การแลกเปลี่ยนข้อมูลระหว่างแผนกระยะไกลขององค์กรหนึ่งต้องใช้เวลาเสมอ และบางครั้งก็มีการปรับเปลี่ยนทางเทคนิคที่ซับซ้อน ทุกวันนี้ ความไม่สะดวกดังกล่าวค่อนข้างง่ายที่จะกำจัด ซึ่งหมายความว่าคุณสามารถเพิ่มประสิทธิผลขององค์กรโดยรวมได้โดยการรวมสาขาและสำนักงานระยะไกลไว้ในโครงสร้างพื้นฐานเดียว ซึ่งสามารถทำได้ตามความเป็นจริงด้วยการรวมสำนักงานเข้ากับเครือข่ายองค์กรทั่วไป

บริษัท Bit and Byte เสนอการตั้งค่าเครือข่าย VPN เดียวให้กับทุกองค์กรที่มีสำนักงานตัวแทน รวมถึงในเมืองอื่นๆ ท้ายที่สุดแล้วกิจกรรมเฉพาะส่วนใหญ่ของพวกเขาคือสาขาต้องแลกเปลี่ยนข้อมูลทุกวันและตรวจดูฐานข้อมูลของกันและกัน ซอฟต์แวร์ทั่วไปสำหรับเครือข่ายท้องถิ่นทั้งหมดเป็นวิธีที่ปฏิบัติได้จริงและสมเหตุสมผลที่สุดในการจัดการการแลกเปลี่ยนข้อมูลอย่างรวดเร็วและความสามารถในการจัดการองค์กรจากระยะไกล

คุณจะได้อะไรจากการรวมสำนักงานให้เป็นเครือข่ายเดียว?

บริการการรวมสำนักงานเป็นเครือข่ายเดียวเกี่ยวข้องกับการสร้างเครือข่ายเต็มรูปแบบระหว่างสองแผนกขึ้นไป (สาขา สำนักงาน) ขององค์กรเดียว ซึ่งสร้างขึ้นเพื่อการแลกเปลี่ยนข้อมูลที่ได้รับการป้องกันอย่างรวดเร็วตามโปรโตคอล VPN ในสภาวะปัจจุบันของการพัฒนาธุรกิจ เครือข่ายองค์กรดังกล่าวมีความเกี่ยวข้องเป็นพิเศษ เนื่องจากเป็นโอกาสในการปรับปรุงการจัดการขององค์กรและสาขาในอาณาเขตของตน

ด้วยการรวมสาขาทั้งหมดขององค์กรของคุณไว้ในเครือข่ายเดียว คุณจะสามารถ:

1. บริหารจัดการเครือข่ายสำนักงานที่อยู่ห่างไกลจากกันผ่านอินเตอร์เน็ต เข้าถึงอุปกรณ์ของแต่ละสาขา
2. สร้างฐานข้อมูลกลางและใช้งานซึ่งสะดวกมากสำหรับการจัดการเครือข่ายสำนักงาน
3. ให้การเข้าถึงทรัพยากรภายในขององค์กรแก่ทุกแผนกโดยไม่มีความเสี่ยงต่อการสูญเสียข้อมูล

การรวมสำนักงานด้วยการสร้างเครือข่ายเดียวเป็นบริการที่ไม่ต้องใช้เงินจำนวนมาก สามารถกำหนดค่าได้ที่ระดับเซิร์ฟเวอร์หลักโดยการซื้อจุดเชื่อมต่อ VPN เพิ่มเติม ก่อนที่จะรวมเครือข่ายสำนักงาน คุณจะถูกขอให้ตรวจสอบและประมวลผลข้อมูลทั้งหมด ซึ่งจะทำให้สามารถจัดประเภทข้อมูลทั้งหมดจากสาขาต่างๆ เพื่อป้องกันข้อมูลจากการแฮ็กได้

การรวมสำนักงานให้เป็นเครือข่ายเดียวจะเป็นประโยชน์

ปัจจุบัน องค์กรต่างๆ หันมาใช้เครือข่ายสำนักงานเพิ่มมากขึ้นเรื่อยๆ และไม่เพียงเพราะสะดวกและปลอดภัยเท่านั้น วัตถุประสงค์และวัตถุประสงค์ของสมาคมก็คือผลประโยชน์ที่ได้รับจากการบริการดังกล่าวด้วย

• ต้นทุนลดลงอย่างเห็นได้ชัด เนื่องจากความจำเป็นในการบำรุงรักษาสำนักงานแต่ละแห่งหายไป และทรัพยากรของเซิร์ฟเวอร์กลางก็พร้อมใช้งานสำหรับแต่ละสาขา
• เมื่อได้รับลิขสิทธิ์ซอฟต์แวร์จะได้รับประโยชน์ที่เห็นได้ชัดเช่นกัน
• สำนักงานทั้งหมดใช้ทรัพยากรข้อมูลของกันและกัน ไม่ว่าสาขานั้นจะตั้งอยู่ที่ใดก็ตาม
• ไม่จำเป็นต้องมีเจ้าหน้าที่ผู้เชี่ยวชาญด้านเทคนิคจำนวนมาก เนื่องจากปัญหาส่วนใหญ่แก้ไขได้จากระยะไกล
• คุณจะสามารถจัดการประชุมทางวิดีโอ สัมมนา และการประชุมกับทุกแผนกได้พร้อมๆ กัน ซึ่งจะช่วยประหยัดเวลาได้มาก

นอกจากนี้ การไหลของเอกสารระหว่างสาขาต่างๆ มีความปลอดภัยมากที่สุดเท่าที่จะเป็นไปได้ ด้วยการประมวลผลข้อมูลแบบพิเศษ

เครือข่ายสำนักงานรวมกันอย่างไร?

แม้ว่าหัวข้อนี้จะถูกแฮ็ก แต่บ่อยครั้งที่หลายๆ คนประสบปัญหา ไม่ว่าจะเป็นผู้ดูแลระบบมือใหม่หรือผู้ใช้ขั้นสูงที่ถูกบังคับโดยผู้บังคับบัญชาให้ทำหน้าที่ของผู้เชี่ยวชาญของ Enikey มันขัดแย้งกัน แต่ถึงแม้จะมีข้อมูลมากมายเกี่ยวกับ VPN แต่การค้นหาตัวเลือกที่ชัดเจนก็เป็นปัญหาที่แท้จริง ยิ่งกว่านั้น มีคนรู้สึกว่ามีคนเขียนมัน ในขณะที่คนอื่นคัดลอกข้อความอย่างโจ่งแจ้ง เป็นผลให้ผลการค้นหาเต็มไปด้วยข้อมูลที่ไม่จำเป็นมากมาย ซึ่งแทบจะไม่สามารถดึงสิ่งที่คุ้มค่าออกมาได้ ดังนั้นฉันจึงตัดสินใจเคี้ยวความแตกต่างทั้งหมดด้วยวิธีของฉันเอง (บางทีมันอาจจะเป็นประโยชน์กับใครบางคน)

แล้ว VPN คืออะไร? วีพีพีเอ็น (เสมือนส่วนตัวเครือข่าย- เครือข่ายส่วนตัวเสมือน) เป็นชื่อทั่วไปสำหรับเทคโนโลยีที่อนุญาตให้มีการเชื่อมต่อเครือข่ายตั้งแต่หนึ่งรายการขึ้นไป (เครือข่ายลอจิคัล) ผ่านเครือข่ายอื่น (รวมถึงอินเทอร์เน็ต) ขึ้นอยู่กับโปรโตคอลและวัตถุประสงค์ที่ใช้ VPN สามารถให้การเชื่อมต่อได้ สามประเภท: โหนดโหนด, โหนดเครือข่ายและ เครือข่ายเครือข่ายอย่างที่พวกเขาพูดไม่มีความคิดเห็น

โครงการ VPN แบบเหมารวม

VPN ช่วยให้คุณสามารถรวมโฮสต์ระยะไกลเข้ากับเครือข่ายท้องถิ่นของบริษัทหรือโฮสต์อื่นได้อย่างง่ายดาย รวมทั้งรวมเครือข่ายเป็นหนึ่งเดียว ประโยชน์ที่ได้ค่อนข้างชัดเจน - เราสามารถเข้าถึงเครือข่ายองค์กรได้อย่างง่ายดายจากไคลเอนต์ VPN นอกจากนี้ VPN ยังปกป้องข้อมูลของคุณผ่านการเข้ารหัสอีกด้วย

ฉันไม่ได้เสแสร้งอธิบายหลักการทั้งหมดของการทำงานของ VPN ให้คุณฟัง เนื่องจากมีวรรณกรรมเฉพาะทางมากมาย และพูดตามตรง ฉันเองก็ไม่รู้อะไรมากมายนัก อย่างไรก็ตาม หากงานของคุณคือ “ลงมือทำ!” คุณต้องมีส่วนร่วมในหัวข้อนี้โดยด่วน

