Hợp nhất các văn phòng doanh nghiệp dựa trên công nghệ VPN. Mạng VPN dựa trên công nghệ MPLS

Quy mô cộng hòa dành cho nhu cầu của một doanh nghiệp cỡ trung bình. Đừng tìm hướng dẫn về công nghệ VPN ở đây - không có hướng dẫn nào ở đây cả, có những hướng dẫn chuyên biệt về điều đó, có sẵn ở dạng điện tử và in. Tôi sẽ chỉ cố gắng đưa ra ý tưởng, sử dụng một ví dụ thực tế, về loại VPN “quái thú” này và chỉ ra các tính năng của việc xây dựng cơ sở hạ tầng như vậy trong điều kiện của chúng tôi, đồng thời tóm tắt kinh nghiệm của tôi trong lĩnh vực này. Tất cả những gì tôi nói không hề tự nhận là sự thật tối thượng mà chỉ phản ánh quan điểm của riêng tôi.

Tại sao điều này là cần thiết?

Vì vậy, các điều kiện ban đầu như sau: tổ chức của bạn có một số chi nhánh nằm cách xa nhau trong cùng một thành phố hoặc thậm chí ở các thành phố khác nhau của đất nước. Thoạt nhìn, bạn đã được giao một nhiệm vụ hoàn toàn tuyệt vời: hợp nhất các mạng lưới chi nhánh địa phương thành một mạng lưới toàn cầu; để mỗi máy tính có thể truy cập vào một máy tính khác trên mạng này, bất kể nó nằm ở đâu - ở phòng bên cạnh hay cách xa hàng nghìn km. Đôi khi điều kiện của nhiệm vụ trông khác: cung cấp quyền truy cập vào một tài nguyên nhất định của một nhánh từ các máy tính trong mạng của các nhánh khác (nhưng bản chất của vấn đề không thay đổi).

Và làm thế nào để làm điều này?

Điều này được thực hiện bằng công nghệ VPN. Nói một cách đơn giản, một mạng logic được “ném” lên trên các mạng riêng lẻ của bạn, các thành phần riêng lẻ (tức là các nhánh) của chúng có thể được kết nối với nhau theo nhiều cách khác nhau: qua các kênh công cộng (Internet), qua kênh thuê riêng, qua một mạng không dây. Kết quả là một mạng đồng nhất bao gồm các thành phần không đồng nhất.

Rõ ràng là không thể cân nhắc phương án tự mình đặt kênh do các điều kiện đã đặt ra; sẽ không ai cho phép bạn chạy cáp trên toàn thành phố và đây là một công việc bạc bẽo. Vì vậy, không còn cách nào khác ngoài việc liên hệ với nhà cung cấp dịch vụ viễn thông, hay đơn giản hơn là nhà cung cấp. Chọn nhà cung cấp là một chủ đề thảo luận riêng biệt nằm ngoài phạm vi của bài viết này. Người ta chỉ cần lưu ý rằng mọi thứ sẽ phụ thuộc vào một số yếu tố, trong đó quan trọng nhất là khối lượng dịch vụ được cung cấp và chất lượng liên lạc. Giá truyền dữ liệu sẽ có tầm quan trọng không nhỏ và ở đây bạn cần chọn mức trung gian giữa giá cả và chất lượng. Vì mỗi người đều đặt ra tiêu chuẩn này cho riêng mình (đối với một số người, cả giờ không liên lạc không phải là vấn đề, nhưng đối với những người khác, năm phút ngừng hoạt động sẽ giống như một thảm kịch), nên không thể khuyên bất cứ điều gì ở đây.

Ở giai đoạn này, bạn cần ngồi xuống và xem xét cẩn thận những chi nhánh nào của tổ chức của bạn sẽ được đưa vào mạng. Nếu có nhiều hơn hai hoặc ba, để rõ ràng, bạn thậm chí có thể vẽ sơ đồ có dấu hiệu cho biết địa chỉ và địa chỉ liên hệ của từng chi nhánh. Nếu bạn cần tổ chức một mạng phân tán trong một thành phố, bạn thường có nhiều lựa chọn kết nối từ các nhà cung cấp khác nhau. Trong trường hợp của tôi, cần phải kết hợp một số mạng lưới ở các thành phố khác nhau trong khu vực; ở đây, như họ nói, không có lựa chọn nào - bạn phải chuyển sang công ty độc quyền Kazakhstantelecom, nhà cung cấp toàn cầu duy nhất loại hình liên lạc này trên khắp Cộng hòa Kazakhstan. Ở phần sau của bài viết, tôi sẽ coi việc kết nối cụ thể thông qua Kazakhstantelecom là cách phổ biến nhất; việc điều chỉnh các đề xuất cho một nhà cung cấp cụ thể sẽ không khó.

Tính đến tháng 3 năm 2017, tỷ lệ vị trí tuyển dụng cho công việc có quyền truy cập từ xa được đăng trên hh.ru là 1,5% tương đương 13.339 vị trí tuyển dụng. Trong năm số lượng của họ tăng gấp đôi. Năm 2014, số lượng lao động ở xa ước tính khoảng 600 nghìn người, tương đương 1% dân số hoạt động kinh tế (15–69 tuổi). J"son & Partners Consulting dự đoán đến năm 2018, khoảng 20% ​​tổng số người Nga đang làm việc sẽ làm việc từ xa. Ví dụ, vào cuối năm 2017, Beeline có kế hoạch chuyển từ 50% đến 70% nhân viên của mình sang làm việc từ xa.

Tại sao các công ty chuyển nhân viên sang làm việc từ xa:

• Giảm chi phí thuê và duy trì nơi làm việc của công ty.
• Không bị ràng buộc vào một địa điểm giúp có thể tập hợp một nhóm
  dự án, không bao giờ có thể được thu thập trong một thành phố. Một lợi thế nữa là khả năng sử dụng lao động rẻ hơn.
• Đáp ứng nhu cầu của người lao động liên quan đến hoàn cảnh gia đình của họ.

Chúng tôi đã phát hiện ra nhu cầu về VPN hơn 10 năm trước. Đối với chúng tôi, động lực cung cấp quyền truy cập VPN cho nhân viên là khả năng truy cập nhanh chóng vào mạng công ty từ mọi nơi trên thế giới và vào bất kỳ thời điểm nào trong ngày hay đêm.

Con đường lựa chọn giải pháp VPN lý tưởng

Có khá nhiều giải pháp khả thi. Thông thường, quyết định nên được đưa ra dựa trên thiết bị và phần mềm nào đã được sử dụng trong công ty và quản trị viên hệ thống có kỹ năng cấu hình phần mềm nào. Tôi sẽ bắt đầu với những gì chúng tôi đã từ chối ngay lập tức, sau đó tôi sẽ cho bạn biết những gì chúng tôi đã cố gắng và những gì cuối cùng chúng tôi đã giải quyết.

VPN trong bộ định tuyến

Có rất nhiều cái gọi là “giải pháp Trung Quốc” trên thị trường. Hầu như mọi bộ định tuyến đều có chức năng của máy chủ VPN tích hợp. Thông thường đây là chức năng bật/tắt đơn giản và thêm thông tin đăng nhập và mật khẩu cho người dùng, đôi khi tích hợp với máy chủ Radius. Tại sao chúng ta không xem xét một giải pháp như vậy? Trước hết, chúng tôi nghĩ đến sự an toàn và tính liên tục của dịch vụ. Các phần cứng tương tự không thể tự hào về khả năng bảo vệ đáng tin cậy (các bản cập nhật chương trình cơ sở thường rất hiếm khi được phát hành hoặc hoàn toàn không được phát hành) và độ tin cậy trong hoạt động của chúng còn nhiều điều chưa được mong đợi.

Lớp doanh nghiệp VPN

Nếu bạn nhìn vào quảng trường Gartner, các vị trí dẫn đầu trên thị trường VPN từ lâu đã thuộc về các công ty sản xuất thiết bị mạng. Juniper, Cisco, Check Point: tất cả họ đều có giải pháp toàn diện bao gồm dịch vụ VPN.

Có lẽ có hai nhược điểm đối với các giải pháp như vậy. Điều đầu tiên và chính là chi phí cao. Thứ hai, tốc độ đóng các lỗ hổng còn nhiều điều chưa được mong đợi và nếu bạn không trả phí hỗ trợ hàng năm thì bạn không nên mong đợi các bản cập nhật bảo mật. Cách đây không lâu, điểm thứ ba đã xuất hiện - dấu trang được tích hợp sẵn trong phần mềm của các nhà cung cấp mạng lớn.

