Cum să creați o singură rețea privată pentru toți lucrătorii mobili și sucursalele la distanță
Ce este un VPN?
Să presupunem că avem două birouri în zone diferite ale orașului sau în orașe sau țări diferite și fiecare dintre ele este conectat la Internet. Pentru a funcționa, de exemplu, 1C ca un singur sistem corporativ, trebuie să le integrăm într-o singură rețea locală. (În ciuda faptului că oferim soluții pentru 1C sub formă de baze de date distribuite. Uneori este mai ușor să creați o singură rețea și să vă conectați direct pe serverul 1C ca și cum serverul ar fi în incinta dvs.)
Desigur, puteți cumpăra o linie personală între două orașe, dar această soluție va fi cel mai probabil super costisitoare.
Soluția printr-o rețea privată virtuală (VPN - Virtual Private Network) ne oferă să organizăm această linie dedicată prin crearea unui tunel criptat prin Internet.Principalul avantaj al unui VPN față de liniile de comunicație dedicate este economisirea banilor companiei atunci când canalul este complet. închis.
Din punctul de vedere al consumatorului, VPN este o tehnologie care poate fi utilizată pentru a organiza accesul securizat de la distanță prin canale deschise de internet la servere, baze de date și orice resurse ale rețelei tale corporative. Să presupunem că un contabil din orașul A poate tipări cu ușurință o factură pe imprimanta unei secretare din orașul B la care a venit clientul. Angajații de la distanță conectați prin VPN de pe laptopurile lor vor putea, de asemenea, să lucreze în rețea, ca și cum s-ar afla în rețeaua fizică a birourilor lor.
De foarte multe ori, clienții se confruntă cu *frâne* case de marcat atunci când folosesc Desktop la distanță, ei ajung la necesitatea instalării unui VPN. Acest lucru vă va permite să scăpați de trimiterea de date pentru casa de marcat înainte și înapoi către server folosind COM virtual prin Internet și vă va permite să instalați un client subțire în orice moment care comunică direct cu casa de marcat, trimițând doar necesarul. informații către server printr-un canal închis. Iar difuzarea interfeței RDP direct pe Internet expune compania dumneavoastră la riscuri foarte mari.
Metode de conectare
Metode de organizare în VPN Cel mai util este să distingem următoarele 2 metode principale:
- (Client - Rețea ) Accesul de la distanță al angajaților individuali la rețeaua corporativă a organizației prin modem sau rețea publică.
- (Rețea - Rețea) Combinarea a două sau mai multe birouri într-o singură rețea virtuală securizată prin Internet
Majoritatea manualelor, în special pentru Windows, descriu conexiunea conform primei scheme. În același timp, trebuie să înțelegeți că această conexiune nu este un tunel, ci vă permite doar să vă conectați la rețeaua VPN.Pentru a organiza aceste tuneluri, avem nevoie doar de 1 IP alb și nu după numărul de birouri la distanță, atâtea cred greșit.
Figura prezintă ambele opțiuni de conectare la biroul principal A.
Între birourile A și B este organizat un canal pentru a asigura integrarea birourilor într-o singură rețea. Acest lucru asigură că ambele birouri sunt transparente pentru orice dispozitiv aflat într-unul dintre ele, ceea ce rezolvă multe probleme. De exemplu, organizarea unei singure capacități de numerotare în cadrul unui PBX cu telefoane IP.
Toate serviciile biroului A sunt disponibile pentru clienții mobili, iar atunci când biroul B este într-o singură rețea virtuală, serviciile sale sunt și ele disponibile.
În acest caz, metoda de conectare a clienților mobili este de obicei implementată de protocolul PPTP (Point-to-Point Tunneling Protocol) protocolul de tunelizare punct-la-punct și al doilea IPsec sau OpenVPN
PPTP
(Point-to-Point Tunneling Protocol bumagin-lohg) este un protocol de tunelare punct-la-punct, creat de Microsoft și este o extensie a PPP (Point-to-Point Protocol), prin urmare, își folosește autentificarea, compresia și criptarea. mecanisme. Protocolul PPTP este încorporat în clientul de acces la distanță Windows XP. Cu alegerea standard a acestui protocol, Microsoft sugerează utilizarea metodei de criptare MPPE (Microsoft Point-to-Point Encryption). Puteți transfera date fără criptare în clar. Încapsularea datelor PPTP are loc prin adăugarea unui antet GRE (Generic Routing Encapsulation) și a unui antet IP la datele procesate de protocolul PPP.
Din cauza unor preocupări semnificative de securitate, nu există niciun motiv să alegeți PPTP față de alte protocoale, altele decât incompatibilitatea dispozitivului cu alte protocoale VPN. Dacă dispozitivul dvs. acceptă L2TP/IPsec sau OpenVPN, atunci este mai bine să alegeți unul dintre aceste protocoale.
