Нажмите "Enter", чтобы перейти к содержанию

Виртуальная частная сеть: Сети для самых маленьких. Часть седьмая. VPN / Хабр

Содержание

Сети для самых маленьких. Часть седьмая. VPN / Хабр

Покупка заводов в Сибири была стратегически правильным решением для компании “Лифт ми Ам”. После того, как лифты стали ездить не только вверх, но и вниз, дела компании пошли… нет полетели, вверх. Лифты начали разбирать, как горячие пирожки со стола. Название уже не соответствовало действительности и было принято решение о ребрендинге. (На самом деле их замучила судебная тяжба с Моби).
Итак, под крыло ЛинкМиАп планируется взять заводы в Новосибирске, Томске и Брно. Самое время подумать о том, как это хозяйство подключить к имеющейся сети.

Итак, сегодня рассматриваем
1) Возможные варианты подключения, их плюсы и минусы
2) Site-to-Site VPN на основе GRE и IPSec
3) Большая тема: динамическая многоточечная виртуальная сеть (DMVPN) в теории и на практике.

В традиционном видео лишь ёмкая выжимка из статьи, посвящённая работе и настройке DMVPN.

Когда вы хотите связать несколько офисов, у вас огромнейший выбор способов и средств. Всё зависит только от ваших возможностей, способностей, желаний и наличия оборудования.

Давайте по порядку.

А) Собственноручно строить физический канал. Тогда это может быть:

  1. Ethernet – витая пара. До 100 метров. Максимум по зданию или между соседними строениями. Скорость до 1 Гбит/c (Строго говоря, есть стандарт 10GBASE-T, позволяющий на том же расстоянии передавать данные на скорости 10Гбит/с).
  2. WiFi. Расстояние зависит от реализации: можно добиться работоспособности на 40 км при использовании мощных направленных антенн. В среднем до 5 км при прямой видимости. Скорость зависит от используемого стандарта и от расстояния. Необходимо регистрировать в “Роскомнадзоре”, а при больших мощностях излучения и получать разрешение на включение.
  3. xDSL – два-четыре провода. Скорость зависит от расстояния (теоретический максимум 250 Мбит/с, расстояние до 6 км). Хотя ходят слухи о разработке стандарта 1Гб/c по двум проводам.
    Или решения вроде E1.
    Имеется ввиду не подключение к интернету через xDSL, а именно линк: модеммодем. Да, и такие решения существуют. Можно назвать это мостом.

  4. Радио-Релейные Линии. Расстояние до нескольких десятков километров. Скорость до 600 Мб/с. Но это решение уже операторского уровня, поскольку требует массу согласований и мероприятий по планированию, строительству, вводу в эксплуатацию.
  5. Оптоволокно. 1Гб/с (решения на 10 и 100 Гб/с могут стоить неоправданно дорого). Расстояние зависит от многих факторов: от нескольких километров до сотен. Необходимы согласования по прокладке кабеля, квалифицированный персонал для строительства и обслуживания. Для небольших компаний есть смысл только для подключения здания не очень далеко от центрального узла. Вообще, конечно, каждый случай индивидуален и требует расчёта.

В этом случае для вас всё прозрачно – вы используете свою собственную физическую линию, поэтому пропускать через неё можете что угодно без ограничений.

Б) Второй вариант – арендовать канал у провайдера. В случае необходимости стабильного канала до другого города – это самый распространённый и надёжный вариант. Провайдер может вам предоставить следующие услуги:

  1. Самый настоящий прямой кабель. Например, он может дать вам взаймы одно-два тёмных волокна из своего оптического пучка. Вы вольны отправлять в него всё, что вашей душе угодно. Со стороны провайдера это никак не контролируется, не ограничивается, он осуществляет только поддержку. Например, в случае аварии не вам придётся искать подрядчика и сварочный аппарат, а провайдеру. И за простой несёт ответственность он же. Если у вас это не по обоюдному согласию (читай, взаимозачёт), то, пожалуй, самый дорогой способ.
  2. L2VPN. Вы так же можете пускать в канал всё, что угодно, но в данном случае, ваш трафик пойдёт через активное оборудование провайдера, поэтому может ограничиваться, например, по скорости.
    Под этим термином понимается сразу несколько услуг второго уровня:
    VLAN – в том или ином виде между филиалами вам предоставлен VLAN.
    Псевдокабель (PWE3) – это услуга Точка-Точка, когда у вас как будто бы кабель между двумя узлами. Все переданные вами фреймы без изменений доставляются до удалённой точки. Аналогично обратным образом. Это возможно благодаря тому, что ваш фрейм, приходящий на маршрутизатор провайдера инкапсулируется в PDU вышестоящего уровня, как правило, это пакет MPLS.
    VPLS (Виртуальная частная сеть) – это симуляция локальной сети. В этом случае вся сеть провайдера для вас будет как некий абстрактный гигантский коммутатор. Как и настоящий он будет хранить таблицу MAC-адресов и принимать решение о том, куда отправить пришедший кадр. Реализуется это также инкапсуляцией кадра в MPLS пакет.
  3. L3VPN. В данном случае сеть провайдера – это как большой маршрутизатор с несколькими интерфейсами. То есть стык у вас будет происходить на сетевом уровне. Вы настраиваете IP-адреса на своих маршрутизаторах с обеих сторон, а вот маршрутизация в сети провайдера – это уже головная боль провайдера. IP-адреса для точек стыка можете либо определять вы, либо выдать провайдер – зависит от реализации и от вашей договорённости. Функционировать это может на основе GRE, IPSec или того же MPLS.

Эта услуга выглядит очень простой с точки зрения клиента – как в плане настройки, так и в плане реализации – но сложной – с точки зрения оператора.
С реализацией L2/L3 VPN на основе MPLS мы будем разбираться, но гораздо позже.

В) Ну и последний вариант: туннель через публичную сеть. Предположим, у вас есть выход в Интернет на обеих ваших точках. Зачастую самым дешёвым способом оказывается построить туннель между этими двумя точками. Для этого вам достаточно всего лишь иметь белые (публичные) статические адреса на всех точках (а иногда достаточно и на одной) и оборудование, на котором это реализовать. У этого решения есть ряд недостатков, которые мы рассмотрим ниже, но тем не менее именно на нём мы сегодня и остановимся.

Итак, ваша воля выбирать, какой вариант использовать, исходя из бюджета, целесообразности и ваших способностей к убеждению руководства.
В рамках данного выпуска нам нужно подключить 3 офиса: в Новосибирске, Томске и Брно. Условимся, что везде мы будем использовать только подключение к сети Интернет.

Схема подключения узлов hub and spoke – по-русски говоря, звезда:

Напоминаю, что общая схема сети ЛинкМиАп выглядит сейчас уже так:

Но от неё мы абстрагируемся, напирая только на существенные вещи.

Раз уж мы взялись реализовывать вариант В, то придётся разобраться детально в вариантах.
На сегодняшний день существует неисчислимое множество всевозможных приложений и протоколов для организации VPN, но большая их часть является способами подключения хостов, а не сетей. Мы подразумеваем удалённую работу. Например так:

То есть это схема работы, когда один сотрудник подключается к корпоративной сети удалённо (teleworker в терминологии Cisco).

Откровенно говоря, нам это мало интересно, гораздо занимательнее вопрос, как подключать целые сети.

Сегодня рассмотрим такие самые распространённые варианты:

  • GRE
  • IPSec (туннельный и транспортный режимы)
  • GRE over IPSec
  • VTI
  • DMVN


Generic Routing Encapsulation – очень простой протокол туннелирования.
Такс, туннелирование. Это что ещё за зверь? Грубо говоря, это означает, что берутся ваши изначальные данные вместе со служебными заголовками (как правило, это IP, но может быть и Ethernet и ATM), упаковываются в пакет и передаются по публичной сети, словно машина едет в туннеле через горы. На конечном узле заголовки нового пакета снимаются, а ваши данные в исходном виде продолжают своё путешествие.
Не очень понятно, да? Разберём на примере с GRE.

Пока возьмём абстрактную топологию:

Два маршрутизатора подключены к интернету через статические белые адреса. На каждом из них заведены приватные сети из диапазона 10.0.0.0/8.
Разумеется, эти сети не маршрутизируются в Интернете. (На картинке нарисованы компьютер и ноутбук, но на практике мы будем настраивать виртуальный интерфейс Loopback0)
Наша задача прокинуть туннель:

Таким образом для ПК1 при общении с ПК2 не существует никакого Интернета – они оба будут думать, что находятся в одной локальной сети.

Настраивается GRE-туннель следующим образом:

interface Tunnel0
ip address 10.2.2.1 255.255.255.252

Поскольку туннель является виртуальным L3 интерфейсом, через который у нас будет происходить маршрутизация, ему должен быть назначен IP-адрес, который выбирается согласно вашему IP-плану, вероятно, из приватной сети.

В качестве адреса источника можно выбрать как IP-адрес выходного интерфейса
(белый адрес, предоставленный провайдером), так и его имя (FE0/0 в нашем случае):

tunnel source 100. 0.0.1

Адрес destination – публичный адрес удалённой стороны:
tunnel destination 200.0.0.1

Законченный вид:
interface Tunnel0
ip address 10.2.2.1 255.255.255.252
tunnel source 100.0.0.1
tunnel destination 200.0.0.1

Сразу после этого туннель должен подняться:
R1#sh int tun 0
Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 10.2.2.1/30
MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 100.0.0.1, destination 200.0.0.1
Tunnel protocol/transport GRE/IP

Вся основная информация здесь отражена. Обратите внимание на размер MTU – он не 1500, как ставится для обычных физических интерфейсов. О параметре MTU мы поговорим в конце статьи

По умолчанию GRE не проверяет доступность адреса назначения и сразу отправляет туннель в Up. Но стоит только добавить в туннельный интерфейс команду keepalive X, как маршрутизатор начинает отсылать кипалайвы и не поднимется, пока не будет ответа.

В нашей тестовой схеме в качестве локальной сети мы просто настроили Loopback-интерфейсы – они всегда в Up'е. Дали им адреса с маской /32. На самом же деле под ними подразумеваются реальные подсети вашего предприятия (ну, как на картинке).

interface Loopback0
ip address 10.0.0.0 255.255.255.255

На маршрутизаторе у вас должно быть два статических маршрута:
ip route 0.0.0.0 0.0.0.0 100.0.0.2
ip route 10.1.1.0 255.255.255.255 10.2.2.2

Первый говорит о том, что шлюзом по умолчанию является адрес провайдера 100.0.0.2:

R1#traceroute 200.0.0.1
Type escape sequence to abort.
Tracing the route to 200.0.0.1
1 100.0.0.2 56 msec 48 msec 36 msec
2 200. 0.0.1 64 msec * 60 msec

Второй перенаправляет пакеты, адресованные хосту с адресом 10.1.1.0, на next-hop 10.2.2.2 – это адрес туннеля с обратной стороны.

GRE-туннели являются однонаправленными, и обычно подразумевается наличие обратного туннеля на другой стороне, хотя вообще говоря, это необязательно. Но в нашем случае, когда посередине Интернет, и задача – организовать приватную сеть, с обратной стороны должна быть симметричная настройка:

nsk-obsea-gw1:

interface Tunnel0
ip address 10.2.2.2 255.255.255.252
tunnel source 200.0.0.1
tunnel destination 100.0.0.1

ip route 0.0.0.0 0.0.0.0 200.0.0.2
ip route 10.0.0.0 255.255.255.255 10.2.2.1


Пробуем запустить пинг:

R1#ping 10.1.1.0 source 10.0.0.0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.0, timeout is 2 seconds:
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 44/71/136 ms

R1#tracer 10. 1.1.0
Type escape sequence to abort.
Tracing the route to 10.1.1.0
1 10.2.2.2 68 msec * 80 msec

Великолепно! Но что происходит за кулисами?
А там, ребята, удивительные вещи:

Когда вы запускаете ping 10.1.1.0, что делает маршрутизатор?
1) Формирует IP-пакет::

2) Смотрит таблицу маршрутизации


R1#sh ip route 10.1.1.0
Routing entry for 10.1.1.0/32
Known via «static», distance 1, metric 0
Routing Descriptor Blocks:
* 10.2.2.2
Route metric is 0, traffic share count is 1

Далее рекурсивно смотрит, где адрес 10.2.2.2:


R1#sh ip rou 10.2.2.2
Routing entry for 10.2.2.0/30
Known via «connected», distance 0, metric 0 (connected, via interface)
Routing Descriptor Blocks:
* directly connected, via Tunnel0
Route metric is 0, traffic share count is 1

Такссс, Tunnel 0:


R1#sh int tun 0
Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 10. 2.2.1/30
MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 100.0.0.1, destination 200.0.0.1

3) Понимая, что это GRE-туннель, добавляет к пакету заголове GRE:

А сверху новый заголовок IР. В качестве отправителя будет значиться адрес tunnel source, а в качестве получателя – tunnel destination.

4) Новоиспечённый пакет отправляется в дивный мир по дефолтному маршруту:


R1#sh ip route
Gateway of last resort is 100.0.0.2 to network 0.0.0.0

5) Не забываем про заголовок Ethernet, при отправке провайдеру он также должен быть сформирован.

Поскольку GRE-туннель – виртуальный интерфейс 3-го уровня, он не обладает собственным MAC-адресом (как и Loopback, например). В конечном итоге кадр уйдёт с физического интерфейса FastEthernet0/0:

R1#sh ip route 100. 0.0.2
Routing entry for 100.0.0.0/30
Known via «connected», distance 0, metric 0 (connected, via interface)
Routing Descriptor Blocks:
* directly connected, via FastEthernet0/0
Route metric is 0, traffic share count is 1

Соответственно его адрес он и укажет в качестве Source MAC

R1#sh int
FastEthernet0/0 is up, line protocol is up
Hardware is Gt96k FE, address is c000.25a0.0000 (bia c000.25a0.0000)
Internet address is 100.0.0.1/30

Destination по традиции берётся из ARP-кэша или получается с помощью ARP-запроса от адреса 100.0.0.2:

R1#show arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 100.0.0.1 – c000.25a0.0000 ARPA FastEthernet0/0
Internet 100.0.0.2 71 c001.25a0.0000 ARPA FastEthernet0/0

6) И в таком виде новый IP-пакет передаётся в интернет. А поскольку каждый маршрутизатор не раздербанивает пакет, а принимает решение на основе первого же заголовка IP, то никто в Интернете не будет знать о том, что где-то там внутри кроются ваши приватные адреса 10.1.1.0 и 10.0.0.0.

