Consolidarea birourilor companiei pe baza tehnologiilor VPN. Rețele VPN bazate pe tehnologia MPLS

Scară republicană pentru nevoile unei întreprinderi mijlocii. Nu căuta aici un ghid al tehnologiilor VPN - nu există unul aici, există manuale specializate pentru asta, disponibile în formă electronică și tipărită. Voi încerca doar să-mi fac o idee, folosind un exemplu practic, despre ce fel de „fiară” este această VPN și să subliniez caracteristicile construirii unei astfel de infrastructuri în condițiile noastre, rezumând simultan experiența mea în acest domeniu. Tot ceea ce am spus nu pretinde a fi adevărul suprem și reflectă doar punctul meu de vedere.

De ce este necesar acest lucru?

Așadar, condițiile inițiale sunt următoarele: organizația dumneavoastră are mai multe filiale situate la mare distanță una de alta în cadrul aceluiași oraș sau chiar în diferite orașe ale țării. Vi s-a dat, la prima vedere, o sarcină absolut fantastică: să uniți rețelele locale de sucursale într-o singură rețea globală; astfel încât fiecare computer să poată accesa un alt computer din această rețea, indiferent de locul în care se află - în camera alăturată sau la o mie de kilometri distanță. Uneori, condiția sarcinii arată diferit: să ofere acces la o anumită resursă a unei ramuri de la computere dintr-o rețea de alte ramuri (dar esența problemei nu se schimbă).

Și cum să faci asta?

Acest lucru se face folosind tehnologia VPN. Mai simplu spus, o rețea logică este „aruncată” deasupra rețelelor tale individuale, ale căror componente individuale (adică ramuri) pot fi conectate între ele în diferite moduri: prin canale publice (Internet), prin linii închiriate, prin o rețea fără fir. Rezultatul este o rețea omogenă formată din componente eterogene.

Este clar că opțiunea de a așeza canale singur nu poate fi luată în considerare din cauza condițiilor stabilite, nimeni nu vă va lăsa să rulați un cablu în întreg orașul, iar aceasta este o muncă ingrată. Prin urmare, nu este altceva de făcut decât să contactați furnizorul de servicii de telecomunicații sau, mai simplu, furnizorul. Alegerea unui furnizor este un subiect separat de discuție care depășește scopul acestui articol. Trebuie doar să rețineți că totul va depinde de mai mulți factori, dintre care cei mai importanți sunt volumul serviciilor oferite și calitatea comunicării. Prețurile pentru transferul de date vor fi de o importanță nu mică și aici trebuie să alegeți calea de mijloc între preț și calitate. Deoarece toată lumea își stabilește această bară individual (pentru unii, o oră întreagă fără comunicare nu este o problemă, dar pentru alții, cinci minute de pauză vor părea o tragedie), este imposibil să sfătuiești nimic aici.

În această etapă, trebuie să vă așezați și să luați în considerare cu atenție ce ramuri ale organizației dvs. vor fi incluse în rețea. Dacă sunt mai mult de două sau trei, pentru claritate, puteți chiar să desenați o diagramă cu un semn care indică adresele și contactele fiecărei filiale. Dacă trebuie să organizați o rețea distribuită într-un oraș, aveți de obicei posibilitatea de a alege mai multe opțiuni de conectare de la diferiți furnizori. În cazul meu, a fost necesară combinarea mai multor rețele situate în diferite orașe din regiune; aici, după cum se spune, nu există opțiuni - trebuie să apelați la compania de monopol Kazakhtelecom, singurul furnizor global al acestui tip de comunicații în toată Republica Kazahstan. Mai târziu în articol voi lua în considerare conectarea în mod specific prin Kazakhtelecom ca fiind cea mai universală modalitate de adaptare a recomandărilor pentru un anumit furnizor nu va fi dificilă.

În martie 2017, ponderea posturilor vacante pentru muncă cu acces la distanță postate pe hh.ru era de 1,5% sau 13.339 de posturi vacante. Pe parcursul anului numărul lor s-a dublat. În 2014, numărul lucrătorilor la distanță a fost estimat la 600 de mii de persoane sau 1% din populația activă economic (15–69 de ani). J"son & Partners Consulting prezice că până în 2018, aproximativ 20% din toți rușii angajați vor lucra de la distanță. De exemplu, până la sfârșitul anului 2017, Beeline intenționează să transfere de la 50% la 70% din personalul său la colaborarea de la distanță.

De ce companiile transferă angajații la lucru la distanță:

• Reducerea costurilor companiei pentru închirierea și întreținerea locurilor de muncă.
• A nu fi legat de o singură locație face posibilă formarea unei echipe
  proiect, care nu a putut fi niciodată colectat într-un singur oraș. Un avantaj suplimentar este posibilitatea de a folosi forță de muncă mai ieftină.
• Satisfacerea nevoilor angajatilor in legatura cu circumstantele lor familiale.

Am descoperit nevoia unui VPN acum mai bine de 10 ani. Pentru noi, motivul pentru a oferi acces VPN angajaților a fost capacitatea de a accesa rapid rețeaua corporativă de oriunde în lume și la orice oră din zi sau din noapte.

Calea spre alegerea soluției VPN ideale

Există destul de multe soluții posibile. Adesea, decizia ar trebui luată în funcție de echipamentul și software-ul utilizat deja în companie și de ce software are abilitățile administratorului de sistem să configureze. Voi începe imediat cu ceea ce am respins, apoi vă voi spune ce am încercat și ce ne-am hotărât în ​​cele din urmă.

VPN în routere

Există multe așa-numite „soluții chinezești” pe piață. Aproape orice router are funcționalitatea unui server VPN încorporat. De obicei, aceasta este o funcționalitate simplă de pornire/oprire și adăugare de date de conectare și parole pentru utilizatori, uneori integrare cu serverul Radius. De ce nu am luat în considerare o astfel de soluție? În primul rând ne gândim la siguranța și continuitatea serviciilor noastre. Piesele hardware similare nu se pot lăuda cu o protecție fiabilă (actualizările de firmware sunt de obicei lansate foarte rar, sau nu sunt lansate deloc), iar fiabilitatea funcționării lor lasă mult de dorit.

Clasa VPN Enterprise

Dacă te uiți la piața Gartner, pozițiile de lider pe piața VPN au fost de mult ocupate de companii care produc echipamente de rețea. Juniper, Cisco, Check Point: toate au soluții cuprinzătoare care includ un serviciu VPN.

Există probabil două dezavantaje la astfel de soluții. Primul și principalul lucru este costul ridicat. În al doilea rând, viteza de închidere a vulnerabilităților lasă mult de dorit, iar dacă nu plătiți taxe anuale de asistență, atunci nu ar trebui să vă așteptați la actualizări de securitate. Nu cu mult timp în urmă, a apărut un al treilea punct - marcajele încorporate în software-ul marilor furnizori de rețele.

