Sino ang nangangailangan ng VPN?
Noong Marso 2017, ang bahagi ng mga bakante para sa trabaho na may malayuang pag-access na naka-post sa hh.ru ay 1.5% o 13,339 na bakante. Sa loob ng taon, dumoble ang kanilang bilang. Noong 2014, ang bilang ng mga malalayong manggagawa ay tinatayang nasa 600 libong tao o 1% ng populasyon na aktibong ekonomiko (15–69 taong gulang). Hinuhulaan ng J"son & Partners Consulting na sa 2018, humigit-kumulang 20% ng lahat ng mga nagtatrabahong Russian ang magtatrabaho nang malayuan. Halimbawa, sa pagtatapos ng 2017, plano ng Beeline na lumipat mula 50% hanggang 70% ng mga tauhan nito sa malayong pakikipagtulungan.
Bakit inililipat ng mga kumpanya ang mga empleyado sa malayong trabaho:
- Pagbawas sa mga gastos ng kumpanya para sa pag-upa at pagpapanatili ng mga lugar ng trabaho.
- Ang hindi pagkakatali sa isang lokasyon ay ginagawang posible na mag-ipon ng isang koponan
proyekto, na hindi kailanman maaaring makolekta sa loob ng isang lungsod. Ang isang karagdagang kalamangan ay ang posibilidad ng paggamit ng mas murang paggawa. - Pagtugon sa mga pangangailangan ng mga empleyado na may kaugnayan sa kanilang mga kalagayan sa pamilya.
Natuklasan namin ang pangangailangan para sa isang VPN higit sa 10 taon na ang nakakaraan. Para sa amin, ang motivator sa pagbibigay ng VPN access sa mga empleyado ay ang kakayahang mabilis na ma-access ang corporate network mula sa kahit saan sa mundo at anumang oras sa araw o gabi.
Ang landas sa pagpili ng perpektong solusyon sa VPN
Napakaraming posibleng solusyon. Kadalasan, ang desisyon ay dapat gawin batay sa kung anong kagamitan at software ang ginagamit na sa kumpanya, at kung anong software ang may kasanayang i-configure ng system administrator. Magsisimula ako sa kung ano ang tinanggihan namin kaagad, at pagkatapos ay sasabihin ko sa iyo kung ano ang sinubukan namin at kung ano ang aming naayos sa huli.
VPN sa mga router
Mayroong maraming tinatawag na "mga solusyon sa Tsino" sa merkado. Halos anumang router ay may functionality ng isang built-in na VPN server. Kadalasan ito ay isang simpleng on/off functionality at pagdaragdag ng mga login at password para sa mga user, minsan ay integration sa Radius server. Bakit hindi namin naisip ang gayong solusyon? Una sa lahat, iniisip natin ang ating kaligtasan at pagpapatuloy ng serbisyo. Ang mga katulad na piraso ng hardware ay hindi maaaring magyabang ng maaasahang proteksyon (ang mga update sa firmware ay kadalasang inilabas na napakabihirang, o hindi inilabas sa lahat), at ang pagiging maaasahan ng kanilang operasyon ay nag-iiwan ng maraming bagay na naisin.
klase ng VPN Enterprise
Kung titingnan mo ang Gartner square, ang mga nangungunang posisyon sa merkado ng VPN ay matagal nang inookupahan ng mga kumpanyang gumagawa ng kagamitan sa network. Juniper, Cisco, Check Point: lahat sila ay may komprehensibong solusyon na may kasamang serbisyo ng VPN.
Marahil ay may dalawang downsides sa naturang mga solusyon. Ang una at pangunahing bagay ay ang mataas na gastos. Pangalawa, ang bilis ng pagsasara ng mga kahinaan ay nag-iiwan ng maraming nais, at kung hindi ka magbabayad ng taunang mga bayarin sa suporta, hindi mo dapat asahan ang mga update sa seguridad. Hindi pa katagal, lumitaw ang isang ikatlong punto - mga bookmark na binuo sa software ng malalaking network vendor.
Microsoft VPN
10 taon na ang nakararaan, isa kaming Windows-first na kumpanya. Nag-aalok ang Microsoft ng libreng solusyon para sa mga may buong imprastraktura na binuo sa kanilang base. Sa mga simpleng kaso, hindi mahirap ang pag-setup kahit para sa isang baguhan na tagapangasiwa ng system. Sa aming kaso, nais naming masulit ang VPN sa mga tuntunin ng seguridad, kaya hindi kasama ang paggamit ng mga password. Natural na gusto naming gumamit ng mga certificate sa halip na mga password at gamitin ang aming produkto na Rutoken EDS para i-store ang key pair. Upang ipatupad ang proyekto, kailangan namin ng: isang domain controller, isang radius server, at isang maayos na naka-install at naka-configure na imprastraktura ng PKI. Hindi ko tatalakayin nang detalyado ang pag-setup; napakaraming impormasyon sa mga isyung ito sa Internet, at ang tamang pag-setup ng PKI ay karaniwang maaaring tumagal ng isang dosenang artikulo. Ang unang protocol na ginamit namin sa bahay ay ang PPTP protocol. Sa loob ng mahabang panahon, ang pagpipiliang VPN na ito ay nababagay sa amin, ngunit sa huli ay kinailangan naming iwanan ito para sa dalawang kadahilanan: Ang PPTP ay hindi gumana sa lahat ng dako at nagsimula kaming gumamit hindi lamang ng Windows, kundi pati na rin ang iba pang mga operating system. Samakatuwid, nagsimula kaming maghanap ng mga alternatibo. Pakitandaan na ang suporta sa PPTP ay itinigil kamakailan ng Apple. Upang magsimula, nagpasya kaming makita kung ano ang iba pang mga protocol na inaalok ng Microsoft. SSTP/L2TP. Maayos sa amin ang SSTP, maliban na gumana lang ito sa Windows. Ang L2TP ay walang ganitong disbentaha, ngunit ang pag-set up nito at pagpapanatili nito sa pagpapatakbo ay tila medyo mahal sa amin at nagpasya kaming sumubok ng mga alternatibo. Gusto ko ng mas simpleng solusyon para sa parehong mga user at administrator.
OpenVPN
Kami sa Aktiv ay taos-pusong nagmamahal sa open source. Kapag pumipili ng kapalit para sa Microsoft VPN, hindi namin maaaring balewalain ang solusyon sa OpenVPN. Ang pangunahing bentahe para sa amin ay ang solusyon ay gumagana sa labas ng kahon sa lahat ng mga platform. Ang pagpapataas ng isang server sa isang simpleng kaso ay medyo simple. Ngayon, gamit ang docker at, halimbawa, isang yari na imahe, magagawa ito sa loob ng ilang minuto. Pero mas gusto namin. Nais naming magdagdag ng pagsasama sa Microsoft CA sa proyekto upang magamit ang mga naunang ibinigay na sertipiko. Nais naming magdagdag ng suporta para sa mga token na ginagamit namin. Kung paano mag-set up ng kumbinasyon ng OpenVPN at mga token ay inilarawan, halimbawa, sa isang ito. Mas mahirap i-set up ang pagsasama ng Microsoft CA at OpenVPN, ngunit sa pangkalahatan ito ay lubos na magagawa. Ginamit namin ang nagresultang solusyon sa loob ng halos tatlong taon, ngunit sa lahat ng oras na ito ay patuloy kaming naghahanap ng mas maginhawang mga opsyon. Ang pangunahing tampok na nakuha namin sa pamamagitan ng paglipat sa OpenVPN ay pag-access mula sa anumang OS. Ngunit dalawa pang reklamo ang nananatili: ang mga empleyado ng kumpanya ay kailangang dumaan sa 7 bilog ng Microsoft CA na impiyerno upang mag-isyu ng isang sertipiko, at ang mga administrador ay kailangan pa ring magpanatili ng medyo kumplikadong imprastraktura ng VPN.
