Razmjena podataka između udaljenih odjela jedne organizacije uvijek zahtijeva vrijeme, a ponekad i složene tehničke manipulacije. Danas je takve neugodnosti prilično lako ukloniti, što znači da možete povećati produktivnost poduzeća u cjelini kombiniranjem njegovih podružnica i udaljenih ureda u jednu infrastrukturu. To se realno može postići spajanjem ureda u zajedničku korporativnu mrežu.

Tvrtka Bit and Byte nudi postavljanje jedinstvene VPN mreže svim organizacijama s predstavništvima, uključujući i druge gradove. Uostalom, najčešće su specifičnosti njihovih aktivnosti takve da podružnice moraju svakodnevno razmjenjivati ​​informacije i međusobno pregledavati baze podataka. Zajednički softver za sve lokalne mreže najpraktičniji je i najracionalniji način organiziranja brze razmjene informacija i mogućnosti daljinskog upravljanja poduzećem.

Što ćete dobiti spajanjem ureda u jednu mrežu?

Usluga kombiniranja ureda u jednu mrežu uključuje stvaranje cjelovite mreže između dva ili više odjela (podružnica, ureda) jednog poduzeća, koja je stvorena za brzu razmjenu zaštićenih informacija na temelju VPN protokola. U sadašnjim uvjetima poslovnog razvoja, takve korporativne mreže su posebno relevantne, jer pružaju priliku za poboljšanje upravljanja poduzećem i njegovim teritorijalnim podružnicama.

Spajanjem svih podružnica Vaše tvrtke u jedinstvenu mrežu možete:

1. upravljati mrežom međusobno udaljenih ureda putem interneta, dobivajući pristup opremi svake podružnice;
2. stvoriti središnju bazu podataka i koristiti je, što je vrlo zgodno za upravljanje mrežom ureda;
3. omogućiti pristup svim odjelima internim resursima poduzeća bez rizika od gubitka informacija.

Objedinjavanje ureda stvaranjem jedinstvene mreže usluga je koja ne košta puno novca. Može se konfigurirati na razini glavnog poslužitelja kupnjom dodatnih VPN pristupnih točaka. Prije spajanja uredskih mreža od vas će se tražiti da provjerite i obradite sve informacije. To će omogućiti klasificiranje svih podataka iz podružnica kako bi se zaštitili od hakiranja.

Konsolidacija ureda u jednu mrežu je korisna

Danas sve više poduzeća pribjegava kombiniranju uredskih mreža, i to ne samo zato što je to praktično i sigurno. Cilj i cilj takve udruge je i korist koja se dobiva od takve usluge:

• troškovi su osjetno smanjeni, jer nestaje potreba za održavanjem svakog ureda, a resursi središnjeg poslužitelja postaju dostupni svakoj poslovnici;
• pri dobivanju softverske licence također su uočljive prednosti;
• svi uredi međusobno koriste informacijske resurse, bez obzira na to gdje se pojedina podružnica nalazi;
• nema potrebe za velikim osobljem tehničkih stručnjaka, jer se velika većina problema rješava na daljinu;
• moći ćete istovremeno održavati video konferencije, seminare i sastanke sa svim odjelima, a to je značajna ušteda vremena.

Osim toga, protok dokumenata između poslovnica je maksimalno siguran zahvaljujući posebnoj obradi podataka.

Kako kombinirati uredske mreže

Iako je tema otrcana, ipak mnogi često imaju poteškoće - bilo da se radi o administratoru sustava početniku ili jednostavno o naprednom korisniku kojeg su njegovi nadređeni prisilili da obavlja funkcije stručnjaka za Enikey. Paradoksalno je, ali unatoč obilju informacija o VPN-ovima, pronaći jasnu opciju pravi je problem. Štoviše, čak se stječe dojam da su ga jedni napisali, a drugi tekst drsko prepisali. Zbog toga su rezultati pretraživanja doslovno zatrpani obiljem nepotrebnih informacija iz kojih se rijetko može izvući nešto vrijedno. Stoga sam odlučio žvakati sve nijanse na svoj način (možda će nekome biti od koristi).

Dakle, što je VPN? VPN (VirtualniPrivatnoMreža- virtualna privatna mreža) je općeniti naziv za tehnologije koje omogućuju pružanje jedne ili više mrežnih veza (logičke mreže) preko druge mreže (uključujući Internet). Ovisno o korištenim protokolima i namjenama, VPN može osigurati veze tri vrste: čvor-čvor, čvor-mreža I mreža-mreža. Kako kažu, bez komentara.

Stereotipna VPN shema

VPN vam omogućuje jednostavno kombiniranje udaljenog računala s lokalnom mrežom tvrtke ili drugog računala, kao i kombiniranje mreža u jednu. Prednost je sasvim očita - možemo jednostavno pristupiti mreži poduzeća iz VPN klijenta. Osim toga, VPN također štiti vaše podatke enkripcijom.

Ne pokušavam vam opisati sve principe rada VPN-a, jer postoji mnogo specijalizirane literature, a da budem iskren, ni sam ne znam puno stvari. Međutim, ako je vaš zadatak “Uradi to!”, hitno se morate uključiti u temu.

Pogledajmo problem iz moje osobne prakse, kada sam trebao spojiti dva ureda putem VPN-a - sjedište i poslovnicu. Situaciju je dodatno komplicirala činjenica da je u sjedištu postojao video server koji je trebao primati video s IP kamere poslovnice. Evo ukratko zadatka.