Microsoft VPN

10 năm trước, chúng tôi là công ty ưu tiên Windows. Microsoft cung cấp giải pháp miễn phí cho những người đã xây dựng toàn bộ cơ sở hạ tầng trên cơ sở của mình. Trong những trường hợp đơn giản, việc thiết lập không khó ngay cả đối với quản trị viên hệ thống mới làm quen. Trong trường hợp của chúng tôi, chúng tôi muốn tận dụng tối đa VPN về mặt bảo mật, vì vậy việc sử dụng mật khẩu đã bị loại trừ. Đương nhiên, chúng tôi muốn sử dụng chứng chỉ thay vì mật khẩu và sử dụng sản phẩm Rutoken EDS của mình để lưu trữ cặp khóa. Để triển khai dự án, chúng tôi cần: bộ điều khiển miền, máy chủ bán kính và cơ sở hạ tầng PKI được cài đặt và định cấu hình đúng cách. Tôi sẽ không đi sâu vào việc thiết lập một cách chi tiết; có rất nhiều thông tin về những vấn đề này trên Internet và việc thiết lập PKI chính xác thường có thể cần đến hàng tá bài viết. Giao thức đầu tiên chúng tôi sử dụng ở nhà là giao thức PPTP. Trong một thời gian dài, tùy chọn VPN này đã phù hợp với chúng tôi, nhưng cuối cùng chúng tôi phải từ bỏ nó vì hai lý do: PPTP không hoạt động ở mọi nơi và chúng tôi bắt đầu sử dụng không chỉ Windows mà còn cả các hệ điều hành khác. Vì vậy, chúng tôi bắt đầu tìm kiếm các lựa chọn thay thế. Xin lưu ý rằng gần đây Apple đã ngừng hỗ trợ PPTP. Để bắt đầu, chúng tôi quyết định xem Microsoft cung cấp những giao thức nào khác. SSTP/L2TP. SSTP vẫn ổn với chúng tôi, ngoại trừ việc nó chỉ hoạt động trên Windows. L2TP không có nhược điểm này, nhưng việc thiết lập và duy trì nó hoạt động có vẻ khá tốn kém đối với chúng tôi và chúng tôi quyết định thử các giải pháp thay thế. Tôi muốn một giải pháp đơn giản hơn cho cả người dùng và quản trị viên.

OpenVPN

Chúng tôi tại Aktiv chân thành yêu thích nguồn mở. Khi lựa chọn giải pháp thay thế cho Microsoft VPN, chúng tôi không thể bỏ qua giải pháp OpenVPN. Ưu điểm chính đối với chúng tôi là giải pháp này hoạt động tốt trên tất cả các nền tảng. Việc nâng cấp máy chủ trong một trường hợp đơn giản khá đơn giản. Bây giờ, bằng cách sử dụng docker và một hình ảnh làm sẵn chẳng hạn, việc này có thể được thực hiện trong vài phút. Nhưng chúng tôi muốn nhiều hơn nữa. Chúng tôi muốn thêm tính năng tích hợp với Microsoft CA vào dự án để sử dụng các chứng chỉ đã cấp trước đó. Chúng tôi muốn thêm hỗ trợ cho các mã thông báo mà chúng tôi sử dụng. Ví dụ: cách thiết lập sự kết hợp giữa OpenVPN và mã thông báo trong bài viết này. Việc thiết lập tích hợp Microsoft CA và OpenVPN đã khó hơn nhưng nhìn chung cũng khá khả thi. Chúng tôi đã sử dụng giải pháp thu được trong khoảng ba năm, nhưng trong suốt thời gian này, chúng tôi tiếp tục tìm kiếm những lựa chọn thuận tiện hơn. Tính năng chính mà chúng tôi có được khi chuyển sang OpenVPN là quyền truy cập từ bất kỳ HĐH nào. Nhưng vẫn còn hai khiếu nại nữa: nhân viên công ty phải trải qua 7 vòng địa ngục của Microsoft CA để cấp chứng chỉ và quản trị viên vẫn phải duy trì cơ sở hạ tầng VPN khá phức tạp.

VPN Rutoken

Chúng tôi có kiến ​​thức về cách sử dụng mã thông báo trên bất kỳ hệ điều hành nào, chúng tôi hiểu cách chuẩn bị cơ sở hạ tầng PKI đúng cách, chúng tôi biết cách định cấu hình các phiên bản OpenVPN khác nhau và chúng tôi có các công nghệ cho phép chúng tôi quản lý tất cả điều này trong một cách thân thiện với người dùng từ cửa sổ trình duyệt. Đây là cách nảy sinh ý tưởng cho một sản phẩm mới.

Thiết lập Rutoken VPN

Chúng tôi thực sự đã cố gắng làm cho việc thiết lập trở nên đơn giản và dễ hiểu. Toàn bộ quá trình thiết lập chỉ mất vài phút và được triển khai như một trình hướng dẫn thiết lập ban đầu. Bước đầu tiên là định cấu hình cài đặt mạng của thiết bị; tôi nghĩ các bình luận ở đây sẽ không cần thiết.

Ở bước thứ hai, bạn cần nhập tên công ty và đợi vài phút trong khi thiết bị định cấu hình tổ chức phát hành chứng chỉ tích hợp.

Bước thứ ba là tự cấu hình dịch vụ VPN. Chỉ định IP bên ngoài mà kết nối sẽ diễn ra. Chọn loại mã hóa và địa chỉ mạng.

Bước cấu hình thứ tư là tạo người dùng cục bộ hoặc thêm họ từ AD

Tài khoản cá nhân của nhân viên

Tùy thuộc vào hệ điều hành và trình duyệt của nhân viên, bạn sẽ cần cài đặt plugin và tiện ích mở rộng trình duyệt cần thiết để hoạt động với mã thông báo.

Sau khi cài đặt plugin/tiện ích mở rộng, tất cả những gì chúng ta phải làm là tạo chứng chỉ cho Rutoken EDS của mình.

Và cài đặt máy khách cho hệ điều hành mong muốn:

Mọi chuyện diễn ra như thế nào?

Một chút về phần cứng. Ban đầu, chúng tôi đã suy nghĩ rất lâu về việc sử dụng “cơ sở” nào cho giải pháp của mình, vì cần duy trì sự cân bằng giữa chi phí, sự tiện lợi và hiệu suất. Sau khi nghiên cứu những gì được cung cấp trên thị trường, chúng tôi đã đưa ra hai lựa chọn để triển khai và phân phối thêm giải pháp:

• x86 (Doanh nghiệp) là giải pháp phần mềm được cung cấp cho người dùng cuối dưới dạng hình ảnh máy ảo có thể được triển khai trong cơ sở hạ tầng CNTT của họ.

• Raspberry Pi đã là một máy vi tính khá nổi tiếng, có hiệu năng khá tốt với chi phí không quá cao và có thể được sử dụng làm máy chủ VPN trong vòng 10 phút sau khi nó được lấy ra khỏi hộp theo đúng nghĩa đen.

Vì vậy, bây giờ hãy xem giải pháp của chúng tôi hoạt động như thế nào. Trước hết, tôi muốn nhắc bạn rằng chúng tôi đã triển khai xác thực hai yếu tố. Các mã thông báo do chính chúng tôi sản xuất, cũng như phần mềm để làm việc với chúng, được sử dụng làm vật mang khóa và chứng chỉ riêng của khách hàng.

Nhưng ban đầu, chúng ta vẫn cần định cấu hình các dịch vụ cần thiết để sản phẩm hoạt động chính xác. Các dịch vụ hiện được các chuyên gia của công ty chúng tôi cấu hình ở chế độ bán tự động. Điều này có nghĩa là quá trình triển khai phần mềm và cài đặt ban đầu được tự động hóa, nhưng việc khởi tạo quá trình này vẫn là đặc quyền của con người. Trong quá trình thiết lập ban đầu, các gói hệ thống, python, django, OpenVPN, giám sát, OpenSSL, v.v. sẽ được cài đặt.

Cái gì tiếp theo? Tiếp theo, bạn cần định cấu hình toàn bộ cơ sở hạ tầng, cơ sở thực sự chịu trách nhiệm về bảo mật nói chung. Cụ thể: CA (cơ quan cấp chứng chỉ), PKI (cơ sở hạ tầng khóa công khai), viết ra các khóa và chứng chỉ cần thiết.