Rutoken VPN
Mayroon kaming kaalaman kung paano gumamit ng mga token sa anumang operating system, mayroon kaming pag-unawa sa kung paano maayos na maghanda ng isang imprastraktura ng PKI, alam namin kung paano i-configure ang iba't ibang bersyon ng OpenVPN, at mayroon kaming mga teknolohiya na nagpapahintulot sa amin na pamahalaan ang lahat ng ito sa isang user-friendly na paraan mula sa isang browser window. Ito ay kung paano lumitaw ang ideya para sa isang bagong produkto.
Pagse-set up ng Rutoken VPN
Talagang sinubukan naming gawing simple at diretso ang setup. Ang buong setup ay tumatagal lamang ng ilang minuto at ipinapatupad bilang isang paunang setup wizard. Ang unang hakbang ay upang i-configure ang mga setting ng network ng device sa tingin ko ay magiging kalabisan ang mga komento dito.
Sa pangalawang hakbang, kailangan mong ipasok ang pangalan ng kumpanya at maghintay ng ilang minuto habang kino-configure ng device ang built-in na awtoridad sa sertipiko.
Ang ikatlong hakbang ay upang i-configure ang serbisyo ng VPN mismo. Tukuyin ang panlabas na IP kung saan magaganap ang koneksyon. Piliin ang uri ng pag-encrypt at pag-address ng network.
Ang ikaapat na hakbang sa pagsasaayos ay ang lumikha ng mga lokal na user, o idagdag sila mula sa AD
Personal na account ng empleyado
Depende sa operating system at browser ng empleyado, kakailanganin mong mag-install ng plugin at extension ng browser na kinakailangan upang gumana sa mga token.
Pagkatapos i-install ang plugin/extension, ang kailangan lang naming gawin ay bumuo ng certificate para sa aming Rutoken EDS.
At i-install ang kliyente para sa nais na operating system:
Paano gumagana ang lahat ng ito?
Medyo tungkol sa hardware. Sa una, matagal naming pinag-isipan kung anong "base" ang gagamitin para sa aming solusyon, dahil kinakailangan na mapanatili ang balanse sa pagitan ng gastos, kaginhawahan, at pagganap. Pagkatapos ng pagsasaliksik kung ano ang inaalok sa merkado, kami ay nanirahan sa dalawang opsyon para sa pagpapatupad at karagdagang pamamahagi ng solusyon:
- Ang x86 (Enterprise) ay isang software solution na ibinibigay sa end user sa anyo ng isang virtual machine image na maaaring i-deploy sa loob ng IT infrastructure nito.
- Ang Raspberry Pi ay isa nang medyo kilalang microcomputer na may napakahusay na pagganap sa hindi masyadong mataas na halaga at maaaring magamit bilang isang VPN server sa loob ng 10 minuto matapos itong literal na mailabas sa kahon.
Kaya, ngayon tingnan natin kung paano gumagana ang aming solusyon. Una sa lahat, gusto kong ipaalala sa iyo na nagpatupad kami ng two-factor authentication. Ang mga token ng sarili naming produksyon, pati na rin ang software para sa pagtatrabaho sa kanila, ay ginagamit bilang mga carrier ng mga pribadong key at certificate ng kliyente.
Ngunit sa simula, kailangan pa rin naming i-configure ang mga serbisyong kinakailangan para gumana nang tama ang produkto. Ang mga serbisyo ay kasalukuyang kino-configure ng mga espesyalista ng aming kumpanya sa isang semi-awtomatikong mode. Nangangahulugan ito na ang proseso ng pag-deploy ng software at mga paunang setting ay awtomatiko, ngunit ang pagsisimula ng prosesong ito ay nananatiling isang pribilehiyo ng tao. Sa paunang pag-setup, naka-install ang mga system package, python, django, OpenVPN, supervisor, OpenSSL, atbp.
Ano ang susunod? Susunod, kailangan mong i-configure ang buong imprastraktura, na talagang responsable para sa seguridad sa pangkalahatan. Namely: CA (certificate authority), PKI (public key infrastructure), isulat ang mga kinakailangang key at certificate.
Ang paglikha ng PKI at CA, pati na rin ang pagbuo ng file ng pagsasaayos ng OpenVPN server, pagbuo ng susi at pagpapalabas ng sertipiko ay isinasagawa pagkatapos mailipat ang produkto sa kliyente. Ngunit hindi ito nangangahulugan na para dito kailangan mong magkaroon ng ilang partikular na kaalaman at direktang pag-access sa operating system. Ang lahat ay ipinatupad sa lohika ng negosyo ng backend ng sistema ng pangangasiwa, ang pag-access kung saan ibinibigay sa pamamagitan ng interface ng Web. Ang kliyente ay kinakailangan lamang na magpasok ng isang minimum na hanay ng mga katangian (inilarawan sa itaas), pagkatapos nito ay magsisimula ang proseso ng pagsisimula ng PKI at paglikha ng CA. Walang partikular na punto sa paglalarawan ng mga partikular na tawag sa mga utos ng system, dahil ang lahat ay matagal nang inilarawan at ngumunguya bago tayo. Ang pangunahing bagay na ginawa namin ay upang i-automate ang prosesong ito, na inaalis ang pangangailangan para sa user na magkaroon ng partikular na kaalaman sa pangangasiwa.
Upang magtrabaho sa mga susi at sertipiko, nagpasya kaming hindi muling likhain ang gulong (bagaman talagang gusto namin at pinaglalaruan pa rin ang ideya na muling likhain ito batay sa aming mga plano sa pagbuo ng produkto sa hinaharap) at gumamit ng easy-rsa.
Ang pinakamahabang proseso kapag nagse-set up ng imprastraktura ay ang pagbuo ng Diffie-Hellman file. Nag-eksperimento kami sa mga parameter sa loob ng mahabang panahon at dumating sa balanse ng "kalidad at pagganap". Bagama't may mga ideya na ganap na alisin ang hakbang na ito, bumuo ng mga ganoong file nang maaga gamit ang kapangyarihan ng aming server at "ipamahagi" lang ang mga ito sa panahon ng paunang pagsisimula. Bukod dito, ang data na nilalaman sa file na ito ay hindi pribado. Ngunit sa ngayon ay iniwan namin ang mga kaisipang ito para sa karagdagang "pananaliksik".
Susunod, kinakailangang bigyan ang end user ng mekanismo para sa independiyenteng paglikha ng mga key pairs, pagbuo ng mga kahilingang mag-isyu ng certificate sa CA, at aktwal na pagtanggap ng certificate na ito na may tala sa token. Kailangan mo rin ng isang kliyente na nagbibigay-daan sa iyong magtatag ng koneksyon sa VPN na may paunang pagpapatunay gamit ang isang token.
