่อยู่นั้นจะกลายเป็นตัวระบุสำหรับคอมพิวเตอร์ของคุณในเครือข่ายส่วนตัวเสมือน ที่อยู่ IP นี้ถูกกำหนดให้กับอะแดปเตอร์เครือข่ายเสมือน Hamachi ดังนั้นหากคุณพิมพ์คำสั่ง ipconfig / all บนบรรทัดคำสั่งนอกเหนือจากการตั้งค่าอินเทอร์เฟซเครือข่ายของอะแดปเตอร์เครือข่ายจริง (ซึ่งมีอยู่ในพีซีของคุณ) คุณจะพบว่าอะแดปเตอร์อีเทอร์เน็ตเสมือน Hamachi อื่นปรากฏขึ้นพร้อมกับ ที่อยู่ MAC และที่อยู่ IP ที่กำหนดให้กับมัน ซับเน็ตมาสก์ ที่อยู่ IP เกตเวย์ ฯลฯ (รูปที่ 4)
ข้าว. 4. หลังจากเปิดตัวโปรแกรมครั้งแรกอะแดปเตอร์เครือข่ายเสมือน
Hamachi ได้รับการกำหนดที่อยู่ IP จากช่วง 5.0.0.0/8 และกำหนดค่าไว้
อินเตอร์เฟซเครือข่าย
ดังนั้น หลังจากที่โปรแกรม Hamachi กำหนดค่าอะแดปเตอร์เครือข่ายเสมือนแล้ว คุณก็สามารถเริ่มทำงานกับโปรแกรมได้
ณ จุดนี้ คอมพิวเตอร์ของคุณยังไม่ได้เป็นสมาชิกของเครือข่ายส่วนตัวเสมือน ดังนั้นขั้นตอนแรกคือการเชื่อมต่อกับเครือข่ายส่วนตัวเสมือนที่มีอยู่หรือสร้างเครือข่าย VPN ใหม่
การทำงานกับโปรแกรม
อินเทอร์เฟซของโปรแกรมนั้นง่ายมาก (รูปที่ 5) มีปุ่มฟังก์ชั่นเพียงสามปุ่ม: “เปิด/ปิด” ปุ่มเมนูเครือข่าย และปุ่มเมนูระบบ
ข้าว. 5. ส่วนต่อประสานโปรแกรม
ฮามาจินั้นง่ายมาก -
มีปุ่มฟังก์ชั่นเพียงสามปุ่มเท่านั้น
หากต้องการสร้างเครือข่าย VPN ใหม่หรือเชื่อมต่อคอมพิวเตอร์กับเครือข่ายที่มีอยู่ให้คลิกที่ปุ่มเมนูเครือข่ายและเลือกรายการที่เหมาะสม (รูปที่ 6)
ข้าว. 6. ปุ่มเมนูเครือข่ายช่วยให้คุณ
สร้างเครือข่าย VPN ใหม่หรือเข้าร่วม
คอมพิวเตอร์ไปยังเครื่องที่มีอยู่
เข้าร่วมพีซีและออกจากเครือข่ายเสมือนที่มีอยู่
หากคุณต้องการเชื่อมต่อคอมพิวเตอร์ของคุณกับเครือข่ายเสมือนที่มีอยู่และคุณทราบชื่อและรหัสผ่าน (หากใช้) จากนั้นในเมนูเครือข่ายให้เลือก เข้าสู่ระบบเครือข่ายที่มีอยู่...จากนั้นหน้าต่างจะเปิดขึ้นซึ่งคุณต้องตั้งชื่อเครือข่ายและรหัสผ่าน (รูปที่ 7)
ข้าว. 7. การเพิ่มคอมพิวเตอร์
ไปยังเครือข่ายเสมือนที่มีอยู่
หลังจากนี้ชื่อเครือข่ายและรายการคอมพิวเตอร์ที่เชื่อมต่ออยู่ (ยกเว้นของคุณ) จะปรากฏในหน้าต่างโปรแกรม - รูปที่. 8.
ข้าว. 8. หลังจากเชื่อมต่อคอมพิวเตอร์แล้ว
ไปยังเครือข่ายเสมือนในหน้าต่างโปรแกรม
รายการเชื่อมต่อจะปรากฏขึ้น
คอมพิวเตอร์ให้กับเธอ
หากมีจุดสีเขียวหรือดาวถัดจากชื่อคอมพิวเตอร์ แสดงว่ามีการเชื่อมต่อกับคอมพิวเตอร์แล้ว จุดสีเขียวกะพริบแสดงว่าการเชื่อมต่ออยู่ในขั้นตอนการสร้าง วงกลมสีอ่อนรอบๆ จุดสีเขียวบ่งบอกว่ามีการแลกเปลี่ยนข้อมูลกับคอมพิวเตอร์เครื่องนี้
สิ่งที่แย่ที่สุดคือเมื่อมีจุดสีเหลืองถัดจากชื่อคอมพิวเตอร์ซึ่งหมายความว่าไม่สามารถสร้างการเชื่อมต่อโดยตรงได้ด้วยเหตุผลบางประการ หากชื่อของคอมพิวเตอร์แสดงเป็นสีเหลือง แสดงว่าการเชื่อมต่อกับคอมพิวเตอร์นั้นขาดหายไป
การปรากฏตัวของจุดสีน้ำเงินบ่งบอกว่าไม่สามารถสร้างการเชื่อมต่อโดยตรงกับคอมพิวเตอร์ได้ และการสื่อสารดำเนินการผ่านเซิร์ฟเวอร์ Hamachi ปัญหาคือในกรณีนี้ช่องทางการสื่อสารกับคอมพิวเตอร์มีแบนด์วิธต่ำมากและเกิดความล่าช้าเป็นเวลานาน
หากชื่อของคอมพิวเตอร์และจุดถัดจากชื่อแสดงเป็นสีเทา แสดงว่าคอมพิวเตอร์ไม่สามารถเข้าถึงได้ แม้จะเชื่อมต่อกับเครือข่ายเสมือนนี้ (เช่น ปิดพีซีอยู่ ไม่มีการเชื่อมต่ออินเทอร์เน็ต หรือ โปรแกรม Hamachi ไม่ทำงาน)
หากต้องการออกจากเครือข่าย เพียงคลิกขวาที่ชื่อแล้วเลือกรายการจากรายการแบบเลื่อนลง ตัดการเชื่อมต่อหรือ ออกจากเครือข่าย- ในกรณีแรก คุณจะออกจากเครือข่ายเพียงชั่วคราวเท่านั้น และรายชื่อคอมพิวเตอร์ที่เชื่อมต่ออยู่จะยังคงปรากฏให้คุณเห็น ในกรณีที่สองในการเข้าสู่เครือข่ายคุณจะต้องทำซ้ำขั้นตอนทั้งหมดในการเชื่อมต่อคอมพิวเตอร์กับเครือข่ายที่มีอยู่
การสร้างเครือข่ายใหม่และการลบเครือข่ายที่สร้างขึ้น
