Объединение локальных сетей через интернет

Главная / Услуги и цены / Распределенная и офисная сети /

VPN – Virtual Private Network. Помощью данной технологии мы поможем Вам объединить географически распределенные офисы в одну сеть.

При передаче данных от одной площадки до другой, информация будет передана через защищенный VPN – тоннель, а не через публичную сеть.

Настройка VPN соединения

Технология, которая позволяет связать два удаленных офиса защищенным соединением поверх публичной сети интернет, называется Site-to-Site VPN. C помощью настройки виртуальной частной сети VPN между удаленными офисами, Вы можете расширить корпоративную сеть, сделать доступным обмен ресурсами между сотрудниками офиса А и офиса Б. Наиболее часто к подобным решениями прибегают при следующих обстоятельствах:

Создание внутрикорпоративной сети: Мы соединим через Site-to-Site VPN туннель Ваш центральный офис с удаленной площадкой. Данное решение подразумевает доступ к интранету организации, общим ресурсам и приложениям с обоих сторон.

Создание партнерской сети: Тесно связаны с Вашим бизнес — партнером? Это позволит работать в едином защищенном сегменте LAN, но разграничить доступ к интранету.

Интранет — внутренняя сеть организации. В корпоративном мире под этим словом чаще всего понимают портал, где сотрудники могут читать новости компании, иметь доступ к телефонной книге, данным о сотрудниках, процедурах и так далее.

Для настройки необходимо иметь публичный IP — адрес (который Вам выдал провайдер) на интерфейсе маршрутизатора и непосредственная поддержка технологии VPN на каналообразующем оборудовании. Наши сотрудники специализируются на настройке VPN (IPsec туннелирование) на оборудовании Cisco и Juniper.

Этапы проведения работ

— ICMP проверка маршрутизации между внешними интерфейсами маршрутизаторов в офисе A и B. При необходимости настройка маршрутов.

— Настройка IKE (Internet Key Exchange).

— Настройка внутренних адресов, которые необходимо шифровать через Site-to-Site VPN туннель.

— Настройка pre-share ключей.

— Обозначение transform-set: Набор алгоритмов применяемых для шифрования данных через IPsec.

— Объединение конфигурации VPN в crypto-map и присвоение интерфейсу.

Итог работ

Настройка VPN между офисами завершена. Теперь, вы можете спокойно обмениваться данными по шифрованному каналу связи между удаленными офисами с помощью технологии Site-to-Site VPN.

Расширьте возможности Вашего бизнеса!

Преимущества

  • Защита и безопасность передаваемых данных
  • Снижение расходов на передачу голосового и видео трафика
  • Улучшение ИТ — инфраструктуры

План работ

  • Вы заказываете данную услугу
  • Мы согласовываем стоимость настройки, в зависимости от типа используемого оборудования и сложности работ
  • Производим необходимые настройки

Этой статьей я открываю цикл кратких заметок по созданию распределенных VPN-сетей республиканского масштаба для нужд среднего предприятия. Не ищите здесь руководство по VPN-технологиям – его здесь нет, для этого есть специализированные пособия, доступные в электронной и печатной форме. Я лишь попытаюсь дать представление на практическом примере, что это за «зверь» такой – VPN, и указать на особенности построения подобной инфраструктуры в наших условиях, попутно обобщив свой опыт на этом поприще.

Все, сказанное мной, не претендует на истину в последней инстанции, и отражает лишь мою собственную точку зрения.

Зачем это нужно?

Итак, исходные условия таковы: ваша организация имеет несколько филиалов, расположенных на большом удалении друг от друга в пределах одного города или даже в разных городах страны. Вам поставлена, на первый взгляд, совершенно фантастическая задача: объединить локальные сети филиалов в одну глобальную сеть; чтобы каждый компьютер мог обращаться к другому компьютеру в этой сети, вне зависимости где он находится – в соседней комнате или в тысяче километров от него. Иногда условие задачи выглядит по-другому: предоставить доступ к определенному ресурсу одного филиала с компьютеров сети других филиалов (но суть дела от этого не меняется).

И как это сделать?

Делается это с помощью технологии VPN. Проще говоря, поверх ваших отдельных сетей «набрасывается» логическая сеть, отдельные компоненты (то бишь, филиалы) которой могут быть связаны между собой различными способами: по публичным каналам (Интернет), по выделенным линиям, по беспроводной сети. В результате, получается гомогенная сеть, состоящая из разнородных компонентов.

Понятно, что вариант с самостоятельной прокладкой каналов рассматриваться не может в силу поставленных условий, никто не даст вам тянуть кабель через весь город, да и неблагодарная это работа. Поэтому ничего иного не остается, как обратиться к поставщику телекоммуникационных услуг, а проще говоря – к провайдеру. Выбор провайдера – отдельная тема для разговора, выходящая за рамки этой статьи. Стоит лишь заметить, что все будет зависеть от нескольких факторов, самые главные из которых – объем предоставляемых услуг и качество связи. Немаловажное значение будут иметь расценки на передачу данных, и здесь нужно выбрать золотую середину между ценой и качеством. Поскольку каждый устанавливает эту планку для себя индивидуально (для кого-то целый час без связи не беда, а кому-то пять минут простоя покажутся трагедией), советовать что-либо здесь невозможно.

На этом этапе требуется сесть и тщательно продумать, какие филиалы вашей организации войдут в сеть. Если их больше двух-трех, можно для наглядности даже нарисовать схему с табличкой, в которой указать адреса и контакты каждого филиала.

Если требуется организовать распределенную сеть в пределах одного города, обычно есть выбор из нескольких вариантов подключений у различных провайдеров. В моем случае, требовалось объединить несколько сетей, расположенных в различных городах области; здесь, как говорится, без вариантов – приходится обращаться к компании-монополисту Казахтелеком, единственному глобальному поставщику данного вида связи на всей территории РК. Далее в статье я буду рассматривать подключение именно через «Казахтелеком», как наиболее универсальный способ, адаптировать рекомендации под конкретного провайдера не составит особого труда.

Организация VPN-сети (часть вторая)

linux, vpn, network

Соединение нескольких офисов в одну сеть с помощью OpenVPN


   Ссылка на оригинал: http://ylsoftware.com/

   Автор: MooSE (moose@home.ylsoftware.com)

   С версии: 1.4

   Дата: 19.01.2008

Итак. Допустим что у некоторой фирмы есть несколько офисов в различных точках города (возможно даже земного шара — не суть важно) и нам нужно обеспечить максимально простой способ взаимодействия локальных сетей различных офисов между собой. Неплохим решением этой задачи будет объединение этих сетей посредством OpenVPN.

Итак. Уточним начальные условия:

Центральный офис (office-0):

Сервер под управлением Ubuntu Linux. Три сетевых интерфейса: eth0, eth1, eth2. Конфигурация следующая:

  1. eth0: внешний интерфейс, имеющий реальный ip-адрес a.b.c.d.

  2. eth1: первая локальная сеть: 192.168.1.1/24.

  3. eth2: вторая локальная сеть: 192.168.2.1/24.

Офис 1 (office-1):

Под управлением Mandriva Linux. Два интерфейса:

  1. eth0: внешний интерфейс, имеющий доступ к адресу a.b.c.d (каким либо образом).

  2. eth1: локальная сеть: 192.168.3.1/24.

Офис 2 (office-2)

Сервер полностью аналогичен серверу в первом офисе, за исключением eth1: там адрес 192.168.4.1/24.

Объединять мы будем сервера в виртуальную сеть 192.168.10.0/24. Поэтому на всех серверах должен быть настроен NAT не только для «своих» сетей, но и для сети 192.168.10.0/24.

Будем считать что всё это уже сделано. Приступаем к установке и настройке OpenVPN-сервера:

apt-get install openvpn

Создаём файл конфигурации /etc/openvpn/server.conf следующего содержания:

mode server

tls-server

daemon

ifconfig 192.168.10.1 255.255.255.0

port 1194

proto tcp-server

dev tap

ca /etc/openvpn/keys/ca.crt

cert /etc/openvpn/keys/office-0.crt

key /etc/openvpn/keys/office-0.key

dh /etc/openvpn/keys/dh1024.pem

client-config-dir /etc/openvpn/ccd

push «route 192.168.10.0 255.255.255.0 192.168.10.1»

keepalive 10 120

comp-lzo

persist-key

persist-tun

verb 3

log-append /var/log/openvpn.log

Создаём каталог, в котором будут хранится индивидуальные настройки клиентов:

mkdir /etc/openvpn/ccd

Копируем скрипты для генерации ключей и создаём ключи:

cp -vR /usr/share/doc/openvpn/examples/easy-rsa/2.0 /etc/openvpn/

mkdir /etc/openvpn/2.0/keys

ln -s /etc/openvpn/2.0/keys /etc/openvpn/keys

cd /etc/openvpn/2.0/keys

source ./vars

./clean-all

./build-ca

./build-dh

# Ключ для центрального офиса

./build-key office-0

# Ключ для первого офиса

./build-key office-1

# Ключ для второго офиса

./build-key office-2

В ходе выполнения этих команд будет задан ряд вопрос. Ответы на них вобщем-то очевидны, поэтому заострять на них внимание не будем.

Далее создаём файлы /etc/openvpn/ccd/office-1 и /etc/openvpn/ccd/office-2.