Nalutas namin ang unang problema salamat sa aming plugin, na nagpapatupad ng functionality ng electronic signature, encryption at two-factor authentication para sa mga serbisyo ng Web at SaaS. Upang makapag-isyu ng isang sertipiko at isulat ito sa token, dapat i-install ng user ang plugin na ito, sundin ang link upang makapunta sa personal na account ng serbisyo ng RutokenVPN, na unang nakakonekta ang token sa computer (maaari kang magbasa nang higit pa tungkol sa plugin sa aming mapagkukunan)
Kapag sinisimulan ang proseso ng pag-isyu ng isang sertipiko, isang kahilingan para sa isang token upang makabuo ng isang key pares, pati na rin ang isang kahilingan na mag-isyu ng isang sertipiko sa CA. Ang pribadong key ay isinulat sa token, at ang isang kahilingan na mag-isyu ng isang sertipiko ay ipinadala sa CA, na siya namang naglalabas nito at ibinabalik ito bilang tugon. Pagkatapos nito, ang sertipiko ay isinulat din sa token.
Halos lahat ay handa na upang magtatag ng isang koneksyon sa VPN. Ang kulang ay isang kliyente na "alam" kung paano magtrabaho kasama ang server at ang aming mga token.
Ang aming kliyente ay ipinatupad sa Electron. Para sa mga hindi alam kung anong uri ng hayop ito, kung gayon sa madaling sabi - ang kakayahang magpatupad ng isang desktop application gamit ang js, css at html. Nang walang mga detalye, ang kliyente ay isang uri ng "wrapper" sa OpenVPN client, na nagpapahintulot na tawagan ito gamit ang mga kinakailangang parameter. Bakit ganito? Sa katunayan, ito ay mas maginhawa para sa amin, kahit na ang napiling solusyon ay nagpapataw ng ilang mga paghihigpit.
Dahil ginagamit namin ang token bilang tagapagdala ng pangunahing impormasyong kinakailangan para sa pagpapatunay kapag nagtatatag ng sesyon ng VPN, kailangan naming i-configure ang kliyente ng OpenVPN upang gumana dito. Ang provider ng PKCS#11 ay isang self-developed na library para sa pagtatrabaho sa aming mga token, ang landas kung saan tinukoy sa mga setting ng OpenVPN client. Maaari mong basahin ang higit pa tungkol dito.
Kapag ang isang kahilingan ay ginawa upang magtatag ng isang koneksyon sa VPN, ang pangunahing PIN code ay hinihiling, kung naipasok nang tama, ang isang sertipiko ay kukunin upang patotohanan ang kliyente, isang pakikipagkamay ay isinasagawa sa pagitan ng kliyente at ng server, at isang koneksyon sa VPN ay itinatag. Ang mga taong may kaalaman ay maaaring magtaltalan na hindi lahat ay napakasimple, ngunit ang layunin ng paglalarawan na ito ay hindi upang sabihin ang lahat ng mga intricacies ng OpenVPN, ngunit upang i-highlight lamang ang mga pangunahing punto ng aming pagpapatupad.
Kaunti tungkol sa aming mga plano. Ang pangunahing bagay na ginagawa namin ngayon ay ang pagpapatupad ng GOST encryption. Nasaklaw na namin ang medyo mahabang landas ng pananaliksik, na nagbigay-daan sa amin na mas malapit hangga't maaari sa pagpapatupad nito. Sa malapit na hinaharap, matutugunan namin ang interes ng mga potensyal na kliyente sa pagpapaandar na ito.
Mga Tag:
- vpn
- openvpn
- raspberry pi
- roottoken
- openssl
Republican scale para sa mga pangangailangan ng isang medium-sized na negosyo. Huwag maghanap dito para sa isang gabay sa mga teknolohiya ng VPN - wala dito, mayroong mga espesyal na manual para doon, na magagamit sa electronic at naka-print na anyo. Susubukan ko lang magbigay ng ideya, gamit ang isang praktikal na halimbawa, kung anong uri ng "hayop" ang VPN na ito, at ituro ang mga tampok ng pagbuo ng naturang imprastraktura sa aming mga kondisyon, sabay-sabay na nagbubuod ng aking karanasan sa larangang ito. Ang lahat ng sinabi ko ay hindi inaangkin na ang tunay na katotohanan, at sumasalamin lamang sa aking sariling pananaw.
Bakit kailangan ito?
Kaya, ang mga unang kundisyon ay ang mga sumusunod: ang iyong organisasyon ay may ilang mga sangay na matatagpuan sa isang malaking distansya mula sa isa't isa sa loob ng parehong lungsod o kahit na sa iba't ibang mga lungsod ng bansa. Binigyan ka, sa unang tingin, ng isang ganap na kamangha-manghang gawain: upang pag-isahin ang mga lokal na network ng sangay sa isang pandaigdigang network; upang ma-access ng bawat computer ang isa pang computer sa network na ito, saan man ito matatagpuan - sa susunod na silid o isang libong kilometro ang layo. Minsan ang kondisyon ng gawain ay mukhang iba: upang magbigay ng access sa isang tiyak na mapagkukunan ng isang sangay mula sa mga computer sa isang network ng iba pang mga sangay (ngunit ang kakanyahan ng bagay ay hindi nagbabago).
At paano ito gagawin?
Ginagawa ito gamit ang teknolohiya ng VPN. Sa madaling salita, ang isang lohikal na network ay "itinapon" sa ibabaw ng iyong mga indibidwal na network, ang mga indibidwal na bahagi (iyon ay, mga sangay) na maaaring konektado sa isa't isa sa iba't ibang paraan: sa pamamagitan ng mga pampublikong channel (Internet), sa pamamagitan ng mga naupahang linya, sa pamamagitan ng isang wireless network. Ang resulta ay isang homogenous na network na binubuo ng mga heterogenous na bahagi.
Malinaw na ang opsyon ng paglalagay ng mga channel sa iyong sarili ay hindi maaaring isaalang-alang dahil sa mga kondisyong itinakda; Samakatuwid, walang ibang gagawin kundi makipag-ugnayan sa provider ng serbisyo ng telekomunikasyon, o, mas simple, sa provider. Ang pagpili ng provider ay isang hiwalay na paksa para sa talakayan na lampas sa saklaw ng artikulong ito. Dapat lamang tandaan na ang lahat ay nakasalalay sa ilang mga kadahilanan, ang pinakamahalaga ay ang dami ng mga serbisyong ibinigay at ang kalidad ng komunikasyon. Ang mga presyo para sa paglipat ng data ay hindi gaanong mahalaga, at dito kailangan mong piliin ang gitnang lupa sa pagitan ng presyo at kalidad. Dahil ang bawat isa ay nagtatakda ng bar na ito para sa kanilang sarili nang paisa-isa (para sa ilan, ang isang buong oras na walang komunikasyon ay hindi isang problema, ngunit para sa iba, limang minuto ng downtime ay mukhang isang trahedya), imposibleng payuhan ang anuman dito.