Postoji mnogo rješenja. Sve ovisi o tome što imate pri ruci. Općenito, VPN je lako izgraditi pomoću hardverskog rješenja temeljenog na različitim Zyxel usmjerivačima. U idealnom slučaju, može se dogoditi i da internet u oba ureda distribuira jedan pružatelj i tada nećete imati nikakvih problema (samo se trebate obratiti pružatelju). Ako je tvrtka bogata, onda si može priuštiti CISCO. Ali obično se sve rješava pomoću softvera.

I ovdje je izbor velik - Open VPN, WinRoute (napominjemo da se plaća), alati operativnog sustava, programi poput Hamanchija (da budem iskren, u rijetkim slučajevima može pomoći, ali ne preporučujem da se oslanjate na njega - besplatna verzija ima ograničenje od 5 hostova, a još jedan značajan nedostatak je da vaša cijela veza ovisi o Hamanchi hostu, što nije uvijek dobro). U mom slučaju bi bilo idealno koristiti OpenVPN - besplatan program, koji može lako stvoriti pouzdanu VPN vezu. Ali, kao i uvijek, ići ćemo putem manjeg otpora.

U mojoj podružnici Internet distribuira pristupnik koji se temelji na klijentskom Windowsu. Slažem se, nije najbolje najbolje rješenje, ali za tri klijentska računala to će biti dovoljno. Moram napraviti VPN poslužitelj s ovog pristupnika. Budući da čitate ovaj članak, vjerojatno ste sigurni da ste novi u VPN-u. Stoga, za vas dajem najjednostavniji primjer, koji mi u principu odgovara.

Obitelj Windows NT već ima rudimentarne mogućnosti poslužitelja ugrađene u sebe. Postavljanje VPN poslužitelja na jednom od strojeva nije teško. Kao poslužitelj, dat ću primjere snimki zaslona za Windows 7, ali opći principi bit će isti kao i za stari XP.

Imajte na umu da za povezivanje dviju mreža trebate imali su različit domet! Na primjer, u glavnom uredu raspon može biti 192.168.0.x, au poslovnici može biti 192.168.20.x (ili bilo koji sivi IP raspon). Ovo je vrlo važno, stoga budite oprezni. Sada možete početi s postavljanjem.

Idite na VPN poslužitelj na upravljačkoj ploči -> Centar za mrežu i dijeljenje i zajednički pristup->promjena parametara adaptera.

Sada pritisnite tipku Alt da biste otvorili izbornik. Tamo, u stavci Datoteka, trebate odabrati "Nova dolazna veza".

Označite okvire za korisnike koji se mogu prijaviti putem VPN-a. Toplo preporučujem da dodate novog korisnika, date mu prijateljsko ime i dodijelite lozinku.

Nakon što ste to učinili, potrebno je u sljedećem prozoru odabrati kako će se korisnici spajati. Označite okvir "Putem Interneta". Sada samo trebate dodijeliti raspon virtualnih mrežnih adresa. Štoviše, možete odabrati koliko računala može sudjelovati u razmjeni podataka. U sljedećem prozoru odaberite TCP/IP protokol verzije 4, kliknite na “Svojstva”:

Vidjet ćete što imam na snimci zaslona. Ako želite da klijent dobije pristup lokalnoj mreži na kojoj se nalazi poslužitelj, jednostavno označite potvrdni okvir "Dopusti pozivateljima pristup lokalnoj mreži". U odjeljku “Dodjeljivanje IP adresa” preporučujem ručno navođenje adresa prema principu koji sam gore opisao. U mom primjeru dao sam raspon od samo dvadeset pet adresa, iako sam mogao jednostavno navesti dvije ili 255.

Nakon toga kliknite na gumb "Dopusti pristup".

Sustav će automatski kreirati VPN poslužitelj koji će usamljeno čekati da mu se netko pridruži.

Sada sve što preostaje je postaviti VPN klijent. Na klijentskom računalu također idite u Centar za mrežu i dijeljenje i odaberite Postavljanje nove veze ili mreže. Sada ćete morati odabrati stavku "Povezivanje s radnim mjestom"

Kliknite na “Use my Internet connection” i sada ćete biti izbačeni kroz prozor u koji ćete morati unijeti adresu našeg Internet gatewaya u poslovnici. Meni izgleda kao 95.2.x.x

Sada možete nazvati vezu, unijeti korisničko ime i lozinku koje ste unijeli na poslužitelju i pokušati se spojiti. Ako je sve ispravno, bit ćete povezani. U mom slučaju, već mogu pingati bilo koje računalo u podružnici i zatražiti kameru. Sada se njegov mono lako povezuje s video poslužiteljem. Možda imate nešto drugačije.

Alternativno, prilikom povezivanja može se pojaviti pogreška 800, što ukazuje da nešto nije u redu s vezom. Ovo je ili problem vatrozida klijenta ili poslužitelja. Ne mogu vam konkretno reći - sve se određuje eksperimentalno.

Ovako smo jednostavno stvorili VPN između dva ureda. Igrači se mogu ujediniti na isti način. Međutim, ne zaboravite da ovo još uvijek neće biti punopravni poslužitelj i da je bolje koristiti naprednije alate, o kojima ću govoriti u sljedećim dijelovima.

Posebno ćemo u drugom dijelu pogledati postavljanje OPenVPN-a za Windows i Linux.

Kako stvoriti jedinstvenu privatnu mrežu za sve mobilne zaposlenike i udaljene podružnice

Što je VPN?