VPN Microsoft

În urmă cu 10 ani, eram o companie pe primul loc în Windows. Microsoft oferă o soluție gratuită pentru cei care au întreaga infrastructură construită pe baza lor. În cazuri simple, configurarea nu este dificilă nici măcar pentru un administrator de sistem începător. În cazul nostru, am dorit să profităm la maximum de VPN din punct de vedere al securității, așa că a fost exclusă utilizarea parolelor. Desigur, am vrut să folosim certificate în loc de parole și să folosim produsul nostru Rutoken EDS pentru a stoca perechea de chei. Pentru a implementa proiectul, aveam nevoie de: un controler de domeniu, un server radius și o infrastructură PKI instalată și configurată corespunzător. Nu mă voi opri asupra configurației în detaliu, există multe informații despre aceste probleme pe Internet, iar configurarea corectă a PKI poate dura în general o duzină de articole. Primul protocol pe care l-am folosit acasă a fost protocolul PPTP. Multă vreme, această opțiune VPN ni s-a potrivit, dar în cele din urmă a trebuit să o renunțăm din două motive: PPTP nu a funcționat peste tot și am început să folosim nu numai Windows, ci și alte sisteme de operare. Prin urmare, am început să căutăm alternative. Vă rugăm să rețineți că suportul PPTP a fost întrerupt recent de Apple. Pentru început, am decis să vedem ce alte protocoale are de oferit Microsoft. SSTP/L2TP. SSTP a fost bine cu noi, cu excepția faptului că a funcționat doar pe Windows. L2TP nu a avut acest dezavantaj, dar configurarea și menținerea lui în funcțiune ni s-a părut destul de costisitoare și am decis să încercăm alternative. Am vrut o soluție mai simplă atât pentru utilizatori, cât și pentru administratori.

OpenVPN

Noi, cei de la Aktiv, iubim sincer sursa deschisă. Atunci când alegem un înlocuitor pentru Microsoft VPN, nu am putut ignora soluția OpenVPN. Principalul avantaj pentru noi a fost că soluția funcționează de la cutie pe toate platformele. Creșterea unui server într-un caz simplu este destul de simplă. Acum, folosind docker și, de exemplu, o imagine gata făcută, acest lucru se poate face în câteva minute. Dar noi ne doream mai mult. Am dorit să adăugăm în proiect integrarea cu Microsoft CA pentru a folosi certificate emise anterior. Am vrut să adăugăm suport pentru token-urile pe care le folosim. Cum să configurați o combinație de OpenVPN și token-uri este descris, de exemplu, în acest articol. A fost mai dificil să configurați integrarea Microsoft CA și OpenVPN, dar în general a fost și destul de fezabil. Am folosit soluția rezultată timp de aproximativ trei ani, dar în tot acest timp am continuat să căutăm variante mai convenabile. Caracteristica principală pe care am obținut-o prin trecerea la OpenVPN a fost accesul de pe orice sistem de operare. Dar au mai rămas două plângeri: angajații companiei au fost nevoiți să treacă prin 7 cercuri ale iadului Microsoft CA pentru a emite un certificat, iar administratorii au fost încă nevoiți să mențină o infrastructură VPN destul de complexă.

Rutoken VPN

Avem cunoștințele despre cum să folosim token-urile pe orice sistem de operare, înțelegem cum să pregătim corect o infrastructură PKI, știm să configuram diferite versiuni de OpenVPN și avem tehnologiile care ne permit să gestionăm toate acestea în într-un mod ușor de utilizat dintr-o fereastră de browser. Așa a apărut ideea unui nou produs.

Configurarea VPN Rutoken

Am încercat cu adevărat să facem configurarea simplă și simplă. Întreaga configurare durează doar câteva minute și este implementată ca asistent de configurare inițială. Primul pas este să configurați setările de rețea ale dispozitivului, cred că comentariile de aici vor fi de prisos.

În al doilea pas, trebuie să introduceți numele companiei și să așteptați câteva minute în timp ce dispozitivul configurează autoritatea de certificare încorporată.

Al treilea pas este configurarea serviciului VPN în sine. Specificați IP-ul extern la care va avea loc conexiunea. Selectați tipul de criptare și adresa de rețea.

Al patrulea pas de configurare este să creați utilizatori locali sau să îi adăugați din AD

Contul personal al angajatului

În funcție de sistemul de operare și browserul angajatului, va trebui să instalați un plugin și o extensie de browser care sunt necesare pentru a funcționa cu jetoane.

După instalarea pluginului/extensiei, tot ce trebuie să facem este să generăm un certificat pentru Rutoken EDS-ul nostru.

Și instalați clientul pentru sistemul de operare dorit:

Cum funcționează totul?

Un pic despre hardware. Inițial, ne-am gândit mult timp la ce „bază” să folosim pentru soluția noastră, deoarece era necesar să menținem un echilibru între cost, comoditate și performanță. După ce am cercetat ce este oferit pe piață, ne-am hotărât pe două opțiuni pentru implementarea și distribuirea ulterioară a soluției:

• x86 (Enterprise) este o soluție software care este furnizată utilizatorului final sub forma unei imagini de mașină virtuală care poate fi implementată în infrastructura sa IT.

• Raspberry Pi este deja un microcomputer destul de cunoscut care are performanțe destul de bune la un cost nu foarte mare și care poate fi folosit ca server VPN în 10 minute după ce a fost scos literal din cutie.

Deci, acum să vedem cum funcționează soluția noastră. În primul rând, aș dori să vă reamintesc că am implementat autentificarea cu doi factori. Jetoanele de producție proprie, precum și software-ul pentru lucrul cu acestea, sunt folosite ca purtători de chei private și certificate ale clientului.

Dar, inițial, mai trebuie să configuram serviciile necesare pentru ca produsul să funcționeze corect. Serviciile sunt configurate în prezent de către specialiștii companiei noastre într-un mod semi-automat. Aceasta înseamnă că procesul de implementare a software-ului și setările inițiale sunt automatizate, dar inițializarea acestui proces rămâne în continuare un privilegiu uman. În timpul configurării inițiale, sunt instalate pachete de sistem, python, django, OpenVPN, supervizor, OpenSSL etc.

Ce urmeaza? În continuare, trebuie să configurați întreaga infrastructură, care este de fapt responsabilă de securitate în general. Și anume: CA (autoritatea de certificare), PKI (infrastructura cheii publice), scrieți cheile și certificatele necesare.