Việc tạo PKI và CA, cũng như việc hình thành tệp cấu hình máy chủ OpenVPN, việc tạo khóa và cấp chứng chỉ được thực hiện sau khi sản phẩm được chuyển đến máy khách. Nhưng điều này không có nghĩa là để làm được điều này, bạn cần phải có một số kiến ​​​​thức cụ thể và quyền truy cập trực tiếp vào hệ điều hành. Mọi thứ đều được triển khai theo logic nghiệp vụ của phần phụ trợ của hệ thống quản trị, quyền truy cập được cung cấp thông qua giao diện Web. Máy khách chỉ được yêu cầu nhập một bộ thuộc tính tối thiểu (được mô tả ở trên), sau đó quá trình khởi tạo PKI và tạo CA bắt đầu. Không có điểm cụ thể nào trong việc mô tả các lệnh gọi cụ thể đến các lệnh hệ thống, vì mọi thứ đã được mô tả và nhai kỹ trước mắt chúng ta từ lâu. Điều chính chúng tôi đã làm là tự động hóa quy trình này, loại bỏ nhu cầu người dùng phải có kiến ​​thức cụ thể về quản trị.

Để làm việc với khóa và chứng chỉ, chúng tôi quyết định không phát minh lại bánh xe (mặc dù chúng tôi thực sự muốn và vẫn đang thử nghiệm ý tưởng phát minh lại nó dựa trên kế hoạch phát triển sản phẩm trong tương lai của chúng tôi) và sử dụng easy-rsa.

Quá trình dài nhất khi thiết lập cơ sở hạ tầng là tạo tệp Diffie-Hellman. Chúng tôi đã thử nghiệm các thông số trong một thời gian dài và đạt được sự cân bằng giữa “chất lượng và hiệu suất”. Mặc dù đã có ý định loại bỏ hoàn toàn bước này, hãy tạo trước các tệp như vậy bằng sức mạnh máy chủ của chúng tôi và chỉ cần “phân phối” chúng trong quá trình khởi tạo ban đầu. Hơn nữa, dữ liệu chứa trong tệp này không phải là dữ liệu riêng tư. Nhưng hiện tại chúng tôi để lại những suy nghĩ này để “nghiên cứu” thêm.

Tiếp theo, cần cung cấp cho người dùng cuối cơ chế tạo cặp khóa độc lập, tạo yêu cầu cấp chứng chỉ cho CA và thực sự nhận chứng chỉ này cùng với bản ghi trên mã thông báo. Bạn cũng cần một ứng dụng khách cho phép bạn thiết lập kết nối VPN bằng xác thực trước bằng mã thông báo.

Chúng tôi đã giải quyết vấn đề đầu tiên nhờ plugin của chúng tôi, plugin này triển khai chức năng chữ ký điện tử, mã hóa và xác thực hai yếu tố cho các dịch vụ Web và SaaS. Để cấp chứng chỉ và ghi vào mã thông báo, người dùng phải cài đặt plugin này, theo liên kết để truy cập tài khoản cá nhân của dịch vụ RutokenVPN, sau khi kết nối mã thông báo với máy tính (bạn có thể đọc thêm về plugin trên tài nguyên của chúng tôi)

Khi khởi tạo quy trình cấp chứng chỉ, yêu cầu mã thông báo tạo cặp khóa cũng như yêu cầu cấp chứng chỉ cho CA sẽ được đưa ra. Khóa riêng được ghi vào mã thông báo và yêu cầu cấp chứng chỉ sẽ được gửi đến CA, CA sẽ phát hành nó và trả lại nó trong phản hồi. Sau đó chứng chỉ cũng được ghi vào mã thông báo.

Hầu hết mọi thứ đã sẵn sàng để thiết lập kết nối VPN. Điều còn thiếu là một khách hàng “biết” cách làm việc với máy chủ và mã thông báo của chúng tôi.

Khách hàng của chúng tôi được triển khai trong Electron. Đối với những người không biết đây là loại quái vật gì, thì hãy nói ngắn gọn – khả năng triển khai ứng dụng máy tính để bàn bằng js, css và html. Không đi sâu vào chi tiết, máy khách là một loại “trình bao bọc” trên máy khách OpenVPN, cho phép nó được gọi với các tham số cần thiết. Tại sao cái này rất? Trên thực tế, nó thuận tiện hơn cho chúng tôi, mặc dù giải pháp được chọn có một số hạn chế nhất định.

Vì chúng tôi sử dụng mã thông báo làm vật mang thông tin chính cần thiết để xác thực khi thiết lập phiên VPN nên chúng tôi cần định cấu hình máy khách OpenVPN để hoạt động với nó. Nhà cung cấp PKCS#11 là thư viện tự phát triển để làm việc với mã thông báo của chúng tôi, đường dẫn đến được chỉ định trong cài đặt máy khách OpenVPN. Bạn có thể đọc thêm về nó.

Khi yêu cầu thiết lập kết nối VPN được thực hiện, mã PIN chính sẽ được yêu cầu, nếu nhập chính xác, chứng chỉ sẽ được truy xuất để xác thực máy khách, quá trình bắt tay được thực hiện giữa máy khách và máy chủ và kết nối VPN được thiết lập. Những người hiểu biết có thể lập luận rằng không phải mọi thứ đều đơn giản như vậy, nhưng mục đích của mô tả này không phải là nói lên tất cả những điều phức tạp của OpenVPN mà chỉ để nêu bật những điểm chính trong quá trình triển khai của chúng tôi.

Một chút về kế hoạch của chúng tôi. Điều chính mà chúng tôi đang làm hiện nay là triển khai mã hóa GOST. Chúng tôi đã trải qua một chặng đường nghiên cứu khá dài, điều này cho phép chúng tôi tiến gần nhất có thể đến việc thực hiện nó. Trong tương lai gần, chúng tôi sẽ có thể đáp ứng sự quan tâm của khách hàng tiềm năng đối với chức năng này.

Thẻ: Thêm thẻ

xây dựng kênh VPN

Xin chào mọi người, hôm nay trong bài viết này chúng ta sẽ xem xét chi tiết cách thiết lập kênh VPN giữa các văn phòng bằng OpenVPN với khả năng bảo vệ bằng mật khẩu bổ sung. Không có gì bí mật khi OpenVPN gần đây đã trở nên rất phổ biến trong nhiều tổ chức và vấn đề ở đây không phải là nó hoàn toàn miễn phí mà vấn đề là hiệu quả mà bạn có thể kết nối các văn phòng từ xa với các kênh VPN. Chúng tôi sẽ thiết lập đường hầm VPN giữa các văn phòng với tính năng bảo vệ bằng mật khẩu bổ sung trên nền tảng Windows.

Nhiệm vụ: Thiết lập kênh VPN giữa hai chi nhánh của công ty bạn. Mạng ở nhánh đầu tiên được gọi là N_B1) và mạng ở nhánh thứ hai được gọi là N_B2. Việc cài đặt OpenVPN ở cả hai văn phòng sẽ trên hệ điều hành Windows 7. Hãy bắt đầu với nhiệm vụ trước mắt.

Mạng N_B1 chứa:

Máy tính hoặc máy chủ nơi cài đặt máy chủ OpenVPN có 2 giao diện mạng, như bạn có thể hiểu, một giao diện dành cho địa chỉ IP wan và giao diện thứ hai dành cho mạng nội bộ..
Nó cũng được cài đặt một máy chủ proxy để phân phối Internet tới mạng cục bộ, qua đó đóng vai trò là cổng chính cho tất cả các máy trên mạng cục bộ (192.168.2.100)
192.168.2.100 nhìn vào mạng cục bộ
192.168.2.3 giao diện này kết nối Internet thông qua bộ định tuyến có IP tĩnh, chẳng hạn như 123.123.123.123. Việc chuyển tiếp được thực hiện trên đó hay còn gọi là cổng chuyển tiếp 1190 (ví dụ: cổng 1190 được chuyển tiếp trên giao diện mạng có địa chỉ IP 192.168.2.3)
Người dùng trên mạng có 192.168.2.100

Mạng N_B2 chứa:

Máy tính hoặc máy chủ nơi cài đặt máy khách OpenVPN cũng có 2 giao diện mạng.
Nó cũng được cài đặt một máy chủ proxy để phân phối Internet đến mạng cục bộ, qua đó đóng vai trò là cổng chính cho tất cả các máy trên mạng cục bộ (172.17.10.10)
172.17.10.10 nhìn vào mạng cục bộ
192.168.2.3 nhìn ra thế giới thông qua bộ định tuyến.
Người dùng trực tuyến: 172.17.10.50

Nhiệm vụ: Một người từ văn phòng có mạng N_B1 (192.168.2.100) sẽ thấy tài nguyên được chia sẻ trên máy tính của một người từ mạng N_B2 (172.17.10.50) và theo hướng ngược lại.