Sa yugtong ito, kailangan mong umupo at maingat na isaalang-alang kung aling mga sangay ng iyong organisasyon ang isasama sa network. Kung mayroong higit sa dalawa o tatlo, para sa kalinawan, maaari ka ring gumuhit ng isang diagram na may isang palatandaan na nagpapahiwatig ng mga address at contact ng bawat sangay. Kung kailangan mong ayusin ang isang distributed network sa loob ng isang lungsod, karaniwan kang may pagpipilian ng ilang mga opsyon sa koneksyon mula sa iba't ibang provider. Sa aking kaso, kinakailangan upang pagsamahin ang ilang mga network na matatagpuan sa iba't ibang mga lungsod sa rehiyon; dito, tulad ng sinasabi nila, walang mga pagpipilian - kailangan mong bumaling sa monopolyong kumpanya na Kazakhtelecom, ang tanging pandaigdigang tagapagtustos ng ganitong uri ng komunikasyon sa buong Republika ng Kazakhstan. Mamaya sa artikulo ay isasaalang-alang ko ang partikular na pagkonekta sa pamamagitan ng Kazakhtelecom bilang ang pinaka-unibersal na paraan ng pag-angkop ng mga rekomendasyon para sa isang partikular na provider ay hindi magiging mahirap.
Kahit na ang paksa ay hackneyed, gayunpaman, marami ang madalas na nakakaranas ng mga kahirapan - ito man ay isang baguhan na tagapangasiwa ng system o simpleng isang advanced na gumagamit na pinilit ng kanyang mga superiors na gampanan ang mga function ng isang Enikey specialist. Ito ay kabalintunaan, ngunit sa kabila ng kasaganaan ng impormasyon sa mga VPN, ang paghahanap ng isang malinaw na opsyon ay isang tunay na problema. Bukod dito, nakakakuha pa nga ng impresyon ang isa na isinulat ito ng isa, habang ang iba naman ay walang pakundangan na kinopya ang teksto. Bilang resulta, ang mga resulta ng paghahanap ay literal na puno ng kasaganaan ng hindi kinakailangang impormasyon, kung saan ang isang bagay na kapaki-pakinabang ay bihirang makuha. Samakatuwid, nagpasya akong ngumunguya sa lahat ng mga nuances sa aking sariling paraan (marahil ito ay magiging kapaki-pakinabang sa isang tao).
Kaya ano ang isang VPN? VPN (VirtualPribadoNetwork- virtual pribadong network) ay isang pangkalahatang pangalan para sa mga teknolohiya na nagpapahintulot sa isa o higit pang mga koneksyon sa network (lohikal na network) na maibigay sa isa pang network (kabilang ang Internet). Depende sa mga protocol at layuning ginamit, ang VPN ay maaaring magbigay ng tatlong uri ng mga koneksyon: node-node, node-network At network-network. Sabi nga nila, no comments.
Stereotypical VPN scheme
Binibigyang-daan ka ng VPN na madaling pagsamahin ang isang malayong host sa lokal na network ng isang kumpanya o isa pang host, pati na rin pagsamahin ang mga network sa isa. Ang benepisyo ay medyo halata - madali naming ma-access ang enterprise network mula sa VPN client. Bilang karagdagan, pinoprotektahan din ng VPN ang iyong data sa pamamagitan ng pag-encrypt.
Hindi ako nagkukunwaring ilarawan sa iyo ang lahat ng mga prinsipyo ng pagpapatakbo ng VPN, dahil maraming dalubhasang literatura, at sa totoo lang, hindi ko alam ang maraming bagay sa aking sarili. Gayunpaman, kung ang iyong gawain ay "Gawin ito!", kailangan mong agad na makisali sa paksa.
Tingnan natin ang isang problema mula sa aking personal na kasanayan, noong kailangan kong ikonekta ang dalawang opisina sa pamamagitan ng VPN - isang punong tanggapan at isang sangay na tanggapan. Ang sitwasyon ay mas kumplikado sa pamamagitan ng katotohanan na mayroong isang video server sa punong tanggapan, na dapat na tumanggap ng video mula sa IP camera ng sangay. Narito ang gawain sa madaling sabi.
Maraming solusyon. Ang lahat ay nakasalalay sa kung ano ang mayroon ka. Sa pangkalahatan, ang isang VPN ay madaling bumuo gamit ang isang solusyon sa hardware batay sa iba't ibang mga Zyxel router. Sa isip, maaari ring mangyari na ang Internet ay ipinamahagi sa parehong mga opisina ng isang provider at pagkatapos ay hindi ka magkakaroon ng anumang mga problema (kailangan mo lamang makipag-ugnayan sa provider). Kung mayaman ang kumpanya, kaya naman nito ang CISCO. Ngunit kadalasan ang lahat ay nalutas gamit ang software.
At narito ang pagpipilian ay mahusay - Buksan ang VPN, WinRoute (tandaan na ito ay binabayaran), mga tool sa operating system, mga programa tulad ng Hamanchi (sa totoo lang, sa mga bihirang kaso ay makakatulong ito, ngunit hindi ko inirerekomenda na umasa dito - ang Ang libreng bersyon ay may limitasyon na 5 host at isa pang makabuluhang kawalan ay ang iyong buong koneksyon ay nakasalalay sa Hamanchi host, na hindi palaging mabuti). Sa aking kaso, mainam na gumamit ng OpenVPN, isang libreng programa na madaling makalikha ng maaasahang koneksyon sa VPN. Ngunit, gaya ng dati, susundin natin ang landas ng hindi bababa sa pagtutol.
Sa aking sangay, ang Internet ay ipinamamahagi sa pamamagitan ng isang gateway batay sa kliyenteng Windows. Sumasang-ayon ako, hindi ito ang pinakamahusay na solusyon, ngunit sapat na ito para sa tatlong computer ng kliyente. Kailangan kong gumawa ng VPN server mula sa gateway na ito. Dahil binabasa mo ang artikulong ito, malamang na sigurado ka na bago ka sa VPN. Samakatuwid, para sa iyo ay nagbibigay ako ng pinakasimpleng halimbawa, na, sa prinsipyo, ay nababagay sa akin.
Ang pamilyang Windows NT ay mayroon nang mga pasimulang kakayahan ng server na nakapaloob dito. Ang pag-set up ng isang VPN server sa isa sa mga makina ay hindi mahirap. Bilang isang server, magbibigay ako ng mga halimbawa ng mga screenshot ng Windows 7, ngunit ang mga pangkalahatang prinsipyo ay magiging katulad ng para sa lumang XP.
Pakitandaan na para ikonekta ang dalawang network, kailangan mo magkaiba sila ng range! Halimbawa, sa punong tanggapan ang saklaw ay maaaring 192.168.0.x, at sa sangay na tanggapan ay maaaring 192.168.20.x (o anumang kulay-abo na hanay ng IP). Ito ay napakahalaga, kaya mag-ingat. Ngayon, maaari kang magsimulang mag-set up.
Pumunta sa VPN server sa Control Panel -> Network and Sharing Center -> baguhin ang mga setting ng adapter.
Ngayon pindutin ang Alt key upang ilabas ang menu. Doon, sa item na File, kailangan mong piliin ang "Bagong papasok na koneksyon".
Lagyan ng check ang mga kahon para sa mga user na maaaring mag-log in sa pamamagitan ng VPN. Lubos kong inirerekumenda ang Pagdaragdag ng bagong user, pagbibigay dito ng magiliw na pangalan at pagtatalaga ng password.
