การแลกเปลี่ยนข้อมูลระหว่างแผนกระยะไกลขององค์กรหนึ่งต้องใช้เวลาเสมอ และบางครั้งก็มีการปรับเปลี่ยนทางเทคนิคที่ซับซ้อน ทุกวันนี้ ความไม่สะดวกดังกล่าวค่อนข้างง่ายที่จะกำจัด ซึ่งหมายความว่าคุณสามารถเพิ่มประสิทธิผลขององค์กรโดยรวมได้โดยการรวมสาขาและสำนักงานระยะไกลไว้ในโครงสร้างพื้นฐานเดียว ซึ่งสามารถทำได้ตามความเป็นจริงด้วยการรวมสำนักงานเข้ากับเครือข่ายองค์กรทั่วไป
บริษัท Bit and Byte เสนอการตั้งค่าเครือข่าย VPN เดียวให้กับทุกองค์กรที่มีสำนักงานตัวแทน รวมถึงในเมืองอื่นๆ ท้ายที่สุดแล้วกิจกรรมเฉพาะส่วนใหญ่ของพวกเขาคือสาขาต้องแลกเปลี่ยนข้อมูลทุกวันและตรวจดูฐานข้อมูลของกันและกัน ซอฟต์แวร์ทั่วไปสำหรับเครือข่ายท้องถิ่นทั้งหมดเป็นวิธีที่ปฏิบัติได้จริงและสมเหตุสมผลที่สุดในการจัดการการแลกเปลี่ยนข้อมูลอย่างรวดเร็วและความสามารถในการจัดการองค์กรจากระยะไกล
คุณจะได้อะไรจากการรวมสำนักงานให้เป็นเครือข่ายเดียว?
บริการการรวมสำนักงานเป็นเครือข่ายเดียวเกี่ยวข้องกับการสร้างเครือข่ายเต็มรูปแบบระหว่างสองแผนกขึ้นไป (สาขา สำนักงาน) ขององค์กรเดียว ซึ่งสร้างขึ้นเพื่อการแลกเปลี่ยนข้อมูลที่ได้รับการป้องกันอย่างรวดเร็วตามโปรโตคอล VPN ในสภาวะปัจจุบันของการพัฒนาธุรกิจ เครือข่ายองค์กรดังกล่าวมีความเกี่ยวข้องเป็นพิเศษ เนื่องจากเป็นโอกาสในการปรับปรุงการจัดการขององค์กรและสาขาในอาณาเขตของตน
ด้วยการรวมสาขาทั้งหมดขององค์กรของคุณไว้ในเครือข่ายเดียว คุณจะสามารถ:
- บริหารจัดการเครือข่ายสำนักงานที่อยู่ห่างไกลจากกันผ่านอินเตอร์เน็ต เข้าถึงอุปกรณ์ของแต่ละสาขา
- สร้างฐานข้อมูลกลางและใช้งานซึ่งสะดวกมากสำหรับการจัดการเครือข่ายสำนักงาน
- ให้การเข้าถึงทรัพยากรภายในขององค์กรแก่ทุกแผนกโดยไม่มีความเสี่ยงต่อการสูญเสียข้อมูล
การรวมสำนักงานด้วยการสร้างเครือข่ายเดียวเป็นบริการที่ไม่ต้องใช้เงินจำนวนมาก สามารถกำหนดค่าได้ที่ระดับเซิร์ฟเวอร์หลักโดยการซื้อจุดเชื่อมต่อ VPN เพิ่มเติม ก่อนที่จะรวมเครือข่ายสำนักงาน คุณจะถูกขอให้ตรวจสอบและประมวลผลข้อมูลทั้งหมด ซึ่งจะทำให้สามารถจัดประเภทข้อมูลทั้งหมดจากสาขาต่างๆ เพื่อป้องกันข้อมูลจากการแฮ็กได้
การรวมสำนักงานให้เป็นเครือข่ายเดียวจะเป็นประโยชน์
ปัจจุบัน องค์กรต่างๆ หันมาใช้เครือข่ายสำนักงานเพิ่มมากขึ้นเรื่อยๆ และไม่เพียงเพราะสะดวกและปลอดภัยเท่านั้น วัตถุประสงค์และวัตถุประสงค์ของสมาคมก็คือผลประโยชน์ที่ได้รับจากการบริการดังกล่าวด้วย
- ต้นทุนลดลงอย่างเห็นได้ชัด เนื่องจากความจำเป็นในการบำรุงรักษาสำนักงานแต่ละแห่งหายไป และทรัพยากรของเซิร์ฟเวอร์กลางก็พร้อมใช้งานสำหรับแต่ละสาขา
- เมื่อได้รับลิขสิทธิ์ซอฟต์แวร์จะได้รับประโยชน์ที่เห็นได้ชัดเช่นกัน
- สำนักงานทั้งหมดใช้ทรัพยากรข้อมูลของกันและกัน ไม่ว่าสาขานั้นจะตั้งอยู่ที่ใดก็ตาม
- ไม่จำเป็นต้องมีเจ้าหน้าที่ผู้เชี่ยวชาญด้านเทคนิคจำนวนมาก เนื่องจากปัญหาส่วนใหญ่แก้ไขได้จากระยะไกล
- คุณจะสามารถจัดการประชุมทางวิดีโอ สัมมนา และการประชุมกับทุกแผนกได้พร้อมๆ กัน ซึ่งจะช่วยประหยัดเวลาได้มาก
นอกจากนี้ การไหลของเอกสารระหว่างสาขาต่างๆ มีความปลอดภัยมากที่สุดเท่าที่จะเป็นไปได้ ด้วยการประมวลผลข้อมูลแบบพิเศษ
เครือข่ายสำนักงานรวมกันอย่างไร?
แม้ว่าหัวข้อนี้จะถูกแฮ็ก แต่บ่อยครั้งที่หลายๆ คนประสบปัญหา ไม่ว่าจะเป็นผู้ดูแลระบบมือใหม่หรือผู้ใช้ขั้นสูงที่ถูกบังคับโดยผู้บังคับบัญชาให้ทำหน้าที่ของผู้เชี่ยวชาญของ Enikey มันขัดแย้งกัน แต่ถึงแม้จะมีข้อมูลมากมายเกี่ยวกับ VPN แต่การค้นหาตัวเลือกที่ชัดเจนก็เป็นปัญหาที่แท้จริง ยิ่งกว่านั้น มีคนรู้สึกว่ามีคนเขียนมัน ในขณะที่คนอื่นคัดลอกข้อความอย่างโจ่งแจ้ง เป็นผลให้ผลการค้นหาเต็มไปด้วยข้อมูลที่ไม่จำเป็นมากมาย ซึ่งแทบจะไม่สามารถดึงสิ่งที่คุ้มค่าออกมาได้ ดังนั้นฉันจึงตัดสินใจเคี้ยวความแตกต่างทั้งหมดด้วยวิธีของฉันเอง (บางทีมันอาจจะเป็นประโยชน์กับใครบางคน)
แล้ว VPN คืออะไร? วีพีพีเอ็น (เสมือนส่วนตัวเครือข่าย- เครือข่ายส่วนตัวเสมือน) เป็นชื่อทั่วไปสำหรับเทคโนโลยีที่อนุญาตให้มีการเชื่อมต่อเครือข่ายตั้งแต่หนึ่งรายการขึ้นไป (เครือข่ายลอจิคัล) ผ่านเครือข่ายอื่น (รวมถึงอินเทอร์เน็ต) ขึ้นอยู่กับโปรโตคอลและวัตถุประสงค์ที่ใช้ VPN สามารถให้การเชื่อมต่อได้ สามประเภท: โหนดโหนด, โหนดเครือข่ายและ เครือข่ายเครือข่ายอย่างที่พวกเขาพูดไม่มีความคิดเห็น
โครงการ VPN แบบเหมารวม
VPN ช่วยให้คุณสามารถรวมโฮสต์ระยะไกลเข้ากับเครือข่ายท้องถิ่นของบริษัทหรือโฮสต์อื่นได้อย่างง่ายดาย รวมทั้งรวมเครือข่ายเป็นหนึ่งเดียว ประโยชน์ที่ได้ค่อนข้างชัดเจน - เราสามารถเข้าถึงเครือข่ายองค์กรได้อย่างง่ายดายจากไคลเอนต์ VPN นอกจากนี้ VPN ยังปกป้องข้อมูลของคุณผ่านการเข้ารหัสอีกด้วย
ฉันไม่ได้เสแสร้งอธิบายหลักการทั้งหมดของการทำงานของ VPN ให้คุณฟัง เนื่องจากมีวรรณกรรมเฉพาะทางมากมาย และพูดตามตรง ฉันเองก็ไม่รู้อะไรมากมายนัก อย่างไรก็ตาม หากงานของคุณคือ “ลงมือทำ!” คุณต้องมีส่วนร่วมในหัวข้อนี้โดยด่วน
มาดูปัญหาจากการปฏิบัติงานส่วนตัวของฉัน เมื่อฉันต้องเชื่อมต่อสำนักงานสองแห่งผ่าน VPN - สำนักงานใหญ่และสำนักงานสาขา สถานการณ์มีความซับซ้อนมากขึ้นเนื่องจากมีเซิร์ฟเวอร์วิดีโออยู่ที่สำนักงานใหญ่ ซึ่งควรจะรับวิดีโอจากกล้อง IP ของสาขา นี่คืองานโดยย่อ