Nói cách khác, mọi người nên gặp mọi người và có cơ hội ghé thăm, trong trường hợp ai đó chia sẻ những bức ảnh mới với đồng nghiệp của họ từ chi nhánh khác.

Xin lưu ý rằng nhiệm vụ ở đây không phải là giải thích mọi thứ một cách kỹ lưỡng và chính xác về mặt kỹ thuật, nhiệm vụ là giải thích “trên đầu ngón tay” để ngay cả những người dùng mới làm quen cũng có thể hiểu được. Tôi hy vọng nó đã thành công. Nếu bạn có thắc mắc, hãy hỏi họ trong phần bình luận.

Bản chất của cách hoạt động của máy chủ VPN như sau:. Ví dụ: bạn muốn truy cập trang web yandex.ru. Chính xác hơn, hãy kết nối với máy chủ có IP 77.88.21.11 (cư dân ở các khu vực phía đông của Nga có thể được gửi đến một máy chủ có IP khác, nhưng đó không phải là vấn đề). Khi làm việc mà không có VPN, máy tính của bạn sẽ gửi một gói (bạn có thể nói là yêu cầu) trực tiếp đến máy chủ có địa chỉ 77.88.21.11 và nhận được phản hồi từ gói đó. Khi làm việc qua VPN, máy tính của bạn sẽ gửi một gói đến máy chủ VPN, máy chủ VPN sẽ gửi chính xác gói đó đến 77.88.21.11, 77.88.21.11 gửi phản hồi đến máy chủ VPN (vì ban đầu chính máy chủ VPN đã gửi request) và máy chủ VPN sẽ gửi gói này đến máy tính của bạn.

Những gì chúng ta có? Các yêu cầu tới địa chỉ 77.88.21.11 không được gửi bởi máy tính của bạn mà bởi VPN; do đó, máy chủ 77.88.21.11 ghi lại địa chỉ IP của máy chủ VPN chứ không phải máy tính của bạn.

Một lý do có thể để sử dụng VPN là cần ẩn địa chỉ IP của bạn.

Các công dụng khác – cần thay đổi lộ trình giao thông. Hãy lấy một ví dụ từ cuộc sống. Tác giả bài viết này sống ở thành phố Orel (Miền Trung nước Nga) và muốn kết nối với máy chủ yunpan.360.cn đặt tại Bắc Kinh. Tác giả sử dụng (hay đúng hơn là sử dụng vào thời điểm đó) các dịch vụ của nhà cung cấp Internet Beeline. Như lệnh tracert yunpan.360.cn được nhập vào dòng lệnh Windows cho thấy, lưu lượng truy cập Internet đi tới máy chủ Trung Quốc này đi qua Hoa Kỳ. Dấu vết không hiển thị lưu lượng truy cập quay trở lại như thế nào, nhưng đánh giá bằng ping, nó đi theo cùng một tuyến đường. Dưới đây là ảnh chụp màn hình từ VisualRoute 2010.

Việc định tuyến này là do Beeline đã không trả tiền cho các nhà cung cấp Internet đường trục để có kênh trực tiếp hơn tới Trung Quốc.

Với tuyến đường này, tình trạng mất gói lớn xảy ra, tốc độ thấp và ping rất lớn.

Phải làm gì? Sử dụng VPN. Đây là máy chủ VPN mà chúng tôi có đường dẫn trực tiếp đến và từ đó có đường dẫn trực tiếp đến yunpan.360.cn. Tôi (tác giả bài viết) đã tìm kiếm một giải pháp có thể chấp nhận được trong một thời gian rất dài và cuối cùng đã tìm ra nó. Một máy chủ ảo đã được thuê (điều này sẽ được thảo luận sau) ở Krasnoyarsk (hãy tưởng tượng ngay thành phố Krasnoyarsk nằm ở đâu) từ một nhà cung cấp dịch vụ lưu trữ. Truy tìm máy chủ cho thấy lưu lượng truy cập đang di chuyển trên khắp nước Nga, ping là 95 ms (Tôi có Internet LTE di động (4G), trên Internet có dây, ping sẽ thấp hơn 5-10 ms).

Ping– đây là độ trễ của tín hiệu Internet. Độ trễ truyền tải Internet theo cả hai hướng (khứ hồi) được đo. Không thể đo độ trễ chỉ theo một hướng bằng các phương tiện tiêu chuẩn, vì máy tính của bạn gửi yêu cầu đến máy chủ được ping và ghi lại thời gian cần thiết để có phản hồi.

Trong dấu vết, ping tới từng điểm (tới từng điểm của tuyến đường, hay còn gọi là hop-hop) cũng được hiển thị cho giao thông ở cả hai hướng.

Nó thường xảy ra rằng tuyến đường khác nhau ở các hướng khác nhau.

Tiếp theo, một dấu vết được tạo từ máy chủ Krasnoyarsk tới yunpan.360.cn. Ping là khoảng 150 ms. Quá trình theo dõi cho thấy lưu lượng truy cập từ máy chủ Krasnoyarsk đến máy chủ Trung Quốc đi qua kết nối trực tiếp (tương tác mạng) giữa các nhà cung cấp Transtelecom và China Telecom.

Đây là dấu vết (được làm từ Linux):

tracepath yunpan.360.cn
1?: chiềutu 1500
1: srx.optibit.ru 0,361ms
1: srx.optibit.ru 0,381ms
2: border-r4.g-service.ru 0,392ms
3: kyk02.transtelecom.net 0,855ms bất đối xứng 5
4: 10.25.27.5 112.987ms bất đối xứng 8
5: ChinaTelecom-gw.transtelecom.net 125,707ms bất đối xứng 7
6: 202.97.58.113 119.092ms bất đối xứng 7
7: 202.97.53.161 120.842ms bất đối xứng 8
8: không trả lời
9: 220.181.70.138 122.342ms bất đối xứng 10
10: 223.202.72.53 116.530ms bất đối xứng 11
11: 223.202.73.86 134.029ms bất đối xứng 12
12: không trả lời

Chúng ta thấy gì? Máy chủ Krasnoyarsk được lưu trữ bởi optibit.ru (lưu trữ là dịch vụ đặt và thuê dung lượng máy chủ) và được kết nối với nhà cung cấp Internet “Igra-Service” (g-service.ru). Ngược lại, Igra-Service gửi lưu lượng truy cập đến yunpan.360.cn thông qua nhà cung cấp đường trục lớn của Nga là Transtelecom (họ trả tiền cho anh ta). TTK điều hướng lưu lượng truy cập thông qua kết nối trực tiếp tới mạng của nhà cung cấp đường trục Trung Quốc China Telecom, miền hop ChinaTelecom-gw.transtelecom.net cho chúng ta biết điều này.

Hãy nhớ vấn đề của chúng ta là gì. Lưu lượng truy cập của chúng tôi đến máy chủ Trung Quốc đó đi qua Hoa Kỳ, tốc độ thấp. Những gì tôi đã làm? Tôi đã cài đặt VPN trên máy chủ Krasnoyarsk này. Và đã cấu hình máy tính của tôi để hoạt động thông qua máy chủ VPN này. Chuyện gì đã xảy ra thế? Bây giờ lưu lượng đến yunpan.360.cn không đi theo tuyến Orel-Moscow-USA-China cũ mà như thế này:

đầu tiên đến máy chủ VPN – Orel-Krasnoyarsk,

sau đó từ máy chủ VPN đến Bắc Kinh - Krasnoyarsk-Bắc Kinh.

Bạn có hiểu ý không? Chúng tôi đã thay đổi lộ trình của mình. Nó đã cho cái gì? Tốc độ kết nối đi từ tôi đến yunpan.360.cn đã tăng lên. Ping đã bị giảm. Kết quả đã đạt được.

Làm thế nào để xác định tuyến đường của bạn? Đối với người mới bắt đầu, cách dễ nhất để thực hiện việc này là sử dụng chương trình VisualRoute, chương trình này có thể tìm thấy trên Internet ở cả dạng được cấp phép và dạng hack.