Trebuie remarcat faptul că aproape toate dispozitivele, inclusiv cele mobile, au un client încorporat în sistemul de operare (Windows, iOS, Android) care vă permite să configurați instantaneu o conexiune.
L2TP
(Layer Two Tunneling Protocol) este un protocol mai avansat care a luat naștere ca urmare a combinației dintre protocoalele PPTP (de la Microsoft) și L2F (de la Cisco), încorporând tot ce este mai bun dintre aceste două protocoale. Oferă o conexiune mai sigură decât prima opțiune, criptarea are loc folosind protocolul IPSec (securitate IP). L2TP este, de asemenea, încorporat în clientul de acces la distanță Windows XP, în plus, atunci când detectează automat tipul de conexiune, clientul încearcă mai întâi să se conecteze la server folosind acest protocol, care este mai de preferat din punct de vedere al securității.
În același timp, protocolul IPsec are o problemă precum negocierea parametrilor necesari În ciuda faptului că mulți producători își stabilesc parametrii impliciti fără posibilitatea de configurare, hardware-ul care utilizează acest protocol va fi incompatibil.
openvpn
O soluție VPN deschisă avansată creată de „Tehnologii OpenVPN”, care este acum standardul de facto în tehnologiile VPN. Soluția folosește protocoale de criptare SSL/TLS. OpenVPN folosește biblioteca OpenSSL pentru a oferi criptare. OpenSSL acceptă un număr mare de algoritmi criptografici diferiți, cum ar fi 3DES, AES, RC5, Blowfish. Ca și în cazul IPSec, CheapVPN include extreme nivel inalt criptare - algoritm AES cu o lungime a cheii de 256 de biți.
OpenVPN - Singura soluție care vă permite să ocoliți acei furnizori care reduc sau taxează pentru deschiderea protocoalelor suplimentare, altele decât WEB. Acest lucru face posibilă organizarea de canale care, în principiu, imposibil de urmăritși avem astfel de solutii
Acum aveți o idee despre ce este un VPN și cum funcționează. Dacă sunteți un lider - gândiți-vă, poate că acesta este exact ceea ce căutați
Un exemplu de configurare a unui server OpenVPN pe platforma pfSense
Creați un server
- interfata: WAN(interfață de rețea server conectată la internet)
- Protocol: UDP
- Port local: 1194
- Descriere: pfSenseOVPN(orice nume convenabil)
- Rețeaua de tuneluri: 10.0.1.0/24
- Gateway-uri de redirecționare: Porniți(Dezactivați această opțiune dacă nu doriți ca tot traficul de internet al clientului să fie redirecționat prin serverul VPN.)
- retea locala: Lăsați necompletat(Dacă doriți ca rețeaua locală din spatele serverului pfSense să fie accesibilă clienților VPN la distanță, specificați spațiul de adresă al acelei rețele aici. Să spunem 192.168.1.0/24)
- Conexiuni simultane: 2 (Dacă ați achiziționat o licență suplimentară OpenVPN Remote Access Server, introduceți numărul corespunzător numărului de licențe achiziționate)
- Comunicații inter-clienți: Porniți(Dacă nu doriți ca clienții VPN să se vadă, dezactivați această opțiune)
- Server DNS 1 (2 etc.): specificați serverele DNS ale gazdei pfSense.(Poți găsi adresele lor în secțiunea Sistem > Configurare generală > Servere DNS)
apoi creăm clienți și pentru a simplifica procedurile de configurare pentru programele client, pfSense oferă un instrument suplimentar - „Utilitarul de export client OpenVPN”. Acest instrument pregătește automat pachetele și fișierele de instalare pentru ca clienții să le evite setare manuală Client OpenVPN.
Conexiunea VPN între birouri acoperă astfel de cerințe de securitate comercială precum:
- Posibilitatea de acces centralizat la informații din birouri, precum și din sediul principal
- Sistem informatic corporativ unificat
- Baze de date pentru întreprinderi cu un singur punct de intrare
- E-mail corporativ cu un singur punct de intrare
- Confidențialitatea informațiilor transferate între birouri
Dacă aveți dificultăți în configurarea sau nu v-ați decis încă asupra tehnologiei VPN - sunați-ne!
Să presupunem că avem 2 birouri în diferite părți ale orașului, sau în diferite orașe sau țări, și fiecare dintre ele este conectat la Internet pentru suficient canal bun. Trebuie să le conectăm într-o singură rețea locală. În acest caz, niciunul dintre utilizatori nu va ghici unde se află acest sau acel computer sau imprimantă în rețeaua locală, vor folosi imprimante, foldere partajate și toate avantajele unei rețele fizice. Angajații de la distanță conectați prin OpenVPN vor putea, de asemenea, să lucreze în rețea, ca și cum computerele lor s-ar afla în rețeaua fizică a unuia dintre birouri.