Crearea PKI și CA, precum și formarea fișierului de configurare a serverului OpenVPN, generarea cheilor și emiterea certificatului sunt efectuate după ce produsul este transferat către client. Dar asta nu înseamnă că pentru asta trebuie să ai niște cunoștințe specifice și acces direct la sistemul de operare. Totul este implementat în logica de business a backend-ului sistemului de administrare, accesul la care este asigurat prin interfața Web. Clientului i se cere doar să introducă un set minim de atribute (descris mai sus), după care începe procesul de inițializare PKI și crearea CA. Nu are niciun rost în descrierea unor apeluri specifice la comenzile de sistem, deoarece totul a fost descris și mestecat de mult înaintea noastră. Principalul lucru pe care l-am făcut a fost să automatizăm acest proces, eliminând nevoia ca utilizatorul să aibă cunoștințe specifice în administrare.

Pentru a lucra cu chei și certificate, am decis să nu reinventăm roata (deși ne-am dorit foarte mult și încă ne jucăm cu ideea de a o reinventa pe baza planurilor noastre viitoare de dezvoltare a produselor) și să folosim easy-rsa.

Cel mai lung proces la configurarea infrastructurii este generarea fișierului Diffie-Hellman. Am experimentat mult timp cu parametrii și am ajuns la un echilibru între „calitate și performanță”. Deși au existat gânduri pentru a scăpa cu totul de acest pas, generați astfel de fișiere în avans folosind puterea serverului nostru și pur și simplu „distribuiți-le” în timpul inițializării. Mai mult, datele conținute în acest fișier nu sunt private. Dar deocamdată am lăsat aceste gânduri pentru „cercetari suplimentare”.

În continuare, este necesar să se ofere utilizatorului final un mecanism pentru crearea independentă a perechilor de chei, generarea de solicitări de emitere a unui certificat către CA și primirea efectivă a acestui certificat cu o înregistrare pe token. De asemenea, aveți nevoie de un client care vă permite să stabiliți o conexiune VPN cu pre-autentificare folosind un token.

Am rezolvat prima problemă datorită pluginului nostru, care implementează funcționalitatea semnăturii electronice, criptării și autentificarea cu doi factori pentru serviciile Web și SaaS. Pentru a emite un certificat și a-l scrie pe un token, utilizatorul trebuie să instaleze acest plugin, să urmeze linkul pentru a ajunge la contul personal al serviciului RutokenVPN, având mai întâi conectat token-ul la computer (puteți citi mai multe despre plugin). pe resursa noastră)

La inițializarea procesului de emitere a unui certificat, se face o cerere pentru ca un token să genereze o pereche de chei, precum și o cerere de eliberare a unui certificat către CA. Cheia privată este scrisă pe token, iar o cerere de eliberare a unui certificat este trimisă CA, care la rândul său o emite și o returnează într-un răspuns. După care certificatul este scris și pe token.

Aproape totul este gata pentru a stabili o conexiune VPN. Ceea ce lipsește este un client care „știe” să lucreze cu serverul și token-urile noastre.

Clientul nostru este implementat în Electron. Pentru cei care nu știu ce fel de fiară este aceasta, atunci, pe scurt - capacitatea de a implementa o aplicație desktop folosind js, css și html. Fără a intra în detalii, clientul este un fel de „wrapper” peste clientul OpenVPN, permițându-i să fie apelat cu parametrii necesari. De ce este așa? De fapt, ne-a fost mai convenabil, deși soluția aleasă impune anumite restricții.

Deoarece folosim jetonul ca purtător de informații cheie necesare pentru autentificare atunci când stabilim o sesiune VPN, trebuie să configuram clientul OpenVPN să lucreze cu el. Furnizorul PKCS#11 este o bibliotecă proprietară pentru lucrul cu token-urile noastre, calea către care este specificată în setările clientului OpenVPN. Puteți citi mai multe despre el.

Când se face o solicitare de stabilire a unei conexiuni VPN, se solicită codul PIN al cheii, dacă este introdus corect, se extrage un certificat pentru autentificarea clientului, se realizează o strângere de mână între client și server și se stabilește o conexiune VPN. Oamenii cunoscători pot argumenta că nu totul este atât de simplu, dar scopul acestei descrieri nu este să spună toate complexitățile OpenVPN, ci doar să evidențieze punctele principale ale implementării noastre.

Un pic despre planurile noastre. Principalul lucru la care lucrăm acum este implementarea criptării GOST. Am parcurs deja un drum destul de lung de cercetare, ceea ce ne-a permis să ne apropiem cât mai mult de implementarea acestuia. In viitorul apropiat vom putea satisface interesul potentialilor clienti pentru aceasta functionalitate.

Etichete: Adăugați etichete

construirea unui canal VPN

Salutare tuturor, astăzi în acest articol vom analiza în detaliu cum să configurați un canal VPN între birouri folosind OpenVPN cu posibilitatea de protecție suplimentară prin parolă. Nu este un secret pentru nimeni că OpenVPN a devenit recent foarte popular în multe organizații, iar ideea aici nu este că este complet gratuit, ci ideea este eficiența cu care poți conecta birouri la distanță cu canale VPN. Vom configura un tunel VPN între birouri cu protecție suplimentară prin parolă pe platforma Windows.

Sarcină: configurați un canal VPN între două sucursale ale companiei dvs. Rețeaua din prima ramură se numește N_B1), iar rețeaua din a doua ramură se numește N_B2. Instalarea OpenVPN în ambele birouri va fi pe sistemul de operare Windows 7. Să începem cu sarcina la îndemână.

Rețeaua N_B1 conține:

Computerul sau serverul pe care este instalat serverul OpenVPN are 2 interfețe de rețea, una, după cum puteți înțelege, pentru adresa IP wan și a doua pentru rețeaua internă.
De asemenea, are instalat un server proxy care distribuie Internetul în rețeaua locală, servind astfel ca gateway principală pentru toate mașinile din rețeaua locală (192.168.2.100)
192.168.2.100 caută în rețeaua locală
192.168.2.3 această interfață se uită la Internet printr-un router care are un IP static, să zicem 123.123.123.123. Redirecționarea se face pe acesta, sau așa cum se mai numește și portul de redirecționare 1190 (de exemplu, portul 1190 este redirecționat pe interfața de rețea cu adresa IP 192.168.2.3)
Utilizatorul din rețea are 192.168.2.100

Rețeaua N_B2 conține:

Computerul sau serverul pe care este instalat clientul OpenVPN are și 2 interfețe de rețea.
Are, de asemenea, instalat un server proxy care distribuie Internetul în rețeaua locală, servind astfel ca poartă principală pentru toate mașinile din rețeaua locală (172.17.10.10)
172.17.10.10 caută în rețeaua locală
192.168.2.3 se uită la lume prin router.
Utilizator online: 172.17.10.50

Sarcină: O persoană dintr-un birou cu rețeaua N_B1 (192.168.2.100) ar trebui să vadă resursele partajate pe computerul unei persoane din rețeaua N_B2 (172.17.10.50) și în direcția opusă.

Cu alte cuvinte, toată lumea ar trebui să-i vadă pe toată lumea și să aibă ocazia să viziteze, în cazul în care cineva împărtășește noile fotografii cu colegul din altă filială.