หากคุณต้องการสร้างเครือข่ายเสมือนใหม่ ให้เลือกในเมนูเครือข่าย สร้างเครือข่ายใหม่...หน้าต่างจะเปิดขึ้นโดยคุณต้องระบุชื่อเครือข่ายที่กำลังสร้างและรหัสผ่านที่ผู้ใช้รายอื่นจะใช้เพื่อเข้าร่วมเครือข่ายนี้ (รูปที่ 9)
ข้าว. 9. สร้างเครือข่าย VPN ใหม่
หลังจากสร้างเครือข่ายใหม่แล้ว คุณสามารถเชื่อมต่อคอมพิวเตอร์ของผู้ใช้เข้ากับเครือข่ายได้ หากคุณสร้างเครือข่าย แสดงว่าคุณเป็นผู้ดูแลระบบและได้รับการควบคุมอย่างเต็มที่ ซึ่งผู้ใช้รายอื่นจะถูกกีดกัน สิ่งสำคัญคือต้องจำไว้ว่าเครือข่ายที่สร้างขึ้นสามารถจัดการได้จากคอมพิวเตอร์ที่ถูกสร้างขึ้นเท่านั้น แม่นยำยิ่งขึ้น เครือข่ายสามารถจัดการได้จากคอมพิวเตอร์ที่กำหนดที่อยู่ IP เสมือนเดียวกันกับที่ใช้สร้างเครือข่ายเสมือนเท่านั้น เหตุใดคำพูดนี้จึงสำคัญมาก? ลองนึกภาพสิ่งนี้: คุณติดตั้ง Hamachi และสร้างเครือข่าย VPN ใหม่ จากนั้นคุณถอนการติดตั้งโปรแกรม Hamachi อย่างสมบูรณ์ (รวมถึงไฟล์การกำหนดค่าทั้งหมด) และทำการติดตั้งอีกครั้งในภายหลัง คุณจะได้รับที่อยู่ IP เสมือนใหม่ แต่เมื่อใช้งานแล้ว คุณจะไม่สามารถควบคุมเครือข่าย VPN ที่คุณสร้างไว้ก่อนหน้านี้ได้อีกต่อไป
หากคุณเป็นผู้ดูแลระบบเครือข่าย คุณสามารถลบออกได้ โดยคลิกขวาที่ชื่อเครือข่ายและเลือกรายการจากรายการแบบเลื่อนลง ลบ- โปรดทราบว่าเมื่อเครือข่ายถูกลบ การเชื่อมต่อทั้งหมดระหว่างผู้ใช้รายอื่นจะถูกทำลายโดยสิ้นเชิง
การดำเนินการอื่นๆ กับคอมพิวเตอร์เครือข่าย
หากคุณได้เข้าร่วมเครือข่าย คุณสามารถดำเนินการต่อไปนี้บนคอมพิวเตอร์ที่เชื่อมต่ออยู่:
- การตรวจสอบการเข้าถึง
- การเรียกดูโฟลเดอร์;
- ส่งข้อความ;
- คัดลอกที่อยู่
- การปิดกั้น;
- การตั้งค่าฉลาก
ในการดำเนินการอย่างใดอย่างหนึ่งให้คลิกขวาที่ชื่อคอมพิวเตอร์และเลือกรายการที่เหมาะสมจากเมนูแบบเลื่อนลง (รูปที่ 10)
ข้าว. 10. รายการการดำเนินการที่เป็นไปได้
กับคอมพิวเตอร์ที่เลือกบนเครือข่าย
เมื่อเลือกรายการ ตรวจสอบห้องว่างคำสั่ง ping ปกติจะถูกดำเนินการไปยังที่อยู่ของคอมพิวเตอร์ที่เกี่ยวข้อง
ย่อหน้า เรียกดูโฟลเดอร์ช่วยให้คุณเข้าถึงโฟลเดอร์ที่แชร์บนคอมพิวเตอร์ของคุณ
ย่อหน้า ส่งข้อความทำให้สามารถแลกเปลี่ยนข้อความระหว่างคอมพิวเตอร์แต่ละเครื่องบนเครือข่ายได้ คล้ายกับที่ทำใน ICQ
ย่อหน้า คัดลอกที่อยู่แทรกที่อยู่ IP ของคอมพิวเตอร์ที่เลือกลงในคลิปบอร์ด ซึ่งสะดวกถ้าคุณต้องการใช้ที่อยู่นี้ในโปรแกรมอื่น (เช่น การดูแลระบบระยะไกล)
ย่อหน้า ปิดกั้นอนุญาตให้คุณบล็อกคอมพิวเตอร์ที่เลือกชั่วคราวนั่นคือช่อง VPN ของคุณจะถูกบล็อกและการแลกเปลี่ยนข้อมูลจะเป็นไปไม่ได้
ย่อหน้า ตั้งป้ายกำกับให้คุณเลือกรูปแบบสำหรับแสดงคุณลักษณะของคอมพิวเตอร์บนเครือข่าย ตามค่าเริ่มต้น ที่อยู่ IP ของคอมพิวเตอร์และชื่อจะปรากฏขึ้น คุณสามารถเลือกแสดงเฉพาะชื่อคอมพิวเตอร์หรือเฉพาะที่อยู่ IP ได้
การตั้งค่าโปรแกรม
ในการเข้าถึงการตั้งค่าโปรแกรมคุณต้องคลิกที่ปุ่มเมนูระบบและเลือกรายการ การตั้งค่า…(รูปที่ 11)
ข้าว. 11. การเข้าถึงการตั้งค่า
โปรแกรม
หลังจากนี้หน้าต่างจะเปิดขึ้น สถานะและการกำหนดค่าซึ่งช่วยให้คุณทำการตั้งค่ารายละเอียดของโปรแกรมได้ (รูปที่ 12)
ข้าว. 12. หน้าต่างการตั้งค่าโปรแกรมโดยละเอียด
จริงๆ แล้ว ทุกอย่างที่นี่ค่อนข้างเรียบง่าย และไม่จำเป็นต้องแสดงความคิดเห็นโดยละเอียด ดังนั้นเราจะแสดงรายการคุณสมบัติที่สามารถนำไปใช้ในหน้าต่างการกำหนดค่าได้ ดังนั้นในหน้าต่างนี้ คุณสามารถเปลี่ยนชื่อคอมพิวเตอร์ ตั้งค่าการเชื่อมต่อโดยละเอียด ตั้งค่าประเภทการเริ่มต้นโปรแกรม บล็อกหรือปลดบล็อกบริการ Windows ที่มีช่องโหว่ บล็อกสมาชิกเครือข่ายใหม่ และใช้ตัวเลือกอื่น ๆ ที่มีนัยสำคัญน้อยกว่า ในบรรดาคุณสมบัติที่สำคัญ เราสังเกตเห็นการปิดใช้งานการเข้ารหัสเมื่อถ่ายโอนข้อมูลระหว่างคอมพิวเตอร์แต่ละเครื่องบนเครือข่าย ในการดำเนินการนี้ คุณจะต้องคลิกที่ไอคอน หน้าต่างและในกลุ่ม รูปร่างทำเครื่องหมายในช่อง แสดง "ขั้นสูง..." แต่ละรายการเมนู(รูปที่ 13)
ข้าว. 13. การเพิ่มรายการขั้นสูง...