Vom configura pe sistemul de operare Debian Squeeze, dar instrucțiunile sunt pe deplin aplicabile oricărei distribuții bazate pe Debian și cu modificări minore în comenzile pentru instalarea și configurarea bridge-ului și OpenVPN vor fi aplicabile oricărei distribuții de Linux sau FreeBSD.
Să presupunem că o distribuție Debian sau Ubuntu este instalată folosind una dintre instrucțiunile: .
Instalați și configurați o rețea VPN bazată pe OpenVPN folosind o punte atinge 0
Creăm o punte de rețea între rețeaua fizică et1și interfață virtuală atinge 0
Instalați programele necesare acceptând solicitarea managerului de pachete:
Configuram reteaua de servere pe baza faptului ca avem 2 placi de retea: retea eth0 et1 br0
Editarea fișierului de configurare /etc/network/interfaces:
Auto lo iface lo inet loopback # furnizor de internet auto eth0 iface eth0 inet adresa statica 192.168.50.2 netmask 255.255.255.0 gateway 192.168.50.1 # local network auto eth1 iface eth1 inet static address 10.15.25.255.
Auto lo iface lo inet loopback # Înregistrați bridge-ul, includeți interfața tap0 VPN și placa de rețea eth1 în ea auto br0 iface br0 inet static # Adăugați interfața openvpn bridge_ports eth1 tap0 adresa 10.10.10.1 netmask 255.255.255.0 # Internet auto eth0 eth0 inet adresa statica 192.168.50.2 masca de retea 255.255.255.0 gateway 192.168.50.1
După aceea, la executarea comenzii ifconfig, ar trebui să apară o punte br0 cu IP 10.10.10.1, interfața eth0 cu adresa IP 192.168.50.2 și interfață et1 fără o adresă IP, așa cum este în bridge br0
Configurați OPENVPN:
Copiem scripturile pentru configurarea serverului nostru openvpn cu comanda:
Cp -Rp /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /etc/openvpn/easy-rsa
Efectuarea de modificări la un fișier /etc/openvpn/easy-rsa/vars pentru a defini variabile globale și a introduce mai puține date la crearea cheilor:
Pe /etc/openvpn/easy-rsa/vars
export KEY_COUNTRY="US" export KEY_PROVINCE="CA" export KEY_CITY="SanFrancisco" export KEY_ORG="Fort-Funston" export KEY_EMAIL=" "
Export KEY_COUNTRY="UA" export KEY_PROVINCE="11" export KEY_CITY="Kiev" export KEY_ORG="NameFirm" export KEY_EMAIL=" "
Accesați folderul cu scripturi pentru crearea de certificate și chei cu comanda:
Cd /etc/openvpn/easy-rsa/
Inițializam PKI (Public Key Infrastructure) cu comenzile:
. ./vars ./clean-all
Atenţie. La executarea comenzii ./curata tot toate certificatele și cheile existente atât ale serverului, cât și ale clienților vor fi șterse, așa că nu rulați pe serverul de producție sau faceți-o după salvarea folderului /etc/openvpn/ la arhiva cu comanda:
Tar cf - /etc/openvpn/ | gzip -c -9 > /home/openvpn_backup.tgz
Generăm un certificat de autoritate de certificare (CA) și o cheie cu comanda:
./build-ca
Majoritatea parametrilor vor fi preluați din fișierul vars. Doar parametrul Nume trebuie specificat explicit:
Nume:vpn
În general, puteți completa toate câmpurile de fiecare dată când aveți nevoie.
Generam parametrii Diffie - Hellman cu comanda:
./build-dh
Generăm un certificat și o cheie privată pentru server, nu introducem nimic la cererea de parolă și când vi se solicită Semnează certificatul?: introduce yși apăsați introduce rulând comanda:
./build-key-server
Toți parametrii sunt acceptați implicit. La cerere denumirea comună introduce Server
Nume comun (de exemplu, numele dvs. sau numele de gazdă al serverului dvs.): server
Întrebări Semnează certificatul?și 1 din 1 solicită certificat certificat, comite? raspundem pozitiv:
Semnează certificatul? :y 1 din 1 solicită certificat certificat, comite? y
Rămâne să creăm certificate și chei pentru clienți. Mai întâi inițializam parametrii:
Cd /etc/openvpn/easy-rsa/ . ./vars
Creați chei pentru utilizator server1. De exemplu, adăugați câți utilizatori aveți nevoie:
./build-key server1 ./build-key client1 ./build-key client2
Pe baza faptului că avem o rețea 10.10.10.0/24
alocam imediat un grup de adrese pentru computerele de birou 1 - 10.10.10.40-149
, pentru biroul 2 alocam un pool de adrese 10.10.10.150-254
și alocați un grup de adrese pentru angajații de la distanță 10.10.10.21-39.
Creați un folder /etc/openvpn/ccd/ unde specificam ce client ce comanda ip:
Mkdir -p /etc/openvpn/ccd/
Atribuim fiecărui client propriul IP în rețea cu comenzile:
echo "ifconfig-push 10.10.10.150 255.255.255.0" > /etc/openvpn/ccd/server1 echo "ifconfig-push 10.10.10.21 255.255.255.0" > /etc/openvpn/ccd/server1 echo "ifconfig-push 10.10.10.21 255.255.255.0" > /etc/openvpn/ccd/ofig0. 255.255.255.0" > /etc/openvpn/ccd/client2
Creați un fișier de configurare a serverului:
Vi /etc/openvpn/server.conf ################################ port 1195 proto udp dev tap0 ca easy-rsa/keys/ca.crt cert easy-rsa/keys/server.crt cheie easy-rsa/keys/server.key # Acest fișier trebuie păstrat secret dh easy-rsa/keys/dh1024.pem mode server tls- daemon server ifconfig 10.10.10.1 255.255.255.0 client-config-dir /etc/openvpn/ccd keepalive 10 20 client-la-client comp-lzo persist-key persist-tun verb 3 log-append /var/log/openvpn.log #script-security 2 # anulați comentariul când rulați pe OpenVPN versiunea 2.4 în sus /etc/openvpn/up.sh ########################## # #####
În /etc/default/openvpn
OPTARGS=""
OPTARGS="--script-security 2"
Creați un script /etc/openvpn/up.sh lansat când pornește serverul OpenVPN:
vi /etc/openvpn/up.sh #!/bin/sh brctl addif br0 tap0 brctl addif br0 eth1 ifconfig tap0 0.0.0.0
Dați permisiunea de a executa scriptul /etc/openvpn/up.sh comanda:
Chmod +x /etc/openvpn/up.sh
După aceea, reporniți serverul OpenVPN cu comanda:
Executați comanda ifconfig, ar trebui să apară interfața atinge 0 fără o adresă IP.
Colectăm o arhivă cu chei pentru distribuire către angajații de la distanță și trimitere la biroul 2
Creați foldere cu nume de utilizator cu comenzi:
mkdir -p /etc/openvpn/users/server1 mkdir -p /etc/openvpn/users/client1 mkdir -p /etc/openvpn/users/client2
Creați un folder cu chei arhivate cu comanda:
Mkdir -p /etc/openvpn/users_tgz
Colectăm chei și certificate din folderele utilizatorilor cu comenzile:
cp /etc/openvpn/server/easy-rsa/keys/server1.key /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/server1.crt /etc/openvpn/users/ server1/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/client1.key /etc/openvpn/ users/client1/ cp /etc/openvpn/server/easy-rsa/keys/client1.crt /etc/openvpn/users/client1/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/ openvpn/users/client1/ cp /etc/openvpn/server/easy-rsa/keys/client2.key /etc/openvpn/users/client2/ cp /etc/openvpn/server/easy-rsa/keys/client2.crt / etc/openvpn/users/client2/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/client2/
Creăm fișiere de configurare pe baza faptului că server1 este serverul de birou la distanță 2 și client1și client2 aceștia sunt angajați la distanță care se conectează la rețeaua VPN în afara Windows.
În loc de IP-SERVER-VPN, punem adresa IP externă a serverului OpenVPN.
Creați un fișier de configurare OpenVPN pentru server1:
echo "remote IP-SERVER-VPN 1195 client dev tap0 proto udp rezolv-retry infinit nobind persist-key persist-tun ca ca.crt cert server1.crt cheie server1.key comp-lzo verb 4 mute 20 verb 3 log-append / var/log/openvpn.log up /etc/openvpn/up.sh " > /etc/openvpn/users/server1/server1.conf
Arhivați cheile pentru server1 comanda:
Tar cf - /etc/openvpn/users/server1 | gzip -c -9 > /etc/openvpn/users_tgz/server1.tgz
client1:
echo "remote IP-SERVER-VPN 1195 client dev tap0 proto udp rezolv-retry infinit nobind persist-key persist-tun ca ca.crt cert client1.crt key client1.key comp-lzo verb 4 mute 20 verb 3" > /etc /openvpn/users/client1/client1.ovpn
Arhivam cheile pentru client1 cu comanda:
Tar cf - /etc/openvpn/users/client1 | gzip -c -9 > /etc/openvpn/users_tgz/client1.tgz
Creați un fișier de configurare pentru client2 comanda:
echo "remote IP-SERVER-VPN 1195 client dev tap0 proto udp rezolv-retry infinit nobind persist-key persist-tun ca ca.crt cert client2.crt key client2.key comp-lzo verb 4 mute 20 verb 3" > /etc /openvpn/users/client1/client2.ovpn
Arhivați cheile pentru client2 comanda:
Tar cf - /etc/openvpn/users/client2 | gzip -c -9 > /etc/openvpn/users_tgz/client2.tgz
Configurarea serverului VPN Office 2
În instrucțiunile de mai sus, am instalat și configurat serverul VPN Debian GNU/Linux Folosind OpenVPN, am creat chei cu certificate pentru serverul de birou la distanță 2 și angajații de la distanță. Acum trebuie să conectăm biroul 1 la biroul 2 într-o singură rețea locală prin VPN.