Pretpostavimo da imamo dva ureda u različitim dijelovima grada, ili u različitim gradovima ili državama, a svaki od njih je spojen na Internet. Za rad, recimo, 1C kao samac korporativni sustav moramo ih integrirati u jedinstvenu lokalnu mrežu. (Unatoč činjenici da nudimo rješenja za 1C u obliku distribuiranih baza podataka. Ponekad je lakše stvoriti jednu mrežu i povezati se izravno na 1C poslužitelj kao da se poslužitelj nalazi u vašim prostorijama)

Možete, naravno, kupiti osobnu liniju između dva grada, ali ovu odluku najvjerojatnije će biti super skupo.
Rješenje koje koristi virtualnu privatnu mrežu (VPN - Virtual Private Network) poziva nas da organiziramo ovu namjensku liniju stvaranjem šifriranog tunela preko interneta. Glavna prednost VPN-a u odnosu na namjenske komunikacijske linije je ušteda novca tvrtke dok je kanal u potpunosti Zatvoreno.
S potrošačke točke gledišta, VPN je tehnologija koja vam omogućuje organiziranje udaljenog sigurnog pristupa putem otvorenih internetskih kanala poslužiteljima, bazama podataka i svim resursima vaše korporativne mreže. Recimo, računovođa u gradu A može jednostavno ispisati račun na printeru tajnice u gradu B kod koje je klijent došao. Udaljeni zaposlenici koji se povezuju putem VPN-a sa svojih prijenosnih računala također će moći raditi na mreži kao da su na fizičkoj mreži svojih ureda.

Vrlo često klijenti nailaze na *kočnice* blagajne Kada koristite Remote Desktop, dolazite do potrebe za instaliranjem VPN-a. To će vam omogućiti da se riješite slanja podataka za blagajnu naprijed-nazad na poslužitelj putem virtualnog COM-a preko interneta i omogućit će instalaciju tankog klijenta na bilo kojem mjestu koji izravno komunicira s blagajnom, šaljući samo potrebne informacije na poslužitelj preko zatvorenog kanala. A emitiranje RDP sučelja izravno na Internet izlaže vašu tvrtku vrlo velikim rizicima.

Metode povezivanja

Metode organiziranja VPN-a najprikladnije su istaknuti sljedeće 2 glavne metode:

• (Klijent - mreža ) Daljinski pristup pojedinačnih zaposlenika korporativnoj mreži organizacije putem modema ili javne mreže.
• (Mreža - Mreža) Spajanje dva ili više ureda u jedinstvenu sigurnu virtualnu mrežu putem Interneta

Većina priručnika, posebno za Windows, opisuje vezu prema prvoj shemi. U isto vrijeme, morate shvatiti da ova veza nije tunel, već vam omogućuje samo povezivanje s VPN mrežom. Za organizaciju ovih tunela potreban nam je samo 1 bijeli IP, a ne prema broju udaljenih ureda mnogi pogrešno vjeruju.

Na slici su prikazane obje opcije povezivanja na glavni ured A.

Uspostavljen je kanal između ureda A i B kako bi se osigurala integracija ureda u jedinstvenu mrežu. Time se osigurava transparentnost oba ureda za sve uređaje koji se nalaze u jednom od njih, što rješava mnoge probleme. Na primjer, organiziranje kapaciteta jednog broja unutar jedne PBX s IP telefonima.

Sve usluge ureda A dostupne su mobilnim klijentima, a ukoliko se ured B nalazi u jednoj virtualnoj mreži, dostupne su i njegove usluge.

U ovom slučaju, način povezivanja mobilnih klijenata obično je implementiran PPTP protokolom (Point-to-Point Tunneling Protocol) Point-to-point tunneling protocol, a drugi IPsec ili OpenVPN

PPTP

(Point-to-Point Tunneling Protocol bumagin-lohg) je protokol tunela od točke do točke, zamisao Microsofta, i proširenje je PPP-a (Point-to-Point Protocol), stoga, koristeći njegovu autentifikaciju, kompresiju i mehanizmi šifriranja. PPTP protokol ugrađen je u daljinski upravljač Windows pristup XP. Uz standardni izbor ovog protokola, Microsoft predlaže korištenje metode enkripcije MPPE (Microsoft Point-to-Point Encryption). Podatke možete prenositi bez enkripcije na otvorena forma. Enkapsulacija podataka pomoću PPTP protokola događa se dodavanjem GRE (Generic Routing Encapsulation) zaglavlja i IP zaglavlja podacima koje obrađuje PPP protokol.

Zbog značajnih sigurnosnih problema, nema razloga za odabir PPTP-a umjesto drugih protokola osim nekompatibilnosti uređaja s drugim VPN protokolima. Ako vaš uređaj podržava L2TP/IPsec ili OpenVPN, onda je bolje odabrati jedan od ovih protokola.

Treba napomenuti da gotovo svi uređaji, uključujući i mobilne, imaju klijent ugrađen u OS (Windows, iOS, Android) koji vam omogućuje trenutno postavljanje veze.

L2TP

(Layer Two Tunneling Protocol) je napredniji protokol, nastao kombinacijom protokola PPTP (od Microsofta) i L2F (od Cisca), koji uključuje sve najbolje od ova dva protokola. Omogućuje sigurniju vezu od prve mogućnosti šifriranja pomoću IPSec protokola (IP-sigurnost). L2TP je također ugrađen u Windows XP klijent za daljinski pristup, štoviše, prilikom automatskog određivanja vrste veze, klijent se prvo pokušava spojiti na poslužitelj koristeći ovaj protokol, što je poželjnije u smislu sigurnosti.

U isto vrijeme, IPsec protokol ima takav problem kao što je dogovor o potrebnim parametrima S obzirom da mnogi proizvođači postavljaju svoje parametre prema zadanim postavkama bez mogućnosti konfiguracije, hardver koji koristi ovaj protokol bit će nekompatibilan.