มีวิธีแก้ปัญหามากมาย ทุกอย่างขึ้นอยู่กับสิ่งที่คุณมีอยู่ โดยทั่วไปแล้ว VPN นั้นง่ายต่อการสร้างโดยใช้โซลูชันฮาร์ดแวร์ที่ใช้เราเตอร์ Zyxel ต่างๆ ตามหลักการแล้ว อาจเป็นไปได้ว่าอินเทอร์เน็ตถูกเผยแพร่ไปยังสำนักงานทั้งสองโดยผู้ให้บริการรายเดียว จากนั้นคุณจะไม่มีปัญหาใด ๆ เลย (คุณเพียงแค่ต้องติดต่อผู้ให้บริการ) ถ้าบริษัทรวยก็ซื้อ CISCO ได้ แต่โดยปกติแล้วทุกอย่างจะแก้ไขได้โดยใช้ซอฟต์แวร์
และนี่คือตัวเลือกที่ยอดเยี่ยม - Open VPN, WinRoute (โปรดทราบว่าต้องจ่ายเงิน), เครื่องมือระบบปฏิบัติการ, โปรแกรมอย่าง Hamanchi (พูดตามตรงในบางกรณีที่หายากก็สามารถช่วยได้ แต่ฉันไม่แนะนำให้พึ่งพามัน - เวอร์ชันฟรีจำกัดที่ 5 โฮสต์ และข้อเสียที่สำคัญอีกประการหนึ่งคือการเชื่อมต่อทั้งหมดของคุณขึ้นอยู่กับโฮสต์ Hamanchi ซึ่งไม่ได้ดีเสมอไป) ในกรณีของฉัน การใช้ OpenVPN จะเหมาะสมที่สุด - โปรแกรมฟรีซึ่งสามารถสร้างการเชื่อมต่อ VPN ที่เชื่อถือได้ได้อย่างง่ายดาย แต่เช่นเคย เราจะเดินตามเส้นทางที่มีการต่อต้านน้อยที่สุด
ในสาขาของฉัน อินเทอร์เน็ตได้รับการเผยแพร่โดยเกตเวย์ที่ใช้ไคลเอ็นต์ Windows ฉันเห็นด้วย ไม่ใช่สิ่งที่ดีที่สุด ทางออกที่ดีที่สุดแต่สำหรับคอมพิวเตอร์ไคลเอนต์สามเครื่องก็เพียงพอแล้ว ฉันต้องสร้างเซิร์ฟเวอร์ VPN จากเกตเวย์นี้ เนื่องจากคุณกำลังอ่านบทความนี้ คุณคงแน่ใจว่าคุณยังใหม่กับ VPN ดังนั้นสำหรับคุณฉันขอยกตัวอย่างที่ง่ายที่สุดซึ่งโดยหลักการแล้วเหมาะกับฉัน
ตระกูล Windows NT มีความสามารถด้านเซิร์ฟเวอร์พื้นฐานอยู่แล้ว การตั้งค่าเซิร์ฟเวอร์ VPN บนเครื่องใดเครื่องหนึ่งนั้นไม่ใช่เรื่องยาก ในฐานะเซิร์ฟเวอร์ผมจะยกตัวอย่างภาพหน้าจอของ Windows 7 มาให้แต่ หลักการทั่วไปจะเหมือนกับ XP เก่า
โปรดทราบว่าในการเชื่อมต่อสองเครือข่าย คุณต้องทำ พวกเขามีช่วงที่แตกต่างกัน- ตัวอย่างเช่น ที่สำนักงานใหญ่ ช่วงอาจเป็น 192.168.0.x และที่สำนักงานสาขาอาจเป็น 192.168.20.x (หรือช่วง IP สีเทาใดๆ) นี่เป็นสิ่งสำคัญมากดังนั้นควรระวัง ตอนนี้คุณสามารถเริ่มการตั้งค่าได้แล้ว
ไปที่เซิร์ฟเวอร์ VPN ในแผงควบคุม -> ศูนย์เครือข่ายและการแบ่งปัน และ การเข้าถึงที่ใช้ร่วมกัน-> เปลี่ยนพารามิเตอร์ของอะแดปเตอร์
ตอนนี้กดปุ่ม Alt เพื่อเปิดเมนู ในรายการไฟล์คุณต้องเลือก "การเชื่อมต่อขาเข้าใหม่"
ทำเครื่องหมายในช่องสำหรับผู้ใช้ที่สามารถเข้าสู่ระบบผ่าน VPN ฉันขอแนะนำอย่างยิ่งให้เพิ่มผู้ใช้ใหม่ ตั้งชื่อที่เป็นมิตรและกำหนดรหัสผ่าน
หลังจากที่คุณดำเนินการนี้แล้ว คุณจะต้องเลือกในหน้าต่างถัดไปว่าผู้ใช้จะเชื่อมต่ออย่างไร ทำเครื่องหมายที่ช่อง "ผ่านทางอินเทอร์เน็ต" ตอนนี้คุณเพียงแค่ต้องกำหนดช่วงที่อยู่เครือข่ายเสมือน นอกจากนี้ คุณสามารถเลือกจำนวนคอมพิวเตอร์ที่จะเข้าร่วมในการแลกเปลี่ยนข้อมูลได้ ในหน้าต่างถัดไป เลือกโปรโตคอล TCP/IP เวอร์ชัน 4 คลิก "คุณสมบัติ":
คุณจะเห็นสิ่งที่ฉันมีในภาพหน้าจอ หากคุณต้องการให้ไคลเอ็นต์เข้าถึงเครือข่ายท้องถิ่นที่เซิร์ฟเวอร์ตั้งอยู่ เพียงทำเครื่องหมายที่ช่อง "อนุญาตให้ผู้โทรเข้าถึงเครือข่ายท้องถิ่น" ในส่วน "การกำหนดที่อยู่ IP" ฉันขอแนะนำให้ระบุที่อยู่ด้วยตนเองตามหลักการที่ฉันอธิบายไว้ข้างต้น ในตัวอย่างของฉัน ฉันให้ช่วงที่อยู่เพียงยี่สิบห้าที่อยู่ แม้ว่าฉันจะระบุเพียงสองหรือ 255 ที่อยู่ก็ได้
หลังจากนั้นคลิกที่ปุ่ม "อนุญาตการเข้าถึง"
ระบบจะสร้างเซิร์ฟเวอร์ VPN โดยอัตโนมัติ ซึ่งจะรอใครสักคนมาเข้าร่วมอย่างโดดเดี่ยว
ตอนนี้สิ่งที่ต้องทำคือตั้งค่าไคลเอนต์ VPN บนเครื่องไคลเอนต์ ให้ไปที่ Network and Sharing Center แล้วเลือก การตั้งค่าการเชื่อมต่อหรือเครือข่ายใหม่- ตอนนี้คุณจะต้องเลือกรายการ “การเชื่อมต่อกับสถานที่ทำงาน”
คลิกที่ "ใช้การเชื่อมต่ออินเทอร์เน็ตของฉัน" และตอนนี้คุณจะถูกโยนออกไปนอกหน้าต่างซึ่งคุณจะต้องป้อนที่อยู่ของเกตเวย์อินเทอร์เน็ตของเราที่สาขา สำหรับฉันมันดูเหมือน 95.2.x.x
ตอนนี้คุณสามารถเรียกการเชื่อมต่อป้อนชื่อผู้ใช้และรหัสผ่านที่คุณป้อนบนเซิร์ฟเวอร์แล้วลองเชื่อมต่อ หากทุกอย่างถูกต้อง คุณจะเชื่อมต่อได้ ในกรณีของฉัน ฉันสามารถ ping ไปยังคอมพิวเตอร์สาขาใดก็ได้และขอกล้องได้แล้ว ตอนนี้การเชื่อมต่อแบบโมโนกับเซิร์ฟเวอร์วิดีโอเป็นเรื่องง่าย คุณอาจมีอย่างอื่น
หรืออีกทางหนึ่งเมื่อเชื่อมต่ออาจมีข้อผิดพลาด 800 ปรากฏขึ้นเพื่อระบุว่ามีบางอย่างผิดปกติกับการเชื่อมต่อ นี่เป็นปัญหาไฟร์วอลล์ของไคลเอ็นต์หรือเซิร์ฟเวอร์ ฉันไม่สามารถบอกคุณได้โดยเฉพาะ - ทุกอย่างถูกกำหนดโดยการทดลอง
นี่คือวิธีที่เราสร้าง VPN ระหว่างสำนักงานสองแห่ง ผู้เล่นสามารถรวมเป็นหนึ่งเดียวกันได้ อย่างไรก็ตามอย่าลืมว่านี่จะยังไม่ใช่เซิร์ฟเวอร์ที่มีคุณสมบัติครบถ้วนและควรใช้เครื่องมือขั้นสูงมากกว่านี้ซึ่งฉันจะพูดถึงในส่วนต่อไปนี้
โดยเฉพาะอย่างยิ่งในส่วนที่ 2 เราจะดูการตั้งค่า OPENVPN สำหรับ Windows และ Linux
วิธีสร้างเครือข่ายส่วนตัวสำหรับพนักงานที่ทำงานนอกสถานที่และสาขาระยะไกลทั้งหมด
VPN คืออะไร?