Vă rugăm să rețineți că sarcina aici nu este să explicați totul în detaliu și corect din punct de vedere tehnic, sarcina este să o explicați „pe degete”, astfel încât chiar și utilizatorii începători să poată înțelege. Sper că a ieșit. Dacă aveți întrebări, adresați-le în comentarii.

Esența modului în care funcționează un server VPN este următoarea:. De exemplu, doriți să accesați site-ul web yandex.ru. Mai precis, conectează-te la un server cu IP 77.88.21.11 (rezidenții din regiunile de est ale Rusiei pot fi trimiși la un server cu un IP diferit, dar nu acesta este ideea). Când lucrați fără VPN, computerul dvs. trimite un pachet (ați putea spune o solicitare) direct către server cu adresa 77.88.21.11 și primește un răspuns de la acesta. Când lucrați printr-un VPN, computerul dvs. trimite un pachet către serverul VPN, serverul VPN trimite exact același pachet la 77.88.21.11, 77.88.21.11 trimite un răspuns la serverul VPN (deoarece serverul VPN a fost cel care a trimis inițial cerere), iar serverul VPN trimite acest pachet pe computer.

Ce avem? Solicitările către adresa 77.88.21.11 nu sunt trimise de computerul dvs., ci de către VPN, în consecință, serverul 77.88.21.11 înregistrează adresa IP a serverului VPN, și nu computerul dvs.

Unul dintre motivele posibile pentru utilizarea unui VPN este trebuie să vă ascundeți adresa IP.

Alte utilizări - trebuie să schimbați ruta de circulație. Să luăm un exemplu din viață. Autorul acestui articol locuiește în orașul Orel (Rusia Centrală) și dorește să se conecteze la serverul yunpan.360.cn situat în Beijing. Autorul folosește (sau mai bine zis, folosea la acel moment) serviciile furnizorului de internet Beeline. După cum a arătat comanda tracert yunpan.360.cn introdusă în linia de comandă Windows, traficul de internet de ieșire către acest server chinez trece prin Statele Unite. Urma nu arată cum se întoarce traficul, dar, judecând după ping, urmează aproximativ același traseu. Mai jos este o captură de ecran din VisualRoute 2010.

Această rutare se datorează faptului că Beeline nu a plătit furnizorilor de internet backbone pentru un canal mai direct către China.

Cu această rută, apar pierderi mari de pachete, viteza este scăzută și ping-ul este uriaș.

Ce să fac? Utilizați un VPN. Acesta este un server VPN către care avem o rută directă și de la care există o rută directă către yunpan.360.cn. Eu (autorul articolului) am căutat o soluție acceptabilă foarte mult timp și până la urmă am găsit-o. Un server virtual a fost închiriat (ce este acesta va fi discutat mai târziu) în Krasnoyarsk (imaginați-vă imediat unde se află orașul Krasnoyarsk) de la un furnizor de găzduire. Urmărirea către server a arătat că traficul circula prin Rusia, ping-ul a fost de 95 ms (aveam un internet mobil LTE (4G), pe un internet prin cablu ping-ul ar fi mai mic cu 5-10 ms).

Ping– aceasta este întârzierea semnalului de Internet. Se măsoară întârzierea de trecere a traficului de internet în ambele sensuri (dus-întors). Este imposibil să măsurați întârzierea într-o singură direcție folosind mijloace standard, deoarece computerul dvs. trimite o solicitare către serverul ping și înregistrează timpul necesar pentru a ajunge răspunsul.

În urme, ping-ul către fiecare punct (la fiecare punct al rutei, altfel numit hop-hop) este afișat și pentru trafic în ambele sensuri.

Se întâmplă adesea ca traseul să fie diferit în direcții diferite.

Apoi, a fost făcută o urmă de pe serverul Krasnoyarsk la yunpan.360.cn. Ping-ul este de aproximativ 150 ms. Urmărirea a arătat că traficul de la serverul Krasnoyarsk către cel chinez trece prin interacțiune directă (interacțiune internetwork) între furnizorii Transtelecom și China Telecom.

Iată chiar această urmă (făcută din Linux):

tracepath yunpan.360.cn
1?: pmtu 1500
1: srx.optibit.ru 0,361 ms
1: srx.optibit.ru 0,381 ms
2: border-r4.g-service.ru 0.392ms
3: kyk02.transtelecom.net 0,855 ms asymm 5
4: 10.25.27.5 112.987ms asimetric 8
5: ChinaTelecom-gw.transtelecom.net 125.707ms asymm 7
6: 202.97.58.113 119.092ms asymm 7
7: 202.97.53.161 120.842ms asymm 8
8: nici un răspuns
9: 220.181.70.138 122.342ms asymm 10
10: 223.202.72.53 116.530ms asymm 11
11: 223.202.73.86 134.029ms asymm 12
12: nici un răspuns

Ce vedem? Serverul Krasnoyarsk este găzduit de optibit.ru (găzduirea este un serviciu de plasare și închiriere a capacității de server) și este conectat la furnizorul de internet „Igra-Service” (g-service.ru). „Igra-Service”, la rândul său, trimite trafic către yunpan.360.cn prin marele furnizor rusesc „Transtelecom” (pentru care îi plătește bani). TTK direcționează traficul prin conexiunea sa directă la rețeaua furnizorului chinezesc China Telecom, domeniul hop ChinaTelecom-gw.transtelecom.net ne spune acest lucru.

Să ne amintim care a fost problema noastră. Traficul nostru către acel server chinez a trecut prin SUA, viteza era mică. Ce am facut? Am instalat un VPN pe acest server Krasnoyarsk. Și mi-am configurat computerul să funcționeze prin acest server VPN. Ce s-a întâmplat? Acum, traficul către yunpan.360.cn nu a mers pe vechea rută Orel-Moscova-SUA-China, ci așa:

primul la serverul VPN – Orel-Krasnoyarsk,

apoi de la serverul VPN la Beijing - Krasnoyarsk-Beijing.

Ai înțeles ideea? Ne-am schimbat traseul. Ce a dat? Viteza conexiunii de ieșire de la mine la yunpan.360.cn a crescut. Ping-ul a fost redus. Rezultatul a fost atins.

Cum să-ți determini ruta? Pentru începători, cel mai simplu mod de a face acest lucru este să folosească programul VisualRoute, care poate fi găsit pe Internet atât sub formă licențiată, cât și sub formă hacked.

Trebuie să rulați acest program și să setați următoarele setări:

Se va dovedi astfel:

Folosind acest tabel, veți vedea prin ce țări trece traficul. Încă o dată, vă atrag atenția asupra faptului că următorul arată doar traseul traficului de ieșire (adică traficul de la computer la server). Traseul în direcția opusă poate fi afișat doar printr-o urmă făcută de la server la computer. VisualRoute are o mică eroare: apare adesea Australia(?) ca ţară când nu poate determina geopoziţia reală a nodului.

