Shaxsiy VPN-ni qanday qilish kerak? VPN yordamida xavfsiz kirishni qanday tashkil qilish kerak

Windows 10

Barcha uyali aloqa xodimlari va uzoqdagi filiallar uchun yagona xususiy tarmoqni qanday yaratish kerak

VPN nima?

Deylik, bizning shaharning turli joylarida yoki turli shaharlarda yoki mamlakatlarda ikkita ofisimiz bor va ularning har biri Internetga ulangan. Masalan, 1C yagona korporativ tizim sifatida ishlash uchun biz ularni bitta mahalliy tarmoqqa birlashtirishimiz kerak. (Biz tarqatilgan ma'lumotlar bazalari shaklida 1C uchun echimlarni taklif qilishimizga qaramay. Ba'zida bitta tarmoqni yaratish va ulanish osonroq bo'ladi to'g'ridan-to'g'ri 1C-serverga server sizning xonangizda joylashganidek)

Siz, albatta, ikkita shahar o'rtasida shaxsiy yo'nalishni sotib olishingiz mumkin, ammo bu echim juda qimmatga tushadi.
Virtual xususiy tarmoq (VPN - Virtual Private Network) orqali echim bizga ushbu ajratilgan liniyani Internet orqali shifrlangan tunnel yaratish orqali tashkil qilishni taklif qiladi VPN-ning ajratilgan aloqa liniyalaridan asosiy ustunligi kanal to'liq yopiq bo'lgan paytda kompaniyaning pulini tejashdir.
Iste'molchining fikriga ko'ra, VPN - bu sizning serverlaringiz, ma'lumotlar bazangiz va korporativ tarmog'ingizning har qanday manbalariga ochiq Internet kanallari orqali masofadan xavfsiz kirishni tashkil qilishingiz mumkin bo'lgan texnologiya. Aytaylik, A shahridagi buxgalter mijoz kelgan B shahridagi kotibning printerida schyot-fakturani osongina bosib chiqarishi mumkin. VPN orqali noutbuklaridan ulangan masofadan turib ishlaydigan xodimlar ham o'z ofislarining jismoniy tarmog'ida bo'lganidek, tarmoqda ishlashlari mumkin.

Masofaviy ish stolidan foydalanganda kassa apparatlarining * tormozlari * bilan duch kelgan mijozlar ko'pincha VPN-ni o'rnatish zarurati tug'iladi. Bu sizga kassa uchun ma'lumotlarni Internet orqali virtual COM yordamida serverga oldinga va orqaga yuborishdan xalos bo'lishga imkon beradi va kassa bilan bevosita aloqada bo'lgan har qanday nuqtada nozik mijozni o'rnatishga imkon beradi, faqat yopiq kanal orqali serverga kerakli ma'lumotlarni yuboradi. RDP interfeysini to'g'ridan-to'g'ri Internetga tarqatish sizning kompaniyangizni juda katta xavflarga duchor qiladi.

Ulanish usullari

VPNni tashkil qilish usullari, quyidagi ikkita asosiy usulni ajratib ko'rsatish maqsadga muvofiqdir:

  • (Mijoz - Tarmoq ) Ayrim xodimlarning modem yoki umumiy tarmoq orqali tashkilotning korporativ tarmog'iga masofadan kirishi.
  • (Tarmoq - Tarmoq ) Ikki yoki undan ortiq idoralarni Internet orqali yagona xavfsiz virtual tarmoqqa birlashtirish

Ko'pgina qo'llanmalar, ayniqsa Windows uchun, ulanishni birinchi sxema bo'yicha tavsiflaydi. Shu bilan birga, siz ushbu ulanish tunnel emas, balki faqat VPN tarmog'iga ulanishga imkon berishini tushunishingiz kerak.Bu tunnellarni tartibga solish uchun bizga ko'pchilik adashganidek, masofaviy idoralar soniga ko'ra emas, balki faqat bitta oq IP kerak.

Rasmda A ofisiga ulanishning ikkala varianti ko'rsatilgan.

A va B idoralari o'rtasida kanal tashkil etilgan bo'lib, bu ofislarning yagona tarmoqqa qo'shilishini ta'minlaydi. Bu ikkala ofisni har qanday moslama uchun shaffof qiladi, ofislar ulardan birida joylashgan bo'lib, bu ko'plab muammolarni hal qiladi. Masalan, IP telefonlari bilan bitta ATS ichida bitta raqamlash imkoniyatini tashkil etish.

A ofisining barcha xizmatlaridan mobil mijozlar foydalanishlari mumkin, va B ofisi bitta virtual tarmoqda joylashgan bo'lsa, uning xizmatlari.

Bunday holda, mobil mijozlarni ulash usuli odatda PPTP (Tunnel-to-Point Tunneling Protocol) tomonidan amalga oshiriladi, va ikkinchi IPsec yoki OpenVPN

PPTP

(Point-to-Point Tunneling Protocol bumagin-lohg) - bu nuqta-to-tunnel protokoli, Microsoft tomonidan ishlab chiqarilgan va PPP (Point-to-Point Protocol) kengaytmasi hisoblanadi, shuning uchun uning autentifikatsiya, siqish va shifrlash mexanizmlaridan foydalaniladi. PPTP Windows XP Remote Access dasturiga o'rnatilgan. Ushbu protokolning standart tanlovi bilan Microsoft MPPE (Microsoft Point-to-Point Encryption) shifrlash usulidan foydalanishni taklif qiladi. Siz ma'lumotlarni matnli matnda shifrlashsiz uzatishingiz mumkin. PPTP ma'lumotlari PPP tomonidan qayta ishlangan ma'lumotlarga Generic Routing Encapsulation (GRE) sarlavhasi va IP sarlavhasini qo'shish orqali inkassatsiya qilinadi.

Xavfsizlikning muhim muammolari tufayli, qurilmaning boshqa VPN protokollariga mos kelmasligi tashqari, boshqa protokollar o'rniga PPTP ni tanlash uchun hech qanday sabab yo'q. Agar sizning qurilmangiz L2TP / IPsec yoki OpenVPN-ni qo'llab-quvvatlasa, ushbu protokollardan birini tanlash yaxshidir.

Shuni ta'kidlash kerakki, deyarli barcha qurilmalarda, shu jumladan mobil qurilmalarda, operatsion tizimga (Windows, iOS, Android) o'rnatilgan, bu darhol ulanishni o'rnatishga imkon beruvchi mijoz mavjud.

L2TP

(Ikki qatlamli tunnel protokoli) bu ikki protokolning eng yaxshisini o'z ichiga olgan PPTP (Microsoft) va L2F (Cisco-dan) kombinatsiyasidan kelib chiqqan holda yanada rivojlangan protokol. Birinchi variantga qaraganda xavfsizroq ulanishni ta'minlaydi, shifrlash IPSec protokoli (IP-xavfsizlik) yordamida amalga oshiriladi. L2TP, shuningdek, Windows XP masofaviy erkin foydalanish dasturiga o'rnatiladi, bundan tashqari, ulanish turini avtomatik ravishda aniqlaganda, mijoz avval ushbu protokol yordamida serverga ulanishga harakat qiladi, chunki xavfsizlik nuqtai nazaridan bu afzalroq.

Shu bilan birga, IPsec protokoli zarur parametrlarni kelishib olish kabi muammoga duch kelmoqda.Ko'pgina ishlab chiqaruvchilar konfiguratsiya imkoniyatisiz o'zlarining standart parametrlarini o'rnatgan bo'lsalar-da, ushbu protokoldan foydalanadigan apparat mos kelmaydi.

OpenVPN

Hozirda VPN texnologiyalarida amalda standart bo'lgan OpenVPN texnologiyalari tomonidan ishlab chiqilgan rivojlangan ochiq VPN yechimi. Qaror SSL / TLS shifrlash protokollaridan foydalanadi. OpenVPN shifrlashni ta'minlash uchun OpenSSL kutubxonasidan foydalanadi. OpenSSL 3DES, AES, RC5, Blowfish kabi juda ko'p turli xil kriptografik algoritmlarni qo'llab-quvvatlaydi. IPSec-da bo'lgani kabi, CheapVPN-da juda yuqori darajadagi shifrlash - 256-bitli kalit bilan AES algoritmi mavjud.
OpenVPN - WEB-dan tashqari qo'shimcha protokollarni ochish uchun to'lovni kamaytiradigan yoki oladigan provayderlarni chetlab o'tishga imkon beradigan yagona echim. Bu printsipial ravishda kanallarni tashkil qilish imkonini beradi kuzatib bo'lmaydi va bizda bunday echimlar mavjud

Endi sizda VPN nima ekanligini va u qanday ishlashini bilishingiz mumkin. Agar siz rahbar bo'lsangiz - o'ylab ko'ring, ehtimol bu siz izlayotgan narsadir

