Развертывание VPN сервера в сети предприятия является более сложной задачей, чем настройка базовых служб - NAT, DHCP и файловых серверов. Перед тем как браться за дело необходимо четко представлять структуру будущей сети и задачи которые должны решаться с ее помощью. В этой статье мы затронем основные вопросы ответы на которые вы должны твердо знать еще до того, как подойдете к серверу. Такой подход позволит избежать множества типовых проблем и бездумного копирования настроек из примера, а также позволит правильно настроить VPN именно для своих задач и потребностей.
Что такое VPN?
VPN (Virtual Private Network) -- виртуальная частная сеть, под этой аббревиатурой скрывается группа технологий и протоколов позволяющих организовать логическую (виртуальную) сеть поверх обычной сети. Широко применяется для разграничения доступа и повышения безопасности корпоративных сетей, организации безопасного доступа к ресурсам корпоративной сети извне (через интернет) и, в последнее время, провайдерами городских сетей для организации доступа в интернет.
Какие типы VPN бывают?
В зависимости от применяемого протокола VPN подразделяются на:
Рассмотрим несколько наиболее часто используемые применения VPN:
В качестве клиентов VPN сервера с большой болей вероятности будут выступать рабочие станции под управлением Windows, в то время как сервер может работать как под Windows, так и под Linux или BSD, поэтому будем рассматривать настройки соединения на примере Windows 7. Мы не будем останавливаться на базовых настройках, они просты и понятны, Остановимся на одном тонком моменте.
При подключении обычного VPN соединения основной шлюз будет указан для VPN сети, то есть интернет на клиентской машине пропадет или будет использоваться через подключение в удаленной сети. Понятно, что это как минимум неудобно, а в ряде случаев способно привести к двойной оплате трафика (один раз в удаленной сети, второй раз в сети провайдера). Для исключения этого момента на закладке Сеть в свойствах протокола TCP/IPv4 нажимаем кнопку Дополнительно и в открывшемся окне снимаем галочку Использовать основной шлюз в удаленной сети.
Мы бы не останавливались на этом вопросе столь подробно, если бы не массовое возникновение проблем и отсутствие элементарных знаний о причинах такого поведения VPN соединения у многих системных администраторов.
В следующей части нашей статьи мы рассмотрим другую актуальную проблему - правильную настройку маршрутизации для VPN клиентов, что является основой грамотного построения VPN сетей уровня предприятия.
Дополнительные материалы:
VPN (Virtual Private Network) -- виртуальная частная сеть, под этой аббревиатурой скрывается группа технологий и протоколов позволяющих организовать логическую (виртуальную) сеть поверх обычной сети. Широко применяется для разграничения доступа и повышения безопасности корпоративных сетей, организации безопасного доступа к ресурсам корпоративной сети извне (через интернет) и, в последнее время, провайдерами городских сетей для организации доступа в интернет.
Какие типы VPN бывают?
В зависимости от применяемого протокола VPN подразделяются на:
- PPTP (Point-to-point tunneling protocol) -- туннельный протокол типа точка-точка, позволяет организовать защищенное соединение за счет создания специального туннеля поверх обычной сети. На сегодняшний день это наименее безопасный из всех протоколов и его не рекомендуется применять во внешних сетях для работы с информацией доступ к которой для посторонних лиц нежелателен. Для организации соединения используется две сетевых сессии: для передачи данных устанавливается PPP сессия с помощью протокола GRE, и соединение на ТСР порту 1723 для инициализации и управления соединением. В связи с этим нередко возникают сложности с установлением подобного соединения в некоторых сетях, например гостиничных или мобильных операторов.
- L2TP (Layer 2 Tunneling Protocol) -- протокол туннелирования второго уровня, более совершенный протокол, созданный на базе PPTP и L2F (протокол эстафетной передачи второго уровня от Cisco). К его достоинствам относится гораздо более высокая безопасность за счет шифрования средствами протокола IPSec и объединения канала данных и канала управления в одну UDP сессию.
- SSTP (Secure Socket Tunneling Protocol) -- протокол безопасного туннелирования сокетов, основан на SSL и позволяет создавать защищенные VPN соединения посредством HTTPS. Требует для своей работы открытого порта 443, что позволяет устанавливать соединения из любого места, даже находясь за цепочкой прокси.
Рассмотрим несколько наиболее часто используемые применения VPN:
- Доступ в интернет. Чаще всего применяется провайдерами городских сетей, но также весьма распространенный способ и в сетях предприятий. Основным достоинством является более высокий уровень безопасности, так как доступ в локальную сеть и интернет осуществляется через две разные сети, что позволяет задать для них разные уровни безопасности. При классическом решении - раздача интернета в корпоративную сеть - выдержать разные уровни безопасности для локального и интернет трафика практически не представляется возможным.
- Доступ в корпоративную сеть извне, также возможно объединение сетей филиалов в единую сеть. Это собственно то, для чего и задумывали VPN, позволяет организовать безопасную работу в единой корпоративной сети для клиентов находящихся вне предприятия. Широко используется для объединения территориально разнесенных подразделений, обеспечения доступа в сеть для сотрудников находящихся в командировке или на отдыхе, дает возможность работать из дома.
- Объединение сегментов корпоративной сети. Зачастую сеть предприятия состоит из нескольких сегментов с различным уровнем безопасности и доверия. В этом случае для взаимодействия между сегментами можно использовать VPN, это гораздо более безопасное решение, нежели простое объединение сетей. Например, таким образом можно организовать доступ сети складов к отдельным ресурсам сети отдела продаж. Так как это отдельная логическая сеть, для нее можно задать все необходимые требования безопасности не влияя на работу отдельных сетей.
В качестве клиентов VPN сервера с большой болей вероятности будут выступать рабочие станции под управлением Windows, в то время как сервер может работать как под Windows, так и под Linux или BSD, поэтому будем рассматривать настройки соединения на примере Windows 7. Мы не будем останавливаться на базовых настройках, они просты и понятны, Остановимся на одном тонком моменте.
При подключении обычного VPN соединения основной шлюз будет указан для VPN сети, то есть интернет на клиентской машине пропадет или будет использоваться через подключение в удаленной сети. Понятно, что это как минимум неудобно, а в ряде случаев способно привести к двойной оплате трафика (один раз в удаленной сети, второй раз в сети провайдера). Для исключения этого момента на закладке Сеть в свойствах протокола TCP/IPv4 нажимаем кнопку Дополнительно и в открывшемся окне снимаем галочку Использовать основной шлюз в удаленной сети.
Мы бы не останавливались на этом вопросе столь подробно, если бы не массовое возникновение проблем и отсутствие элементарных знаний о причинах такого поведения VPN соединения у многих системных администраторов.В следующей части нашей статьи мы рассмотрим другую актуальную проблему - правильную настройку маршрутизации для VPN клиентов, что является основой грамотного построения VPN сетей уровня предприятия.
Дополнительные материалы:
- Настраиваем VPN сервер. Часть 1 - Общие вопросы.
- Настраиваем VPN сервер. Часть 2 - Маршрутизация и структура сети.
- Настраиваем VPN сервер. Часть 3 - PPTP. Платформа Linux.
- Настраиваем VPN сервер. Часть 4 - PPTP. Платформа Windows.
вот цикл статей про VPN очень и очень ждали!!!!
спасибо всё скачали и распечатали :) подшили в папочку и ожидаем продолжения :)
К сожалению жара сбила все планы, прошедшую неделю с семьей провел на отдыхе, что не располагало к написанию статей. Теперь, набравшись сил, буду наверстывать упущенное.
Вопрос - а куда пропала вторая часть?
и ещё вопрос - а когда будет опубликованна часть про настройку самого VPN сервера? :)
заранее спасибки вам за пояснения :)
удачи вам в ващем не лёгком и крайне необходимом многим людям деле :)
Начав писать третью часть выяснилось, что вторая не полностью раскрывает вопрос и нужно либо делать пространные отсупления в третьей или переписывать вторую. Сейчас полностью перерабатываем материал второй, после чего будет сразу опубликована практически готовая третья и четвертая (платформа Windows Server).
ну когда же будет опубликована третья часть?! очень надо=)
Согласен... реально нуна статья по настройке сервака VPN на гигтег в уже имеющейся схеме на основе прошлых статей...
Но к огромному сожалению думаю, что статья не выйдет :(((( хотя кто знает...
> Но к огромному сожалению думаю, что статья не выйдет
И чего вы так решили? Просто нужно запастись терпением. Каждый наш материал проходит 100% проверку. Т.е. берется стенд и на нем воспроизводятся все действия, затем все еще раз повторяется на чистой системе, что позволяет проверить повторяемость и полноту материала. И только потом появляется статья. А свободного времени, увы, не так и много. Выдавать материал без проверки мы не хотим, такого хлама в интернете предостаточно.
Кстати, полностью переписали вторую часть: http://interface31.ru/tech_it/2010/08/nastraivaem-vpn-server-chast-2-marshrutizaciya.html
Здравствуйте. Такой вопрос по настройке доступа по VPN.
Схема доступа такая LAN_home -> VPN_to_Internet -> VPN_to_work (основной шлюз в настройках отключен) -> LAN_work.
Дело в том, что когда диапазон ip LAN-home перекрывает LAN-work, то при подключении, доступ к ресурсам LAN-home закрывается. Это можно обойти, если поставить галку "Отключить добавление маршрута, основанное на классе", при этом прописав статический маршрут до LAN-work вручную, через "ip vpn-client", сохранив при этом практически полностью доступ к домашней сети, т.к. пул адресов рабочей очень мал по сравнению с ней. Для стационарного удаленного клиента этот маршрут можно прописать постоянно, а вот для ноутбука, который подключается удаленно через разных провайдеров и непосредственно на работе, такой маршрут придется постоянно, то включать, то отключать.