VPN– Rețea privată virtuală – o rețea privată virtuală este, s-ar putea spune, propria ta rețea pe deasupra internetului, tot traficul în care este criptat. Puteți studia această tehnologie în detaliu. Pentru a explica foarte simplu, atunci:

• computerul și serverul VPN se conectează prin Internet
• tot traficul dintre dvs. și serverul VPN este criptat
• Serverul VPN îl trimite la destinație
• IP-ul dvs. este ascuns și adresa IP a serverului VPN este vizibilă

Este recomandat să utilizați un VPN atunci când lucrați prin WiFi gratuit (sau pur și simplu al altcuiva), deoarece este posibil să interceptați tot traficul care trece prin routerul WiFi. Și atunci când utilizați un VPN, tot traficul va fi criptat. În plus, dacă accesați yandex.ru, vk.com și google.ru fără VPN, atunci conexiunile la yandex.ru, vk.com și google.ru vor fi înregistrate la nivelul routerului și al furnizorului dvs. de internet. Când utilizați un VPN, toate conexiunile merg la adresa serverului VPN.

Există multe servicii VPN plătite disponibile. Avantajele lor includ doar ușurința în utilizare. Dezavantajele includ costul ridicat și lipsa confidențialității 100% (puteți scrie mult, dar ceea ce se întâmplă de fapt pe serverul VPN, dacă traficul este interceptat, nu poate fi garantat). Imposibilitatea de a schimba adresa IP în câteva clicuri ar trebui considerată, de asemenea, un dezavantaj al serviciilor plătite.

Să comparăm costul soluției noastre auto-configurate și al serviciilor VPN plătite. Acesta din urmă a costat în jur de 300 de ruble. pe luna. Soluția noastră va costa 0,007 USD pe oră. Dacă nu folosim VPN acum, nu plătim. Dacă este folosit timp de 2 ore în fiecare zi timp de 30 de zile, această plăcere ne va costa 30-50 de ruble.

Vom face următoarele:

1. Închiriem un server pentru VPN.
2. Să instalăm un VPN pe el.
3. Le vom folosi și vom plăti numai pentru fiecare oră de utilizare reală a VPN.

Pasul 1. Inchiriere server.

Nu, nu vom închiria un server cu drepturi depline. Închiriem server virtual – VPS(server privat virtual). În multe cazuri, găzduirea site-urilor web pe Internet sau în alte scopuri (inclusiv organizarea unui VPN) nu necesită capacități mari de server, dar trebuie să personalizați sistemul de operare al serverului. Mai multe sisteme de operare nu pot rula simultan pe un singur computer (inclusiv un server, deoarece este același computer, doar de obicei mai puternic). Ce ar trebuii să fac? Mașinile virtuale vin în ajutor. Această tehnologie vă permite să rulați un sistem de operare în cadrul unui sistem de operare, ceea ce se numește virtualizare. În cazul serverelor, se creează și analogi ale mașinilor virtuale - servere virtuale.

Există mai multe tehnologii comune de virtualizare. Cele mai comune sunt OpenVZ, KVM, Xen. În linii mari, Xen și KVM își creează propria „imitație hardware”, propriul sistem de operare etc. pentru fiecare mașină virtuală. În cazul OpenVZ, se folosește un nucleu OS comun, în urma căruia unele funcții (de exemplu, efectuarea de modificări la nucleul OS) devin indisponibile sau pot fi activate sau dezactivate numai pentru toate VPS-ul simultan. VPS pe Xen și KVM sunt, de regulă, mai stabile în funcționare, dar diferența este semnificativă doar pentru proiectele mari pentru care toleranța la erori de server este critică.

VPS pe OpenVZ este întotdeauna mai ieftin, deoarece un server virtual necesită mai puține resurse. Datorită prețului mai mic, ne vom îndrepta atenția către VPS bazat pe OpenVZ.

Atenţie! Unele companii de găzduire (companii care oferă servicii de închiriere de servere) blochează în mod deliberat operarea VPN pe serverele bazate pe OpenVZ! Prin urmare, înainte de a închiria un astfel de server, trebuie să verificați cu serviciul de asistență (cu o găzduire bună ar trebui să răspundă în 15 minute, maxim o oră) dacă VPN-ul va funcționa.

Pentru a lucra pe un server VPN personal, este suficientă o configurație minimă - 256 MB de RAM și un procesor de 0,5-1 GHz. Cu toate acestea, nu toți furnizorii de găzduire oferă VPS 256 MB de RAM: mulți au un tarif minim de 512 MB de RAM. Un astfel de VPS va fi mai mult decât suficient pentru noi.

Ce alte criterii pentru alegerea unui VPS există? După cum ați înțeles deja, traficul de internet va „mergi” în mod constant de la dvs. la VPS și înapoi. Prin urmare, canalele principale trebuie să aibă o capacitate suficientă în ambele sensuri. Cu alte cuvinte, viteza conexiunii la Internet dintre computerul dvs. și VPS trebuie să fie suficientă pentru a îndeplini sarcinile de care aveți nevoie. Pentru munca confortabilă de zi cu zi, 15 Mbit/s este suficient, iar dacă intenționați să descărcați torrente prin VPN, atunci este posibil să aveți nevoie de toți 100 Mbit/s. Dar! Dacă dvs. și VPS-ul vă aflați în rețelele diferiților furnizori de internet (în special în orașe diferite), este puțin probabil ca rețelele de coloană vertebrală să se „întindă” cu mai mult de 70 Mbit/s în Rusia (sau în țara dumneavoastră) și mai mult de 50 Mbit/s. /s cu servere în Europa.

Majoritatea serviciilor de găzduire necesită plăți lunare. Este de remarcat imediat că gama de prețuri este foarte mare, cu aproximativ aceeași calitate. Vom folosi servicii cu un tarif orar: 0,007 USD pe oră de lucru a serverului nostru. Astfel, dacă folosim VPN timp de 2 ore în fiecare zi, atunci vom plăti aproximativ 30 de ruble pe lună. De acord, nu este 350 de ruble/lună pentru un serviciu VPN plătit!

În primul rând, trebuie să accesați site-ul web și să vă înregistrați:

În continuare, se va deschide o pagină în care trebuie să introduceți detaliile cardului dvs. bancar. Fără aceasta, sistemul nu va funcționa și nu vă va permite să profitați de bonusul de 10 dolari (mai multe despre asta mai târziu). Puteți specifica orice date, sistemul va „mânca” date false.

În acest caz, o sumă de câteva ruble poate fi blocată pe cardul dvs., care va fi apoi returnată. Debitările de pe cardul dumneavoastră se vor baza doar pe faptul că utilizați serverele.

Ce să faci dacă nu ai card bancar? Ia-ți unul, îți oferă automat un card virtual, al cărui sold este egal cu soldul portofelului tău. Poți să-ți încarci portofelul aproape oriunde, vezi.