7) И наконец пребывает в точку назначения.
R3 обнаруживает, что адрес назначения принадлежит ему самому, снимает заголовок IP и что он под ним находит? GRE-заголовок.

Он проверяет, что у него действительно есть такой GRE-туннель, снимает заголовок GRE, и дальше это уже самый обычный IP-пакет, с которым нужно распорядиться согласно записям в таблице маршрутизации.

В данном случае передать на обработку интерфейсу Loopback 0

R3#sh ip route 10.1.1.0
Routing entry for 10.1.1.0/32
Known via «connected», distance 0, metric 0 (connected, via interface)
Routing Descriptor Blocks:
* directly connected, via Loopback0
Route metric is 0, traffic share count is 1

Вот такие нехитрые манипуляции.
Пока пакет в локальной сети он выглядит так:

и обрабатывается на основе приватных адресов.
Как только попадает в публичную сеть, GRE вешает на него дополнительный IP-заголовок:

и пакет обрабатывается на основе публичных адресов.

Вот как выглядит пакет в Интернете:

1 – изначальные данные
2 – первый IP-заголовок (внутренний)
3 – заголовок GRE (с указанием, что внутри лежат данные протокола IP)
4 – новый заголовок IP (внешний, с туннельными адресами)

Рядовой обмен ICMP-сообщениями может при детальном рассмотрении выглядеть и так.

Полная конфигурация маршрутизаторов для GRE.

Если попытаться провести аналогии с осязаемым миром, то представим ситуацию, когда вы едете из деревни, инкапсулированные в автомобиль. Доезжаете до реки, и вам надо перебраться на другой берег и там продолжить своё путешествие в город.
На речном порту ваш автомобиль инкапсулируют в паром и переправляют через бушующие волны на другую сторону, где ваш автомобиль извлекают, и вы продолжаете движение. Так вот этот паром и был GRE-паромом.

Сделаем три ремарки:
Во-первых, интерфейсы Loopback и адреса с маской /32 мы выбрали просто для теста, фактически это вполне бы могли быть интерфейсы fa1/0.15 и fa0/1.16 с подсетями 172.16.15.0/24 и 172.16.16.0/24, например, или любые другие.
Во-вторых, мы тут всё ведём речи о публичных сетях и адресах, но на самом деле, конечно, это не имеет значения и туннели вполне можно поднимать даже внутри своей корпоративной сети, когда конечные сети и так имеют IP-связность без туннеля.
В-третьих, несмотря на то, что теоретически обратно трафик может возвращаться и не по туннелю, создать его необходимо, чтобы конечный узел могу успешно декапсулировать GRE-пакеты

Обычный GRE – яркий пример туннелирования, который очень просто настраивается и сравнительно легко траблшутится.
Очевидно, вы уже догадываетесь, какие три большие проблемы подстерегают нас на этом поле?

  • Безопасность. Данные, инкапсулированные в GRE, передаются тем не менее в открытом виде.
  • Сложность масштабирования. Если у вас 5-7 филиалов, обслуживание такого количества туннелей ещё кажется возможным, а если их 50? Причём туннелирование трафика зачастую производится на CPU, особенно на младшей и средней линейках, поэтому это лишняя нагрузка на процессор.
  • Все филиалы будут взаимодействовать друг с другом через центральный узел, хотя могли бы напрямую.


Первую озвученную выше проблему призвано решить шифрование.

Сейчас для организации шифрованного VPN-канала используются преимущественно следующие технологии: IPSec (IP Security), OpenVPN и PPTP (Point-to-Point Tunneling Protocol).

Бессменным лидером, конечно, является IPSec, о нём и поговорим.

Для начала нужно уяснить себе, что IPSec – это не протокол, это стандарт, включающий в себя целых три протокола, каждый со своими функциями:

  1. ESP (Encapsulating Security Payload – безопасная инкапсуляция полезной нагрузки) занимается непосредственно шифрованием данных, а также может обеспечивать аутентификацию источника и проверку целостности данных
  2. AH (Authentication Header – заголовок аутентификации) отвечает за аутентификацию источника и проверку целостности данных
  3. IKE (Internet Key Exchange protocol – протокол обмена ключами) испол

Виртуальные Частные Сети (VPN)

В последнее время в мире телекоммуникаций наблюдается повышенный интерес к так называемым Виртуальным Частным Сетям (Virtual Private Network - VPN). Это обусловлено необходимостью снижения расходов на содержание корпоративных сетей за счет более дешевого подключения удаленных офисов и удаленных пользователей через сеть Internet .
В этой статье мы попробуем разобраться, что же такое VPN, какие существуют плюсы и минусы данной технологии и какие варианты реализации VPN существуют.


Действительно, при сравнении стоимости услуг по соединению нескольких сетей через Internet, например, с сетями Frame Relay можно заметить существенную разницу в стоимости. Однако, необходимо отметить, что при объединении сетей через Internet, сразу же возникает вопрос о безопасности передачи данных, поэтому возникла необходимость создания механизмов позволяющих обеспечить конфиденциальность и целостность передаваемой информации. Сети, построенные на базе таких механизмов, и получили название VPN.

В этой статье мы попробуем разобраться, что же такое VPN, какие существуют плюсы и минусы данной технологии и какие варианты реализации VPN существуют.

Рис.1. Виртуальная Частная сеть.
Что такое VPN


Что же такое VPN? Существует множество определений, однако главной отличительной чертой данной технологии является использование сети Internet в качестве магистрали для передачи корпоративного IP-трафика. Сети VPN предназначены для решения задач подключения конечного пользователя к удаленной сети и соединения нескольких локальных сетей. Структура VPN включает в себя каналы глобальной сети, защищенные протоколы и маршрутизаторы.

Как  работает Виртуальная Частная Сеть?

Для объединения удаленных локальных сетей в виртуальную сеть корпорации используются так называемые виртуальные выделенные каналы. Для создания подобных соединений используется механизм туннелирования. Инициатор туннеля инкапсулирует пакеты локальной сети (в том числе, пакеты немаршрутизируемых протоколов) в новые IP-пакеты, содержащие в своем заголовке адрес этого инициатора туннеля и адрес терминатора туннеля. На противоположном конце терминатором туннеля производится обратный процесс извлечения исходного пакета.

Как уже отмечалось выше, при осуществлении подобной передачи требуется учитывать вопросы конфиденциальности и целостности данных, которые невозможно обеспечить простым туннелированием. Для достижения конфиденциальности передаваемой корпоративной информации необходимо использовать некоторый алгоритм шифрования, причем одинаковый на обоих концах туннеля.

Для того чтобы была возможность создания VPN на базе оборудования и программного обеспечения от различных производителей необходим некоторый стандартный механизм. Таким механизмом построения VPN является протокол Internet Protocol Security (IPSec). IPSec описывает все стандартные методы VPN. Этот протокол определяет методы идентификации при инициализации туннеля, методы шифрования, используемые конечными точками туннеля и механизмы обмена и управления ключами шифрования между этими точками. Из недостатков этого протокола можно отметить то, что он ориентирован на IP.

Другими протоколами построения VPN являются протоколы PPTP (Point-to-Point Tunneling Protocol), разработанный компаниями Ascend Communications и 3Com, L2F (Layer-2 Forwarding) - компании Cisco Systems и L2TP (Layer-2 Tunneling Protocol), объединивший оба вышеназванных протокола. Однако эти протоколы, в отличие от IPSec, не являются полнофункциональными (например, PPTP не определяет метод шифрования), поэтому мы, в основном, будем ориентироваться на IPSec.

Говоря об IPSec, нельзя забывать о протоколе IKE (Internet Key Exchange), позволяющем обеспечить передачу информации по туннелю, исключая вмешательство извне. Этот протокол решает задачи безопасного управления и обмена криптографическими ключами между удаленными устройствами, в то время, как IPSec кодирует и подписывает пакеты. IKE автоматизирует процесс передачи ключей, используя механизм шифрования открытым ключом, для установления безопасного соединения. Помимо этого, IKE позволяет производить изменение ключа для уже установленного соединения, что значительно повышает конфиденциальность передаваемой информации.

Как построить VPN


Существуют различные варианты построения VPN. При выборе решения требуется учитывать факторы производительности средств построения VPN. Например, если маршрутизатор и так работает на пределе мощности своего процессора, то добавление туннелей VPN и применение шифрования/дешифрования информации могут остановить работу всей сети из-за того, что этот маршрутизатор не будет справляться с простым трафиком, не говоря уже о VPN.

Опыт показывает, что для построения VPN лучше всего использовать специализированное оборудование,
однако если имеется ограничение в средствах, то можно обратить внимание на чисто программное решение.

Рассмотрим некоторые варианты построения VPN.
1.VPN на базе брандмауэров


Брандмауэры большинства производителей поддерживают туннелирование и шифрование данных. Все подобные продукты основаны на том, что если уж трафик проходит через брандмауэр, то почему бы его заодно не зашифровать. К программному обеспечению собственно брандмауэра добавляется модуль шифрования. Недостатком данного метода можно назвать зависимость производительности от аппаратного обеспечения, на котором работает брандмауэр. При использовании брандмауэров на базе ПК надо помнить, что подобное решение можно применять только для небольших сетей с небольшим объемом передаваемой информации.

Рис.2. VPN на базе брандмауэра.


В качестве примера решения на базе брандмауэров можно назвать FireWall-1 компании Check Point Software Technologies. FairWall-1 использует для построения VPN стандартный подход на базе IPSec. Трафик, приходящий в брандмауэр, дешифруется, после чего к нему применяются стандартные правила управления доступом. FireWall-1 работает под управлением операционных систем Solaris и Windows NT 4.0.

2. VPN на базе маршрутизаторов


Другим способом построения VPN является применение для создания защищенных каналов маршрутизаторов. Так как вся информация, исходящая из локальной сети, проходит через маршрутизатор, то целесообразно возложить на этот маршрутизатор и задачи шифрования.

Ярким примером оборудования для построения VPN на маршрутизаторах является оборудование компании Cisco Systems. Начиная с версии программного обеспечения IOS 11.3(3)T маршрутизаторы Cisco поддерживают протоколы L2TP и IPSec. Помимо простого шифрования проходящей информации Cisco поддерживает и другие функции VPN, такие как идентификация при установлении туннельного соединения и обмен ключами.

Рис.3. VPN на базе маршрутизаторов.

Для построения VPN Cisco использует туннелирование с шифрованием любого IP-потока. При этом туннель может быть установлен, основываясь на адресах источника и приемника, номера порта TCP(UDP) и указанного качества сервиса (QoS).

Для повышения производительности маршрутизатора может быть использован дополнительный модуль шифрования ESA (Encryption Service Adapter).

Кроме того, компания Cisco System выпустила специализированное устройство для VPN, которое так и называется Cisco 1720 VPN Access Router (Маршрутизатор Доступа к VPN), предназначенное для установки в компаниях малого и среднего размера, а также в в отделениях крупных организаций.

3. VPN на базе программного обеспечения


Следующим подходом к построению VPN являются чисто программные решения. При реализации такого решения используется специализированное программное обеспечение, которое работает на выделенном компьютере и в большинстве случаев выполняет роль proxy-сервера. Компьютер с таким программным обеспечением может быть расположен за брандмауэром.

Рис.4. VPN на базе программного обеспечения.


 

В качестве примера такого решения можно выступает программное обеспечение AltaVista Tunnel 97 компании Digital. При использовании данного ПО клиент подключается к серверу Tunnel 97, аутентифицируется на нем и обменивается ключами. Шифрация производится на базе 56 или 128 битных ключей Rivest-Cipher 4, полученных в процессе установления соединения. Далее, зашифрованные пакеты инкапсулируются в другие IP-пакеты, которые в свою очередь отправляются на сервер. В ходе работы Tunnel 97 осуществляет проверку целостности данных по алгоритму MD5. Кроме того, данное ПО каждые 30 минут генерирует новые ключи, что значительно повышает защищенность соединения.

Положительными качествами AltaVista Tunnel 97 являются простота установки и удобство управления. Минусами данной системы можно считать нестандартную архитектуру (собственный алгоритм обмена ключами) и низкую производительность.

4. VPN на базе сетевой ОС


Решения на базе сетевой ОС мы рассмотрим на примере системы Windows NT компании Microsoft. Для создания VPN Microsoft использует протокол PPTP, который интегрирован в систему Windows NT. Данное решение очень привлекательно для организаций использующих Windows в качестве корпоративной операционной системы. Необходимо отметить, что стоимость такого решения значительно ниже стоимости прочих решений. В работе VPN на базе Windows NT используется база пользователей NT, хранящаяся на Primary Domain Controller (PDC). При подключении к PPTP-серверу пользователь аутентифицируется по протоколам PAP, CHAP или MS-CHAP. Передаваемые пакеты инкапсулируются в пакеты GRE/PPTP. Для шифрования пакетов используется нестандартный протокол от Microsoft Point-to-Point Encryption c 40 или 128 битным ключом, получаемым в момент установки соединения. Недостатками данной системы являются отсутствие проверки целостности данных и невозможность смены ключей во время соединения. Положительными моментами являются легкость интеграции с Windows и низкая стоимость.