มาดูปัญหาจากการปฏิบัติงานส่วนตัวของฉัน เมื่อฉันต้องเชื่อมต่อสำนักงานสองแห่งผ่าน VPN - สำนักงานใหญ่และสำนักงานสาขา สถานการณ์มีความซับซ้อนมากขึ้นเนื่องจากมีเซิร์ฟเวอร์วิดีโออยู่ที่สำนักงานใหญ่ ซึ่งควรจะรับวิดีโอจากกล้อง IP ของสาขา นี่คืองานโดยย่อ

มีวิธีแก้ปัญหามากมาย ทุกอย่างขึ้นอยู่กับสิ่งที่คุณมีอยู่ โดยทั่วไปแล้ว VPN นั้นง่ายต่อการสร้างโดยใช้โซลูชันฮาร์ดแวร์ที่ใช้เราเตอร์ Zyxel ต่างๆ ตามหลักการแล้ว อาจเป็นไปได้ว่าอินเทอร์เน็ตถูกเผยแพร่ไปยังสำนักงานทั้งสองโดยผู้ให้บริการรายเดียว จากนั้นคุณจะไม่มีปัญหาใด ๆ เลย (คุณเพียงแค่ต้องติดต่อผู้ให้บริการ) ถ้าบริษัทรวยก็ซื้อ CISCO ได้ แต่โดยปกติแล้วทุกอย่างจะแก้ไขได้โดยใช้ซอฟต์แวร์

และนี่คือตัวเลือกที่ยอดเยี่ยม - Open VPN, WinRoute (โปรดทราบว่าต้องจ่ายเงิน), เครื่องมือระบบปฏิบัติการ, โปรแกรมอย่าง Hamanchi (พูดตามตรงในบางกรณีที่หายากก็สามารถช่วยได้ แต่ฉันไม่แนะนำให้พึ่งพามัน - เวอร์ชันฟรีจำกัดที่ 5 โฮสต์ และข้อเสียที่สำคัญอีกประการหนึ่งคือการเชื่อมต่อทั้งหมดของคุณขึ้นอยู่กับโฮสต์ Hamanchi ซึ่งไม่ได้ดีเสมอไป) ในกรณีของฉัน การใช้ OpenVPN จะเหมาะสมที่สุด - โปรแกรมฟรีซึ่งสามารถสร้างการเชื่อมต่อ VPN ที่เชื่อถือได้ได้อย่างง่ายดาย แต่เช่นเคย เราจะเดินตามเส้นทางที่มีการต่อต้านน้อยที่สุด

ในสาขาของฉัน อินเทอร์เน็ตได้รับการเผยแพร่โดยเกตเวย์ที่ใช้ไคลเอ็นต์ Windows ฉันเห็นด้วย ไม่ใช่สิ่งที่ดีที่สุด ทางออกที่ดีที่สุดแต่สำหรับคอมพิวเตอร์ไคลเอนต์สามเครื่องก็เพียงพอแล้ว ฉันต้องสร้างเซิร์ฟเวอร์ VPN จากเกตเวย์นี้ เนื่องจากคุณกำลังอ่านบทความนี้ คุณคงแน่ใจว่าคุณยังใหม่กับ VPN ดังนั้นสำหรับคุณฉันขอยกตัวอย่างที่ง่ายที่สุดซึ่งโดยหลักการแล้วเหมาะกับฉัน

ตระกูล Windows NT มีความสามารถด้านเซิร์ฟเวอร์พื้นฐานอยู่แล้ว การตั้งค่าเซิร์ฟเวอร์ VPN บนเครื่องใดเครื่องหนึ่งนั้นไม่ใช่เรื่องยาก ในฐานะเซิร์ฟเวอร์ผมจะยกตัวอย่างภาพหน้าจอของ Windows 7 มาให้แต่ หลักการทั่วไปจะเหมือนกับ XP เก่า

โปรดทราบว่าในการเชื่อมต่อสองเครือข่าย คุณต้องทำ พวกเขามีช่วงที่แตกต่างกัน- ตัวอย่างเช่น ที่สำนักงานใหญ่ ช่วงอาจเป็น 192.168.0.x และที่สำนักงานสาขาอาจเป็น 192.168.20.x (หรือช่วง IP สีเทาใดๆ) นี่เป็นสิ่งสำคัญมากดังนั้นควรระวัง ตอนนี้คุณสามารถเริ่มการตั้งค่าได้แล้ว

ไปที่เซิร์ฟเวอร์ VPN ในแผงควบคุม -> ศูนย์เครือข่ายและการแบ่งปัน และ การเข้าถึงที่ใช้ร่วมกัน-> เปลี่ยนพารามิเตอร์ของอะแดปเตอร์

ตอนนี้กดปุ่ม Alt เพื่อเปิดเมนู ในรายการไฟล์คุณต้องเลือก "การเชื่อมต่อขาเข้าใหม่"

ทำเครื่องหมายในช่องสำหรับผู้ใช้ที่สามารถเข้าสู่ระบบผ่าน VPN ฉันขอแนะนำอย่างยิ่งให้เพิ่มผู้ใช้ใหม่ ตั้งชื่อที่เป็นมิตรและกำหนดรหัสผ่าน

หลังจากที่คุณดำเนินการนี้แล้ว คุณจะต้องเลือกในหน้าต่างถัดไปว่าผู้ใช้จะเชื่อมต่ออย่างไร ทำเครื่องหมายที่ช่อง "ผ่านทางอินเทอร์เน็ต" ตอนนี้คุณเพียงแค่ต้องกำหนดช่วงที่อยู่เครือข่ายเสมือน นอกจากนี้ คุณสามารถเลือกจำนวนคอมพิวเตอร์ที่จะเข้าร่วมในการแลกเปลี่ยนข้อมูลได้ ในหน้าต่างถัดไป เลือกโปรโตคอล TCP/IP เวอร์ชัน 4 คลิก "คุณสมบัติ":

คุณจะเห็นสิ่งที่ฉันมีในภาพหน้าจอ หากคุณต้องการให้ไคลเอ็นต์เข้าถึงเครือข่ายท้องถิ่นที่เซิร์ฟเวอร์ตั้งอยู่ เพียงทำเครื่องหมายที่ช่อง "อนุญาตให้ผู้โทรเข้าถึงเครือข่ายท้องถิ่น" ในส่วน "การกำหนดที่อยู่ IP" ฉันขอแนะนำให้ระบุที่อยู่ด้วยตนเองตามหลักการที่ฉันอธิบายไว้ข้างต้น ในตัวอย่างของฉัน ฉันให้ช่วงที่อยู่เพียงยี่สิบห้าที่อยู่ แม้ว่าฉันจะระบุเพียงสองหรือ 255 ที่อยู่ก็ได้

หลังจากนั้นคลิกที่ปุ่ม "อนุญาตการเข้าถึง"

ระบบจะสร้างเซิร์ฟเวอร์ VPN โดยอัตโนมัติ ซึ่งจะรอใครสักคนมาเข้าร่วมอย่างโดดเดี่ยว

ตอนนี้สิ่งที่ต้องทำคือตั้งค่าไคลเอนต์ VPN บนเครื่องไคลเอนต์ ให้ไปที่ Network and Sharing Center แล้วเลือก การตั้งค่าการเชื่อมต่อหรือเครือข่ายใหม่- ตอนนี้คุณจะต้องเลือกรายการ “การเชื่อมต่อกับสถานที่ทำงาน”

คลิกที่ "ใช้การเชื่อมต่ออินเทอร์เน็ตของฉัน" และตอนนี้คุณจะถูกโยนออกไปนอกหน้าต่างซึ่งคุณจะต้องป้อนที่อยู่ของเกตเวย์อินเทอร์เน็ตของเราที่สาขา สำหรับฉันมันดูเหมือน 95.2.x.x

ตอนนี้คุณสามารถเรียกการเชื่อมต่อป้อนชื่อผู้ใช้และรหัสผ่านที่คุณป้อนบนเซิร์ฟเวอร์แล้วลองเชื่อมต่อ หากทุกอย่างถูกต้อง คุณจะเชื่อมต่อได้ ในกรณีของฉัน ฉันสามารถ ping ไปยังคอมพิวเตอร์สาขาใดก็ได้และขอกล้องได้แล้ว ตอนนี้การเชื่อมต่อแบบโมโนกับเซิร์ฟเวอร์วิดีโอเป็นเรื่องง่าย คุณอาจมีอย่างอื่น

หรืออีกทางหนึ่งเมื่อเชื่อมต่ออาจมีข้อผิดพลาด 800 ปรากฏขึ้นเพื่อระบุว่ามีบางอย่างผิดปกติกับการเชื่อมต่อ นี่เป็นปัญหาไฟร์วอลล์ของไคลเอ็นต์หรือเซิร์ฟเวอร์ ฉันไม่สามารถบอกคุณได้โดยเฉพาะ - ทุกอย่างถูกกำหนดโดยการทดลอง

นี่คือวิธีที่เราสร้าง VPN ระหว่างสำนักงานสองแห่ง ผู้เล่นสามารถรวมเป็นหนึ่งเดียวกันได้ อย่างไรก็ตามอย่าลืมว่านี่จะยังไม่ใช่เซิร์ฟเวอร์ที่มีคุณสมบัติครบถ้วนและควรใช้เครื่องมือขั้นสูงมากกว่านี้ซึ่งฉันจะพูดถึงในส่วนต่อไปนี้

โดยเฉพาะอย่างยิ่งในส่วนที่ 2 เราจะดูการตั้งค่า OPENVPN สำหรับ Windows และ Linux

วิธีสร้างเครือข่ายส่วนตัวสำหรับพนักงานที่ทำงานนอกสถานที่และสาขาระยะไกลทั้งหมด

VPN คืออะไร?