Cu toate acestea, dacă introduceți detaliile cardului dvs. Qiwi în DigitalOcean, sistemul le va scuipa, invocând faptul că DigitalOcean nu funcționează cu carduri preplătite și virtuale. În acest caz, trebuie să vă reîncărcați soldul cu 5 USD prin PayPal, plătind cu un card Qiwi.

După toate acestea, pe aceeași pagină din contul personal DigitalOcean, introduceți codul promoțional PICĂRĂ10, care ne creditează cu 10 dolari, pe care îi putem folosi integral pe servere fără teama de taxe suplimentare de pe cardul nostru.

Gata! Acum să trecem la crearea unui VPS. Urmărește tutorialul video:

Când creați un server, alegeți Ubuntu OS versiunea 14.04, și nu unul mai nou, incl. nu selectați 16.04.

Notă. Pentru majoritatea rezidenților din Rusia și țările CSI, Amsterdam sau Frankfurt vor fi potrivite (ping-ul către Frankfurt în majoritatea cazurilor va fi puțin mai mic decât către Amsterdam). Recomand locuitorilor din Orientul Îndepărtat rusesc să testeze Singapore și să compare performanța cu serverele europene.

Locația serverelor în străinătate vă va permite să utilizați un VPN pentru a ocoli interdicțiile guvernamentale de a vizita anumite site-uri (dacă acest lucru este relevant pentru dvs.).

DigitalOcean include 1 terabyte (1024 GB) de trafic în preț (vezi). Pentru majoritatea oamenilor acest lucru va fi suficient. Alți furnizori de găzduire au trafic nelimitat în mod formal, dar acesta devine neprofitabil pentru ei odată ce pragul de 1-2 TB/lună este atins.

Gata, am comandat VPS. Felicitări. Acum este timpul să trecem la configurarea acestuia.

Pasul 2. Configurarea unui VPN.

Nu vă lăsați intimidați, procesul de configurare a propriului VPN este la fel de ușor ca doi doi!

În tutorialul video de mai sus, ne-am conectat la serverul nostru folosind Putty. Acum să continuăm.

Copiați și inserați (făcând clic dreapta pe mouse, așa cum am făcut în tutorialul video) comanda:

Acum copiați și inserați următoarele în fereastra de editare a fișierelor care se deschide:

Apăsați Ctrl+O, apoi Enter.

Apăsați Ctrl+X.

Copiați și lipiți comanda:

Introduceți 1 și apăsați Enter. Așteptăm. Conform solicitărilor sistemului, introduceți autentificarea dorită și apăsați Enter. La fel si cu parola. Pentru întrebările „[Y]/[N]”, introduceți Y și apăsați Enter. După finalizarea configurării, vor fi afișate datele de conectare și parola și adresa IP a serverului.

Gata! VPN este configurat!

Acum deschideți Centrul de rețea și partajare Windows:

Selectați setările pentru o nouă conexiune:

Selectați „Conectați-vă la un loc de muncă”:

Așteptăm puțin. Acum lucrăm prin VPN! Pentru a vă asigura de acest lucru, accesați și asigurați-vă că adresa noastră IP afișată nouă se potrivește cu adresa IP a VPS-ului nostru.

Acum atentie! Prin contul nostru personal DigitalOcean, putem dezactiva VPS-ul nostru (picătură în terminologia DigitalOcean), cu toate acestea, chiar și pentru un server în starea oprită, fondurile sunt anulate la rata standard. Așa că vom face backup la serverul nostru, îl vom șterge și, când vom avea din nou nevoie de VPN, îl vom restaura din backup!

Să trecem la managementul serverului (panoul de control DigitalOcean se află la cloud.digitalocean.com, îl poți introduce prin butonul de autentificare de pe pagina principală a digitalocean.com din colțul din dreapta sus).

Trebuie să creăm o copie de rezervă (instantanee) a VPS-ului nostru. Dar pentru a face acest lucru, mai întâi trebuie să-l opriți.

Așteptăm aproximativ un minut până când serverul se oprește. Apoi accesați secțiunea Instantanee, introduceți un nume personalizat pentru instantaneu și creați-l:

Pentru fiecare gigabyte de „greutate” al VPS-ului nostru, se vor percepe 2 cenți la crearea unui instantaneu. Crearea unei copii de rezervă (instantanee) va dura câteva minute.

Acum ștergem serverul:

Toate! Nu vor mai fi debitați bani de la noi.

Ce să faci când ai nevoie din nou de un VPN

Trebuie să creăm un nou VPS din backup-ul făcut anterior.

Faceți clic pe „creați picătură”:

Acum, ca și înainte, introduceți orice nume de server cu litere latine fără spații, selectați primul tarif minim, regiunea trebuie să fie aceeași, la fel cu cel în care aveam anterior un server.

Chiar mai jos, faceți clic pe numele fotografiei pe care am făcut-o (era gri, dar ar trebui să devină albastru):

...și faceți clic pe butonul verde mare „Creați picătură”.

Așteptăm aproximativ un minut.

Să vedem dacă adresa IP a serverului nostru se potrivește cu cea anterioară. Dacă da, atunci în Windows pur și simplu reluăm conexiunea creată anterior:

Dacă nu, faceți clic dreapta pe numele conexiunii noastre și schimbați adresa IP cu una nouă:

Introduceți noul IP și faceți clic pe „OK”:

Atenţie! Acum, pentru a dezactiva VPN-ul, nu trebuie să facem o copie de rezervă, pur și simplu ștergem serverul imediat și data viitoare vom restabili totul din vechiul instantaneu. Nu este necesar să închideți serverul înainte de ștergere. Pentru orice eventualitate, aceasta este procedura din capturi de ecran:

Am eliminat VPS-ul în timp ce nu folosim VPN-ul. Acum să-l restaurăm din vechiul instantaneu:

Din nou, verificăm dacă vechiul IP este încă acolo și continuăm să funcționeze.

Pe același server (sau altul) vă puteți ridica proxy-ul personal, de exemplu, la baza de software 3proxy, dar nu acesta este subiectul acestui articol.

Ați găsit o greșeală de scriere? Apăsați Ctrl + Enter

Organizarea canalelor între rețelele de la distanță printr-o conexiune VPN este unul dintre cele mai populare subiecte de pe site-ul nostru. În același timp, după cum arată răspunsul cititorului, cele mai mari dificultăți sunt cauzate de configurarea corectă a rutei, deși am acordat în mod special atenție acestui punct. După ce am analizat cele mai frecvente întrebări, am decis să dedicăm un articol separat subiectului rutare. Ai întrebări? Sperăm că după citirea acestui material vor fi mai puțini.