สมมติว่าเรามีสำนักงานสองแห่งในส่วนต่างๆ ของเมือง หรือในเมืองหรือประเทศต่างๆ และแต่ละแห่งเชื่อมต่อกับอินเทอร์เน็ต สำหรับงาน ให้พูดว่า 1C เป็นอันเดียว ระบบองค์กรเราจำเป็นต้องรวมพวกมันไว้ในเครือข่ายท้องถิ่นเดียว (แม้ว่าเราจะนำเสนอโซลูชั่นสำหรับ 1C ในรูปแบบของฐานข้อมูลแบบกระจาย แต่บางครั้งการสร้างเครือข่ายเดียวและเชื่อมต่อก็ง่ายกว่า โดยตรงไปยังเซิร์ฟเวอร์ 1Cราวกับว่าเซิร์ฟเวอร์ตั้งอยู่ในสถานที่ของคุณ)
แน่นอนว่าคุณสามารถซื้อเส้นทางส่วนตัวระหว่างสองเมืองได้ แต่ การตัดสินใจครั้งนี้มันอาจจะแพงมาก
โซลูชันที่ใช้เครือข่ายส่วนตัวเสมือน (VPN - Virtual Private Network) เชิญชวนให้เราจัดระเบียบสายเฉพาะนี้โดยการสร้างอุโมงค์ที่เข้ารหัสทางอินเทอร์เน็ต ข้อได้เปรียบหลักของ VPN บนสายการสื่อสารเฉพาะคือการประหยัดเงินของบริษัทในขณะที่ช่องทางนั้นสมบูรณ์ ปิด.
จากมุมมองของผู้บริโภค VPN เป็นเทคโนโลยีที่ช่วยให้คุณสามารถจัดการการเข้าถึงที่ปลอดภัยจากระยะไกลผ่านช่องทางอินเทอร์เน็ตแบบเปิดไปยังเซิร์ฟเวอร์ ฐานข้อมูล และทรัพยากรใดๆ ของเครือข่ายองค์กรของคุณ สมมติว่านักบัญชีในเมือง A สามารถพิมพ์ใบแจ้งหนี้บนเครื่องพิมพ์ของเลขานุการในเมือง B ที่ลูกค้ามาได้อย่างง่ายดาย พนักงานระยะไกลที่เชื่อมต่อผ่าน VPN จากแล็ปท็อปของตนจะสามารถทำงานบนเครือข่ายได้เหมือนกับว่าพวกเขาอยู่บนเครือข่ายจริงในสำนักงานของตน
บ่อยครั้งมากที่ลูกค้าเจอ *เบรก* เครื่องบันทึกเงินสดเมื่อใช้ Remote Desktop คุณจะต้องติดตั้ง VPN สิ่งนี้จะช่วยให้คุณสามารถกำจัดการส่งข้อมูลสำหรับเครื่องบันทึกเงินสดไปมาไปยังเซิร์ฟเวอร์ผ่าน COM เสมือนผ่านอินเทอร์เน็ตและจะอนุญาตให้ติดตั้งไคลเอนต์แบบบาง ณ จุดใดก็ได้ที่สื่อสารกับเครื่องบันทึกเงินสดโดยตรงโดยส่งเฉพาะที่จำเป็นเท่านั้น ข้อมูลไปยังเซิร์ฟเวอร์ผ่านช่องทางปิด และการเผยแพร่อินเทอร์เฟซ RDP ไปยังอินเทอร์เน็ตโดยตรงจะทำให้บริษัทของคุณมีความเสี่ยงอย่างมาก
วิธีการเชื่อมต่อ
วิธีการจัดระเบียบ VPN เหมาะสมที่สุดเพื่อเน้น 2 วิธีหลักต่อไปนี้:
- (ลูกค้า-เครือข่าย ) การเข้าถึงระยะไกลของพนักงานแต่ละคนไปยังเครือข่ายองค์กรขององค์กรผ่านโมเด็มหรือเครือข่ายสาธารณะ
- (เครือข่าย - เครือข่าย) รวมสำนักงานสองแห่งขึ้นไปไว้ในเครือข่ายเสมือนที่ปลอดภัยเพียงแห่งเดียวผ่านทางอินเทอร์เน็ต
คู่มือส่วนใหญ่ โดยเฉพาะสำหรับ Windows อธิบายการเชื่อมต่อตามรูปแบบแรก ในเวลาเดียวกัน คุณต้องเข้าใจว่าการเชื่อมต่อนี้ไม่ใช่อุโมงค์ แต่อนุญาตให้คุณเชื่อมต่อกับเครือข่าย VPN เท่านั้น ในการจัดระเบียบอุโมงค์เหล่านี้ เราต้องการเพียง 1 IP สีขาวเท่านั้น และไม่ได้ขึ้นอยู่กับจำนวนสำนักงานระยะไกล หลายคนเชื่อผิดๆ
รูปภาพแสดงตัวเลือกทั้งสองสำหรับการเชื่อมต่อกับสำนักงานใหญ่ A
มีการจัดตั้งช่องทางระหว่างสำนักงาน A และ B เพื่อให้แน่ใจว่าสำนักงานจะรวมเป็นเครือข่ายเดียว สิ่งนี้ทำให้มั่นใจได้ถึงความโปร่งใสของทั้งสองสำนักงานสำหรับอุปกรณ์ใด ๆ ที่อยู่ในหนึ่งในนั้น ซึ่งช่วยแก้ปัญหาได้มากมาย ตัวอย่างเช่น การจัดความจุหมายเลขเดียวภายใน PBX เดียวด้วยโทรศัพท์ IP
บริการทั้งหมดของสำนักงาน A พร้อมใช้งานสำหรับไคลเอนต์มือถือ และหากสำนักงาน B ตั้งอยู่ในเครือข่ายเสมือนเดียว บริการของสำนักงานก็จะพร้อมใช้งานเช่นกัน
ในกรณีนี้ วิธีการเชื่อมต่อไคลเอนต์มือถือมักจะถูกนำมาใช้โดยโปรโตคอล PPTP (Point-to-Point Tunneling Protocol) โปรโตคอลการขุดอุโมงค์แบบจุดต่อจุด และ IPsec ที่สองหรือ OpenVPN
PPTP
(Point-to-Point Tunneling Protocol bumagin-lohg) เป็นโปรโตคอลช่องสัญญาณแบบจุดต่อจุด ซึ่งเป็นผลงานของ Microsoft และเป็นส่วนขยายของ PPP (โปรโตคอลแบบจุดต่อจุด) ดังนั้นการใช้การรับรองความถูกต้อง การบีบอัด และ กลไกการเข้ารหัส โปรโตคอล PPTP ถูกสร้างขึ้นในรีโมท การเข้าถึงวินโดวส์ประสบการณ์ ด้วยตัวเลือกมาตรฐานของโปรโตคอลนี้ Microsoft ขอแนะนำให้ใช้วิธีการเข้ารหัส MPPE (Microsoft Point-to-Point Encryption) คุณสามารถถ่ายโอนข้อมูลโดยไม่ต้องเข้ารหัสได้ แบบฟอร์มเปิด- การห่อหุ้มข้อมูลโดยใช้โปรโตคอล PPTP เกิดขึ้นโดยการเพิ่มส่วนหัว GRE (Generic Routing Encapsulation) และส่วนหัว IP ให้กับข้อมูลที่ประมวลผลโดยโปรโตคอล PPP