Bạn cần chạy chương trình này và đặt các cài đặt sau:

Nó sẽ diễn ra như thế này:

Sử dụng bảng này, bạn sẽ thấy lưu lượng truy cập đi qua những quốc gia nào. Một lần nữa, tôi thu hút sự chú ý của bạn đến thực tế là dấu vết chỉ hiển thị lộ trình của lưu lượng truy cập đi (nghĩa là lưu lượng truy cập từ máy tính của bạn đến máy chủ). Lộ trình theo hướng ngược lại chỉ có thể được hiển thị bằng dấu vết được tạo từ máy chủ đến máy tính của bạn. VisualRoute có một trục trặc nhỏ: nó thường hiển thị Châu Úc (?) là một quốc gia khi nó không thể xác định vị trí địa lý thực sự của nút.

VPN– Mạng riêng ảo – người ta có thể nói mạng riêng ảo là mạng riêng của bạn trên Internet, tất cả lưu lượng truy cập trong đó đều được mã hóa. Bạn có thể nghiên cứu công nghệ này một cách chi tiết. Để giải thích nó rất đơn giản, sau đó:

• máy tính và máy chủ VPN của bạn kết nối qua Internet
• tất cả lưu lượng truy cập giữa bạn và máy chủ VPN đều được mã hóa
• Máy chủ VPN gửi nó đến đích
• IP của bạn bị ẩn và thay vào đó, địa chỉ IP của máy chủ VPN sẽ hiển thị

Bạn nên sử dụng VPN khi làm việc qua WiFi miễn phí (hoặc đơn giản là của người khác), vì có thể chặn tất cả lưu lượng truy cập đi qua bộ định tuyến WiFi. Và khi sử dụng VPN, mọi lưu lượng truy cập sẽ được mã hóa. Hơn nữa, nếu bạn truy cập yandex.ru, vk.com và google.ru mà không có VPN thì các kết nối tới yandex.ru, vk.com và google.ru sẽ được ghi lại ở cấp bộ định tuyến và nhà cung cấp dịch vụ Internet của bạn. Khi sử dụng VPN, tất cả các kết nối sẽ chuyển đến địa chỉ máy chủ VPN.

Có rất nhiều dịch vụ VPN trả phí có sẵn. Ưu điểm của chúng chỉ bao gồm dễ sử dụng. Nhược điểm bao gồm chi phí cao và thiếu tính bảo mật 100% (bạn có thể viết rất nhiều, nhưng điều gì thực sự xảy ra trên máy chủ VPN, liệu lưu lượng truy cập có bị chặn hay không, không thể được đảm bảo). Việc không thể thay đổi địa chỉ IP chỉ sau một vài cú nhấp chuột cũng được coi là một bất lợi của các dịch vụ phải trả phí.

Hãy so sánh chi phí của giải pháp tự cấu hình và dịch vụ VPN trả phí của chúng tôi. Cái sau có giá khoảng 300 rúp. mỗi tháng. Giải pháp của chúng tôi sẽ có giá 0,007 USD mỗi giờ. Nếu hiện tại chúng tôi không sử dụng VPN thì chúng tôi sẽ không trả tiền. Nếu sử dụng 2 giờ mỗi ngày trong 30 ngày, niềm vui này sẽ khiến chúng ta tốn 30-50 rúp.

Chúng tôi sẽ làm như sau:

1. Chúng tôi thuê một máy chủ cho VPN.
2. Hãy thiết lập VPN trên đó.
3. Chúng tôi sẽ sử dụng chúng và chỉ trả tiền cho mỗi giờ sử dụng VPN thực tế.

Bước 1. Cho thuê máy chủ.

Không, chúng tôi sẽ không thuê một máy chủ chính thức. Chúng tôi thuê máy chủ ảo – VPS(máy chủ riêng ảo). Trong nhiều trường hợp, việc lưu trữ các trang web trên Internet hoặc cho các mục đích khác (bao gồm cả việc tổ chức VPN) không yêu cầu dung lượng máy chủ lớn nhưng bạn cần tùy chỉnh hệ điều hành máy chủ. Một số hệ điều hành không thể chạy đồng thời trên một máy tính (bao gồm cả máy chủ, vì đó là cùng một máy tính, chỉ thường mạnh hơn). Tôi nên làm gì? Máy ảo đến giải cứu. Công nghệ này cho phép bạn chạy một hệ điều hành trong một hệ điều hành, được gọi là ảo hóa. Trong trường hợp máy chủ, các chất tương tự của máy ảo cũng được tạo ra - máy chủ ảo.

Có một số công nghệ ảo hóa phổ biến. Phổ biến nhất là OpenVZ, KVM, Xen. Nói một cách đại khái, Xen và KVM tạo ra “mô phỏng phần cứng”, hệ điều hành của riêng họ, v.v. cho mỗi máy ảo. Trong trường hợp OpenVZ, một nhân hệ điều hành chung được sử dụng, do đó một số chức năng (ví dụ: thực hiện các thay đổi đối với nhân hệ điều hành) không khả dụng hoặc chúng chỉ có thể được bật hoặc tắt cho tất cả VPS cùng một lúc. VPS trên Xen và KVM, theo quy luật, hoạt động ổn định hơn, nhưng sự khác biệt chỉ có ý nghĩa đối với các dự án lớn mà khả năng chịu lỗi máy chủ là rất quan trọng.

VPS trên OpenVZ luôn rẻ hơn vì một máy chủ ảo yêu cầu ít tài nguyên hơn. Do giá thấp hơn nên chúng tôi sẽ chuyển sự chú ý sang VPS dựa trên OpenVZ.

Chú ý! Một số công ty hosting (công ty cung cấp dịch vụ cho thuê máy chủ) cố tình chặn hoạt động VPN trên máy chủ dựa trên OpenVZ! Do đó, trước khi thuê một máy chủ như vậy, bạn cần kiểm tra với dịch vụ hỗ trợ (với dịch vụ lưu trữ tốt, họ sẽ phản hồi trong vòng 15 phút, tối đa một giờ) xem VPN có hoạt động hay không.

Để hoạt động trên máy chủ VPN cá nhân, cấu hình tối thiểu là đủ - RAM 256 MB và bộ xử lý 0,5-1 GHz. Tuy nhiên, không phải tất cả các nhà cung cấp dịch vụ lưu trữ đều cung cấp cho VPS RAM 256 MB: nhiều nhà cung cấp có mức giá tối thiểu là 512 MB RAM. Một VPS như vậy sẽ là quá đủ đối với chúng tôi.

Những tiêu chí nào khác để chọn VPS tồn tại? Như bạn đã hiểu, lưu lượng truy cập Internet sẽ liên tục “đi bộ” từ bạn đến VPS và quay lại. Vì vậy, các kênh chính phải có đủ năng lực cho cả hai hướng. Nói cách khác, tốc độ kết nối Internet giữa máy tính của bạn và VPS phải đủ để thực hiện các tác vụ bạn yêu cầu. Để làm việc thoải mái hàng ngày, 15 Mbit/s là đủ và nếu bạn định tải xuống torrent qua VPN, thì bạn có thể cần tất cả 100 Mbit/s. Nhưng! Nếu bạn và VPS ở trên mạng của các nhà cung cấp Internet khác nhau (đặc biệt là ở các thành phố khác nhau), không chắc mạng đường trục sẽ “kéo dài” hơn 70 Mbit/s trong phạm vi Nga (hoặc quốc gia của bạn) và hơn 50 Mbit/ s với máy chủ ở Châu Âu.

Hầu hết các dịch vụ lưu trữ đều yêu cầu thanh toán hàng tháng. Điều đáng chú ý ngay là phạm vi giá rất lớn với chất lượng gần như nhau. Chúng tôi sẽ sử dụng các dịch vụ với mức phí theo giờ: 0,007 USD mỗi giờ hoạt động của máy chủ của chúng tôi. Do đó, nếu chúng tôi sử dụng VPN trong 2 giờ mỗi ngày thì chúng tôi sẽ phải trả khoảng 30 rúp mỗi tháng. Đồng ý, đây không phải là 350 rúp/tháng cho dịch vụ VPN trả phí!

Trước hết bạn cần vào website và đăng ký:

Tiếp theo, một trang sẽ mở ra nơi bạn cần cung cấp thông tin chi tiết về thẻ ngân hàng của mình. Nếu không có điều này, hệ thống sẽ không hoạt động và sẽ không cho phép bạn tận dụng khoản tiền thưởng 10 đô la (sẽ nói thêm về điều này sau). Bạn có thể chỉ định bất kỳ dữ liệu nào, hệ thống sẽ “ăn” dữ liệu giả.