În primul rând, să ne dăm seama despre ce este vorba rutare. Rutarea este procesul de determinare a rutei pe care trebuie să o urmeze informațiile în rețelele de comunicații. Să fim sinceri, acest subiect este foarte profund și necesită o cantitate solidă de cunoștințe teoretice, așa că în acest articol vom simplifica în mod deliberat imaginea și vom atinge teoria exact în măsura în care va fi suficientă pentru a înțelege procesele care au loc și pentru a obține practici practice. rezultate.

Să luăm o stație de lucru arbitrară conectată la rețea, cum determină ea unde să trimită acest sau acel pachet? În acest scop este destinat tabel de rutare, care conține o listă de reguli pentru toate destinațiile posibile. Pe baza acestui tabel, gazda (sau routerul) decide ce interfață și adresa de destinație să trimită un pachet adresat unui anumit destinatar.

Imprimare traseu

Ca urmare, vom vedea următorul tabel:

Totul este foarte simplu, ne interesează secțiunea Tabel de rute IPv4, primele două coloane conțin adresa de destinație și masca de rețea, urmate de gateway - nodul către care ar trebui să fie redirecționate pachetele pentru destinația, interfața și metrica specificate. Dacă în coloană Poarta de acces indicat Pe link, aceasta înseamnă că adresa de destinație se află în aceeași rețea cu gazda și este accesibilă fără rutare. Metrici determină prioritatea regulilor de rutare dacă adresa de destinație are mai multe reguli în tabelul de rută, atunci se folosește cea cu metrica inferioară.

Stația noastră de lucru aparține rețelei 192.168.31.0 și, conform tabelului de rute, toate solicitările către această rețea sunt trimise către interfața 192.168.31.175, care corespunde adresei de rețea a acestei stații. Dacă adresa de destinație se află în aceeași rețea cu adresa sursă, atunci informațiile sunt livrate fără a utiliza rutarea IP (nivelul de rețea L3 al modelului OSI), la nivelul de legătură de date (L2). În caz contrar, pachetul este trimis către gazda specificată în regula corespunzătoare tabelului de rutare a rețelei de destinație.

Dacă nu există o astfel de regulă, atunci pachetul este trimis prin ruta zero, care conține adresa gateway-ului implicit al rețelei. În cazul nostru, aceasta este adresa routerului 192.168.31.100. Această rută se numește zero deoarece adresa de destinație este 0.0.0.0. Acest punct este foarte important pentru înțelegerea ulterioară a procesului de rutare: toate pachetele care nu aparțin acestei rețeleși neavând rute separate, Mereu sunt trimise poarta principală retelelor.

Ce va face routerul când va primi un astfel de pachet? În primul rând, să ne dăm seama cum diferă un router de o stație de rețea obișnuită. În termeni extrem de simplificați, un router este un dispozitiv de rețea care este configurat să transmită pachete între interfețele de rețea. Pe Windows, acest lucru se realizează prin activarea serviciului Rutare și acces la distanță, în Linux prin setarea opțiunii ip_forward.

Decizia de a transmite pachete în acest caz se ia și pe baza tabelului de rutare. Să vedem ce conține acest tabel pe cel mai comun router, de exemplu, cel pe care l-am descris în articol:. Pe sistemele Linux, puteți obține tabelul de rute cu comanda:

Traseul -n

După cum puteți vedea, routerul nostru conține rute către rețelele cunoscute 192.168.31.0 și 192.168.3.0, precum și o rută nulă către gateway-ul din amonte 192.168.3.1.

Adresa 0.0.0.0 din coloana Gateway indică faptul că adresa de destinație este accesibilă fără rutare. Astfel, toate pachetele cu adrese de destinație din rețelele 192.168.31.0 și 192.168.3.0 vor fi trimise către interfața corespunzătoare, iar toate celelalte pachete vor fi redirecționate de-a lungul rutei nule.

Următorul punct important sunt adresele rețelelor private (private), acestea sunt, de asemenea, „gri” și includ trei intervale:

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

Aceste adrese pot fi folosite liber de oricine și, prin urmare, ei nu dirijate. Ce înseamnă? Orice pachet cu o adresă de destinație aparținând uneia dintre aceste rețele va fi aruncat de către router, cu excepția cazului în care are o intrare separată în tabelul de rutare. Pur și simplu, ruta implicită (nulă) pentru astfel de pachete nu este utilizată de router. De asemenea, trebuie înțeles că această regulă se aplică numai la rutare, adică. La transmiterea pachetelor între interfețe, un pachet de ieșire cu o adresă „gri” va fi trimis de-a lungul rutei nule, chiar dacă acest nod este el însuși un router.

De exemplu, dacă routerul nostru primește un pachet de intrare cu o destinație, să zicem, 10.8.0.1, acesta va fi renunțat, deoarece o astfel de rețea este necunoscută și adresele din acest interval nu sunt direcționate. Dar dacă accesăm același nod direct de pe router, pachetul va fi trimis pe ruta zero către gateway-ul 192.168.3.1 și va fi aruncat de acesta.

Este timpul să verificați cum funcționează totul. Să încercăm să facem ping nodul 192.168.3.106, care se află în rețeaua din spatele routerului, de la nodul nostru 192.168.31.175. După cum puteți vedea, am reușit, deși tabelul de rute al gazdei nu conține nicio informație despre rețeaua 192.168.3.0.

Cum a devenit posibil acest lucru? Deoarece nodul sursă nu știe nimic despre rețeaua de destinație, va trimite pachetul la adresa gateway-ului. Gateway-ul își va verifica tabelul de rute, va găsi acolo o intrare pentru rețeaua 192.168.3.0 și va trimite pachetul la interfața corespunzătoare. Puteți verifica cu ușurință acest lucru rulând comanda trace, care va afișa întreaga cale a pachetului nostru:

Tracert 192.168.3.106

Acum să încercăm să facem ping nodul 192.168.31.175 de la nodul 192.168.3.106, i.e. în sens invers. La noi nu a mers. De ce?

Să aruncăm o privire mai atentă la tabelul de rutare. Nu conține nicio intrare pentru rețeaua 192.168.31.0, deci pachetul va fi trimis către routerul 192.168.3.1, ca gateway principal al rețelei, care va elimina acest pachet, deoarece nu are date despre rețeaua de destinație. . Ce ar trebuii să fac? Evident că pachetul trebuie trimis către nodul care conține informațiile necesare și poate redirecționa pachetul la destinație, în cazul nostru acesta este routerul 192.168.31.100, care în această rețea are adresa 192.168.3.108.

Pentru ca pachetele pentru rețeaua 192.168.31.0 să fie trimise în mod specific către aceasta, trebuie să creăm o rută separată.

192.168.31.0 masca 255.255.255.0 192.168.3.108

Pe viitor ne vom ține de această notație a rutelor, ce înseamnă? Este simplu, pachetele pentru rețeaua 192.168.31.0 cu masca 255.255.255.0 ar trebui trimise la nodul 192.168.3.108. Pe Windows, puteți adăuga o rută cu comanda:

Traseu adăugați 192.168.31.0 mască 255.255.255.0 192.168.3.108

Adăugarea rutei -net 192.168.31.0 mască de rețea 255.255.255.0 gw 192.168.3.108

Sa incercam.