เนื่องจากข้อกังวลด้านความปลอดภัยที่สำคัญ จึงไม่มีเหตุผลที่จะเลือก PPTP เหนือโปรโตคอลอื่น ๆ นอกเหนือจากความเข้ากันไม่ได้ของอุปกรณ์กับโปรโตคอล VPN อื่น ๆ หากอุปกรณ์ของคุณรองรับ L2TP/IPsec หรือ OpenVPN ก็ควรเลือกหนึ่งในโปรโตคอลเหล่านี้
ควรสังเกตว่าอุปกรณ์เกือบทั้งหมด รวมถึงอุปกรณ์พกพา มีไคลเอนต์ติดตั้งอยู่ในระบบปฏิบัติการ (Windows, iOS, Android) ที่ให้คุณตั้งค่าการเชื่อมต่อได้ทันที
L2TP
(Layer Two Tunneling Protocol) เป็นโปรโตคอลขั้นสูงที่เกิดจากการรวมกันระหว่างโปรโตคอล PPTP (จาก Microsoft) และ L2F (จาก Cisco) โดยผสมผสานโปรโตคอลที่ดีที่สุดทั้งหมดของทั้งสองโปรโตคอลเข้าด้วยกัน ให้การเชื่อมต่อที่ปลอดภัยกว่าตัวเลือกแรก การเข้ารหัสเกิดขึ้นโดยใช้โปรโตคอล IPSec (ความปลอดภัย IP) L2TP ยังถูกสร้างขึ้นในไคลเอนต์การเข้าถึงระยะไกลของ Windows XP ยิ่งกว่านั้นเมื่อพิจารณาประเภทการเชื่อมต่อโดยอัตโนมัติไคลเอนต์จะพยายามเชื่อมต่อกับเซิร์ฟเวอร์โดยใช้โปรโตคอลนี้ก่อนเนื่องจากจะดีกว่าในแง่ของความปลอดภัย
ในเวลาเดียวกันโปรโตคอล IPsec มีปัญหาเช่นการประสานงานของพารามิเตอร์ที่จำเป็น เนื่องจากผู้ผลิตหลายรายตั้งค่าพารามิเตอร์เป็นค่าเริ่มต้นโดยไม่มีความเป็นไปได้ในการกำหนดค่าฮาร์ดแวร์ที่ใช้โปรโตคอลนี้จะเข้ากันไม่ได้
โอเพ่น VPN
โซลูชัน VPN แบบเปิดขั้นสูงที่สร้างขึ้นโดยเทคโนโลยี OpenVPN ซึ่งปัจจุบันเป็นมาตรฐานในเทคโนโลยี VPN โดยพฤตินัย โซลูชันนี้ใช้โปรโตคอลการเข้ารหัส SSL/TLS OpenVPN ใช้ไลบรารี OpenSSL เพื่อให้การเข้ารหัส รองรับ OpenSSL จำนวนมากอัลกอริธึมการเข้ารหัสต่างๆ เช่น 3DES, AES, RC5, Blowfish เช่นเดียวกับในกรณีของ IPSec CheapVPN มีการเข้ารหัสในระดับที่สูงมาก - อัลกอริธึม AES ที่มีความยาวคีย์ 256 บิต
OpenVPN เป็นทางออกเดียวที่ช่วยให้คุณหลีกเลี่ยงผู้ให้บริการที่ตัดหรือเรียกเก็บค่าธรรมเนียมในการเปิดโปรโตคอลเพิ่มเติมนอกเหนือจาก WEB ทำให้สามารถจัดระเบียบช่องที่โดยหลักการแล้ว ไม่สามารถติดตามได้และ เรามีวิธีแก้ปัญหาดังกล่าว
ตอนนี้คุณคงพอเข้าใจแล้วว่า VPN คืออะไรและมันทำงานอย่างไร หากคุณเป็นผู้จัดการ ลองคิดดู บางทีนี่อาจเป็นสิ่งที่คุณกำลังมองหาอยู่ก็ได้
ตัวอย่างการตั้งค่าเซิร์ฟเวอร์ OpenVPN บนแพลตฟอร์ม pfSense
การสร้างเซิร์ฟเวอร์
- อินเทอร์เฟซ: วาน(อินเทอร์เฟซเครือข่ายเซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ต)
- โปรโตคอล: ยูดีพี
- พอร์ตท้องถิ่น: 1194
- คำอธิบาย: pfSenseOVPN(ชื่อใดก็ได้ที่สะดวก)
- เครือข่ายอุโมงค์: 10.0.1.0/24
- เกตเวย์การเปลี่ยนเส้นทาง: เปิดเครื่อง(ปิดใช้งานตัวเลือกนี้หากคุณไม่ต้องการให้การรับส่งข้อมูลอินเทอร์เน็ตของไคลเอ็นต์ทั้งหมดถูกเปลี่ยนเส้นทางผ่านเซิร์ฟเวอร์ VPN)
- เครือข่ายท้องถิ่น: ปล่อยว่างไว้(หากคุณต้องการให้เครือข่ายท้องถิ่นที่อยู่ด้านหลังเซิร์ฟเวอร์ pfSense สามารถเข้าถึงได้โดยไคลเอนต์ VPN ระยะไกล ให้ระบุที่นี่ พื้นที่ที่อยู่เครือข่ายนี้ สมมติว่า 192.168.1.0/24)
- การเชื่อมต่อพร้อมกัน: 2 (หากคุณซื้อใบอนุญาตเซิร์ฟเวอร์การเข้าถึงระยะไกล OpenVPN เพิ่มเติม ให้ป้อนหมายเลขที่สอดคล้องกับจำนวนใบอนุญาตที่ซื้อ)
- การสื่อสารระหว่างลูกค้า: เปิดเครื่อง(ถ้าคุณไม่ต้องการให้ไคลเอนต์ VPN เห็นกัน ให้ปิดการใช้งานตัวเลือกนี้)
- เซิร์ฟเวอร์ DNS 1 (2 ฯลฯ): ระบุเซิร์ฟเวอร์ DNS ของโฮสต์ pfSense(คุณสามารถดูที่อยู่ของพวกเขาได้ในส่วน ระบบ > การตั้งค่าทั่วไป > เซิร์ฟเวอร์ DNS)
ต่อไป เราสร้างไคลเอนต์และเพื่อลดความซับซ้อนของขั้นตอนการกำหนดค่าสำหรับโปรแกรมไคลเอนต์ pfSense ได้จัดเตรียมเครื่องมือเพิ่มเติม - “ยูทิลิตี้ส่งออกไคลเอนต์ OpenVPN”- เครื่องมือนี้จะเตรียมแพ็คเกจการติดตั้งและไฟล์สำหรับลูกค้าโดยอัตโนมัติ โดยหลีกเลี่ยง การตั้งค่าด้วยตนเองไคลเอนต์ OpenVPN
การเชื่อมต่อ VPN ระหว่างสำนักงานครอบคลุมข้อกำหนดด้านความปลอดภัยทางธุรกิจ เช่น:
- ความเป็นไปได้ในการเข้าถึงข้อมูลแบบรวมศูนย์จากสำนักงานและจากสำนักงานใหญ่
- ระบบข้อมูลองค์กรแบบครบวงจร
- ฐานข้อมูลองค์กรที่มีจุดเข้าเพียงจุดเดียว
- องค์กร อีเมลด้วยจุดเริ่มต้นเพียงจุดเดียว
- การรักษาความลับของข้อมูลที่ถ่ายโอนระหว่างสำนักงาน
หากคุณมีปัญหาในการตั้งค่าหรือยังไม่ได้ตัดสินใจเกี่ยวกับเทคโนโลยี VPN โทรหาเรา!
สมมติว่าเรามีสำนักงาน 2 แห่งในส่วนต่างๆ ของเมือง หรือในเมืองหรือประเทศต่างๆ และแต่ละแห่งเชื่อมต่อกับอินเทอร์เน็ตผ่านช่องทางที่ค่อนข้างดี เราจำเป็นต้องเชื่อมต่อพวกมันเข้ากับเครือข่ายท้องถิ่นเดียว ในกรณีนี้ผู้ใช้ทุกคนจะต้องเดาว่าคอมพิวเตอร์หรือเครื่องพิมพ์นี้อยู่ที่ใดในเครือข่ายท้องถิ่น ใช้เครื่องพิมพ์ โฟลเดอร์แชร์ และข้อดีทั้งหมดของเครือข่ายทางกายภาพ พนักงานระยะไกลที่เชื่อมต่อผ่าน OpenVPN จะสามารถทำงานบนเครือข่ายได้เหมือนกับว่าคอมพิวเตอร์ของพวกเขาอยู่บนเครือข่ายทางกายภาพของสำนักงานแห่งใดแห่งหนึ่ง
เราจะตั้งค่ามันใน ระบบปฏิบัติการ Debian Squeeze แต่คำแนะนำนั้นใช้ได้กับการกระจายที่ใช้ Debian อย่างสมบูรณ์ และด้วยการเปลี่ยนแปลงเล็กน้อยในคำสั่งสำหรับการติดตั้งและกำหนดค่าบริดจ์ และ OpenVPN จะใช้ได้กับการกระจาย Linux หรือ FreeBSD ใด ๆ
สมมติว่ามีการติดตั้งการกระจาย Debian หรือ Ubuntu ตามคำแนะนำข้อใดข้อหนึ่ง:
มาติดตั้งและกำหนดค่าเครือข่าย VPN โดยใช้ OpenVPN โดยใช้บริดจ์ แตะ0
เราสร้างสะพานเครือข่ายระหว่างเครือข่ายทางกายภาพ eth1และอินเทอร์เฟซเสมือน แตะ0
ติดตั้ง โปรแกรมที่จำเป็นโดยยอมรับคำขอของผู้จัดการแพ็คเกจ:
เรากำหนดค่าเครือข่ายเซิร์ฟเวอร์ตามความจริงที่ว่าเรามีการ์ดเครือข่าย 2 อัน: เครือข่าย eth0 eth1 br0
การแก้ไขไฟล์การกำหนดค่า /etc/เครือข่าย/อินเทอร์เฟซ:
Auto lo iface lo inet loopback # ผู้ให้บริการอินเทอร์เน็ต auto eth0 iface eth0 ที่อยู่คงที่ inet 192.168.50.2 netmask 255.255.255.0 เกตเวย์ 192.168.50.1 # เครือข่ายท้องถิ่น auto eth1 iface eth1 ที่อยู่คงที่ inet 10.10.10.1 netmask 255.255.255.0
อัตโนมัติ lo iface lo inet loopback # เราลงทะเบียนบริดจ์ เรารวมอินเทอร์เฟซ tap0 VPN และการ์ดเครือข่าย eth1 ไว้ในนั้น auto br0 iface br0 inet static # เราเพิ่มอินเทอร์เฟซ openvpn ให้กับ tap0 bridge bridge_ports eth1 tap0 ที่อยู่ 10.10.10.1 netmask 255.255 .255.0 # อินเทอร์เน็ตอัตโนมัติ eth0 iface eth0 ที่อยู่คงที่ inet 192.168.50.2 netmask 255.255.255.0 เกตเวย์ 192.168.50.1
หลังจากนี้ เมื่อคุณรันคำสั่ง ifconfig บริดจ์ควรปรากฏขึ้น br0ด้วย IP 10.10.10.1 อินเทอร์เฟซ eth0ด้วยที่อยู่ IP 192.168.50.2 และอินเทอร์เฟซ eth1โดยไม่มีที่อยู่ IP เนื่องจากอยู่ในบริดจ์ br0
การตั้งค่า OPENVPN:
เราคัดลอกสคริปต์เพื่อกำหนดค่าเซิร์ฟเวอร์ openvpn ของเราด้วยคำสั่ง:
Cp -Rp /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /etc/openvpn/easy-rsa
ทำการเปลี่ยนแปลงไฟล์ /etc/openvpn/easy-rsa/varsเพื่อกำหนดตัวแปรร่วมและป้อนข้อมูลน้อยลงเมื่อสร้างคีย์:
Vi /etc/openvpn/easy-rsa/vars
ส่งออก KEY_COUNTRY="US" ส่งออก KEY_PROVINCE="CA" ส่งออก KEY_CITY="SanFrancisco" ส่งออก KEY_ORG="Fort-Funston" ส่งออก KEY_EMAIL=" "
ส่งออก KEY_COUNTRY="UA" ส่งออก KEY_PROVINCE="11" ส่งออก KEY_CITY="เคียฟ" ส่งออก KEY_ORG="NameFirm" ส่งออก KEY_EMAIL=" "
ไปที่โฟลเดอร์ที่มีสคริปต์สำหรับสร้างใบรับรองและคีย์ด้วยคำสั่ง:
ซีดี /etc/openvpn/easy-rsa/
เราเริ่มต้น PKI (โครงสร้างพื้นฐานคีย์สาธารณะ) ด้วยคำสั่ง:
- ./vars ./ทำความสะอาดทั้งหมด
ความสนใจ. เมื่อดำเนินการตามคำสั่ง ./ทำความสะอาดทั้งหมดใบรับรองและคีย์ที่มีอยู่ทั้งหมดของทั้งเซิร์ฟเวอร์และไคลเอนต์จะถูกลบ ดังนั้นอย่ารันบนเซิร์ฟเวอร์ที่ใช้งานจริง หรือรันหลังจากบันทึกโฟลเดอร์ /etc/openvpn/ไปยังไฟล์เก็บถาวรด้วยคำสั่ง:
Tar cf - /etc/openvpn/ | gzip -c -9 > /home/openvpn_backup.tgz
เราสร้างใบรับรองผู้ออกใบรับรอง (CA) และคีย์ด้วยคำสั่ง:
./build-ca
พารามิเตอร์ส่วนใหญ่จะเลือกมาจากไฟล์ vars ต้องระบุเฉพาะพารามิเตอร์ Name อย่างชัดเจน:
ชื่อ:vpn
โดยทั่วไป คุณสามารถกรอกข้อมูลทุกช่องในแต่ละครั้งตามที่คุณต้องการ
เราสร้างพารามิเตอร์ Diffie-Hellman ด้วยคำสั่ง:
./build-dh
เราสร้างใบรับรองและรหัสลับเซิร์ฟเวอร์ ห้ามป้อนสิ่งใดเมื่อได้รับแจ้งให้ใส่รหัสผ่าน และเมื่อได้รับแจ้ง ลงนามใบรับรอง?: เข้า ยและกด เข้าโดยการรันคำสั่ง:
./build-key-เซิร์ฟเวอร์เซิร์ฟเวอร์
พารามิเตอร์ทั้งหมดได้รับการยอมรับตามค่าเริ่มต้น เมื่อมีการร้องขอ ชื่อสามัญเข้า เซิร์ฟเวอร์
ชื่อสามัญ (เช่น ชื่อของคุณหรือชื่อโฮสต์ของเซิร์ฟเวอร์ของคุณ) :server
สำหรับคำถาม ลงนามใบรับรอง?และ คำขอใบรับรอง 1 ใน 1 ได้รับการรับรอง ยอมรับหรือไม่เราตอบในเชิงบวก:
ลงนามใบรับรอง? :y 1 ใน 1 คำขอใบรับรองได้รับการรับรอง ยอมรับหรือไม่ ย
สิ่งที่เหลืออยู่คือการสร้างใบรับรองและคีย์สำหรับลูกค้า ขั้นแรกเราเริ่มต้นพารามิเตอร์:
ซีดี /etc/openvpn/easy-rsa/ ./vars
การสร้างคีย์สำหรับผู้ใช้ เซิร์ฟเวอร์1- ตัวอย่างเช่น เราเพิ่มผู้ใช้ได้มากเท่าที่จำเป็น:
./build-key server1 ./build-key ไคลเอ็นต์1 ./build-key client2
จากการที่เรามีเครือข่าย 10.10.10.0/24
เราจัดสรรที่อยู่สำหรับคอมพิวเตอร์ในสำนักงาน 1 ทันที - 10.10.10.40-149
สำหรับสำนักงาน 2 เราจัดสรรกลุ่มที่อยู่ 10.10.10.150-254
และจัดสรรที่อยู่สำหรับพนักงานที่อยู่ห่างไกล 10.10.10.21-39.
สร้างโฟลเดอร์ /etc/openvpn/ccd/โดยที่เราระบุไคลเอนต์ใดด้วย IP ใดโดยใช้คำสั่ง:
Mkdir -p /etc/openvpn/ccd/
เรากำหนด IP ของลูกค้าแต่ละรายบนเครือข่ายโดยใช้คำสั่ง::
เสียงสะท้อน "ifconfig-push 10.10.10.150 255.255.255.0" > /etc/openvpn/ccd/server1 echo "ifconfig-push 10.10.10.21 255.255.255.0" > /etc/openvpn/ccd/client1 echo "ifconfig-push 10.10.10.22 255.255.255.0"> /etc/openvpn/ccd/client2
สร้างไฟล์การกำหนดค่าเซิร์ฟเวอร์:
Vi /etc/openvpn/server.conf ################################# พอร์ต 1195 โปรโต udp dev tap0 ca easy-rsa/keys/ca.crt cert คีย์ easy-rsa/keys/server.crt easy-rsa/keys/server.key # ไฟล์นี้ควรถูกเก็บเป็นความลับ dh easy-rsa/keys/dh1024.pem เซิร์ฟเวอร์โหมด tls- เซิร์ฟเวอร์ daemon ifconfig 10.10.10.1 255.255.255.0 client-config-dir /etc/openvpn/ccd keepalive 10 20 client-to-client comp-lzo คีย์คงอยู่ กริยา 3 บันทึกต่อท้าย /var/log/openvpn.log #script-security 2 # ไม่แสดงความคิดเห็นเมื่อทำงานกับ OpenVPN เวอร์ชัน 2.4 ขึ้นไป /etc/openvpn/up.sh ########################### ######
Vi /etc/default/openvpn.vi
ตัวเลือก = ""
OPTARGS = "--สคริปต์ความปลอดภัย 2"
การสร้างสคริปต์ /etc/openvpn/up.shเปิดตัวเมื่อเซิร์ฟเวอร์ OpenVPN เริ่มทำงาน:
Vi /etc/openvpn/up.sh #!/bin/sh brctl addif br0 tap0 brctl addif br0 eth1 ifconfig tap0 0.0.0.0
เราให้สิทธิ์ในการรันสคริปต์ /etc/openvpn/up.shสั่งการ:
Chmod +x /etc/openvpn/up.sh
หลังจากนี้ ให้รีบูทเซิร์ฟเวอร์ OpenVPN ด้วยคำสั่ง:
ดำเนินการคำสั่ง ถ้ากำหนดค่าอินเทอร์เฟซควรปรากฏขึ้น แตะ0โดยไม่มีที่อยู่ IP
เรากำลังรวบรวมไฟล์เก็บถาวรพร้อมคีย์เพื่อแจกจ่ายให้กับพนักงานที่อยู่ห่างไกลและส่งไปยังสำนักงาน 2
เราสร้างโฟลเดอร์ด้วยชื่อผู้ใช้โดยใช้คำสั่ง:
Mkdir -p /etc/openvpn/users/server1 mkdir -p /etc/openvpn/users/client1 mkdir -p /etc/openvpn/users/client2
สร้างโฟลเดอร์ที่มีคีย์ที่เก็บถาวรด้วยคำสั่ง:
Mkdir -p /etc/openvpn/users_tgz
เรารวบรวมคีย์และใบรับรองจากโฟลเดอร์ผู้ใช้โดยใช้คำสั่ง:
Cp /etc/openvpn/server/easy-rsa/keys/server1.key /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/server1.crt /etc/openvpn/users/ server1/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/client1.key /etc/openvpn/ ผู้ใช้/client1/ cp /etc/openvpn/server/easy-rsa/keys/client1.crt /etc/openvpn/users/client1/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/ openvpn/users/client1/ cp /etc/openvpn/server/easy-rsa/keys/client2.key /etc/openvpn/users/client2/ cp /etc/openvpn/server/easy-rsa/keys/client2.crt / ฯลฯ/openvpn/users/client2/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/client2/
เราสร้างไฟล์คอนฟิกูเรชันตามข้อเท็จจริงที่ว่า เซิร์ฟเวอร์1คือเซิร์ฟเวอร์สำนักงานระยะไกล 2 และ ลูกค้า1และ ลูกค้า2พนักงานเหล่านี้คือพนักงานระยะไกลที่เชื่อมต่อกับเครือข่าย VPN จากภายนอกจาก Windows
แทนที่จะเป็น IP-SERVER-VPN เราตั้งค่าที่อยู่ IP ภายนอกของเซิร์ฟเวอร์ OpenVPN
สร้างไฟล์การกำหนดค่า OpenVPN สำหรับเซิร์ฟเวอร์ 1:
Echo " ไคลเอนต์ IP-SERVER-VPN 1195 ระยะไกล dev tap0 proto udp แก้ไข-ลองใหม่อย่างไม่มีที่สิ้นสุด nobind ยืนยันคีย์คงอยู่-tun ca ca.crt ใบรับรอง server1.crt คีย์ server1.key comp-lzo กริยา 4 ปิดเสียง 20 กริยา 3 บันทึกผนวก / var/log/openvpn.log ขึ้น /etc/openvpn/up.sh "> /etc/openvpn/users/server1/server1.conf
การเก็บคีย์สำหรับ เซิร์ฟเวอร์1สั่งการ:
Tar cf - /etc/openvpn/users/server1 | gzip -c -9 > /etc/openvpn/users_tgz/server1.tgz
ลูกค้า1:
Echo " ไคลเอนต์ IP-SERVER-VPN 1195 ระยะไกล dev tap0 proto udp แก้ไข - ลองใหม่ไม่มีที่สิ้นสุด nobind ยืนยัน - คีย์คงอยู่ - tun ca ca.crt ใบรับรอง client1.crt คีย์ client1.key comp-lzo กริยา 4 ปิดเสียง 20 กริยา 3 " > /etc /openvpn/users/client1/client1.ovpn
เก็บคีย์สำหรับ client1 ด้วยคำสั่ง:
Tar cf - /etc/openvpn/users/client1 | gzip -c -9 > /etc/openvpn/users_tgz/client1.tgz
สร้างไฟล์การกำหนดค่าสำหรับ ลูกค้า2สั่งการ:
Echo " ไคลเอนต์ IP-SERVER-VPN 1195 ระยะไกล dev tap0 proto udp แก้ไข - ลองใหม่ไม่มีที่สิ้นสุด nobind ยืนยัน - คีย์คงอยู่ - tun ca.crt ใบรับรอง client2.crt คีย์ client2.key comp-lzo กริยา 4 ปิดเสียง 20 กริยา 3 " > /etc /openvpn/users/client1/client2.ovpn
การเก็บคีย์สำหรับ ลูกค้า2สั่งการ:
Tar cf - /etc/openvpn/users/client2 | gzip -c -9 > /etc/openvpn/users_tgz/client2.tgz
การตั้งค่าเซิร์ฟเวอร์ VPN สำหรับสำนักงาน 2
ตามคำแนะนำข้างต้น เราได้ติดตั้งและกำหนดค่าเซิร์ฟเวอร์ VPN แล้ว เดเบียน GNU/Linuxด้วยการใช้ OpenVPN เราได้สร้างคีย์พร้อมใบรับรองสำหรับเซิร์ฟเวอร์ระยะไกลของสำนักงาน 2 และพนักงานระยะไกล ตอนนี้เราต้องเชื่อมต่อ office 1 กับ office 2 เข้ากับเครือข่ายท้องถิ่นเดียวผ่าน VPN
สมมติว่าใน office 2 เราได้ติดตั้งและกำหนดค่าเซิร์ฟเวอร์ Linux (เกตเวย์) ซึ่งกระจายช่องทางอินเทอร์เน็ตสำหรับพนักงาน office 2 เซิร์ฟเวอร์นี้มีการ์ดเครือข่าย 2 อัน: eth0 - ผู้ให้บริการอินเทอร์เน็ต และ eth1- เครือข่ายท้องถิ่นจะรวมอยู่ในบริดจ์และจะมีกลุ่มที่อยู่ 10.10.10.100-254
เราจำเป็นต้องติดตั้งซอฟต์แวร์ด้วยคำสั่ง:
ความถนัดในการติดตั้ง bridge-utils openvpn
การตั้งค่าเครือข่ายเซิร์ฟเวอร์
เรากำหนดค่าเครือข่ายโดยพิจารณาว่าเรามีการ์ดเครือข่าย 2 อัน eth0- รับอินเทอร์เน็ตจากผู้ให้บริการและผ่านสำนักงาน 1 เข้าถึงอินเทอร์เน็ตรวมถึงเครือข่าย eth1- รวมอยู่ในสวิตช์เครือข่ายท้องถิ่นของสำนักงาน 1 โดยจะรวมอยู่ในบริดจ์พร้อมอินเทอร์เฟซ br0
แก้ไขไฟล์คอนฟิกูเรชัน /etc/network/interfaces:
Vi /etc/network/interfaces.vi
Auto lo iface lo inet loopback # ผู้ให้บริการอินเทอร์เน็ต auto eth0 iface eth0 ที่อยู่คงที่ inet 192.168.60.2 netmask 255.255.255.0 เกตเวย์ 192.168.60.1 # เครือข่ายท้องถิ่น auto eth0 iface eth0 ที่อยู่คงที่ inet 192.168.1.1 netmask 255.255.255.0
อัตโนมัติ lo iface lo inet loopback # เราลงทะเบียนบริดจ์ เรารวมอินเทอร์เฟซ tap0 VPN และการ์ดเครือข่าย eth1 ไว้ในนั้น auto br0 iface br0 inet static # เราเพิ่มอินเทอร์เฟซ openvpn ให้กับ tap0 bridge bridge_ports eth1 tap0 ที่อยู่ 10.10.10.150 netmask 255.255 .255.0 # อินเทอร์เน็ตอัตโนมัติ eth0 iface eth0 ที่อยู่คงที่ inet 192.168.60.2 netmask 255.255.255.0 เกตเวย์ 192.168.60.1
บันทึกการเปลี่ยนแปลงและรีบูตเครือข่ายด้วยคำสั่ง:
/etc/init.d/รีสตาร์ทเครือข่าย
หลังจากนั้นเมื่อดำเนินการตามคำสั่ง ถ้ากำหนดค่า สะพานควรจะปรากฏขึ้น br0ด้วยไอพี 10.10.10.150 , อินเทอร์เฟซ eth0ด้วยที่อยู่ IP 192.168.60.2 และอินเทอร์เฟซ eth1โดยไม่มีที่อยู่ IP เนื่องจากอยู่ในบริดจ์ br0
สำหรับคอมพิวเตอร์ office 2 เราจะออกที่อยู่ IP ให้กับคอมพิวเตอร์โดยไม่ต้องไปไกลกว่านั้น 10.10.10.150-254 , ที่ไหน 10.10.10.150 - นี่คือที่อยู่ IP ของเซิร์ฟเวอร์ office 2
เราอัปโหลดไฟล์เก็บถาวรคีย์ OpenVPN ที่รวบรวมจากเซิร์ฟเวอร์ VPN ของสำนักงาน 1 ไปยังเซิร์ฟเวอร์สำนักงาน 2 ด้วยคำสั่ง:
Ssh -P22 /etc/openvpn/users_tgz/server1.tgz :/root/
หรือหากเซิร์ฟเวอร์ 1 ของสำนักงาน 2 ไม่มี IP ถาวรหรือไดนามิก เราจะรวมคีย์จากเซิร์ฟเวอร์ VPN ของสำนักงาน 2 ด้วยคำสั่ง:
Ssh -P22 :/etc/openvpn/users_tgz/server1.tgz /root/
เมื่อได้รับแจ้งให้ใส่รหัสผ่าน ให้ป้อนรหัสผ่านผู้ใช้ ราก หลังจากป้อนรหัสผ่านที่ถูกต้อง ไฟล์เก็บถาวรที่มีคีย์จะถูกดาวน์โหลดไปยังโฟลเดอร์ /root/server1.tgz
คลายเนื้อหาของไฟล์เก็บถาวร ( เฉพาะไฟล์สำคัญที่ไม่มีโฟลเดอร์) /root/server1.tgzไปยังโฟลเดอร์ /etc/openvpn/
อนุญาตให้ OpenVPN เรียกใช้สคริปต์:
Vi /etc/default/openvpn.vi
ตัวเลือก = ""
OPTARGS = "--สคริปต์ความปลอดภัย 2"
การสร้างสคริปต์ /etc/openvpn/up.shเปิดตัวเมื่อไคลเอนต์ VPN เชื่อมต่อกับเซิร์ฟเวอร์ VPN:
Vi /etc/openvpn/up.sh #!/bin/sh brctl addif br0 tap0 brctl addif br0 eth1 ifconfig tap0 0.0.0.0 chmod +x /etc/openvpn/up.sh
รีบูทเซิร์ฟเวอร์ OpenVPN ด้วยคำสั่ง:
/etc/init.d/openvpn รีสตาร์ท
เมื่อดำเนินการตามคำสั่ง ถ้ากำหนดค่าอินเทอร์เฟซควรปรากฏขึ้น แตะ0โดยไม่มีที่อยู่ IP
ตอนนี้คุณสามารถ ping คอมพิวเตอร์ของสำนักงานอื่นจากทั้งสองสำนักงาน ใช้โฟลเดอร์ที่ใช้ร่วมกัน เครื่องพิมพ์ ทรัพยากรของสำนักงานอื่น และยังจัดการต่อสู้การเล่นเกมระหว่างสำนักงาน 1 และสำนักงาน 2 :)
หากต้องการตรวจสอบอินเทอร์เฟซที่เชื่อมต่อกับบริดจ์ ให้รันคำสั่ง:
การแสดง BRCTl
การตอบสนองของระบบ:
ชื่อบริดจ์ บริดจ์ id อินเตอร์เฟสที่เปิดใช้งาน STP br0 7000.003ds4sDsf6 ไม่มี eth1 tap0
เราเห็นการ์ดเครือข่ายท้องถิ่นของเรา eth1และอินเทอร์เฟซเสมือน OpenVPN แตะ0
งานเสร็จสมบูรณ์ สำนักงานระยะไกลสองแห่งเชื่อมต่อกันเป็นเครือข่ายท้องถิ่นเดียว
หากคุณพบว่าบทความนี้มีประโยชน์ โปรดแบ่งปันกับเพื่อนของคุณโดยคลิกที่ไอคอนของคุณ เครือข่ายทางสังคมที่ด้านล่างของบทความนี้ โปรดแสดงความคิดเห็นเกี่ยวกับคำแนะนำนี้ คุณชอบหรือมีประโยชน์หรือไม่ คุณยังสามารถสมัครรับการแจ้งเตือนบทความใหม่ทางอีเมลของคุณบนเพจ
ตอนนี้เรามาพักสักครึ่งนาทีเพื่อผ่อนคลายอารมณ์ในการทำงานที่มีประสิทธิผลมากขึ้น ดูวิดีโอแล้วยิ้ม:
เป้าหมายหลักของการรวมเครือข่ายสำนักงานในพื้นที่คือการจัดให้มีการเข้าถึงการกระจายทางภูมิศาสตร์อย่างโปร่งใส แหล่งข้อมูลองค์กรต่างๆ การรวมเครือข่ายสำนักงานช่วยให้คุณสามารถแก้ไขปัญหาที่พบบ่อยที่สุดต่อไปนี้:
- ใช้ความจุหมายเลขเดียวของสำนักงาน PBX
- ตรวจสอบให้แน่ใจว่าผู้ใช้อนุญาตในการเข้าถึงทรัพยากร (โฟลเดอร์ที่ใช้ร่วมกัน ไซต์อินทราเน็ต อีเมล ฯลฯ) โดยไม่คำนึงถึงตำแหน่งปัจจุบันของพวกเขา
- ให้การเข้าถึงที่ปลอดภัยสำหรับพนักงานขององค์กรไปยังทรัพยากรที่ตั้งอยู่ในสำนักงานต่างๆ (ตัวอย่างเช่น ตรวจสอบให้แน่ใจว่าพนักงานทำงานกับเซิร์ฟเวอร์องค์กร 1C ที่ติดตั้งในสำนักงานแห่งใดแห่งหนึ่ง)
- ทำงานบนคอมพิวเตอร์ระยะไกลโดยใช้การเข้าถึงเทอร์มินัล (การควบคุมเดสก์ท็อประยะไกล)
- เพิ่มประสิทธิภาพและประสิทธิผลของการบริการ การสนับสนุนด้านเทคนิคเนื่องจากความสามารถในการจัดการคอมพิวเตอร์ เซิร์ฟเวอร์ และอุปกรณ์อื่นๆ จากระยะไกล รวมถึงการใช้งานในตัวอย่างมีประสิทธิภาพ เครื่องมือวินโดวส์เพื่อให้ความช่วยเหลือ - Remote Assistant
วิธีการดำเนินการบูรณาการเครือข่ายสำนักงาน
เพื่อรวมเครือข่ายท้องถิ่นของสำนักงานและสาขาระยะไกลเข้าด้วยกัน จึงใช้เทคโนโลยีเครือข่ายส่วนตัวเสมือน - VPN (Virtual Private Network) เทคโนโลยีนี้มีไว้สำหรับการป้องกันการเข้ารหัสข้อมูลที่ส่งผ่านเครือข่ายคอมพิวเตอร์ เครือข่ายส่วนตัวเสมือนคือชุดของการเชื่อมต่อเครือข่ายระหว่างเกตเวย์ VPN หลายแห่งที่เข้ารหัสการรับส่งข้อมูลเครือข่าย เกตเวย์ VPN เรียกอีกอย่างว่าเกตเวย์การเข้ารหัสหรือเกตเวย์การเข้ารหัส
มีสองวิธีในการสร้างเครือข่ายองค์กรที่ปลอดภัยเพียงแห่งเดียวขององค์กร:
- การใช้อุปกรณ์และบริการที่เกี่ยวข้องของผู้ให้บริการอินเทอร์เน็ต
- โดยใช้อุปกรณ์ของเราเองซึ่งตั้งอยู่ที่สำนักงานใหญ่และสาขา
VPN และบริการต่างๆ จัดทำโดยผู้ให้บริการอินเทอร์เน็ต
โซลูชันนี้ใช้ได้หากสำนักงานใหญ่และสาขาเชื่อมต่อกับอินเทอร์เน็ตผ่านผู้ให้บริการอินเทอร์เน็ตรายเดียวกัน หากสาขาของบริษัทกระจัดกระจายไปตามเมืองต่างๆ และแม้แต่ในประเทศต่างๆ ก็ไม่น่าเป็นไปได้ที่จะมีผู้ให้บริการที่สามารถให้บริการในระดับที่ต้องการแก่คุณได้ และแม้แต่ในราคาที่เอื้อมถึงได้
หากสำนักงานของคุณตั้งอยู่ในเมืองเดียวกัน ให้ตรวจสอบกับผู้ให้บริการอินเทอร์เน็ตเพื่อดูว่าพวกเขาสามารถรวมเครือข่ายท้องถิ่นของสำนักงานของคุณเป็นเครือข่ายเดียวได้หรือไม่ บางทีโซลูชันนี้อาจเหมาะสมที่สุดสำหรับคุณในแง่ของต้นทุน
การรวมเครือข่ายสำนักงานและสาขาด้วยตัวคุณเอง
วิธีการรวมสองเครือข่ายโดยใช้เทคโนโลยี VPN เรียกว่า "Peer-to-Peer VPN" หรือ "site-to-site VPN" ในวรรณคดีภาษาอังกฤษ โหมด "การเข้ารหัสแบบโปร่งใส" ถูกสร้างขึ้นระหว่างสองเครือข่าย โปรโตคอล IPSec มักใช้เพื่อเข้ารหัสและส่งการรับส่งข้อมูลบนเครือข่าย IP
เพื่อจัดระเบียบการเชื่อมต่อ VPN (อุโมงค์ VPN) ระหว่างสำนักงานกลางและสาขาของบริษัทขนาดเล็ก เราขอแนะนำให้ใช้เกตเวย์อินเทอร์เน็ตแบบฮาร์ดแวร์ (ไฟร์วอลล์) ที่รองรับ VPN ในตัว ตัวอย่างของเกตเวย์ดังกล่าวอาจเป็น ZyXEL ZyWALL, Netgear Firewall, Check Point Safe@Office เป็นต้น ผลิตภัณฑ์ประเภทนี้ได้รับการออกแบบเพื่อใช้ใน บริษัทขนาดเล็กกับ จำนวนเฉลี่ยบุคลากรตั้งแต่ 5 ถึง 100 คน อุปกรณ์เหล่านี้กำหนดค่าได้ง่าย มีความน่าเชื่อถือสูง และมีประสิทธิภาพเพียงพอ
ที่สำนักงานใหญ่ขององค์กร มักมีการติดตั้งซอฟต์แวร์รักษาความปลอดภัยเครือข่ายแบบรวม เช่น Microsoft Internet Security and Acceleration Server 2006 (Microsoft ISA 2006), CheckPoint Express, CheckPoint VPN-1 Edge และอื่นๆ ในการจัดการการป้องกันเหล่านี้ จำเป็นต้องมีบุคลากรที่มีคุณสมบัติสูง ซึ่งตามกฎแล้วจะประจำอยู่ที่สำนักงานใหญ่หรือยืมมาจากบริษัทเอาท์ซอร์ส
โดยไม่คำนึงถึงอุปกรณ์ที่ใช้ รูปแบบทั่วไปสำหรับการสร้าง Peer-to-Peer VPN สำหรับการรวมเครือข่ายท้องถิ่นของสำนักงานระยะไกลให้เป็นเครือข่ายเดียวอย่างปลอดภัยมีดังนี้:
ควรสังเกตว่ามีเกตเวย์การเข้ารหัสฮาร์ดแวร์เฉพาะเช่น Cisco VPN Concentrator, "Continent-K" เป็นต้น ขอบเขตของพวกเขาคือเครือข่ายของบริษัทขนาดกลางและขนาดใหญ่ ซึ่งจำเป็นเพื่อให้แน่ใจว่ามีประสิทธิภาพสูงเมื่อเข้ารหัสการรับส่งข้อมูลเครือข่าย ตลอดจนความเป็นไปได้พิเศษ ตัวอย่างเช่น ให้การเข้ารหัสข้อมูลตาม GOST ("Continent-K")
สิ่งที่คุณต้องใส่ใจเมื่อเลือกอุปกรณ์
เมื่อเลือกอุปกรณ์สำหรับจัดระเบียบเครือข่ายส่วนตัวเสมือน (VPN) คุณต้องใส่ใจกับคุณสมบัติต่อไปนี้:
- จำนวนอุโมงค์ VPN ที่รองรับพร้อมกัน
- ผลงาน;
- ความสามารถในการกรองการรับส่งข้อมูลเครือข่ายภายในอุโมงค์ VPN (ฟังก์ชันนี้ไม่ได้นำไปใช้กับเกตเวย์อินเทอร์เน็ตทั้งหมด)
- รองรับการควบคุมคุณภาพ QoS (มีประโยชน์มากเมื่อส่งสัญญาณเสียงระหว่างเครือข่าย)
- ความเข้ากันได้กับอุปกรณ์ที่มีอยู่และเทคโนโลยีประยุกต์
โซลูชั่นฮาร์ดแวร์
ข้อดีของโซลูชันที่สร้างขึ้นบนเกตเวย์อินเทอร์เน็ตด้วยฮาร์ดแวร์ราคาไม่แพง
- ต้นทุนต่ำ
- ความน่าเชื่อถือสูง (ไม่จำเป็นต้องสำรองข้อมูล ไม่มีอะไรผิดพลาดเมื่อปิดเครื่อง)
- ง่ายต่อการบริหารจัดการ
- การใช้พลังงานต่ำ
- ใช้พื้นที่น้อย สามารถติดตั้งได้ทุกที่
- ขึ้นอยู่กับแพลตฟอร์มที่เลือกสำหรับการสร้าง VPN สามารถติดตั้งบริการเพิ่มเติมบนเกตเวย์ VPN ได้: การสแกนป้องกันไวรัสของการรับส่งข้อมูลอินเทอร์เน็ต การตรวจจับการโจมตีและการบุกรุก ฯลฯ ซึ่งเพิ่มระดับความปลอดภัยของเครือข่ายโดยรวมอย่างมีนัยสำคัญและลด ต้นทุนโดยรวมของโซลูชันการป้องกันเครือข่ายที่ครอบคลุม
ข้อบกพร่อง
- โซลูชันนี้ไม่สามารถปรับขนาดได้ ความสามารถในการผลิตเพิ่มขึ้นทำได้โดยการเปลี่ยนอุปกรณ์ทั้งหมด
- มีความยืดหยุ่นน้อยลงในการตั้งค่า
- โดยทั่วไปไม่รองรับการรวมเข้ากับ Microsoft Active Directory (หรือ LDAP)
โซลูชั่นซอฟต์แวร์
ประโยชน์ของโซลูชั่นซอฟต์แวร์
- ความยืดหยุ่น;
- ความสามารถในการขยายขนาด เช่น ความสามารถในการเพิ่มผลผลิตตามความจำเป็น
- บูรณาการอย่างแน่นหนากับ Microsoft Active Directory (Microsoft ISA 2006, CheckPoint)
ข้อบกพร่อง
- ราคาสูง;
- ความซับซ้อนของการบริหาร
จะเริ่มตรงไหน
ก่อนที่คุณจะเริ่มเลือกอุปกรณ์และ ซอฟต์แวร์(ต่อไปนี้ - ซอฟต์แวร์) ในการดำเนินโครงการเพื่อรวมเครือข่ายสำนักงานในพื้นที่ให้เป็นเครือข่ายเดียวผ่าน VPN คุณต้องมีข้อมูลต่อไปนี้:
- กำหนดโทโพโลยี:
- Meshed (เชื่อมต่ออย่างสมบูรณ์) - แต่ละไซต์สามารถจัดการการเชื่อมต่อที่เข้ารหัสกับไซต์อื่นได้โดยอัตโนมัติ
- ดาว (ดาว) - สาขาสามารถจัดระเบียบการเชื่อมต่อที่ปลอดภัยกับไซต์ส่วนกลาง
- Hub and Spoke (การเชื่อมต่อผ่านฮับ) - สาขาสามารถเชื่อมต่อถึงกันผ่านฮับของไซต์ส่วนกลาง
- การเข้าถึงระยะไกล - ผู้ใช้และกลุ่มสามารถสร้างการเชื่อมต่อที่ปลอดภัยไปยังไซต์ตั้งแต่หนึ่งไซต์ขึ้นไป
- การรวมกันของวิธีการข้างต้น (เช่น โทโพโลยีแบบ Star ที่มี Meshed Center ซึ่งสาขาระยะไกลสามารถแลกเปลี่ยนข้อมูลกับสมาชิกทั้งหมดของ VPN ส่วนกลางซึ่งมีโทโพโลยีแบบตาข่าย)
- จำนวนสาขา (อุปกรณ์สำนักงานใหญ่ต้องรองรับการเชื่อมต่อ VPN พร้อมกันจำนวนเท่าใด)
- จำนวนผู้ใช้งานในสำนักงานกลางและในแต่ละสาขา
- อุปกรณ์และ/หรือซอฟต์แวร์ใดที่ใช้ในแต่ละสาขา (ข้อมูลจำเป็นเพื่อคำนึงถึงความเป็นไปได้ในการใช้อุปกรณ์และ/หรือซอฟต์แวร์ที่มีอยู่)
- ข้อมูลเกี่ยวกับการเชื่อมต่อสาขากับอินเทอร์เน็ต: การกำหนดที่อยู่ IP - ความเร็วช่องทางการสื่อสารแบบไดนามิกหรือคงที่
- มีแนวทางการบริหารจัดการอย่างไร ความปลอดภัยของข้อมูล(การป้องกันขอบเขตเครือข่าย, การรักษาความปลอดภัยป้องกันไวรัส) จะถูกนำไปใช้: การจัดการแบบรวมศูนย์ของสำนักงานใหญ่และสาขาโดยผู้ดูแลระบบความปลอดภัยหนึ่งคน (ผู้ดูแลระบบ) หรือแต่ละสาขามีผู้ดูแลระบบของตัวเอง
เพื่อลดภัยคุกคามจากการบุกรุกเครือข่าย สำนักงานกลางจำเป็นต้องให้ความสำคัญกับการปกป้องเครือข่ายสาขาขององค์กร การใช้ VPNไม่รับประกันการป้องกันการบุกรุกที่เชื่อถือได้ เว้นแต่เครือข่ายสาขาจะได้รับการป้องกันที่เชื่อถือได้เช่นกัน หากผู้โจมตีสามารถเข้าถึงเครือข่ายสาขาโดยไม่ได้รับอนุญาต เขาก็สามารถเข้าถึงเครือข่ายสาขาได้เช่นกัน ระบบสารสนเทศสำนักงานใหญ่ เนื่องจากเครือข่ายสำนักงานใหญ่และสาขารวมกันเป็นเครือข่ายเดียวผ่าน VPN