Возможно ли, чтобы VPN-клиент получая ip-адрес из диапазона LAN-work, еще и получал бы маршрут к его ресурсам через шлюз="ip vpn-client"?
Если можно поподробнее с адресацией, если адреса домашней и рабочей сети лежат в одном диапазоне то можно попробовать активировать режим proxy ARP на VPN сервере, что позволит обойтись без маршрутизации.
Автоматически получать маршрут клиент не может, однако вы можете запускать соединение пакетным файлом, который будет добавлять маршрут или смотрите в сторону OpenVPN.
Здравствуйте,
Відмінна стаття!
Для завершення, ви можете знайти список постачальників VPN, а також відгуки користувачів на
http://www.start-vpn.com/
Я пока с VPN знаком только теоретически.
Моя цель установить VPN сервер и на нём сделать свой личный сайт с возможностью работы в Интернете.
На данный момент схема моей сети такая: два компьютера (на одном установлен Windows server 2008 r2 на другом Windows 7 max), Wan приходит на маршрутизатор от него подключаются эти компьютеры. VPN активирую на Windows server 2008 r2 но на нём только один сетевой адаптер. И если я не ошибаюсь, для нормальной работы VPN нужны два сетевых адаптера (естественно, чтобы хотя бы один из них имел поддержку VPN технологии).
Мне нужно купить сетевой адаптер для VPN?
Похоже что незнакомы. Каким образом VPN-сервер связан с сайтом? Может быть вам нужен веб-сервер? Тогда купите хостинг, он нынче дешев как никогда.
Сайт мне нужен на моем компьютере. Пока мои запросы не нуждаются в хостинге. (Преимущества и недостатки хостинга мне известны). А что Windows server 2008 r2 Enterprise не в состояние справится с такими задачами?
Я хотел услышать от Вас, что то по поводу сетевого адаптера. Завтра понедельник и я вообще-то уже спланировал идти в магазин за сетевым адаптером. Надеюсь, мой ответ не грубый и если что, то не так-то извините.
Зачем вам сетевой адаптер? Поднимаете на W2K8 IIS7 + MSSQL, если планируете делать сайт на платформе Windows, или Apache + PHP + MySQL, затем на маршрутизаторе пробрасываете наружу 80 порт, к внешнему IP привязываете доменное имя и работайте.
Один раз я пробовал активировать VPN-сервер и у меня (на этом комп.) перестала работать внешняя связь. Сетевое подключение видело только локальную сеть. Тогда я понял, что вопрос упирался в сетевой адаптер. То есть если бы я подключил Интернет, минуя маршрутизатор сразу на комп. Он бы работал. Потом я разобрался в своих ошибках, но так и не до конца. Читая одну информацию, там говорилось про два сетевых адаптера.
Уже потом читая Вашу статью: «Windows Server. Настройка NAT + DHCP» я тоже увидел в сетевом интерфейсе два сетевых адаптера. Вот и решил спросить.
Ваш совет я приму во внимание. Спасибо.
Я спрошу еще раз, зачем вам VPN сервер? Какие функции он будет выполнять? С размещением сайта на сервере VPN никак не связан.
Пока занят. Чуть позже я подключусь.
Исходя из теории, я хотел установить VPN, потом через VPN установить Windows server 2008 r2 и уже в нём обучатся. Если я что, то напорчу и не смогу исправить, то потом мне достаточно будет удалить папку с Системой и т.д. То есть потрясений меньше.
Ваши ответы решили мои некоторые вопросы. Думаю последовать Вашим советам.
Если вам нужен сайт - поставьте Денвер , даже если накосячите - удалили папку с сайтом и сделали новую.
Если хотите экспериментировать с системами - ставьте виртуальную машину: VirtualBox или VMWare. Получите "компьютер в компьтере", сможете ставить, настраивать, удалять различные ОС, настраивать сеть между виртуальными машинами и много еще чего интересного не затрагивая основной компьютер,
У IIS хорошие возможности и плюс бесплатен. Пробовал его один раз впечатлений побольше, чем у Денвер. Между PHP и ASP.NET согласитесь ASP.NET получше. У IIS имеется хорошая поддержка ASP.NET. Сайты, которые работают под PHP, оставляют желать лучшего (Internet Explorer глючит на этих сайтах).
С Денвер - ом, когда то сталкивался, и он мне тоже понравился. Думаю нужно заострить внимание на IIS. Если IIS меня не устроит, то перейти на Денвер.
Большое спасибо за добрый совет. Если мне нужен будет Ваш совет, могу ли я ещё побеспокоить Вас?
До встречи (в Интернете).