5. VPN на базе аппаратных средств


Вариант построения VPN на специальных устройствах может быть использован в сетях, требующих высокой производительности. Примером такого решения служит продукт cIPro-VPN компании Radguard

Рис.5. VPN на базе аппаратных средств


Данный продукт использует аппаратное шифрование передаваемой информации, способное пропускать поток в 100 Мбит/с. cIPro-VPN поддерживает протокол IPSec и механизм управления ключами ISAKMP/Oakley. Помимо прочего, данное устройство поддерживает средства трансляции сетевых адресов и может быть дополнено специальной платой, добавляющей функции брандмауэра

Проблемы в VPN
  • Основной проблемой сетей VPN является отсутствие устоявшихся стандартов аутентификации и обмена шифрованной информацией.
    Эти стандарты все еще находятся в процессе разработки и потому продукты различных производителей не могут устанавливать VPN-соединения и автоматически обмениваться ключами. Данная проблема влечет за собой замедление распространения VPN, так как трудно заставить различные компании пользоваться продукцией одного производителя, а потому затруднен процесс объединения сетей компаний-партнеров в, так называемые, extranet-сети.

  • Как можно заметить из вышесказанного, продукты построения VPN могут оказаться узким местом в сети.
    Это происходит из-за того, что для поддержки множества соединений и шифрования информации, передаваемой по этим соединениям, требуется высокая производительность используемого оборудования (и/или программного обеспечения). Это является еще одним проблемным моментом в построении VPN.

  • Еще одним уязвимым местом VPN можно считать отсутствие единых, надежных способов управления такими сетями, что может стать кошмаром для сетевых администраторов.

  • И, наконец, отсутствие (или слабое развитие) механизмов обеспечения качества сервиса в сети Internet является проблемой построения сетей VPN,
    требующих для некоторых приложений гарантированной доставки информации за ограниченное время.

Что ждать в будущем


Чего же можно ожидать в плане развития технологий VPN в будущем? Без всякого сомнения, будет выработан и утвержден единый стандарт построения подобных сетей. Скорее всего, основой этого стандарта будет, уже зарекомендовавший себя протокол IPSec. Далее, производители сконцентрируются на повышении производительности своих продуктов и на создании удобных средств управления VPN.

Скорее всего, развитие средств построения VPN будет идти в направлении VPN на базе маршрутизаторов, так как данное решение сочетает в себе достаточно высокую производительность, интеграцию VPN и маршрутизации в одном устройстве. Однако, будут развиваться и недорогие решения на базе сетевых ОС для небольших организаций.

В заключение, надо сказать, что, несмотря на то, что технология VPN еще очень молода, ее ожидает большое будущее.

 

Источник:  www.itelltd.kiev.ua

 

Как подключить роутер к интранет? | Роутеры (маршрутизаторы) | Блог

Чаще всего роутер используется для организации беспроводного подключения к Интернету. Здесь все достаточно просто даже для тех, кто совершенно не разбирается в принципах построения сетей. Но порой возникает необходимость подключить роутер не только к Интернету, но и к другой локальной сети (общедомовой или корпоративной). И здесь придется немного поразбираться.

Что такое интранет?

Если просто, то интранет — это Интернет «для своих». То есть, сеть, построенная по принципам «большого Интернета», но доступ в которую имеет ограниченное количество пользователей.

Примерами интранетов являются домовые сети, внутренние сети провайдеров, корпоративные сети.

Интранет удобен для обмена внутренней информацией, общения с коллегами или соседями, размещения целевых объявлений и т. п.

Кроме того, скорость получения данных из интранета высока, а доступ к его ресурсам может быть абсолютно бесплатным, что делает такие сети весьма популярной средой для обмена объемными файлами — видеоконтентом, музыкой и т.п.

Подключение напрямую к роутеру интранета

Способ подключения зависит от того, каким образом новый роутер должен выходить в Интернет — через роутер интранета или каким другим способом.

В первом случае вам потребуется воспользоваться методом lan-to-lan — то есть, подключить новый роутер через разъем LAN к одному из свободных аналогичных разъемов роутера интранета. При этом надо отключить DHCP на новом роутере и задать ему статический IP-адрес в той же подсети, что и у роутера интранета, но отличающийся от него последней цифрой.

После этого все устройства, подключенные к новому роутеру, окажутся в той же сети, что и клиенты интранета, доступ в Интернет будет производиться через роутер интранета.

Если же новый роутер имеет отдельную сеть и самостоятельное подключение к Интернету, понадобится определить дополнительный шлюз, иначе роутер, видя «чужой» адрес, отправит запрос на шлюз Интернета, где, разумеется, искомого ресурса нет.

Для этого надо создать статический маршрут к ресурсам интранета, т.е. явно указать, на какой шлюз следует перенаправлять запросы для некоторых адресов.

Допустим, адреса интранета расположены в пространстве 10.0.0.1–10.0.255.255, а роутер интранета в новой сети имеет локальный IP-адрес 192.168.0.2. В этом случае параметры маршрута будут следующими:

Подключение к интранету через интернет

Все становится сложнее, если подключиться к локальной сети нужно через Интернет. Роутер локальной сети должен быть в полном вашем распоряжении, а локальная сеть должна иметь выход в Интернет (желательно с «белым» IP-адресом).

Самый простой способ, реализуемый на большинстве роутеров — проброс портов. Как это сделать, написано здесь, там же можно прочитать про «цвета» IP-адресов и про подключение отдельного клиента к локальной сети через Интернет.

Минус проброса портов в том, что он дает возможность получить доступ только к отдельным ресурсам сети. Если в ней есть два файловых сервера, адрес можно пробросить только на один из них. Можно, конечно, открыть удаленный доступ к роутеру и, перед подключением к ресурсу, пробрасывать порт на нужный компьютер в сети. Но удобным такой способ не назовешь и полноценного доступа к локальной сети, когда вы видите на экране весь список компьютеров рабочей группы, он не заменит.

Решением проблемы является VPN-туннель:

VPN-туннель — это защищенное соединение типа «сеть–сеть» поверх другой сети с помощью технологий VPN (Virtual Private Network — «виртуальная частная сеть»). При таком соединении пользователи одной сети имеют полный доступ к ресурсам другой так, словно они находятся в одной локальной сети.

Как настроить VPN-туннель? Во-первых, роутер должен иметь поддержку этой технологии, а есть она далеко не во всех роутерах. В некоторых моделях по умолчанию поддержка VPN отсутствует, но ее можно установить дополнительно — такой механизм реализован в роутерах Keenetic.

Впрочем, можно использовать альтернативную прошивку, например, DD-wrt или OpenWrt, но для их использования вам потребуются некоторые специфические навыки и хорошие знания в сетевых технологиях.

Если раздел «PPTP VPN» или «VPN-сервер» есть в меню роутера, этого еще недостаточно — нужен «белый» или «серый» IP-адрес с обеих сторон. Причем со стороны сервера нужен именно «белый», и, если он там все же «серый», потребуется настроить службу DDNS (как это сделать, тоже написано здесь).

Сама настройка туннеля — если все условия соблюдены — особой сложности не представляет. На стороне сервера следует задать диапазон адресов, с которых будет возможен доступ к сети, логин/пароль, ну и запустить сервер.

На стороне клиента надо будет настроить PPTP-соединение с сервером, указав его IP-адрес или доменное имя, логин и пароль.

Как Работают виртуальные частные сети

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Общие сведения
Особенности VPN
Аналогия: каждая ЛВС как остров
Технологии VPN
Продукты для VPN
Дополнительные сведения

Данный документ охватывает основы виртуальных частных сетей (VPN), а именно: основные компоненты, технологии VPN, туннелирование и безопасность VPN.

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

За последние пару десятилетий в мире многое изменилось. Вместо простых деловых отношений с местными или региональными филиалами, многие компании сейчас вынуждены думать о глобальных рынках и логистике. Филиалы многих компаний распределены по всей стране и даже по всему миру. Однако все компании нуждаются в одном: способе поддержания быстрого, безопасного и надежного обмена информацией, независимо от местонахождения своих офисов.

До недавнего времени надежная связь означала использование выделенных линий для поддержания глобальной сети (WAN). Выделенные линии от цифровой сети связи с комплексными услугами (ISDN, поддерживает передачу данных со скоростью 144 кбит/с) до оптоволоконной линии связи Optical Carrier-3 (OC3, поддерживает передачу данных со скоростью 155 мбит/с) предоставляют компаниям способ расширения своих частных сетей за пределы своего географического региона. WAN имеет очевидные преимущества по сравнению с сетью общего пользования, например Интернетом, в отношении надежности, быстродействия и безопасности; однако поддержание WAN, особенно при использовании выделенных линий, может оказаться очень дорогостоящим (как правило стоимость зависит от расстояния между филиалами). Кроме того, выделенные линии не являются эффективным решением для организаций, сотрудники которых большую часть времени проводят в разъездах (например маркетинговый персонал) и часто могут испытывать потребность в удаленном подключении к корпоративной сети для доступа к конфиденциальным данным.

По мере распространения Интернета организации обратились к этой общедоступной сети как средству расширения своих собственных сетей. Сначала появились интрасети, спроектированные на основе узлов, для использования только сотрудниками компании. Теперь многие компании создают свои собственные виртуальные частные сети (VPN) для удовлетворения потребностей удаленных сотрудников и региональных отделений.

Типичная VPN может состоять из главной локальной сети (LAN), находящейся в главном офисе компании, других LAN, находящихся в удаленных офисах или производственных филиалах, и отдельных пользователей, подключающихся к сети на своем месте.

VPN — это частная сеть, использующая сеть общего пользования (как правило Интернет) для обмена данными между удаленными узлами и пользователями. Вместо использования специального реального соединения, например выделенной линии, VPN использует "виртуальные" соединения, маршрутизируемые через Интернет из частной сети компании к удаленному узлу или сотруднику.

Существуют сети VPN двух общих типов.

  • Удаленный доступ—Также называется виртуальной частной сетью удаленного доступа (VPDN), это соединение между пользователем и LAN, используемое компанией, сотрудникам которой требуется подключение к частной сети из различных удаленных мест. Как правило, корпорация при создании большой сети VPN удаленного доступа в некоторой форме предоставляет своим пользователям учетную запись удаленного подключения через Интернет с помощью поставщика услуг Интернета. После этого удаленные пользователи могут набрать номер 1-800 для выхода в Интернет и использовать свое клиентское ПО VPN для доступа к корпоративной сети. Наглядным примером компании, нуждающейся в сети VPN удаленного доступа, может служить большая фирма, в штате которой сотни торговых агентов, находящихся в разных местах. Сети VPN удаленного доступа обеспечивают безопасное соединение с шифрованием между частной сетью компании и удаленными пользователями через стороннего поставщика услуг.

  • Сеть-сеть—Используя специализированное оборудование и крупномасштабное шифрование, компания может объединить множество фиксированных узлов через сеть общего пользования, например Интернет. Каждому узлу требуется только локальное подключение к той же общедоступной сети — это позволяет не тратить средства на протяженные частные выделенные линии. Сети VLAN типа "сеть-сеть" можно еще разделить на интрасети и экстрасети. Сеть VLAN типа "сеть-сеть", проложенную между офисами одной компании, называют интрасетью VPN, а проложенную для соединения компании со своим партнером или клиентом, называют экстрасетью VPN.

Эффективно спроектированная сеть VLAN может обеспечить компании значительные преимущества. Например:

  • Расширение взаимодействия между различными географическими регионами

  • Уменьшение эксплуатационных расходов по сравнению с традиционными WAN

  • Сокращение транзитного времени и дорожных расходов для удаленных пользователей

  • Повышение производительности

  • Упрощение топологии сети

  • Обеспечение возможности взаимодействия через глобальную сеть

  • Обеспечение поддержки удаленных сотрудников

  • Более быстрая отдача на инвестиции (ROI) по сравнению с традиционной WAN

Возможности, которые должна предоставлять эффективно спроектированная VPN Сеть VPN должна обладать следующим:

  • Безопасность

  • Надежность

  • Масштабируемость

  • Управление сетью

  • Управление политиками

Представьте, что вы живете на острове посреди огромного океана. Вокруг вас разбросаны тысячи других островов, одни из них находятся ближе другие дальше. Обычный способ перемещения — это воспользоваться переправой между вашим островом и тем островом, куда нужно попасть. Перемещение переправой означает, что у вас практически отсутствует секретность. Все что вы делаете может увидеть кто-либо другой.

Проведем следующую аналогию: каждый остров представляет частную LAN, а океан — это Интернет. Перемещение переправой аналогично подключению к веб-серверу или другому устройству через Интернет. Вы не контролируете провода и маршрутизаторы, составляющие Интернет, это подобно отсутствию контроля над другими людьми, находящимися на средстве переправы. Это оставляет вас беззащитным перед проблемами с безопасностью при попытке установить соединение между двумя частными сетями, используя общий ресурс.

Ваш остров решает навести мост с другим островом, чтобы появился более легкий, безопасный и прямой путь для перемещения людей между островами. Наведение и содержание моста — дорогостоящая процедура, даже если эти острова находятся на очень близком расстоянии один от другого. Однако потребность в надежном и безопасном пути настолько велика, что вы решаетесь на этот шаг. Ваш остров хотел бы соединиться со вторым островом, который находится гораздо дальше первого, но вы решаете, что это слишком дорого.

Возникновение такой ситуации очень вероятно при использовании выделенной линии. Мосты (выделенные линии) отделены от океана (Интернет) и при этом они способны соединять острова (LAN). Многие компании выбрали этот путь из-за потребности в безопасной и надежной связи между своими удаленными офисами. Однако, если офисы находятся на очень большом расстоянии один от другого, стоимость может оказаться чрезмерно высокой — это подобно ситуации, когда нужно возводить очень длинный мост.

Какое место VPN занимает в этой аналогии? Каждому обитателю таких островов можно предоставить свою собственную небольшую подводную лодку, обладающую следующими свойствами.

  • Быстрота.

  • Легкое управление в нужном направлении.