OpenVPN

Napredno otvoreno VPN rješenje stvoreno OpenVPN tehnologijama, koje je sada de facto standard u VPN tehnologijama. Rješenje koristi SSL/TLS protokole šifriranja. OpenVPN koristi biblioteku OpenSSL za pružanje enkripcije. OpenSSL podržava veliki broj razni kriptografski algoritmi kao što su 3DES, AES, RC5, Blowfish. Kao iu slučaju IPSec-a, CheapVPN uključuje iznimno visoku razinu enkripcije - AES algoritam s duljinom ključa od 256 bita.
OpenVPN je jedino rješenje koje vam omogućuje zaobilaženje onih pružatelja koji smanjuju ili naplaćuju naknade za otvaranje dodatnih protokola osim WEB-a. Time je moguće organizirati kanale koji u načelu nemoguće pratiti I imamo takva rješenja

Sada imate neku ideju o tome što je VPN i kako funkcionira. Ako ste menadžer, razmislite, možda je to upravo ono što ste tražili

Primjer postavljanja OpenVPN poslužitelja na pfSense platformi

Izrada poslužitelja

• sučelje: WAN(mrežno sučelje poslužitelja spojeno na Internet)
• Protokol: UDP
• Lokalna luka: 1194
• Opis: pfSenseOVPN(bilo koje prikladno ime)
• Mreža tunela: 10.0.1.0/24
• Pristupnik preusmjeravanja: Uključi se(Isključite ovu opciju ako ne želite da sav internetski promet klijenta bude preusmjeren preko VPN poslužitelja.)
• Lokalna mreža: Ostavite prazno(Ako želite da lokalna mreža iza pfSense poslužitelja bude dostupna udaljenim VPN klijentima, navedite ovdje adresni prostor ovu mrežu. Recimo 192.168.1.0/24)
• Istodobne veze: 2 (Ako ste kupili dodatnu OpenVPN Remote Access Server licencu, unesite broj koji odgovara broju kupljenih licenci)
• Komunikacija između klijenata: Uključi se(Ako ne želite da VPN klijenti vide jedni druge, onemogućite ovu opciju)
• DNS poslužitelj 1 (2, itd.): navedite DNS poslužitelje pfSense hosta.(njihove adrese možete pronaći u odjeljku Sustav > Opće postavke > DNS poslužitelji)

Zatim stvaramo klijente i za pojednostavljenje konfiguracijskih postupaka za klijentske programe, pfSense nudi dodatni alat - “Uslužni program za izvoz OpenVPN klijenta”. Ovaj alat automatski priprema instalacijske pakete i datoteke za klijente, izbjegavajući ručne postavke OpenVPN klijent.

VPN veze između ureda pokrivaju poslovne sigurnosne zahtjeve kao što su:

• Mogućnost centraliziranog pristupa informacijama iz ureda, kao i iz glavnog ureda
• Jedinstveni korporativni informacijski sustav
• Poduzeće baze podataka s jednom točkom unosa
• Korporativno e-pošta s jednom ulaznom točkom
• Povjerljivost informacija koje se prenose između ureda

Ako imate poteškoća s postavljanjem ili se još niste odlučili za VPN tehnologiju, nazovite nas!

Pretpostavimo da imamo 2 ureda u različitim dijelovima grada, ili u različitim gradovima ili državama, i svaki od njih je spojen na Internet preko prilično dobrog kanala. Moramo ih povezati u jedinstvenu lokalnu mrežu. U ovom slučaju nitko od korisnika neće morati pogađati gdje se nalazi ovo ili ono računalo ili pisač na lokalnoj mreži, koristiti pisače, zajedničke mape i sve prednosti fizičke mreže. Udaljeni zaposlenici povezani putem OpenVPN-a također će moći raditi na mreži kao da su njihova računala na fizičkoj mreži nekog od ureda.

Postavit ćemo ga u operativni sustav Debian Squeeze, no upute su u potpunosti primjenjive na bilo koju distribuciju temeljenu na Debianu, a uz manje izmjene u naredbama za instalaciju i konfiguraciju mosta i OpenVPN bit će primjenjive na bilo koju distribuciju Linuxa ili FreeBSD.

Pretpostavimo da je distribucija Debiana ili Ubuntua instalirana prema jednoj od uputa:

Instalirajmo i konfigurirajmo VPN mrežu temeljenu na OpenVPN-u pomoću mosta dodirnite0

Stvaramo mrežni most između fizičke mreže eth1 i virtualno sučelje dodirnite0

Instalirati potrebne programe pristankom na zahtjev upravitelja paketa:

Mrežu poslužitelja konfiguriramo na temelju činjenice da imamo 2 mrežne kartice: mrežnu eth0 eth1 br0

Uređivanje konfiguracijske datoteke /etc/network/interfaces:

Auto lo iface lo inet loopback # internet provider auto eth0 iface eth0 inet statička adresa 192.168.50.2 mrežna maska ​​255.255.255.0 pristupnik 192.168.50.1 # lokalna mreža auto eth1 iface eth1 inet statička adresa 10.10.10.1 mrežna maska ​​255.255. 255.0

Auto lo iface lo inet loopback # Registriramo most, uključujemo tap0 VPN sučelje i eth1 mrežnu karticu u njega auto br0 iface br0 inet static # Dodamo openvpn sučelje tap0 mostu bridge_ports eth1 tap0 adresa 10.10.10.1 mrežna maska ​​255.255 .255.0 # Internet auto eth0 iface eth0 inet statička adresa 192.168.50.2 mrežna maska ​​255.255.255.0 pristupnik 192.168.50.1

Nakon toga, kada pokrenete naredbu ifconfig, trebao bi se pojaviti most br0 s IP 10.10.10.1, sučelje eth0 s IP adresom 192.168.50.2 i sučeljem eth1 bez IP adrese, jer je u mostu br0