Să analizăm rezultatul, în tabelul de rutare a apărut o rută și toate pachetele către rețeaua 192.168.31.0 sunt acum trimise către routerul acestei rețele, așa cum se poate observa din răspunsul comenzii ping, dar nu ajung la destinație. Ce s-a întâmplat? Este timpul să ne amintim că una dintre sarcinile principale ale unui router nu este doar rutarea, ci și funcția firewall, care interzice în mod clar accesul din rețeaua externă în interior. Dacă înlocuim temporar această regulă cu una permisivă, atunci totul va funcționa.

Rutele adăugate de comenzile de mai sus sunt salvate până când nodul este repornit, acest lucru este convenabil, chiar dacă ați încurcat mult, trebuie doar să reporniți pentru a anula modificările făcute. Pentru a adăuga o rută permanentă în Windows, executați comanda:

Traseu adăugați 192.168.31.0 mască 255.255.255.0 192.168.3.108 -p

În Linux /etc/network/interfaces, după descrierea interfeței, ar trebui să adăugați:

Adăugarea traseului post-up -net 192.168.31.0 netmask 255.255.255.0 gw 192.168.3.108

Apropo, aceasta nu este singura modalitate de a configura accesul de la rețeaua 192.168.3.0 la rețeaua 192.168.31.0, în loc să adăugați o rută pentru fiecare nod, puteți „învăța” routerul să trimită corect pachetele.

În acest caz, nodul sursă nu are înregistrări despre rețeaua de destinație și va trimite pachetul către gateway Ultima dată când gateway-ul a aruncat un astfel de pachet, dar acum am adăugat ruta dorită la tabelul său de rutare și va trimite. pachet la nodul 192.168.3.108, care îl va livra la destinație.

Vă recomandăm cu tărie să exersați dvs. folosind exemple similare, astfel încât rutarea să înceteze să fie o cutie neagră pentru dvs., iar rutele să înceteze să mai fie un script chinezesc. Odată ce înțelegerea apare, puteți trece la a doua parte a acestui articol.

Acum să ne uităm la exemple reale de combinare a rețelelor de birouri printr-o conexiune VPN. În ciuda faptului că OpenVPN este folosit cel mai des în aceste scopuri și în exemplele noastre ne referim și la soluții bazate pe acesta, tot ceea ce s-a spus va fi adevărat pentru orice tip de conexiune VPN.

Cel mai simplu caz este atunci când serverul VPN (clientul) și routerul de rețea sunt situate pe aceeași gazdă. Luați în considerare diagrama de mai jos:

Deoarece, sperăm, ați învățat teoria și ați consolidat-o în practică, să analizăm ruta pachetelor de la rețeaua de birou 192.168.31.0 la rețeaua de filiale 192.168.44.0, un astfel de pachet va fi trimis către gateway-ul implicit, care este de asemenea, un server VPN. Cu toate acestea, acest nod nu știe nimic despre rețeaua de destinație și va trebui să arunce acest pachet. În același timp, putem contacta deja routerul de sucursală la adresa sa din rețeaua VPN 10.8.0.2, deoarece această rețea este accesibilă de la routerul de birou.

Pentru a obține acces la o rețea de sucursală, trebuie să livrăm pachete pentru acea rețea la un nod care face parte din acea rețea sau are o rută către aceasta. În cazul nostru, acesta este routerul de ramură. Prin urmare, pe routerul de birou adăugăm ruta:

Acum gateway-ul de birou, după ce a primit pachetul pentru rețeaua de filiale, îl va trimite prin canalul VPN către routerul de sucursală, care, fiind un nod de rețea 192.168.44.0, va livra pachetul la destinație. Pentru a accesa de la rețeaua de filiale la rețeaua de birouri, trebuie să înregistrați o rută similară pe routerul de filiale.

Să luăm o schemă mai complicată, când routerul și serverul VPN (clientul) sunt noduri de rețea diferite. Există două opțiuni aici: transferați pachetul necesar direct pe serverul VPN (client) sau forțați gateway-ul să facă acest lucru.

Să ne uităm mai întâi la prima opțiune.

Pentru ca pachetele pentru rețeaua de filiale să ajungă în rețeaua VPN, trebuie să adăugăm o rută către serverul VPN (client) fiecărui client de rețea, altfel acestea vor fi trimise către gateway, care le va renunța:

Cu toate acestea, serverul VPN nu știe nimic despre rețeaua de sucursale, dar poate trimite pachete în cadrul rețelei VPN unde se află nodul rețelei de sucursale care ne interesează, așa că vom trimite pachetul acolo adăugând o rută pe serverul VPN ( client):

192.168.44.0 masca 255.255.255.0 10.8.0.2

Dezavantajul acestei scheme este necesitatea de a înregistra rute pe fiecare nod de rețea, ceea ce nu este întotdeauna convenabil. Poate fi folosit dacă există puține dispozitive în rețea sau este necesar un acces selectiv. În alte cazuri, ar fi mai potrivit să se delege sarcina de rutare către routerul principal al rețelei.

În acest caz, dispozitivele rețelei de birou nu știu nimic despre rețeaua de filiale și vor trimite pachete pentru aceasta prin ruta nulă, gateway-ul de rețea. Acum sarcina gateway-ului este să redirecționeze acest pachet către serverul VPN (client), acest lucru se poate face cu ușurință prin adăugarea rutei dorite la tabelul său de rutare:

192.168.44.0 masca 255.255.255.0 192.168.31.101

Am menționat mai sus sarcina serverului VPN (client), acesta trebuie să livreze pachete către nodul rețelei VPN care face parte din rețeaua de destinație sau are o rută către aceasta.

192.168.44.0 masca 255.255.255.0 10.8.0.2

Pentru a accesa de la rețeaua de sucursale la rețeaua de birouri, va trebui să adăugați rute adecvate la nodurile rețelei de sucursale. Acest lucru se poate face în orice mod convenabil, nu neapărat în același mod în care se face la birou. Un exemplu simplu din viața reală: toate computerele dintr-o sucursală trebuie să aibă acces la rețeaua de birou, dar nu toate computerele din birou trebuie să aibă acces la sucursala. În acest caz, în filială adăugăm o rută către serverul VPN (client) de pe router, iar în birou o adăugăm doar la computerele necesare.

În general, dacă înțelegeți cum funcționează rutarea și cum sunt luate deciziile de redirecționare a pachetelor și știți să citiți un tabel de rutare, atunci configurarea rutelor corecte nu ar trebui să fie dificilă. Sperăm că după ce ați citit acest articol nici nu le veți avea.

• Etichete: