Comment faire un VPN personnel ? Comment organiser un accès sécurisé à l'aide d'un VPN

Windows 10

Comment créer un réseau privé unique pour tous les travailleurs mobiles et succursales distantes

Qu'est-ce qu'un VPN ?

Supposons que nous ayons deux bureaux dans différentes parties de la ville, ou dans différentes villes ou pays, et chacun d'eux est connecté à Internet. Pour le travail, par exemple, 1C sous la forme d'un seul système d'entreprise nous devons les intégrer dans un seul réseau local. (Malgré le fait que nous proposons des solutions pour 1C sous la forme bases de données distribuées Les données. Parfois, il est plus facile de créer un seul réseau et de se connecter directement sur le serveur 1C comme si le serveur se trouvait dans vos locaux)

Vous pouvez bien sûr acheter une ligne personnelle entre deux villes, mais cette décision ce sera probablement trop cher.
La solution via un réseau privé virtuel (VPN - Virtual Private Network) nous propose d'organiser cette ligne dédiée en créant un tunnel crypté sur Internet.Le principal avantage du VPN sur les lignes de communication dédiées est d'économiser l'argent de l'entreprise alors que le canal est complètement fermé.
Du point de vue du consommateur, le VPN est une technologie avec laquelle vous pouvez organiser un accès sécurisé à distance via des canaux Internet ouverts aux serveurs, bases de données et toutes les ressources de votre réseau d'entreprise. Disons qu'un comptable de la ville A peut facilement imprimer une facture sur l'imprimante d'une secrétaire de la ville B où le client est venu. Les employés distants se connectant via VPN à partir de leurs ordinateurs portables pourront également travailler en réseau comme s'ils étaient en réseau physique leurs bureaux.

Très souvent, les clients confrontés aux *freins* des caisses enregistreuses lors de l'utilisation de Remote Desktop en viennent au besoin Installations VPN... Cela vous permettra de vous débarrasser de l'envoi de données pour la caisse enregistreuse vers le serveur en utilisant le COM virtuel via Internet et permettra l'installation client légerà tout moment qui communique directement avec le caissier, en envoyant uniquement information nécessaire par un canal fermé. Et diffuser l'interface RDP directement sur Internet expose votre entreprise à des risques très élevés.

Méthodes de connexion

Méthodes d'organisation d'un VPN, il est conseillé de distinguer les 2 méthodes principales suivantes :

  • (Client - Réseau ) Accès à distance des employés individuels au réseau d'entreprise de l'organisation via un modem ou un réseau public.
  • (Réseau - Réseau) Combiner deux ou plusieurs bureaux en un seul réseau virtuel sécurisé via Internet

La plupart des guides, notamment pour Windows, décrivent la connexion selon le premier schéma. Dans ce cas, vous devez comprendre que cette connexion n'est pas un tunnel, mais permet uniquement de se connecter au réseau VPN.Pour organiser ces tunnels, nous n'avons besoin que d'1 IP blanche et non par le nombre de bureaux distants, comme beaucoup le croient à tort.

La figure montre les deux options de connexion au bureau principal A.

Un canal est organisé entre les bureaux A et B pour assurer l'intégration des bureaux dans un réseau unique. Cela rend les deux bureaux transparents pour tout appareil, les bureaux sont situés dans l'un d'eux, ce qui résout de nombreux problèmes. Par exemple, l'organisation d'une capacité de numérotation unique au sein d'un PBX avec des téléphones IP.

Tous les services du bureau A sont disponibles pour les clients mobiles, et lorsque le bureau B est situé dans un seul réseau virtuel, ses services sont également disponibles.

Dans ce cas, la méthode de connexion des clients mobiles est généralement implémentée par le protocole de tunneling point à point PPTP (Point-to-Point Tunneling Protocol), et le second IPsec ou OpenVPN

PPTP

(Point-to-Point Tunneling Protocol bumagin-lohg) est un protocole de tunneling point à point, conçu par Microsoft et est une extension de PPP (Point-to-Point Protocol), donc, utilise ses mécanismes d'authentification, de compression et le cryptage. PPTP est intégré au client accès à distance Windows XP. Avec le choix standard de ce protocole, Microsoft suggère d'utiliser la méthode de cryptage MPPE (Microsoft Point-to-Point Encryption). Vous pouvez transférer des données sans cryptage en texte clair. Les données PPTP sont encapsulées en ajoutant un en-tête GRE (Generic Routing Encapsulation) et un en-tête IP aux données traitées par PPP.

En raison de problèmes de sécurité importants, il n'y a aucune raison de choisir PPTP plutôt que d'autres protocoles que l'incompatibilité de l'appareil avec d'autres protocoles VPN. Si votre appareil prend en charge L2TP / IPsec ou OpenVPN, il est préférable de choisir l'un de ces protocoles.

Il convient de noter que presque tous les appareils, y compris les mobiles, ont un client intégré au système d'exploitation (Windows, iOS, Android) qui vous permet de configurer instantanément une connexion.

L2TP

(Layer Two Tunneling Protocol) est un protocole plus avancé, né de la combinaison de PPTP (de Microsoft) et L2F (de Cisco), incorporant le meilleur de ces deux protocoles. Fournit une connexion plus sécurisée que la première option, le cryptage est effectué à l'aide du protocole IPSec (IP-security). L2TP est également intégré au client d'accès distant Windows XP ; de plus, lors de la détection automatique du type de connexion, le client essaie d'abord de se connecter au serveur en utilisant ce protocole, car il est plus préférable en termes de sécurité.

Dans le même temps, le protocole IPsec a un problème tel que la négociation des paramètres nécessaires.Alors que de nombreux fabricants définissent leurs paramètres par défaut sans possibilité de configuration, le matériel utilisant ce protocole sera incompatible.

OpenVPN

Une solution VPN ouverte avancée créée par les technologies OpenVPN, qui est désormais le standard de facto des technologies VPN. La solution utilise les protocoles de cryptage SSL/TLS. OpenVPN utilise la bibliothèque OpenSSL pour fournir le cryptage. OpenSSL prend en charge de nombreux algorithmes cryptographiques différents tels que 3DES, AES, RC5, Blowfish. Comme dans le cas d'IPSec, CheapVPN inclut un niveau de cryptage extrêmement élevé - Algorithme AES avec une clé de 256 bits.
OpenVPN - La seule solution qui vous permet de contourner les fournisseurs qui réduisent ou facturent des frais pour l'ouverture de protocoles supplémentaires en plus du WEB. Cela permet d'organiser des chaînes qui sont en principe impossible à suivre et nous avons de telles solutions

Vous avez maintenant une idée de ce qu'est un VPN et de son fonctionnement. Si vous êtes un leader - pensez-y, c'est peut-être exactement ce que vous recherchiez

Un exemple de configuration d'un serveur OpenVPN sur la plateforme pfSense

Nous créons un serveur

  • Interface: BLÊME(interface réseau serveur connectée à internet)
  • Protocole: UDP
  • Port local : 1194
  • La description: pfSenseOVPN(n'importe quel nom convenable)
  • Réseau de tunnels : 10.0.1.0/24
  • Passerelle de redirection : Allumer(Désactivez cette option si vous ne souhaitez pas que tout le trafic Internet client soit redirigé via le serveur VPN.)
  • Réseau local: Laisser vide(Si vous souhaitez que le réseau local derrière le serveur pfSense soit accessible aux clients VPN distants, entrez l'espace d'adressage de ce réseau ici. Disons 192.168.1.0/24)
  • Connexions simultanées : 2 (Si vous avez acheté une licence OpenVPN Remote Access Server supplémentaire, entrez le numéro correspondant au nombre de licences que vous avez achetées)
  • Communications inter-clients : Allumer(Si vous ne voulez pas que les clients VPN se voient, désactivez cette option)
  • Serveur DNS 1 (2, etc.) : spécifiez les serveurs DNS de l'hôte pfSense.(vous trouverez leurs adresses dans la rubrique Système> Configuration générale> Serveurs DNS)

puis nous créons des clients et pour simplifier les procédures de configuration des programmes clients, un outil supplémentaire est fourni dans pfSense - « Utilitaire d'exportation de clients OpenVPN »... Cet outil prépare automatiquement les packages et les fichiers d'installation pour les clients, évitant ainsi la configuration manuelle d'un client OpenVPN.

La connexion VPN entre les bureaux couvre des exigences de sécurité d'entreprise telles que :

  • Possibilité d'accès centralisé aux informations depuis les bureaux, ainsi que depuis le siège social
  • Système d'information unifié de l'entreprise
  • Bases de données d'entreprise avec un point d'entrée unique
  • Entreprise E-mail avec un seul point d'entrée
  • Confidentialité des informations transférées entre les bureaux

Si vous rencontrez des difficultés pour vous installer ou si vous n'avez pas encore choisi la technologie VPN, appelez-nous !

Bien que le sujet soit galvaudé, néanmoins, de nombreuses personnes rencontrent souvent des difficultés - qu'il s'agisse d'un administrateur système novice ou simplement d'un utilisateur avancé, qui a été contraint par ses patrons d'exercer les fonctions d'ingénieur. Paradoxalement, malgré l'abondance d'informations sur le VPN, trouver une option intelligible est tout un problème. De plus, on a même l'impression que l'on a écrit - tandis que d'autres ont copié effrontément le texte. Finalement, Résultats de recherche littéralement encombré d'une abondance d'informations inutiles, dont il est rarement possible d'isoler la valeur. Par conséquent, j'ai décidé à ma manière de mâcher toutes les nuances (peut-être que quelqu'un sera utile).

Alors, qu'est-ce qu'un VPN ? VPN (VirtuelPrivéRéseau- réseau privé virtuel) est un nom généralisé pour les technologies qui fournissent un ou plusieurs les connexions de réseau(réseau logique) sur un autre réseau (y compris Internet). Selon les protocoles utilisés et la finalité, le VPN peut fournir des connexions de trois types : nœud-nœud, réseau-nœud et net-net. Comme on dit, pas de commentaire.

Schéma stéréotypé VPN

Le VPN vous permet de combiner facilement un hôte distant avec un réseau local d'une entreprise ou d'un autre hôte, ainsi que de combiner des réseaux en un seul. L'avantage est assez évident - nous pouvons facilement accéder au réseau de l'entreprise à partir du client VPN. De plus, un VPN protège également vos données avec un cryptage.

Je ne prétends pas vous décrire tous les principes de fonctionnement du VPN, car il existe une masse de littérature spéciale, et pour être honnête, je ne connais moi-même pas beaucoup de choses. Néanmoins, si votre tâche est "Do it!", Vous devez vous impliquer de toute urgence dans le sujet.

Considérons un problème de ma pratique personnelle, lorsqu'il était nécessaire de combiner deux bureaux via VPN - le siège social et la succursale. La situation était encore compliquée par le fait qu'il y avait au siège social un serveur vidéo qui était censé recevoir la vidéo de la caméra IP de la succursale. Voici une brève tâche pour vous.

Il existe de nombreuses façons de le résoudre. Tout dépend de ce que vous avez sous la main. En général, un VPN est facile à construire en utilisant une solution de fer basée sur divers Routeurs Zyxel... Idéalement, il peut arriver que l'Internet soit distribué aux deux bureaux par un seul fournisseur et que vous n'ayez alors aucun problème (il vous suffit de contacter le prov). Si l'entreprise est riche, alors elle peut se permettre CISCO. Mais généralement, tout est résolu par un logiciel.

Et ici, le choix est grand - Open VPN, WinRoute (notez qu'il est payant), des outils de système d'exploitation, des programmes comme Hamanchi (pour être honnête, dans de rares cas, cela peut aider, mais je ne recommande pas de s'y fier - le gratuit version a une limite de 5 hôtes et un autre inconvénient important est que toute votre connexion dépend de l'hôte Hamanchi, ce qui n'est pas toujours bon). Dans mon cas, il serait idéal d'utiliser OpenVPN - programme gratuit qui peut facilement créer une connexion VPN fiable. Mais nous, comme toujours, suivrons le chemin de la moindre résistance.

Dans ma branche, Internet est distribué par une passerelle basée sur le client Windows. Je suis d'accord, pas le plus La meilleure décision, mais pour un trio d'ordinateurs clients, c'est suffisant. Je dois créer un serveur VPN à partir de cette passerelle. Au fur et à mesure que vous lisez cet article, vous êtes sûr que vous êtes nouveau sur VPN. Par conséquent, pour vous, je donne l'exemple le plus simple, qui, en principe, me convient aussi.

La famille Windows NT intègre déjà des fonctionnalités de serveur rudimentaires. La configuration d'un serveur VPN sur l'une des machines ne sera pas difficile. En tant que serveur, je vais donner des exemples de captures d'écran de Windows 7, mais les principes généraux seront les mêmes que pour l'ancien XP.

Veuillez noter que pour connecter deux réseaux, vous devez ils avaient une gamme différente! Par exemple, au siège social, la plage peut être 192.168.0.x, et dans la succursale, elle peut être 192.168.20.x (ou n'importe quelle plage d'adresses IP grises). C'est très important, alors soyez prudent. Maintenant, vous pouvez commencer la configuration.

Accédez au serveur VPN dans Panneau de configuration -> Centre de contrôle réseau et accès général-> modifier les paramètres de l'adaptateur.

Appuyez maintenant sur la touche Alt pour afficher le menu. Là, dans l'élément Fichier, vous devez sélectionner "Nouvelle connexion entrante".

Cochez les cases pour les utilisateurs qui peuvent se connecter via VPN. Je recommande fortement d'ajouter un nouvel utilisateur, de lui donner un nom convivial et d'attribuer un mot de passe.

Après avoir fait cela, vous devez sélectionner dans la fenêtre suivante comment les utilisateurs se connecteront. Cochez la case "Par Internet". Il ne vous reste plus qu'à attribuer une plage d'adresses au réseau virtuel. De plus, vous pouvez choisir le nombre d'ordinateurs pouvant participer à l'échange de données. Dans la fenêtre suivante, sélectionnez le protocole TCP/IP version 4 et cliquez sur « Propriétés » :

Vous aurez ce que j'ai dans la capture d'écran. Si vous souhaitez que le client accède réseau local, dans lequel se trouve le serveur, cochez simplement la case "Autoriser les appelants à accéder au réseau local". Dans la section « Attribution d'adresses IP », je recommande de spécifier les adresses manuellement selon le principe que j'ai décrit ci-dessus. Dans mon exemple, je n'ai donné à la plage que vingt-cinq adresses, bien que je puisse simplement en spécifier deux et 255.

Après cela, cliquez sur le bouton "Autoriser l'accès".

Le système créera automatiquement un serveur VPN qui attendra seul que quelqu'un le rejoigne.

Il ne reste plus qu'à configurer le client VPN. Sur la machine cliente, accédez également au Centre Réseau et partage et sélectionnez Configuration d'une nouvelle connexion ou d'un nouveau réseau... Maintenant, vous devrez sélectionner l'élément "Se connecter au lieu de travail"

Cliquez sur "Utiliser ma connexion Internet et maintenant vous serez jeté dans la fenêtre où vous devrez entrer l'adresse de notre passerelle Internet à la succursale. Je l'ai sous la forme 95.2.x.x

Vous pouvez maintenant appeler la connexion, entrer le nom d'utilisateur et le mot de passe que vous avez entrés sur le serveur et essayer de vous connecter. Si tout est correct, vous vous connecterez. Dans mon cas, je peux déjà envoyer un ping à n'importe quel ordinateur de succursale et demander une caméra. Maintenant, il est facile de le connecter en mono au serveur vidéo. Vous avez peut-être autre chose.

Alternativement, lors de la connexion, l'erreur 800 peut apparaître, signalant que quelque chose ne va pas avec la connexion. Il s'agit d'un problème de pare-feu client ou serveur. Plus précisément, je ne peux pas vous dire - tout est déterminé expérimentalement.

C'est ainsi que nous avons créé sans prétention un VPN entre deux bureaux. Les joueurs peuvent être combinés de la même manière. Cependant, n'oubliez pas que ce ne sera toujours pas un serveur à part entière et qu'il vaut mieux utiliser des outils plus avancés, dont je parlerai dans les prochaines parties.

En particulier, dans la partie 2, nous examinerons la configuration d'OPenVPN pour Windows et Linux.

  • Technologies de réseau

    • Qui a besoin d'un VPN ?

    En mars 2017, la part des offres d'emploi avec accès à distance publiées sur hh.ru était de 1,5% ou 13 339 offres d'emploi. Leur nombre a doublé au cours de l'année. En 2014, le nombre employés à distanceétait estimée à 600 000 personnes, soit 1 % de la population économiquement active (15-69 ans). J "son & Partners Consulting prédit que d'ici 2018, environ 20% de tous les Russes employés travailleront à distance. Par exemple, d'ici la fin de 2017, Beeline prévoit de transférer de 50% à 70% de son personnel vers la collaboration à distance.


    Pourquoi les entreprises transfèrent-elles des employés vers le télétravail :

    • Réduire le coût de l'entreprise pour le loyer et le maintien des emplois.
    • L'absence de liaison à un endroit permet de constituer une équipe
      un projet qui ne pourrait jamais être assemblé au sein d'une même ville. Un avantage supplémentaire est la possibilité d'utiliser une main-d'œuvre moins chère.
    • Répondre aux besoins des salariés en raison de leur situation familiale.

    Nous avons découvert le besoin d'un VPN pour nous-mêmes il y a plus de 10 ans. Pour nous, la motivation pour fournir un accès VPN aux employés était la possibilité d'accéder rapidement réseau d'entreprise de n'importe où dans le monde et à toute heure du jour ou de la nuit.

    Choisir la solution VPN parfaite

    Il y a beaucoup d'options de solutions. Souvent, la décision doit être prise sur la base de l'équipement et des logiciels déjà utilisés dans l'entreprise, de la compétence de configuration des logiciels que possède l'administrateur système. Je vais commencer par ce que nous avons abandonné tout de suite, puis je vous dirai ce que nous avons essayé et ce à quoi nous avons abouti.

    VPN dans les routeurs

    Il existe de nombreuses solutions dites « chinoises » sur le marché. Presque tous les routeurs ont la fonctionnalité d'un serveur VPN intégré. Il s'agit généralement d'une simple fonctionnalité d'activation / désactivation et d'ajout de logins et de mots de passe pour les utilisateurs, parfois d'intégration avec le serveur Radius. Pourquoi n'avons-nous pas envisagé une telle solution ? Tout d'abord, nous pensons à notre sécurité et à la continuité du service. Des morceaux de fer similaires ne peuvent se vanter d'aucune protection fiable (le firmware sort généralement très rarement, ou ne sort pas en principe), et la fiabilité du travail laisse beaucoup à désirer.

    VPN de qualité entreprise

    Si vous regardez la place Gartner, le marché VPN a longtemps été occupé par des entreprises qui produisent matériel réseau... Juniper, Cisco, Check Point : tous ont des solutions complexes, qui incluent Service VPN.



    Il y a probablement deux inconvénients à de telles solutions. Le premier et le plus important est le coût élevé. Deuxièmement, la vitesse de fermeture des vulnérabilités laisse beaucoup à désirer, et si vous ne payez pas de frais de support annuels, vous ne devez pas attendre les mises à jour de sécurité. Il n'y a pas si longtemps, un troisième point est apparu - les signets intégrés aux logiciels des grands fournisseurs de réseaux.

    VPN Microsoft

    Il y a 10 ans, nous étions une entreprise axée sur Windows. Microsoft propose une solution gratuite pour ceux qui ont toute leur infrastructure construite sur eux. Dans les cas simples, la configuration n'est pas difficile même pour un débutant. administrateur du système... Dans notre cas, nous voulions tout extraire du VPN du point de vue de la sécurité, par conséquent, l'utilisation de mots de passe était exclue. Nous voulions naturellement utiliser des certificats au lieu de mots de passe et utiliser notre produit Rutoken EDS pour stocker la paire de clés. Pour mettre en œuvre le projet, nous avions besoin : d'un contrôleur de domaine, d'un serveur radius et d'une infrastructure PKI correctement installée et configurée. Je ne m'étendrai pas sur la configuration en détail, il y a beaucoup d'informations sur ces questions sur Internet, et réglage correct PKI en général peut tirer sur une douzaine d'articles. Le premier protocole que nous avons utilisé à la maison était PPTP. Pendant longtemps, cette option VPN nous convenait, mais nous avons finalement dû l'abandonner pour deux raisons : PPTP ne fonctionnait pas partout et nous avons commencé à utiliser non seulement Windows, mais aussi d'autres systèmes d'exploitation. Par conséquent, nous avons commencé à chercher des alternatives. Notez que le support PPTP a été abandonné par Apple récemment. Pour commencer, nous avons décidé de voir ce que Microsoft a d'autre à offrir parmi les protocoles. SSTP/L2TP. SSTP nous convenait à tous, sauf qu'il ne fonctionnait que sous Windows. L2TP n'avait pas cet inconvénient, mais sa mise en place et son maintien en fonctionnement nous ont semblé assez coûteux, et nous avons décidé d'essayer des alternatives. je voulais plus solution simple, pour les utilisateurs et les administrateurs.

    OpenVPN

    Chez Aktiv, nous aimons sincèrement l'open source. En choisissant remplacement pour Microsoft VPN, nous ne pouvions pas ignorer la solution OpenVPN. Le principal avantage pour nous était que la solution fonctionne immédiatement sur toutes les plateformes. Il est assez facile de monter un serveur dans un cas simple. Maintenant, en utilisant docker et, par exemple, une image prête à l'emploi, cela peut être fait en quelques minutes. Mais nous voulions plus. Nous voulions ajouter l'intégration avec Microsoft CA au projet afin d'utiliser les certificats précédemment émis. Nous voulions ajouter la prise en charge des jetons que nous utilisons. Comment configurer un ensemble d'OpenVPN et de jetons est décrit, par exemple, dans celui-ci. Il était plus difficile de mettre en place l'intégration de Microsoft CA et d'OpenVPN, mais en général c'est aussi tout à fait faisable. Nous avons utilisé la solution résultante pendant environ trois ans, mais pendant tout ce temps, nous avons continué à rechercher des options plus pratiques. La principale opportunité que nous avons eue en passant à OpenVPN était l'accès depuis n'importe quel système d'exploitation. Mais il reste encore deux plaintes : les employés de l'entreprise doivent passer par 7 cercles infernaux pour que Microsoft CA délivre un certificat, et les administrateurs devaient toujours maintenir une infrastructure VPN assez complexe.

    Rutoken VPN

    Nous savons comment utiliser les jetons dans n'importe quel système d'exploitation, nous savons comment préparer correctement une infrastructure PKI, nous sommes capables de configurer différentes versions d'OpenVPN et nous disposons de technologies qui nous permettent de gérer tout cela chez un utilisateur. -manière conviviale à partir d'une fenêtre de navigateur. C'est ainsi qu'est née l'idée d'un nouveau produit.



    Configuration du VPN Rutoken

    Nous avons vraiment essayé de rendre la configuration simple et directe. L'ensemble de l'installation ne prend que quelques minutes et est implémenté comme un assistant la configuration initiale... À la première étape, vous devez configurer les paramètres réseau de l'appareil, je pense que les commentaires ici seront superflus.




    Dans la deuxième étape, vous devez entrer le nom de l'entreprise et attendre quelques minutes pendant que l'appareil configure l'autorité de certification intégrée.







    La troisième étape consiste à configurer le service VPN lui-même. Spécifiez l'IP externe à laquelle la connexion sera établie. Sélectionnez le type de cryptage et d'adressage réseau.




    Dans la quatrième étape de la configuration, nous créons utilisateurs locaux, ou les ajouter depuis AD




    Compte personnel de l'employé




    Selon le système d'exploitation et le navigateur de l'employé, vous devrez installer un plug-in et une extension de navigateur requis pour fonctionner avec les jetons.




    Après avoir installé le plugin / l'extension, il nous suffit de générer un certificat pour nous-mêmes sur l'EDS Rutoken.







    Et installez le client pour le système d'exploitation souhaité :



    Comment ça fonctionne?

    Un peu sur le matériel. Au départ, nous avons longuement réfléchi à la « base » à utiliser pour notre solution, car il fallait trouver un équilibre entre coût, praticité et performance. Après avoir recherché ce qui est proposé sur le marché, nous avons opté pour deux options pour la mise en œuvre et la diffusion ultérieure de la solution :

    • x86 (Entreprise) - une solution logicielle qui est fournie à l'utilisateur final sous la forme d'une image machine virtuelle qui peuvent être déployés au sein de votre infrastructure informatique.
    • Le Raspberry Pi est déjà un micro-ordinateur assez connu qui a d'assez bonnes performances à faible coût et qui peut être utilisé comme serveur VPN dans les 10 minutes après avoir été littéralement sorti de la boîte.

    Voyons maintenant comment fonctionne notre solution. Tout d'abord, je voudrais vous rappeler que nous avons mis en place une authentification à deux facteurs. Les jetons produits par nos soins, ainsi que les logiciels pour travailler avec eux, sont utilisés comme supports des clés privées et des certificats du client.


    Mais dans un premier temps, nous devons encore configurer les services nécessaires au bon fonctionnement du produit. La mise en place des prestations est actuellement réalisée par des spécialistes de notre société en mode semi-automatique. Cela signifie que le processus de déploiement est automatisé. Logiciel et les paramètres initiaux, mais l'initialisation de ce processus reste un privilège humain. Lors de la configuration initiale, les packages système, python, django, OpenVPN, superviseur, OpenSSL, etc. sont installés.


    Et après? Ensuite, vous devez configurer l'ensemble de l'infrastructure, qui est en fait responsable de la sécurité en général. A savoir : CA (autorité de certification), PKI (infrastructure clés publiques), rédigez les clés et les certificats nécessaires.


    La création de PKI et CA, ainsi que la constitution du fichier de configuration du serveur OpenVPN, la génération de clés et l'émission de certificats sont effectuées après la remise du produit au client. Mais cela ne signifie pas que pour cela, il soit nécessaire d'avoir des connaissances spécifiques et un accès direct au système d'exploitation. Tout est mis en œuvre dans la logique métier du backend du système d'administration, dont l'accès se fait via l'interface Web. Le client doit uniquement saisir l'ensemble minimal d'attributs (décrits ci-dessus), après quoi le processus d'initialisation de la PKI et de création de l'autorité de certification démarre. Il n'y a pas de sens particulier à décrire des appels spécifiques à des commandes système, puisque tout nous a longtemps été décrit et mâché. La principale chose que nous avons faite a été d'automatiser ce processus, éliminant le besoin pour l'utilisateur d'avoir des connaissances spécifiques en administration.


    Pour travailler avec des clés et des certificats, nous avons décidé de ne pas réinventer la roue (même si nous voulions vraiment et chérissons toujours l'idée de l'inventer en fonction de nos futurs plans de développement de produits) et d'utiliser easy-rsa.


    Le processus le plus chronophage lors de la mise en place d'une infrastructure est la génération du Diffie-Hellman. Nous avons longuement expérimenté les paramètres et sommes parvenus à un équilibre « qualité-performance ». Bien que l'on ait pensé à supprimer complètement cette étape, à générer de tels fichiers à l'avance en utilisant nos capacités de serveur et simplement à les "distribuer" lors de l'initialisation initiale. De plus, les données contenues dans ce fichier ne sont pas privées. Mais pour l'instant, nous avons laissé ces pensées pour de plus amples "recherches".


    Ensuite, il est nécessaire de fournir à l'utilisateur final un mécanisme pour créer de manière indépendante des paires de clés, générer des demandes d'émission d'un certificat à une AC et obtenir effectivement ce certificat avec une entrée pour un jeton. Et vous avez également besoin d'un client qui vous permette d'établir une connexion VPN avec pré-authentification sur un token.


    Nous avons résolu la première tâche grâce à notre plugin qui implémente la fonctionnalité signature électronique, cryptage et authentification à deux facteurs pour les services Web et SaaS. Afin d'émettre un certificat et de l'écrire sur un jeton, l'utilisateur doit installer ce plugin, suivez le lien pour entrer dans Espace personnel du service RutokenVPN, après avoir préalablement connecté le token à l'ordinateur (vous pouvez en savoir plus sur le plugin sur notre ressource)


    Lorsque le processus d'émission d'un certificat est initialisé, une demande est faite pour qu'un jeton génère une paire de clés, ainsi qu'une demande d'émission d'un certificat à une autorité de certification. La clé privée est écrite dans le jeton et la demande d'émission d'un certificat est envoyée à l'autorité de certification, qui, à son tour, l'émet et le renvoie en réponse. Après cela, le certificat est également écrit sur le jeton.


    Presque tout est prêt pour établir une connexion VPN. Il manque un client qui «sait» comment travailler avec le serveur et nos jetons.




    Notre client est implémenté sur Electron. Qui ne sait pas de quel genre de bête il s'agit, alors, en bref, la possibilité d'implémenter une application de bureau en utilisant js, css et html. Sans entrer dans les détails, le client est une sorte de « wrapper » sur le client OpenVPN, vous permettant de passer ses appels depuis les paramètres nécessaires... Pourquoi en est-il ainsi ? En fait, c'était plus pratique pour nous, même si la solution choisie impose certaines restrictions.


    Puisque nous utilisons le jeton comme porteur information clé requis pour l'authentification lors de l'établissement d'une session VPN, nous devons alors configurer le client OpenVPN pour qu'il fonctionne avec. Le fournisseur PKCS #11 est la bibliothèque propre développement pour travailler avec nos jetons, dont le chemin est écrit dans les paramètres du client OpenVPN. Vous pouvez en savoir plus à ce sujet.


    Lors de la demande d'établissement d'une connexion VPN, le code PIN de la clé est demandé, s'il est entré correctement, un certificat est récupéré pour l'authentification du client, le client est en contact avec le serveur et une connexion VPN est établie. Des gens bien informés peut prétendre que tout n'est pas si simple, mais le but de cette description n'est pas de raconter toutes les subtilités d'OpenVPN, mais seulement de mettre en évidence les principaux points de notre implémentation.


    Un peu sur nos projets. La principale chose sur laquelle nous travaillons actuellement est la mise en œuvre du cryptage GOST. Un assez long chemin de recherche a déjà été parcouru, ce qui nous a permis de nous approcher au plus près de sa mise en œuvre. Dans un avenir proche, nous serons en mesure de satisfaire l'intérêt des clients potentiels pour cette fonctionnalité.

    Mots clés:

    • VPN
    • openvpn
    • tarte aux framboises
    • rutoken
    • ouvressl
    Ajouter des balises

    L'organisation des canaux VPN entre les branches de l'entreprise est d'une grande importance dans le travail de tout informaticien. Cet article traite de l'une des façons de mettre en œuvre cette tâche en se basant sur produit logiciel OpenVPN.

    Ci-dessous, nous examinerons la topologie du réseau dans laquelle nous organiserons un tunnel VPN, analyserons les fonctionnalités de configuration du programme OpenVPN et configurerons étape par étape le routage pour nos bureaux. L'article a été écrit dans l'espoir qu'OpenVPN soit installé sur les plates-formes Windows 7 et Serveur Windows 2008.

    Topologie du réseau.

    Utilisé par nous topologie de réseau la norme. Il existe un réseau Bureau central(appelons-le SCS) et le Branch Network (appelons-le SF). La tâche consiste à connecter les bureaux de telle manière que l'ordinateur de l'utilisateur final (ci-après PC1) du bureau SSC ait accès aux ressources partagées de l'ordinateur de l'utilisateur (ci-après PC2) de la SF.

    Le SCO comprend :

    • Une passerelle Internet (appelons-la ISH1) avec deux interfaces réseau :
      • 111.111.111.111 - émis par le fournisseur, regarde Internet.
      • 192.168.0.1 - attribué par nous, regarde dans le SCO.
    • Serveur OpenVPN (ci-après dénommé OS) sur lequel nous allons élever OpenVPN avec une interface virtuelle et une interface physique :
      • 10.8.0.1 est l'adresse de l'interface virtuelle (l'interface est installée lors de l'installation du programme OpenVPN). L'adresse de cette interface est attribuée par le programme. Vous et moi ne devrions pas modifier l'adresse nous-mêmes à partir de la gestion des adaptateurs réseau.
      • 192.168.0.2 - interface physique, les paramètres sont définis par nous, regarde dans le SCO.
    • PC1 - l'ordinateur utilisateur 1, avec une interface réseau 192.168.0.3, a le même aspect dans le SCO.

    SF comprend :

    • Passerelle Internet (ci-après ISH2) avec deux interfaces réseau :
      • 222.222.222.222 - émis par le fournisseur, regarde Internet.
      • 192.168.1.2 - nommé par nous, regarde dans le SF.
    • Client OpenVPN (ci-après OK) sur lequel nous monterons OpenVPN avec une interface virtuelle et une interface physique :
      • 10.8.0.2 est l'adresse de l'interface réseau virtuelle (l'interface est installée lors de l'installation du programme OpenVPN). L'adresse de cette interface est également attribuée par le programme OpenVPN.
      • 192.168.1.2 - interface physique, les paramètres sont définis par nous, regarde dans le SF.
    • PC2 - ordinateur utilisateur 2, avec une interface réseau 192.168.1.3, regarde dans le SF.

    Configuration d'un serveur OpenVPN.

    Passons maintenant au programme lui-même, aux bases et aux fonctionnalités de sa configuration. OpenVPN est disponible en versions pour Linux et Windows. Vous pouvez télécharger le package d'installation à l'adresse.

    Le processus d'installation lui-même ne posera aucun problème. La seule chose à faire est de désactiver l'antivirus lors de l'installation afin d'éviter problèmes supplémentaires... Au moment d'écrire ces lignes, par exemple, les produits de Kaspersky Lab n'ont pas bloqué l'installation, mais ont seulement suscité des soupçons sur certains des composants installés.

    Pendant le processus d'installation, un Adaptateur de réseau Adaptateur TAP-Win32 V9 et, par conséquent, le pilote pour cela. Le programme OpenVPN attribuera l'adresse IP et le masque du réseau virtuel OpenVPN à cette interface. Dans notre cas, on lui attribue l'adresse 10.8.0.1 avec un masque de 255.255.255.0 sur le serveur OS et 10.8.0.2 avec un masque similaire sur le client OK.

    Par défaut, le programme est installé dans C:\ProgramFiles\OpenVPN... Dans ce répertoire, vous devez immédiatement créer un dossier supplémentaire clés(c'est là que nous allons stocker les clés d'authentification) dossier cdc(ici seront les configurations des paramètres du serveur pour le client).

    Dans l'annuaire C:\ProgramFiles\OpenVPN\exemple-config les configurations standard sont présentées. Les configs que nous allons créer doivent se trouver dans le répertoire C:\Program Files\OpenVPN\config.

    La configuration d'OpenVPN commence par la génération de clés. Les clés générées sont divisées en :

    • certificat maître CertificateAuthority (CA) et clé utilisés pour signer chaque certificat serveur et client.
    • publique et clés privées pour le serveur et chaque client (c'est important) séparément.

    La séquence de création des clés est la suivante (les noms du certificat et des fichiers de clés sont indiqués entre parenthèses) :

    • Nous générons le certificat principal CA (ca.crt) et la clé CA (ca.key).
    • Générez la clé tls-auth (ta.key) pour l'authentification des paquets.

    Analysons chaque point plus en détail.

    Nous générons le certificat CA principal et la clé CA :

    Aller à Démarrer, Exécuter recrutement cmd, cliquez sur OK, accédez à la ligne de commande. Nous écrivons:

    Cd C: / Program Files / OpenVPN / easy-rsa

    Ainsi, nous sommes dans l'annuaire facile-rsa:

    Lors de l'exécution de toutes les étapes de génération des clés, vous devez être dedans. Nous exécutons la commande :

    Init-config

    Sans fermer la ligne de commande, accédez à C:\ProgramFiles\OpenVpn\easy-rsa et éditer le fichier vars.bat en renseignant les paramètres suivants (en indiquant bien entendu vos données) :

    KEY_COUNTRY = RF
    KEY_PROVINCE = MO
    KEY_CITY = Malinino
    KEY_ORG = Organisation
    [email protégé]

    Créons maintenant un certificat CA et une clé CA. Nous ouvrons la ligne de commande, qui pendant tout ce temps était suspendue quelque part sur le bureau, et nous continuons à entrer les commandes :

    Var
    Nettoie tout
    construire-ca

    La dernière commande génère simplement le certificat CA et la clé CA. Dans le processus de création d'une clé, des questions vous seront posées, auxquelles vous pourrez répondre simplement en appuyant sur Entrée "a (puis les valeurs seront extraites du fichier vars.bat que nous avons édité ci-dessus) ou entrez les vôtres. Il vaut la peine de prêter attention à la question:

    Nom commun (par exemple, votre nom ou le nom d'hôte de votre serveur) : OpenVPNS

    C'est là que vous définissez un nom pour le serveur - dans l'exemple, nous avons entré OpenVPNS.

    Nous générons un certificat (server.crt) et une clé (server.key) du serveur.

    Sans quitter l'annuaire, dans notre ligne de commande nous continuerons à entrer des commandes. Générons un certificat de serveur et une clé avec la commande :

    Build-key-server server

    Nous répondons aux questions de la même manière que dans le premier paragraphe. À la question:

    Nom commun * : serveur

    Présentons : serveur... Sur les questions :

    Signer le certificat ?

    1 demande de certificat sur 1 certifiée, s'engager ?

    vous devez donner une réponse positive : Oui.

    Nous générons un certificat (office1.crt) et une clé (office1.key) pour le client.

    Évidemment, il peut y avoir de nombreux clients, dans notre exemple il en est un - bureau1... En fonction du nombre de clients, la commande suivante de la ligne de commande est exécutée plusieurs fois et les noms des clés générées doivent également être modifiés :

    Construire un bureau clé1

    si plus de certificats et de clés sont requis, disons pour le deuxième client, alors nous entrons :

    Construire un bureau clé2

    En train de répondre aux questions, n'oubliez pas que chaque client sur une question Nom commun devrait avoir un nom unique comme : office1, office2, etc.

    Génération des paramètres DiffieHellman (dh1024.pem).

    On rentre en ligne de commande, ils se trouvent dans le même répertoire easy-rsa :

    Construire-dh

    Génération de la clé tls-auth (ta.key) pour l'authentification des paquets

    Enfin, nous créons une clé pour l'authentification tls avec la commande :

    Openvpn --genkey --secret ta.key

    Voyons maintenant quels fichiers laisser sur le serveur et lesquels transférer vers le client. Sur le serveur (OC), seuls les fichiers suivants doivent se trouver dans le dossier keys que nous avons créé :

    • ca.crt
    • ca.key
    • dh1024.pem
    • serveur.crt
    • clé.serveur
    • ta.clé

    Sur le client OK, de la même manière que le serveur OS, créez le dossier keys, il doit y avoir :

    • ca.crt
    • bureau1.crt
    • office1.key
    • ta.clé

    Tous les fichiers avec l'extension .key sont secrets. Ils ne doivent être transmis que par des canaux sécurisés, de préférence sur un support physique.

    Ensuite, commençons à créer une configuration pour notre serveur OS et notre client OK. Dans le répertoire config, créez un fichier avec le nom et l'extension suivants : serveur.ovpn Nous l'ouvrons avec le bloc-notes et commençons à écrire la configuration :

    Nous sélectionnons le protocole de transmission des données - dans ce cas, upd :

    UDP proto

    Port standard pour OpenVPN :

    Port 1194

    Mode de fonctionnement du programme L3-tunnel. DANS ce mode OpenVPN - routeur :

    Mode client-serveur :

    Tls-serveur

    Cette topologie est disponible depuis la version 2.1 et consiste dans le fait que chaque client se voit attribuer 1 adresse, sans ports de routeur virtuel :

    Sous-réseau de topologie

    Les routes sont ajoutées via .exe - ceci est important :

    exe de méthode de routage

    Le délai lors de l'ajout d'un itinéraire peut être réduit à 5 :

    Route-retard 10

    Cette option définit l'organisation du réseau. Nous avons un réseau virtuel 10.8.0.0 / 24. La première adresse de ce réseau, c'est-à-dire 10.8.0.1 est délivrée au serveur, la suivante (10.8.0.2, 10.8.0.3, etc.) aux clients. Le serveur DHPC reçoit l'adresse 10.8.0.254 :

    Serveur 10.8.0.0 255.255.255.0

    Nous définissons la passerelle vers le réseau openvpn :

    Route-passerelle 10.8.0.1

    Le répertoire dans lequel nous devons placer le fichier avec le nom de notre client, c'est-à-dire office1 sans l'extension, et y écrire les commandes qui seront exécutées sur le client :

    Client-config-dir "C: \\ Program Files \\ OpenVPN \\ ccd"


    cert "C: \\ Program Files \\ OpenVPN \\ keys \\ server.crt"
    clé "C: \\ Program Files \\ OpenVPN \\ keys \\ server.key"
    dh "C: \\ Program Files \\ OpenVPN \\ keys \\ dh1024.pem"
    tls-auth "C: \\ Program Files \\ OpenVPN \\ keys \\ ta.key" 0

    Nous définissons le serveur OS une route vers l'ensemble du réseau :

    Itinéraire 10.8.0.0 255.255.255.0

    Choisir une méthode de compression :

    Chiffre BF-CBC

    Nous définissons la compression du trafic :

    Comp-lzo

    OpenVPN transmet les erreurs réseau non critiques au système de journalisation du programme. En pratique, cela réduira le contenu de la fenêtre d'état qui apparaît au démarrage du serveur OpenVPN :

    Le serveur envoie un ping au côté opposé avec un intervalle de 10 secondes, et si le côté ne répond pas dans les 60 secondes, le serveur démarre une reconnexion :

    Keepalive 5 60

    Ensuite, allez dans le répertoire ccd et créez un fichier qui contiendra les commandes envoyées au client depuis le serveur. Il devrait être appelé de la même manière que nous avons appelé le client lui-même, par exemple bureau1... Le fichier n'aura pas d'extension.

    Nous l'éditons via le bloc-notes. Tous les paramètres spécifiés ci-dessous seront automatiquement transférés au client :

    Nous définissons l'adresse IP et le masque de notre client office1 :

    Ifconfig-push 10.8.0.2 255.255.255.0

    Nous lui envoyons la route à l'ensemble du réseau :

    Appuyez sur « itinéraire 10.8.0.0 255.255.255.0 »

    Nous définissons la passerelle pour cela :

    Appuyez sur "route-passerelle 10.8.0.1"

    Cette commande indique au serveur OS que derrière ce client, à savoir OK (office1), se trouve le réseau 192.168.1.0 :

    Iroute 192.168.1.0 255.255.255.0

    Ainsi, nous avons fini de configurer le serveur côté OS.

    Personnalisation des clients.

    Ensuite, commençons à modifier les paramètres du client. Allons en voiture OK au dossier configuration... Créons un fichier dedans bureau1.ovpn Commençons par l'éditer, un certain nombre d'options reprennent celles du serveur, nous ne les expliquerons donc pas :

    Logiciel de développement
    UDP proto
    port 1194

    Nous indiquons l'adresse externe d'ISh1 :

    À distance 111.111.111.111

    Le client fonctionnera en mode tls-client :

    Tls-client

    Cette option protège contre l'usurpation de serveur par un tiers :

    Serveur distant-cert-tls

    Ces options sont similaires au serveur :

    exe de méthode de routage
    itinéraire-retard 10

    Définissez une route vers le réseau 192.168.0.0 :

    Avec cette commande, on active la réception de la configuration du client depuis le serveur :

    Chemins clés :

    Ca "C: \\ Program Files \\ OpenVPN \\ keys \\ ca.crt"
    cert "C: \\ Program Files \\ OpenVPN \\ keys \\ office1.crt"
    clé "C: \\ Program Files \\ OpenVPN \\ keys \\ office1.key"
    tls-auth "C: \\ Program Files \\ OpenVPN \\ keys \\ ta.key" 1

    Le reste des options est également similaire au serveur :

    Chiffre BF-CBC
    comp-lzo
    verbe 1
    garder en vie 5 60

    Ceci termine la configuration du programme côté client.

    Configuration et routage du pare-feu.

    Et donc, nous avons configuré les configs sur OK et sur l'OS. Nous allons maintenant analyser très les points importants... Nous ferons une réservation à l'avance si vous utilisez KIS 2011 ou similaire Logiciel antivirus, alors dans les paramètres du pare-feu, vous devez autoriser le passage des paquets ICMP. Cela vous permettra de pinger les hôtes sur nos réseaux en douceur.

    Il vaut également la peine d'ajouter notre interface virtuelle du programme OpenVPN à la liste des réseaux de confiance.

    Sur Ish1, les actions suivantes doivent être effectuées :

    • Transfert configuré du port 1194 du protocole UDP de l'interface 111.111.111.111 vers l'interface serveur du système d'exploitation 192.168.0.2
    • Le pare-feu doit être autorisé à transmettre sur le port 1194 du protocole UDP, sinon le ping ne passera même pas entre l'OS et OK.

    Sur ISh2, des actions similaires doivent être entreprises :

    • Configurer le transfert du port UDP 1194 de l'interface 222.222.222.222 à l'interface client OK 192.168.1.2
    • Vérifiez si le port UDP 1194 est ouvert dans le pare-feu.

    Dans Usergate 5.2, par exemple, la configuration du transfert de paquets sur le port UDP 1194 ressemble à ceci :

    À ce stade, nous pingons déjà OK et OS à leurs adresses OpenVPN, c'est-à-dire 10.8.0.1 et 10.8.0.2. Ensuite, nous devons nous assurer du bon acheminement des paquets du client OK vers le réseau distant 192.168.0.0. Nous le faisons de plusieurs manières :

    Ou nous définissons une route permanente vers ce réseau sur le client OK lui-même :

    Route -p add 192.168.0.0 masque 255.255.255.0 10.8.0.1

    Ou nous définissons cette route dans la configuration ccd du client vers le serveur, à savoir dans le fichier office1 que nous ajoutons :

    Appuyez sur « itinéraire 192.168.0.0 255.255.255.0 »

    Vous pouvez également le faire en ajoutant une ligne directement à la configuration du client OK :

    Itinéraire 192.168.0.0 255.255.255.0

    Ensuite, vous devez fournir une route pour les paquets du serveur du système d'exploitation vers le réseau distant 192.168.1.0. cela se fait de la même manière que ci-dessus à quelques exceptions près.

    Ajoutez la commande à la configuration du serveur OS :

    Route 192.168.1.0 255.255.255.0 10.8.0.2

    ou ajoutez la commande directement sur la ligne de commande :

    Route -p add 192.168.1.0 masque 255.255.255.0 10.8.0.2

    Il est également nécessaire sur le serveur OS et le client OK d'activer le service dans les services Routage et accès distant fournissant ainsi un acheminement vers réseau interne(expéditeur). Sans cela, les adresses internes dans les réseaux SCS et SF du client OK et du serveur OS ne seront pas ping.

    A ce stade, nous pouvons déjà pinger librement les adresses internes de notre système d'exploitation et OK, c'est-à-dire en tapant ping 192.168.1.2 sur le serveur OS et ping 192.168.0.2 sur le client OK, nous obtenons un résultat positif sous la forme :

    Ainsi, OK et OS ping mutuellement vers leurs adresses OpenVPN et SCS et SF internes. Ensuite, nous devons enregistrer une route sur la ligne de commande vers le réseau 10.8.0.0 sur nos PC1 et PC2. Cela se fait par les commandes suivantes :

    Route -p ajoute le masque 192.168.1.0 255.255.255.0 192.168.0.2

    Route -p add 192.168.0.0 masque 255.255.255.0 192.168.1.2

    En conséquence, les ressources partagées dans PC1 et PC2 seront disponibles à leur adresse intranet :

    • Mots clés:

    Veuillez activer JavaScript pour afficher le

    Dans cet article, nous examinerons de plus près le processus de configuration d'un serveur VPN dans le système d'exploitation Windows Server et répondrons également aux questions : Qu'est-ce qu'un VPN et comment configurer une connexion VPN ?

    Qu'est-ce qu'une connexion VPN ?

    VPN (Virtual Private Network) est un réseau privé virtuel utilisé pour fournir une connexion sécurisée au réseau. Une technologie qui permet à n'importe quel nombre d'appareils d'être connectés à un réseau privé. En règle générale, via Internet.

    Bien que cette technologie ne soit pas nouvelle, mais pour Ces derniers temps il est devenu pertinent en raison du désir des utilisateurs de maintenir l'intégrité ou la confidentialité des données en temps réel.

    Ce type de connexion est appelé tunnel VPN. Vous pouvez vous connecter au VPN depuis n'importe quel ordinateur, depuis n'importe quel système opérateur qui prend en charge la connexion VPN. Ou un VPN-Client est installé, capable de transférer des ports via TCP / IP vers un réseau virtuel.

    À quoi sert un VPN

    VPN fournit une connexion à distance aux réseaux privés

    Vous pouvez également combiner en toute sécurité plusieurs réseaux et serveurs.

    Les ordinateurs avec des adresses IP de 192.168.0.10 à 192.168.0.125 sont connectés via une passerelle réseau qui agit comme un serveur VPN. Auparavant, le serveur et le routeur devaient avoir des règles pour les connexions VPN.

    Le VPN vous permet d'utiliser Internet en toute sécurité lorsque vous êtes connecté, même pour ouvrir réseaux wifi dans les espaces publics (centres commerciaux, hôtels ou aéroports)

    Et également contourner les restrictions sur l'affichage de contenu dans certains pays

    Le VPN empêche les cybermenaces d'intercepter des informations par un attaquant à la volée, invisibles pour le destinataire.

    Comment fonctionne le VPN

    Jetons un coup d'œil au fonctionnement de principe d'une connexion VPN.

    Imaginez que la transmission est le mouvement d'un paquet le long d'une route du point A au point B, sur le chemin du paquet il y a des points de contrôle du paquet de données. Lors de l'utilisation d'un VPN, cette route est en outre protégée par un système de cryptage et une authentification de l'utilisateur pour sécuriser le trafic qui contient le paquet de données. Cette méthode est appelée "tunneling"

    Dans ce canal, toutes les communications sont protégées de manière fiable et tous les nœuds de transmission de données intermédiaires traitent un paquet crypté et uniquement lorsque les données sont transmises au destinataire, les données du paquet sont décryptées et deviennent disponibles pour le destinataire autorisé.

    VPN gardera vos informations privées avec un antivirus complet.

    VPN prend en charge les certificats tels que OpenVPN, L2TP, IPSec, PPTP, PPOE et il s'avère être complètement sécurisé et moyen sûr transmission de données.

    Le tunneling VPN est appliqué :

    1. Au sein du réseau de l'entreprise.
    2. Consolidation des bureaux distants, ainsi que des petites succursales.
    3. Accès aux ressources informatiques externes.
    4. Pour créer une visioconférence.

    Création de la sélection VPN et configuration des équipements.

    Pour communication d'entreprise dans de grandes organisations ou associations ami distant d'autres bureaux ont utilisé du matériel informatique capable de maintenir le bon fonctionnement et la sécurité du réseau.

    Pour utiliser un service vpn, les éléments suivants peuvent faire office de passerelle réseau : des serveurs linux/Windows, un routeur et une passerelle réseau sur laquelle le VPN est installé.

    Le routeur doit fournir un fonctionnement fiable du réseau sans gel. La fonction VPN intégrée vous permet de modifier la configuration pour le travail à domicile, dans l'organisation ou dans la succursale.

    Configuration d'un serveur VPN.

    Si vous souhaitez installer et utiliser un serveur VPN basé sur la famille Windows, vous devez comprendre que les machines clientes Windows XP / 7/8/10 cette fonction ne supporte pas, vous avez besoin d'un système de virtualisation, ou d'un serveur physique sur la plate-forme Windows 2000/2003/2008/2012/2016, mais nous considérerons cette fonction sur Windows Server 2008 R2.

    1. Tout d'abord, vous devez installer le rôle serveur "Network Policy and Access Services". Pour ce faire, ouvrez le gestionnaire de serveur et cliquez sur le lien "Ajouter un rôle" :

    Sélectionnez le rôle "Network Policy and Access Services" et cliquez sur suivant :

    Sélectionnez « Services de routage et d'accès distant », puis cliquez sur Suivant et sur Installer.

    2. Après avoir installé le rôle, vous devez le configurer. Allez dans le gestionnaire de serveur, ouvrez la branche "Rôles", sélectionnez le rôle "Politique réseau et services d'accès", développez, faites un clic droit sur "Routage et accès distant" et sélectionnez "Configurer et activer le routage et l'accès distant"

    Après le démarrage du service, nous considérons la configuration du rôle comme terminée. Vous devez maintenant autoriser les utilisateurs à accéder au serveur et configurer l'émission d'adresses IP aux clients.

    Les ports pris en charge par le VPN. Une fois le service levé, ils s'ouvrent dans le pare-feu.

    Pour PPTP : 1723 (TCP) ;

    Pour L2TP : 1701 (TCP)

    Pour SSTP : 443 (TCP).

    L2TP / IpSec est le protocole préféré pour la construction de réseaux VPN, principalement pour la sécurité et une plus grande disponibilité, en raison du fait qu'une session UDP est utilisée pour les canaux de données et de contrôle. Aujourd'hui, nous allons examiner la configuration du serveur VPN L2TP / IpSec sur la plate-forme Windows Server 2008 r2.

    Vous pouvez essayer de déployer sur des protocoles : PPTP, PPOE, SSTP, L2TP / L2TP / IpSec

    Aller à Gestionnaire de serveur : Rôles - Routage et accès distant, cliquez sur ce rôle avec le bouton droit de la souris et sélectionnez " Propriétés", dans l'onglet "Général", cochez les champs du routeur IPv4, sélectionnez "réseau local et appel à la demande", et serveur d'accès distant IPv4 :

    Nous devons maintenant entrer la clé pré-partagée. Allez dans l'onglet Sécurité et sur le terrain Autoriser les politiques IPSec spécifiques pour la connexion L2TP cochez la case et entrez votre clé. (En ce qui concerne la clé. Vous pouvez y entrer une combinaison arbitraire de lettres et de chiffres, le principe principal, plus la combinaison est complexe, plus elle est sûre, et rappelez-vous ou notez cette combinaison, nous en avons toujours besoin). Dans l'onglet Fournisseur d'authentification, sélectionnez Authentification Windows.

    Maintenant, nous devons configurer Sécurité de connexion... Pour cela, allez dans l'onglet Sécurité et choisissez Méthodes d'authentification, vérifie les boites EAP et validation cryptée (Microsoft version 2, MS-CHAP v2) :

    Ensuite, allez dans l'onglet IPv4, là nous indiquerons quelle interface acceptera Connexions VPN, ainsi que de configurer le pool d'adresses émises pour les clients VPN L2TP dans l'onglet IPv4 (définissez l'interface sur « Autoriser RAS à sélectionner l'adaptateur »):

    Passons maintenant à l'onglet qui apparaît Ports, faites un clic droit et Propriétés, choisissez une connexion L2TP et appuyez sur Régler, dans une nouvelle fenêtre, mettez Connexion à distance (entrant uniquement) et Connexion à la demande (entrante et sortante) et exposer quantité maximale ports, le nombre de ports doit correspondre ou dépasser le nombre attendu de clients. Il est préférable de désactiver les protocoles inutilisés en décochant les deux cases à cocher dans leurs propriétés.

    Liste des ports que nous avons laissés dans la quantité spécifiée.

    Ceci termine la configuration du serveur. Il ne reste plus qu'à autoriser les utilisateurs à se connecter au serveur. Aller à Gestionnaire de serveur Active Directory utilisateurs - on trouve l'utilisateur qu'on veut permettre l'accès pousser Propriétés, aller au signet les appels entrants

    Vous avez aimé l'article ? A partager avec des amis :
    Vous pouvez également être intéressé par