Să presupunem că în office 2 avem un server Linux (gateway) instalat și configurat, care distribuie canalul de Internet pentru angajații office 2. Acest server are 2 plăci de rețea: eth0 - ISP și et1- retea locala, va fi inclusa in pod, si va avea un pool de adrese 10.10.10.100-254
Trebuie să instalăm software-ul cu comanda:
Aptitude instalează bridge-utils openvpn
Configurarea rețelei de server
Configuram reteaua pe baza faptului ca avem 2 placi de retea eth0- primeste internetul de la furnizor si prin acesta biroul 1 acceseaza internetul, precum si reteaua et1- inclus in switch-ul office 1 LAN, va fi inclus in bridge-ul cu interfata br0
Editați fișierul de configurare /etc/network/interfaces:
vi /etc/network/interfaces
Auto lo iface lo inet loopback # furnizor de internet auto eth0 iface eth0 inet adresa statica 192.168.60.2 netmask 255.255.255.0 gateway 192.168.60.1 # local network auto eth0 iface eth0 inet static address netmask 192.15585 192.155.
Auto lo iface lo inet loopback # Înregistrați puntea, includeți interfața tap0 VPN și placa de rețea eth1 în ea auto br0 iface br0 inet static # Adăugați interfața openvpn bridge_ports eth1 tap0 adresa 10.10.10.150 netmask 255.255.255.0 iface auto eth00 # Internet eth0 inet adresa statica 192.168.60.2 masca de retea 255.255.255.0 gateway 192.168.60.1
Salvați modificările și reporniți rețeaua cu comanda:
/etc/init.d/networking restart
După aceea, la executarea comenzii ifconfig ar trebui să existe un pod br0 cu IP 10.10.10.150 , interfața eth0 cu adresa IP 192.168.60.2 și interfață et1 nici o adresă IP așa cum este în bridge br0
Pentru computerele Office 2, emitem adrese IP computerelor fără a merge mai departe 10.10.10.150-254 , Unde 10.10.10.150 este adresa IP a serverului de birou 2.
Încărcați arhiva chei OpenVPN colectată de pe serverul VPN al biroului 1 pe serverul biroului 2 cu comanda:
Ssh -P22 /etc/openvpn/users_tgz/server1.tgz :/root/
Sau, dacă serverul 1 al biroului 2 nu are un IP permanent sau dinamic, vom îmbina cheile de la serverul VPN al biroului 2 cu comanda:
ssh -P22 :/etc/openvpn/users_tgz/server1.tgz /root/
Când vi se solicită o parolă, introduceți parola utilizatorului rădăcină , după introducerea parolei corecte, arhiva cu cheile este descărcată în folder /root/server1.tgz
Despachetați conținutul arhivei ( numai fișiere cheie fără foldere) /root/server1.tgzîntr-un folder /etc/openvpn/
Lăsați OpenVPN să ruleze scripturi:
În /etc/default/openvpn
OPTARGS=""
OPTARGS="--script-security 2"
Creați un script /etc/openvpn/up.sh lansat atunci când clientul VPN se conectează la serverul VPN:
Vi /etc/openvpn/up.sh #!/bin/sh brctl addif br0 tap0 brctl addif br0 eth1 ifconfig tap0 0.0.0.0 chmod +x /etc/openvpn/up.sh
Reporniți serverul OpenVPN cu comanda:
/etc/init.d/openvpn reporniți
La executarea comenzii ifconfig ar trebui să apară interfața. atinge 0 fără o adresă IP.
Acum poți să dai ping la computerele unui alt birou din ambele birouri, să folosești foldere partajate, imprimante, resurse ale altui birou și, de asemenea, să aranjezi lupte de joc biroul 1 împotriva biroului 2 :)
Pentru a verifica interfețele conectate la punte, rulați comanda:
spectacol brctl
Răspunsul sistemului:
Nume pod ID pod Interfețe activate STP br0 7000.003ds4sDsf6 nu eth1 tap0
Vedem placa noastră de rețea locală et1și o interfață virtuală OpenVPN atinge 0
Sarcina este finalizată, două birouri la distanță sunt conectate la o rețea locală.
Dacă articolul ți-a fost util, distribuie-l prietenilor făcând clic pe pictograma ta. rețea socialăîn partea de jos a acestui articol. Vă rugăm să comentați acest manualȚi-a plăcut, a beneficiat? De asemenea, vă puteți abona pentru a primi notificări despre articole noi pe e-mailul dvs. de pe pagină
Și acum să luăm o scurtă pauză și să ne odihnim o jumătate de minut, ridicându-ne moralul pentru o muncă mai productivă, urmăriți videoclipul și zâmbim:
În multe organizații cu mai multe ramuri, este nevoie de combinare rețele locale birouri într-un singur rețeaua corporativă. Conectarea rețelelor crește eficiența afacerii și reduce costurile asociate cu îndepărtarea birourilor. Rețele birourile la distanță ale companiei vă permit să rezolvați următoarele sarcini:
- Munca angajaților din toate birourile într-o singură bază de date (de exemplu, 1C)
- Furnizarea angajaților de la distanță cu acces la resursele corporative partajate ale companiei prin Internet (acces la distanță la rețea)
- Schimb de date rapid și convenabil între angajații birourilor de la distanță
Conectarea rețelelor se desfășoară prin rețele publice de internet, în acest sens, problema securității agregării rețelei și confidențialitatea informațiilor transmise este acută. Tehnologia VPN (Virtual Private Networks) este utilizată pentru a conecta în siguranță și în siguranță două rețele prin canale de comunicații publice.
Configurarea VPN (rețele private virtuale)
Configurare VPN(Rețelele private virtuale) între sediile companiei (conectarea rețelelor) asigură criptarea datelor transmise. În funcție de nevoile clientului și de infrastructura IT existentă, o rețea VPN poate fi creată pe baza unui complex software sau hardware. O modalitate destul de comună de a crea o rețea VPN este configurarea unei rețele VPN pe baza unui pachet software, care, pe lângă implementarea unei rețele VPN, poate servi ca firewall și poate filtra traficul de rețea.
Acces de la distanță la un computer
Deși subiectul este zguduit, cu toate acestea, mulți întâmpină adesea dificultăți - fie că este un administrator de sistem începător sau doar un utilizator avansat, care a fost forțat de superiorii săi să îndeplinească funcțiile de manager enikey. Paradoxal, în ciuda abundenței de informații despre VPN, găsirea unei opțiuni clare este o problemă întreagă. Mai mult, cineva are chiar impresia că unul a scris - în timp ce alții au copiat cu nebunie textul. Drept urmare, rezultatele căutării sunt literalmente pline de o abundență de informații inutile, de care rareori se poate izola ceea ce merită. Prin urmare, am decis să mestec toate nuanțele în felul meu (poate că va fi de folos cuiva).
Deci, ce este un VPN? VPN (virtualPrivatreţea- rețea privată virtuală) - un nume generalizat pentru tehnologiile care permit ca una sau mai multe conexiuni de rețea (rețea logică) să fie furnizate printr-o altă rețea (inclusiv Internet). În funcție de protocoalele și scopurile utilizate, un VPN poate oferi trei tipuri de conexiuni: nod-nod, rețea-nodși rețea-rețea. După cum se spune, fără comentarii.
Schemă VPN stereotipă
Un VPN facilitează combinarea unei gazde la distanță cu rețeaua locală a unei companii sau a unei alte gazdă, precum și combinarea rețelelor într-una singură. Beneficiul este destul de evident - obținem cu ușurință acces la rețeaua întreprinderii de la clientul VPN. În plus, un VPN vă protejează și datele prin criptare.
Nu pretind că vă descriu toate principiile modului în care funcționează un VPN, deoarece există multă literatură de specialitate și, să fiu sincer, eu nu știu multe lucruri. Cu toate acestea, dacă aveți o sarcină „Fă-o!”, trebuie să vă alăturați de urgență subiectului.
Să luăm în considerare o sarcină din practica mea personală, când a fost necesară combinarea a două birouri prin VPN - sediul central și sucursala. Situația s-a complicat și mai mult de faptul că în sediul central exista un server video care ar trebui să primească video de la camera IP a filialei. Iată sarcina ta pe scurt.
Există multe moduri de a rezolva. Totul depinde de ceea ce ai la îndemână. În general, VPN este ușor de construit folosind o soluție hardware bazată pe diverse routere Zyxel. În mod ideal, se poate întâmpla și ca internetul să fie distribuit la ambele birouri de către un singur furnizor și atunci nu veți avea deloc probleme (doar apelați la Provo). Dacă firma este bogată, și CISCO își poate permite. Dar de obicei totul se rezolvă prin software.
Și aici alegerea este grozavă - Open VPN, WinRoute (rețineți că este plătit), instrumente ale sistemului de operare, programe precum Hamanchi (ca să fiu sincer, în cazuri rare poate ajuta, dar nu recomand să vă bazați pe el - versiunea gratuită are o limită de 5 gazde și un alt dezavantaj semnificativ este că întreaga ta conexiune depinde de gazda Hamanchi, ceea ce nu este întotdeauna bun). În cazul meu, ideal ar fi să folosești OpenVPN - program gratuit, care poate crea cu ușurință o conexiune VPN de încredere. Dar noi, ca întotdeauna, vom lua calea celei mai mici rezistențe.
În filiala mea, Internetul distribuie un gateway bazat pe client Windows. Sunt de acord, nu este cea mai bună soluție, dar suficientă pentru un trio de computere client. Trebuie să fac un server VPN de pe această poartă. Din moment ce citiți acest articol, probabil sunteți sigur că sunteți nou în VPN. Prin urmare, pentru tine, dau cel mai simplu exemplu, care, în principiu, mi se potrivește.
Windows din familia NT au deja capabilități rudimentare de server încorporate în ele. Configurarea unui server VPN pe una dintre mașini nu este dificilă. Ca server, voi da exemple de capturi de ecran Windows 7, dar principiile generale vor fi aceleași ca și pentru vechiul XP.
Vă rugăm să rețineți că pentru a conecta două rețele, trebuie aveau o gamă diferită! De exemplu, la sediul central, intervalul poate fi 192.168.0.x, iar la sucursală, poate fi 192.168.20.x (sau orice interval de ip gri). Acest lucru este foarte important, așa că aveți grijă. Acum, puteți începe configurarea.
Pe serverul VPN, accesați Panoul de control -> Centru de rețea și partajare -> modificați setările adaptorului.
Acum apăsați tasta Alt pentru a afișa meniul. Acolo, în elementul Fișier, selectați „Nouă conexiune de intrare”.
Bifați casetele pentru utilizatorii care se pot conecta prin VPN. Recomand cu căldură să adăugați un utilizator nou, să îi acordați un nume prietenos și să atribuiți o parolă.
După ce ați făcut acest lucru, trebuie să selectați în fereastra următoare cum se vor conecta utilizatorii. Bifați caseta „Prin internet”. Acum tot ce trebuie să faceți este să atribuiți un interval de adrese de rețea virtuală. Mai mult, puteți alege câte computere pot participa la schimbul de date. În fereastra următoare, selectați protocolul TCP / IP versiunea 4, faceți clic pe „Proprietăți”:
Veți vedea ce am în captură de ecran. Dacă doriți ca clientul să acceseze rețeaua locală în care se află serverul, pur și simplu bifați caseta de selectare „Permite apelanților să acceseze rețeaua locală”. La paragraful „Atribuirea adreselor IP”, vă recomand să specificați adresele manual după principiul pe care l-am descris mai sus. În exemplul meu, am dat intervalului doar douăzeci și cinci de adrese, deși aș fi putut să dau doar două și 255.
După aceea, faceți clic pe butonul „Permiteți accesul”.
Sistemul va crea automat un server VPN care va aștepta orfan să se alăture cineva.
Acum, singurul lucru rămas este să configurați clientul VPN. Pe computerul client, accesați și Centrul de rețea și partajare și selectați Configurați o nouă conexiune sau o rețea. Acum va trebui să selectați un articol „Conectarea la un loc de muncă”
Faceți clic pe „Utilizați conexiunea mea la Internet și acum veți fi aruncat într-o fereastră în care va trebui să introduceți adresa gateway-ului nostru de internet în filială. Pentru mine pare ca 95.2.x.x
Acum puteți apela conexiunea, introduceți numele de utilizator și parola pe care le-ați introdus pe server și încercați să vă conectați. Dacă totul este corect, atunci vei fi conectat. În cazul meu, pot deja ping orice computer din ramură și pot interoga camera. Acum mono este ușor de agățat de serverul video. Poate ai altceva.
Alternativ, la conectare, poate apărea eroarea 800, indicând că ceva nu este în regulă cu conexiunea. Aceasta este o problemă de firewall fie pe client, fie pe server. Mai exact, nu vă pot spune - totul este determinat experimental.
Așa fără pretenții am creat un VPN între două birouri. Jucătorii pot fi combinați în același mod. Cu toate acestea, nu uitați că acesta nu va fi încă un server cu drepturi depline și este mai bine să folosiți instrumente mai avansate, despre care voi discuta în următoarele părți.
În special, în partea 2 ne vom uita la configurarea OPenVPN pentru Windows și Linux.
Există o serie de soluții care sunt acum deosebit de solicitate de clienți. Una dintre ele lucrează în 1C sau alte aplicații de la distanță pe serverul întreprinderii. Să ne imaginăm că aveți un server și trebuie să oferiți o oportunitate de a lucra cu date și aplicații unui director care este mereu pe drumuri sau unui contabil care lucrează de acasă.
Mai jos descriem un proiect pe care l-am finalizat pentru un client cu sediul central la Moscova și trei subdiviziuni în Yaroslal (birou, producție și depozit). Ni s-a dat sarcina de a uni birouri și divizii în așa fel încât munca să se desfășoare de la distanță în 1C instalat pe un server din Moscova și, de asemenea, să fie posibil să lucrăm cu documente și serverul E-mail situat în biroul central. De asemenea, trebuie să întreținem servere și computere în departamentele aflate la distanță. Cu alte cuvinte, este necesar să se creeze un singur mediu în care utilizatorii să poată lucra documente comune(certificate, comenzi, facturi), păstrați înregistrări online și lucrați cu e-mail.
Lucrați în 1C de la distanță
Fiecare birou și departament în care lucrează mai mult de 1 persoană are instalat un router VPN hardware. Acesta este un dispozitiv care permite, pe de o parte, să permită utilizatorilor să navigheze pe Internet și, pe de altă parte, să creeze canale VPN. Un canal VPN este o conexiune criptată securizată, un tunel care permite utilizatorilor tăi să schimbe liber date și, în același timp, este inaccesibil din exterior. Pentru a construi astfel de canale, se folosește protocolul ipsec, oferind un nivel ridicat de putere criptografică.
Figura prezintă o diagramă a conexiunii a două birouri.
Astfel, cu ajutorul a două routere, putem asigura comunicarea între birouri.
Se pare că rulează 1C de la distanță și funcționează. Vai! Trebuie amintit că acest canal este transmis prin Internet și, prin urmare, are o serie de limitări:
- de obicei trebuie să plătiți pentru trafic;
- viteza Internetului și, prin urmare, lățimea de bandă a unui astfel de canal, este relativ scăzută.
Lansând o astfel de telecomandă 1C, obținem situația „totul se blochează”.
Problema este rezolvată folosind accesul la terminal. Unul dintre serverele din biroul central, care are capacități de calcul notabile, l-am configurat ca un server terminal. Pentru a face acest lucru, utilizați serviciul Windows Terminal Services încorporat. Trebuie să instalați și să configurați această componentă, să activați serverul de licențe Terminal Services și să instalați licențele. După ce trebuie să instalați pe serverul 1C, și după aceea puteți lucrați în 1C de la distanță în terminal.
Tehnologia de acces la terminal înseamnă că toate sarcinile pe care le rulezi în terminal sunt executate fizic pe un server la distanță și îți este transmisă doar imaginea de pe ecran. Un utilizator care a lansat 1C de la Yaroslavl în terminal poate să nu știe că 1C lucrează de la distanță pe un server din Moscova.
Ce dă? Scăderea traficului. Creșterea vitezei de procesare a procedurilor într-o bază de date 1C la distanță. Capacitatea oamenilor de a lucra de oriunde de pe planetă cu o bază de date 1C de la distanță sau cu aceleași fișiere.
Dar orice butoi de miere ar trebui să aibă propria muscă în unguent. LA acest caz, constă în faptul că calitatea și însăși posibilitatea de a lucra în terminal depind de fiabilitatea conexiunii la Internet. Adesea, canalul este suficient pentru a naviga pe internet, cu toate acestea, pentru a lucra în terminal, aveți nevoie de destul de mult. internet de încredere. Prin fiabilitate, înțelegem nu atât viteza, cât absența pierderii pachetelor în rețea. Astfel, canalele radio utilizate de mulți furnizori oferă adesea rate de vârf foarte mari, dar procentul de pierdere a pachetelor poate ajunge la 10%. În această situație, conexiunea la terminal se va întrerupe tot timpul și va fi greu de lucrat.
Dar, în majoritatea cazurilor, reușim să stabilim capacitatea de a lucra în terminal atât cu telecomandă 1C, cât și cu alte aplicații. Acest lucru permite clienților noștri să se dezvolte dinamic, să minimizeze costurile și să asigure funcționarea durabilă a proceselor de afaceri.
Rețineți că lucru la distanță în 1C a devenit acum o tehnologie destul de comună, destul de matură și, cu setările potrivite, destul de sigură și poate fi realizată cu succes în cadrul .