Postavljanje OPENVPN-a:
Kopiramo skripte za konfiguraciju našeg openvpn poslužitelja naredbom:

Cp -Rp /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /etc/openvpn/easy-rsa

Izrada izmjena u datoteci /etc/openvpn/easy-rsa/vars za definiranje globalnih varijabli i unos manje podataka prilikom kreiranja ključeva:

Vi /etc/openvpn/easy-rsa/vars

Izvoz KEY_COUNTRY="US" izvoz KEY_PROVINCE="CA" izvoz KEY_CITY="SanFrancisco" izvoz KEY_ORG="Fort-Funston" izvoz KEY_EMAIL=" "

Izvoz KEY_COUNTRY="UA" izvoz KEY_PROVINCE="11" izvoz KEY_CITY="Kijev" izvoz KEY_ORG="NameFirm" izvoz KEY_EMAIL=" "

Idite u mapu sa skriptama za izradu certifikata i ključeva naredbom:

CD /etc/openvpn/easy-rsa/

Inicijaliziramo PKI (infrastrukturu javnih ključeva) naredbama:

. ./vars ./clean-all

Pažnja. Prilikom izvršavanja naredbe ./čisto-sve Svi postojeći certifikati i ključevi i poslužitelja i klijenata bit će izbrisani, stoga ga nemojte pokretati na proizvodnom poslužitelju ili ga pokrećite nakon spremanja mape /etc/openvpn/ u arhivu naredbom:

Tar cf - /etc/openvpn/ | gzip -c -9 > /home/openvpn_backup.tgz

Certifikat i ključ certifikacijskog tijela (CA) generiramo naredbom:

./build-ca

Većina parametara bit će preuzeta iz datoteke vars. Samo parametar Name mora biti eksplicitno naveden:

Ime: vpn

Općenito, možete popuniti sva polja svaki put prema potrebi.

Diffie-Hellmanove parametre generiramo naredbom:

./build-dh

Generiramo certifikat i tajni ključ poslužitelja, ne unosite ništa kada se od vas zatraži lozinka i kada se to od vas zatraži Potpisati potvrdu?: uđi g i pritisnite Uđi pokretanjem naredbe:

./build-key-server poslužitelj

Svi su parametri prihvaćeni prema zadanim postavkama. Na upit Uobičajeno ime ulaziti poslužitelj

Uobičajeno ime (npr. vaše ime ili ime hosta vašeg poslužitelja) :server

Za pitanja Potpisati potvrdu? I 1 od 1 certifikata zahtijeva certificiranje, izvršiti? Odgovaramo pozitivno:

Potpisati potvrdu? :y 1 od 1 certifikata zahtijeva certificiranje, izvršiti? g

Ostaje samo izraditi certifikate i ključeve za klijente. Prvo inicijaliziramo parametre:

CD /etc/openvpn/easy-rsa/ . ./vars

Izrada ključeva za korisnika poslužitelj1. Na primjer, dodajemo onoliko korisnika koliko je potrebno:

./build-key server1 ./build-key client1 ./build-key client2

Na temelju činjenice da imamo mrežu 10.10.10.0/24 odmah dodjeljujemo skup adresa za računala u uredu 1 - 10.10.10.40-149 , za ured 2 dodjeljujemo skup adresa 10.10.10.150-254 i dodijeliti skup adresa za udaljene zaposlenike 10.10.10.21-39.
Stvorite mapu /etc/openvpn/ccd/ gdje označavamo koji klijent s kojim IP-om koristeći naredbu:

Mkdir -p /etc/openvpn/ccd/

Svakom klijentu dodjeljujemo vlastiti IP na mreži pomoću naredbi::

Echo "ifconfig-push 10.10.10.150 255.255.255.0" > /etc/openvpn/ccd/server1 echo "ifconfig-push 10.10.10.21 255.255.255.0" > /etc/openvpn/ccd/client1 echo "ifconfig-push 1 0.10.10.22 255.255.255.0" > /etc/openvpn/ccd/client2

Napravite konfiguracijsku datoteku poslužitelja:

Vi /etc/openvpn/server.conf ################################### port 1195 proto udp dev tap0 ca easy-rsa/keys/ca.crt cert easy-rsa/keys/server.crt ključ easy-rsa/keys/server.key # Ovu datoteku treba držati u tajnosti dh easy-rsa/keys/dh1024.pem mode server tls- server daemon ifconfig 10.10.10.1 255.255.255.0 client-config-dir /etc/openvpn/ccd keepalive 10 20 client-to-client comp-lzo persist-key persist-tun verb 3 log-append /var/log/openvpn.log #script-security 2 # uklonite komentar kada radite na OpenVPN verziji 2.4 up /etc/openvpn/up.sh ############################ ######

Vi /etc/default/openvpn

OPTARGS=""

OPTARGS="--script-security 2"

Izrada skripte /etc/openvpn/up.sh pokreće se kada se OpenVPN poslužitelj pokrene:

Vi /etc/openvpn/up.sh #!/bin/sh brctl addif br0 tap0 brctl addif br0 eth1 ifconfig tap0 0.0.0.0

Dajemo prava za izvršavanje skripte /etc/openvpn/up.sh naredba:

Chmod +x /etc/openvpn/up.sh

Nakon toga ponovno pokrenite OpenVPN poslužitelj naredbom:

Izvršite naredbu ifconfig, trebalo bi se pojaviti sučelje dodirnite0 bez IP adrese.