สมมติว่าเรามีสำนักงานสองแห่งในส่วนต่างๆ ของเมือง หรือในเมืองหรือประเทศต่างๆ และแต่ละแห่งเชื่อมต่อกับอินเทอร์เน็ต สำหรับงาน ให้พูดว่า 1C เป็นอันเดียว ระบบองค์กรเราจำเป็นต้องรวมพวกมันไว้ในเครือข่ายท้องถิ่นเดียว (แม้ว่าเราจะนำเสนอโซลูชั่นสำหรับ 1C ในรูปแบบของฐานข้อมูลแบบกระจาย แต่บางครั้งการสร้างเครือข่ายเดียวและเชื่อมต่อก็ง่ายกว่า โดยตรงไปยังเซิร์ฟเวอร์ 1Cราวกับว่าเซิร์ฟเวอร์ตั้งอยู่ในสถานที่ของคุณ)

แน่นอนว่าคุณสามารถซื้อเส้นทางส่วนตัวระหว่างสองเมืองได้ แต่ การตัดสินใจครั้งนี้มันอาจจะแพงมาก
โซลูชันที่ใช้เครือข่ายส่วนตัวเสมือน (VPN - Virtual Private Network) เชิญชวนให้เราจัดระเบียบสายเฉพาะนี้โดยการสร้างอุโมงค์ที่เข้ารหัสทางอินเทอร์เน็ต ข้อได้เปรียบหลักของ VPN บนสายการสื่อสารเฉพาะคือการประหยัดเงินของบริษัทในขณะที่ช่องทางนั้นสมบูรณ์ ปิด.
จากมุมมองของผู้บริโภค VPN เป็นเทคโนโลยีที่ช่วยให้คุณสามารถจัดการการเข้าถึงที่ปลอดภัยจากระยะไกลผ่านช่องทางอินเทอร์เน็ตแบบเปิดไปยังเซิร์ฟเวอร์ ฐานข้อมูล และทรัพยากรใดๆ ของเครือข่ายองค์กรของคุณ สมมติว่านักบัญชีในเมือง A สามารถพิมพ์ใบแจ้งหนี้บนเครื่องพิมพ์ของเลขานุการในเมือง B ที่ลูกค้ามาได้อย่างง่ายดาย พนักงานระยะไกลที่เชื่อมต่อผ่าน VPN จากแล็ปท็อปของตนจะสามารถทำงานบนเครือข่ายได้เหมือนกับว่าพวกเขาอยู่บนเครือข่ายจริงในสำนักงานของตน

บ่อยครั้งมากที่ลูกค้าเจอ *เบรก* เครื่องบันทึกเงินสดเมื่อใช้ Remote Desktop คุณจะต้องติดตั้ง VPN สิ่งนี้จะช่วยให้คุณสามารถกำจัดการส่งข้อมูลสำหรับเครื่องบันทึกเงินสดไปมาไปยังเซิร์ฟเวอร์ผ่าน COM เสมือนผ่านอินเทอร์เน็ตและจะอนุญาตให้ติดตั้งไคลเอนต์แบบบาง ณ จุดใดก็ได้ที่สื่อสารกับเครื่องบันทึกเงินสดโดยตรงโดยส่งเฉพาะที่จำเป็นเท่านั้น ข้อมูลไปยังเซิร์ฟเวอร์ผ่านช่องทางปิด และการเผยแพร่อินเทอร์เฟซ RDP ไปยังอินเทอร์เน็ตโดยตรงจะทำให้บริษัทของคุณมีความเสี่ยงอย่างมาก

วิธีการเชื่อมต่อ

วิธีการจัดระเบียบ VPN เหมาะสมที่สุดเพื่อเน้น 2 วิธีหลักต่อไปนี้:

• (ลูกค้า-เครือข่าย ) การเข้าถึงระยะไกลของพนักงานแต่ละคนไปยังเครือข่ายองค์กรขององค์กรผ่านโมเด็มหรือเครือข่ายสาธารณะ
• (เครือข่าย - เครือข่าย) รวมสำนักงานสองแห่งขึ้นไปไว้ในเครือข่ายเสมือนที่ปลอดภัยเพียงแห่งเดียวผ่านทางอินเทอร์เน็ต

คู่มือส่วนใหญ่ โดยเฉพาะสำหรับ Windows อธิบายการเชื่อมต่อตามรูปแบบแรก ในเวลาเดียวกัน คุณต้องเข้าใจว่าการเชื่อมต่อนี้ไม่ใช่อุโมงค์ แต่อนุญาตให้คุณเชื่อมต่อกับเครือข่าย VPN เท่านั้น ในการจัดระเบียบอุโมงค์เหล่านี้ เราต้องการเพียง 1 IP สีขาวเท่านั้น และไม่ได้ขึ้นอยู่กับจำนวนสำนักงานระยะไกล หลายคนเชื่อผิดๆ

รูปภาพแสดงตัวเลือกทั้งสองสำหรับการเชื่อมต่อกับสำนักงานใหญ่ A

มีการจัดตั้งช่องทางระหว่างสำนักงาน A และ B เพื่อให้แน่ใจว่าสำนักงานจะรวมเป็นเครือข่ายเดียว สิ่งนี้ทำให้มั่นใจได้ถึงความโปร่งใสของทั้งสองสำนักงานสำหรับอุปกรณ์ใด ๆ ที่อยู่ในหนึ่งในนั้น ซึ่งช่วยแก้ปัญหาได้มากมาย ตัวอย่างเช่น การจัดความจุหมายเลขเดียวภายใน PBX เดียวด้วยโทรศัพท์ IP

บริการทั้งหมดของสำนักงาน A พร้อมใช้งานสำหรับไคลเอนต์มือถือ และหากสำนักงาน B ตั้งอยู่ในเครือข่ายเสมือนเดียว บริการของสำนักงานก็จะพร้อมใช้งานเช่นกัน

ในกรณีนี้ วิธีการเชื่อมต่อไคลเอนต์มือถือมักจะถูกนำมาใช้โดยโปรโตคอล PPTP (Point-to-Point Tunneling Protocol) โปรโตคอลการขุดอุโมงค์แบบจุดต่อจุด และ IPsec ที่สองหรือ OpenVPN

PPTP

(Point-to-Point Tunneling Protocol bumagin-lohg) เป็นโปรโตคอลช่องสัญญาณแบบจุดต่อจุด ซึ่งเป็นผลงานของ Microsoft และเป็นส่วนขยายของ PPP (โปรโตคอลแบบจุดต่อจุด) ดังนั้นการใช้การรับรองความถูกต้อง การบีบอัด และ กลไกการเข้ารหัส โปรโตคอล PPTP ถูกสร้างขึ้นในรีโมท การเข้าถึงวินโดวส์ประสบการณ์ ด้วยตัวเลือกมาตรฐานของโปรโตคอลนี้ Microsoft ขอแนะนำให้ใช้วิธีการเข้ารหัส MPPE (Microsoft Point-to-Point Encryption) คุณสามารถถ่ายโอนข้อมูลโดยไม่ต้องเข้ารหัสได้ แบบฟอร์มเปิด- การห่อหุ้มข้อมูลโดยใช้โปรโตคอล PPTP เกิดขึ้นโดยการเพิ่มส่วนหัว GRE (Generic Routing Encapsulation) และส่วนหัว IP ให้กับข้อมูลที่ประมวลผลโดยโปรโตคอล PPP

เนื่องจากข้อกังวลด้านความปลอดภัยที่สำคัญ จึงไม่มีเหตุผลที่จะเลือก PPTP เหนือโปรโตคอลอื่น ๆ นอกเหนือจากความเข้ากันไม่ได้ของอุปกรณ์กับโปรโตคอล VPN อื่น ๆ หากอุปกรณ์ของคุณรองรับ L2TP/IPsec หรือ OpenVPN ก็ควรเลือกหนึ่งในโปรโตคอลเหล่านี้

ควรสังเกตว่าอุปกรณ์เกือบทั้งหมด รวมถึงอุปกรณ์พกพา มีไคลเอนต์ติดตั้งอยู่ในระบบปฏิบัติการ (Windows, iOS, Android) ที่ให้คุณตั้งค่าการเชื่อมต่อได้ทันที

L2TP

(Layer Two Tunneling Protocol) เป็นโปรโตคอลขั้นสูงที่เกิดจากการรวมกันระหว่างโปรโตคอล PPTP (จาก Microsoft) และ L2F (จาก Cisco) โดยผสมผสานโปรโตคอลที่ดีที่สุดทั้งหมดของทั้งสองโปรโตคอลเข้าด้วยกัน ให้การเชื่อมต่อที่ปลอดภัยกว่าตัวเลือกแรก การเข้ารหัสเกิดขึ้นโดยใช้โปรโตคอล IPSec (ความปลอดภัย IP) L2TP ยังถูกสร้างขึ้นในไคลเอนต์การเข้าถึงระยะไกลของ Windows XP ยิ่งกว่านั้นเมื่อพิจารณาประเภทการเชื่อมต่อโดยอัตโนมัติไคลเอนต์จะพยายามเชื่อมต่อกับเซิร์ฟเวอร์โดยใช้โปรโตคอลนี้ก่อนเนื่องจากจะดีกว่าในแง่ของความปลอดภัย

ในเวลาเดียวกันโปรโตคอล IPsec มีปัญหาเช่นการประสานงานของพารามิเตอร์ที่จำเป็น เนื่องจากผู้ผลิตหลายรายตั้งค่าพารามิเตอร์เป็นค่าเริ่มต้นโดยไม่มีความเป็นไปได้ในการกำหนดค่าฮาร์ดแวร์ที่ใช้โปรโตคอลนี้จะเข้ากันไม่ได้

โอเพ่น VPN

โซลูชัน VPN แบบเปิดขั้นสูงที่สร้างขึ้นโดยเทคโนโลยี OpenVPN ซึ่งปัจจุบันเป็นมาตรฐานในเทคโนโลยี VPN โดยพฤตินัย โซลูชันนี้ใช้โปรโตคอลการเข้ารหัส SSL/TLS OpenVPN ใช้ไลบรารี OpenSSL เพื่อให้การเข้ารหัส รองรับ OpenSSL จำนวนมากอัลกอริธึมการเข้ารหัสต่างๆ เช่น 3DES, AES, RC5, Blowfish เช่นเดียวกับในกรณีของ IPSec CheapVPN มีการเข้ารหัสในระดับที่สูงมาก - อัลกอริธึม AES ที่มีความยาวคีย์ 256 บิต
OpenVPN เป็นทางออกเดียวที่ช่วยให้คุณหลีกเลี่ยงผู้ให้บริการที่ตัดหรือเรียกเก็บค่าธรรมเนียมในการเปิดโปรโตคอลเพิ่มเติมนอกเหนือจาก WEB ทำให้สามารถจัดระเบียบช่องที่โดยหลักการแล้ว ไม่สามารถติดตามได้และ เรามีวิธีแก้ปัญหาดังกล่าว

ตอนนี้คุณคงพอเข้าใจแล้วว่า VPN คืออะไรและมันทำงานอย่างไร หากคุณเป็นผู้จัดการ ลองคิดดู บางทีนี่อาจเป็นสิ่งที่คุณกำลังมองหาอยู่ก็ได้

ตัวอย่างการตั้งค่าเซิร์ฟเวอร์ OpenVPN บนแพลตฟอร์ม pfSense

การสร้างเซิร์ฟเวอร์

• อินเทอร์เฟซ: วาน(อินเทอร์เฟซเครือข่ายเซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ต)
• โปรโตคอล: ยูดีพี
• พอร์ตท้องถิ่น: 1194
• คำอธิบาย: pfSenseOVPN(ชื่อใดก็ได้ที่สะดวก)
• เครือข่ายอุโมงค์: 10.0.1.0/24
• เกตเวย์การเปลี่ยนเส้นทาง: เปิดเครื่อง(ปิดใช้งานตัวเลือกนี้หากคุณไม่ต้องการให้การรับส่งข้อมูลอินเทอร์เน็ตของไคลเอ็นต์ทั้งหมดถูกเปลี่ยนเส้นทางผ่านเซิร์ฟเวอร์ VPN)
• เครือข่ายท้องถิ่น: ปล่อยว่างไว้(หากคุณต้องการให้เครือข่ายท้องถิ่นที่อยู่ด้านหลังเซิร์ฟเวอร์ pfSense สามารถเข้าถึงได้โดยไคลเอนต์ VPN ระยะไกล ให้ระบุที่นี่ พื้นที่ที่อยู่เครือข่ายนี้ สมมติว่า 192.168.1.0/24)
• การเชื่อมต่อพร้อมกัน: 2 (หากคุณซื้อใบอนุญาตเซิร์ฟเวอร์การเข้าถึงระยะไกล OpenVPN เพิ่มเติม ให้ป้อนหมายเลขที่สอดคล้องกับจำนวนใบอนุญาตที่ซื้อ)
• การสื่อสารระหว่างลูกค้า: เปิดเครื่อง(ถ้าคุณไม่ต้องการให้ไคลเอนต์ VPN เห็นกัน ให้ปิดการใช้งานตัวเลือกนี้)
• เซิร์ฟเวอร์ DNS 1 (2 ฯลฯ): ระบุเซิร์ฟเวอร์ DNS ของโฮสต์ pfSense(คุณสามารถดูที่อยู่ของพวกเขาได้ในส่วน ระบบ > การตั้งค่าทั่วไป > เซิร์ฟเวอร์ DNS)

ต่อไป เราสร้างไคลเอนต์และเพื่อลดความซับซ้อนของขั้นตอนการกำหนดค่าสำหรับโปรแกรมไคลเอนต์ pfSense ได้จัดเตรียมเครื่องมือเพิ่มเติม - “ยูทิลิตี้ส่งออกไคลเอนต์ OpenVPN”- เครื่องมือนี้จะเตรียมแพ็คเกจการติดตั้งและไฟล์สำหรับลูกค้าโดยอัตโนมัติ โดยหลีกเลี่ยง การตั้งค่าด้วยตนเองไคลเอนต์ OpenVPN

การเชื่อมต่อ VPN ระหว่างสำนักงานครอบคลุมข้อกำหนดด้านความปลอดภัยทางธุรกิจ เช่น:

• ความเป็นไปได้ในการเข้าถึงข้อมูลแบบรวมศูนย์จากสำนักงานและจากสำนักงานใหญ่
• ระบบข้อมูลองค์กรแบบครบวงจร
• ฐานข้อมูลองค์กรที่มีจุดเข้าเพียงจุดเดียว
• องค์กร อีเมลด้วยจุดเริ่มต้นเพียงจุดเดียว
• การรักษาความลับของข้อมูลที่ถ่ายโอนระหว่างสำนักงาน

หากคุณมีปัญหาในการตั้งค่าหรือยังไม่ได้ตัดสินใจเกี่ยวกับเทคโนโลยี VPN โทรหาเรา!

สมมติว่าเรามีสำนักงาน 2 แห่งในส่วนต่างๆ ของเมือง หรือในเมืองหรือประเทศต่างๆ และแต่ละแห่งเชื่อมต่อกับอินเทอร์เน็ตผ่านช่องทางที่ค่อนข้างดี เราจำเป็นต้องเชื่อมต่อพวกมันเข้ากับเครือข่ายท้องถิ่นเดียว ในกรณีนี้ผู้ใช้ทุกคนจะต้องเดาว่าคอมพิวเตอร์หรือเครื่องพิมพ์นี้อยู่ที่ใดในเครือข่ายท้องถิ่น ใช้เครื่องพิมพ์ โฟลเดอร์แชร์ และข้อดีทั้งหมดของเครือข่ายทางกายภาพ พนักงานระยะไกลที่เชื่อมต่อผ่าน OpenVPN จะสามารถทำงานบนเครือข่ายได้เหมือนกับว่าคอมพิวเตอร์ของพวกเขาอยู่บนเครือข่ายทางกายภาพของสำนักงานแห่งใดแห่งหนึ่ง

เราจะตั้งค่ามันใน ระบบปฏิบัติการ Debian Squeeze แต่คำแนะนำนั้นใช้ได้กับการกระจายที่ใช้ Debian อย่างสมบูรณ์ และด้วยการเปลี่ยนแปลงเล็กน้อยในคำสั่งสำหรับการติดตั้งและกำหนดค่าบริดจ์ และ OpenVPN จะใช้ได้กับการกระจาย Linux หรือ FreeBSD ใด ๆ

สมมติว่ามีการติดตั้งการกระจาย Debian หรือ Ubuntu ตามคำแนะนำข้อใดข้อหนึ่ง:

มาติดตั้งและกำหนดค่าเครือข่าย VPN โดยใช้ OpenVPN โดยใช้บริดจ์ แตะ0

เราสร้างสะพานเครือข่ายระหว่างเครือข่ายทางกายภาพ eth1และอินเทอร์เฟซเสมือน แตะ0

ติดตั้ง โปรแกรมที่จำเป็นโดยยอมรับคำขอของผู้จัดการแพ็คเกจ:

เรากำหนดค่าเครือข่ายเซิร์ฟเวอร์ตามความจริงที่ว่าเรามีการ์ดเครือข่าย 2 อัน: เครือข่าย eth0 eth1 br0

การแก้ไขไฟล์การกำหนดค่า /etc/เครือข่าย/อินเทอร์เฟซ:

Auto lo iface lo inet loopback # ผู้ให้บริการอินเทอร์เน็ต auto eth0 iface eth0 ที่อยู่คงที่ inet 192.168.50.2 netmask 255.255.255.0 เกตเวย์ 192.168.50.1 # เครือข่ายท้องถิ่น auto eth1 iface eth1 ที่อยู่คงที่ inet 10.10.10.1 netmask 255.255.255.0

อัตโนมัติ lo iface lo inet loopback # เราลงทะเบียนบริดจ์ เรารวมอินเทอร์เฟซ tap0 VPN และการ์ดเครือข่าย eth1 ไว้ในนั้น auto br0 iface br0 inet static # เราเพิ่มอินเทอร์เฟซ openvpn ให้กับ tap0 bridge bridge_ports eth1 tap0 ที่อยู่ 10.10.10.1 netmask 255.255 .255.0 # อินเทอร์เน็ตอัตโนมัติ eth0 iface eth0 ที่อยู่คงที่ inet 192.168.50.2 netmask 255.255.255.0 เกตเวย์ 192.168.50.1

หลังจากนี้ เมื่อคุณรันคำสั่ง ifconfig บริดจ์ควรปรากฏขึ้น br0ด้วย IP 10.10.10.1 อินเทอร์เฟซ eth0ด้วยที่อยู่ IP 192.168.50.2 และอินเทอร์เฟซ eth1โดยไม่มีที่อยู่ IP เนื่องจากอยู่ในบริดจ์ br0

การตั้งค่า OPENVPN:
เราคัดลอกสคริปต์เพื่อกำหนดค่าเซิร์ฟเวอร์ openvpn ของเราด้วยคำสั่ง:

Cp -Rp /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /etc/openvpn/easy-rsa

ทำการเปลี่ยนแปลงไฟล์ /etc/openvpn/easy-rsa/varsเพื่อกำหนดตัวแปรร่วมและป้อนข้อมูลน้อยลงเมื่อสร้างคีย์:

Vi /etc/openvpn/easy-rsa/vars

ส่งออก KEY_COUNTRY="US" ส่งออก KEY_PROVINCE="CA" ส่งออก KEY_CITY="SanFrancisco" ส่งออก KEY_ORG="Fort-Funston" ส่งออก KEY_EMAIL=" "

ส่งออก KEY_COUNTRY="UA" ส่งออก KEY_PROVINCE="11" ส่งออก KEY_CITY="เคียฟ" ส่งออก KEY_ORG="NameFirm" ส่งออก KEY_EMAIL=" "

ไปที่โฟลเดอร์ที่มีสคริปต์สำหรับสร้างใบรับรองและคีย์ด้วยคำสั่ง:

ซีดี /etc/openvpn/easy-rsa/

เราเริ่มต้น PKI (โครงสร้างพื้นฐานคีย์สาธารณะ) ด้วยคำสั่ง:

- ./vars ./ทำความสะอาดทั้งหมด

ความสนใจ. เมื่อดำเนินการตามคำสั่ง ./ทำความสะอาดทั้งหมดใบรับรองและคีย์ที่มีอยู่ทั้งหมดของทั้งเซิร์ฟเวอร์และไคลเอนต์จะถูกลบ ดังนั้นอย่ารันบนเซิร์ฟเวอร์ที่ใช้งานจริง หรือรันหลังจากบันทึกโฟลเดอร์ /etc/openvpn/ไปยังไฟล์เก็บถาวรด้วยคำสั่ง:

Tar cf - /etc/openvpn/ | gzip -c -9 > /home/openvpn_backup.tgz

เราสร้างใบรับรองผู้ออกใบรับรอง (CA) และคีย์ด้วยคำสั่ง:

./build-ca

พารามิเตอร์ส่วนใหญ่จะเลือกมาจากไฟล์ vars ต้องระบุเฉพาะพารามิเตอร์ Name อย่างชัดเจน:

ชื่อ:vpn

โดยทั่วไป คุณสามารถกรอกข้อมูลทุกช่องในแต่ละครั้งตามที่คุณต้องการ

เราสร้างพารามิเตอร์ Diffie-Hellman ด้วยคำสั่ง:

./build-dh

เราสร้างใบรับรองและรหัสลับเซิร์ฟเวอร์ ห้ามป้อนสิ่งใดเมื่อได้รับแจ้งให้ใส่รหัสผ่าน และเมื่อได้รับแจ้ง ลงนามใบรับรอง?: เข้า ยและกด เข้าโดยการรันคำสั่ง:

./build-key-เซิร์ฟเวอร์เซิร์ฟเวอร์

พารามิเตอร์ทั้งหมดได้รับการยอมรับตามค่าเริ่มต้น เมื่อมีการร้องขอ ชื่อสามัญเข้า เซิร์ฟเวอร์

ชื่อสามัญ (เช่น ชื่อของคุณหรือชื่อโฮสต์ของเซิร์ฟเวอร์ของคุณ) :server

สำหรับคำถาม ลงนามใบรับรอง?และ คำขอใบรับรอง 1 ใน 1 ได้รับการรับรอง ยอมรับหรือไม่เราตอบในเชิงบวก:

ลงนามใบรับรอง? :y 1 ใน 1 คำขอใบรับรองได้รับการรับรอง ยอมรับหรือไม่ ย

สิ่งที่เหลืออยู่คือการสร้างใบรับรองและคีย์สำหรับลูกค้า ขั้นแรกเราเริ่มต้นพารามิเตอร์:

ซีดี /etc/openvpn/easy-rsa/ ./vars

การสร้างคีย์สำหรับผู้ใช้ เซิร์ฟเวอร์1- ตัวอย่างเช่น เราเพิ่มผู้ใช้ได้มากเท่าที่จำเป็น:

./build-key server1 ./build-key ไคลเอ็นต์1 ./build-key client2

จากการที่เรามีเครือข่าย 10.10.10.0/24 เราจัดสรรที่อยู่สำหรับคอมพิวเตอร์ในสำนักงาน 1 ทันที - 10.10.10.40-149 สำหรับสำนักงาน 2 เราจัดสรรกลุ่มที่อยู่ 10.10.10.150-254 และจัดสรรที่อยู่สำหรับพนักงานที่อยู่ห่างไกล 10.10.10.21-39.
สร้างโฟลเดอร์ /etc/openvpn/ccd/โดยที่เราระบุไคลเอนต์ใดด้วย IP ใดโดยใช้คำสั่ง:

Mkdir -p /etc/openvpn/ccd/

เรากำหนด IP ของลูกค้าแต่ละรายบนเครือข่ายโดยใช้คำสั่ง::

เสียงสะท้อน "ifconfig-push 10.10.10.150 255.255.255.0" > /etc/openvpn/ccd/server1 echo "ifconfig-push 10.10.10.21 255.255.255.0" > /etc/openvpn/ccd/client1 echo "ifconfig-push 10.10.10.22 255.255.255.0"> /etc/openvpn/ccd/client2

สร้างไฟล์การกำหนดค่าเซิร์ฟเวอร์:

Vi /etc/openvpn/server.conf ################################# พอร์ต 1195 โปรโต udp dev tap0 ca easy-rsa/keys/ca.crt cert คีย์ easy-rsa/keys/server.crt easy-rsa/keys/server.key # ไฟล์นี้ควรถูกเก็บเป็นความลับ dh easy-rsa/keys/dh1024.pem เซิร์ฟเวอร์โหมด tls- เซิร์ฟเวอร์ daemon ifconfig 10.10.10.1 255.255.255.0 client-config-dir /etc/openvpn/ccd keepalive 10 20 client-to-client comp-lzo คีย์คงอยู่ กริยา 3 บันทึกต่อท้าย /var/log/openvpn.log #script-security 2 # ไม่แสดงความคิดเห็นเมื่อทำงานกับ OpenVPN เวอร์ชัน 2.4 ขึ้นไป /etc/openvpn/up.sh ########################### ######

Vi /etc/default/openvpn.vi

ตัวเลือก = ""

OPTARGS = "--สคริปต์ความปลอดภัย 2"

การสร้างสคริปต์ /etc/openvpn/up.shเปิดตัวเมื่อเซิร์ฟเวอร์ OpenVPN เริ่มทำงาน:

Vi /etc/openvpn/up.sh #!/bin/sh brctl addif br0 tap0 brctl addif br0 eth1 ifconfig tap0 0.0.0.0

เราให้สิทธิ์ในการรันสคริปต์ /etc/openvpn/up.shสั่งการ:

Chmod +x /etc/openvpn/up.sh

หลังจากนี้ ให้รีบูทเซิร์ฟเวอร์ OpenVPN ด้วยคำสั่ง:

ดำเนินการคำสั่ง ถ้ากำหนดค่าอินเทอร์เฟซควรปรากฏขึ้น แตะ0โดยไม่มีที่อยู่ IP

เรากำลังรวบรวมไฟล์เก็บถาวรพร้อมคีย์เพื่อแจกจ่ายให้กับพนักงานที่อยู่ห่างไกลและส่งไปยังสำนักงาน 2

เราสร้างโฟลเดอร์ด้วยชื่อผู้ใช้โดยใช้คำสั่ง:

Mkdir -p /etc/openvpn/users/server1 mkdir -p /etc/openvpn/users/client1 mkdir -p /etc/openvpn/users/client2

สร้างโฟลเดอร์ที่มีคีย์ที่เก็บถาวรด้วยคำสั่ง:

Mkdir -p /etc/openvpn/users_tgz

เรารวบรวมคีย์และใบรับรองจากโฟลเดอร์ผู้ใช้โดยใช้คำสั่ง:

Cp /etc/openvpn/server/easy-rsa/keys/server1.key /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/server1.crt /etc/openvpn/users/ server1/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/client1.key /etc/openvpn/ ผู้ใช้/client1/ cp /etc/openvpn/server/easy-rsa/keys/client1.crt /etc/openvpn/users/client1/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/ openvpn/users/client1/ cp /etc/openvpn/server/easy-rsa/keys/client2.key /etc/openvpn/users/client2/ cp /etc/openvpn/server/easy-rsa/keys/client2.crt / ฯลฯ/openvpn/users/client2/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/client2/

เราสร้างไฟล์คอนฟิกูเรชันตามข้อเท็จจริงที่ว่า เซิร์ฟเวอร์1คือเซิร์ฟเวอร์สำนักงานระยะไกล 2 และ ลูกค้า1และ ลูกค้า2พนักงานเหล่านี้คือพนักงานระยะไกลที่เชื่อมต่อกับเครือข่าย VPN จากภายนอกจาก Windows

แทนที่จะเป็น IP-SERVER-VPN เราตั้งค่าที่อยู่ IP ภายนอกของเซิร์ฟเวอร์ OpenVPN

สร้างไฟล์การกำหนดค่า OpenVPN สำหรับเซิร์ฟเวอร์ 1:

Echo " ไคลเอนต์ IP-SERVER-VPN 1195 ระยะไกล dev tap0 proto udp แก้ไข-ลองใหม่อย่างไม่มีที่สิ้นสุด nobind ยืนยันคีย์คงอยู่-tun ca ca.crt ใบรับรอง server1.crt คีย์ server1.key comp-lzo กริยา 4 ปิดเสียง 20 กริยา 3 บันทึกผนวก / var/log/openvpn.log ขึ้น /etc/openvpn/up.sh "> /etc/openvpn/users/server1/server1.conf

การเก็บคีย์สำหรับ เซิร์ฟเวอร์1สั่งการ:

Tar cf - /etc/openvpn/users/server1 | gzip -c -9 > /etc/openvpn/users_tgz/server1.tgz

ลูกค้า1:

Echo " ไคลเอนต์ IP-SERVER-VPN 1195 ระยะไกล dev tap0 proto udp แก้ไข - ลองใหม่ไม่มีที่สิ้นสุด nobind ยืนยัน - คีย์คงอยู่ - tun ca ca.crt ใบรับรอง client1.crt คีย์ client1.key comp-lzo กริยา 4 ปิดเสียง 20 กริยา 3 " > /etc /openvpn/users/client1/client1.ovpn

เก็บคีย์สำหรับ client1 ด้วยคำสั่ง:

Tar cf - /etc/openvpn/users/client1 | gzip -c -9 > /etc/openvpn/users_tgz/client1.tgz

สร้างไฟล์การกำหนดค่าสำหรับ ลูกค้า2สั่งการ:

Echo " ไคลเอนต์ IP-SERVER-VPN 1195 ระยะไกล dev tap0 proto udp แก้ไข - ลองใหม่ไม่มีที่สิ้นสุด nobind ยืนยัน - คีย์คงอยู่ - tun ca.crt ใบรับรอง client2.crt คีย์ client2.key comp-lzo กริยา 4 ปิดเสียง 20 กริยา 3 " > /etc /openvpn/users/client1/client2.ovpn

การเก็บคีย์สำหรับ ลูกค้า2สั่งการ:

Tar cf - /etc/openvpn/users/client2 | gzip -c -9 > /etc/openvpn/users_tgz/client2.tgz

การตั้งค่าเซิร์ฟเวอร์ VPN สำหรับสำนักงาน 2

ตามคำแนะนำข้างต้น เราได้ติดตั้งและกำหนดค่าเซิร์ฟเวอร์ VPN แล้ว เดเบียน GNU/Linuxด้วยการใช้ OpenVPN เราได้สร้างคีย์พร้อมใบรับรองสำหรับเซิร์ฟเวอร์ระยะไกลของสำนักงาน 2 และพนักงานระยะไกล ตอนนี้เราต้องเชื่อมต่อ office 1 กับ office 2 เข้ากับเครือข่ายท้องถิ่นเดียวผ่าน VPN

สมมติว่าใน office 2 เราได้ติดตั้งและกำหนดค่าเซิร์ฟเวอร์ Linux (เกตเวย์) ซึ่งกระจายช่องทางอินเทอร์เน็ตสำหรับพนักงาน office 2 เซิร์ฟเวอร์นี้มีการ์ดเครือข่าย 2 อัน: eth0 - ผู้ให้บริการอินเทอร์เน็ต และ eth1- เครือข่ายท้องถิ่นจะรวมอยู่ในบริดจ์และจะมีกลุ่มที่อยู่ 10.10.10.100-254

เราจำเป็นต้องติดตั้งซอฟต์แวร์ด้วยคำสั่ง:

ความถนัดในการติดตั้ง bridge-utils openvpn

การตั้งค่าเครือข่ายเซิร์ฟเวอร์

เรากำหนดค่าเครือข่ายโดยพิจารณาว่าเรามีการ์ดเครือข่าย 2 อัน eth0- รับอินเทอร์เน็ตจากผู้ให้บริการและผ่านสำนักงาน 1 เข้าถึงอินเทอร์เน็ตรวมถึงเครือข่าย eth1- รวมอยู่ในสวิตช์เครือข่ายท้องถิ่นของสำนักงาน 1 โดยจะรวมอยู่ในบริดจ์พร้อมอินเทอร์เฟซ br0

แก้ไขไฟล์คอนฟิกูเรชัน /etc/network/interfaces:

Vi /etc/network/interfaces.vi

Auto lo iface lo inet loopback # ผู้ให้บริการอินเทอร์เน็ต auto eth0 iface eth0 ที่อยู่คงที่ inet 192.168.60.2 netmask 255.255.255.0 เกตเวย์ 192.168.60.1 # เครือข่ายท้องถิ่น auto eth0 iface eth0 ที่อยู่คงที่ inet 192.168.1.1 netmask 255.255.255.0

อัตโนมัติ lo iface lo inet loopback # เราลงทะเบียนบริดจ์ เรารวมอินเทอร์เฟซ tap0 VPN และการ์ดเครือข่าย eth1 ไว้ในนั้น auto br0 iface br0 inet static # เราเพิ่มอินเทอร์เฟซ openvpn ให้กับ tap0 bridge bridge_ports eth1 tap0 ที่อยู่ 10.10.10.150 netmask 255.255 .255.0 # อินเทอร์เน็ตอัตโนมัติ eth0 iface eth0 ที่อยู่คงที่ inet 192.168.60.2 netmask 255.255.255.0 เกตเวย์ 192.168.60.1

บันทึกการเปลี่ยนแปลงและรีบูตเครือข่ายด้วยคำสั่ง:

/etc/init.d/รีสตาร์ทเครือข่าย

หลังจากนั้นเมื่อดำเนินการตามคำสั่ง ถ้ากำหนดค่า สะพานควรจะปรากฏขึ้น br0ด้วยไอพี 10.10.10.150 , อินเทอร์เฟซ eth0ด้วยที่อยู่ IP 192.168.60.2 และอินเทอร์เฟซ eth1โดยไม่มีที่อยู่ IP เนื่องจากอยู่ในบริดจ์ br0

สำหรับคอมพิวเตอร์ office 2 เราจะออกที่อยู่ IP ให้กับคอมพิวเตอร์โดยไม่ต้องไปไกลกว่านั้น 10.10.10.150-254 , ที่ไหน 10.10.10.150 - นี่คือที่อยู่ IP ของเซิร์ฟเวอร์ office 2

เราอัปโหลดไฟล์เก็บถาวรคีย์ OpenVPN ที่รวบรวมจากเซิร์ฟเวอร์ VPN ของสำนักงาน 1 ไปยังเซิร์ฟเวอร์สำนักงาน 2 ด้วยคำสั่ง:

Ssh -P22 /etc/openvpn/users_tgz/server1.tgz :/root/

หรือหากเซิร์ฟเวอร์ 1 ของสำนักงาน 2 ไม่มี IP ถาวรหรือไดนามิก เราจะรวมคีย์จากเซิร์ฟเวอร์ VPN ของสำนักงาน 2 ด้วยคำสั่ง:

Ssh -P22 :/etc/openvpn/users_tgz/server1.tgz /root/

เมื่อได้รับแจ้งให้ใส่รหัสผ่าน ให้ป้อนรหัสผ่านผู้ใช้ ราก หลังจากป้อนรหัสผ่านที่ถูกต้อง ไฟล์เก็บถาวรที่มีคีย์จะถูกดาวน์โหลดไปยังโฟลเดอร์ /root/server1.tgz

คลายเนื้อหาของไฟล์เก็บถาวร ( เฉพาะไฟล์สำคัญที่ไม่มีโฟลเดอร์) /root/server1.tgzไปยังโฟลเดอร์ /etc/openvpn/

อนุญาตให้ OpenVPN เรียกใช้สคริปต์:

Vi /etc/default/openvpn.vi

ตัวเลือก = ""

OPTARGS = "--สคริปต์ความปลอดภัย 2"

การสร้างสคริปต์ /etc/openvpn/up.shเปิดตัวเมื่อไคลเอนต์ VPN เชื่อมต่อกับเซิร์ฟเวอร์ VPN:

Vi /etc/openvpn/up.sh #!/bin/sh brctl addif br0 tap0 brctl addif br0 eth1 ifconfig tap0 0.0.0.0 chmod +x /etc/openvpn/up.sh

รีบูทเซิร์ฟเวอร์ OpenVPN ด้วยคำสั่ง:

/etc/init.d/openvpn รีสตาร์ท

เมื่อดำเนินการตามคำสั่ง ถ้ากำหนดค่าอินเทอร์เฟซควรปรากฏขึ้น แตะ0โดยไม่มีที่อยู่ IP

ตอนนี้คุณสามารถ ping คอมพิวเตอร์ของสำนักงานอื่นจากทั้งสองสำนักงาน ใช้โฟลเดอร์ที่ใช้ร่วมกัน เครื่องพิมพ์ ทรัพยากรของสำนักงานอื่น และยังจัดการต่อสู้การเล่นเกมระหว่างสำนักงาน 1 และสำนักงาน 2 :)

หากต้องการตรวจสอบอินเทอร์เฟซที่เชื่อมต่อกับบริดจ์ ให้รันคำสั่ง:

การแสดง BRCTl

การตอบสนองของระบบ:

ชื่อบริดจ์ บริดจ์ id อินเตอร์เฟสที่เปิดใช้งาน STP br0 7000.003ds4sDsf6 ไม่มี eth1 tap0

เราเห็นการ์ดเครือข่ายท้องถิ่นของเรา eth1และอินเทอร์เฟซเสมือน OpenVPN แตะ0

งานเสร็จสมบูรณ์ สำนักงานระยะไกลสองแห่งเชื่อมต่อกันเป็นเครือข่ายท้องถิ่นเดียว

หากคุณพบว่าบทความนี้มีประโยชน์ โปรดแบ่งปันกับเพื่อนของคุณโดยคลิกที่ไอคอนของคุณ เครือข่ายทางสังคมที่ด้านล่างของบทความนี้ โปรดแสดงความคิดเห็นเกี่ยวกับคำแนะนำนี้ คุณชอบหรือมีประโยชน์หรือไม่ คุณยังสามารถสมัครรับการแจ้งเตือนบทความใหม่ทางอีเมลของคุณบนเพจ

ตอนนี้เรามาพักสักครึ่งนาทีเพื่อผ่อนคลายอารมณ์ในการทำงานที่มีประสิทธิผลมากขึ้น ดูวิดีโอแล้วยิ้ม:

เป้าหมายหลักของการรวมเครือข่ายสำนักงานในพื้นที่คือการจัดให้มีการเข้าถึงการกระจายทางภูมิศาสตร์อย่างโปร่งใส แหล่งข้อมูลองค์กรต่างๆ การรวมเครือข่ายสำนักงานช่วยให้คุณสามารถแก้ไขปัญหาที่พบบ่อยที่สุดต่อไปนี้:

• ใช้ความจุหมายเลขเดียวของสำนักงาน PBX
• ตรวจสอบให้แน่ใจว่าผู้ใช้อนุญาตในการเข้าถึงทรัพยากร (โฟลเดอร์ที่ใช้ร่วมกัน ไซต์อินทราเน็ต อีเมล ฯลฯ) โดยไม่คำนึงถึงตำแหน่งปัจจุบันของพวกเขา
• ให้การเข้าถึงที่ปลอดภัยสำหรับพนักงานขององค์กรไปยังทรัพยากรที่ตั้งอยู่ในสำนักงานต่างๆ (ตัวอย่างเช่น ตรวจสอบให้แน่ใจว่าพนักงานทำงานกับเซิร์ฟเวอร์องค์กร 1C ที่ติดตั้งในสำนักงานแห่งใดแห่งหนึ่ง)
• ทำงานบนคอมพิวเตอร์ระยะไกลโดยใช้การเข้าถึงเทอร์มินัล (การควบคุมเดสก์ท็อประยะไกล)
• เพิ่มประสิทธิภาพและประสิทธิผลของการบริการ การสนับสนุนด้านเทคนิคเนื่องจากความสามารถในการจัดการคอมพิวเตอร์ เซิร์ฟเวอร์ และอุปกรณ์อื่นๆ จากระยะไกล รวมถึงการใช้งานในตัวอย่างมีประสิทธิภาพ เครื่องมือวินโดวส์เพื่อให้ความช่วยเหลือ - Remote Assistant

วิธีการดำเนินการบูรณาการเครือข่ายสำนักงาน

เพื่อรวมเครือข่ายท้องถิ่นของสำนักงานและสาขาระยะไกลเข้าด้วยกัน จึงใช้เทคโนโลยีเครือข่ายส่วนตัวเสมือน - VPN (Virtual Private Network) เทคโนโลยีนี้มีไว้สำหรับการป้องกันการเข้ารหัสข้อมูลที่ส่งผ่านเครือข่ายคอมพิวเตอร์ เครือข่ายส่วนตัวเสมือนคือชุดของการเชื่อมต่อเครือข่ายระหว่างเกตเวย์ VPN หลายแห่งที่เข้ารหัสการรับส่งข้อมูลเครือข่าย เกตเวย์ VPN เรียกอีกอย่างว่าเกตเวย์การเข้ารหัสหรือเกตเวย์การเข้ารหัส

มีสองวิธีในการสร้างเครือข่ายองค์กรที่ปลอดภัยเพียงแห่งเดียวขององค์กร:

1. การใช้อุปกรณ์และบริการที่เกี่ยวข้องของผู้ให้บริการอินเทอร์เน็ต
2. โดยใช้อุปกรณ์ของเราเองซึ่งตั้งอยู่ที่สำนักงานใหญ่และสาขา

VPN และบริการต่างๆ จัดทำโดยผู้ให้บริการอินเทอร์เน็ต

โซลูชันนี้ใช้ได้หากสำนักงานใหญ่และสาขาเชื่อมต่อกับอินเทอร์เน็ตผ่านผู้ให้บริการอินเทอร์เน็ตรายเดียวกัน หากสาขาของบริษัทกระจัดกระจายไปตามเมืองต่างๆ และแม้แต่ในประเทศต่างๆ ก็ไม่น่าเป็นไปได้ที่จะมีผู้ให้บริการที่สามารถให้บริการในระดับที่ต้องการแก่คุณได้ และแม้แต่ในราคาที่เอื้อมถึงได้

หากสำนักงานของคุณตั้งอยู่ในเมืองเดียวกัน ให้ตรวจสอบกับผู้ให้บริการอินเทอร์เน็ตเพื่อดูว่าพวกเขาสามารถรวมเครือข่ายท้องถิ่นของสำนักงานของคุณเป็นเครือข่ายเดียวได้หรือไม่ บางทีโซลูชันนี้อาจเหมาะสมที่สุดสำหรับคุณในแง่ของต้นทุน

การรวมเครือข่ายสำนักงานและสาขาด้วยตัวคุณเอง

วิธีการรวมสองเครือข่ายโดยใช้เทคโนโลยี VPN เรียกว่า "Peer-to-Peer VPN" หรือ "site-to-site VPN" ในวรรณคดีภาษาอังกฤษ โหมด "การเข้ารหัสแบบโปร่งใส" ถูกสร้างขึ้นระหว่างสองเครือข่าย โปรโตคอล IPSec มักใช้เพื่อเข้ารหัสและส่งการรับส่งข้อมูลบนเครือข่าย IP

เพื่อจัดระเบียบการเชื่อมต่อ VPN (อุโมงค์ VPN) ระหว่างสำนักงานกลางและสาขาของบริษัทขนาดเล็ก เราขอแนะนำให้ใช้เกตเวย์อินเทอร์เน็ตแบบฮาร์ดแวร์ (ไฟร์วอลล์) ที่รองรับ VPN ในตัว ตัวอย่างของเกตเวย์ดังกล่าวอาจเป็น ZyXEL ZyWALL, Netgear Firewall, Check Point Safe@Office เป็นต้น ผลิตภัณฑ์ประเภทนี้ได้รับการออกแบบเพื่อใช้ใน บริษัทขนาดเล็กกับ จำนวนเฉลี่ยบุคลากรตั้งแต่ 5 ถึง 100 คน อุปกรณ์เหล่านี้กำหนดค่าได้ง่าย มีความน่าเชื่อถือสูง และมีประสิทธิภาพเพียงพอ

ที่สำนักงานใหญ่ขององค์กร มักมีการติดตั้งซอฟต์แวร์รักษาความปลอดภัยเครือข่ายแบบรวม เช่น Microsoft Internet Security and Acceleration Server 2006 (Microsoft ISA 2006), CheckPoint Express, CheckPoint VPN-1 Edge และอื่นๆ ในการจัดการการป้องกันเหล่านี้ จำเป็นต้องมีบุคลากรที่มีคุณสมบัติสูง ซึ่งตามกฎแล้วจะประจำอยู่ที่สำนักงานใหญ่หรือยืมมาจากบริษัทเอาท์ซอร์ส

โดยไม่คำนึงถึงอุปกรณ์ที่ใช้ รูปแบบทั่วไปสำหรับการสร้าง Peer-to-Peer VPN สำหรับการรวมเครือข่ายท้องถิ่นของสำนักงานระยะไกลให้เป็นเครือข่ายเดียวอย่างปลอดภัยมีดังนี้:

ควรสังเกตว่ามีเกตเวย์การเข้ารหัสฮาร์ดแวร์เฉพาะเช่น Cisco VPN Concentrator, "Continent-K" เป็นต้น ขอบเขตของพวกเขาคือเครือข่ายของบริษัทขนาดกลางและขนาดใหญ่ ซึ่งจำเป็นเพื่อให้แน่ใจว่ามีประสิทธิภาพสูงเมื่อเข้ารหัสการรับส่งข้อมูลเครือข่าย ตลอดจนความเป็นไปได้พิเศษ ตัวอย่างเช่น ให้การเข้ารหัสข้อมูลตาม GOST ("Continent-K")

สิ่งที่คุณต้องใส่ใจเมื่อเลือกอุปกรณ์

เมื่อเลือกอุปกรณ์สำหรับจัดระเบียบเครือข่ายส่วนตัวเสมือน (VPN) คุณต้องใส่ใจกับคุณสมบัติต่อไปนี้:

1. จำนวนอุโมงค์ VPN ที่รองรับพร้อมกัน
2. ผลงาน;
3. ความสามารถในการกรองการรับส่งข้อมูลเครือข่ายภายในอุโมงค์ VPN (ฟังก์ชันนี้ไม่ได้นำไปใช้กับเกตเวย์อินเทอร์เน็ตทั้งหมด)
4. รองรับการควบคุมคุณภาพ QoS (มีประโยชน์มากเมื่อส่งสัญญาณเสียงระหว่างเครือข่าย)
5. ความเข้ากันได้กับอุปกรณ์ที่มีอยู่และเทคโนโลยีประยุกต์

โซลูชั่นฮาร์ดแวร์

ข้อดีของโซลูชันที่สร้างขึ้นบนเกตเวย์อินเทอร์เน็ตด้วยฮาร์ดแวร์ราคาไม่แพง

• ต้นทุนต่ำ
• ความน่าเชื่อถือสูง (ไม่จำเป็นต้องสำรองข้อมูล ไม่มีอะไรผิดพลาดเมื่อปิดเครื่อง)
• ง่ายต่อการบริหารจัดการ
• การใช้พลังงานต่ำ
• ใช้พื้นที่น้อย สามารถติดตั้งได้ทุกที่
• ขึ้นอยู่กับแพลตฟอร์มที่เลือกสำหรับการสร้าง VPN สามารถติดตั้งบริการเพิ่มเติมบนเกตเวย์ VPN ได้: การสแกนป้องกันไวรัสของการรับส่งข้อมูลอินเทอร์เน็ต การตรวจจับการโจมตีและการบุกรุก ฯลฯ ซึ่งเพิ่มระดับความปลอดภัยของเครือข่ายโดยรวมอย่างมีนัยสำคัญและลด ต้นทุนโดยรวมของโซลูชันการป้องกันเครือข่ายที่ครอบคลุม

ข้อบกพร่อง

• โซลูชันนี้ไม่สามารถปรับขนาดได้ ความสามารถในการผลิตเพิ่มขึ้นทำได้โดยการเปลี่ยนอุปกรณ์ทั้งหมด
• มีความยืดหยุ่นน้อยลงในการตั้งค่า
• โดยทั่วไปไม่รองรับการรวมเข้ากับ Microsoft Active Directory (หรือ LDAP)

โซลูชั่นซอฟต์แวร์

ประโยชน์ของโซลูชั่นซอฟต์แวร์

• ความยืดหยุ่น;
• ความสามารถในการขยายขนาด เช่น ความสามารถในการเพิ่มผลผลิตตามความจำเป็น
• บูรณาการอย่างแน่นหนากับ Microsoft Active Directory (Microsoft ISA 2006, CheckPoint)

ข้อบกพร่อง

• ราคาสูง;
• ความซับซ้อนของการบริหาร

จะเริ่มตรงไหน

ก่อนที่คุณจะเริ่มเลือกอุปกรณ์และ ซอฟต์แวร์(ต่อไปนี้ - ซอฟต์แวร์) ในการดำเนินโครงการเพื่อรวมเครือข่ายสำนักงานในพื้นที่ให้เป็นเครือข่ายเดียวผ่าน VPN คุณต้องมีข้อมูลต่อไปนี้:

1. กำหนดโทโพโลยี:
   • Meshed (เชื่อมต่ออย่างสมบูรณ์) - แต่ละไซต์สามารถจัดการการเชื่อมต่อที่เข้ารหัสกับไซต์อื่นได้โดยอัตโนมัติ
   • ดาว (ดาว) - สาขาสามารถจัดระเบียบการเชื่อมต่อที่ปลอดภัยกับไซต์ส่วนกลาง
   • Hub and Spoke (การเชื่อมต่อผ่านฮับ) - สาขาสามารถเชื่อมต่อถึงกันผ่านฮับของไซต์ส่วนกลาง
   • การเข้าถึงระยะไกล - ผู้ใช้และกลุ่มสามารถสร้างการเชื่อมต่อที่ปลอดภัยไปยังไซต์ตั้งแต่หนึ่งไซต์ขึ้นไป
   • การรวมกันของวิธีการข้างต้น (เช่น โทโพโลยีแบบ Star ที่มี Meshed Center ซึ่งสาขาระยะไกลสามารถแลกเปลี่ยนข้อมูลกับสมาชิกทั้งหมดของ VPN ส่วนกลางซึ่งมีโทโพโลยีแบบตาข่าย)
2. จำนวนสาขา (อุปกรณ์สำนักงานใหญ่ต้องรองรับการเชื่อมต่อ VPN พร้อมกันจำนวนเท่าใด)
3. จำนวนผู้ใช้งานในสำนักงานกลางและในแต่ละสาขา
4. อุปกรณ์และ/หรือซอฟต์แวร์ใดที่ใช้ในแต่ละสาขา (ข้อมูลจำเป็นเพื่อคำนึงถึงความเป็นไปได้ในการใช้อุปกรณ์และ/หรือซอฟต์แวร์ที่มีอยู่)
5. ข้อมูลเกี่ยวกับการเชื่อมต่อสาขากับอินเทอร์เน็ต: การกำหนดที่อยู่ IP - ความเร็วช่องทางการสื่อสารแบบไดนามิกหรือคงที่
6. มีแนวทางการบริหารจัดการอย่างไร ความปลอดภัยของข้อมูล(การป้องกันขอบเขตเครือข่าย, การรักษาความปลอดภัยป้องกันไวรัส) จะถูกนำไปใช้: การจัดการแบบรวมศูนย์ของสำนักงานใหญ่และสาขาโดยผู้ดูแลระบบความปลอดภัยหนึ่งคน (ผู้ดูแลระบบ) หรือแต่ละสาขามีผู้ดูแลระบบของตัวเอง

เพื่อลดภัยคุกคามจากการบุกรุกเครือข่าย สำนักงานกลางจำเป็นต้องให้ความสำคัญกับการปกป้องเครือข่ายสาขาขององค์กร การใช้ VPNไม่รับประกันการป้องกันการบุกรุกที่เชื่อถือได้ เว้นแต่เครือข่ายสาขาจะได้รับการป้องกันที่เชื่อถือได้เช่นกัน หากผู้โจมตีสามารถเข้าถึงเครือข่ายสาขาโดยไม่ได้รับอนุญาต เขาก็สามารถเข้าถึงเครือข่ายสาขาได้เช่นกัน ระบบสารสนเทศสำนักงานใหญ่ เนื่องจากเครือข่ายสำนักงานใหญ่และสาขารวมกันเป็นเครือข่ายเดียวผ่าน VPN