Pagkatapos mong gawin ito, kailangan mong piliin sa susunod na window kung paano kumonekta ang mga user. Lagyan ng tsek ang kahon na "Sa pamamagitan ng Internet". Ngayon ay kailangan mo lamang magtalaga ng isang hanay ng mga virtual network address. Bukod dito, maaari mong piliin kung gaano karaming mga computer ang maaaring lumahok sa pagpapalitan ng data. Sa susunod na window, piliin ang TCP/IP version 4 protocol, i-click ang “Properties”:
Makikita mo kung ano ang mayroon ako sa screenshot. Kung gusto mong makakuha ng access ang kliyente sa lokal na network kung saan matatagpuan ang server, lagyan lang ng check ang checkbox na "Pahintulutan ang mga tumatawag sa lokal na network." Sa seksyong "Pagtatalaga ng mga IP address," inirerekomenda kong tukuyin ang mga address nang manu-mano ayon sa prinsipyong inilarawan ko sa itaas. Sa aking halimbawa, binigay ko ang hanay ng dalawampu't limang address lamang, bagama't maaari kong tukuyin lamang ang dalawa o 255.
Pagkatapos nito, mag-click sa pindutang "Pahintulutan ang pag-access".
Ang system ay awtomatikong lilikha ng isang VPN server, na malungkot na maghihintay para sa isang tao na sumali dito.
Ngayon ang natitira pang gawin ay mag-set up ng isang VPN client. Sa client machine, pumunta din sa Network and Sharing Center at piliin Pag-set up ng bagong koneksyon o network. Ngayon ay kailangan mong piliin ang item "Kumokonekta sa lugar ng trabaho"
Mag-click sa "Gamitin ang aking koneksyon sa Internet" at ngayon ay itatapon ka sa isang window kung saan kakailanganin mong ipasok ang address ng aming Internet gateway sa sangay. Para sa akin mukhang 95.2.x.x
Ngayon ay maaari mong tawagan ang koneksyon, ipasok ang username at password na iyong ipinasok sa server at subukang kumonekta. Kung tama ang lahat, ikaw ay konektado. Sa aking kaso, maaari na akong mag-ping sa anumang branch computer at humiling ng isang camera. Ngayon ang mono nito ay madaling kumonekta sa isang video server. Baka may kakaiba ka.
Bilang kahalili, kapag kumokonekta, maaaring mag-pop up ang isang 800 error, na nagpapahiwatig na may mali sa koneksyon. Isa itong isyu sa firewall ng kliyente o server. Hindi ko masasabi sa iyo nang partikular - ang lahat ay tinutukoy sa eksperimento.
Ganito lang kami gumawa ng VPN sa pagitan ng dalawang opisina. Ang mga manlalaro ay maaaring magkaisa sa parehong paraan. Gayunpaman, huwag kalimutan na hindi pa rin ito magiging isang ganap na server at mas mahusay na gumamit ng mas advanced na mga tool, na tatalakayin ko sa mga sumusunod na bahagi.
Sa partikular, sa Bahagi 2 titingnan natin ang pag-set up ng OPenVPN para sa Windows at Linux.
Ang pag-aayos ng mga channel sa pagitan ng mga malalayong network sa pamamagitan ng koneksyon sa VPN ay isa sa mga pinakasikat na paksa sa aming website. Kasabay nito, tulad ng ipinapakita ng tugon ng mambabasa, ang pinakamalaking paghihirap ay sanhi ng tamang pagsasaayos ng pagruruta, bagama't partikular naming binigyang pansin ang puntong ito. Matapos suriin ang mga madalas itanong, nagpasya kaming maglaan ng hiwalay na artikulo sa paksa ng pagruruta. Anumang katanungan? Inaasahan namin na pagkatapos basahin ang materyal na ito ay magkakaroon ng mas kaunti sa kanila.
Una sa lahat, alamin natin kung ano ito pagruruta. Ang pagruruta ay ang proseso ng pagtukoy sa ruta para sa impormasyong susundan sa mga network ng komunikasyon. Maging tapat tayo, ang paksang ito ay napakalalim at nangangailangan ng matibay na dami ng teoretikal na kaalaman, kaya sa artikulong ito ay sadyang pasimplehin natin ang larawan at hawakan ang teorya nang eksakto sa lawak na magiging sapat upang maunawaan ang mga prosesong nagaganap at makakuha ng praktikal. resulta.
Kumuha tayo ng di-makatwirang workstation na konektado sa network, paano nito matutukoy kung saan ipapadala ito o ang packet na iyon? Para sa layuning ito ito ay inilaan routing table, na naglalaman ng listahan ng mga panuntunan para sa lahat ng posibleng destinasyon. Batay sa talahanayang ito, ang host (o router) ang magpapasya kung aling interface at patutunguhang address ang magpapadala ng packet na naka-address sa isang partikular na tatanggap.
Pag-print ng ruta
Bilang resulta, makikita natin ang sumusunod na talahanayan:
Ang lahat ay napaka-simple, interesado kami sa seksyon Talahanayan ng ruta ng IPv4, ang unang dalawang column ay naglalaman ng patutunguhang address at netmask, na sinusundan ng gateway - ang node kung saan dapat ipasa ang mga packet para sa tinukoy na destinasyon, interface at sukatan. Kung sa kolum Gateway ipinahiwatig On-link, nangangahulugan ito na ang patutunguhang address ay nasa parehong network ng host at naa-access nang walang pagruruta. Mga sukatan tinutukoy ang priyoridad ng mga panuntunan sa pagruruta kung ang patutunguhang address ay may ilang mga panuntunan sa talahanayan ng ruta, ang isa na may mas mababang sukatan ang gagamitin.
Ang aming workstation ay kabilang sa network na 192.168.31.0 at, ayon sa talahanayan ng ruta, ang lahat ng mga kahilingan sa network na ito ay ipinadala sa interface na 192.168.31.175, na tumutugma sa address ng network ng istasyong ito. Kung ang patutunguhang address ay nasa parehong network tulad ng source address, ang impormasyon ay ihahatid nang hindi gumagamit ng IP routing (L3 network layer ng OSI model), sa data link layer (L2). Kung hindi, ang packet ay ipapadala sa host na tinukoy sa kaukulang patutunguhang network routing table rule.
Kung walang ganoong panuntunan, ipapadala ang packet sa pamamagitan ng zero na ruta, na naglalaman ng address ng default na gateway ng network. Sa aming kaso, ito ang address ng router 192.168.31.100. Ang rutang ito ay tinatawag na zero dahil ang patutunguhang address para dito ay 0.0.0.0. Napakahalaga ng puntong ito para sa karagdagang pag-unawa sa proseso ng pagruruta: lahat ng packet hindi kabilang sa network na ito at walang magkahiwalay na ruta, Laging ay ipinadala pangunahing gateway mga network.
Ano ang gagawin ng router kapag nakatanggap ito ng ganoong packet? Una sa lahat, alamin natin kung paano naiiba ang isang router mula sa isang regular na istasyon ng network. Sa sobrang pinasimpleng termino, ang router ay isang network device na naka-configure upang magpadala ng mga packet sa pagitan ng mga interface ng network. Sa Windows ito ay nakakamit sa pamamagitan ng pagpapagana ng serbisyo Pagruruta at malayuang pag-access, sa Linux sa pamamagitan ng pagtatakda ng opsyon ip_forward.
Ang desisyon na magpadala ng mga packet sa kasong ito ay ginawa rin batay sa routing table. Tingnan natin kung ano ang nilalaman ng talahanayang ito sa pinakakaraniwang router, halimbawa, ang inilarawan namin sa artikulo:. Sa mga sistema ng Linux, maaari mong makuha ang talahanayan ng ruta gamit ang utos:
Ruta -n
Gaya ng nakikita mo, ang aming router ay naglalaman ng mga ruta patungo sa mga kilalang network na 192.168.31.0 at 192.168.3.0, pati na rin ang isang null na ruta patungo sa upstream na gateway 192.168.3.1.
Ang address na 0.0.0.0 sa hanay ng Gateway ay nagpapahiwatig na ang patutunguhang address ay maaabot nang walang pagruruta. Kaya, ang lahat ng mga packet na may mga patutunguhang address sa mga network na 192.168.31.0 at 192.168.3.0 ay ipapadala sa kaukulang interface, at ang lahat ng iba pang mga packet ay ipapasa sa null na ruta.
Ang susunod na mahalagang punto ay ang mga address ng mga pribadong (pribadong) network, ang mga ito ay "grey" din;
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
Ang mga address na ito ay malayang magagamit ng sinuman at samakatuwid sila hindi naruta. Ano ang ibig sabihin nito? Ang anumang packet na may patutunguhang address na kabilang sa isa sa mga network na ito ay itatapon ng router maliban kung mayroon itong hiwalay na entry sa routing table. Sa madaling salita, hindi ginagamit ng router ang default (null) na ruta para sa mga naturang packet. Dapat ding maunawaan na ang panuntunang ito ay nalalapat lamang kapag nagruruta, i.e. Kapag nagpapadala ng mga packet sa pagitan ng mga interface, ang papalabas na packet na may "grey" na address ay ipapadala sa kahabaan ng null na ruta, kahit na ang node na ito ay mismong isang router.
Halimbawa, kung ang aming router ay nakatanggap ng isang papasok na packet na may patutunguhan, sabihin nating, 10.8.0.1, ito ay itatapon, dahil ang naturang network ay hindi alam nito at ang mga address sa hanay na ito ay hindi naruta. Ngunit kung direktang i-access natin ang parehong node mula sa router, ipapadala ang packet kasama ang zero na ruta patungo sa gateway 192.168.3.1 at itatapon nito.
Panahon na upang suriin kung paano gumagana ang lahat. Subukan nating i-ping ang node 192.168.3.106, na matatagpuan sa network sa likod ng router, mula sa aming node 192.168.31.175. Gaya ng nakikita mo, nagtagumpay kami, kahit na ang talahanayan ng ruta ng host ay walang anumang impormasyon tungkol sa 192.168.3.0 na network.
Paano ito naging posible? Dahil walang alam ang source node tungkol sa patutunguhang network, ipapadala nito ang packet sa address ng gateway. Susuriin ng gateway ang talahanayan ng ruta nito, maghanap ng entry para sa network 192.168.3.0 doon at ipadala ang packet sa naaangkop na interface Madali mong ma-verify ito sa pamamagitan ng pagpapatakbo ng trace command, na magpapakita ng buong path ng aming packet.
Tracert 192.168.3.106
Ngayon subukan nating i-ping ang node 192.168.31.175 mula sa node 192.168.3.106, i.e. sa kabilang direksyon. Hindi ito gumana sa amin. Bakit?
Tingnan natin ang routing table. Hindi ito naglalaman ng anumang mga entry para sa network na 192.168.31.0, kaya ipapadala ang packet sa router 192.168.3.1, bilang pangunahing gateway ng network, na magtatanggal ng packet na ito, dahil wala itong anumang data tungkol sa patutunguhang network . Ano ang dapat kong gawin? Malinaw, ang packet ay dapat ipadala sa node na naglalaman ng kinakailangang impormasyon at maaaring ipasa ang packet sa patutunguhan nito, sa aming kaso ito ang router 192.168.31.100, na sa network na ito ay may address na 192.168.3.108.
Upang partikular na maipadala dito ang mga packet para sa 192.168.31.0 network, kailangan naming lumikha ng hiwalay na ruta.
192.168.31.0 mask 255.255.255.0 192.168.3.108
Sa hinaharap, mananatili tayo sa notasyong ito ng mga ruta, ano ang ibig sabihin nito? Ito ay simple, ang mga packet para sa network 192.168.31.0 na may mask na 255.255.255.0 ay dapat ipadala sa node 192.168.3.108. Sa Windows, maaari kang magdagdag ng ruta gamit ang command:
Route add 192.168.31.0 mask 255.255.255.0 192.168.3.108
Route add -net 192.168.31.0 netmask 255.255.255.0 gw 192.168.3.108
Subukan natin.
Pag-aralan natin ang resulta, lumitaw ang isang ruta sa routing table at lahat ng mga packet sa network 192.168.31.0 ay ipinadala na ngayon sa router ng network na ito, tulad ng makikita mula sa tugon ng ping command, ngunit hindi maabot ang kanilang patutunguhan. Ano ang problema? Panahon na upang tandaan na ang isa sa mga pangunahing gawain ng isang router ay hindi lamang pagruruta, kundi pati na rin ang function ng firewall, na malinaw na nagbabawal sa pag-access mula sa panlabas na network patungo sa loob. Kung pansamantala nating papalitan ang panuntunang ito ng isang permissive, gagana ang lahat.
Ang mga ruta na idinagdag ng mga utos sa itaas ay nai-save hanggang sa ma-reboot ang node, ito ay maginhawa, kahit na marami kang nagulo, kailangan mo lamang i-reboot upang kanselahin ang mga pagbabagong ginawa. Upang magdagdag ng permanenteng ruta sa Windows, patakbuhin ang command:
Route add 192.168.31.0 mask 255.255.255.0 192.168.3.108 -p
Sa Linux /etc/network/interfaces, pagkatapos ng paglalarawan ng interface, dapat mong idagdag ang:
Post-up na ruta add -net 192.168.31.0 netmask 255.255.255.0 gw 192.168.3.108
Sa pamamagitan ng paraan, hindi ito ang tanging paraan upang i-configure ang pag-access mula sa network 192.168.3.0 hanggang sa network na 192.168.31.0 sa halip na magdagdag ng ruta para sa bawat node, maaari mong "turuan" ang router na magpadala ng mga packet nang tama.
Sa kasong ito, ang source node ay walang mga tala tungkol sa patutunguhang network at ipapadala ang packet sa gateway noong huling beses na itinapon ng gateway ang naturang packet, ngunit ngayon ay idinagdag namin ang gustong ruta sa routing table nito, at ipapadala nito ang. packet sa node 192.168.3.108, na maghahatid nito sa destinasyon nito.
Lubos naming inirerekumenda na ikaw mismo ay magsanay sa paggamit ng mga katulad na halimbawa, upang ang pagruruta ay hindi na maging isang itim na kahon para sa iyo, at ang mga ruta ay hindi na maging isang Chinese na script. Kapag naunawaan na, maaari kang magpatuloy sa ikalawang bahagi ng artikulong ito.
Ngayon tingnan natin ang mga tunay na halimbawa ng pagsasama-sama ng mga network ng opisina sa pamamagitan ng koneksyon sa VPN. Sa kabila ng katotohanan na ang OpenVPN ay madalas na ginagamit para sa mga layuning ito at sa aming mga halimbawa ay nangangahulugan din kami ng mga solusyon batay dito, lahat ng sinabi ay totoo para sa anumang uri ng koneksyon sa VPN.
Ang pinakasimpleng kaso ay kapag ang VPN server (client) at ang network router ay matatagpuan sa parehong host. Isaalang-alang ang diagram sa ibaba:
Dahil, umaasa kami, natutunan mo ang teorya at pinagsama ito sa pagsasanay, pag-aralan natin ang ruta ng mga packet mula sa network ng opisina 192.168.31.0 hanggang sa network ng sangay na 192.168.44.0, ang naturang packet ay ipapadala sa default na gateway, na kung saan ay isa ring VPN server. Gayunpaman, walang alam ang node na ito tungkol sa patutunguhang network at kailangang itapon ang packet na ito. Kasabay nito, maaari na tayong makipag-ugnayan sa branch router sa address nito sa VPN network 10.8.0.2, dahil ang network na ito ay naa-access mula sa office router.
Upang makakuha ng access sa isang branch network, kailangan naming maghatid ng mga packet para sa network na iyon sa isang node na bahagi ng network na iyon o may ruta papunta dito. Sa aming kaso, ito ang router ng sangay. Samakatuwid, sa router ng opisina idinagdag namin ang ruta:
Ngayon ang gateway ng opisina, na natanggap ang packet para sa network ng sangay, ay ipapadala ito sa pamamagitan ng VPN channel sa router ng sangay, na, bilang isang node sa 192.168.44.0 network, ay maghahatid ng packet sa destinasyon nito. Upang ma-access mula sa network ng sangay patungo sa network ng opisina, kailangan mong magrehistro ng katulad na ruta sa router ng sangay.
Isaalang-alang natin ang isang mas kumplikadong pamamaraan, kapag ang router at VPN server (kliyente) ay magkaibang mga node ng network. Mayroong dalawang opsyon dito: direktang ilipat ang kinakailangang packet sa VPN server (client) o pilitin ang gateway na gawin ito.
Tingnan muna natin ang unang opsyon.
Upang maabot ng mga packet para sa network ng sangay ang VPN network, dapat tayong magdagdag ng ruta sa VPN server (client) sa bawat network client, kung hindi, ipapadala sila sa gateway, na magtatanggal sa kanila:
Gayunpaman, walang alam ang VPN server tungkol sa branch network, ngunit maaaring magpadala ng mga packet sa loob ng VPN network kung saan matatagpuan ang branch network node na interesado kami, kaya ipapadala namin ang packet doon sa pamamagitan ng pagdaragdag ng ruta sa VPN server ( kliyente):
192.168.44.0 mask 255.255.255.0 10.8.0.2
Ang kawalan ng scheme na ito ay ang pangangailangan na magrehistro ng mga ruta sa bawat network node, na hindi palaging maginhawa. Magagamit ito kung kakaunti ang mga device sa network o kailangan ang selective access. Sa ibang mga kaso, mas angkop na italaga ang gawain sa pagruruta sa pangunahing router ng network.
Sa kasong ito, walang alam ang mga device sa network ng opisina tungkol sa network ng sangay at magpapadala ng mga packet para dito sa pamamagitan ng null route, ang network gateway. Ngayon ang gawain ng gateway ay i-redirect ang packet na ito sa VPN server (kliyente); madali itong gawin sa pamamagitan ng pagdaragdag ng nais na ruta sa routing table nito:
192.168.44.0 mask 255.255.255.0 192.168.31.101
Nabanggit namin ang gawain ng VPN server (kliyente) sa itaas;
192.168.44.0 mask 255.255.255.0 10.8.0.2
Upang ma-access mula sa network ng sangay patungo sa network ng opisina, kakailanganin mong magdagdag ng mga naaangkop na ruta sa mga node ng network ng sangay. Maaari itong gawin sa anumang maginhawang paraan, hindi kinakailangan sa parehong paraan tulad ng ginagawa sa opisina. Isang simpleng halimbawa sa totoong buhay: lahat ng computer sa isang branch office ay dapat may access sa office network, ngunit hindi lahat ng computer sa opisina ay dapat may access sa branch office. Sa kasong ito, sa sangay ay nagdaragdag kami ng isang ruta sa VPN server (kliyente) sa router, at sa opisina ay idinadagdag lamang namin ito sa mga kinakailangang computer.
Sa pangkalahatan, kung nauunawaan mo kung paano gumagana ang pagruruta at kung paano ginagawa ang mga pagpapasya sa pagpapasa ng packet, at alam mo kung paano magbasa ng talahanayan ng pagruruta, hindi dapat maging mahirap ang pag-set up ng mga tamang ruta. Inaasahan namin na pagkatapos basahin ang artikulong ito ay wala ka rin.
Mga Tag:
Sa artikulong ito, susuriin natin ang proseso ng pag-set up ng VPN server sa operating system ng Windows Server, at sasagutin din ang mga tanong: Ano ang VPN at paano mag-set up ng koneksyon sa VPN?
Ano ang isang koneksyon sa VPN?
Ang VPN (Virtual Private Network) ay isang virtual private network na ginagamit upang magbigay ng secure na koneksyon sa network. Isang teknolohiyang nagbibigay-daan sa iyong ikonekta ang anumang bilang ng mga device sa isang pribadong network. Bilang isang patakaran, sa pamamagitan ng Internet.
Bagama't hindi bago ang teknolohiyang ito, kamakailan lamang ay nagkaroon ito ng kaugnayan dahil sa pagnanais ng mga user na mapanatili ang integridad o privacy ng data sa real time.
Ang paraan ng koneksyon na ito ay tinatawag na VPN tunnel. Maaari kang kumonekta sa isang VPN mula sa anumang computer, gamit ang anumang operating system na sumusuporta sa isang koneksyon sa VPN. O may naka-install na VPN-Client, na may kakayahang mag-forward ng mga port gamit ang TCP/IP sa isang virtual network.
Ano ang ginagawa ng VPN?
Nagbibigay ang VPN ng malayuang koneksyon sa mga pribadong network
Maaari mo ring ligtas na pagsamahin ang ilang network at server
Ang mga computer na may mga IP address mula 192.168.0.10 hanggang 192.168.0.125 ay konektado sa pamamagitan ng network gateway, na gumaganap bilang isang VPN server. Ang mga patakaran para sa mga koneksyon sa pamamagitan ng VPN channel ay dapat munang isulat sa server at router.
Binibigyang-daan ka ng VPN na ligtas na gamitin ang Internet kapag kumokonekta kahit sa pagbubukas ng mga Wi-Fi network sa mga pampublikong lugar (sa mga shopping center, hotel o airport)
At laktawan din ang mga paghihigpit sa pagpapakita ng nilalaman sa ilang partikular na bansa
Pinipigilan ng VPN ang mga banta sa cyber ng isang attacker na humaharang sa impormasyon sa mabilisang, hindi napapansin ng tatanggap.
Paano gumagana ang VPN
Tingnan natin kung paano gumagana ang isang koneksyon sa VPN sa prinsipyo.
Isipin natin na ang transmission ay ang paggalaw ng isang packet sa kahabaan ng highway mula sa point A hanggang point B sa kahabaan ng path ng packet may mga checkpoint para sa pagpasa ng data packet. Kapag gumagamit ng VPN, ang rutang ito ay karagdagang protektado ng isang encryption system at user authentication para ma-secure ang trapikong naglalaman ng data packet. Ang pamamaraang ito ay tinatawag na "tunneling" (tunneling - gamit ang isang tunnel)
Sa channel na ito, ang lahat ng mga komunikasyon ay mapagkakatiwalaan na protektado, at lahat ng mga intermediate na data transmission node ay nakikitungo sa isang naka-encrypt na pakete at kapag ang data ay ipinadala sa tatanggap, ang data sa package ay nade-decrypt at nagiging available sa awtorisadong tatanggap.
Titiyakin ng VPN ang pagkapribado ng iyong impormasyon kasama ng isang komprehensibong antivirus.
Sinusuportahan ng VPN ang mga certificate tulad ng OpenVPN, L2TP, IPSec, PPTP, PPOE at ito ay naging ganap na ligtas at ligtas na paraan ng paglilipat ng data.
Ginagamit ang VPN tunneling:
- Sa loob ng corporate network.
- Pagsasama-sama ng mga malalayong opisina, pati na rin ang maliliit na sangay.
- Access sa mga panlabas na mapagkukunan ng IT.
- Para sa pagbuo ng mga video conference.
Paglikha ng VPN, pagpili at pag-configure ng kagamitan.
Para sa mga corporate na komunikasyon sa malalaking organisasyon o pagsasama-sama ng mga opisina na malayo sa isa't isa, ginagamit ang hardware na may kakayahang mapanatili ang walang patid na operasyon at seguridad sa network.
Upang magamit ang serbisyo ng VPN, ang tungkulin ng gateway ng network ay maaaring: Mga server ng Linux/Windows, isang router at isang gateway ng network kung saan naka-install ang VPN.
Dapat tiyakin ng router ang maaasahang operasyon ng network nang hindi nag-freeze. Binibigyang-daan ka ng built-in na VPN function na baguhin ang configuration para sa pagtatrabaho sa bahay, sa isang organisasyon o sa isang branch office.
Pagse-set up ng VPN server.
Kung gusto mong mag-install at gumamit ng VPN server batay sa pamilya ng Windows, kailangan mong maunawaan na ang mga client machine na Windows XP/7/8/10 ay hindi sumusuporta sa function na ito kailangan mo ng isang virtualization system, o isang pisikal na server sa Windows 2000/2003/2008/ platform 2012/2016, ngunit isasaalang-alang namin ang feature na ito sa Windows Server 2008 R2.
1. Una, kailangan mong i-install ang tungkulin ng server na "Patakaran sa Network at Mga Serbisyo sa Pag-access" Upang gawin ito, buksan ang manager ng server at mag-click sa link na "Magdagdag ng tungkulin".
Piliin ang tungkulin ng Network and Access Policy Services at i-click ang susunod:
Piliin ang "Routing and Remote Access Services" at i-click ang Susunod at I-install.
2. Pagkatapos i-install ang papel, kailangan mong i-configure ito. Pumunta sa Server Manager, palawakin ang sangay na "Mga Tungkulin", piliin ang papel na "Mga Serbisyo sa Patakaran sa Network at Pag-access", palawakin ito, i-right-click sa "Routing at Remote Access" at piliin ang "I-configure at paganahin ang pagruruta at malayuang pag-access"
Pagkatapos simulan ang serbisyo, isinasaalang-alang namin na kumpleto ang pagsasaayos ng tungkulin. Ngayon ay kailangan mong payagan ang mga user na ma-access ang server at i-configure ang pagpapalabas ng mga IP address sa mga kliyente.
Mga port na sinusuportahan ng VPN. Pagkatapos na itaas ang serbisyo, nagbubukas sila sa firewall.
Para sa PPTP: 1723 (TCP);
Para sa L2TP: 1701 (TCP)
Para sa SSTP: 443 (TCP).
Ang L2TP/IpSec protocol ay mas pinipili para sa pagbuo ng mga network ng VPN, pangunahin para sa seguridad at mas mataas na kakayahang magamit, dahil sa katotohanan na ang isang session ng UDP ay ginagamit para sa data at mga control channel. Ngayon ay titingnan natin ang pag-set up ng isang L2TP/IpSec VPN server sa Windows Server 2008 r2 platform.
Maaari mong subukang mag-deploy sa mga sumusunod na protocol: PPTP, PPOE, SSTP, L2TP/L2TP/IpSec
Tara na sa Server Manager: Mga Tungkulin - Pagruruta at Remote Access, i-right click sa papel na ito at piliin ang “ Mga Katangian", sa tab na "Pangkalahatan", lagyan ng tsek ang kahon ng IPv4 router, piliin ang "local network at demand na tawag", at IPv4 remote access server:
Ngayon kailangan nating ipasok ang pre-shared key. Pumunta sa tab Kaligtasan at sa bukid Payagan ang mga espesyal na patakaran ng IPSec para sa mga koneksyon sa L2TP, lagyan ng check ang kahon at ipasok ang iyong susi. (Tungkol sa susi. Maaari kang magpasok ng di-makatwirang kumbinasyon ng mga titik at numero doon; ang pangunahing prinsipyo ay mas kumplikado ang kumbinasyon, mas ligtas ito, at tandaan o isulat ang kumbinasyong ito; kakailanganin natin ito sa ibang pagkakataon). Sa tab na Authentication Provider, piliin ang Windows Authentication.
Ngayon kailangan nating i-configure Seguridad ng koneksyon. Upang gawin ito, pumunta sa tab Kaligtasan at pumili Mga Paraan ng Pagpapatunay, lagyan ng tsek ang mga kahon EAP at Naka-encrypt na Pagpapatotoo (Microsoft bersyon 2, MS-CHAP v2):
Susunod na pumunta tayo sa tab IPv4, doon namin ipahiwatig kung aling interface ang tatanggap ng mga koneksyon sa VPN, at i-configure din ang pool ng mga address na ibinigay sa mga kliyente ng L2TP VPN sa tab na IPv4 (Itakda ang Interface sa "Pahintulutan ang RAS na pumili ng adaptor"):
Ngayon, pumunta tayo sa tab na lilitaw Mga daungan, i-right-click at Mga Katangian, pumili ng koneksyon L2TP at pindutin Tune, ipapakita namin ito sa isang bagong window Remote access na koneksyon (papasok lang) At On-demand na koneksyon (papasok at papalabas) at itakda ang maximum na bilang ng mga port, ang bilang ng mga port ay dapat tumugma o lumampas sa inaasahang bilang ng mga kliyente. Mas mainam na huwag paganahin ang mga hindi nagamit na protocol sa pamamagitan ng pag-alis ng check sa parehong mga checkbox sa kanilang mga katangian.
Listahan ng mga port na naiwan namin sa tinukoy na dami.
Kinukumpleto nito ang pag-setup ng server. Ang natitira na lang ay payagan ang mga user na kumonekta sa server. Pumunta sa Tagapamahala ng Server Aktibong Direktoryo – mga gumagamit – hinahanap namin ang user na gusto namin payagan ang pag-access pindutin ari-arian, pumunta sa bookmark mga papasok na tawag