Prikupljamo arhivu s ključevima za distribuciju udaljenim zaposlenicima i slanje u ured 2

Mape s korisničkim imenima stvaramo pomoću naredbi:

Mkdir -p /etc/openvpn/users/server1 mkdir -p /etc/openvpn/users/client1 mkdir -p /etc/openvpn/users/client2

Napravite mapu s arhiviranim ključevima naredbom:

Mkdir -p /etc/openvpn/users_tgz

Ključeve i certifikate prikupljamo iz korisničkih mapa pomoću naredbi:

Cp /etc/openvpn/server/easy-rsa/keys/server1.key /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/server1.crt /etc/openvpn/users/ server1/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/client1.key /etc/openvpn/ korisnici/klijent1/ cp /etc/openvpn/server/easy-rsa/keys/client1.crt /etc/openvpn/users/client1/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/ openvpn/users/client1/ cp /etc/openvpn/server/easy-rsa/keys/client2.key /etc/openvpn/users/client2/ cp /etc/openvpn/server/easy-rsa/keys/client2.crt / etc/openvpn/users/client2/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/client2/

Konfiguracijske datoteke stvaramo na temelju činjenice da poslužitelj1 je udaljeni uredski poslužitelj 2, i klijent1 I klijent2 To su udaljeni zaposlenici koji se spajaju na VPN mrežu izvana iz sustava Windows.

Umjesto IP-SERVER-VPN postavljamo vanjsku IP adresu OpenVPN poslužitelja.

Napravite OpenVPN konfiguracijsku datoteku za server1:

Echo " udaljeni IP-SERVER-VPN 1195 klijent dev tap0 proto udp resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert server1.crt ključ server1.key comp-lzo verb 4 mute 20 verb 3 log-append / var/log/openvpn.log up /etc/openvpn/up.sh " > /etc/openvpn/users/server1/server1.conf

Arhiviranje ključeva za poslužitelj1 naredba:

Tar cf - /etc/openvpn/users/server1 | gzip -c -9 > /etc/openvpn/users_tgz/server1.tgz

klijent1:

Echo " udaljeni IP-SERVER-VPN 1195 klijent dev tap0 proto udp resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert client1.crt key client1.key comp-lzo verb 4 mute 20 verb 3 " > /etc /openvpn/users/client1/client1.ovpn

Arhivirajte ključeve za client1 naredbom:

Tar cf - /etc/openvpn/users/client1 | gzip -c -9 > /etc/openvpn/users_tgz/client1.tgz

Stvorite konfiguracijsku datoteku za klijent2 naredba:

Echo " udaljeni IP-SERVER-VPN 1195 klijent dev tap0 proto udp resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert client2.crt key client2.key comp-lzo verb 4 mute 20 verb 3 " > /etc /openvpn/users/client1/client2.ovpn

Arhiviranje ključeva za klijent2 naredba:

Tar cf - /etc/openvpn/users/client2 | gzip -c -9 > /etc/openvpn/users_tgz/client2.tgz

Postavljanje VPN poslužitelja za ured 2

U gornjim uputama instalirali smo i konfigurirali VPN poslužitelj Debian GNU/Linux koristeći OpenVPN kreirali smo ključeve s certifikatima za udaljeni poslužitelj ureda 2 i udaljene zaposlenike. Sada moramo povezati ured 1 s uredom 2 u jednu lokalnu mrežu putem VPN-a.

Pretpostavimo da smo u uredu 2 instalirali i konfigurirali Linux poslužitelj (gateway), koji distribuira internetski kanal za zaposlenike ureda 2. Ovaj poslužitelj ima 2 mrežne kartice: eth0 - Internet provider i eth1- lokalna mreža, bit će uključena u most i imat će skup adresa 10.10.10.100-254

Moramo instalirati softver pomoću naredbe:

Aptitude instalira bridge-utils openvpn

Postavljanje mreže poslužitelja

Mrežu konfiguriramo na temelju činjenice da imamo 2 mrežne kartice eth0- prima internet od provajdera i preko njega ured 1 pristupa internetu, kao i mreži eth1- uključen u preklopnik lokalne mreže ureda 1, bit će uključen u most sa sučeljem br0

Uredite konfiguracijsku datoteku /etc/network/interfaces:

Vi /etc/network/interfaces

Auto lo iface lo inet loopback # internet provider auto eth0 iface eth0 inet statička adresa 192.168.60.2 mrežna maska ​​255.255.255.0 pristupnik 192.168.60.1 # lokalna mreža auto eth0 iface eth0 inet statička adresa 192.168.1.1 mrežna maska ​​255.255 .255.0

Auto lo iface lo inet loopback # Registriramo most, uključujemo tap0 VPN sučelje i eth1 mrežnu karticu u njega auto br0 iface br0 inet static # Dodamo openvpn sučelje tap0 mostu bridge_ports eth1 tap0 adresa 10.10.10.150 mrežna maska ​​255.255 .255.0 # Internet auto eth0 iface eth0 inet statička adresa 192.168.60.2 mrežna maska ​​255.255.255.0 pristupnik 192.168.60.1

Spremite promjene i ponovno pokrenite mrežu naredbom:

/etc/init.d/networking ponovno pokretanje

Nakon ovoga, prilikom izvršavanja naredbe ifconfig trebao bi se pojaviti most br0 s IP-om 10.10.10.150 , sučelje eth0 sa IP adresom 192.168.60.2 i sučelje eth1 bez IP adrese, jer je u mostu br0

Za Office 2 računala izdajemo IP adrese računalima bez prekoračenja 10.10.10.150-254 , Gdje 10.10.10.150 - ovo je IP adresa poslužitelja office 2.