ไปที่เมนูแบบเลื่อนลง
หลังจากนี้หากคุณคลิกขวาที่ชื่อคอมพิวเตอร์ที่เชื่อมต่อกับเครือข่ายรายการจะปรากฏในเมนูแบบเลื่อนลง ขั้นสูง…หากคุณเลือก หน้าต่างจะเปิดขึ้น การกำหนดค่าอุโมงค์ซึ่งช่วยให้คุณเปลี่ยนการตั้งค่าอุโมงค์ VPN ได้ หากต้องการปิดใช้งานการเข้ารหัสที่ การเข้ารหัสคุณต้องเลือกค่า ปิด- ในกรณีนี้ ข้อมูลจากคอมพิวเตอร์ของคุณจะถูกถ่ายโอนไปยังพีซีที่เลือกในรูปแบบที่ไม่ได้เข้ารหัส อย่างไรก็ตาม ในทางกลับกัน ข้อมูลจะถูกส่งแบบเข้ารหัส หากต้องการปิดใช้งานการเข้ารหัสสำหรับอุโมงค์ VPN ระหว่างคอมพิวเตอร์สองเครื่องโดยสมบูรณ์ จะต้องปิดใช้งานบนคอมพิวเตอร์ทั้งสองเครื่อง
โปรดทราบว่าควรปิดใช้งานการเข้ารหัสเฉพาะในกรณีพิเศษเท่านั้น เนื่องจากขั้นตอนการเข้ารหัสนั้นไม่น่าจะส่งผลกระทบต่อการรับส่งข้อมูล ความจริงก็คือการรับส่งข้อมูลจะถูกกำหนดโดยแบนด์วิธของช่องอินเทอร์เน็ตของคุณ ไม่ใช่จากการใช้หรือขาดการเข้ารหัส เฉพาะในกรณีที่อุโมงค์ VPN ถูกสร้างขึ้นระหว่างคอมพิวเตอร์ภายในเครือข่ายท้องถิ่นเดียวกันและปริมาณงานอยู่ที่ประมาณ 100 Mbit/s การใช้การเข้ารหัสสามารถลดความเร็วการถ่ายโอนสูงสุดได้เล็กน้อย (เป็น 70-80 Mbit/s)
บทสรุป
Hamachi เป็นเครื่องมืออันทรงพลังที่ช่วยให้คุณสามารถสร้างเครือข่าย VPN ได้อย่างรวดเร็ว โปรดทราบว่าแต่เดิมสร้างขึ้นเพื่อให้ผู้ใช้สามารถเล่นเกมออนไลน์ได้โดยข้ามเซิร์ฟเวอร์เกม อย่างไรก็ตาม สถานการณ์ที่เป็นไปได้สำหรับการใช้โปรแกรมนี้นั้นกว้างกว่ามาก ดังนั้นเมื่อสร้างเครือข่ายเสมือนและเชื่อมต่อคอมพิวเตอร์เข้ากับเครือข่ายแล้ว คุณสามารถใช้โปรแกรมการดูแลระบบระยะไกลมาตรฐาน เข้าถึงคอมพิวเตอร์เครื่องใดก็ได้ในเครือข่ายเสมือนจากระยะไกลได้ เนื่องจากคอมพิวเตอร์แต่ละเครื่องในเครือข่ายดังกล่าวมีที่อยู่ IP เฉพาะของตัวเอง
ในเวลาเดียวกันควรสังเกตว่าไม่สามารถสร้างการเชื่อมต่อโดยตรงระหว่างคอมพิวเตอร์แต่ละเครื่องได้เสมอไป และแม้ว่าเว็บไซต์ของผู้ผลิตจะอ้างว่าโปรแกรม "เจาะ" เราเตอร์และอุปกรณ์ NAT ได้อย่างง่ายดาย แต่ในความเป็นจริงแล้วทุกอย่างไม่ได้ในแง่ดีนัก เอกสารประกอบของโปรแกรมระบุว่าใน 5% ของกรณีไม่สามารถสร้างการเชื่อมต่อโดยตรงระหว่างคอมพิวเตอร์แต่ละเครื่องได้ อย่างไรก็ตาม สำหรับเราแล้วดูเหมือนว่าตัวเลขนี้ประเมินต่ำเกินไปอย่างเห็นได้ชัด สถานการณ์จริงคือ: หากเรากำลังพูดถึงการเชื่อมต่อคอมพิวเตอร์สองเครื่องที่กำหนดที่อยู่ IP สาธารณะแบบไดนามิกหรือแบบคงที่แสดงว่าไม่มีปัญหา นั่นคือหากคุณมีคอมพิวเตอร์เพียงเครื่องเดียวที่เชื่อมต่ออินเทอร์เน็ตที่บ้านและคุณต้องเชื่อมต่อกับผู้ใช้ที่มีคอมพิวเตอร์เครื่องเดียวที่เชื่อมต่ออินเทอร์เน็ตก็จะไม่มีปัญหา ตามที่แสดงในทางปฏิบัติ ไม่มีปัญหาในการสร้างการเชื่อมต่อระหว่างคอมพิวเตอร์ของผู้ใช้ด้วยที่อยู่ IP สาธารณะแบบไดนามิกหรือแบบคงที่ที่กำหนดให้กับเครื่องนั้น และคอมพิวเตอร์บนเครือข่ายท้องถิ่นที่ได้รับการป้องกันโดยเราเตอร์ อย่างไรก็ตาม หากมีการสร้างการเชื่อมต่อระหว่างคอมพิวเตอร์สองเครื่องที่อยู่ในเครือข่ายท้องถิ่นที่แตกต่างกันซึ่งป้องกันโดยเราเตอร์ ปัญหาก็อาจเกิดขึ้นได้ และไม่ใช่ข้อเท็จจริงที่ว่าจะสร้างการเชื่อมต่อโดยตรง นั่นคือสามารถสร้างการเชื่อมต่อได้ แต่ส่วนใหญ่จะไม่ใช่การเชื่อมต่อโดยตรง แต่ผ่านเซิร์ฟเวอร์ Hamachi ดังนั้นความเร็วของช่องทางการสื่อสารดังกล่าวจึงต่ำมากและการเชื่อมต่อดังกล่าวจะมีประโยชน์เพียงเล็กน้อย ตัวอย่างเช่น ที่บ้านของคุณ การเข้าถึงอินเทอร์เน็ตทำได้โดยใช้เราเตอร์ไร้สาย นั่นคือคอมพิวเตอร์ของคุณเป็นส่วนหนึ่งของเครือข่ายท้องถิ่นในบ้านและได้รับการกำหนดที่อยู่ IP จากช่วงที่อยู่ที่สงวนไว้สำหรับการใช้งานส่วนตัว และที่อยู่สาธารณะ ถูกกำหนดให้กับพอร์ต WAN ของเราเตอร์ที่คุณออนไลน์ หากคุณกำลังพยายามสร้างการเชื่อมต่อกับคอมพิวเตอร์เครื่องอื่นที่เป็นส่วนหนึ่งของเครือข่ายท้องถิ่นด้วย (เช่น กับคอมพิวเตอร์ที่ทำงานในสำนักงาน หรือกับคอมพิวเตอร์ของผู้ใช้ที่มีเครือข่ายท้องถิ่นใช้งานที่บ้านและใช้เราเตอร์) ดังนั้น ในกรณีส่วนใหญ่ปัญหาจะเกิดขึ้น
คู่มือผู้ใช้ Hamachi อธิบายวิธีที่คุณสามารถหลีกเลี่ยงปัญหาเหล่านี้ได้ ในการดำเนินการนี้ ขอแนะนำให้ใช้พอร์ต UDP แบบคงที่ (แทนที่จะเป็นไดนามิก) และใช้การส่งต่อพอร์ตบนเราเตอร์ อย่างไรก็ตาม ตามที่แสดงในทางปฏิบัติ การส่งต่อพอร์ตหรือการใช้โซนปลอดทหารในเราเตอร์ไม่ได้ช่วยเสมอไป
คำแนะนำ
คลิกที่เมนู Start และเลือกแผงควบคุม ค้นหาส่วน "เครือข่ายและอินเทอร์เน็ต" หากต้องการจัดระเบียบการเชื่อมต่อ VPN คุณต้องเปิดสแนปอิน Network and Sharing Center คุณยังสามารถคลิกที่ไอคอนเครือข่ายในถาดแล้วเลือกคำสั่งที่คล้ายกัน ดำเนินการสร้างการเชื่อมต่อหรือเครือข่ายใหม่ โดยสังเกตว่าคุณต้องเชื่อมต่อกับเดสก์ท็อปของคุณ คลิกถัดไป คุณจะได้รับแจ้งให้ใช้การเชื่อมต่อที่มีอยู่ ทำเครื่องหมายที่ช่อง “ไม่ สร้างการเชื่อมต่อใหม่” และไปยังขั้นตอนถัดไปของการตั้งค่า
เลือก "ใช้การเชื่อมต่ออินเทอร์เน็ตของฉัน" เพื่อตั้งค่าการเชื่อมต่อ VPN กันข้อความแจ้งการตั้งค่าอินเทอร์เน็ตที่ปรากฏขึ้นก่อนดำเนินการต่อ หน้าต่างจะปรากฏขึ้นโดยคุณต้องระบุที่อยู่เซิร์ฟเวอร์ VPN ตามข้อตกลงและสร้างชื่อการเชื่อมต่อซึ่งจะแสดงใน Network and Sharing Center ทำเครื่องหมายที่ช่อง "อย่าเชื่อมต่อทันที" มิฉะนั้นคอมพิวเตอร์จะพยายามสร้างการเชื่อมต่อทันทีหลังจากการตั้งค่า เลือกใช้สมาร์ทการ์ดหากโฮสต์ VPN ระยะไกลตรวจสอบการเชื่อมต่อโดยใช้สมาร์ทการ์ด คลิกถัดไป