Содержание первого:

# приcваиваем ip-адрес

ifconfig-push 192.168.10.101 255.255.255.0

# роутинг на сети центрального офиса

push «route 192.168.1.0 255.255.255.0 192.168.10.1»

push «route 192.168.2.0 255.255.255.0 192.168.10.1»

# роутинг на сеть второго офиса

push «route 192.168.4.0 255.255.255.0 192.168.10.102»

Содержание второго:

# присваиваем ip-адрес

ifconfig-push 192.168.10.102 255.255.255.0

# роутинг на сети центрального офиса

push «route 192.168.1.0 255.255.255.0 192.168.10.1»

push «route 192.168.2.0 255.255.255.0 192.168.10.1»

# роутинг на сеть первого офиса

push «route 192.168.3.0 255.255.255.0 192.168.10.101»

На этом настрока сервера завершена.

Перезапускаем его:

/etc/init.d/openvpn restart

Убеждаемся что поднялся интерфейс tap0:

ifconfig tap0

Переходим к настройке офисов. Рассмотрим только один. Второй будет сделан аналогично, за исключением имён сертификатов.

Устанавливаем openvpn:

urpmi openvpn

mkdir /etc/openvpn/keys

Создаём файл конфигурации /etc/openvpn/client.conf:

client

dev tap

proto tcp

# адрес сервера в центрально офисе

remote a.b.c.d 1194

resolv-retry infinite

nobind

persist-key

persist-tun

comp-lzo

ns-cert-type server

ca ca.crt

cert /etc/openvpn/keys/office-1.crt

key /etc/openvpn/keys/office-1.key

log-append /var/log/openvpn.log

Далее нам нужно поместить файлы office-1.* и ca.crt из каталога /etc/openvpn/keys сервера в каталог /etc/openvpn/keys клиента.

После этого запускаем сервис:

chkconfig openvpn on

service openvpn start

Убеждаемся что поднялся интерфейс:

ifconfig tap0

После настройки обоих офисов можно убедиться в работе сети попробовав пинговать из одного офиса какой-нибудь компьютер, расположенный в другом офисе.

На этом всё. Более подробную информацию можно найти в документации по openvpn.

В начало → Соединение нескольких офисов в одну сеть с помощью OpenVPN
07.09.2006

Объединение локальных сетей офисов и удаленных филиалов

Для того чтобы объединить локальные сети офисов и удаленных филиалов, применяют технологию виртуальных частных сетей — VPN (Virtual Private Network). Данная технология предназначена для криптографической защиты данных, передаваемых по компьютерным сетям. Виртуальная частная сеть представляет собой совокупность сетевых соединений между несколькими VPN-шлюзами, на которых производится шифрование сетевого трафика. VPN-шлюзы еще называют криптографическими шлюзами или крипто-шлюзами.

Существуют два метода построения единой защищенной корпоративной сети организации:

  1. с использованием оборудования и соответствующего комплекса услуг интернет-провайдера;
  2. с использованием собственного оборудования, расположенного в головном офисе и филиалах.

Далее рассмотрим условия применимости, достоинства и недостатки каждого из этих методов.

VPN и услуги предоставляет интернет-провайдер

Данное решение применимо, если головной офис и филиалы подключены к Интернет через одного интернет-провайдера. Если отделения компании разбросаны по городам, да еще в разных странах, вряд ли найдется провайдер, который сможет предоставить вам необходимый уровень сервиса, да еще за приемлемые деньги.

Если ваши офисы находяться в пределах одного города, узнайте у вашего интернет-провайдера, может ли он обеспечить объединение локальных сетей ваших офисов в единую сеть. Возможно это решение будет оптимальным для вас по стоимости.

Объединение сетей офисов и филиалов своими силами

Метод объединения двух сетей с применением технологии VPN в англозязычной литературе называетя "Peer-to-Peer VPN" или "site-to-site VPN". Между двумя сетями устанавливается режим "прозрачного шифрования". Для шифрования и передачи трафика в IP-сетях наиболее часто используют протокол IPSec.

Для организации VPN-соединенией (VPN-туннелей) между центральным офисом и филиалами небольших компаний рекомендуем использовать аппаратные интернет-шлюзы (firewall) со встроенной поддержкой VPN. Примером таких шлюзов могут быть ZyXEL ZyWALL, Netgear Firewall, Check Point Safe@Office, и т.п. Данный класс продуктов рассчитан на применение в небольших компаниях со средней численностью персонала от 5 до 100 человек. Эти устройства просты в настройке, обладают высокой надежностью и достаточной производительностью.

В головном офисе организации часто устанавливают программные интегрированные решения по защите сети, такие как "Microsoft Internet Security and Acceleration Server 2006" (Microsoft ISA 2006),CheckPoint Express, CheckPoint VPN-1 Edge и другие. Для управления этими средствами защиты необходимо наличие высококвалифицированного персонала, который, как правило, или имеется в головном офисе или заимствуется у компании-аутсорсера.

Вне зависимости от применяемого оборудования, общая схема построения Peer-to-Peer VPN для безопасного объединения локальных сетей удаленных офисов в единую сеть, следующая:

Следует также заметить, что существуют специализированные аппаратные крипто-шлюзы, разработанные для решения узко-специализированных задач. Примерами могут служить Cisco VPN Concentrator, "Континент-К", и др. Их область применения — сети средних и крупных компаний, где необходимо обеспечить высокую производительность при шифровании сетевого трафика, а также специальные возможности. Например, обеспечить шифрование данных по ГОСТ ("Континент-К").

На что необходимо обратить внимание при выборе оборудования

Выбирая оборудование для организации виртуальной частной сети (VPN) необходимо обратить внимание на следующие свойства:

  • количество одновременно-поддерживаемых vpn-туннелей;
  • производительность;
  • возможность фильтрации сетевого трафика внутри vpn-туннеля (эта функция реализована далеко не во всех интернет-шлюзах);
  • поддержка управления качеством QoS (очень полезна при передаче голосового трафика между сетями);
  • совместимость с имеющимся оборудованием и применяемыми технологиями, например интеграция с LDAP, Microsoft Active Directory для сквозной авторизации пользователей и т.п.

Аппаратные решения

Преимущества решений, построенных на недорогих аппаратных интернет-шлюзах

  • Низкая стоимость;
  • Высокая надежность (нет необходимости в резервном копировании, при отключении питания ничего не выходит из строя);
  • Простота администрирования;
  • Малое энергопотребление;
  • Занимает мало места, можно установить где угодно;
  • в зависимости от выбранной платформы для построения VPN, имеется возможность для установки на vpn-шлюз дополнительных сервисов: антивирусная проверка интернет-трафика, обнаружение атак и вторжений, и др, что существенно увеличивает общий уровень защищенности сети и уменьшает общую стоимость решения по комплексной защите сети.

Недостатки

  • Решение не масштабируется, увеличение производительности достигается полной заменой оборудования;
  • Менее гибко в настройках;
  • Интеграция с Microsoft Active Directory (или LDAP), как правило, не поддерживается.

Программные решения

Преимущества программных решений

  • Гибкость;
  • Масштабируемость, т.е. возможность увеличить производительность по мере необходимости;
  • Тесная интеграция с Microsoft Active Directory (Microsoft ISA 2006, решения CheckPoint)

Недостатки

  • Высокая цена;
  • Сложность администрирования.

С чего начать

Прежде чем присупить к выбору оборудования и программного обеспечения (далее — ПО) для реализации проекта по объединению локальных сетей офисов в единую сеть через VPN, необходимо располагать следующими сведениями:

  1. Определить топологию:
    • Meshed (полносвязные) — каждый сайт может автоматически организовать шифрованное соединение с любым другим сайтом;
    • Star (звезда) — филиалы могут организовать защищенные соединения с центральным сайтом;
    • Hub and Spoke (связь через концентратор) — филиалы могут соединяться между собой через концентратор центрального сайта;
    • Remote Access (удаленный доступ) — пользователи и группы могут организовать безопасные соединения с одним или несколькими сайтами;
    • Комбинации перечисленных выше методов (например, топология Star with Meshed Center — звезда с полносвязным центром, — в которой удаленные филиалы могут обмениваться информацией со всеми членами центральной VPN, имеющей полносвязную топологию).
  2. Количество филиалов (какое количество одновременных VPN-соединений должно поддерживать оборудование головного офиса);
  3. Количество пользователей в центральном офисе и в каждом филиале;
  4. Какое оборудование и/или ПО используется в каждом филиале (данные необходимы для учета возможностей по использованию существующего оборудования и/или ПО);
  5. Данные по подключению филиалов к Интернет: назначение IP адреса – динамическое или статическое, скорость канала связи;
  6. Какой подход к управлению информационной безопасностью (защита периметра сети, антивирусная безопасность) будет применен: централизованное управление головным офисом и филиалами одним администратором безопасности (системным администратором), или в каждом филиале свой системный администратор.

Чтобы минимизировать угрозы проникновения в сеть центрального офиса, необходимо уделить должное внимание защите сетей филиалов организации. Использование VPN не гарантирует надежную защиту от проникновения, если сети филиалов также не будут надежно защищены. Если злоумышленник сможет получить несанкционированный доступ к сети филиала, то он также сможет получить доступ и к информационной системе головного офиса, поскольку сети головного офиса и филиала объединены в единую сеть через VPN.

Количество показов: 10926
Автор:  КирСаныч

Возврат к списку


Материалы по теме:

Добавить комментарий

Закрыть меню