Prikupljenu OpenVPN arhivu ključeva prenosimo s uredskog VPN poslužitelja 1 na uredski poslužitelj 2 naredbom:

Ssh -P22 /etc/openvpn/users_tgz/server1.tgz :/root/

Ili, ako server1 ureda 2 nema stalni ili dinamički IP, spojit ćemo ključeve s VPN poslužitelja ureda 2 naredbom:

Ssh -P22 :/etc/openvpn/users_tgz/server1.tgz /root/

Kada se od vas zatraži lozinka, unesite korisničku lozinku korijen , nakon unosa točne lozinke, arhiva s ključevima se preuzima u mapu /root/server1.tgz

Raspakirajte sadržaj arhive ( samo ključne datoteke bez mapa) /root/server1.tgz u mapu /etc/openvpn/

Dopusti OpenVPN-u pokretanje skripti:

Vi /etc/default/openvpn

OPTARGS=""

OPTARGS="--script-security 2"

Izrada skripte /etc/openvpn/up.sh pokreće se kada se VPN klijent spoji na VPN poslužitelj:

Vi /etc/openvpn/up.sh #!/bin/sh brctl addif br0 tap0 brctl addif br0 eth1 ifconfig tap0 0.0.0.0 chmod +x /etc/openvpn/up.sh

Ponovno pokrenite OpenVPN poslužitelj naredbom:

/etc/init.d/openvpn ponovno pokrenite

Prilikom izvršavanja naredbe ifconfig trebalo bi se pojaviti sučelje dodirnite0 bez IP adrese.

Sada možete pingati računala drugog ureda iz oba ureda, koristiti zajedničke mape, pisače, resurse drugog ureda, a također organizirati bitke u igricama između ureda 1 i ureda 2 :)

Za provjeru sučelja spojenih na most, pokrenite naredbu:

BRCTl emisija

Odgovor sustava:

Naziv mosta ID mosta STP omogućena sučelja br0 7000.003ds4sDsf6 no eth1 tap0

Vidimo našu lokalnu mrežnu karticu eth1 i OpenVPN virtualno sučelje dodirnite0

Zadatak je obavljen, dva udaljena ureda povezana su u jednu lokalnu mrežu.

Ako vam je ovaj članak bio koristan, podijelite ga sa svojim prijateljima klikom na svoju ikonu. društvena mreža na dnu ovog članka. Komentirajte ovu uputu, je li vam se svidjela ili je bila korisna? Također se možete pretplatiti na primanje obavijesti o novim člancima na svoju e-poštu na stranici

Sada uzmimo kratku pauzu i odmorimo se pola minute, podižući raspoloženje za produktivniji rad, pogledajmo video i nasmijmo se:

Glavni cilj kombiniranja mreža lokalnih ureda je omogućiti transparentan pristup geografski raspoređenim izvori informacija organizacije. Konsolidacija uredskih mreža omogućuje vam rješavanje sljedećih najčešćih problema:

• koristiti kapacitet jednog broja uredskog PBX-a;
• osigurati autorizaciju korisnika za pristup resursima (dijeljenim mapama, intranetskoj stranici, e-pošti itd.) bez obzira na njihovu trenutnu lokaciju;
• osigurati siguran pristup zaposlenicima organizacije resursima koji se nalaze u različitim uredima (na primjer, osigurati da zaposlenici rade s 1C poslužiteljem poduzeća instaliranim u jednom od ureda);
• rad na udaljenom računalu korištenjem terminalskog pristupa (upravljanje daljinskom radnom površinom);
• povećati učinkovitost i učinkovitost usluge tehnička podrška zbog mogućnosti daljinskog upravljanja računalima, poslužiteljima i ostalom opremom, kao i učinkovitog korištenja ugrađenih Windows alati za pružanje pomoći - Remote assistant.

Metode provedbe integracije uredskih mreža

Za objedinjavanje lokalnih mreža ureda i udaljenih poslovnica koristi se tehnologija virtualne privatne mreže - VPN (Virtual Private Network). Ova tehnologija namijenjena je kriptografskoj zaštiti podataka koji se prenose računalnim mrežama. Virtualna privatna mreža skup je mrežnih veza između nekoliko VPN pristupnika koji kriptiraju mrežni promet. VPN pristupnici se također nazivaju kriptografski pristupnici ili kripto-pristupnici.

Postoje dvije metode za izgradnju jedinstvene sigurne korporativne mreže organizacije:

1. korištenje opreme i odgovarajućeg spektra usluga internetskog davatelja;
2. koristeći vlastitu opremu koja se nalazi u sjedištu i poslovnicama.

VPN i usluge pruža internetski davatelj

Ovo rješenje je primjenjivo ako su sjedište i podružnice spojene na internet preko istog internet provajdera. Ako su podružnice tvrtke raštrkane po gradovima, pa čak iu različitim zemljama, malo je vjerojatno da će postojati pružatelj koji vam može pružiti potrebnu razinu usluge, pa čak i po pristupačnoj cijeni.

Ako se vaši uredi nalaze u istom gradu, provjerite kod svog pružatelja internetskih usluga mogu li kombinirati lokalne mreže vaših ureda u jednu mrežu. Možda će ovo rješenje biti optimalno za vas u smislu troškova.

Konsolidacija mreže ureda i podružnica u vlastitoj režiji

Metoda spajanja dviju mreža pomoću VPN tehnologije u literaturi na engleskom jeziku naziva se “Peer-to-Peer VPN” ili “site-to-site VPN”. Između dviju mreža uspostavlja se način "transparentne enkripcije". Protokol IPSec najčešće se koristi za šifriranje i prijenos prometa na IP mrežama.

Za organiziranje VPN veza (VPN tunela) između središnjeg ureda i podružnica malih tvrtki preporučujemo korištenje hardverskih internetskih pristupnika (vatrozida) s ugrađenom VPN podrškom. Primjer takvih pristupnika mogao bi biti ZyXEL ZyWALL, Netgear Firewall, Check Point Safe@Office itd. Ova klasa proizvoda je dizajnirana za upotrebu u mala poduzeća s prosječan broj osoblje od 5 do 100 ljudi. Ovi uređaji se lako konfiguriraju, vrlo su pouzdani i imaju dovoljnu učinkovitost.

U sjedištu organizacije često se instaliraju softverski integrirana mrežna sigurnosna rješenja, kao što su Microsoft Internet Security and Acceleration Server 2006 (Microsoft ISA 2006), CheckPoint Express, CheckPoint VPN-1 Edge i drugi. Za upravljanje ovim sigurnosnim mjerama potrebno je visokokvalificirano osoblje, koje je u pravilu dostupno u središnjem uredu ili posuđeno od vanjskih tvrtki.

Bez obzira na opremu koja se koristi, opća shema za izgradnju Peer-to-Peer VPN-a za sigurno kombiniranje lokalnih mreža udaljenih ureda u jednu mrežu je sljedeća:

Također treba napomenuti da postoje specijalizirani hardverski kripto pristupnici, kao što su Cisco VPN koncentrator, "Kontinent-K", itd. Njihov opseg su mreže srednjih i velikih tvrtki, gdje je potrebno osigurati visoke performanse kod šifriranja mrežnog prometa , kao i posebne mogućnosti. Na primjer, osigurajte šifriranje podataka u skladu s GOST ("Kontinent-K").

Na što morate obratiti pozornost pri odabiru opreme

Prilikom odabira opreme za organiziranje virtualne privatne mreže (VPN) morate obratiti pozornost na sljedeća svojstva:

1. broj istovremeno podržanih VPN tunela;
2. performanse;
3. mogućnost filtriranja mrežnog prometa unutar VPN tunela (ova funkcija nije implementirana u svim internetskim pristupnicima);
4. podrška za kontrolu kvalitete QoS (vrlo korisno pri prijenosu glasovnog prometa između mreža);
5. kompatibilnost s postojećom opremom i primijenjenim tehnologijama.

Hardverska rješenja

Prednosti rješenja izgrađenih na jeftinim hardverskim internetskim pristupnicima

• Niska cijena;
• Visoka pouzdanost (nema potrebe za sigurnosnom kopijom, ništa ne ide po zlu kada je struja isključena);
• Jednostavnost administracije;
• Niska potrošnja energije;
• Zauzima malo prostora, može se instalirati bilo gdje;
• ovisno o odabranoj platformi za izgradnju VPN-a, moguće je instalirati dodatne usluge na VPN gateway: antivirusno skeniranje internetskog prometa, detekciju napada i upada i dr., što značajno povećava ukupnu razinu sigurnosti mreže i smanjuje ukupni trošak sveobuhvatnog rješenja za zaštitu mreže.

Mane

• Rješenje nije skalabilno; povećana produktivnost postiže se potpunom zamjenom opreme;
• Manje fleksibilan u postavkama;
• Integracija s Microsoft Active Directory (ili LDAP) općenito nije podržana.

Programska rješenja

Prednosti softverskih rješenja

• Fleksibilnost;
• Skalabilnost, tj. mogućnost povećanja produktivnosti po potrebi;
• Uska integracija s Microsoft Active Directory (Microsoft ISA 2006, CheckPoint)

Mane

• Visoka cijena;
• Složenost administracije.

Gdje početi

Prije nego počnete birati opremu i softver(u daljnjem tekstu - softver) za provedbu projekta spajanja mreža lokalnih ureda u jedinstvenu mrežu putem VPN-a, morate imati sljedeće podatke:

1. Definirajte topologiju:
   • Isprepleteno (potpuno povezano) - svako mjesto može automatski organizirati šifriranu vezu s bilo kojim drugim mjestom;
   • Zvijezda (zvijezda) - podružnice mogu organizirati sigurne veze sa središnjim mjestom;
   • Hub and Spoke (veza kroz hub) - grane se mogu međusobno povezivati ​​kroz hub središnjeg mjesta;
   • Remote Access (daljinski pristup) - korisnici i grupe mogu organizirati sigurne veze s jednom ili više stranica;
   • Kombinacije gore navedenih metoda (na primjer, topologija Star with Meshed Center, u kojoj udaljene grane mogu razmjenjivati ​​informacije sa svim članovima središnjeg VPN-a, koji ima isprepletenu topologiju).
2. Broj podružnica (koliko istovremenih VPN veza mora biti podržano opremom glavnog ureda);
3. Broj korisnika u centrali i svakoj poslovnici;
4. Koja se oprema i/ili softver koristi u pojedinoj poslovnici (podaci su potrebni kako bi se uzele u obzir mogućnosti korištenja postojeće opreme i/ili softvera);
5. Podaci o povezivanju poslovnica na Internet: dodjela IP adrese - dinamička ili statička, brzina komunikacijskog kanala;
6. Kakav pristup upravljanju informacijska sigurnost(zaštita perimetra mreže, antivirusna zaštita) primjenjivat će se: centralizirano upravljanje sjedištem i poslovnicama od strane jednog sigurnosnog administratora (administratora sustava), ili svaka poslovnica ima svog administratora sustava.

Za smanjenje prijetnji upada u mrežu središnji ured, potrebno je posvetiti dužnu pozornost zaštiti mreža podružnica organizacije. Korištenje VPN-a ne jamči pouzdanu zaštitu od upada osim ako su mreže podružnica također pouzdano zaštićene. Ako napadač može neovlašteno pristupiti mreži poslovnica, moći će i pristupiti informacijski sustav sjedište, budući da su sjedište i mreže podružnica spojene u jedinstvenu mrežu putem VPN-a.