ป้อนชื่อผู้ใช้ รหัสผ่าน และโดเมนของคุณตามที่คุณเข้าถึงเครือข่ายระยะไกล คลิกปุ่ม "สร้าง" และรอจนกระทั่งการเชื่อมต่อ VPN ได้รับการกำหนดค่า ตอนนี้คุณต้องสร้างการเชื่อมต่ออินเทอร์เน็ต โดยคลิกที่ไอคอนเครือข่ายในถาดและเริ่มตั้งค่าคุณสมบัติของการเชื่อมต่อที่สร้างขึ้น
เปิดแท็บความปลอดภัย ตั้งค่า "ประเภท VPN" เป็น "อัตโนมัติ" และ "การเข้ารหัสข้อมูล" เป็น "ไม่บังคับ" ทำเครื่องหมายที่ "อนุญาตโปรโตคอลต่อไปนี้" และเลือกโปรโตคอล CHAP และ MS-CHAP ไปที่แท็บ "เครือข่าย" และทำเครื่องหมายถูกไว้ถัดจาก "Internet Protocol เวอร์ชัน 4" เท่านั้น คลิกปุ่ม "ตกลง" และเชื่อมต่อการเชื่อมต่อ VPN
VPN ใด ๆ สุทธิจัดให้มีเซิร์ฟเวอร์เฉพาะที่จะให้การสื่อสารระหว่างคอมพิวเตอร์เครือข่ายและอุปกรณ์อื่น ๆ ในขณะเดียวกันก็ให้บางส่วน (หรือทั้งหมด) สามารถเข้าถึงเครือข่ายภายนอกได้ เช่น อินเทอร์เน็ต
คุณจะต้อง
- - สายเคเบิลเครือข่าย
- - การ์ดเครือข่าย
คำแนะนำ
ตัวอย่างที่ง่ายที่สุดของเครือข่าย VPN คือการสร้างเครือข่ายท้องถิ่นระหว่างกัน ซึ่งแต่ละเครือข่ายจะสามารถเข้าถึงอินเทอร์เน็ตได้ โดยปกติแล้ว พีซีเพียงเครื่องเดียวเท่านั้นที่จะเชื่อมต่อโดยตรงกับเซิร์ฟเวอร์ของผู้ให้บริการ เลือกคอมพิวเตอร์เครื่องนี้
ติดตั้งอะแดปเตอร์เครือข่ายเพิ่มเติมซึ่งจะเชื่อมต่อกับคอมพิวเตอร์เครื่องที่สอง ใช้สายเคเบิลเครือข่ายที่มีความยาวที่ต้องการเชื่อมต่อการ์ดเครือข่ายของคอมพิวเตอร์สองเครื่องเข้าด้วยกัน เชื่อมต่อสายเคเบิลของผู้ให้บริการเข้ากับอะแดปเตอร์เครือข่ายอื่นบนพีซีหลัก
ตั้งค่าการเชื่อมต่ออินเทอร์เน็ตของคุณ นี่อาจเป็นการเชื่อมต่อ LAN หรือ DSL ในกรณีนี้มันไม่สำคัญเลย เมื่อคุณสร้างและกำหนดค่าการเชื่อมต่อใหม่เสร็จแล้ว ให้ไปที่คุณสมบัติของการเชื่อมต่อ
เปิดเมนู "การเข้าถึง" ในหน้าต่างที่ปรากฏขึ้น อนุญาตให้คอมพิวเตอร์ทุกเครื่องที่เป็นส่วนหนึ่งของเครือข่ายท้องถิ่นเฉพาะใช้การเชื่อมต่ออินเทอร์เน็ตนี้ ระบุ สุทธิที่เกิดจากคอมพิวเตอร์สองเครื่องของคุณ
วิธีสร้างเครือข่ายส่วนตัวเครือข่ายเดียวสำหรับพนักงานที่ทำงานนอกสถานที่และสาขาระยะไกล
VPN คืออะไร?
สมมติว่าเรามีสำนักงานสองแห่งในส่วนต่างๆ ของเมือง หรือในเมืองหรือประเทศต่างๆ และแต่ละแห่งเชื่อมต่อกับอินเทอร์เน็ต หากต้องการดำเนินการ เช่น 1C เป็นระบบองค์กรเดียว เราจำเป็นต้องรวมระบบเหล่านี้ไว้ในเครือข่ายท้องถิ่นเดียว (แม้ว่าเราจะนำเสนอโซลูชั่นสำหรับ 1C ในรูปแบบของฐานข้อมูลแบบกระจาย แต่บางครั้งการสร้างเครือข่ายเดียวและเชื่อมต่อก็ง่ายกว่า โดยตรงไปยังเซิร์ฟเวอร์ 1Cราวกับว่าเซิร์ฟเวอร์ตั้งอยู่ในสถานที่ของคุณ)
แน่นอนว่าคุณสามารถซื้อเส้นทางส่วนตัวระหว่างสองเมืองได้ แต่วิธีแก้ปัญหานี้น่าจะมีราคาแพงมาก
โซลูชันที่ใช้เครือข่ายส่วนตัวเสมือน (VPN - Virtual Private Network) เชิญชวนให้เราจัดระเบียบสายเฉพาะนี้โดยการสร้างอุโมงค์ที่เข้ารหัสทางอินเทอร์เน็ต ข้อได้เปรียบหลักของ VPN บนสายการสื่อสารเฉพาะคือการประหยัดเงินของบริษัทในขณะที่ช่องทางนั้นสมบูรณ์ ปิด.
จากมุมมองของผู้บริโภค VPN เป็นเทคโนโลยีที่ช่วยให้คุณสามารถจัดการการเข้าถึงที่ปลอดภัยจากระยะไกลผ่านช่องทางอินเทอร์เน็ตแบบเปิดไปยังเซิร์ฟเวอร์ ฐานข้อมูล และทรัพยากรใดๆ ของเครือข่ายองค์กรของคุณ สมมติว่านักบัญชีในเมือง A สามารถพิมพ์ใบแจ้งหนี้บนเครื่องพิมพ์ของเลขานุการในเมือง B ที่ลูกค้ามาได้อย่างง่ายดาย พนักงานระยะไกลที่เชื่อมต่อผ่าน VPN จากแล็ปท็อปของตนจะสามารถทำงานบนเครือข่ายได้เหมือนกับว่าพวกเขาอยู่บนเครือข่ายจริงในสำนักงานของตน
บ่อยครั้งที่ลูกค้าต้องเผชิญกับ *การเบรก* ของเครื่องบันทึกเงินสดเมื่อใช้ Remote Desktop จำเป็นต้องติดตั้ง VPN สิ่งนี้จะช่วยให้คุณสามารถกำจัดการส่งข้อมูลสำหรับเครื่องบันทึกเงินสดไปมาไปยังเซิร์ฟเวอร์ผ่าน COM เสมือนผ่านอินเทอร์เน็ตและจะอนุญาตให้ติดตั้งไคลเอนต์แบบบาง ณ จุดใดก็ได้ที่สื่อสารกับเครื่องบันทึกเงินสดโดยตรงโดยส่งเฉพาะที่จำเป็นเท่านั้น ข้อมูลไปยังเซิร์ฟเวอร์ผ่านช่องทางปิด และการเผยแพร่อินเทอร์เฟซ RDP ไปยังอินเทอร์เน็ตโดยตรงจะทำให้บริษัทของคุณมีความเสี่ยงอย่างมาก
วิธีการเชื่อมต่อ
วิธีการจัดระเบียบ VPN เหมาะสมที่สุดเพื่อเน้น 2 วิธีหลักต่อไปนี้:
- (ลูกค้า-เครือข่าย ) การเข้าถึงระยะไกลของพนักงานแต่ละคนไปยังเครือข่ายองค์กรขององค์กรผ่านโมเด็มหรือเครือข่ายสาธารณะ
- (เครือข่าย - เครือข่าย) รวมสำนักงานสองแห่งขึ้นไปไว้ในเครือข่ายเสมือนที่ปลอดภัยเพียงแห่งเดียวผ่านทางอินเทอร์เน็ต
คู่มือส่วนใหญ่ โดยเฉพาะสำหรับ Windows อธิบายการเชื่อมต่อตามรูปแบบแรก ในเวลาเดียวกัน คุณต้องเข้าใจว่าการเชื่อมต่อนี้ไม่ใช่อุโมงค์ แต่อนุญาตให้คุณเชื่อมต่อกับเครือข่าย VPN เท่านั้น ในการจัดระเบียบอุโมงค์เหล่านี้ เราต้องการเพียง 1 IP สีขาวเท่านั้น และไม่ได้ขึ้นอยู่กับจำนวนสำนักงานระยะไกล หลายคนเชื่อผิดๆ
รูปภาพแสดงตัวเลือกทั้งสองสำหรับการเชื่อมต่อกับสำนักงานใหญ่ A
มีการจัดตั้งช่องทางระหว่างสำนักงาน A และ B เพื่อให้แน่ใจว่าสำนักงานจะรวมเป็นเครือข่ายเดียว สิ่งนี้ทำให้มั่นใจได้ถึงความโปร่งใสของทั้งสองสำนักงานสำหรับอุปกรณ์ใด ๆ ที่อยู่ในหนึ่งในนั้น ซึ่งช่วยแก้ปัญหาได้มากมาย ตัวอย่างเช่น การจัดความจุหมายเลขเดียวภายใน PBX เดียวด้วยโทรศัพท์ IP