  • Полная невидимость для остальных средств переправы и подводных лодок.

  • Надежность.

  • После приобретения первой подводной лодки, стоимость приобретения дополнительных субмарин становится небольшой.

Хотя они плавают в океане вместе с остальными лодками, обитатели двух островов могут перемещаться туда и обратно в любое время, сохраняя секретность и безопасность. Именно в этом и заключается сущность функционирования VPN. Каждый удаленный пользователь вашей сети может взаимодействовать безопасным и надежным способом, используя Интернет в качестве среды для подключения к частной LAN. VPN гораздо легче расширяется добавлением новых пользователей и различных расположений чем выделенная линия. На самом деле, масштабируемость — это основное преимущество VPN в сравнении с типичными выделенными линиями. В отличие от выделенных линий, где стоимость возрастает прямо пропорционально протяженности соединения, географическое расположение каждого офиса имеет меньшее значение при создании VPN.

В эффективно спроектированной VPN используются несколько методов обеспечения безопасности соединения и данных.

  • Секретность данных — Вероятно, это наиболее важная особенность любой реализации VPN. Поскольку ваши личные данные передаются через сеть общего пользования, секретность данных крайне необходима и может быть обеспечена шифрованием этих данных. Этот процесс подразумевает шифрование всех данных, отправляемых одним компьютером другому в такой форме, что только другой компьютер способен будет их расшифровать.

    Большинство сетей VPN используют один из следующих протоколов для шифрования.

    • IPsec — Набор протоколов (IPsec) для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, предоставляет средства повышения безопасности, такие как алгоритмы более устойчивого шифрования и более полную аутентификацию. IPsec имеет два режима шифрования: транспортный и туннельный. В туннельном режиме шифруются заголовок и полезные данные каждого пакета, а в транспортном — только полезные данные. Преимуществами этого протокола могут воспользоваться только системы, совместимые с IPsec. Кроме того все устройства должны использовать один общий ключ или сертификат и иметь сходным образом настроенные политики безопасности.

      Пользователям сети VPN удаленного доступа некоторые пакеты ПО сторонних разработчиков обеспечивают подключение и шифрование на ПК пользователей. IPsec поддерживает шифрование с 56-битным ключом (DES) или с 168-битным ключом (тройной DES).

    • PPTP/MPPE — Протокол туннелирования между узлами (PPTP) был создан консорциумом PPTP Forum таких компаний как US Robotics, Microsoft, 3COM, Ascend и ECI Telematics. PPTP поддерживает многопротокольные VPN с шифрованием 40-битным и 128-битным ключом, используя протокол шифрования данных от Microsoft (MPPE). Важно помнить, что протокол PPTP сам по себе не обеспечивает шифрование данных.

    • L2TP/IPsec — Как правило, его называют протоколом L2TP через IPsec. Он обеспечивает безопасность протокола IPsec при туннелировании по сетевому протоколу туннелирования канального уровня (L2TP). L2TP — это продукт совместной работы членов PPTP forum, Cisco и инженерной группы по развитию Интернета (IETF). Используется, главным образом, для сетей VPN удаленного доступа с ОС Windows 2000, поскольку ОС Windows 2000 предоставляет собственного клиента IPsec и L2TP. Поставщик услуг Интернета также обеспечивает подключения L2TP для удаленных пользователей, а затем шифрует этот трафик с помощью IPsec между своей точкой доступа и сервером сети удаленного офиса.

  • Целостность данных — При том, что очень важно осуществлять шифрование данных при передаче через сеть общего пользования, не менее важно проверять их неизменность в процессе передачи. Например, IPsec имеет механизм гарантирования того, что зашифрованная часть пакета или пакет целиком (заголовок и данные) не были изменены. В случае обнаружения изменения, пакет отбрасывается. Целостность данных также может включать аутентификацию удаленного узла.

  • Аутентификация источника данных — Очень важно проверять удостоверение источника отправленных данных. Это обязательно для защиты от целого ряда атак, использующих подделку удостоверения отправителя.

  • Защита от повторений пакетов — Это способность обнаруживать и отбрасывать повторно передаваемые пакеты, которая помогает предотвратить спуфинг.

  • Туннелирование данных/конфиденциальность потока трафика — Туннелирование — это процесс инкапсуляции целого пакета внутрь другого пакета и отправка его по сети. Туннелирование данных полезно в случаях, когда желательно скрывать удостоверение устройства, являющегося источником трафика. Например, одно устройство, использующее IPsec, инкапсулирует трафик, принадлежащий нескольким узлам, расположенным после него, и добавляет свой собственный заголовок в верхнюю часть имеющихся пакетов. Шифрованием исходного пакета и заголовка (и маршрутизацией пакета на основании дополнительного заголовка 3-го уровня, добавленного в верхнюю часть), устройство туннелирования эффективно скрывает фактический источник пакета. Только доверенный узел способен определить действительный источник после отделения дополнительного заголовка и расшифровки исходного заголовка. Как отмечено в документе RFC 2401 , "...раскрытие внешних характеристик связи также может стать проблемой при определенных обстоятельствах. Конфиденциальность потока трафика — это сервис, который призван решать упомянутую выше проблему путем маскирования адресов источника и назначения, длины сообщения и активности информационного обмена. В контексте IPsec использование ESP в туннельном режиме, особенно на шлюзе безопасности, может обеспечить некоторый уровень конфиденциальности потока трафика."

    Все перечисленные здесь протоколы шифрования также используют туннелирование как средство передачи шифрованных данных через сеть общего пользования. Важно понимать, что туннелирование само по себе не обеспечивает безопасность данных. Исходный пакет просто инкапсулируется внутри другого протокола и, по-прежнему, может быть виден с помощью устройства захвата пакетов, если не зашифрован. Однако это уже упомянуто здесь, поскольку является неотъемлемой частью функционирования VPN.

    Для туннелирования требуются три разных протокола.

    • Протокол Passenger — Передаваемые исходные данные (IPX, NetBeui, IP).

    • Протокол инкапсуляции — Протокол (GRE, IPsec, L2F, PPTP, L2TP) инкапсулирующий исходные данные.

    • Транспортный протокол — Протокол, используемый сетью, через которую передаются данные.

    Исходный пакет (протокол Passenger) инкапсулируется внутри протокола инкапсуляции, который затем помещается внутрь заголовка транспортного протокола (обычно IP) для передачи через сеть общего пользования. Обратите внимание, что протокол инкапсуляции также во многих случаях осуществляет шифрование данных. Такие протоколы как IPX и NetBeui, которые обычно не передаются через Интернет, можно надежно и безопасно передавать.

    Для VLAN типа "сеть-сеть" протоколом инкапсуляции служит как правило IPsec или протокол туннелирования сетевых пакетов (GRE). GRE содержит сведения о типе инкапсулируемого пакета и данные о соединении между клиентом и сервером.

    Для сетей VPN удаленного доступа туннелирование, как правило, осуществляются с помощью протокола точка-точка (PPP). Часть стека TCP/IP, PPP является транспортом для других протоколов IP при обмене данными через сеть между узлом и удаленной системой. Туннелирование PPP будет использовать один из следующих протоколов: PPTP, L2TP или протокол эстафетной передачи на втором уровне Cisco (Layer 2 Forwarding, L2F).

  • AAA — Протокол AAA (аутентификации, авторизации и учета) используется для более безопасного доступа в среде VPN удаленного доступа. Без аутентификации пользователя любое лицо, имеющее доступ к ноутбуку или ПК с предварительно настроенным ПО клиента VPN может установить безопасное подключение к удаленной сети. Однако при использовании аутентификации пользователя, чтобы установить соединение требуется ввести действительные пароль и имя пользователя. Пароли и имена пользователя могут храниться в самом оконечном устройстве VPN или на внешнем сервере ААА, который может обеспечивать аутентификацию для целого ряда баз данных, например Windows NT, Novell, LDAP и др.

    Когда запрос установки туннеля исходит от удаленного клиента, устройство VPN запрашивает пароль и имя пользователя. Затем эти данные могут пройти аутентификацию локально или будут отправлены внешнему серверу ААА, который проверит:

    • Удостоверение пользователя (Аутентификация)

    • Права пользователя (Авторизация)

    • Фактические действия пользователя (Учет)

    Данные учета особенно полезны для отслеживания действий клиента с целью аудита безопасности, биллинга или составления отчетности.

  • Неподдельность — Очень полезная функция при передаче определенных данных, например относящихся к финансовым операциям. Она полезна для предотвращения ситуаций, когда одна сторона отказывается признавать участие в операции. Почти аналогично тому, как банк требует поставить подпись прежде чем заплатить по чеку, неподдельность функционирует путем присоединения цифровой подписи к отправляемому сообщению, исключая возможность отказа отправителя от участия в операции.

Существует целый ряд протоколов, которые можно использовать для создания решения VPN. Все эти протоколы предоставляют некоторый поднабор сервисов, перечисленных в данном документе. Выбор протокола определяется желаемым набором сервисов. Например, одна организация может быть удовлетворена передачей данных открытым текстом, но очень заинтересована в сохранении их целостности, тогда как для другой организации исключительно важным является сохранение конфиденциальности данных. В этом случае их выбор протоколов может отличаться. Дополнительную информацию о доступных протоколах и их сравнительных достоинствах см. в Выбор подходящего VPN-решения

В зависимости от типа VPN (удаленный доступ или "сеть-сеть") потребуются определенные компоненты для создания VPN. К ним относятся:

  • Клиентское ПО настольной системы для каждого удаленного пользователя

  • Специализированное оборудование, например концентратор Cisco VPN Concentrator или брандмауэр Cisco Secure PIX Firewall

  • Специализированный VPN-сервер для служб удаленного доступа

  • Сервер доступа к сети (NAS), используемый поставщиком услуг для доступа удаленных пользователей к виртуальной частной сети (VPN)

  • Центр управления политиками и частной сетью

Поскольку нет общепринятого стандарта для реализации VPN, многие компании разрабатывают собственные решения "под ключ". Например, Cisco предлагает несколько решений VPN, включая:

  • Концентратор VPN Concentrator — Используя самые передовые существующие методы аутентификации и шифрования, концентраторы Cisco VPN сконструированы специально для создания VPN удаленного доступа и типа "сеть-сеть" и являются оптимальным решением для развертывания, когда требуется одно устройство для работы с очень большим числом VPN-туннелей. VPN Concentrator специально разработан, чтобы удовлетворить потребность в специализированном устройстве для VPN удаленного доступа. Эти концентраторы обеспечивают высокую доступность, производительность и масштабируемость и включают компоненты, называемые модулями Scalable Encryption Processing (SEP), которые позволяют пользователям легко повышать производительность и пропускную способность. Эти концентраторы предлагаются в моделях, подходящих как небольшим компаниям с числом удаленных пользователей не более 100, так и крупным коммерческим организациям с числом удаленных пользователей до 10000 одновременно работающих в сети.

  • Маршрутизатор с поддержкой VPN и оптимизированный для VPN — Все маршрутизаторы Cisco, на которых выполняется ПО Cisco IOS®, поддерживают сети IPsec VPN. Единственное требование состоит в том, что на маршрутизаторе должен выполняться образ ПО Cisco IOS с соответствующим набором функций. Решение VPN Cisco IOS полностью поддерживает удаленный доступ, требования сети VPN к интрасети и экстрасети. Это означает, что маршрутизаторы Cisco эффективно работают как при подключении к удаленному узлу, на котором выполняется ПО клиента VPN, так и при подключении к другому устройству VPN, например маршрутизатору, брандмауэру PIX Firewall или концентратору VPN Concentrator. Маршрутизаторы с поддержкой VPN подходят для сетей VPN с умеренными требованиями к шифрованию и туннелированию и предоставляют сервисы VPN полностью через функции ПО Cisco IOS. К маршрутизаторам с поддержкой VPN относятся модели Cisco серий 1000, 1600, 2500, 4000, 4500 и 4700.

    Маршрутизаторы Cisco оптимизированные для VPN обеспечивают масштабируемость, маршрутизацию, безопасность и качество обслуживания (QoS). Маршрутизаторы функционируют на основе ПО Cisco IOS, при этом имеется подходящее устройство для каждой ситуации: от решения доступа для SOHO через центральный сервер объединения VPN до решений для крупных коммерческих организаций. Маршрутизаторы, оптимизированные для VPN, сконструированы для удовлетворения высоких требований к шифрованию и туннелированию и часто используют дополнительные устройства, например криптоплаты, чтобы обеспечить высокую производительность. К маршрутизаторам оптимизированным для VPN относятся модели Cisco серий 800, 1700, 2600, 3600, 7200 и 7500.

  • Брандмауэр Cisco Secure PIX Firewall — Брандмауэр Private Internet eXchange (PIX) сочетает динамическую трансляцию сетевых адресов, прокси-сервер, фильтрацию пакетов, брандмауэр и возможности VPN в одном устройстве. Вместо использования ПО Cisco IOS, это устройство имеет высоко рациональную ОС, в которой вместо способности работать со множеством протоколов реализована высокая отказоустойчивость и производительность за счет сосредоточенности на протоколе IP. Как и маршрутизаторы Cisco, все модели брандмауэра PIX поддерживают IPsec VPN. Все что требуется для включения функции VPN — это удовлетворение требований лицензирования.

  • Клиенты Cisco VPN — Компания Cisco предлагает аппаратные и программные клиенты VPN. Клиент Cisco VPN (ПО) поставляется вместе с концентратором Cisco VPN серии 3000 без дополнительной платы. Этот программный клиент можно установить на узле, используемом для безопасного подключения к концентратору центрального узла (или к любому другому устройству VPN, например маршрутизатору или брандмауэру). Аппаратный клиент VPN 3002 — это еще один способ развертывания программного клиента VPN на каждом ПК, обеспечивающий связность VPN для целого ряда устройств.

Выбор устройства для создания решения VPN в итоге определяется задачей проектирования и зависит от целого ряда факторов, включая требуемую пропускную способность и количество пользователей. Например, на удаленном узле с несколькими пользователями позади PIX 501 можно рассмотреть настройку имеющегося брандмауэра PIX в качестве конечной точки IPsec VPN при условии достаточности пропускной способности 3DES брандмауэра 501 (приблизительно 3 Мбит/с) и ограничения количества VPN узлов значением 5. С другой стороны на центральном узле, функционирующем в качестве конечной точки VPN для большого числа VPN-туннелей, целесообразным будет использование маршрутизатора, оптимизированного для VPN, или концентратора VPN. Выбор теперь зависит от типа ("сеть-сеть" или удаленный доступ) и количества настроенных VPN-туннелей. Широкий перечень устройств Cisco, поддерживающих VPN, обеспечивает проектировщикам сети большую гибкость и высокую отказоустойчивость решения для удовлетворения потребности в каждом решении.



VPN, виртуальная частная сеть и HTTPS, уже необходимость

 

 

Какой VPN, HTTPS, зачем?

Мне скрывать нечего!

Но согласитесь, что нет такого расклада событий, когда бы Вы согласились чтобы Ваша переписка в социальных сетях, содержимое почтового ящика или данные от банковского счета стали достоянием широкой общественности.

Нет, конечно!

А поэтому применение криптографии VPN и HTTPS, вызвано не попытками скрыть от окружающих и государства по имени Россия, какие-то неблаговидные моменты деятельности, а насущной необходимостью обеспечить безопасность данных передаваемых по общим каналам связи.

Напомню…
.Всем известном законопроекте прописан механизм, как Роскомнадзор идентифицирует владельца информационного ресурса, через который распространяется средство обхода блокировки. Ему направляется требование «прекратить обеспечение использования сетей и программ» для обхода блокировок. В случае неподчинения этот сайт тоже попадает в список для блокировки и провайдеры обязаны ограничить доступ к нему в течение суток..

Сейчас все вокруг говорят про запрет VPN, но при этом не всегда пытаются объяснить, что это такое и зачем нужно.
А самое главное, почему их работу нельзя ограничить.

Что же такое VPN и для чего он вообще нужен?

VPN расшифровывается как Virtual Private Network, то есть виртуальная частная сеть. Что такое «частная», тоже вроде бы очевидно, типа, не публичная. Такая, в которой находится не черт его знает что, а только дозволенные узлы.

Если смотреть с пониманием дела, то именно эта составляющая VPN и является самой главной, так как она определяет ряд требований к «частности».

В компаниях, которые заботятся о собственной безопасностью, на всех используемых работниками устройствах принудительно включается обязательное использование VPN подключений.

Даже использование Интернета идет сквозь корпоративную сеть и под строгим надзором службы безопасности! И знайте, это правильно.

Какие задачи решаем с помощью такой сети?

Создание приватного тоннеля домой или в офис. На основе VPN создаются тоннели для доступа к Вашим частным ресурсам, т.к. данный протокол позволяет производить End-to-End шифрование.

Создание защищенного канала в незащищенной сети.

Предположим, Вы сидите в месте с точкой безплатногоWi-Fi, конецно захотите проверить почту с помощью внутренней Wi-Fi сети.
А Вы уверены в том, что Ваши данные никуда не уйдут? VPN позволяет создавать шифрованный канал в незащищенной сети, что практически предотвращает утечку Ваших данных.

Обход блокировок.

Данная задача является краеугольным камнем в вопросе «быть или не быть VPN в РФ» как там Гамлет долго до нас сказал- to be or not to be – конечно тогда и в помимо не было интернета. Однако, это словосочетание становится актуальным в современной России.

Теперь важно понять, как же работает эта приватная сеть. Ниже представлена упрощенная схема работы с VPN:


Как видно из данной схемы, изначально данные по защищенному каналу передаются на сервер приватной сети, который будет провоцировать соединение к серверу, который Вам требуется.

Тут важно отметить, что абоненты и сервер приватной сети изначально явно идентифицируют друг друга и обмениваются ключами безопасности.

Для чего используется протокол HTTPS?

Протокол HTTPS использует криптографию с открытым ключом для шифрования и подписывания сообщений.

Если говорить без заоблачной премудрости, то такая криптография работает с двумя ключами — один для шифрования сообщения, другой для дешифрования. Открытый ключ отправляется собеседнику, чтобы он мог шифровать сообщения для нас, приватный ключ мы никому не сообщаем. С его помощью мы дешифруем сообщения.

Сначала абонент должен удостовериться, что сервер является подлинным. Для этого существуют сертификаты безопасности. Если говорить совсем по-простому, то в сертификате указано, кто его выдал, кому и когда. А затем абонент обращается к серверу, который выдал сертификат и сверяет данные.

После процедуры идентификации нужно правильно обменяться ключами. Если Вы просто отправите их собеседнику, то Ваш открытый ключ могу перехватить (атака «человек посередине»), а затем отправлять Вам сообщения от лица Вашего собеседника.

Чтобы предотвратить данную атаку, используется алгоритм обмена ключами Диффи-Хеллмана. Этот алгоритм позволяет клиенту и серверу договориться по поводу общего секретного ключа, без необходимости передачи этого ключа по каналу связи.

Таким образом, абонент и сервер имеют общие ключи шифрования, которые известны только им, это как раз и называется End-to-End шифрованием. При таком шифровании зашифрованная информация передается напрямую получателю.

Помимо шифрования, абонент точно знает, что сервер подлинный. Сервер тоже может проверить, что абонент настоящий. Как правило, это делается в специализированных VPN (офисы, домашние сети и т.д.).

Например, Вы предварительно вводите свои логин и пароль или предоставляете отпечаток или слепок (fingerprint) ключа, который был выдан при регистрации и т.д. Эти нюансы связаны с конкретными реализациями VPN.

В результате, Вы получаете защищенную сеть, которой можно пользоваться без опасности утечек данных.

Нужна ли обычным людям защита подобного рода?

Думаю что да. Они могут планировать свою личную кампанию, обсуждать налоги, либо планировать действия о которых никому знать не надо.

Да хоть придумать новую продукцию, обсуждать рыночную стратегию или планировать захват контроля над конкурирующей фирмой. Либо же они могут жить в стране, которая не соблюдает право граждан на личную жизнь.

.Какова бы ни была причина, линии связи и данные должны быть личными, тайными и закрытыми от постороннего доступа..

Я бы так хотел, кто с этим не согласен? Но Вы это знайте и без меня.

Удачи, Друзья!

Распространите эту статью без промедления! СПАСИБО!

Как работают виртуальные частные сети

В этом документе рассматриваются основы VPN, такие как основные компоненты VPN, технологии, туннелирование и безопасность VPN.

Требования

Для этого документа нет особых требований.

Используемые компоненты

Этот документ не ограничивается конкретными версиями программного и аппаратного обеспечения.

Условные обозначения

См. Раздел Условные обозначения технических советов Cisco для получения дополнительной информации об условных обозначениях в документе.

Мир сильно изменился за последние пару десятилетий. Вместо того чтобы просто заниматься местными или региональными проблемами, многим компаниям теперь приходится думать о глобальных рынках и логистике. У многих компаний есть предприятия по всей стране или даже по всему миру. Но есть одна вещь, которая нужна всем компаниям: способ поддерживать быструю, безопасную и надежную связь, где бы ни находились их офисы.

До недавнего времени надежная связь означала использование выделенных линий для обслуживания глобальной сети (WAN).Выделенные линии, начиная от цифровой сети с интегрированными услугами (ISDN, которая работает со скоростью 144 Кбит / с) и заканчивая оптоволоконным кабелем Optical Carrier-3 (OC3, который работает со скоростью 155 Мбит / с), предоставляют компании возможность расширить свою частную сеть за пределы своей непосредственной географической области. . WAN имеет очевидные преимущества перед общедоступной сетью, такой как Интернет, когда дело касается надежности, производительности и безопасности; но поддержание глобальной сети, особенно при использовании выделенных линий, может стать довольно дорогостоящим (оно часто возрастает по мере увеличения расстояния между офисами).Кроме того, арендованные линии не являются жизнеспособным решением для организаций, часть сотрудников которых очень мобильна (как в случае с персоналом по маркетингу) и часто может нуждаться в удаленном подключении к корпоративной сети и доступе к конфиденциальным данным.

По мере роста популярности Интернета компании обращаются к нему как к средству расширения своих сетей. Сначала появились интранеты - сайты, предназначенные только для сотрудников компании. Сейчас многие компании создают свои собственные виртуальные частные сети (VPN) для удовлетворения потребностей удаленных сотрудников и удаленных офисов.

Типичная VPN может иметь основную локальную сеть (LAN) в корпоративной штаб-квартире компании, другие локальные сети в удаленных офисах или объектах, а также отдельных пользователей, которые подключаются извне.

VPN - это частная сеть, которая использует общедоступную сеть (обычно Интернет) для соединения удаленных сайтов или пользователей. Вместо использования выделенного реального соединения, такого как выделенная линия, VPN использует «виртуальные» соединения, маршрутизируемые через Интернет из частной сети компании к удаленному сайту или сотруднику.

Существует два распространенных типа VPN.

  • Удаленный доступ - Также называется виртуальной частной коммутируемой сетью (VPDN), это соединение пользователя с локальной сетью, используемое компанией, у которой есть сотрудники, которым необходимо подключиться к частной сети из различных удаленных мест. . Как правило, корпорация, желающая создать крупную виртуальную частную сеть с удаленным доступом, предоставляет своим пользователям учетную запись удаленного доступа в той или иной форме с помощью поставщика услуг Интернета (ISP). После этого удаленные сотрудники могут набрать номер 1-800 для выхода в Интернет и использовать свое клиентское программное обеспечение VPN для доступа к корпоративной сети.Хорошим примером компании, которой требуется удаленный доступ к VPN, может быть крупная фирма с сотнями продавцов на местах. Виртуальные частные сети удаленного доступа обеспечивают безопасные зашифрованные соединения между частной сетью компании и удаленными пользователями через стороннего поставщика услуг.

  • Site-to-Site - с помощью специального оборудования и крупномасштабного шифрования компания может соединить несколько фиксированных сайтов через общедоступную сеть, такую ​​как Интернет. Каждому сайту требуется только локальное подключение к одной и той же общедоступной сети, что позволяет экономить деньги на длинных частных выделенных линиях.Виртуальные частные сети типа "сеть-сеть" можно разделить на интрасети и экстрасети. VPN типа "сеть-сеть", построенная между офисами одной и той же компании, называется VPN для интрасети, а сеть VPN, созданная для подключения компании к ее партнеру или клиенту, называется экстрасетевой VPN.

Хорошо спроектированная VPN может принести компании большую пользу. Например, может:

  • Расширение географической связи

  • Снижение эксплуатационных расходов по сравнению с традиционными глобальными сетями

  • Сократить время доставки и командировочные расходы для удаленных пользователей

  • Повышение производительности

  • Упростить топологию сети

  • Обеспечение глобальных сетевых возможностей

  • Обеспечение поддержки надомных сотрудников

  • Обеспечивает более быструю окупаемость инвестиций (ROI), чем традиционный WAN

Какие функции необходимы хорошо спроектированной VPN? Он должен включать следующие элементы:

  • Безопасность

  • Надежность

  • Масштабируемость

  • Управление сетью

  • Управление политиками

Представьте, что вы живете на острове в огромном океане.Вокруг вас тысячи других островов, одни очень близко, а другие подальше. Обычный способ путешествовать - сесть на паром с вашего острова на любой остров, который вы хотите посетить. Путешествие на пароме означает, что у вас почти нет уединения. Все, что вы делаете, может увидеть кто-то другой.

Предположим, что каждый остров представляет собой частную локальную сеть, а океан - это Интернет. Когда вы путешествуете на пароме, это похоже на подключение к веб-серверу или другому устройству через Интернет.У вас нет контроля над проводами и маршрутизаторами, из которых состоит Интернет, точно так же, как вы не можете контролировать других людей на пароме. Это оставляет вас уязвимым для проблем безопасности, если вы попытаетесь подключиться между двумя частными сетями с использованием общедоступного ресурса.

Ваш остров решает построить мост на другой остров, чтобы люди могли перемещаться между ними более простым, безопасным и прямым путем. Строить и поддерживать мост стоит дорого, хотя остров, с которым вы соединяетесь, находится очень близко.Но потребность в надежном, безопасном пути настолько велика, что вы все равно это делаете. Ваш остров хотел бы соединиться со вторым островом, который находится намного дальше, но вы решили, что это слишком дорого.

Эта ситуация очень похожа на выделенную линию. Мосты (выделенные линии) отделены от океана (Интернет), но они могут соединять острова (LAN). Многие компании выбрали этот маршрут из-за необходимости обеспечения безопасности и надежности подключения своих удаленных офисов.Однако, если офисы расположены очень далеко друг от друга, стоимость может быть непомерно высокой - точно так же, как при попытке построить мост на большом расстоянии.

Итак, как VPN вписывается в эту аналогию? Мы могли бы подарить каждому жителю наших островов свою небольшую подводную лодку с такими свойствами.

  • Быстро.

  • Легко брать с собой куда угодно.

  • Он способен полностью скрыть вас от любых других лодок или подводных лодок.

  • Надежно.

  • Добавление дополнительных подводных лодок к вашему флоту после покупки первой стоит недорого.

Хотя они путешествуют по океану вместе с другими транспортными средствами, жители двух наших островов могут путешествовать туда и обратно, когда захотят, с конфиденциальностью и безопасностью. По сути, так работает VPN. Каждый удаленный член вашей сети может безопасно и надежно общаться, используя Интернет в качестве среды для подключения к частной локальной сети.VPN может расти, чтобы вместить больше пользователей и в разных местах, намного проще, чем выделенная линия. Фактически, масштабируемость - главное преимущество VPN перед типичными выделенными линиями. В отличие от выделенных линий, стоимость которых возрастает пропорционально расстояниям, географическое расположение каждого офиса имеет мало значения при создании VPN.

Хорошо спроектированная VPN использует несколько методов для обеспечения безопасности вашего соединения и данных.

  • Конфиденциальность данных - Это, пожалуй, самая важная услуга, предоставляемая любой реализацией VPN.Поскольку ваши личные данные передаются по общедоступной сети, конфиденциальность данных имеет жизненно важное значение и может быть достигнута путем шифрования данных. Это процесс принятия всех данных, которые один компьютер отправляет другому, и кодирования их в форму, которую сможет декодировать только другой компьютер.

    Большинство VPN используют один из этих протоколов для обеспечения шифрования.

    • IPsec - Протокол безопасности Интернет-протокола (IPsec) обеспечивает расширенные функции безопасности, такие как более надежные алгоритмы шифрования и более полную аутентификацию.IPsec имеет два режима шифрования: туннельный и транспортный. В туннельном режиме шифруются заголовок и полезная нагрузка каждого пакета, в то время как в транспортном режиме шифруется только полезная нагрузка. Только системы, совместимые с IPsec, могут использовать этот протокол. Кроме того, все устройства должны использовать общий ключ или сертификат и иметь очень похожие политики безопасности.

      Для пользователей VPN с удаленным доступом некоторые формы сторонних пакетов программного обеспечения обеспечивают соединение и шифрование на ПК пользователей. IPsec поддерживает 56-битное (одиночный DES) или 168-битное (тройное DES) шифрование.

    • PPTP / MPPE —PPTP был создан PPTP Forum, консорциумом, в который входят US Robotics, Microsoft, 3COM, Ascend и ECI Telematics. PPTP поддерживает многопротокольные сети VPN с 40-битным и 128-битным шифрованием с использованием протокола Microsoft Point-to-Point Encryption (MPPE). Важно отметить, что PPTP сам по себе не обеспечивает шифрование данных.

    • L2TP / IPsec - обычно называемый L2TP поверх IPsec, он обеспечивает безопасность протокола IPsec через туннелирование протокола туннелирования уровня 2 (L2TP).L2TP является продуктом партнерства между участниками форума PPTP, Cisco и Инженерной группой Интернета (IETF). В основном используется для виртуальных частных сетей удаленного доступа в операционных системах Windows 2000, поскольку Windows 2000 предоставляет собственный клиент IPsec и L2TP. Интернет-провайдеры также могут предоставлять L2TP-соединения для пользователей с телефонным подключением, а затем шифровать этот трафик с помощью IPsec между своей точкой доступа и сетевым сервером удаленного офиса.

  • Целостность данных —Хотя важно, чтобы ваши данные были зашифрованы в общедоступной сети, не менее важно убедиться, что они не были изменены во время передачи.Например, IPsec имеет механизм, гарантирующий, что зашифрованная часть пакета или весь заголовок и часть данных пакета не были подделаны. Если обнаружено вмешательство, пакет отбрасывается. Целостность данных также может включать аутентификацию удаленного узла.

  • Аутентификация источника данных - Чрезвычайно важно проверить подлинность источника отправляемых данных. Это необходимо для защиты от ряда атак, зависящих от подделки личности отправителя.

  • Anti Replay - Это способность обнаруживать и отклонять повторно воспроизводимые пакеты и помогает предотвратить спуфинг.

  • Туннелирование данных / Конфиденциальность потока трафика —Туннелирование - это процесс инкапсуляции всего пакета в другой пакет и его отправки по сети. Туннелирование данных полезно в тех случаях, когда желательно скрыть идентификационные данные устройства, отправляющего трафик. Например, одно устройство, использующее IPsec, инкапсулирует трафик, принадлежащий нескольким хостам, находящимся за ним, и добавляет свой собственный заголовок поверх существующих пакетов.За счет шифрования исходного пакета и заголовка (и маршрутизации пакета на основе дополнительного заголовка уровня 3, добавленного сверху) устройство туннелирования эффективно скрывает фактический источник пакета. Только доверенный партнер может определить истинный источник после того, как он удалит дополнительный заголовок и расшифрует исходный заголовок. Как отмечено в RFC 2401, «... раскрытие внешних характеристик связи также может быть проблемой в некоторых обстоятельствах. Конфиденциальность потока трафика - это услуга, которая решает эту последнюю проблему путем сокрытия адресов источника и назначения, длины сообщения или частоты общение.В контексте IPsec использование ESP в туннельном режиме, особенно на шлюзе безопасности, может обеспечить некоторый уровень конфиденциальности потока трафика ».

    Все перечисленные здесь протоколы шифрования также используют туннелирование как средство для передачи зашифрованных данных по общедоступной сети. . Важно понимать, что туннелирование само по себе не обеспечивает безопасность данных. Исходный пакет просто инкапсулируется внутри другого протокола и может быть видимым устройством захвата пакетов, если не зашифрован.Однако здесь он упоминается, поскольку является неотъемлемой частью функционирования VPN.

    Для туннелирования требуется три разных протокола.

    • Пассажирский протокол - Исходные данные (IPX, NetBeui, IP), которые передаются.

    • Протокол инкапсуляции - протокол (GRE, IPsec, L2F, PPTP, L2TP), который оборачивается вокруг исходных данных.

    • Carrier protocol - протокол, используемый сетью, по которой передается информация.

    Исходный пакет (протокол пассажира) инкапсулируется внутри протокола инкапсуляции, который затем помещается в заголовок протокола оператора связи (обычно IP) для передачи по общедоступной сети. Обратите внимание, что протокол инкапсуляции также довольно часто выполняет шифрование данных. Такие протоколы, как IPX и NetBeui, которые обычно не передаются через Интернет, могут передаваться безопасно и надежно.

    Для сетей VPN типа "сеть-сеть" протокол инкапсуляции обычно IPsec или Generic Routing Encapsulation (GRE).GRE включает информацию о том, какой тип пакета вы инкапсулируете, и информацию о соединении между клиентом и сервером.

    Для виртуальных частных сетей удаленного доступа туннелирование обычно выполняется с использованием протокола точка-точка (PPP). Являясь частью стека TCP / IP, PPP является носителем других IP-протоколов при обмене данными по сети между главным компьютером и удаленной системой. При туннелировании PPP будет использоваться один из следующих вариантов: PPTP, L2TP или Cisco Layer 2 Forwarding (L2F).

  • AAA —Аутентификация, авторизация и учет используются для более безопасного доступа в среде VPN с удаленным доступом.Без аутентификации пользователя любой, кто сидит за ноутбуком / ПК с предварительно настроенным программным обеспечением VPN-клиента, может установить безопасное соединение с удаленной сетью. Однако при аутентификации пользователя необходимо ввести действительное имя пользователя и пароль, прежде чем соединение будет установлено. Имена пользователей и пароли могут храниться на самом оконечном устройстве VPN или на внешнем сервере AAA, который может обеспечивать аутентификацию для множества других баз данных, таких как Windows NT, Novell, LDAP и т. Д.

    Когда запрос на установление туннеля приходит от клиента удаленного доступа, устройство VPN запрашивает имя пользователя и пароль.Затем его можно аутентифицировать локально или отправить на внешний сервер AAA, который проверяет:

    • Кто вы (аутентификация)

    • Что вам разрешено (авторизация)

    • Чем вы занимаетесь (бухгалтерский учет)

    Учетная информация особенно полезна для отслеживания использования клиентов в целях аудита безопасности, выставления счетов или отчетности.

  • Невозможность отказа —При передаче определенных данных, особенно связанных с финансовыми транзакциями, неотказ является очень желательной функцией.Это помогает предотвратить ситуации, когда одна сторона отрицает свое участие в транзакции. Подобно тому, как банку требуется ваша подпись перед тем, как оплатить чек, отказ от авторства работает путем прикрепления цифровой подписи к отправляемому сообщению, что исключает возможность отказа отправителя от участия в транзакции.

Существует ряд протоколов, которые можно использовать для создания решения VPN. Все эти протоколы предоставляют некоторое подмножество услуг, перечисленных в этом документе.Выбор протокола зависит от желаемого набора услуг. Например, для организации может быть комфортно, что данные передаются в виде открытого текста, но она чрезвычайно озабочена поддержанием их целостности, в то время как для другой организации сохранение конфиденциальности данных может оказаться абсолютно необходимым. Таким образом, их выбор протоколов может быть другим. Дополнительные сведения о доступных протоколах и их относительной силе см. В разделе Какое решение VPN вам подходит?

В зависимости от типа VPN (удаленный доступ или сеть-сеть) вам необходимо установить определенные компоненты для создания вашей VPN.Сюда могут входить:

  • Настольный программный клиент для каждого удаленного пользователя

  • Специальное оборудование, такое как концентратор Cisco VPN или межсетевой экран Cisco Secure PIX

  • Выделенный сервер VPN для коммутируемого доступа

  • Сервер доступа к сети (NAS), используемый поставщиком услуг для доступа удаленных пользователей через VPN

  • Частная сеть и центр управления политиками

Поскольку общепринятого стандарта для внедрения VPN не существует, многие компании самостоятельно разработали готовые решения.Например, Cisco предлагает несколько решений VPN, в том числе:

  • Концентратор VPN - Концентраторы Cisco VPN, объединяющие самые передовые методы шифрования и аутентификации, созданы специально для создания VPN с удаленным доступом или типа «сеть-сеть» и в идеале развертываются там, где требуется, чтобы одно устройство обрабатывать очень большое количество VPN-туннелей. Концентратор VPN был специально разработан для удовлетворения требований к специализированному устройству VPN с удаленным доступом.Концентраторы обеспечивают высокую доступность, высокую производительность и масштабируемость и включают компоненты, называемые модулями масштабируемой обработки шифрования (SEP), которые позволяют пользователям легко увеличивать емкость и пропускную способность. Концентраторы предлагаются в моделях, подходящих для малых предприятий со 100 или меньшим числом пользователей удаленного доступа для крупных корпоративных организаций с одновременным подключением до 10 000 удаленных пользователей.

  • Маршрутизатор с поддержкой VPN / Маршрутизатор, оптимизированный для VPN - Все маршрутизаторы Cisco, на которых работает программное обеспечение Cisco IOS®, поддерживают сети IPsec VPN.Единственное требование - на маршрутизаторе должен быть запущен образ Cisco IOS с соответствующим набором функций. Решение Cisco IOS VPN полностью поддерживает требования удаленного доступа, интрасети и экстрасети VPN. Это означает, что маршрутизаторы Cisco могут работать одинаково хорошо при подключении к удаленному узлу, на котором запущено программное обеспечение клиента VPN, или при подключении к другому устройству VPN, например, маршрутизатору, межсетевому экрану PIX или концентратору VPN. Маршрутизаторы с поддержкой VPN подходят для сетей VPN с умеренными требованиями к шифрованию и туннелированию и предоставляют услуги VPN полностью с помощью функций программного обеспечения Cisco IOS.Примеры маршрутизаторов с поддержкой VPN включают серии Cisco 1000, Cisco 1600, Cisco 2500, Cisco 4000, Cisco 4500 и Cisco 4700.

    Маршрутизаторы Cisco, оптимизированные для VPN, обеспечивают масштабируемость, маршрутизацию, безопасность и качество обслуживания (QoS). Маршрутизаторы основаны на программном обеспечении Cisco IOS, и существует устройство, подходящее для любой ситуации, от доступа к малому / домашнему офису (SOHO) через объединение VPN на центральном узле до потребностей крупного предприятия. Маршрутизаторы, оптимизированные для VPN, разработаны с учетом высоких требований к шифрованию и туннелированию и часто используют дополнительное оборудование, такое как карты шифрования, для достижения высокой производительности.Примеры оптимизированных для VPN маршрутизаторов включают серии Cisco 800, Cisco 1700, Cisco 2600, Cisco 3600, Cisco7200 и Cisco7500.

  • Межсетевой экран Cisco Secure PIX - Межсетевой экран Private Internet eXchange (PIX) объединяет динамическое преобразование сетевых адресов, прокси-сервер, фильтрацию пакетов, межсетевой экран и возможности VPN в одном устройстве. Вместо программного обеспечения Cisco IOS в этом устройстве используется оптимизированная операционная система, в которой возможность обработки различных протоколов сочетается с исключительной надежностью и производительностью, уделяя особое внимание IP.Как и маршрутизаторы Cisco, все модели межсетевых экранов PIX поддерживают IPsec VPN. Все, что требуется, - это выполнение требований лицензирования для включения функции VPN.

  • Cisco VPN-клиенты - Cisco предлагает как аппаратные, так и программные VPN-клиенты. Клиент Cisco VPN (программное обеспечение) поставляется в комплекте с концентратором Cisco VPN серии 3000 без дополнительных затрат. Этот программный клиент может быть установлен на главном компьютере и использоваться для безопасного подключения к концентратору центрального сайта (или к любому другому устройству VPN, например маршрутизатору или межсетевому экрану).Аппаратный клиент VPN 3002 представляет собой альтернативу развертыванию программного обеспечения VPN-клиента на каждом компьютере и обеспечивает подключение к VPN для ряда устройств.

Выбор устройств, которые вы будете использовать для создания решения VPN, в конечном итоге является проблемой проектирования, которая зависит от ряда факторов, включая желаемую пропускную способность и количество пользователей. Например, на удаленном сайте с небольшим количеством пользователей за PIX 501 вы можете рассмотреть возможность настройки существующего PIX в качестве конечной точки IPsec VPN, при условии, что вы принимаете пропускную способность 3DES 501 примерно на 3 Мбит / с и ограничение максимум в 5 Пары VPN.С другой стороны, на центральном сайте, выступающем в качестве конечной точки VPN для большого количества туннелей VPN, вероятно, было бы хорошей идеей использовать оптимизированный для VPN маршрутизатор или концентратор VPN. Теперь выбор будет зависеть от типа (LAN-to-LAN или удаленный доступ) и количества настраиваемых VPN-туннелей. Широкий спектр устройств Cisco, поддерживающих VPN, предоставляет разработчикам сетей высокую гибкость и надежное решение для удовлетворения любых проектных требований.

Виртуальная частная сеть (VPN) | Документы Microsoft

  • 2 минуты на чтение

В этой статье

Применимо к: Windows Server (полугодовой канал), Windows Server 2016, Windows 10

Шлюз RAS как однопользовательский VPN-сервер

В Windows Server 2016 роль сервера удаленного доступа представляет собой логическую группу следующих связанных технологий доступа к сети.

  • Служба удаленного доступа (RAS)
  • Маршрут
  • Прокси-сервер веб-приложения

Эти технологии являются ролевыми службами роли сервера удаленного доступа.

При установке роли сервера удаленного доступа с помощью мастера добавления ролей и компонентов или Windows PowerShell можно установить одну или несколько из этих трех служб ролей.

При установке службы роли DirectAccess и VPN (RAS) вы развертываете шлюз службы удаленного доступа ( RAS Gateway ).Вы можете развернуть шлюз RAS как сервер виртуальной частной сети (VPN) шлюза RAS с одним клиентом, который предоставляет множество расширенных функций и расширенных функций.

  • Функции и возможности Always On VPN: в этом разделе вы узнаете о функциях и функциях Always On VPN.

  • Настройка туннелей VPN-устройств в Windows 10: Always On VPN дает вам возможность создать выделенный профиль VPN для устройства или компьютера. Подключения Always On VPN включают два типа туннелей: туннель устройства и пользовательский туннель .Туннель устройства используется для сценариев подключения перед входом в систему и в целях управления устройством. Пользовательский туннель позволяет пользователям получать доступ к ресурсам организации через серверы VPN.

  • Развертывание Always On VPN для Windows Server 2016 и Windows 10: инструкции по развертыванию удаленного доступа в качестве VPN-шлюза RAS с одним клиентом для VPN-подключений типа «точка-сеть», которые позволяют удаленным сотрудникам подключаться к сети вашей организации с помощью Always On VPN. соединения. Рекомендуется ознакомиться с руководствами по проектированию и развертыванию для каждой из технологий, используемых в этом развертывании.

  • Техническое руководство по Windows 10 VPN: ознакомит вас с решениями, которые вы примете для клиентов Windows 10 в своем корпоративном решении VPN, и о том, как настроить развертывание. Вы можете найти ссылки на поставщика услуг настройки VPNv2 (CSP) и предоставить инструкции по настройке управления мобильными устройствами (MDM) с использованием Microsoft Intune и шаблона профиля VPN для Windows 10.

  • Как создать профили VPN в Configuration Manager. В этом разделе вы узнаете, как создавать профили VPN в Configuration Manager.

  • Настройка постоянных VPN-подключений клиента Windows 10: в этом разделе описаны параметры и схема ProfileXML, а также способы создания ProfileXML VPN. После настройки серверной инфраструктуры необходимо настроить клиентские компьютеры с Windows 10 для связи с этой инфраструктурой через VPN-соединение.

  • Параметры профиля VPN: в этом разделе описываются параметры профиля VPN в Windows 10 и рассказывается, как настроить профили VPN с помощью Intune или Configuration Manager.Вы можете настроить все параметры VPN в Windows 10 с помощью узла ProfileXML в VPNv2 CSP.

Подключения к виртуальной частной сети - приложения Win32

  • 2 минуты на чтение

В этой статье

Служба удаленного доступа (RAS) поддерживает подключения к виртуальной частной сети (VPN) в дополнение к обычным подключениям удаленного доступа, использующим протокол точка-точка (PPP).В соединении VPN пакеты VPN инкапсулируются в IP-пакеты и отправляются через IP-сеть, например Интернет. Следовательно, доступ к IP-сети является обязательным условием для установления соединения VPN. Если клиентский компьютер имеет постоянное соединение с IP-сетью, например, подключение к IP LAN, клиент может установить VPN-соединение, используя один вызов функции RasDial .

Если клиентский компьютер не имеет постоянного соединения с IP-сетью, для установления VPN-соединения требуются два вызова RasDial .Первый вызов устанавливает коммутируемое соединение с IP-сетью; второй вызов устанавливает соединение VPN.

Элемент szLocalPhoneNumber структуры RASENTRY для VPN-соединения должен содержать либо DNS-имя, либо IP-адрес целевого VPN-сервера.

Для каждого соединения требуется отдельная запись в телефонной книге. Первый звонок на RasDial указывает запись телефонной книги для IP-сети. Второй вызов указывает запись в телефонной книге для VPN.

Функция RasDial принимает в качестве параметра указатель на структуру RASDIALPARAMS . Эта структура определяет учетные данные аутентификации для использования в сети, указанной в записи телефонной книги. Учетные данные, необходимые для доступа к IP-сети, обычно отличаются от данных для VPN. Первый вызов RasDial должен указать учетные данные для IP-сети. Во втором вызове необходимо указать учетные данные для VPN.

Если функция RasDial выполнена успешно, она возвращает дескриптор соединения.Используйте этот дескриптор при вызове RasHangUp , чтобы завершить соединение.

В предыдущем сценарии два вызова RasDial возвращают отдельные дескрипторы подключения для IP-сети и VPN. Вызов RasHangUp с дескриптором для VPN-соединения завершает VPN-соединение, но оставляет соединение с IP-сетью нетронутым.

VPN - Virtual Private Network Services


VPN-туннель или так называемое VPN-соединение позволяет использовать все необходимые приложения не только в офисе, но и из любой точки мира - в командировке или дома.Решение позволяет вам работать от критически важных бизнес-приложений, программного обеспечения для обмена файлами, управления или бухгалтерского учета, электронной почты, CRM, ERP до высококачественной потоковой передачи, видеоконференцсвязи и различных веб-приложений в туннеле частной сети (VPN-туннель). Решение позволяет сотрудникам компании использовать защищенную передачу данных при подключении к VPN через смартфоны, ноутбуки или планшеты из любого места.


Основным преимуществом технологии виртуальной частной сети является отсутствие возможности доступа к вашим данным для киберпреступников.Они не смогут подключиться к вашей защищенной VPN и подвергнуть опасности контент, который вы пересылаете по корпоративной сети. VPN является обязательным условием для компаний, у которых есть географически разделенные офисы, например региональные офисы, головные офисы и филиалы. Специалисты DEAC настраивают VPN-туннель по требованиям заказчика и при необходимости полностью синхронизируют этот процесс с вашими службами безопасности. Высокая производительность, безопасность и функциональность - это лишь некоторые преимущества решения DEAC VPN.

Растущий спрос на облачные технологии значительно увеличил потребность в использовании безопасных сетевых решений, включая VPN. DEAC предоставляет полный спектр ИТ-решений, и, работая с нами, вы повысите прибыльность и сможете забыть о своих ИТ-заботах. Свяжитесь с нашими специалистами и начните прямо сейчас!



Виртуальная частная сеть или VPN - это решение, которое создает защищенный частный туннель по общедоступным проводам путем создания выделенного соединения точка-точка.Решение VPN позволяет только аутентифицированный удаленный доступ с использованием методов шифрования и протоколов туннелирования, обеспечивая только авторизованным пользователям и устройствам доступ к вашим бизнес-системам и данным. Это гарантирует невозможность перехвата данных. Расширьте корпоративную сеть, которая передает приложения для обработки данных в реальном времени через единый интерфейс клиента, и снизьте ваши капитальные / эксплуатационные расходы, одновременно повысив производительность за счет замены устаревших сетевых технологий и дорогостоящего оборудования, необходимого для поддержки устаревших сетей VPN.


Виртуальная частная сеть VPN - Сеть IUP - Получить поддержку - Центр ИТ-поддержки

Инструкции по установке и подключению для различных компьютеров и операционных систем. Эти инструкции не предназначены для компьютеров, принадлежащих IUP, на которых установлена ​​стандартная настройка ИТ. Если у вас есть вопросы, пожалуйста, зарегистрируйте тикет через ihelp.

  1. Начните, нажав кнопку Start и выбрав Settings.
  2. В настройках выберите Сеть и Интернет.
  3. В сети и в Интернете выберите VPN.
  4. Нажмите Добавить VPN-соединение.
  5. На экране добавления заполните поля следующим образом:
    1. Поставщик VPN: Windows (встроенный)
    2. Имя подключения: IUP VPN
    3. Имя или адрес сервера: vpn.iup.edu
    4. Тип VPN: Автоматический
    5. Тип информации для входа: Имя пользователя и пароль
    6. Имя пользователя (необязательно): IUPMSD \ имя пользователя (замените имя пользователя своим именем пользователя IUP)
    7. Пароль (необязательно): Пароль IUP
    8. Флажок "Запомнить мои данные для входа": если вы установите этот флажок, вам не нужно будет вводить пароль при подключении к VPN.Если вы не установите этот флажок, вам нужно будет ввести свое имя пользователя и пароль при подключении к VPN.
  6. По завершении этого экрана нажмите Сохранить.
  7. После добавления вы увидите новое сетевое соединение на экране «Сеть и Интернет».
  8. Закройте этот экран и вернитесь на рабочий стол.
  9. На рабочем столе, удерживая клавишу Windows, нажмите X. В появившемся меню выберите Сетевое подключение. Вы также можете нажать клавишу W, чтобы перейти к сетевым подключениям.
  10. На экране «Сетевые подключения» нажмите «Изменить параметры адаптера».
  11. На этом экране вы увидите только что созданное VPN-соединение и щелкните этот значок правой кнопкой мыши.
  12. Щелкните правой кнопкой мыши соединение IUP VPN и выберите Свойства , чтобы открыть окно свойств сети.
  13. Щелкните вкладку Security .
  14. Щелкните переключатель с надписью Разрешить эти протоколы и установите флажок для Microsoft CHAP Version 2 (MS-CHAP v2).
  15. Теперь щелкните вкладку Networking .
  16. Щелкните один раз, чтобы выделить Интернет-протокол версии 4 (TCP / IPV4).
  17. Нажмите кнопку «Свойства » .
  18. Щелкните Advanced.
  19. Снимите флажок, чтобы использовать шлюз по умолчанию в удаленной сети.
  20. Нажмите OK , чтобы закрыть диалоговое окно Advanced TCP / IP Setting.
  21. Нажмите OK , чтобы закрыть диалоговое окно свойств Интернет-протокола версии 4 (TCP / IPV4).
  22. Щелкните OK и затем закройте экран свойств сети.

Теперь вы готовы подключиться к только что созданному VPN-соединению.

  1. Чтобы подключиться к VPN, щелкните значок Центра поддержки в правом нижнем углу.
  2. Вы должны увидеть опцию VPN-подключения, отображаемую в быстром меню.
  3. Щелкните опцию VPN, и вы попадете на экран «Сеть и Интернет».
  4. Щелкните опцию IUP VPN и щелкните Connect.

Прежде чем вы сможете создать это соединение, вы ДОЛЖНЫ сначала подключиться к своему поставщику услуг Интернета (ISP).

  1. Доступ к панели чудо-кнопок Windows , переместив курсор мыши в верхний или нижний правый угол экрана.
  2. Выбрать Настройки
  3. В меню настроек выберите Изменить настройки ПК в самом низу
  4. В меню настроек ПК выберите Сеть
  5. Выбрать Добавить VPN-соединение
  6. Заполните поля следующим образом:
    1. Поставщик VPN: Microsoft
    2. Имя подключения: IUP VPN
    3. Имя или адрес сервера: vpn.iup.edu
    4. Тип информации для входа: имя пользователя и пароль
    5. Имя пользователя: IUPMSD \
    6. Пароль: ваш сетевой пароль IUP
    7. Убедитесь, что установлен флажок «Запомнить мои данные для входа».
  7. Выбрать Сохранить
  8. Теперь будет отображаться новое VPN-соединение IUP.
  9. Нажмите клавишу Windows + клавишу с буквой x (на клавиатуре)
  10. Выберите Сетевые подключения
  11. Щелкните правой кнопкой мыши на подключении IUP VPN .
  12. Выбрать Свойства
  13. Выберите вкладку Security tab
  14. Нажмите кнопку Разрешить эти протоколы .

  15. Убедитесь, что выбран параметр Microsoft CHAP Version 2 (MS-CHAP v2).
  16. Выберите Networking tab
  17. Щелкните один раз на Internet Protocol Version 4 (TCP / IPv4) , чтобы выбрать его
  18. Выбрать Свойства
  19. Выберите Advanced кнопку
  20. Снимите отметку с Использовать шлюз по умолчанию в удаленной сети вариант
  21. Выбрать ОК
  22. Выбрать ОК
  23. Выбрать ОК
  24. Доступ к меню настроек из панели чудо-кнопок Windows , переместив курсор мыши в верхний или нижний правый угол экрана.
  25. Выбрать Настройки
  26. Выбрать Сеть
  27. Выбрать IUP VPN
  28. Выбрать Подключиться
  1. В меню Apple выберите Системные настройки .
  2. Выберите Сеть .
  3. Нажмите кнопку Добавить (+) .
  4. Введите следующее в диалоговом окне интерфейса:
    • Интерфейс = VPN
    • Тип VPN = IKEv2
    • Имя службы = IUP VPN
  5. Нажмите Создать .
  6. Щелкните раскрывающееся меню Конфигурация и выберите Добавить конфигурацию .
  7. В качестве имени введите VPN Server и нажмите Create.
  8. Введите следующее, чтобы настроить VPN-соединение:
    • Адрес сервера = vpn.iup.edu
    • Имя учетной записи = iupmsd \ username (вместо имени пользователя на ваше имя пользователя IUP).
    • Шифрование = Автоматически (128 бит или 40 бит)
    • Выберите Показать статус VPN в строке меню.
  9. Щелкните Authentication Settings и введите свой сетевой пароль.
  10. Нажмите ОК , затем нажмите Применить .
  11. Нажмите Подключить , и ваш Mac теперь должен быть подключен к IUP VPN.
  1. В меню Apple выберите Системные настройки .
  2. Выберите Сеть .
  3. Нажмите кнопку Добавить (+) .
  4. Введите следующее в диалоговом окне интерфейса:
    • Интерфейс = VPN
    • Тип VPN = IKEv2
    • Имя службы = IUP VPN
  5. Нажмите Создать .
  6. Введите следующее, чтобы настроить VPN-соединение:
    • Адрес сервера = vpn.iup.edu
    • Remote ID = vpn.iup.edu
    • Локальный идентификатор = Оставить пустым
  7. Нажмите Настройки аутентификации
    • Имя пользователя = IUPMSD \ USERNAME (вместо USERNAME ваше имя пользователя IUP)
    • Пароль = (ваш сетевой пароль IUP)

Нажмите ОК , затем нажмите Применить

Нажмите Connect , и ваш Mac теперь должен быть подключен к IUP VPN.

  1. Выберите Настройки - Общие - VPN - Добавить конфигурацию VPN ...
  2. Введите следующее в диалоговом окне интерфейса:
    • Тип = IKEv2
    • Описание = IUP VPN
    • Сервер = vpn.iup.edu
    • Remote ID = vpn.iup.edu
    • Локальный идентификатор = Оставить пустым
  3. Аутентификация:
    • Идентификация пользователя = Оставьте это значение по умолчанию (Имя пользователя )
    • Имя пользователя = IUPMSD \ USERNAME
    • Пароль = Ваш сетевой пароль IUP
  4. Нажмите Готово .

Примечание. iOS 9 или более ранней версии не будет работать с IKEv2 ; используйте тип PPTP

  1. Выберите Настройки - Общие - VPN - Добавить конфигурацию VPN ...
  2. Введите следующее в диалоговом окне интерфейса:
    • Тип = IKEv2
    • Описание = IUP VPN
    • Сервер = vpn.iup.edu
    • Remote ID = vpn.iup.edu
    • Локальный идентификатор = Оставить пустым
  3. Аутентификация:
    • Идентификация пользователя = Оставьте это значение по умолчанию (Имя пользователя )
    • Имя пользователя = IUPMSD \ USERNAME
    • Пароль = Ваш сетевой пароль IUP
  4. Нажмите Готово .

Примечание. iOS 9 или более ранней версии не будет работать с IKEv2 ; используйте тип PPTP

  1. Откройте приложение "Настройки".
  2. В разделе «Беспроводные сети» выберите Еще.
  3. Выберите VPN.
  4. В правом верхнем углу вы найдете знак + . Коснитесь его.
    • Описание = IUP VPN
    • Сервер = vpn.iup.edu
    • Remote ID = vpn.iup.edu
    • Локальный ID = Оставить пустым
    • Аутентификация пользователя = Параметр имени пользователя
    • Имя пользователя = IUPMSD \ Имя пользователя
    • Пароль = Ваш сетевой пароль IUP
  5. Нажмите Сохранить.
  6. Вы можете подключиться, вернувшись к настройкам VPN и выбрав свой VPN. выбора. Вам будет предложено ввести имя пользователя и пароль.

Чтобы настроить VPN-соединение, выполните следующие действия. После завершения настройки вы сможете при необходимости подключиться к VPN.

  1. В правом нижнем углу выберите время.
  2. Выберите «Настройки».
  3. Выберите Google Play Store .
  4. Выберите Управление настройками Android .
  5. Щелкните Сеть и Интернет.
  6. Нажмите VPN.
  7. В правом верхнем углу щелкните символ + .
  8. Прокрутите вниз и выберите PPTP VPN.
  9. В правом верхнем углу выберите Добавить.
  10. В появившемся поле введите информацию.
    • Адрес сервера vpn.iup.edu
  11. Выберите Сохранить .

Как только соединение будет установлено, вы сможете подключиться к VPN.

Чтобы подключиться к PPTP VPN, перейдите в меню PPTP VPN и выберите имя VPN-подключения.

Если у вас возникли проблемы с доступом к базе данных библиотеки с помощью VPN, вам может потребоваться изменить настройки шлюза по умолчанию в вашей VPN. Выполните следующие действия, чтобы изменить настройки шлюза по умолчанию:

  1. Щелкните кнопку «Пуск» и введите «ncpa.cpl "в строке поиска. Откроется окно сетевых подключений.
  2. Щелкните правой кнопкой мыши VPN-соединение IUP и выберите свойства.
  3. Выберите вкладку сети.
  4. Щелкните один раз на Internet Protocol Version 4 (TCP / IPv4) , чтобы выбрать его
  5. Выбрать свойства.
  6. Нажмите кнопку Advanced .
  7. Проверить Использовать шлюз по умолчанию в удаленной сети опция
  8. Трижды нажмите ОК.
  9. Повторно подключитесь к VPN-соединению, и вы сможете получить доступ к нужным ресурсам

Предложение: Если вы будете часто использовать одну и ту же библиотечную базу данных, рекомендуется установить второе VPN-соединение (назовите его «Library VPN») с соответствующими настройками, вместо того, чтобы изменять настройку каждый раз, когда вам нужно использовать Это.

Если у вас возникли проблемы с доступом к базе данных библиотеки с помощью VPN, вам может потребоваться изменить настройки шлюза по умолчанию в вашей VPN.Выполните следующие действия, чтобы изменить настройки шлюза по умолчанию:

  1. Откройте настройки сети.
  2. Щелкните свое VPN-соединение, затем нажмите кнопку «Дополнительно».
  3. Щелкните «Отправить весь трафик через VPN-соединение».
  4. Нажмите ОК, затем закройте Сетевые настройки
  5. Повторно подключитесь к VPN-соединению, и вы сможете получить доступ к нужным ресурсам

Предложение: Если вы будете часто использовать одну и ту же библиотечную базу данных, рекомендуется установить второе VPN-соединение (назовите его «Library VPN») с соответствующими настройками, а не изменять настройку каждый раз, когда вам нужно его использовать. .

  • Неверное имя пользователя / пароль: VPN не может выполнить аутентификацию с предоставленными учетными данными. Убедитесь, что вы правильно вводите имя пользователя и пароль. Имя пользователя должно быть введено в формате «IUPMSD \ имя пользователя ». Замените имя пользователя на имя пользователя учетной записи IUP Computing.
  • Ошибка 800: эта ошибка возникает при попытке подключиться к VPN с неправильным протоколом. Убедитесь, что этот тип VPN установлен в конфигурации VPN.
  • Ошибка 812: эта ошибка выдается, если маршрутизатор не настроен для разрешения VPN-подключений. Что касается домашних сетей, обратитесь к своему Интернет-провайдеру. Если вы получаете это сообщение об ошибке при попытке подключиться к IUP VPN с работы, обратитесь к своему работодателю.

Виртуальная частная сеть (VPN) Учебное пособие

Компании и организации будут использовать VPN для конфиденциальной связи через общедоступную сеть и для передачи голоса, видео или данных.

Использование общедоступной сети, как правило, Интернета для безопасного подключения к частной сети, такой как сеть компании, является основой v irtual p rivate n etwork ( VPN ) .

Компании и организации будут использовать виртуальную частную сеть для конфиденциального общения через общедоступную сеть и для передачи голоса, видео или данных. Это также отличный вариант для удаленных сотрудников и организаций с глобальными офисами и партнерами, чтобы делиться данными в частном порядке.


Начало работы: ключевые термины, которые необходимо знать

Следующие определения помогут вам лучше понять VPN:

Общие типы VPN

Одним из наиболее распространенных типов VPN является виртуальная частная коммутируемая сеть (VPDN). VPDN - это соединение пользователя с локальной сетью, при котором удаленным пользователям необходимо подключиться к локальной сети компании. Здесь у компании будет поставщик услуг, который установит NAS (сервер доступа к сети) и предоставит удаленным пользователям программное обеспечение, необходимое для доступа к NAS со своего настольного компьютера или ноутбука.Для VPDN безопасное и зашифрованное соединение между сетью компании и удаленными пользователями обеспечивается сторонним поставщиком услуг.

Другой тип VPN обычно называется VPN типа "сеть-сеть". Здесь компания инвестировала бы в специализированное оборудование для подключения нескольких сайтов к своей локальной сети через общедоступную сеть, обычно Интернет. Виртуальные частные сети типа "сеть-сеть" основаны либо на интрасети, либо на экстранете.

Интранет

Сеть, основанная на протоколах TCP / IP (интрасеть), принадлежащая организации, обычно корпорации, доступная только членам организации, сотрудникам или другим лицам с авторизацией.Защищенные интрасети в настоящее время являются самым быстрорастущим сегментом Интернета, поскольку их создание и управление намного дешевле, чем частные сети, основанные на проприетарных протоколах.

Экстранет

Экстранет - это интрасеть, которая частично доступна авторизованным сторонним лицам. В то время как интрасеть находится за брандмауэром и доступна только для людей, которые являются членами одной компании или организации, экстрасеть обеспечивает различные уровни доступа для посторонних.Вы можете получить доступ к экстрасети, только если у вас есть действующее имя пользователя и пароль, и ваша личность определяет, какие части экстрасети вы можете просматривать. Экстранеты становятся популярным средством обмена информацией между деловыми партнерами.

Другие варианты использования VPN включают такие вещи, как использование выделенных частных выделенных линий. Однако из-за высокой стоимости выделенных линий VPN стали привлекательным экономичным решением.

Защита VPN

Если вы используете общедоступную линию для подключения к частной сети, вы можете задаться вопросом, что делает виртуальную частную сеть частной? Ответ заключается в том, как устроен VPN.VPN предназначен для обеспечения безопасного зашифрованного туннеля для передачи данных между удаленным пользователем и сетью компании. Информация, передаваемая между двумя точками через зашифрованный туннель, не может быть прочитана кем-либо еще.

Безопасность

VPN содержит несколько элементов для защиты как частной сети компании, так и внешней сети, обычно Интернет, через который подключается удаленный пользователь. Обычно первым шагом к безопасности является брандмауэр. У вас будет сайт брандмауэра между клиентом (который является рабочей станцией удаленных пользователей) и хост-сервером, который является точкой подключения к частной сети.Удаленный пользователь установит аутентифицированное соединение с межсетевым экраном.

Шифрование VPN

Шифрование также является важным компонентом безопасной VPN. Шифрование работает за счет того, что все данные, отправляемые с одного компьютера, зашифрованы таким образом, что только компьютер, на который они отправляются, может расшифровать данные. Обычно используемые типы шифрования включают шифрование с открытым ключом, которое представляет собой систему, которая использует два ключа: открытый ключ, известный всем, и частный или секретный ключ, известный только получателю сообщения.Другой широко используемой системой шифрования является система шифрования с симметричным ключом, в которой отправитель и получатель сообщения используют один общий ключ, который используется для шифрования и дешифрования сообщения.

VPN-туннелирование

С помощью VPN вам нужно будет установить сетевое соединение, основанное на идее туннелирования. В виртуальных частных сетях используются два основных типа туннелирования. Добровольное туннелирование - это когда клиент устанавливает соединение с поставщиком услуг, а затем VPN-клиент создает туннель к VPN-серверу после того, как соединение установлено.При принудительном туннелировании провайдер услуг управляет VPN-соединением и устанавливает соединение между этим клиентом и VPN-сервером.

Сетевые протоколы для туннелей VPN

Существует три основных сетевых протокола для использования с туннелями VPN, которые обычно несовместимы друг с другом. В их число входят:

IPSec

Набор протоколов, разработанный IETF для поддержки безопасного обмена пакетами на уровне IP. IPsec широко используется для реализации VPN.IPsec поддерживает два режима шифрования: транспортный и туннельный. В транспортном режиме шифруется только часть данных (полезная нагрузка) каждого пакета, но заголовок остается нетронутым. Более безопасный туннельный режим шифрует и заголовок, и полезную нагрузку. На принимающей стороне устройство, совместимое с IPSec, расшифровывает каждый пакет. Для работы IPsec отправляющие и принимающие устройства должны совместно использовать открытый ключ. Это достигается с помощью протокола, известного как Internet Security Association and Key Management Protocol / Oakley (ISAKMP / Oakley), который позволяет получателю получить открытый ключ и аутентифицировать отправителя с помощью цифровых сертификатов.

PPTP

Сокращение от Point-to-Point Tunneling Protocol, новой технологии для создания сетей VPN, разработанной совместно Microsoft, US Robotics и несколькими компаниями-поставщиками удаленного доступа, известными под общим названием PPTP Forum. VPN - это частная сеть компьютеров, которая использует общедоступный Интернет для подключения некоторых узлов. Поскольку Интернет по существу является открытой сетью, PPTP используется для обеспечения безопасности сообщений, передаваемых от одного узла VPN к другому. С помощью PPTP пользователи могут подключаться к своей корпоративной сети через Интернет.

L2TP

Сокращение от Layer Two (2) Tunneling Protocol, расширение протокола PPP, которое позволяет интернет-провайдерам управлять виртуальными частными сетями (VPN). L2TP объединяет лучшие возможности двух других протоколов туннелирования: PPTP от Microsoft и L2F от Cisco Systems. Как и PPTP, L2TP требует, чтобы маршрутизаторы ISP поддерживали протокол.

Оборудование VPN

В зависимости от типа VPN, которую вы решите внедрить, удаленный доступ или сайт-сеть, вам потребуются определенные компоненты для создания вашей VPN.Эти стандартные компоненты включают программный клиент для каждой удаленной рабочей станции, специализированное оборудование, такое как межсетевой экран, или такой продукт, как Cisco VPN Concentrator, сервер VPN и сервер доступа к сети (NAS).

Ванги Бил из Новой Шотландии пишет о технологиях более десяти лет. Она часто пишет в EcommerceGuide и главный редактор Webopedia.

Ваш комментарий будет первым

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *