Virtual Private Network (VPN) переводится с английского языка как «виртуальная частная сеть». Это технологии, объединенные в одну группу. Они предназначаются для обеспечения одного или нескольких соединений помимо другой сети. Казалось бы, ничего особенного. Суть технологии состоит в том, что к основному VPN-серверу при установленном соединении можно подключиться еще раз. В таком случае образуется зашифрованный канал, обеспечивающий надежность передачи данных.

VPN используется для соединения локальных сетей в одну виртуальную. Отдельные операторы связи предоставляют все необходимое для выхода в мировую сеть. В настоящее время есть несколько вариантов подключения VPN с использованием стандартов IPSec, SSL/TLS и PPTP. В зависимости от используемых протоколов и применения виртуальных сетей можно создавать соединение трех видов: сеть-сеть, узел-сеть, узел-узел.

Настройка vpn соединений должна выполняться специалистами. Только они смогут учесть все нюансы подключения виртуальной сети и избежать ошибок. Если все сделано правильно, надежная защита от потери данных будет обеспечена.

Виртуальные сети стандартно устанавливаются не выше сетевого уровня. Здесь использование криптографии дает возможность не изменять некоторые транспортные протоколы. Обычно для создания VPN-соединения берут инкапсуляцию протокола РРР с другим протоколом: IP, Ethernet.

Строение VPN-сетей

Виртуальные сети включает две части:

• внешняя сеть — по ней осуществляется инкапсулированное соединение, передаются зашифрованные данные;
• внутренняя сеть — находится под контролем. Таких сетей может быть несколько.

Для подключения используется сервер доступа, соединенный с внешней и внутренней сетями. При этом необходимо пройти процессы идентификации и аутентификации (проверка подлинности). Если на этих этапах не возникает затруднений, пользователь авторизуется и получает все необходимое для работы в виртуальной сети.

Виды VPN-сетей

Виртуальные сети классифицируются по разнообразным параметрам. Рассмотрим основные из них:

По степени защищенности используемой среды:

• защищенные -самый распространенный тип. Используются для установки надежных подсетей обычно в Интернете;
• доверительные — применяют, когда передающая среда является защищенной и требуется создать виртуальную подсеть в пределах одной большой сети. Обеспечением безопасности в таких случаях уже не занимаются.

По способу воплощения:

• как специальное программно-аппаратное обеспечение - виртуальная сеть подключается с применением специальных программно-аппаратных средств. Удобно использовать, когда требуется высокая производительность и защищенность;
• как программное средство — в случае установки на ПК со специальным программным обеспечением, необходимым для работы с VPN;
• как интегрированное решение — для использования виртуальных сетей используется целый комплекс средств.

По назначению:

• Intranet VPN — применяют в организациях для объединения виртуальных филиалов одной компании для передачи данных по открытым каналам;
• Extranet VPN — удобны для компаний, активно сотрудничающих с клиентами, поставщиками, партнерами. Эти пользователи подключаются к корпоративной сети;
• Remote Access VPN — необходимы для обеспечения защищенной передачи данных между корпоративной сетью и отдельно взятым пользователем. Например, сотрудник работает на дому, подключается через виртуальную сеть с домашнего ПК, использует необходимые данные фирмы;
• Internet VPN — применяется для выхода в Интернет при подключению нескольких пользователей к одному физическому каналу;
• Client/Server VPN — создается для обеспечения защиты передаваемой информации между двумя узлами единой сети. Обычно эти узлы расположены в одной части. Удобен для разделения трафика между разными отделами одной компании.

Преимущества VPN соединения

Профессиональное подключение и отладка виртуальных сетей (настройка vpn соединения ) обеспечивает надежную защиту данных при передаче по каналам. Имеются и другие плюсы VPN-соединения. Очень важно, что локальная сеть и Интернет с виртуальной сетью работают гораздо быстрее. Пропускаются виртуальные каналы связи, платить за кабельные линии не требуется.

Настраивание виртуальной сети обходится дешевле, чем монтаж удаленного доступа. Нет необходимости в приобретении дополнительного сетевого оборудования и его установке. Самое главное, что нужно сделать — это подключить виртуальную сеть и наладить контроль трафика удаленного доступа. Для VPN-соединения необходимо только соответствующее программное обеспечение, поэтому его нельзя выполнить в публичных местах, например, в Интернет-кафе.

При подключении каналов виртуальной сети начинает работать надежная система безопасности. Для ее функционирования используются алгоритмы шифрования, применяемые в Internet Protocol Security. Протокол защиты Интернет обеспечивает защиту на сетевом уровне.

Настройка соединения VPN

Мы настоятельно рекомендуем не производить настройку vpn соединений самостоятельно, так как это может привести к различным поломкам. В качестве примера рассмотрим внедрение виртуальной сети VPN в компьютер с операционной системой Windows XP.

В первую очередь необходимо проверить, правильные значения имеют настройки соединения с Интернетом. Теперь можно нажать кнопку «Пуск», расположенную в нижнем левом углу монитора. Выбираем пункт «Панель управления». Теперь нам необходимо найти значок «Сетевые подключения». Должно открыться окно. Именно в нем будет происходить настройка виртуальной сети с созданием нового подключения. Нам нужен пункт «Создание нового подключения», нажимаем «Подключить к сети на рабочем месте», выбираем пункт «Подключения к виртуальной частной сети», жмем кнопку «Далее» («Next»).

Появляется новое поле, в котором нужно ввести название компании или имя пользователя. Теперь найдите «Имя компьютера или IP-адрес», укажите VPN сервера провайдера, услугами которого вы пользуетесь.

Примечание: действия, которые будут описаны ниже, не являются обязательными в ходе настройки виртуальной сети. Они выполняются в отдельных ситуациях:

• если соединение с Интернетом выполняется с подключением удаленного доступа, нужно выбрать пункт «Набрать номер для следующего предварительного подключения». После этого нужно выбрать необходимый вариант подключения удаленного доступа;
• если применяется кабельный модем или иное средство постоянного подключения к Интернету, следует выбрать вариант «Не набирать номер для предварительного подключения».

Если нужно создать персональный доступ, следует выбрать «только для меня». В таком случае виртуальная сеть будет работать после входа в систему с вашей учетной записью. Если вы хотите, чтобы подключение было доступно всем пользователям, необходимо выбрать вариант «Для всех пользователей». Нажмите «Далее».

Если вы хотите добавить ярлык подключения на рабочий стол, поставьте флажок «Добавить ярлык подключения на рабочий стол». Нажмите «Готово». Далее программа предложит вам выполнить подключение. Пока следует отказаться, нажав кнопку «Нет».

Откройте окно «Сетевые подключения» и щелкните новое подключение правой кнопкой мыши. Теперь нужно выбрать пункт «Свойства» и указать возможные параметры подключения:

1. если нужно будет входить в домен, откройте вкладку «Параметры», установите флажок «Включать домен входа в Windows». Перед каждым подключением в таком случае нужно вводить учетные данные;
2. если компьютер должен будет перезванивать при нарушении связи, на вкладке «Параметры» нужно будет установить флажок «Перезвонить при разрыве связи».

Теперь можно перейти к настройке vpn соединения. Это можно сделать двумя способами. Если вы создали ярлык на рабочем столе, щелкните по нему. Если нет, нажмите кнопку «Пуск», далее «Подключение», найдите значок нового подключения и также щелкните по нему.

Подключитесь к Интернету, если не сделали этого. Сервер виртуальной сети запросит имя и пароль. Напишите, после нажмите кнопку «Подключиться». VPN-сеть работает. Для ее отключения достаточно нажать значок подключения правой кнопкой мыши и выбрать пункт «Отключить».

Возможные неполадки с VPN-подключением и их устранение

При настройке виртуальной сети возможно появление различных ошибок. Они выглядят в виде комбинации из трех цифр — 6хх, 7хх, 8хх. Чтобы было проще найти верное решение, далее мы рассмотрим несколько возможных проблем:

• 678 — удаленный компьютер не отвечает;
• 623 — система не видит запись телефонной книги для VPN-подключения;
• 720 — не устанавливается подключение к удаленному компьютеру;
• 800 — не удается установить VPN-соединение;
• 930 — сервер проверки подлинности не отвечает на запрос в определенный временной промежуток.

Как правило, самостоятельно устранить неполадки с подключением виртуальной сети не представляется возможным. В таком случае приходится обращаться к провайдеру, администратору VPN-сервера, производителю используемого оборудования. Они предоставят необходимые данные конфигурации межсетевого экрана (он может не давать подключиться к виртуальной сети из-за работы системы безопасности), использовании маршрутизатора вашей модели. Код 8хх как раз говорит о том, что ошибка возникла в виртуальной сети. Если проблема возникла из-за браузера, придется установить другой. Нередко причиной ошибки являются неправильные действия пользователя, например, неверно введен логин или пароль, недостаточно денежных средств на счете и другие.

VPN-подключение сотрудниками «Профессиональных систем и проектов»

Компания «Профессиональные системы и проекты» предоставляет полный спектр услуг в области информационных технологий. Организация предлагает надежное оборудования для создания сетей любого масштаба. Все технические средства, которые вы найдете в каталоге «Профессиональных систем и проектов», сертифицированы и прошли соответствующий контроль качества.

Подключение и настройка виртуальных сетей требует определенных знаний и опыта. Квалифицированные специалисты компании «Профессиональные системы и проекты» быстро устранять все неполадки в работе вашего VPN-сервера. Также организация предоставляет техническую поддержку соединения.

Компания стремится к взаимовыгодному сотрудничеству. Поэтому клиентам предоставляется большой выбор специализированного оборудования: телекоммуникационные системы, техника для передачи данных, а также программное обеспечение для автоматизации бизнес-процессов и многое другое.

Партнерами компании «Профессиональные системы и проекты» являются ведущие производители современного специализированного оборудования. Вот лишь некоторые из них:

• IBM (мощные ПК, серверы, ноутбуки, системы хранения данных, ПО);
• Avaya (IP-телефония: разработка, развертывание и администрирование корпоративных сетей связи);
• Cisco (коммутаторы, маршрутизаторы нового поколения, оптические сети, информационная безопасность и другие технологии);
• Microsoft (программное обеспечение для различной вычислительной техники);
• ZyXEL Communications (сетевые решения на базе интернет-технологий);
• Eaton (компоненты и системы для распределения и управления электропитанием).

Инструкция

Нажмите на меню «Пуск» и выберите пункт «Панель управления». Найдите раздел «Сеть и интернет». Для организации VPN-соединения необходимо запустить оснастку «Центр управления сетями и общим доступом». Также можно нажать на значок сети в трее и выбрать аналогичную команду. Перейдите к созданию нового подключения или сети, отметив, что необходимо организовать подключение к рабочему столу. Нажмите кнопку «Далее». Появится запрос использования существующего подключения. Поставьте галочку на пункте «Нет, создать новое подключение» и перейдите к следующему этапу настроек.

Выберите команду «Использовать мое подключение к интернету», чтобы настроить VPN-соединение. Отложите появившийся запрос настройки интернета перед продолжением. Появится окно, в котором необходимо указать адрес VPN-сервера согласно договору и придумать название для подключения, которое будет отображаться в центре управления сетями и общим доступом. Отметьте галочкой пункт «Не подключаться сейчас», иначе компьютер сразу же после настройки попытается установить соединение. Отметьте пункт «Использовать смарт-карту», если удаленный VPN-узел проверяет подлинность подключение по смарт-карте. Нажмите «Далее».

Введите логин пользователя, пароль и домен, согласно которым вы получаете доступ к удаленной сети. Нажмите кнопку «Создать» и дождитесь завершения настройки VPN-соединения. Теперь необходимо установить подключение к интернету. Для этого нажмите на значок сети в трее и запустите настройку свойств созданного подключения.

Откройте вкладку «Безопасность». Установите «Тип VPN» - «Автоматически» и «Шифрование данных» - «Необязательное». Отметьте пункт «Разрешить следующие протоколы» и выберите протоколы CHAP и MS-CHAP. Перейдите на вкладку «Сеть» и оставьте галочку только возле пункта «Протокол интернета версии 4». Нажмите кнопку «Ок» и подключите VPN -соединение.

Любая vpn-сеть предусматривает наличие определенного сервера, который будет обеспечивать связь сетевых компьютеров и других устройств. Одновременно с этим она обеспечивает некоторым из них (или всем) доступ к внешней сети, например – интернету.

Вам понадобится

• - сетевой кабель;
• - сетевая карта.

Инструкция

Самый простым примером vpn-сети может послужить создание локальной сети между , каждый из которых будет получать доступ к интернету. Естественно, прямое соединения с сервером провайдера будет только у одного ПК. Выберите этот компьютер.

Установите в него дополнительный сетевой адаптер, который будет соединен со вторым компьютером. Используя сетевой кабель нужной длины, соедините сетевые карты двух компьютеров между собой. К другому сетевому адаптеру основного ПК подключите кабель провайдера.

Настройте подключение к интернету. Это может быть LAN или DSL-соединение. В данном случае это совершенно не важно. Завершив создание и настройку нового подключения, перейдите к его свойствам.

Откройте меню «Доступ» в появившемся окне. Разрешите использовать это соединение с интернетом всем компьютерам, входящим в состав определенной локальной сети. Укажите сеть , образованную вашими двумя компьютерами.

Раньше государство имело довольно посредственное представление об интернете, поэтому никак юридически не мешало пользователям. Сегодня, гуляя по мировой паутине, все чаще можно встретить фразу: «Этот сайт внесен в реестр запрещенных» или «Ваш провайдер заблокировал доступ».

Так вот, если вы хотите вернуть полную свободу действий в интернете и приобрести еще один уровень защиты, то вам непременно нужно ознакомиться с технологией виртуальных частных сетей – VPN.

VPN: термин и принцип работы

Virtual Private Network (VPN) – название технологии, обеспечивающей создание и наложение одной или нескольких сетей поверх любой другой сети пользователя.

А теперь, как именно работает VPN. Ваш компьютер имеет определенный IP-адрес, который блокирует доступ к определенным сайтам. Вы включаете технологию VPN посредством какой-нибудь программы или расширения. VPN меняет ваш адрес на адрес из сервера иной страны (например, Голландии или Германии).

Далее, создается защитное соединение, блокировать которое невозможно со стороны провайдера. В итоге – вы получаете защищенный протокол, по которому можно беспрепятственно посещать любые сайты интернета, причем совершенно анонимно.

Структура и разновидности технологии

Вся технология работает в два слоя. Первый – это внутренняя сеть, второй – внешняя. Когда вы подключаетесь к технологии, система идентифицирует вашу сеть, а уже после отправит запрос на аутентификацию. Данная технология очень похоже на авторизацию в какой-нибудь социальной сети, только здесь все проводится через защищенные протоколы и без участия провайдера.

Сами виртуальные сети также подразделяются на несколько категорий. Главная классификация идет по степени защиты, то есть пользователь может использовать и платные VPN, и бесплатные.

Разница между ними заключается в защищенном соединении. Например, системы с подпиской дадут вам защищенные протоколы, типа PPTP, IPSec и другие. В то время, как бесплатные VPN чаще дают только «доверительные» каналы. То есть ваша сеть само по себе должна быть сильно защищена, а VPN только усилит уровень защиты.

Если честно, то самый большой минус бесплатных VPN сервисов даже не безопасность, а стабильность работы и скорость подключения. Через бесплатный VPN интернет скорее всего будет работать очень медленно, и не всегда стабильно.

Подписка на платные VPN не превышает и 10 долларов в месяц, но нужна она далеко не каждому пользователю. Для обычных задач нет смысла приобретать Premium-аккаунты, вполне хватит и стандартных возможностей.

Причины использования VPN

Пользоваться технологией VPN необходимо каждому пользователю, и вот почему:

• Защита данных. Особенно подходит тем пользователям, кто любит подключиться к «халявному» соседскому Wi-Fi-соединению, а потом обнаружить, что данные о его карте были украдены. К таким ситуациям относятся и посиделки в кафе и вообще в любых точках с бесплатным Wi-Fi.
• Полная анонимность. Когда вы открываете новую вкладку с сайтом – это действие будет отображаться на сервере провайдера, так что ваше путешествие по интернету может отследить любой сотрудник компании. Включив VPN, вы скроете историю своих просмотров или посещений, так как вы используете иной IP-адрес.
• Возможность серфинга в интернете без препятствий. Букмекерские конторы, интернет-казино, торренты, форумы, сайты для взрослых – все «подполье» интернета вновь доступно для вас, все, как в былые времена.
• Использование зарубежных ресурсов. Это, конечно, вряд ли, что вы будете использовать англоязычные сервисы, типа hulu.com, но все равно – полноценный доступ ко всем популярным сайтам всего мира вам обеспечен.

Как пользоваться VPN на компьютере?

Рассмотрим ситуацию, когда мы пользуемся обычным браузером и хотим посетить заблокированные сайты. В данной ситуации можно пойти двумя путями:

1. установить VPN-клиент (программу) на ПК;
2. добавить расширение для браузера через Webstore.

Что первый, что второй вариант – они легко реализуются, но для полной картины рассмотрим и тот, и другой.

Так же можно использовать бесплатный, .

Чтобы установить VPN-клиент, необходимо скачать программу в интернете, например, «Betternet». Запускаем установочный файл и устанавливаем клиент. Запускаем его, нажимаем: «Connect» и все. Проблема в том, что программа автоматически выдает нам рандомный IP-адрес, и мы не можем выбрать страну, зато при нажатии всего одной кнопки мы уже используем VPN. И еще один минус – это необходимость постоянно запуска программы, впрочем, некоторые клиенты имеют возможность одновременного запуска с ОС.

Второй способ – это добавления расширения. Здесь минус в том, что, чаще всего, требуется регистрация для пользования, плюс, расширения имеют свойства «вылетать». Зато расширение использовать намного проще – кликаешь по иконке в браузере, выбираешь страну и profit. На данный момент существуют тысячи подобных программ, можете выбрать любую из них, например, «Hotspot Shield». Добавьте расширение в браузер, пройдите регистрацию и больше никаких технических моментов не будет.

Например, вот так работает расширение ZenMate VPN в браузере:

О VPN расширениях для разных браузеров мы писали в статье: .

Как пользоваться VPN на мобильных устройствах?

Мы рассмотрим те устройства, что имеют на борту популярные ОС, например, iOS или Андроид.

Использование VPN на смартфонах или планшетах тоже реализуется довольно просто, а именно – через мобильные приложения. Проблема в том, что некоторые программы требуют root-прав, а это дополнительные заморочки, плюс, возможность превращения телефона в «кирпич». Так что ищите те программы, которые не требуют от вас root-прав. На Android, например, это OpenVPN, а на iOS – это Cloak. Так же на iPhone и iPad можно использовать бесплатный и проверенный . Я сам им иногда пользуюсь, отлично работает.

Технология загрузки очень проста: скачиваем приложение из Play Market или AppStore, устанавливаем его на свой девайс. Далее, активируем VPN, выбираем профиль (откуда, получим IP-адрес), далее, проводится соединение и на этом все. Теперь вы гуляете по интернету через VPN, о чем вам и сообщит используемое приложение.

Теперь вы понимаете, как реализована технология VPN-соединений, и теперь ваше пребывание в сети станет более безопасным, анонимным, а главное – доступным и неограниченным.

Чтобы разобраться с настройкой VPN, необходимо понимать, что же это такое. VPN (Virtual Private Network) – это виртуальная частная сеть. В неё входит группа протоколов, с помощью которых можно организовать визуальную сеть поверх незащищенной сети. Её используют для того, чтобы получить доступ в интернет, доступ в корпоративную сеть и объединение её сегментов.

На какие типы делят VPN?

VPN делятся на:

• PPTP (Point-to-point Tunneling Protocol ) – туннельный протокол типа точка-точка. Такой протокол организовывает защиту соединения. Для этого создаётся туннель поверх стандартной сети. На данный момент этот тип протокола не рекомендуют, потому что он считается самым небезопасным протоколом. Как организовать такой протокол? Для настройки используются 2 сетевые сессии: PPP и TCP сессия. Для установки PPP сессии необходим протокол GRE. Эту сессию устанавливают для передачи данных. Для управления используется соединение на TCP порту. Из-за такого «строения» протокола в гостиничных и мобильных операторах могут появиться проблемы.
• L2TP (Layer 2 Tunneling Protocol) . Этот протокол лучше, чем предыдущий. Он базируется на двух протоколах: PPTP и L2F. В нём объединяется каналы данных и управления, также добавляется шифрование, что делает его более безопасным.Помимо этого, есть ещё одно преимущество L2TP перед PPTP — L2TP намного легче воспринимается большинством брандмауэров, в отличие от PPTP.
• SSTP(Secure Socket Tunneling Protocol ) – протокол безопасного туннелирования сокетов. Он основывается на SSL, который является безопасным уровнем сокета и построен на криптографической системе с использованием открытого и закрытого ключа. SSTP допускает создание защищенного соединения из любого места с помощью HTTPS и открытого порта 443. Его самым важным достоинством является эффективное использование сетевых ресурсов.

Для чего используются VPN?

Давайте более детально рассмотрим самые частые сферы применения VPN:

• Выход в сеть интернета. Зачастую, используется провайдерами городских сетей. Но также этот способ достаточно популярен и в сетях предприятий. Главное его преимущество заключается в обладании высоким уровнем безопасности. Этому факту способствует осуществление доступа в интернет через две различные между собой сети. Это позволяет задать для них различные уровни безопасности. Классическое решение подразумевает в себе раздачу интернета в корпоративную сеть. В этом случаи выдержать уровни безопасности для локального и интернет трафика практически невозможно.
• Доступ в корпоративную сеть снаружи. Также существует возможность объединения сетей всех филиалов в одну сеть. Эта функция и есть основной целью разработчиков VPN – возможность организации безопасной работы в единой корпоративной сети для пользователей, месторасположения которых вне предприятия. Достаточно широко применяется в качестве соединителя территориально-разнесенных подразделений, обеспечения выхода в сеть для сотрудников, которые находятся в командировке или же в отпуске, открывает возможность работать, не выходя из собственного дома.
• Объединение компонентов корпоративной сети. Чаще всего сеть предприятия включает в себя определенное количество сегментов, которые имеют различные уровни безопасности и доверия. В этой ситуации для взаимодействия между сегментами можно применить VPN. Это решения считается наиболее безопасным, если сравнивать его с простым соединением. Поступивши таким образом можно организовать доступ сети складов к отдельным ресурсам сети отдела реализации. В связи с тем, что это отдельная логическая сеть, для нее можно задать нужные требования по безопасности и при этом не вмешиваться в функциональный процесс отдельных сетей.

Особенности настройки VPN соединения

Присутствует большая вероятность того, что клиентами VPN будут рабочие станции под управлением операционной системы Windows. Но необходимо выделить, что сервер может беспрепятственно выполнять свои основные функции как под Windows, так и под Linux или BSD. В связи с этим мы приступим к рассмотрению Windows 7. Не стоит останавливать свое внимание на базовых настройках. В них нет ничего сложного, и они понятны абсолютно каждому пользователю. Нужно остановиться на одном тонком нюансе:

• Во время подключения стандартного VPN соединения главный шлюз будет указан для VPN сети, иными словами, на клиентской машине интернет полностью исчезнет или же будет использоваться через подключения в какой-либо удаленной сети. Такое неудобство может привести к существенным финансовым затратам – двойной оплате трафика (первый раз оплачивается удаленная сеть, а во второй раз сеть провайдера). Чтобы не допустить таких ситуаций необходимо на закладке «Сеть », в свойствах протокола TCP/IPv4, нажать кнопку «дополнительно » и в новом открытом окне снять галочку с позиции «». На рисунке можно визуально ознакомиться с этим действием.

Этот вопрос не требовал подробного рассмотрения, если бы не массовые возникновения проблем и незнание причин такого странного поведения VPN соединения у многих системных сотрудников.

Что же такое маршрутизация? Если особо не вдавться в подробности темриналогий то можно сказать, что это совокупность правил, которые определяют маршрут следования данных в связных сетях. Их можно сравнить с дорожными указателями и разметкой. Представьте себе ситуацию: вы попали в совершенно чужой для вас город, где отсуствуют какие-либо знаки и разметка на перекрестках. Вы впадаете в растерянность. Аналогичная ситуация происходит и в сетях. Люые сетевые пакеты осуществляют свое передвижение согласно определенному набору правил – таблиц маршрутизации. Именно благодаря им можно отправить документ на сетевой принтер для его распечатки, а электронное письмо попадет точно адрессату.

Если же вы желаете использовать VPN соединение в качестве работы удаленных клиентов в корпоративной сети, то возникает необходимость настройки маршрутов. Если же не провести этот процесс, то, как тогда пакет самостоятельно определит, что ему необходимо именно через туннель попасть в вашу корпоративную сеть? Вы же не указываете в почтовом письме или телеграмме, что ее нужно доставить «бабушке в деревню».

На сегодняшний день известны несколько способов построения виртуальной сети. Каждый из них подразумевает в себе свою уникальную схему маршрутизации. Давайте рассмотрим их подробней:

Этот вариант функционирует только при условии поддержки со стороны Proxy ARP , позволяющий объеденить две не связные между собой сети в одну целую. Считается, что все хосты расположены на одной физической сети и обмениваются траффиком без дополнительной маршрутизации.

Основными преимуществами этого способа являются простота и полный доступ к сети удаленных клиентов. Однако в таком случае вы получаете низкий уровень безопасности и невозможность разграничения доступа между пользователями локальной сети и VPN клиентам.

В результате клиенты могут получить адреса из диапазона, не являющегося частью локальной сети, но который маршрутизируется из нее.

В таком случае удаленные клиенты выделяются в отдельную подсеть (на картинке это 10.0.1.0/24). При этом на рисунке видно, что обе подсети могут быть составляющими общей сети - 10.0.0.0/23. Таким образом, управление структурой может осуществляться с помощью маршрутизации или маски подсети.

Первый вариант заключается в перемещении компьютеров в сеть 10.0.0.0/23 (для этого необходимо изменить маску сети на 255.255.254.0), что предоставит ему доступ к обеим подсетям.

Второй вариант состоит в направлении пакетов из одной подсети в другую с помощью шлюза. Этот способ лучше подходит для этой ситуации, так как мы получим возможность настраивать правила для разных подсетей, создавая разные уровни доверия.

Для того чтобы получить доступ с клиентского компьютера, находящегося в одной подсети, в другую, следует использовать статическую маршрутизацию. Записи будут иметь такой шаблон:

X.X.X.X mask Y.Y.Y.Y Z.Z.Z.Z

В этом шаблоне сеть - Х.Х.Х.Х, маска сети - Y.Y.Y.Y, а шлюз - Z.Z.Z.Z. для того чтобы добавить маршрут в ОС Windows нужно воспользоваться командой routeadd. Общая запись команды выглядит так:

routeadd X.X.X.X mask Y.Y.Y.Y Z.Z.Z.Z

В ОС Linux запись немного меняет свою форму, но в целом остается неизменной:

routeadd -net X.X.X.X netmask Y.Y.Y.Y gw Z.Z.Z.Z

Стоит отметить, что команды действуют до первой перезагрузки. Хотя это создает определенные трудности, этим свойством можно воспользоваться при ошибке в создании маршрута. После того как вы убедились, что всё работает правильно, следует добавить постоянные маршруты. Для этого к уже известной нам команде следует добавить ключ –p:

routeadd X.X.X.X mask Y.Y.Y.Y Z.Z.Z.Z -p

Чтобы осуществить это в Ubuntu, после описания интерфейса в файле /etc/network/interfaces , следует добавить строку:

uprouteadd -net X.X.X.X netmask Y.Y.Y.Y gw Z.Z.Z.Z

Теперь вернемся к маршрутам. Для того чтобы предоставить доступ к локальной сети, следует для удаленных клиентов прописать к ней маршрут:

И наоборот: для осуществления доступа из локальной сети к ПК удаленных клиентов следует прописать

Удаленные клиенты имеют адреса, которые не являются частью локальной сети, но могут из нее маршрутизироваться.

Обратите внимание, что эта схема не рассчитана на маршрутизацию из локальной сети в удаленную. Зачастую она используется для предоставления доступа клиентам с низкой степенью доверия. Таким образом, клиентам доступны только опубликованные в VPN ресурсы. Стоит отметить, что для доступа к локальной сети этого недостаточно - дополнительно следует настроить сервер на трансляцию пакетов из удаленной сети в локальную и обратно.

Публикацию ресурса в сети VPN можно осуществить следующими путями: с помощью размещения его на VPN сервере и разрешению доступа к нему из удаленной сети, путем прокинутого порта в удаленную сеть или же подключения ресурса в роли клиента сети . Ниже представлена схема, на которой изображен сервер терминалов с маршрутом 10.0.0.2, доступный по адресу 172.16.0.2 удаленной сети.

Приведенная схема служит для соединения нескольких подсетей в целостную единственную сеть. Такая сеть имеет более сложную структуру. Однако если понять процесс направления пакетов через интерфейсы, сразу все становится на места. При данных условиях X.X.X.X — IP адрес основного офиса, а филиалы имеют серые IP адреса. Роутер офиса осуществляет подключение в качестве клиента. На нем находится VPN сервер.

Теперь поговорим о маршрутизации. Клиенты подсети LAN1 производят передачу пакетов к подсети LAN2 на сетевой шлюз роутера. Равным образом роутер передает пакеты на противоположный конец VPN туннеля. Точно такая же маршрутизация должна быть проведена для подсети LAN2.

Для этого необходимо написать маршрут к LAN2 на клиентах подсети LAN1:

10.0.1.0 mask 255.255.255.0 10.0.0.1

Нужно также прописать маршрут другого конца туннеля на роутере LAN1:

10.0.1.0 mask 255.255.255.0 172.16.0.2

Для клиентов LAN2 маршруты должны иметь следующий вид:

10.0.0.0 mask 255.255.255.0 10.0.1.1

PPTP является простым в реализации протоколом. Но не стоит забывать о том, что не нужно использовать его при работе с важнейшими данными, поскольку PPTP – слабозащищенный протокол.

Созданная нами в тестовой лаборатории схема, которая поможет практически ознакомиться с технологией:

Мы имеем локальную сеть 10.0.0.0/24, в которой расположен роутер, выполняющий функции VPN сервера терминальный сервер. Для VPN была закреплена сеть с маршрутом 10.0.1.0/24. Наружный вид сервера имеет условленный адрес X.X.X.X. Нам необходимо предоставить доступ удаленным клиентам к ресурсам терминального сервера.

Настройка сервера PPTP

Устанавливаем пакет pptpd:

sudo apt-get install pptpd

Для выдачи клиентам указываем диапазон адресов:

remoteip 10.0.1.200-250

Не перезапустив pptpd, невозможно будет увеличить количество адресов, поэтому необходимо задавать их с запасом. Необходимо также найти и переписать строку:

Существует две опции, которые возможно использовать. Это listen и speed . С помощью listen указывается IP адрес от локального интерфейса. Нужно это с целью прослушивания РРТР-соединения. Второй – speed – позволяет с точностью показать VPN-соединения в бит/с. В качестве примера можно взять разрешение для серверов прием РРТР-соединения, но лишь при внешнем интерфейсе:

В файле /etc / ppp / pptpd — options находятся настройки намного тоньше. Принимая настройки «по умолчанию», это будет наиболее соответствовать необходимым требованиям. Для лучшего представления стоит рассказать о нескольких из них.

За шифровку приложенных данных, а также проверку на подлинность несет ответственность секция #Encryption . Любой предположительно опасный протокол типа CHAP, PAP и MS-CHAP, устаревшие протоколы запрещаются опциями:

refuse-pap
refuse-chap
refuse-mschap

Следующим этапом является применение протокола проверки на подлинность (MS-CHAP v2, а также 128-битное MPPE-128):

require-mschap-v2
require-mppe-128

Далее стоит упомянуть о секции #Network и Routing. Секция для использования DNS-серверов, ориентируясь на внутреннюю сеть. Почему это, вероятнее всего, станет весьма выгодным? Потому что позволяет обратить сигнал напрямую к компьютеру через имена, не исключительно через IP. Такое возможно при содержании в DNS всех портативных компьютеров. Но в нашей ситуации вышеуказанная опция совершенно бесполезна. В этом случае нужно всего лишь ввести адрес WINS-сервера через опцию ms-wins .

В том же разделе имеется proxyarp опция. Она включает в себя поддержание с помощью сервера Proxy ARP.

Следующая секция #Miscellaneous и содержащаяся в ней lock-опция. Лимитирует возможности любого клиента всего лишь через одно подключение.

ivanov * 123 *
petrov * 456 10.0.1.201

Первая запись дает возможность подключиться к серверу пользователю, пароль которого 123, а также присваивается персональный IP-адрес. Вторая запись создает следующего пользователя. Она так же выдает ему постоянный адрес (10.0.1.201).

sudo /etc/init.d/pptpd restart

Обратите внимание ! В тех случаях, когда pptpd отказывает в перезапуске , виснет , /var/log/syslog выдает строчку о long config file line ignored, незамедлительно вводите в конце файла /etc/pptpd.conf перенос строчки .

Наконец, сервер полностью подготовлен к работе.

Настройка клиентского компьютера

В большинстве случаев для VPN соединения подходят настройки «по умолчанию», но не будет лишним указать конкретный тип соединения и отключить протоколы шифрования, которые не будут использоваться.

После этого, нужно прописать адреса статических маршрутов и основного шлюза, при этом учитывая особенности структуры сети. Данные вопросы рассматривались в прошлых разделах.

После установки VPN соединения можем пропинговать любой компьютер, входящий в локальную сеть, так мы без особого труда получаем доступ к терминальному серверу:

Внимание, еще одно важное замечание! Зачастую доступ к ПК в локальной сети будет осуществляться по IP адресам. Имеется в виду – путь \\\\10.0.0.1 будет рабочим, а \\\\SERVER – не будет работать . Такой вариант будет весьма непривычным для пользователей и может вызвать дополнительные трудности. От этих проблем можно избавиться несколькими способами:

1. Если ваша сеть построена на основе доменной структуры, тогда необходимо для VPN соединения адресом DNS-сервера указать адрес сервера контроллера домена. Можно воспользоваться функцией в настройках сервера ms-dns в /etc/ppp/pptpd-options и данные настройки клиентом будут получаться автоматически.
2. Если в вашей сети отсутствует DNS сервер, тогда можно создать WINS -сервер и аналогично настроить для него автоматическую передачу данных для клиентских компьютеров, используя опцию ms-wins.
3. Если количество удаленных клиентов невелико, вы можете настроить файлы hosts на каждом из компьютеров, прописав в них строку вида: 10.0.0.2 SERVER. Файл hosts вы можете найти в папке (C:\\Windows\\System32\\drivers\\etc\\hosts).

Основой нашего сервера стал маршрутизатор, использующий WindowsServer 2008 R2. Настройка сервера рассматривалась ранее. Настройки актуальны и для серверов на основе WindowsServer 2003 – 2008 с небольшими особенностями.

Настройка закончена и, в крайнем случае, в процессе запуска мастера, необходимо будет выбрать нужную конфигурацию. При открытии диспетчера сервера , в ролях нужно найти «маршрутизация и удаленный досту п» зайти в ее свойства (открывается при помощи правой кнопки мыши). В появившемся окне, нужно установить переключатель «IPv4 » в состояние локальной сети и вызова по требованию и установить галочку напротив ««.

После данных манипуляций нужно в закладке «безопасность » выбрать проверку подлинности при помощи протокола MS-CHAPV2 и запретить подключение без проверки.

После сохранения изменений, служба перезапустится и добавится роль VPN сервера. В консоли (левая часть) должен появиться пункт «порты», в его свойства нам и нужно зайти. По умолчанию система создает 5 PPTP и 5 L2TP портов . В настройках PPTP устанавливаем галочки напротив подключения по требованию и подключения удаленного доступа . Кроме этого, необходимо указать максимальное количество портов. Все лишние порты рекомендуется отключить.

На данном этапе настройка сервера может считаться оконченным действием. Необходимо лишь определить количество пользователей, для которых будет доступен удаленный доступ к серверу.

Настройка доступа производится разделе локальных пользователей и групп , где находим «свойства пользователя » и разрешаем доступ в разделе «» во «входящих звонках ».

Чтобы удостовериться в правильности всех настроек, нужно подключиться из клиентского компьютера, при этом выбрав нужный нам тип проверки доступа. Список подключенных клиентских компьютеров можно увидеть в консоли, где расположен пункт «».

Для произведения диагностики проблем с подключением в первую очередь необходимо изучать журнал событий, в котором фиксируются все наиболее важные происшествия. В описаниях вы сможете найти полную информацию для быстрого обнаружения и устранения возникшей проблемы.

Видео: Настройка VPN сервера на Windows 7