บริการทั้งหมดของสำนักงาน A พร้อมใช้งานสำหรับไคลเอนต์มือถือ และหากสำนักงาน B ตั้งอยู่ในเครือข่ายเสมือนเดียว บริการของสำนักงานก็จะพร้อมใช้งานเช่นกัน
ในกรณีนี้ วิธีการเชื่อมต่อไคลเอนต์มือถือมักจะถูกนำมาใช้โดยโปรโตคอล PPTP (Point-to-Point Tunneling Protocol) โปรโตคอลการขุดอุโมงค์แบบจุดต่อจุด และ IPsec ที่สองหรือ OpenVPN
PPTP
(Point-to-Point Tunneling Protocol bumagin-lohg) เป็นโปรโตคอลช่องสัญญาณแบบจุดต่อจุด ซึ่งเป็นผลงานของ Microsoft และเป็นส่วนขยายของ PPP (โปรโตคอลแบบจุดต่อจุด) ดังนั้นการใช้การรับรองความถูกต้อง การบีบอัด และ กลไกการเข้ารหัส โปรโตคอล PPTP ถูกสร้างขึ้นใน Windows XP Remote Access Client ด้วยตัวเลือกมาตรฐานของโปรโตคอลนี้ Microsoft ขอแนะนำให้ใช้วิธีการเข้ารหัส MPPE (Microsoft Point-to-Point Encryption) คุณสามารถถ่ายโอนข้อมูลโดยไม่ต้องเข้ารหัสในรูปแบบข้อความที่ชัดเจน การห่อหุ้มข้อมูลโดยใช้โปรโตคอล PPTP เกิดขึ้นโดยการเพิ่มส่วนหัว GRE (Generic Routing Encapsulation) และส่วนหัว IP ให้กับข้อมูลที่ประมวลผลโดยโปรโตคอล PPP
เนื่องจากข้อกังวลด้านความปลอดภัยที่สำคัญ จึงไม่มีเหตุผลที่จะเลือก PPTP เหนือโปรโตคอลอื่น ๆ นอกเหนือจากความเข้ากันไม่ได้ของอุปกรณ์กับโปรโตคอล VPN อื่น ๆ หากอุปกรณ์ของคุณรองรับ L2TP/IPsec หรือ OpenVPN ก็ควรเลือกหนึ่งในโปรโตคอลเหล่านี้
ควรสังเกตว่าอุปกรณ์เกือบทั้งหมด รวมถึงอุปกรณ์พกพา มีไคลเอนต์ติดตั้งอยู่ในระบบปฏิบัติการ (Windows, iOS, Android) ที่ให้คุณตั้งค่าการเชื่อมต่อได้ทันที
L2TP
(Layer Two Tunneling Protocol) เป็นโปรโตคอลขั้นสูงที่เกิดจากการรวมกันระหว่างโปรโตคอล PPTP (จาก Microsoft) และ L2F (จาก Cisco) โดยผสมผสานโปรโตคอลที่ดีที่สุดทั้งหมดของทั้งสองโปรโตคอลเข้าด้วยกัน ให้การเชื่อมต่อที่ปลอดภัยกว่าตัวเลือกแรก การเข้ารหัสเกิดขึ้นโดยใช้โปรโตคอล IPSec (ความปลอดภัย IP) L2TP ยังถูกสร้างขึ้นในไคลเอนต์การเข้าถึงระยะไกลของ Windows XP ยิ่งกว่านั้นเมื่อพิจารณาประเภทการเชื่อมต่อโดยอัตโนมัติไคลเอนต์จะพยายามเชื่อมต่อกับเซิร์ฟเวอร์โดยใช้โปรโตคอลนี้ก่อนเนื่องจากจะดีกว่าในแง่ของความปลอดภัย
ในเวลาเดียวกันโปรโตคอล IPsec มีปัญหาเช่นการประสานงานของพารามิเตอร์ที่จำเป็น เนื่องจากผู้ผลิตหลายรายตั้งค่าพารามิเตอร์เป็นค่าเริ่มต้นโดยไม่มีความเป็นไปได้ในการกำหนดค่าฮาร์ดแวร์ที่ใช้โปรโตคอลนี้จะเข้ากันไม่ได้
โอเพ่น VPN
โซลูชัน VPN แบบเปิดขั้นสูงที่สร้างขึ้นโดยเทคโนโลยี OpenVPN ซึ่งปัจจุบันเป็นมาตรฐานในเทคโนโลยี VPN โดยพฤตินัย โซลูชันนี้ใช้โปรโตคอลการเข้ารหัส SSL/TLS OpenVPN ใช้ไลบรารี OpenSSL เพื่อให้การเข้ารหัส OpenSSL รองรับอัลกอริธึมการเข้ารหัสที่แตกต่างกันจำนวนมาก เช่น 3DES, AES, RC5, Blowfish เช่นเดียวกับ IPSec CheapVPN มีการเข้ารหัสในระดับที่สูงมาก - อัลกอริธึม AES พร้อมคีย์ 256 บิต
OpenVPN เป็นทางออกเดียวที่ช่วยให้คุณหลีกเลี่ยงผู้ให้บริการที่ตัดหรือเรียกเก็บค่าธรรมเนียมในการเปิดโปรโตคอลเพิ่มเติมนอกเหนือจาก WEB ทำให้สามารถจัดระเบียบช่องที่โดยหลักการแล้ว ไม่สามารถติดตามได้และ เรามีวิธีแก้ปัญหาดังกล่าว
ตอนนี้คุณคงพอเข้าใจแล้วว่า VPN คืออะไรและมันทำงานอย่างไร หากคุณเป็นผู้จัดการ ลองคิดดู บางทีนี่อาจเป็นสิ่งที่คุณกำลังมองหาอยู่ก็ได้
ตัวอย่างการตั้งค่าเซิร์ฟเวอร์ OpenVPN บนแพลตฟอร์ม pfSense
การสร้างเซิร์ฟเวอร์
- อินเทอร์เฟซ: วาน(อินเทอร์เฟซเครือข่ายเซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ต)
- โปรโตคอล: ยูดีพี
- พอร์ตท้องถิ่น: 1194
- คำอธิบาย: pfSenseOVPN(ชื่อใดก็ได้ที่สะดวก)
- เครือข่ายอุโมงค์: 10.0.1.0/24
- เกตเวย์การเปลี่ยนเส้นทาง: เปิดเครื่อง(ปิดใช้งานตัวเลือกนี้หากคุณไม่ต้องการให้การรับส่งข้อมูลอินเทอร์เน็ตไคลเอนต์ทั้งหมดถูกเปลี่ยนเส้นทางผ่านเซิร์ฟเวอร์ VPN)
- เครือข่ายท้องถิ่น: ปล่อยว่างไว้(หากคุณต้องการให้เครือข่ายท้องถิ่นที่อยู่ด้านหลังเซิร์ฟเวอร์ pfSense สามารถเข้าถึงได้โดยไคลเอนต์ VPN ระยะไกล ให้ระบุพื้นที่ที่อยู่ของเครือข่ายนั้นที่นี่ สมมติว่า 192.168.1.0/24)
- การเชื่อมต่อพร้อมกัน: 2 (หากคุณซื้อใบอนุญาตเซิร์ฟเวอร์การเข้าถึงระยะไกล OpenVPN เพิ่มเติม ให้ป้อนหมายเลขที่สอดคล้องกับจำนวนใบอนุญาตที่ซื้อ)
- การสื่อสารระหว่างลูกค้า: เปิดเครื่อง(ถ้าคุณไม่ต้องการให้ไคลเอนต์ VPN เห็นกัน ให้ปิดการใช้งานตัวเลือกนี้)
- เซิร์ฟเวอร์ DNS 1 (2 ฯลฯ): ระบุเซิร์ฟเวอร์ DNS ของโฮสต์ pfSense(คุณสามารถดูที่อยู่ของพวกเขาได้ในส่วน ระบบ > การตั้งค่าทั่วไป > เซิร์ฟเวอร์ DNS)
ต่อไป เราสร้างไคลเอนต์และเพื่อลดความซับซ้อนของขั้นตอนการกำหนดค่าสำหรับโปรแกรมไคลเอนต์ pfSense ได้จัดเตรียมเครื่องมือเพิ่มเติม - “ยูทิลิตี้ส่งออกไคลเอนต์ OpenVPN”- เครื่องมือนี้จะเตรียมแพ็คเกจการติดตั้งและไฟล์สำหรับไคลเอนต์โดยอัตโนมัติ โดยไม่จำเป็นต้องกำหนดค่าไคลเอนต์ OpenVPN ด้วยตนเอง
การเชื่อมต่อ VPN ระหว่างสำนักงานครอบคลุมข้อกำหนดด้านความปลอดภัยทางธุรกิจ เช่น:
- ความเป็นไปได้ในการเข้าถึงข้อมูลแบบรวมศูนย์จากสำนักงานและจากสำนักงานใหญ่
- ระบบข้อมูลองค์กรแบบครบวงจร
- ฐานข้อมูลองค์กรที่มีจุดเข้าเพียงจุดเดียว
- อีเมลธุรกิจที่มีการลงชื่อเพียงครั้งเดียว
- การรักษาความลับของข้อมูลที่ถ่ายโอนระหว่างสำนักงาน
หากคุณมีปัญหาในการตั้งค่าหรือยังไม่ได้ตัดสินใจเกี่ยวกับเทคโนโลยี VPN โทรหาเรา!
เครือข่ายหลายบริการและไร้สาย
การรวมสำนักงานขององค์กรโดยใช้เทคโนโลยี VPN
เครือข่ายข้อมูลองค์กรได้รับการออกแบบมาเพื่อให้แน่ใจว่าการทำงานที่มีประสิทธิภาพของโครงสร้างพื้นฐานข้อมูลขององค์กร KSPD ช่วยให้คุณสามารถรวมพื้นที่และสำนักงานที่แตกต่างกันและห่างไกลของบริษัทให้เป็นเครือข่ายองค์กรเดียว สร้างพื้นที่ข้อมูลเดียวและการเชื่อมต่อที่ปลอดภัยสำหรับสำนักงานระยะไกลที่ใช้เทคโนโลยี VPN (ดูรูปที่ 1) เครือข่ายส่วนตัวเสมือนขององค์กรที่ปลอดภัยให้การเข้ารหัสข้อมูลที่ส่งระหว่างสำนักงานของบริษัท ศูนย์ข้อมูลบริการโทรคมนาคมนำเสนอโซลูชันที่ครอบคลุมสำหรับการสร้างเครือข่าย VPN ขององค์กรโดยใช้อุปกรณ์จาก Cisco Systems, Juniper Networks และ Huawei Technologiesรูปที่ 1 แผนผังองค์กรองค์กรเครือข่าย VPN
การจัดระเบียบเครือข่าย VPN ขององค์กรโดยใช้อุปกรณ์ Cisco Systems
ปัจจุบัน Cisco Systems นำเสนอโซลูชั่น VPN ไฮเทคอย่างสมบูรณ์ เป็นไปตามข้อกำหนดของกฎระเบียบทางเทคนิคของรัสเซียในด้านความปลอดภัยของข้อมูล
Cisco Systems และ S-Terra SSP ได้พัฒนาโมดูล VPN NME-RVPN (MCM) เวอร์ชันใหม่ ซึ่งรองรับอัลกอริธึมการเข้ารหัสลับของรัสเซีย และผสานรวมเข้ากับเครือข่ายข้อมูลอัจฉริยะอย่างแน่นหนา การบูรณาการโมดูล NME-RVPN ในเวอร์ชัน MCM เข้าไป เราเตอร์ Cisco ISR 2800/3800 series และ 2900/3900 ช่วยให้ผู้บริโภคได้รับโซลูชันเดียวที่ให้การปกป้องข้อมูลที่ส่งตามข้อกำหนดของมาตรฐานรัสเซียการกำหนดเส้นทางขั้นสูงการสนับสนุนคุณภาพของกลไกการบริการสำหรับการรับส่งข้อมูลที่มีลำดับความสำคัญ (QoS) เช่น ตลอดจนบริการโทรศัพท์ IP และส่งสัญญาณวิดีโอ คุณสมบัติที่คล้ายกัน เสริมด้วยความสามารถในการจัดการและความน่าเชื่อถือของแพลตฟอร์มตามระบบปฏิบัติการ มีการเสนอให้สร้างเครือข่าย VPN ที่ปลอดภัยโดยใช้ไฟร์วอลล์ Cisco ASA 5500 เพื่อให้คุณปรับใช้เครือข่าย VPN ได้ ขึ้นอยู่กับโปรโตคอล IPSec โดยใช้อัลกอริธึมการเข้ารหัส DES แบบสมมาตร ( มาตรฐานการเข้ารหัสข้อมูล- สำหรับการเข้ารหัสนั้นจะใช้คีย์ที่มีความยาว 56 บิตซึ่งตรงตามข้อกำหนดของกฎระเบียบทางเทคนิคของรัสเซียในด้านความปลอดภัยข้อมูล โซลูชันนี้เป็นมิตรกับงบประมาณเมื่อเปรียบเทียบกับตัวเลือกที่ใช้โมดูล NME-RVPN ข้อเสียของโซลูชันนี้คือความแรงของอัลกอริธึมการเข้ารหัส DES ต่ำเมื่อเปรียบเทียบกับอัลกอริธึมการเข้ารหัสที่มีอยู่ โซลูชันทั่วไปประกอบด้วยส่วนประกอบการทำงานต่อไปนี้ (ดูรูปที่ 2): รูปที่ 2
มีการเสนอให้ใช้เครือข่าย VPN ที่ปลอดภัยโดยอิงตามชุดเกตเวย์บริการ Juniper SRX เกตเวย์บริการซีรีส์ SRX ช่วยให้คุณสามารถปรับใช้เครือข่าย VPN ตามโปรโตคอล IPSec โดยไม่มีข้อจำกัดเกี่ยวกับอัลกอริธึมการเข้ารหัสที่ใช้ เกตเวย์บริการ SRX รวมฟังก์ชันการกำหนดเส้นทาง การสลับ และการรักษาความปลอดภัยเครือข่าย เกตเวย์ซีรีส์ SRX มีประสิทธิภาพสูงในแง่ของฟังก์ชันไฟร์วอลล์ ฟังก์ชัน IPS และพอร์ต GE ที่มีความหนาแน่นสูงพร้อมรองรับฟังก์ชัน PoE ที่. โซลูชันนี้สามารถจัดเป็นโซลูชันราคาประหยัดที่ช่วยให้คุณสามารถปรับใช้เครือข่าย VPN โดยไม่มีข้อจำกัดเกี่ยวกับอัลกอริธึมการเข้ารหัสที่ใช้
การจัดระเบียบเครือข่าย VPN ขององค์กรโดยใช้อุปกรณ์ Juniper Networks
มีการเสนอให้ใช้เครือข่าย VPN ที่ปลอดภัยโดยใช้เกตเวย์ความปลอดภัยของ USG เกตเวย์ความปลอดภัยของ USG ช่วยให้คุณสามารถปรับใช้เครือข่าย VPN ตามโปรโตคอล IPSec โดยไม่มีข้อจำกัดเกี่ยวกับอัลกอริธึมการเข้ารหัสที่ใช้ เปิดตัว USG Universal Security Gateways เป็นตัวแทนของเกตเวย์รักษาความปลอดภัยมัลติฟังก์ชั่นรุ่นใหม่ที่ออกแบบมาสำหรับธุรกิจขนาดกลางและสาขาขององค์กรขนาดใหญ่ ด้วยโครงสร้างแบบโมดูลาร์ USG จึงรวมฟังก์ชันต่างๆ ไว้ด้วยกัน เช่น ฟังก์ชันการรักษาความปลอดภัย การกำหนดเส้นทาง การสลับ และฟังก์ชันไร้สาย การสื่อสาร เรายังนำเสนอโซลูชั่นสำหรับการจัดระเบียบเครือข่าย VPN อย่างสมบูรณ์ เป็นไปตามข้อกำหนดของกฎระเบียบทางเทคนิคของรัสเซียในด้านความปลอดภัยของข้อมูล เพื่อปกป้องข้อมูล จึงมีการใช้ซอฟต์แวร์และฮาร์ดแวร์ที่ซับซ้อน (ต่อไปนี้เรียกว่า SAC) “ViPNet Coordinator HW-VPNM” ซึ่งเป็นการพัฒนาร่วมกันของ InfoTecs และ Huawei Symantec ชุดซอฟต์แวร์ "ViPNet Coordinator HW-VPNM" เป็นเครื่องมือสากลสำหรับการปกป้องข้อมูลในเครือข่ายการสื่อสารระดับท้องถิ่นและระดับโลก (รวมถึงอินเทอร์เน็ต) และทำหน้าที่ของไฟร์วอลล์และเกตเวย์เข้ารหัสลับ คุณลักษณะของ PAK คือการดำเนินการเป็นโมดูลส่วนขยายสำหรับเราเตอร์ Huawei Symantec USG ตลอดจนประสิทธิภาพสูงในการเข้ารหัสการรับส่งข้อมูล IP จริง - การรับส่งข้อมูลสูงสุด 180 Mbit/s โดยไม่จำกัดจำนวนเซสชันที่รองรับพร้อมกัน . ควรสังเกตว่าในกรณีนี้การรับส่งข้อมูล IP ทั้งหมดจะถูกเข้ารหัสอย่างสมบูรณ์ตามอัลกอริทึม GOST 28147-89 พร้อมการห่อหุ้มพร้อมกัน (ซ่อนโครงสร้างข้อมูล) ของแพ็กเก็ต IP ดั้งเดิมลงในแพ็กเก็ต UDP สิ่งนี้ให้การต่อต้านอย่างที่ไม่เคยเกิดขึ้นมาก่อนต่อความพยายามที่จะวิเคราะห์และการเข้าถึงข้อมูลที่ได้รับการคุ้มครองโดยไม่ได้รับอนุญาต ชุดซอฟต์แวร์ "ViPNet Coordinator HW" มีใบรับรองความสอดคล้องของ FSB ของสหพันธรัฐรัสเซียหมายเลข SF/124-1459 ลงวันที่ 9 พฤษภาคม 2010 ซึ่งรับรองการปฏิบัติตามข้อกำหนดของ FSB ของรัสเซียสำหรับ CIPF คลาส KS3 และ ความสามารถในการใช้ข้อมูลสำหรับการป้องกันการเข้ารหัส (การป้องกันการเข้ารหัสและการเลียนแบบการรับส่งข้อมูล IP) ที่ไม่มีข้อมูลที่เป็นความลับของรัฐ
การจัดระเบียบเครือข่าย VPN ขององค์กรโดยใช้อุปกรณ์ Huawei Symantec
แนวคิดของการสร้างเครือข่ายส่วนตัวเสมือนให้สอดคล้องกับข้อกำหนดทางกฎหมายสมัยใหม่ของหน่วยงานกำกับดูแลของรัสเซีย โซลูชันที่นำเสนอตรงตามข้อกำหนดต่อไปนี้:
การจัดระเบียบเครือข่าย VPN ขององค์กรที่ใช้ระบบ ViPNet จาก Infotecs
ในบทความนี้เราจะมาดูกระบวนการตั้งค่าเซิร์ฟเวอร์ VPN ในระบบปฏิบัติการ Windows Server อย่างละเอียดยิ่งขึ้นและตอบคำถามด้วย: VPN คืออะไรและจะตั้งค่าการเชื่อมต่อ VPN ได้อย่างไร?
การเชื่อมต่อ VPN คืออะไร?
VPN (Virtual Private Network) คือเครือข่ายส่วนตัวเสมือนที่ใช้เพื่อให้การเชื่อมต่อที่ปลอดภัยกับเครือข่าย เทคโนโลยีที่ช่วยให้คุณเชื่อมต่ออุปกรณ์จำนวนเท่าใดก็ได้เข้ากับเครือข่ายส่วนตัว ตามกฎแล้วผ่านทางอินเทอร์เน็ต
แม้ว่าเทคโนโลยีนี้จะไม่ใช่ของใหม่ แต่เพิ่งได้รับความเกี่ยวข้องเนื่องจากความต้องการของผู้ใช้ในการรักษาความสมบูรณ์ของข้อมูลหรือความเป็นส่วนตัวแบบเรียลไทม์
วิธีการเชื่อมต่อนี้เรียกว่าอุโมงค์ VPN คุณสามารถเชื่อมต่อ VPN ได้จากคอมพิวเตอร์เครื่องใดก็ได้ ด้วยระบบปฏิบัติการใดก็ได้ที่รองรับการเชื่อมต่อ VPN หรือมีการติดตั้ง VPN-Client ซึ่งสามารถส่งต่อพอร์ตโดยใช้ TCP/IP ไปยังเครือข่ายเสมือนได้
VPN ทำอะไร?
VPN ให้การเชื่อมต่อระยะไกลไปยังเครือข่ายส่วนตัว
คุณยังสามารถรวมเครือข่ายและเซิร์ฟเวอร์ต่างๆ ได้อย่างปลอดภัย
คอมพิวเตอร์ที่มีที่อยู่ IP ตั้งแต่ 192.168.0.10 ถึง 192.168.0.125 เชื่อมต่อผ่านเกตเวย์เครือข่าย ซึ่งทำหน้าที่เป็นเซิร์ฟเวอร์ VPN กฎสำหรับการเชื่อมต่อผ่านช่อง VPN จะต้องเขียนบนเซิร์ฟเวอร์และเราเตอร์ก่อน
VPN ช่วยให้คุณใช้อินเทอร์เน็ตได้อย่างปลอดภัยเมื่อเชื่อมต่อแม้กระทั่งกับเครือข่าย Wi-Fi แบบเปิดในพื้นที่สาธารณะ (ในศูนย์การค้า โรงแรม หรือสนามบิน)
และยังข้ามข้อจำกัดในการแสดงเนื้อหาในบางประเทศอีกด้วย
VPN ป้องกันภัยคุกคามทางไซเบอร์โดยผู้โจมตีที่ดักจับข้อมูลได้ทันทีโดยที่ผู้รับไม่สังเกตเห็น
VPN ทำงานอย่างไร
มาดูกันว่าหลักการของการเชื่อมต่อ VPN ทำงานอย่างไร
ลองจินตนาการว่าการส่งผ่านคือการเคลื่อนตัวของแพ็กเก็ตไปตามทางหลวงจากจุด A ไปยังจุด B โดยมีจุดตรวจสำหรับส่งแพ็กเก็ตข้อมูลตามเส้นทาง เมื่อใช้ VPN เส้นทางนี้จะได้รับการปกป้องเพิ่มเติมโดยระบบเข้ารหัสและการตรวจสอบผู้ใช้เพื่อความปลอดภัยการรับส่งข้อมูลที่มีแพ็กเก็ตข้อมูล วิธีการนี้เรียกว่า “การขุดอุโมงค์” (การขุดอุโมงค์ - การใช้อุโมงค์)
ในช่องนี้ การสื่อสารทั้งหมดได้รับการปกป้องอย่างเชื่อถือได้ และโหนดการส่งข้อมูลระดับกลางทั้งหมดจะจัดการกับแพ็คเกจที่เข้ารหัส และเฉพาะเมื่อข้อมูลถูกส่งไปยังผู้รับเท่านั้น ข้อมูลในแพ็คเกจจะถูกถอดรหัสและจะพร้อมใช้งานสำหรับผู้รับที่ได้รับอนุญาตเท่านั้น
VPN จะรับรองความเป็นส่วนตัวของข้อมูลของคุณพร้อมกับแอนตี้ไวรัสที่ครอบคลุม
VPN รองรับใบรับรองเช่น OpenVPN, L2TP, IPSec, PPTP, PPOE และกลายเป็นวิธีการถ่ายโอนข้อมูลที่ปลอดภัยอย่างสมบูรณ์
ใช้การทันเนล VPN:
- ภายในเครือข่ายองค์กร
- การรวมสำนักงานระยะไกลรวมถึงสาขาขนาดเล็ก
- การเข้าถึงทรัพยากรไอทีภายนอก
- สำหรับการสร้างการประชุมทางวิดีโอ
การสร้าง VPN การเลือกและกำหนดค่าอุปกรณ์
สำหรับการสื่อสารองค์กรในองค์กรขนาดใหญ่หรือการรวมสำนักงานที่อยู่ห่างไกลจากกัน ฮาร์ดแวร์จะถูกใช้ซึ่งสามารถรักษาการทำงานและความปลอดภัยในเครือข่ายได้อย่างต่อเนื่อง
หากต้องการใช้บริการ VPN บทบาทของเกตเวย์เครือข่ายอาจเป็น: เซิร์ฟเวอร์ Linux/Windows, เราเตอร์ และเกตเวย์เครือข่ายที่ติดตั้ง VPN
เราเตอร์จะต้องรับประกันการทำงานที่เชื่อถือได้ของเครือข่ายโดยไม่ค้าง ฟังก์ชัน VPN ในตัวช่วยให้คุณเปลี่ยนการกำหนดค่าสำหรับการทำงานที่บ้าน ในองค์กร หรือในสำนักงานสาขาได้
การตั้งค่าเซิร์ฟเวอร์ VPN
หากคุณต้องการติดตั้งและใช้เซิร์ฟเวอร์ VPN ที่ใช้ตระกูล Windows คุณต้องเข้าใจว่าเครื่องไคลเอนต์ Windows XP/7/8/10 ไม่รองรับฟังก์ชันนี้ คุณต้องมีระบบเสมือนจริงหรือเซิร์ฟเวอร์จริงบน Windows 2000/2003/2008/ แพลตฟอร์ม 2012/2016 แต่เราจะดูฟีเจอร์นี้ใน Windows Server 2008 R2
1. ขั้นแรก คุณต้องติดตั้งบทบาทเซิร์ฟเวอร์ "นโยบายเครือข่ายและบริการการเข้าถึง" ในการดำเนินการนี้ ให้เปิดตัวจัดการเซิร์ฟเวอร์แล้วคลิกลิงก์ "เพิ่มบทบาท":
เลือกบทบาทบริการนโยบายเครือข่ายและการเข้าถึงแล้วคลิกถัดไป:
เลือก "บริการการกำหนดเส้นทางและการเข้าถึงระยะไกล" แล้วคลิกถัดไปและติดตั้ง
2. หลังจากติดตั้งบทบาทแล้ว คุณต้องกำหนดค่าบทบาท ไปที่ Server Manager ขยายสาขา "บทบาท" เลือกบทบาท "บริการนโยบายเครือข่ายและการเข้าถึง" ขยาย คลิกขวาที่ "การกำหนดเส้นทางและการเข้าถึงระยะไกล" และเลือก "กำหนดค่าและเปิดใช้งานการกำหนดเส้นทางและการเข้าถึงระยะไกล"
หลังจากเริ่มบริการ เราจะถือว่าการกำหนดค่าบทบาทเสร็จสมบูรณ์ ตอนนี้คุณต้องอนุญาตให้ผู้ใช้เข้าถึงเซิร์ฟเวอร์และกำหนดค่าการออกที่อยู่ IP ให้กับลูกค้า
พอร์ตที่ VPN รองรับ หลังจากยกระดับบริการแล้ว บริการจะเปิดขึ้นในไฟร์วอลล์
สำหรับ PPTP: 1723 (TCP);
สำหรับ L2TP: 1701 (TCP)
สำหรับ SSTP: 443 (TCP)
โปรโตคอล L2TP/IpSec เป็นที่นิยมมากกว่าสำหรับการสร้างเครือข่าย VPN เพื่อความปลอดภัยและความพร้อมใช้งานที่สูงขึ้น เนื่องจากมีการใช้เซสชัน UDP เดียวสำหรับข้อมูลและช่องทางการควบคุม วันนี้เราจะมาดูการตั้งค่าเซิร์ฟเวอร์ L2TP/IpSec VPN บนแพลตฟอร์ม Windows Server 2008 r2
คุณสามารถลองใช้โปรโตคอลต่อไปนี้: PPTP, PPOE, SSTP, L2TP/L2TP/IpSec
ไปกันเลย ตัวจัดการเซิร์ฟเวอร์: บทบาท - การกำหนดเส้นทางและการเข้าถึงระยะไกลให้คลิกขวาที่บทบาทนี้แล้วเลือก “ คุณสมบัติ"บนแท็บ "ทั่วไป" ทำเครื่องหมายที่ช่องเราเตอร์ IPv4 เลือก "เครือข่ายท้องถิ่นและการโทรตามต้องการ" และเซิร์ฟเวอร์การเข้าถึงระยะไกล IPv4:
ตอนนี้เราต้องป้อนรหัสที่แชร์ล่วงหน้า ไปที่แท็บ ความปลอดภัยและในสนาม อนุญาตนโยบาย IPSec พิเศษสำหรับการเชื่อมต่อ L2TP ทำเครื่องหมายในช่องและกรอกรหัสของคุณ (เกี่ยวกับคีย์ คุณสามารถป้อนตัวอักษรและตัวเลขผสมกันได้ตามใจชอบ หลักการสำคัญคือ ยิ่งชุดค่าผสมซับซ้อนมากเท่าไรก็ยิ่งปลอดภัยมากขึ้นเท่านั้น และจำหรือจดชุดค่าผสมนี้ไว้ เราจะต้องการมันในภายหลัง) ในแท็บผู้ให้บริการการรับรองความถูกต้อง เลือกการรับรองความถูกต้องของ Windows
ตอนนี้เราจำเป็นต้องกำหนดค่า ความปลอดภัยในการเชื่อมต่อ- โดยไปที่แท็บ ความปลอดภัยและเลือก วิธีการรับรองความถูกต้องให้ทำเครื่องหมายในช่อง EAP และการรับรองความถูกต้องแบบเข้ารหัส (Microsoft เวอร์ชัน 2, MS-CHAP v2):
ต่อไปเรามาดูแท็บกันดีกว่า IPv4ที่นั่นเราจะระบุว่าอินเทอร์เฟซใดที่จะยอมรับการเชื่อมต่อ VPN และกำหนดค่าพูลของที่อยู่ที่ออกให้กับไคลเอนต์ L2TP VPN บนแท็บ IPv4 (ตั้งค่าอินเทอร์เฟซเป็น "อนุญาตให้ RAS เลือกอะแดปเตอร์"):
ตอนนี้ไปที่แท็บที่ปรากฏขึ้น พอร์ตคลิกขวา และ คุณสมบัติให้เลือกการเชื่อมต่อ L2TPและกด ปรับแต่งเราจะแสดงในหน้าต่างใหม่ การเชื่อมต่อการเข้าถึงระยะไกล (ขาเข้าเท่านั้น)และ การเชื่อมต่อตามความต้องการ (ขาเข้าและขาออก)และกำหนดจำนวนพอร์ตสูงสุด โดยจำนวนพอร์ตจะต้องตรงกันหรือเกินจำนวนไคลเอ็นต์ที่คาดไว้ เป็นการดีกว่าที่จะปิดการใช้งานโปรโตคอลที่ไม่ได้ใช้โดยยกเลิกการเลือกช่องทำเครื่องหมายทั้งสองในคุณสมบัติ
รายการพอร์ตที่เราเหลือตามจำนวนที่กำหนด
เสร็จสิ้นการตั้งค่าเซิร์ฟเวอร์ สิ่งที่เหลืออยู่คือการอนุญาตให้ผู้ใช้เชื่อมต่อกับเซิร์ฟเวอร์ ไปที่ ผู้จัดการเซิร์ฟเวอร์ ไดเรกทอรีที่ใช้งานอยู่ – ผู้ใช้ – เราค้นหาผู้ใช้ที่เราต้องการ อนุญาตให้เข้าถึงกด คุณสมบัติให้ไปที่บุ๊กมาร์ก สายเรียกเข้า