Trong trường hợp này, số tiền vài rúp có thể bị chặn trong thẻ của bạn và số tiền này sau đó sẽ được trả lại. Các khoản phí từ thẻ của bạn sẽ chỉ dựa trên thực tế sử dụng máy chủ.

Phải làm gì nếu bạn không có thẻ ngân hàng? Hãy sở hữu cho mình một chiếc, nó sẽ tự động cấp cho bạn một thẻ ảo, số dư của thẻ này bằng số dư trong ví của bạn. Bạn có thể nạp tiền vào ví của mình ở hầu hết mọi nơi, xem nhé.

Tuy nhiên, nếu bạn nhập chi tiết thẻ Qiwi của mình vào DigitalOcean, hệ thống sẽ loại bỏ thông tin đó, với lý do DigitalOcean không hoạt động với thẻ trả trước và thẻ ảo. Trong trường hợp này, bạn cần nạp thêm $5 vào số dư của mình qua PayPal bằng cách thanh toán bằng thẻ Qiwi.

Sau tất cả những điều này, trên cùng một trang trong tài khoản cá nhân DigitalOcean của bạn, hãy nhập mã khuyến mãi GIẢM10, ghi có cho chúng tôi 10 đô la, số tiền này chúng tôi hoàn toàn có thể sử dụng trên máy chủ mà không sợ phải trả thêm phí từ thẻ của mình.

Sẵn sàng! Bây giờ hãy chuyển sang tạo VPS. Xem video hướng dẫn:

Khi tạo máy chủ, hãy chọn Ubuntu OS phiên bản 14.04 chứ không phải bất kỳ phiên bản mới hơn nào, kể cả. không chọn 16/04.

Ghi chú. Đối với hầu hết cư dân của Nga và các nước CIS, Amsterdam hoặc Frankfurt sẽ phù hợp (ping tới Frankfurt trong hầu hết các trường hợp sẽ ít hơn một chút so với Amsterdam). Tôi khuyên cư dân vùng Viễn Đông Nga nên thử nghiệm Singapore và so sánh hiệu suất với các máy chủ Châu Âu.

Vị trí của máy chủ ở nước ngoài sẽ cho phép bạn sử dụng VPN để vượt qua các lệnh cấm của chính phủ đối với việc truy cập một số trang web nhất định (nếu điều này có liên quan đến bạn).

DigitalOcean bao gồm 1 terabyte (1024 GB) lưu lượng trong giá (xem). Đối với hầu hết mọi người điều này là đủ. Các nhà cung cấp dịch vụ lưu trữ khác có lưu lượng truy cập chính thức không giới hạn, nhưng họ sẽ không có lãi khi đạt đến ngưỡng 1-2 TB/tháng.

Vậy là chúng tôi đã đặt hàng VPS. Chúc mừng. Bây giờ là lúc để chuyển sang thiết lập nó.

Bước 2. Thiết lập VPN.

Đừng lo lắng, quá trình thiết lập VPN của riêng bạn chỉ cần hai bước thôi!

Trong video hướng dẫn ở trên, chúng tôi đã kết nối với máy chủ của mình bằng Putty. Bây giờ chúng ta hãy tiếp tục.

Sao chép và dán (bằng cách nhấp chuột phải, như chúng tôi đã làm trong video hướng dẫn) lệnh:

Bây giờ sao chép và dán phần sau vào cửa sổ chỉnh sửa tệp mở ra:

Nhấn Ctrl + O, sau đó Enter.

Nhấn Ctrl + X.

Sao chép và dán lệnh:

Nhập 1 và nhấn Enter. Chúng tôi đợi. Theo yêu cầu của hệ thống, nhập thông tin đăng nhập mong muốn và nhấn Enter. Tương tự với mật khẩu. Đối với câu hỏi “[Y]/[N]”, hãy nhập Y và nhấn Enter. Sau khi hoàn tất thiết lập, thông tin đăng nhập, mật khẩu và địa chỉ IP máy chủ của chúng tôi sẽ được hiển thị.

Sẵn sàng! VPN đã được cấu hình!

Bây giờ hãy mở Trung tâm chia sẻ và mạng Windows:

Chọn cài đặt cho kết nối mới:

Chọn “Kết nối với nơi làm việc”:

Chúng tôi đang đợi một chút. Bây giờ chúng tôi làm việc thông qua VPN! Để đảm bảo điều này, chúng tôi truy cập và đảm bảo rằng địa chỉ IP hiển thị cho chúng tôi khớp với địa chỉ IP của VPS của chúng tôi.

Bây giờ hãy chú ý! Thông qua tài khoản cá nhân DigitalOcean, chúng tôi có thể tắt VPS của mình (theo thuật ngữ DigitalOcean), tuy nhiên, ngay cả đối với máy chủ ở trạng thái tắt, tiền vẫn bị xóa theo tỷ lệ tiêu chuẩn. Vì vậy, chúng tôi sẽ sao lưu máy chủ của mình, xóa nó và khi chúng tôi cần lại VPN, chúng tôi sẽ khôi phục nó từ bản sao lưu!

Hãy chuyển sang phần quản lý máy chủ (bảng điều khiển DigitalOcean được đặt tại cloud.digitalocean.com, bạn có thể nhập thông qua nút Đăng nhập trên trang chính của digitalocean.com ở góc trên bên phải).

Chúng ta cần tạo một bản sao lưu (ảnh chụp nhanh) của VPS của mình. Nhưng để làm được điều này, trước tiên bạn cần phải tắt nó đi.

Chúng tôi đợi khoảng một phút cho đến khi máy chủ tắt. Sau đó vào phần Snapshots, nhập tên tùy chỉnh cho ảnh chụp nhanh và tạo:

Đối với mỗi gigabyte “trọng lượng” của VPS của chúng tôi, bạn sẽ bị tính phí 2 xu khi tạo ảnh chụp nhanh. Việc tạo bản sao lưu (ảnh chụp nhanh) sẽ mất vài phút.

Bây giờ chúng tôi xóa máy chủ:

Tất cả! Chúng tôi sẽ không ghi nợ thêm tiền nữa.

Phải làm gì khi bạn cần lại VPN

Chúng ta cần tạo một VPS mới từ bản sao lưu mà chúng ta đã tạo trước đó.

Nhấp vào “tạo giọt”:

Bây giờ, như trước đây, nhập bất kỳ tên máy chủ nào bằng chữ Latinh không có dấu cách, chọn mức giá tối thiểu đầu tiên, khu vực phải giống nhau, giống như cái trước đây chúng tôi có máy chủ.

Ngay bên dưới, hãy nhấp vào tên ảnh chúng tôi đã chụp (nó có màu xám nhưng sẽ chuyển sang màu xanh):

...và nhấp vào nút lớn màu xanh lá cây "Tạo giọt".

Chúng tôi đợi khoảng một phút.

Hãy xem địa chỉ IP của máy chủ của chúng tôi có khớp với địa chỉ trước đó không. Nếu có, thì trong Windows, chúng tôi chỉ cần tiếp tục kết nối đã tạo trước đó:

Nếu không, hãy nhấp chuột phải vào tên kết nối của chúng tôi và thay đổi địa chỉ IP thành địa chỉ mới:

Nhập IP mới và nhấp vào “OK”:

Chú ý! Bây giờ, để tắt VPN, chúng ta không cần tạo bản sao lưu mà chỉ cần xóa máy chủ ngay và lần sau chúng ta sẽ khôi phục mọi thứ từ ảnh chụp nhanh cũ. Không cần thiết phải tắt máy chủ trước khi xóa. Để đề phòng, đây là quy trình trong ảnh chụp màn hình:

Chúng tôi đã xóa VPS trong khi không sử dụng VPN. Bây giờ hãy khôi phục nó từ ảnh chụp nhanh cũ:

Một lần nữa chúng ta kiểm tra xem IP cũ có còn đó không và tiếp tục hoạt động.

Trên cùng một máy chủ (hoặc một máy chủ khác), bạn có thể nâng proxy cá nhân của mình lên nền tảng phần mềm 3proxy chẳng hạn, nhưng đây không phải là chủ đề của bài viết này.

Tìm thấy một lỗi đánh máy? Nhấn Ctrl + Enter

Tổ chức các kênh giữa các mạng từ xa thông qua kết nối VPN là một trong những chủ đề phổ biến nhất trên trang web của chúng tôi. Đồng thời, như phản hồi của người đọc cho thấy, khó khăn lớn nhất là do cấu hình định tuyến chính xác, mặc dù chúng tôi đặc biệt chú ý đến điểm này. Sau khi phân tích các câu hỏi thường gặp nhất, chúng tôi quyết định dành một bài viết riêng cho chủ đề định tuyến. Có một vài câu hỏi? Chúng tôi hy vọng rằng sau khi đọc tài liệu này sẽ có ít chúng hơn.

Trước hết chúng ta hãy tìm hiểu nó là gì lộ trình. Định tuyến là quá trình xác định tuyến đường cho thông tin đi theo trong các mạng truyền thông. Thành thật mà nói, chủ đề này rất sâu sắc và đòi hỏi một lượng kiến ​​thức lý thuyết vững chắc, do đó, trong khuôn khổ bài viết này, chúng tôi sẽ cố tình đơn giản hóa bức tranh và đề cập đến lý thuyết một cách chính xác đến mức đủ để hiểu các quy trình. diễn ra và thu được kết quả thiết thực.

Hãy lấy một máy trạm tùy ý được kết nối với mạng, làm thế nào để xác định nơi gửi gói này hoặc gói đó? Với mục đích này nó được dự định bảng định tuyến, chứa danh sách các quy tắc cho tất cả các đích đến có thể. Dựa trên bảng này, máy chủ (hoặc bộ định tuyến) quyết định giao diện và địa chỉ đích nào sẽ gửi gói tin đến một người nhận cụ thể.

In lộ trình

Kết quả chúng ta sẽ thấy bảng sau:

Mọi thứ rất đơn giản, chúng tôi quan tâm đến phần Bảng định tuyến IPv4, hai cột đầu tiên chứa địa chỉ đích và mặt nạ mạng, theo sau là cổng - nút mà các gói sẽ được chuyển tiếp tới đích, giao diện và số liệu được chỉ định. Nếu ở cột Cổng vào chỉ ra Trên liên kết, điều này có nghĩa là địa chỉ đích nằm trên cùng một mạng với máy chủ và có thể truy cập được mà không cần định tuyến. Số liệu xác định mức độ ưu tiên của các quy tắc định tuyến; nếu địa chỉ đích có một số quy tắc trong bảng định tuyến thì địa chỉ có số liệu thấp hơn sẽ được sử dụng.

Máy trạm của chúng tôi thuộc mạng 192.168.31.0 và theo bảng lộ trình, tất cả các yêu cầu tới mạng này được gửi đến giao diện 192.168.31.175, tương ứng với địa chỉ mạng của trạm này. Nếu địa chỉ đích nằm trên cùng một mạng với địa chỉ nguồn thì thông tin sẽ được gửi mà không cần sử dụng định tuyến IP (lớp mạng L3 của mô hình OSI), tại lớp liên kết dữ liệu (L2). Nếu không, gói sẽ được gửi đến máy chủ được chỉ định trong quy tắc bảng định tuyến mạng đích tương ứng.

Nếu không có quy tắc như vậy thì gói sẽ được gửi qua tuyến đường số không, chứa địa chỉ cổng mặc định của mạng. Trong trường hợp của chúng tôi, đây là địa chỉ bộ định tuyến 192.168.31.100. Tuyến đường này được gọi là 0 vì địa chỉ đích của nó là 0.0.0.0. Điểm này rất quan trọng để hiểu rõ hơn về quá trình định tuyến: tất cả các gói không thuộc mạng này và không có đường đi riêng biệt, Luôn luônđược gửi cổng chính mạng.

Bộ định tuyến sẽ làm gì khi nhận được một gói như vậy? Trước hết, hãy tìm hiểu xem bộ định tuyến khác với trạm mạng thông thường như thế nào. Nói một cách cực kỳ đơn giản, bộ định tuyến là một thiết bị mạng được cấu hình để truyền các gói giữa các giao diện mạng. Trên Windows, điều này đạt được bằng cách kích hoạt dịch vụ Định tuyến và truy cập từ xa, trong Linux bằng cách đặt tùy chọn ip_forward.

Quyết định truyền gói tin trong trường hợp này cũng được đưa ra dựa trên bảng định tuyến. Hãy xem bảng này chứa những gì trên bộ định tuyến phổ biến nhất, chẳng hạn như bộ định tuyến mà chúng tôi đã mô tả trong bài viết:. Trên hệ thống Linux, bạn có thể lấy bảng lộ trình bằng lệnh:

Tuyến đường -n

Như bạn có thể thấy, bộ định tuyến của chúng tôi chứa các tuyến đến các mạng đã biết 192.168.31.0 và 192.168.3.0, cũng như một tuyến rỗng tới cổng ngược dòng 192.168.3.1.

Địa chỉ 0.0.0.0 trong cột Cổng cho biết rằng địa chỉ đích có thể truy cập được mà không cần định tuyến. Do đó, tất cả các gói có địa chỉ đích trong mạng 192.168.31.0 và 192.168.3.0 sẽ được gửi đến giao diện tương ứng và tất cả các gói khác sẽ được chuyển tiếp dọc theo tuyến null.

Điểm quan trọng tiếp theo là địa chỉ của các mạng riêng tư (riêng tư), chúng cũng có màu “xám”; bao gồm ba phạm vi:

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

Những địa chỉ này có thể được sử dụng tự do bởi bất kỳ ai và do đó chúng không được định tuyến. Nó có nghĩa là gì? Bất kỳ gói nào có địa chỉ đích thuộc một trong các mạng này sẽ bị bộ định tuyến loại bỏ trừ khi nó có một mục riêng trong bảng định tuyến. Nói một cách đơn giản, tuyến mặc định (null) cho các gói như vậy không được bộ định tuyến sử dụng. Cũng nên hiểu rằng quy tắc này chỉ áp dụng khi định tuyến, tức là. Khi truyền các gói giữa các giao diện, một gói gửi đi có địa chỉ "xám" sẽ được gửi dọc theo tuyến null, ngay cả khi nút này chính là bộ định tuyến.

Ví dụ: nếu bộ định tuyến của chúng tôi nhận được một gói đến có đích đến, chẳng hạn như 10.8.0.1, thì gói đó sẽ bị loại bỏ vì mạng đó không xác định được và các địa chỉ trong phạm vi này không được định tuyến. Nhưng nếu chúng ta truy cập trực tiếp vào cùng một nút từ bộ định tuyến, gói sẽ được gửi dọc theo tuyến 0 đến cổng 192.168.3.1 và sẽ bị nó loại bỏ.

Đã đến lúc kiểm tra xem mọi thứ hoạt động như thế nào. Hãy thử từ nút 192.168.31.175 của chúng tôi đến nút ping 192.168.3.106, nằm trên mạng phía sau bộ định tuyến. Như bạn có thể thấy, chúng ta đã thành công, mặc dù bảng định tuyến của máy chủ không chứa bất kỳ thông tin nào về mạng 192.168.3.0.

Làm thế nào điều này trở thành có thể? Vì nút nguồn không biết gì về mạng đích nên nó sẽ gửi gói đến địa chỉ cổng. Cổng sẽ kiểm tra bảng lộ trình của nó, tìm mục nhập cho mạng 192.168.3.0 ở đó và gửi gói đến giao diện thích hợp. Bạn có thể dễ dàng xác minh điều này bằng cách chạy lệnh theo dõi, lệnh này sẽ hiển thị toàn bộ đường dẫn gói của chúng tôi:

Tracert 192.168.3.106

Bây giờ hãy thử ping nút 192.168.31.175 từ nút 192.168.3.106, tức là. Ở hướng ngược lại. Nó không thành công với chúng tôi. Tại sao?

Chúng ta hãy xem xét kỹ hơn về bảng định tuyến. Nó không chứa bất kỳ mục nào cho mạng 192.168.31.0, vì vậy gói sẽ được gửi đến bộ định tuyến 192.168.3.1, với tư cách là cổng chính của mạng, gói này sẽ loại bỏ gói này vì nó không có bất kỳ dữ liệu nào về mạng đích . Tôi nên làm gì? Rõ ràng, gói phải được gửi đến nút chứa thông tin cần thiết và có thể chuyển tiếp gói đến đích, trong trường hợp của chúng tôi đây là bộ định tuyến 192.168.31.100, trong mạng này có địa chỉ 192.168.3.108.

Để các gói tin của mạng 192.168.31.0 được gửi cụ thể đến mạng đó, chúng ta cần tạo một tuyến đường riêng.