PfSense platformasida OpenVPN serverini o'rnatish misoli

Biz server yaratamiz

  • Interfeys: WAN (Internetga ulangan server tarmoq interfeysi)
  • Protokol: UDP
  • Mahalliy port: 1194
  • Tavsif: pfSenseOVPN (har qanday qulay ism)
  • Tunnel tarmog'i: 10.0.1.0/24
  • Shlyuzni qayta yo'naltirish: Yoqish (Agar mijozning barcha Internet-trafigi VPN-server orqali yo'naltirilishini xohlamasangiz, ushbu parametrni o'chirib qo'ying.)
  • Mahalliy tarmoq: Bo'sh qoldiring (Agar siz pfSense serverining orqasida joylashgan mahalliy tarmoqqa uzoqdagi VPN-mijozlar kirish imkoniyatini berishini istasangiz, ushbu tarmoqning manzil maydonini shu erga kiriting. Aytaylik, 192.168.1.0/24)
  • Bir vaqtda ulanishlar: 2 (Agar siz qo'shimcha OpenVPN Remote Access Server litsenziyasini sotib olgan bo'lsangiz, sotib olingan litsenziyalar soniga mos keladigan raqamni kiriting)
  • Mijozlararo aloqa: Yoqish (Agar VPN mijozlari bir-birlarini ko'rishini xohlamasangiz, ushbu parametrni o'chirib qo'ying)
  • DNS-server 1 (2 va boshqalar): pfSense xostining DNS-serverlarini ko'rsating. (ularning manzillarini bo'limda bilib olishingiz mumkin Tizim\u003e Umumiy sozlash\u003e DNS-serverlar)

keyin biz mijozlarni yaratamiz va mijoz dasturlari uchun konfiguratsiya protseduralarini soddalashtirish uchun pfSense-da qo'shimcha vosita taqdim etiladi - "OpenVPN Client Export Utility"... Ushbu vosita avtomatik ravishda o'rnatish paketlari va fayllarni mijozlar uchun tayyorlaydi, shuning uchun OpenVPN mijozining qo'lda konfiguratsiyasidan qochadi.

Ofislar orasidagi VPN aloqasi biznes xavfsizligi talablarini o'z ichiga oladi:

  • Ofislardan, shuningdek bosh ofisdan markazlashgan holda ma'lumot olish imkoniyati
  • Yagona korporativ axborot tizimi
  • Yagona kirish nuqtasi bo'lgan korxona ma'lumotlar bazalari
  • Yagona kirish nuqtasi bo'lgan korporativ elektron pochta
  • Ofislar o'rtasida o'tkaziladigan ma'lumotlarning maxfiyligi

Agar siz o'rnatishda qiyinchiliklarga duch kelsangiz yoki VPN texnologiyasiga hali qaror qilmagan bo'lsangiz - bizga qo'ng'iroq qiling!

Garchi mavzu buzilgan bo'lsa-da, shunga qaramay, ko'pchilik ko'pincha qiyinchiliklarga duch kelmoqdalar - bu yangi boshlovchi tizim ma'muri bo'ladimi yoki xo'jayinlari tomonidan muhandis vazifalarini bajarishga majbur bo'lgan ilg'or foydalanuvchi bo'lsin. Paradoksal ravishda, VPN-da ma'lumotlarning ko'pligiga qaramay, tushunarli variantni topish butun muammo. Bundan tashqari, kimdir yozgan kabi taassurot qoldiradi - boshqalar matnni beparvolik bilan nusxalashgan. Natijada, qidiruv natijalari tom ma'noda keraksiz ma'lumotlarning ko'pligi bilan chalkashib ketadi, ulardan foydali ma'lumotlarni kamdan-kam hollarda ajratish mumkin. Shuning uchun, men o'zimning uslubim bo'yicha barcha nuanslarni chaynashga qaror qildim (ehtimol kimdir foydali bo'lib qolishi mumkin).

Xo'sh, VPN nima? VPN (VirtualXususiyTarmoq - virtual xususiy tarmoq) - bu bir yoki bir nechta tarmoq ulanishlarini (mantiqiy tarmoq) boshqa tarmoq (shu jumladan Internet) orqali ta'minlashga imkon beradigan texnologiyalarning umumlashtirilgan nomi. Amaldagi protokollarga va maqsadga qarab VPN uch xil ulanishlarni ta'minlay oladi: tugun-tugun, tugun tarmog'i va to'r.Ular aytganidek, sharh yo'q.

VPN stereotipli sxemasi

VPN sizga masofaviy xostni kompaniyaning yoki boshqa xosting mahalliy tarmog'i bilan osongina birlashtirishga, shuningdek tarmoqlarni biriga birlashtirishga imkon beradi. Foyda aniq - biz VPN mijozidan korporativ tarmoqqa bemalol kirishimiz mumkin. Bundan tashqari, VPN sizning ma'lumotlaringizni shifrlash bilan himoya qiladi.

Men sizga VPN ishlashining barcha tamoyillarini bayon qilgandek yurmayman, chunki maxsus adabiyotlar ko'p va rostini aytsam, men o'zim ko'p narsalarni bilmayman. Shunga qaramay, agar sizning vazifangiz "Buni bajaring!" Bo'lsa, siz shoshilinch ravishda mavzuga aralashishingiz kerak.

VPN orqali ikkita ofisni - bosh ofis va filialni birlashtirish zarur bo'lganda, mening shaxsiy amaliyotimdagi muammoni ko'rib chiqaylik. Vaziyat yanada murakkablashdi, bosh ofisda filial IP kamerasidan videoni qabul qilishi kerak bo'lgan video-server mavjud edi. Siz uchun qisqacha vazifa.

Ko'p echimlar mavjud. Hammasi sizning qo'lingizda bo'lgan narsaga bog'liq. Umuman olganda, VPN-ni turli xil Zyxel routerlari asosida ishlab chiqarilgan temir eritmasi yordamida qurish oson. Ideal holda, shunday bo'lishi mumkinki, Internet ikkala ofisga bitta provayder tomonidan tarqatiladi va keyin sizda hech qanday muammo bo'lmaydi (faqat provayder bilan bog'lanishingiz kerak). Agar kompaniya boy bo'lsa, unda u CISCO-ni sotib olishga qodir. Ammo odatda hamma narsa dasturiy ta'minot tomonidan hal qilinadi.

Va bu erda tanlov juda yaxshi - VPN-ni oching, WinRoute (u pulli ekanligini unutmang), operatsion tizim vositalari, Hamanchi kabi dasturlar (rostini aytsam, kamdan-kam hollarda yordam berishi mumkin, ammo men unga ishonishni maslahat bermayman - bepul versiyada 5 xost cheklangan va yana bir muhim kamchilik - bu sizning butun aloqangiz Hamanchi xostiga bog'liq, bu har doim ham yaxshi emas). Mening vaziyatimda ishonchli VPN ulanishini osongina yaratadigan OpenVPN bepul dasturidan foydalanish juda yaxshi bo'lar edi. Ammo biz har doimgidek eng kam qarshilik ko'rsatish yo'lidan boramiz.

Mening filialimda Internet mijoz Windows-ga asoslangan shlyuz orqali tarqatiladi. Qabul qilaman, eng yaxshi echim emas, balki uchta mijoz kompyuterlari uchun etarli. Ushbu shlyuzdan VPN-server yaratishim kerak. Ushbu maqolani o'qiyotganingizda, siz VPN bilan yangi tanishganingizga amin bo'lasiz. Shuning uchun, siz uchun, men, asosan, menga mos keladigan eng oddiy misolni keltiraman.

Windows NT oilasi allaqachon o'rnatilgan server qobiliyatlariga ega. VPN-serverni mashinalardan biriga o'rnatish qiyin bo'lmaydi. Server sifatida men Windows 7-ning skrinshotlariga misollar keltiraman, ammo umumiy printsiplar eski XP bilan bir xil bo'ladi.

Iltimos, ikkita tarmoqni ulash uchun sizga kerak ular boshqa diapazonga ega edilar! Masalan, bosh ofisda 192.168.0.x, filialda esa 192.168.20.x (yoki har qanday kulrang ip oralig'i) bo'lishi mumkin. Bu juda muhim, shuning uchun ehtiyot bo'ling. Endi, sozlashni boshlashingiz mumkin.

Boshqarish panelidagi VPN-serverga o'ting -\u003e Tarmoq va almashish markazi -\u003e Adapter sozlamalarini o'zgartirish.

Endi menyuni ochish uchun Alt tugmasini bosing. U erda Fayl elementida "Yangi kiruvchi ulanish" ni tanlashingiz kerak.

VPN orqali kira oladigan foydalanuvchilar uchun katakchalarni belgilang. Men yangi foydalanuvchi qo'shishni, ularga yaxshi ism berishni va parolni tayinlashni maslahat beraman.

Buni amalga oshirgandan so'ng, keyingi oynada foydalanuvchilar qanday ulanishini tanlashingiz kerak. "Internet orqali" katagiga belgi qo'ying. Endi siz virtual tarmoqqa bir qator manzillarni tayinlashingiz kerak. Bundan tashqari, ma'lumotlar almashinuvida qancha kompyuterlar ishtirok etishini tanlashingiz mumkin. Keyingi oynada TCP / IP versiyasi 4 protokolini tanlang va "Xususiyatlar" tugmasini bosing:

Sizda skrinshotda menda bor narsa bo'ladi. Agar mijoz server joylashgan mahalliy tarmoqqa kirishni xohlasangiz, shunchaki "Qo'ng'iroq qiluvchilarga mahalliy tarmoqqa kirishga ruxsat berish" katagiga belgi qo'ying. "IP-manzillarni tayinlash" bo'limida men yuqorida tavsiflangan printsipga binoan manzillarni qo'lda ko'rsatishni tavsiya etaman. Mening misolimda men diapazonga atigi yigirma beshta manzilni berdim, garchi shunchaki ikkitasini va 255-ni belgilashim mumkin edi.

Shundan so'ng, "Kirish uchun ruxsat berish" tugmasini bosing.

Tizim avtomatik ravishda VPN serverini yaratadi, u kimdir unga qo'shilishini kutadi.

Endi VPN-mijozni sozlash kifoya. Mijozlar mashinasida, shuningdek, Tarmoq va almashish markaziga o'ting va tanlang Yangi ulanish yoki tarmoqni sozlash... Endi elementni tanlashingiz kerak bo'ladi "Ish joyiga ulanish"

"Internet-ulanishimdan foydalaning, shunda siz oynaga tashlanasiz, u erda siz bizning filialimizdagi Internet shlyuzimiz manzilini kiritishingiz kerak bo'ladi. Menda 95.2.x.x shaklida mavjud

Endi siz ulanishga qo'ng'iroq qilishingiz, serverga kiritilgan foydalanuvchi nomi va parolni kiritishingiz va ulanishga harakat qilishingiz mumkin. Agar hamma narsa to'g'ri bo'lsa, unda siz ulanasiz. Mening holatimda allaqachon filialdagi istalgan kompyuterga ping yuborishim va kamerani so'rashim mumkin. Endi uni video-serverga mono qilib qo'yish oson. Sizda yana bir narsa bo'lishi mumkin.

Shu bilan bir qatorda, ulanganda, 800 xatolik paydo bo'lishi mumkin, bu ulanish bilan bog'liq biron bir narsa noto'g'ri ekanligini bildiradi. Bu mijoz yoki server xavfsizlik devori muammosi. Ayniqsa, men sizga ayta olmayman - barchasi eksperimental tarzda aniqlanadi.

Ikki ofis o'rtasida VPN yaratganimiz shunchalik oddiy. O'yinchilar xuddi shu tarzda birlashtirilishi mumkin. Shunga qaramay, bu hali ham to'liq server bo'lmasligini unutmang va keyingi qismlarda gaplashadigan yanada rivojlangan vositalardan foydalanganda yaxshiroqdir.

Xususan, 2-qismda biz Windows va Linux uchun OPenVPN-ni sozlashni ko'rib chiqamiz.

  • Tarmoq texnologiyalari

    • VPN kimga kerak?

    2017 yil mart holatiga ko'ra hh.ru saytida joylashtirilgan masofaviy kirish bilan ishlash bo'yicha bo'sh ish o'rinlarining ulushi 1,5 foizni yoki 13 339 ta bo'sh ish o'rinlarini tashkil etdi. Yil davomida ularning soni ikki baravarga oshdi. 2014 yilda uzoqdan ishlaydigan xodimlarning soni 600 ming kishiga yoki iqtisodiy faol aholining 1 foiziga (15-69 yosh) to'g'ri keladi. J "son & Partners Consulting prognoziga ko'ra, 2018 yilga kelib barcha ishlaydigan rossiyaliklarning 20 foizga yaqini masofadan ishlaydi. Masalan, 2017 yil oxiriga kelib," Bilayn "o'z xodimlarining 50 foizidan 70 foizigacha masofadan ishlashga o'tishni rejalashtirmoqda.


    Nima uchun kompaniyalar xodimlarni uzoq joylarga o'tkazadilar:

    • Kompaniyaning ijara va ish joylarini saqlash xarajatlarini kamaytirish.
    • Bitta joyga bog'lanishning etishmasligi jamoani yig'ishga imkon beradi
      hech qachon bitta shahar ichida yig'ib bo'lmaydigan loyiha. Qo'shimcha ortiqcha - bu arzon ish kuchidan foydalanish imkoniyati.
    • Xodimlarning oilaviy sharoitlariga qarab ularning ehtiyojlarini qondirish.

    Biz 10 yil oldin o'zimiz uchun VPN-ga ehtiyoj sezdik. Biz uchun xodimlarga VPN-ni taqdim etishning motivatsiyasi dunyoning istalgan nuqtasidan va kechayu kunduzning istalgan vaqtida korporativ tarmoqqa tezkor kirish imkoniyati edi.

    Zo'r VPN echimini tanlash

    Ko'plab echimlar variantlari mavjud. Ko'pincha, kompaniyada qanday uskunalar va dasturiy ta'minot ishlatilganligi, tizim ma'muri qanday dasturiy ta'minotni o'rnatish mahoratiga qarab qaror qabul qilinishi kerak. Men darhol nimadan voz kechganimizdan boshlayman, keyin nima qilganimizni va nima bilan tugaganimizni aytib beraman.

    Routerlarda VPN

    Bozorda "xitoycha echimlar" deb nomlangan ko'plab narsalar mavjud. Deyarli har qanday yo'riqnoma o'rnatilgan VPN-server funksiyasiga ega. Odatda bu oddiy yoqish / o'chirish funktsiyasi va foydalanuvchilar uchun login va parollarni qo'shish, ba'zida Radius serveriga qo'shilish. Nega biz bunday echimni o'ylamadik? Avvalo, biz o'z xavfsizligimiz va xizmatning uzluksizligi haqida o'ylaymiz. Shunga o'xshash temir parchalari har qanday ishonchli himoya bilan maqtana olmaydi (proshivka odatda juda kamdan-kam hollarda chiqadi yoki printsipial ravishda chiqmaydi) va ishning ishonchliligi ko'p narsalarni talab qiladi.

    Korxonaning VPN darajasi

    Agar siz Gartner maydoniga nazar tashlasangiz, u holda VPN bozorini anchadan buyon tarmoq uskunalarini ishlab chiqaruvchi kompaniyalar egallab olgan. Juniper, Cisco, Check Point: ularning barchasi VPN xizmatini o'z ichiga olgan murakkab echimlarga ega.



    Ehtimol, bunday echimlarning ikkita kamchiliklari mavjud. Birinchi va eng asosiysi bu yuqori narx. Ikkinchidan, zaif tomonlarni yopish tezligi ko'p narsani talab qiladi va agar siz yillik qo'llab-quvvatlash to'lovlarini to'lamasangiz, xavfsizlik yangilanishlarini kutmasligingiz kerak. Yaqinda uchinchi nuqta paydo bo'ldi - yirik tarmoq sotuvchilari dasturiy ta'minotiga o'rnatilgan xatcho'plar.

    Microsoft VPN

    10 yil oldin biz Windows-ga yo'naltirilgan kompaniya edik. Microsoft butun infratuzilmasi ularning ustiga qurilganlar uchun bepul echim taklif qiladi. Oddiy hollarda, konfiguratsiya hatto boshlang'ich tizim ma'muri uchun ham qiyin emas. Bizning holatimizda biz xavfsizlik nuqtai nazaridan VPN-dan hamma narsani siqib chiqarishni xohladik, shuning uchun parollardan foydalanish taqiqlandi. Tabiiyki biz parollar o'rniga sertifikatlardan foydalanishni va kalit juftligini saqlash uchun Rutoken EDS mahsulotimizdan foydalanishni xohladik. Loyihani amalga oshirish uchun bizga: domen tekshiruvi, radiusli server va to'g'ri ko'tarilgan va tuzilgan PKI infratuzilmasi kerak edi. O'rnatish haqida batafsil to'xtamayman, Internetda bu masalalar bo'yicha juda ko'p ma'lumotlar mavjud va to'g'ri PKI sozlamalari odatda o'nlab maqolalarni olishi mumkin. Uyda ishlatgan birinchi protokol PPTP edi. Uzoq vaqt davomida ushbu VPN opsiyasi bizga mos edi, lekin oxir-oqibat biz undan ikki sababga ko'ra voz kechishga majbur bo'ldik: PPTP hamma joyda ham ishlamadi va biz nafaqat Windows, balki boshqa operatsion tizimlardan ham foydalanishni boshladik. Shuning uchun biz alternativalarni izlay boshladik. E'tibor bering, yaqinda PPTP qo'llab-quvvatlashi Apple tomonidan o'chirildi Dastlab, biz Microsoft protokollaridan yana nimani taklif qilishi mumkinligini ko'rishga qaror qildik. SSTP / L2TP. SSTP hammamizga mos edi, faqat Windowsda ishlaydi. L2TP-da bunday kamchilik yo'q edi, lekin uning konfiguratsiyasi va texnik xizmat ko'rsatishi biz uchun juda qimmatga tushdi va biz alternativalarni sinab ko'rishga qaror qildik. Ham foydalanuvchilar, ham ma'murlar uchun oddiyroq echimni xohladim.

    OpenVPN

    Biz Aktivda ochiq manbani chin dildan yaxshi ko'ramiz. Microsoft VPN-ni almashtirishni tanlash, biz OpenVPN echimini e'tiborsiz qoldirolmasdik. Biz uchun asosiy plyus - bu echim barcha platformalar doirasidan chiqib ketishi edi. Oddiy holatda serverni ko'tarish juda oson. Endi docker va, masalan, tayyor tasvir yordamida bu bir necha daqiqada amalga oshirilishi mumkin. Ammo biz ko'proq narsani xohladik. Biz ilgari berilgan sertifikatlardan foydalanish uchun Microsoft CA bilan integratsiyani loyihaga qo'shishni xohladik. Biz foydalanadigan nishonlarni qo'llab-quvvatlashni xohladik. OpenVPN va tokenlar to'plamini qanday o'rnatish haqida, masalan, ushbu rasmda tasvirlangan. Microsoft CA va OpenVPN-ning integratsiyasini o'rnatish ancha qiyin edi, ammo umuman olganda, bu ham mumkin. Olingan echimni taxminan uch yil davomida ishlatdik, ammo bu vaqt davomida biz qulayroq variantlarni qidirishni davom ettirdik. OpenVPN-ga o'tishda biz uchun asosiy imkoniyat har qanday OS-dan foydalanish edi. Ammo hali ham ikkita shikoyat bor: kompaniya xodimlari sertifikat berish uchun Microsoft CA uchun do'zaxning 7 doirasini bosib o'tishlari kerak va ma'murlar hali ham ancha murakkab VPN infratuzilmasini saqlashlari kerak edi.

    Rutoken VPN

    Biz har qanday operatsion tizimda tokenlarni qanday ishlatishni bilamiz, bizda PKI infratuzilmasini qanday qilib to'g'ri tayyorlash haqida tushuncha bor, biz OpenVPN-ning turli xil versiyalarini sozlashimiz mumkin va bizda bularning barchasini brauzer oynasidan foydalanuvchilarga qulay tarzda boshqarishimizga imkon beradigan texnologiyalar mavjud. Shu tarzda yangi mahsulot g'oyasi paydo bo'ldi.



    Rutoken VPN-ni sozlash

    Biz haqiqatan ham sozlashni sodda va tushunarli qilishga harakat qildik. Butun o'rnatish bir necha daqiqa davom etadi va dastlabki sozlash ustasi sifatida amalga oshiriladi. Birinchi qadamda siz qurilmaning tarmoq sozlamalarini sozlashingiz kerak, menimcha bu erda sharhlar ortiqcha bo'ladi.




    Ikkinchi bosqichda siz kompaniya nomini kiritishingiz va bir necha daqiqa kutishingiz kerak, qurilma ichki sertifikatlash markazini sozlashda.







    Uchinchi qadam - VPN xizmatini o'zi sozlash. Ulanish amalga oshiriladigan tashqi IP-ni ko'rsating. Shifrlash va tarmoq manzilini tanlang.




    Konfiguratsiyaning to'rtinchi bosqichida biz mahalliy foydalanuvchilarni yaratamiz yoki ularni AD dan qo'shamiz




    Xodimning shaxsiy kabineti




    Xodimning operatsion tizimiga va brauzeriga qarab, sizga belgi bilan ishlash uchun zarur bo'lgan plagin va brauzer kengaytmasini o'rnatishingiz kerak bo'ladi.




    Plagin / kengaytmani o'rnatgandan so'ng, biz Rutoken EDS uchun o'zimiz uchun sertifikat yaratishimiz kerak.







    Va kerakli operatsion tizim uchun mijozni o'rnating:



    Hammasi qanday ishlaydi?

    Uskuna haqida bir oz. Dastlab, biz echimimiz uchun qanday "bazani" ishlatishni uzoq vaqt o'ylardik, chunki narx, qulaylik va ishlash o'rtasidagi muvozanatni saqlash kerak edi. Bozorda nima taklif qilinishini o'rganib chiqib, biz echimni amalga oshirish va uni tarqatish uchun ikkita variantni ko'rib chiqdik:

    • x86 (Enterprise) - bu oxirgi iste'molchiga uning infratuzilmasi doirasida joylashtirilishi mumkin bo'lgan virtual mashina tasviri shaklida taqdim etiladigan dasturiy echim.
    • Raspberry Pi allaqachon taniqli mikrokompyuter bo'lib, u eng yuqori narxga ega emas va u VPN-server sifatida ishlatilishi mumkin.

    Keling, bizning echimimiz qanday ishlashini ko'rib chiqaylik. Birinchidan, men sizga ikki faktorli autentifikatsiyani amalga oshirganimizni eslatib qo'ymoqchiman. Mijozning shaxsiy kalitlari va sertifikatlari tashuvchisi sifatida o'zlari ishlab chiqargan tokenlar, shuningdek ular bilan ishlash dasturlari ishlatiladi.


    Ammo dastlab, biz hali ham mahsulotning to'g'ri ishlashi uchun zarur bo'lgan xizmatlarni sozlashimiz kerak. Xizmatlarning konfiguratsiyasi hozirda kompaniyamiz mutaxassislari tomonidan yarim avtomatik rejimda amalga oshirilmoqda. Bu shuni anglatadiki, dasturiy ta'minotni joylashtirish jarayoni va dastlabki sozlamalar avtomatlashtirilgan, ammo bu jarayonni boshlash hali ham inson uchun imtiyozdir. Dastlabki sozlash paytida tizim paketlari, python, django, OpenVPN, супервайзер, OpenSSL va boshqalar o'rnatiladi.


    Keyingisi nima? Keyinchalik, umuman xavfsizlik uchun aslida javobgar bo'lgan barcha infratuzilmani sozlashingiz kerak. Masalan: CA (Sertifikat vakolati), PKI (ochiq kalit infratuzilmasi), kerakli kalitlarni va sertifikatlarni bering.


    PKI va CA yaratish, shuningdek OpenVPN server konfiguratsiya faylini shakllantirish, kalitlarni yaratish va sertifikatlar berish mahsulot mijozga topshirilgandan so'ng amalga oshiriladi. Ammo bu buning uchun har qanday aniq bilimga ega bo'lish va operatsion tizimga bevosita kirish zarurligini anglatmaydi. Hammasi ma'muriy tizimning biznes-mantig'ida amalga oshiriladi, unga kirish veb-interfeys orqali ta'minlanadi. Mijozdan atributlarning minimal to'plamini kiritish talab qilinadi (yuqorida tavsiflangan), shundan so'ng PKIni ishga tushirish va CA yaratish jarayoni boshlanadi. Tizim buyruqlariga aniq qo'ng'iroqlarni tavsiflashda alohida ma'no yo'q, chunki hamma narsa biz uchun uzoq vaqt tasvirlangan va chaynalgan. Biz qilgan asosiy narsa bu jarayonni avtomatlashtirish, foydalanuvchida ma'muriyat sohasida aniq bilimga ega bo'lish zaruratini yo'q qilish edi.


    Kalitlar va sertifikatlar bilan ishlash uchun biz g'ildirakni ixtiro qilmaslikka qaror qildik (garchi biz uni kelajakda mahsulot ishlab chiqarish rejalari asosida ixtiro qilish g'oyasini juda xohlagan bo'lsak ham va qadrlaymiz) va easy-rsa dan foydalaning.


    Infratuzilmani o'rnatishda eng ko'p vaqt sarflaydigan jarayon - Diffie-Hellman. Biz uzoq vaqt davomida parametrlar bilan tajriba o'tkazdik va "sifat-ishlash" muvozanatiga keldik. Ushbu qadamdan butunlay xalos bo'lish, bizning server imkoniyatlaridan foydalangan holda bunday fayllarni oldindan yaratish va shunchaki dastlabki ishga tushirish paytida ularni "tarqatish" haqida o'ylar bo'lgan. Bundan tashqari, ushbu fayldagi ma'lumotlar shaxsiy emas. Ammo hozircha biz ushbu fikrlarni keyingi "izlanishlar" uchun qoldirdik.


    Keyinchalik, oxirgi foydalanuvchiga kalit juftliklarini mustaqil ravishda yaratish, CA-ga sertifikat berish uchun so'rovlarni yaratish va ushbu sertifikatni belgi bilan yozuv bilan olish mexanizmini taqdim etish kerak. Bundan tashqari, sizga belgida oldindan autentifikatsiya qilish bilan VPN ulanishini o'rnatishga imkon beradigan mijoz kerak.


    Biz birinchi vazifani Web va SaaS xizmatlari uchun elektron imzo, shifrlash va ikki faktorli autentifikatsiya qilish funksiyalarini amalga oshiradigan plaginimiz tufayli hal qildik. Sertifikat berish va uni jetonga yozish uchun foydalanuvchi ushbu plaginni o'rnatishi kerak, RutokenVPN xizmatining shaxsiy kabinetiga kirish uchun avval ushbu belgini kompyuterga ulagan holda (plagin haqida ko'proq ma'lumotni bizning manbamizda o'qishingiz mumkin)


    Sertifikat berish jarayoni boshlanganda, kalit juftligini yaratish uchun ma'lumot olish uchun so'rov, shuningdek CA ga sertifikat berish to'g'risida so'rov yuboriladi. Shaxsiy kalit tokenga yoziladi va sertifikat berish to'g'risidagi so'rov CA-ga yuboriladi, bu esa o'z navbatida uni chiqaradi va javob sifatida qaytaradi. Shundan so'ng, sertifikat ham belgiga yoziladi.


    VPN ulanishini o'rnatishga deyarli hamma narsa tayyor. Server va bizning belgilarimiz bilan qanday ishlashni "biladigan" mijoz etishmayapti.




    Bizning mijozimiz Electron-da ishlaydi. Kim bu qanday hayvon ekanligini bilmaydi, qisqasi, ish stoli dasturini js, css va html yordamida amalga oshirish qobiliyati. Tafsilotlarga to'xtamasdan, mijoz OpenVPN mijozi orqali o'ziga xos "o'ralgan" bo'lib, sizga qo'ng'iroqlarni kerakli parametrlar bilan amalga oshirishga imkon beradi. Nima uchun bunday? Aslida, bu biz uchun qulayroq edi, garchi tanlangan echim ma'lum cheklovlarni keltirib chiqaradi.


    VPN sessiyasini o'rnatishda autentifikatsiya qilish uchun zarur bo'lgan asosiy ma'lumotlarning tashuvchisi sifatida tokendan foydalanganimiz uchun, OpenVPN mijozini u bilan ishlash uchun sozlashimiz kerak. PKCS # 11 provayderi bizning belgilarimiz bilan ishlash uchun shaxsiy kutubxona bo'lib, uning yo'li OpenVPN mijoz sozlamalarida yozilgan. Siz bu haqda ko'proq o'qishingiz mumkin.


    VPN ulanishini o'rnatishni so'raganda, kalit PIN-kod so'raladi, agar u to'g'ri kiritilgan bo'lsa, mijozning autentifikatsiyasi uchun sertifikat olinadi, mijoz server bilan qo'l berib ko'rishadi va VPN ulanishi o'rnatiladi. Bilimli odamlar hamma narsa shunchalik oddiy emasligini ta'kidlashlari mumkin, ammo bu tavsifning maqsadi OpenVPN-ning barcha nozikliklarini aytib berish emas, balki faqat bizning amalga oshirishimizning asosiy nuqtalarini ta'kidlashdir.


    Bizning rejalarimiz haqida bir oz. Hozir biz ishlayotgan asosiy narsa bu GOST shifrlashni amalga oshirishdir. Tadqiqotning ancha uzoq yo'li allaqachon o'tib ketgan, bu esa uni amalga oshirishga imkon qadar yaqinlashishga imkon berdi. Yaqin kelajakda biz ushbu funktsiyaga potentsial mijozlarning qiziqishini qondira olamiz.

    Teglar:

    • vpn
    • openvpn
    • malina pi
    • rutoken
    • opensl
    Teglar qo'shing

    Kompaniyaning filiallari o'rtasida VPN kanallarini tashkil qilish har qanday IT mutaxassisi ishida katta ahamiyatga ega. Ushbu maqolada ushbu vazifani OpenVPN dasturiy mahsuloti asosida amalga oshirish usullaridan biri muhokama qilinadi.

    Quyida biz VPN tunnelini tashkil qiladigan tarmoq topologiyasini ko'rib chiqamiz, OpenVPN dasturini sozlash xususiyatlarini tahlil qilamiz va ofislarimiz uchun marshrutni bosqichma-bosqich sozlaymiz. Maqola OpenVPN Windows 7 va Windows Server 2008 platformalarida o'rnatilishini kutish bilan yozilgan.

    Tarmoq topologiyasi.

    Biz foydalangan tarmoq topologiyasi standartdir. Markaziy ofis tarmog'i (uni ShHT deb ataymiz) va filiallar tarmog'i (keling SF deb nomlaymiz) mavjud. Vazifalar ofislarni bir-biriga bog'lab qo'yishdir, shunda SSC ofisining oxirgi foydalanuvchi kompyuterida (bundan keyin PC1) SF foydalanuvchi kompyuterining (keyingi o'rinlarda PC2) umumiy resurslariga kirish imkoniyati mavjud.

    ShHTga quyidagilar kiradi:

    • Ikkita tarmoq interfeysiga ega Internet shlyuzi (uni ISH1 deb ataymiz):
      • 111.111.111.111 - provayder tomonidan chiqarilgan, Internetga qaraydi.
      • 192.168.0.1 - biz tayinlagan, ShHTga qaraydi.
    • Biz OpenVPN-ni bitta virtual va bitta jismoniy interfeys bilan ko'taradigan OpenVPN Server (bundan keyin OS):
      • 10.8.0.1 - virtual interfeys manzili (interfeys OpenVPN dasturini o'rnatishda o'rnatiladi). Ushbu interfeys uchun manzil dastur tomonidan tayinlanadi. Siz va men manzilni tarmoq adapterlari boshqaruvidan o'zimiz o'zgartirmasligimiz kerak.
      • 192.168.0.2 - fizik interfeys, parametrlarni biz belgilaymiz, ShHTga qaraymiz.
    • PC1 - 192.168.0.3 tarmoq interfeysiga ega foydalanuvchi kompyuter 1, ShHTda xuddi shunday ko'rinadi.

    Federatsiya Kengashiga quyidagilar kiradi:

    • Ikkita tarmoq interfeysiga ega Internet shlyuzi (bundan keyin ISH2):
      • 222.222.222.222 - provayder tomonidan chiqarilgan, Internetga qaraydi.
      • 192.168.1.2 - biz tayinlagan, SFga qaraydi.
    • Biz OpenVPN-ni bitta virtual va bitta jismoniy interfeys bilan ko'taradigan OpenVPN Client (bundan keyin OK):
      • 10.8.0.2 - virtual tarmoq interfeysining manzili (interfeys OpenVPN dasturini o'rnatishda o'rnatiladi). Ushbu interfeys uchun manzil ham OpenVPN dasturi tomonidan belgilanadi.
      • 192.168.1.2 - fizik interfeys, parametrlarni biz belgilaymiz, SFga qaraymiz.
    • PC2 - foydalanuvchi kompyuter 2, 192.168.1.3 tarmoq interfeysiga ega, SF-da ko'rinadi.

    OpenVPN serverini sozlash.

    Endi dasturning o'ziga, uning konfiguratsiyasi asoslariga va xususiyatlariga o'tamiz. OpenVPN Linux va Windows uchun lazzatlarda mavjud. O'rnatish paketini quyidagi manzildan yuklab olishingiz mumkin.

    O'rnatish jarayonining o'zi hech qanday muammo tug'dirmaydi. Bitta narsa - qo'shimcha muammolarga duch kelmaslik uchun antivirusni o'rnatish vaqtida o'chirib qo'yish. Masalan, ushbu maqola yozilayotganda, masalan, Kasperskiy laboratoriyasining mahsulotlari o'rnatishga to'sqinlik qilmagan, balki faqat ba'zi o'rnatilgan komponentlar haqida shubha tug'dirgan.

    O'rnatish vaqtida tizimga virtual tarmoq adapteri o'rnatiladi TAP-Win32 adapteri V9 va shunga ko'ra, buning uchun haydovchi. OpenVPN dasturi ushbu interfeysga OpenVPN virtual tarmog'ining ip manzili va maskasini tayinlaydi. Bizning holatda, unga OS serverida 255.255.255.0 niqobli 10.8.0.1 manzili va OK mijozida shunga o'xshash niqob bilan 10.8.0.2 manzili beriladi.

    Standart bo'yicha, dastur o'rnatilgan C: \\ ProgramFiles \\ OpenVPN... Ushbu katalogda siz darhol qo'shimcha papka yaratishingiz kerak kalitlar (biz bu erda autentifikatsiya kalitlarini saqlaymiz) papkasi CD (bu erda mijoz uchun server sozlamalari konfiguratsiyasi bo'ladi).

    Katalogda C: \\ ProgramFiles \\ OpenVPN \\ sample-config standart konfiguratsiyalar taqdim etiladi. Biz yaratadigan konfiguratsiyalar katalogda joylashgan bo'lishi kerak C: \\ Program Files \\ OpenVPN \\ config.

    OpenVPN-ni sozlash tugmachalarni yaratish bilan boshlanadi. Yaratilgan kalitlar quyidagilarga bo'linadi:

    • master CertificateAuthority (CA) sertifikati va har bir server va mijoz sertifikatlarini imzolash uchun ishlatiladigan kalit.
    • server va har bir (bu muhim) mijoz uchun alohida va ochiq kalitlar.

    Kalitlarni yaratish ketma-ketligi quyidagicha (sertifikat va kalit fayllarning nomlari qavsda ko'rsatilgan):

    • Biz asosiy CA (ca.crt) sertifikati va CA (ca.key) kalitini yaratamiz.
    • Paketni tasdiqlash uchun tls-auth tugmachasini (ta.key) yarating.

    Keling, har bir fikrni batafsilroq tahlil qilaylik.

    Biz asosiy CA sertifikati va CA kalitini yaratamiz:

    Ga o'ting Boshlash - ishga tushirish yollash smd, OK tugmasini bosing, buyruq satriga o'ting. Biz yozamiz:

    CD C: / Dastur fayllari / OpenVPN / easy-rsa

    Shunday qilib, biz katalogdamiz oson-rsa:

    Kalitlarni yaratish uchun barcha bosqichlarni bajarish paytida siz unda bo'lishingiz kerak. Biz buyruqni bajaramiz:

    Init-config

    Buyruq satrini yopmasdan, ga o'ting C: \\ ProgramFiles \\ OpenVpn \\ easy-rsa va faylni tahrirlash vars.batquyidagi parametrlarni to'ldirib (albatta sizning ma'lumotlaringizni ko'rsatib):

    KEY_COUNTRY \u003d RF
    KEY_PROVINCE \u003d MO
    KEY_CITY \u003d Malinino
    KEY_ORG \u003d Tashkilot
    [elektron pochta bilan himoyalangan]

    Endi CA sertifikati va CA kalitini yarataylik. Bu vaqt davomida ish stolida bir joyda osilgan buyruq satrini ochamiz va buyruqlarni kiritishda davom etamiz:

    Vars
    hammasi toza
    qurmoq

    Oxirgi buyruq faqat CA sertifikati va CA kalitini yaratadi. Kalitni yaratish jarayonida sizga savollar beriladi, unga Enter "a" tugmachasini bosish orqali javob berishingiz mumkin (keyin qiymatlar biz tahrir qilgan vars.bat faylidan olinadi) yoki o'zingiznikini kiriting. Savolga e'tibor qaratish lozim:

    Umumiy ism (masalan, sizning ismingiz yoki serveringizning xost nomi): OpenVPNS

    Bu erda siz server uchun nom qo'ygansiz - biz OpenVPNS-ga kiritilgan misolda.

    Biz serverning sertifikatini (server.crt) va kalitini (server.key) yaratamiz.

    Katalogdan chiqmasdan, biz buyruq qatoriga buyruqlarni kiritishni davom ettiramiz. Server sertifikati va buyrug'i bilan kalit yarataylik:

    Build-key-server serveri

    Savollarga birinchi xatboshidagi kabi javob beramiz. Savolga:

    Umumiy ism *: server

    Keling, tanishtiramiz: server... Savollar bo'yicha:

    Sertifikat imzolanadimi?

    Sertifikatlangan 1 ta sertifikat so'rovlaridan bittasi, majburiyatmi?

    ijobiy javob berishingiz kerak: Y.

    Biz mijoz uchun sertifikat (office1.crt) va kalitni (office1.key) yaratamiz.

    Shubhasiz, mijozlar ko'p bo'lishi mumkin, bizning misolimizda u bitta - ofis1... Mijozlar soniga qarab buyruq satridagi quyidagi buyruq bir necha marta bajariladi va yaratilgan tugmachalarning nomlari ham o'zgartirilishi kerak:

    Muhim ofis1

    agar sizga ko'proq sertifikatlar va kalitlar kerak bo'lsa, ikkinchi mijoz uchun ayting, keyin quyidagilarni kiriting:

    Qurilish uchun mo'ljallangan ofis2

    Savollarga javob berish jarayonida har bir mijoz unutmang CommonName kabi noyob nomni olish kerak: office1, office2 va boshqalar.

    DiffieHellman parametrlarini yaratish (dh1024.pem).

    Biz buyruq satriga kiramiz, ular xuddi shu oson-rsa katalogida joylashgan:

    Qurilish-dh

    Paketlarni autentifikatsiya qilish uchun tls-auth tugmachasini yaratish (ta.key)

    Oxir-oqibat, buyrug'i bilan tls-autentifikatsiya qilish uchun kalit yarating:

    Openvpn --genkey - maxfiy ta.key

    Endi qaysi fayllarni serverda qoldirish kerakligini va qaysi birini mijozga o'tkazish kerakligini aniqlaylik. Serverda (OC) biz yaratgan kalitlar papkasida faqat quyidagi fayllar bo'lishi kerak:

    • ca.crt
    • yaxshi
    • dh1024.pem
    • server.crt
    • server.key
    • ta.key

    OK-mijozida, xuddi OS-serverga o'xshab, kalitlar papkasini yarating, quyidagilar bo'lishi kerak:

    • ca.crt
    • office1.crt
    • office1.key
    • ta.key

    .Key kengaytmasiga ega bo'lgan barcha fayllar maxfiydir. Ular faqat xavfsiz kanallar orqali, tercihen jismoniy vositalar orqali uzatilishi kerak.

    Keyin, OS serverimiz va OK mijozimiz uchun konfiguratsiya yaratishni boshlaymiz. Konfiguratsiya katalogida quyidagi nom va kengaytmali fayl yarating: server.ovpn Biz uni bloknot bilan ochamiz va konfiguratsiyani yozishni boshlaymiz:

    Biz ma'lumotlarni uzatish uchun protokolni tanlaymiz - bu holda yangilangan:

    Proto udp

    OpenVPN uchun standart port:

    Port 1194

    L3-tunnel dasturining ishlash tartibi. Ushbu rejimda OpenVPN yo'riqnoma:

    Mijoz-server rejimi:

    Tls-server

    Ushbu topologiya 2.1-versiyadan beri mavjud va har bir mijozga virtual router portlarisiz 1 ta manzil berilganligidan iborat:

    Topologiya subnet

    Marshrutlar .exe orqali qo'shiladi - bu muhim:

    Marshrut-usul exe

    Marshrutni qo'shishda kechikish 5 ga kamaytirilishi mumkin:

    Marshrutni kechiktirish 10

    Ushbu parametr tarmoqni tashkil qilishni belgilaydi. Bizda 10.8.0.0 / 24 virtual tarmog'i mavjud. Ushbu tarmoqdan birinchi manzil, ya'ni 10.8.0.1 serverga, keyingisi (10.8.0.2, 10.8.0.3 va boshqalar) mijozlarga beriladi. DHPC serveri 10.8.0.254 manzilini oladi:

    Server 10.8.0.0 255.255.255.0

    Openvpn tarmog'iga shlyuzni o'rnating:

    Marshrut-shlyuz 10.8.0.1

    Biz o'z mijozimiz nomi bilan faylni, ya'ni office1-ni kengaytmasiz joylashtirishimiz kerak bo'lgan katalog va unda mijozda bajariladigan buyruqlarni yozing:

    Client-config-dir "C: \\\\ Program Files \\\\ OpenVPN \\\\ ccd"


    cert "C: \\\\ Program Files \\\\ OpenVPN \\\\ keys \\\\ server.crt".
    "C: \\\\ Program Files \\\\ OpenVPN \\\\ keys \\\\ server.key" tugmachasi
    dh "C: \\\\ Program Files \\\\ OpenVPN \\\\ keys \\\\ dh1024.pem"
    tls-auth "C: \\\\ Program Files \\\\ OpenVPN \\\\ keys \\\\ ta.key" 0

    Biz OS serverini butun tarmoqqa yo'naltirishni o'rnatdik:

    10.8.0.0 yo'nalishi 255.255.255.0

    Siqish usulini tanlash:

    BF-CBC shifrlari

    Trafikni siqishni o'rnatdik:

    Comp-lzo

    OpenVPN muhim bo'lmagan tarmoq xatolarini jurnalga yozish tizimiga o'tkazadi. Amalda, bu OpenVPN-server ishga tushganda paydo bo'ladigan holat oynasi tarkibini kamaytiradi:

    Server qarama-qarshi tomonni 10 soniya oralig'ida ping qiladi va agar tomon 60 soniya ichida javob bermasa, server qayta ulanishni boshlaydi:

    5 60

    Keyin, ccd katalogiga o'ting va serverdan mijozga yuborilgan buyruqlarni o'z ichiga oladigan fayl yarating. Buni biz, masalan, mijozning o'zi qanday chaqirgan bo'lsa, shunday nomlash kerak ofis1... Fayl kengaytmasiga ega bo'lmaydi.

    Biz uni bloknot orqali tahrir qilamiz. Quyida ko'rsatilgan barcha parametrlar avtomatik ravishda mijozga o'tkaziladi:

    Biz mijoz ofisimiz uchun ip va niqobni o'rnatdik1:

    Ifconfig-push 10.8.0.2 255.255.255.0

    Biz uni butun tarmoqqa yo'naltiramiz:

    "10.8.0.0 marshruti 255.255.255.0" ni bosing.

    Buning uchun shlyuzni o'rnatdik:

    "10.8.0.1 marshrut-shlyuzi" ni bosing

    Ushbu buyruq OS-serverga ushbu mijozning orqasida, ya'ni OK (office1) ning 192.168.1.0 tarmog'i ekanligini aytadi:

    Iroute 192.168.1.0 255.255.255.0

    Shunday qilib, biz OS-ni serverni sozlashni tugatdik.

    Mijozni sozlash.

    Keyin, mijoz parametrlarini o'zgartirishni boshlaymiz. Avtomobil bilan OK-ga papkaga boramiz konfiguratsiya... Unda fayl yarataylik office1.ovpnUni tahrirlashni boshlaymiz, bir qator variantlar serverdagi variantlarni takrorlaydi, shuning uchun ularni tushuntirmaymiz:

    Dev tun
    proto udp
    port 1194

    ISh1 tashqi manzilini ko'rsatamiz:

    Masofadan boshqarish pulti 111.111.111.111

    Mijoz tls-mijoz rejimida ishlaydi:

    Tls-mijoz

    Ushbu parametr uchinchi tomon tomonidan serverlarni aldashdan himoya qiladi:

    Masofaviy sertifikat-serverlar serveri

    Ushbu parametrlar serverga o'xshash:

    Marshrut-usul exe
    marshrutni kechiktirish 10

    192.168.0.0 tarmog'iga marshrutni o'rnating:

    Ushbu buyruq yordamida biz mijozning konfiguratsiyasini serverdan qabul qilishni ta'minlaymiz:

    Asosiy yo'llar:

    Ca "C: \\\\ Program Files \\\\ OpenVPN \\\\ keys \\\\ ca.crt"
    cert "C: \\\\ Program Files \\\\ OpenVPN \\\\ keys \\\\ office1.crt".
    "C: \\\\ Program Files \\\\ OpenVPN \\\\ keys \\\\ office1.key" tugmachasi
    tls-auth "C: \\\\ Program Files \\\\ OpenVPN \\\\ keys \\\\ ta.key" 1

    Qolgan variantlar ham serverga o'xshash:

    BF-CBC shifrlari
    komp-lzo
    fe'l 1
    5 60

    Bu dasturning konfiguratsiyasini mijoz tomonida yakunlaydi.

    Xavfsizlik devorini sozlash va marshrutlash.

    Shunday qilib, biz OK va OS-da konfiguratsiyani sozladik. Endi juda muhim fikrlarni ko'rib chiqamiz. Keling, oldindan buyurtma beramiz, agar siz KIS 2011 yoki shunga o'xshash antivirus dasturlaridan foydalansangiz, xavfsizlik devori sozlamalarida siz ICMP paketlarini o'tishiga ruxsat berishingiz kerak. Bu bizning tarmoqlarimizdagi xostlarni bemalol ping qilish imkonini beradi.

    Bundan tashqari, OpenVPN dasturining virtual interfeysini ishonchli tarmoqlar qatoriga qo'shish kerak.

    ISh1-da quyidagi amallarni bajarish kerak:

    • UDP protokoli 1194 portini 111.111.111.111 interfeysidan OS server interfeysi 192.168.0.2 ga yo'naltirilgan
    • Xavfsizlik devori UDP protokolining 1194-portida uzatilishiga ruxsat berilishi kerak, aks holda ping OS va OK o'rtasida ham o'tmaydi.

    ISH2-da shunga o'xshash harakatlar amalga oshirilishi kerak:

    • UDP port 1194-ni 222.222.222.222 interfeysidan OK 192.168.1.2 mijoz interfeysiga yo'naltirishni sozlang.
    • UDP porti 1194 xavfsizlik devorida ochiq yoki yo'qligini tekshiring.

    Masalan, Usergate 5.2 da UDP 1194 portida paketlarni uzatishni sozlash quyidagicha ko'rinadi:

    Ushbu bosqichda biz OK va OS-ni OpenVPN manzillarida, ya'ni 10.8.0.1 va 10.8.0.2-da ping qilamiz. Keyinchalik, biz OK mijozidan 192.168.0.0 masofaviy tarmoqqa paketlarning to'g'ri yo'nalishini ta'minlashimiz kerak. Biz buni bir necha usullardan biri bilan qilamiz:

    Yoki OK mijozining o'zida ushbu tarmoqqa doimiy marshrutni o'rnatdik:

    Marshrut -p qo'shing 192.168.0.0 maskasi 255.255.255.0 10.8.0.1

    Yoki biz ushbu marshrutni mijozning ccd konfiguratsiyasida serverga o'rnatdik, ya'ni office1 faylida biz qo'shamiz:

    "192.168.0.0 marshruti 255.255.255.0" ni bosing.

    Buni to'g'ridan-to'g'ri OK mijoz konfiguratsiyasiga qator qo'shib qilishingiz mumkin:

    Yo'nalish 192.168.0.0 255.255.255.0

    Keyin OS serveridan paketlarni 192.168.1.0 masofaviy tarmoqqa yo'naltirishingiz kerak. bu bir necha istisnolardan tashqari yuqoridagi kabi amalga oshiriladi.

    OS server konfiguratsiyasiga buyruq qo'shing:

    Yo'nalish 192.168.1.0 255.255.255.0 10.8.0.2

    yoki buyruqni to'g'ridan-to'g'ri buyruq satriga qo'shing:

    Marshrut -p qo'shing 192.168.1.0 maskasi 255.255.255.0 10.8.0.2

    Bundan tashqari, OS serverida va OK mijozida xizmatni yoqish kerak Marshrutlash va masofadan kirishshu bilan ichki tarmoqqa yo'naltirishni ta'minlaydi (yo'naltirish). Bu holda, OK mijozi va OS serverining SCS va SF tarmoqlaridagi ichki manzillar ping bo'lmaydi.

    Ushbu bosqichda biz allaqachon OS va OK-ning ichki manzillarini erkin ping qilishimiz mumkin, ya'ni. OS serverida ping 192.168.1.2 va OK mijozida 192.168.0.2 ping yozib, biz quyidagi shaklda ijobiy natija olamiz:

    Shunday qilib, OK va OS o'zlarining OpenVPN va ichki SCS va SF manzillariga o'zaro bog'lanishadi. Keyinchalik, biz buyruq satrida PC1 va PC2-da 10.8.0.0 tarmog'iga marshrutni ro'yxatdan o'tkazishimiz kerak. Bu quyidagi buyruqlar bilan amalga oshiriladi:

    Marshrut -p qo'shing 192.168.1.0 maskasi 255.255.255.0 192.168.0.2

    Marshrut -p 192.168.0.0 maskasini qo'shing 255.255.255.0 192.168.1.2

    Natijada, PC1 va PC2-dagi umumiy resurslar ularning intranet manzilida mavjud bo'ladi:

    • Teglar:

    Ko'rish uchun JavaScript-ni yoqing

    Ushbu maqolada biz Windows Server operatsion tizimida VPN-serverni o'rnatish jarayonini batafsil ko'rib chiqamiz, shuningdek savollarga javob beramiz: VPN nima va VPN ulanishini qanday o'rnatish kerak?

    VPN ulanish nima?

    VPN (Virtual Private Network) - bu tarmoqqa xavfsiz ulanishni ta'minlash uchun ishlatiladigan virtual xususiy tarmoq. Istalgan miqdordagi qurilmalarni xususiy tarmoqqa ulashga imkon beradigan texnologiya. Odatda Internet orqali.

    Ushbu texnologiya yangi bo'lmasa-da, yaqinda foydalanuvchilarning real vaqt rejimida ma'lumotlarning yaxlitligini yoki maxfiyligini saqlash istagi tufayli dolzarblikka erishdi.

    Ushbu turdagi ulanish VPN tunnel deb nomlanadi. VPN-ga har qanday kompyuterdan, VPN ulanishini qo'llab-quvvatlaydigan har qanday operatsion tizim orqali ulanishingiz mumkin. Yoki TCP / IP yordamida virtual tarmoqqa portni uzatish imkoniyatiga ega bo'lgan VPN-Client o'rnatilgan.

    VPN nima qiladi

    VPN xususiy tarmoqlarga masofadan ulanishni ta'minlaydi

    Bundan tashqari, bir nechta tarmoq va serverlarni xavfsiz tarzda birlashtirishingiz mumkin

    192.168.0.10 dan 192.168.0.125 gacha bo'lgan IP-manzillari bo'lgan kompyuterlar VPN-server vazifasini bajaradigan tarmoq shlyuzi orqali ulangan. Ilgari, server va yo'riqnoma VPN ulanish qoidalariga ega bo'lishi kerak.

    VPN hatto jamoat joylarida (savdo markazlarida, mehmonxonalarda yoki aeroportlarda) ochilgan wi-fi tarmoqlariga ulanganda Internetdan xavfsiz foydalanishga imkon beradi.

    Shuningdek, ma'lum mamlakatlarda tarkibni namoyish qilishdagi cheklovlarni chetlab o'ting

    VPN kiber tahdidlarni tajovuzkor tomonidan tezda qabul qiluvchiga ko'rinmaydigan ma'lumotni ushlab qolishining oldini oladi.

    VPN qanday ishlaydi

    Keling, VPN ulanishining printsipial jihatdan qanday ishlashini ko'rib chiqaylik.

    Tasavvur qiling, uzatish - bu A nuqtadan B nuqtagacha bo'lgan yo'l bo'ylab paketning harakati, paket harakati yo'lida ma'lumotlar paketining nazorat nuqtalari mavjud. VPN-dan foydalanishda ushbu yo'nalish qo'shimcha ravishda ma'lumotlar paketini o'z ichiga olgan trafikni ta'minlash uchun shifrlash tizimi va foydalanuvchi autentifikatsiyasi bilan himoyalangan. Ushbu usul "tunnel" deb nomlanadi

    Ushbu kanalda barcha aloqalar ishonchli himoyalangan va ma'lumotlarni uzatishning barcha oraliq tugunlari shifrlangan paket bilan ishlaydi va faqat ma'lumotlar manzilga uzatilganda, paketdagi ma'lumotlar parolini ochib, vakolatli qabul qiluvchiga taqdim etilishi mumkin.

    VPN sizning ma'lumotlaringizni keng qamrovli antivirus bilan birga saqlaydi.

    VPN OpenVPN, L2TP, IPSec, PPTP, PPOE kabi sertifikatlarni qo'llab-quvvatlaydi va bu ma'lumotlarni uzatishning to'liq xavfsiz va xavfsiz usuli hisoblanadi.

    VPN tunnellari quyidagilarga qo'llaniladi:

    1. Korporativ tarmoq ichida.
    2. Masofaviy ofislarni, shuningdek kichik filiallarni birlashtirish.
    3. Tashqi manbalarga kirish.
    4. Videokonferentsiyalarni qurish.

    VPN yaratish, uskunani tanlash va sozlash.

    Katta tashkilotlarda korporativ aloqalar uchun yoki bir-biridan uzoqda joylashgan ofislarning birlashishi uchun tarmoqdagi uzluksiz ishlash va xavfsizlikni ta'minlaydigan apparat uskunalari ishlatiladi.

    Vpn xizmatidan foydalanish uchun quyidagilar tarmoq shlyuzi vazifasini bajarishi mumkin: Linux / Windows serverlari, yo'riqnoma va VPN o'rnatilgan tarmoq shlyuzi.

    Router muzlashsiz ishonchli tarmoq ishini ta'minlashi kerak. O'rnatilgan VPN funktsiyasi uyda, tashkilotda yoki filialda ishlash uchun konfiguratsiyani o'zgartirishga imkon beradi.

    VPN-serverni sozlash.

    Agar siz Windows oilasiga asoslangan VPN-serverni o'rnatmoqchi va ishlatmoqchi bo'lsangiz, unda Windows XP / 7/8/10 mijoz mashinalari ushbu funktsiyani qo'llab-quvvatlamasligini, sizga virtualizatsiya tizimi yoki Windows 2000/2003/2008 / platformasida jismoniy server kerakligini tushunishingiz kerak. 2012/2016, ammo biz ushbu xususiyatni Windows Server 2008 R2 da ko'rib chiqamiz.

    1. Birinchidan, siz "Tarmoq siyosati va kirish xizmatlari" server rolini o'rnatishingiz kerak, buning uchun server menejerini oching va "Rol qo'shish" havolasini bosing:

    "Tarmoq siyosati va kirish xizmatlari" rolini tanlang va keyingisini bosing:

    "Marshrutlash va masofadan kirish xizmatlari" ni tanlang va Keyingiga va O'rnatish tugmachasini bosing.

    2. Rolni o'rnatgandan so'ng, uni sozlashingiz kerak. Server menejeriga o'ting, "Rollar" filialini oching, "Tarmoq siyosati va kirish xizmatlari" rolini tanlang, kengaytiring, "Marshrutlash va masofaviy kirish" -ni o'ng tugmasini bosing va "Routing va masofaviy kirishni sozlash va yoqish" -ni tanlang

    Xizmatni ishga tushirgandan so'ng, biz rolning konfiguratsiyasini to'liq deb hisoblaymiz. Endi siz foydalanuvchilarga serverga kirishga ruxsat berishingiz va mijozlarga ip-manzil berilishini sozlashingiz kerak.

    VPN tomonidan qo'llab-quvvatlanadigan portlar. Xizmat bekor qilingandan so'ng, ular xavfsizlik devorida ochiladi.

    PPTP uchun: 1723 (TCP);

    L2TP uchun: 1701 (TCP)

    SSTP uchun: 443 (TCP).

    L2TP / IpSec protokoli VPN tarmoqlarini qurish uchun, asosan xavfsizlik va undan yuqori foydalanish uchun afzalroqdir, chunki bitta UDP sessiyasi ma'lumotlar va boshqarish kanallari uchun ishlatiladi. Bugun biz Windows Server 2008 r2 da L2TP / IpSec VPN serverini sozlashni ko'rib chiqamiz.

    Siz protokollarni tarqatishga urinib ko'rishingiz mumkin: PPTP, PPOE, SSTP, L2TP / L2TP / IpSec

    Ga o'ting Server menejeri: Rollar - Marshrutlash va masofaviy kirish, sichqonchaning o'ng tugmasi bilan ushbu rolni bosing va " Xususiyatlari ", "Umumiy" yorlig'ida, IPv4 yo'riqnoma uchun maydonlarga tasdiq belgisini qo'ying, "mahalliy tarmoq va talab bo'yicha qo'ng'iroq" ni tanlang va IPv4 masofaviy kirish serveri:

    Endi biz oldindan ulashilgan kalitni kiritishimiz kerak. Yorliqqa o'ting Xavfsizlik va dalada L2TP ulanishi uchun maxsus IPSec qoidalariga ruxsat berish katagiga belgi qo'ying va kalitingizni kiriting. (Kalit haqida. Siz u erga harflar va raqamlarning o'zboshimchalik bilan birikmasini kiritishingiz mumkin, asosiy printsip, kombinatsiya qanchalik murakkab bo'lsa, shunchalik xavfsizroq bo'ladi va biz ushbu kombinatsiyani eslab qolamiz yoki yozib qo'yamiz). Autentifikatsiya ta'minotchisi yorlig'ida Windows - Autentifikatsiya-ni tanlang.

    Endi biz sozlashimiz kerak Ulanish xavfsizligi... Buning uchun yorliqqa o'ting Xavfsizlik va tanlang Autentifikatsiya qilish usullari, katakchalarni belgilang EAP va shifrlangan tasdiqlash (Microsoft versiyasi 2, MS-CHAP v2):

    Keyin yorliqqa o'ting IPv4, u erda biz qaysi interfeys VPN ulanishlarini qabul qilishini, shuningdek IPv4 yorlig'ida L2TP VPN mijozlariga berilgan manzillar havzasini sozlashini ko'rsatamiz (interfeysni "RASga adapter tanlashiga ruxsat berish" ga sozlang):

    Endi paydo bo'lgan yorliqqa o'tamiz Portlar, o'ng tugmasini bosing va Xususiyatlari, ulanishni tanlang L2TP va tugmasini bosing Tuning, yangi oynada, qo'ying Dial-up ulanish (faqat kiruvchi) va Talab bo'yicha ulanish (kirish va chiqish) va maksimal portlar sonini belgilang, portlar soni kutilgan mijozlar soniga to'g'ri kelishi yoki oshishi kerak. Xususiyatlaridagi ikkala katakchani olib tashlash orqali foydalanilmagan protokollarni o'chirib qo'yish yaxshiroqdir.

    Belgilangan miqdorda qoldirgan portlarimiz ro'yxati.

    Bu serverni sozlashni yakunlaydi. Qolgan yagona narsa foydalanuvchilarga serverga ulanish imkoniyatini berishdir. Ga o'ting Server menejeri Faol katalog foydalanuvchilar - biz kerakli foydalanuvchini topamiz kirishga ruxsat berish Durang xususiyatlari, xatcho'pga o'ting kiruvchi qo'ng'iroqlar

    Maqola sizga yoqdimi? Do'stlar bilan bo'lishish uchun:
    Siz ham qiziqishingiz mumkin