Mặt nạ 192.168.31.0 255.255.255.0 192.168.3.108

Trong tương lai chúng ta sẽ tuân theo ký hiệu này của các tuyến đường, nó có nghĩa là gì? Thật đơn giản, các gói dành cho mạng 192.168.31.0 có mặt nạ 255.255.255.0 phải được gửi đến nút 192.168.3.108. Trên Windows, bạn có thể thêm tuyến đường bằng lệnh:

Định tuyến thêm mặt nạ 192.168.31.0 255.255.255.0 192.168.3.108

Định tuyến thêm -net 192.168.31.0 netmask 255.255.255.0 gw 192.168.3.108

Hãy thử.

Hãy phân tích kết quả, một tuyến đường đã xuất hiện trong bảng định tuyến và tất cả các gói tới mạng 192.168.31.0 hiện được gửi đến bộ định tuyến của mạng này, như có thể thấy từ phản hồi của lệnh ping, nhưng không đến đích. Có chuyện gì vậy? Đã đến lúc phải nhớ rằng một trong những nhiệm vụ chính của bộ định tuyến không chỉ là định tuyến mà còn là chức năng tường lửa, chức năng này rõ ràng cấm truy cập từ mạng bên ngoài vào bên trong. Nếu chúng ta tạm thời thay thế quy tắc này bằng một quy tắc dễ dãi thì mọi thứ sẽ ổn.

Các tuyến được thêm bởi các lệnh trên sẽ được lưu cho đến khi nút được khởi động lại, điều này rất thuận tiện, ngay cả khi bạn làm hỏng nhiều, bạn chỉ cần khởi động lại để hủy các thay đổi đã thực hiện. Để thêm tuyến đường cố định trong Windows, hãy chạy lệnh:

Định tuyến thêm mặt nạ 192.168.31.0 255.255.255.0 192.168.3.108 -p

Trong Linux /etc/mạng/giao diện, sau phần mô tả giao diện, bạn nên thêm:

Thêm tuyến đường sau -net 192.168.31.0 netmask 255.255.255.0 gw 192.168.3.108

Nhân tiện, đây không phải là cách duy nhất để định cấu hình quyền truy cập từ mạng 192.168.3.0 đến mạng 192.168.31.0; thay vì thêm tuyến cho mỗi nút, bạn có thể “dạy” bộ định tuyến gửi các gói một cách chính xác.

Trong trường hợp này, nút nguồn không có bản ghi nào về mạng đích và sẽ gửi gói đến cổng. Lần trước cổng đã loại bỏ gói như vậy, nhưng bây giờ chúng tôi đã thêm tuyến đường mong muốn vào bảng định tuyến của nó và nó sẽ gửi gói đó. gói đến nút 192.168.3.108, nút này sẽ chuyển gói đến đích.

Chúng tôi thực sự khuyên bạn nên tự mình thực hành sử dụng các ví dụ tương tự để việc định tuyến không còn là hộp đen đối với bạn và các tuyến đường không còn là chữ viết tiếng Trung nữa. Khi đã hiểu rõ, bạn có thể chuyển sang phần thứ hai của bài viết này.

Bây giờ chúng ta hãy xem các ví dụ thực tế về việc kết hợp các mạng văn phòng thông qua kết nối VPN. Mặc dù thực tế là OpenVPN thường được sử dụng nhiều nhất cho những mục đích này và trong các ví dụ của chúng tôi, chúng tôi cũng muốn nói đến các giải pháp dựa trên nó, nhưng mọi điều đã nói sẽ đúng với mọi loại kết nối VPN.

Trường hợp đơn giản nhất là khi máy chủ VPN (máy khách) và bộ định tuyến mạng được đặt trên cùng một máy chủ. Hãy xem xét sơ đồ dưới đây:

Vì chúng tôi hy vọng bạn đã học được lý thuyết và củng cố nó trong thực tế, hãy phân tích lộ trình của các gói từ mạng văn phòng 192.168.31.0 đến mạng nhánh 192.168.44.0, gói như vậy sẽ được gửi đến cổng mặc định, đó là cũng là một máy chủ VPN. Tuy nhiên, nút này không biết gì về mạng đích và sẽ phải loại bỏ gói tin này. Đồng thời, chúng tôi đã có thể liên hệ với bộ định tuyến nhánh theo địa chỉ của nó trong mạng VPN 10.8.0.2, vì mạng này có thể truy cập được từ bộ định tuyến văn phòng.

Để có quyền truy cập vào mạng nhánh, chúng tôi cần phân phối các gói cho mạng đó đến một nút là một phần của mạng đó hoặc có tuyến đến mạng đó. Trong trường hợp của chúng tôi, đây là bộ định tuyến nhánh. Do đó, trên bộ định tuyến văn phòng, chúng tôi thêm tuyến đường:

Bây giờ, cổng văn phòng, sau khi nhận được gói cho mạng nhánh, sẽ gửi gói đó qua kênh VPN đến bộ định tuyến nhánh, là nút mạng 192.168.44.0, sẽ chuyển gói đến đích. Để truy cập từ mạng nhánh vào mạng văn phòng, bạn cần đăng ký tuyến đường tương tự trên bộ định tuyến nhánh.

Hãy xem một sơ đồ phức tạp hơn khi bộ định tuyến và máy chủ VPN (máy khách) là các nút mạng khác nhau. Có hai tùy chọn ở đây: chuyển gói được yêu cầu trực tiếp đến máy chủ VPN (máy khách) hoặc buộc cổng thực hiện việc này.

Trước tiên hãy xem xét tùy chọn đầu tiên.

Để các gói tin cho mạng nhánh đến được mạng VPN, chúng ta phải thêm một tuyến đến máy chủ VPN (máy khách) cho từng máy khách trong mạng, nếu không chúng sẽ được gửi đến cổng, cổng này sẽ loại bỏ chúng:

Tuy nhiên, máy chủ VPN không biết gì về mạng nhánh nhưng có thể gửi các gói trong mạng VPN nơi đặt nút mạng nhánh mà chúng tôi quan tâm, vì vậy chúng tôi sẽ gửi gói đến đó bằng cách thêm tuyến trên máy chủ VPN ( khách hàng):

Mặt nạ 192.168.44.0 255.255.255.0 10.8.0.2

Nhược điểm của sơ đồ này là cần phải đăng ký các tuyến trên mỗi nút mạng, điều này không phải lúc nào cũng thuận tiện. Nó có thể được sử dụng nếu có ít thiết bị trên mạng hoặc cần có quyền truy cập chọn lọc. Trong các trường hợp khác, sẽ phù hợp hơn nếu giao nhiệm vụ định tuyến cho bộ định tuyến chính của mạng.

Trong trường hợp này, các thiết bị mạng văn phòng không biết gì về mạng nhánh và sẽ gửi các gói cho nó qua tuyến null, cổng mạng. Bây giờ nhiệm vụ của cổng là chuyển hướng gói này đến máy chủ VPN (máy khách); việc này có thể được thực hiện dễ dàng bằng cách thêm tuyến đường mong muốn vào bảng định tuyến của nó:

Mặt nạ 192.168.44.0 255.255.255.0 192.168.31.101

Chúng tôi đã đề cập đến nhiệm vụ của máy chủ VPN (máy khách) ở trên; nó phải phân phối các gói đến nút mạng VPN là một phần của mạng đích hoặc có đường dẫn đến nó.

Mặt nạ 192.168.44.0 255.255.255.0 10.8.0.2

Để truy cập từ mạng nhánh vào mạng văn phòng, bạn sẽ cần thêm các tuyến thích hợp vào các nút mạng nhánh. Việc này có thể được thực hiện theo bất kỳ cách thuận tiện nào, không nhất thiết phải giống như cách thực hiện ở văn phòng. Một ví dụ thực tế đơn giản: tất cả các máy tính trong văn phòng chi nhánh phải có quyền truy cập vào mạng văn phòng, nhưng không phải tất cả các máy tính trong văn phòng đều phải có quyền truy cập vào văn phòng chi nhánh. Trong trường hợp này, trong nhánh, chúng tôi thêm tuyến đến máy chủ VPN (máy khách) trên bộ định tuyến và trong văn phòng, chúng tôi chỉ thêm tuyến đó vào các máy tính cần thiết.

Nói chung, nếu bạn hiểu cách hoạt động của việc định tuyến và cách đưa ra các quyết định chuyển tiếp gói cũng như biết cách đọc bảng định tuyến thì việc thiết lập các tuyến đường chính xác sẽ không khó khăn. Chúng tôi hy vọng rằng sau khi đọc bài viết này, bạn cũng sẽ không có chúng.

• thẻ: