Vpn pass through

Нужна консультация по Wi-Fi роутеру

Я
   Armando

 

18.12.10 — 15:42

Хочу купить роутер, чтоб инет по квартире раздавать.
Так же есть необходимость подключаться к корпоративной сети с использованием Cisco VPN Client`а. Правильно ли я понимаю, что роутер должен быть с поддержкой VPN pass through? Или это из другой песни?

 
 
   тру-тру

 

1 — 18.12.10 — 15:44

правильно но лучше с поддержкой vpn-server

   Armando

 

2 — 18.12.10 — 17:02

(1) Спасибо!
>> лучше с поддержкой vpn-server
чем лучше?

   dnab

 

3 — 18.12.10 — 17:35

самый дешевый роутер dlink dir-300 + kerio vpn client все отлично работает. так что наверно это из другой песни

   ДенисЧ

 

4 — 18.12.10 — 17:37

не нужен в роутере впн. И без него всё работает.

У меня дир-300 и никаких проблем с выходом в конторские сети я не испытываю

   Красотка Нонна

 

5 — 18.12.10 — 17:44

уху, ДенисЧ прав. МОжно брать обычный длинк и не париться, впнклиент сам все сделает

   Trigg

 

6 — 18.12.10 — 17:50

> роутер должен быть с поддержкой VPN pass through?

Это только если ты захочешь с работы заходить домой по ВПНу 🙂

   Armando

 

7 — 18.12.10 — 20:28

(3)(4)(5) В описании D-link DIR-300 ( http://market.yandex.ru/model.xml?hid=723087&modelid=1560833&show-uid=417630612926927651 ) явно заявлена поддержка VPN pass through.

(1)(6) кому верить?

   birkoFFFF

 

8 — 18.12.10 — 20:33

Цитата:

«Подключиться через VPN можно двумя способами: с помощью маршрутизатора или с помощью специального программного обеспечения, установленного на компьютере пользователя. Для подключения по второму способу необходимо, чтобы маршрутизатор локальной сети удаленного офиса имел возможность пропускать данные, созданные с помощью протоколов VPN (эту функцию в англоязычной литературе называют «VPN pass through»). Большинство современных маршрутизаторов обладают такой возможностью. «

   Armando

 

9 — 18.12.10 — 20:47

(8) Читал. Судя по тексту — (6) прав. Но пока искал инфу, наткнулся на ветку в каком-то форуме, где у человека была проблема типа соединение по VPN происходило, но данные не передавались пока он не воткнул поддержку VPN в настройках роутера. Вот я и засомневался. Хотя не исключаю, что в 2 часа ночи мог что-нибудь не так понять))

   Nandarou

 

10 — 18.12.10 — 20:51

(6) Trigg имеет ввиду ситуацию. На входе стоит роутер. За ним н-ное количество компов в том числе впн сервер.

(7) «VPN pass through» появился из-за этого:

wiki:NAT

 
 

   xazrad

 

11 — 18.12.10 — 20:55

Самый дешёвый роутер справится с этой задачей

   Armando

 

12 — 18.12.10 — 23:04

Понятно, могу брать любой.
Кстати, на счет D-Link, на сайте провайдера вот чего написано:
«Наша компания не рекомендует роутеры D-Link для работы в нашей сети. Все протестированные модели отличаются нестабильностью в работе, а многие не поддерживают статическую и динамическую маршрутизацию. Однако специалисты D-link постоянно ведут работы по разработке новых прошивок. Возможно со временем ситуация улучшится.»

   Armando

 

13 — 18.12.10 — 23:14

Может знающие люди посоветуют православный роутер?Провайдерские требования:
— подключение PPPOE
— одновременно настройка статического или динамического адреса на интерфейсе(Dual Access)
— поддержка добавления статических маршрутов вручную или автоматически по DHCP.
Ну и Wi-Fi 802.11n чтоб был.

   bse

 

14 — 18.12.10 — 23:14

dir-320 (и не только) + dd-wrt очень хорошая железка получается

   rsergio

 

15 — 18.12.10 — 23:29

C PPPOE обычно проблем у роутеров не бывает.
Если нужен 802.11n, то один из самых быстрых роутеров — D-Link DIR-655. Если дороговато, то можно и DIR-615 взять (правда скорости могут быть меньше).
Но если нужно организовать PPTP, то D-link лучше не брать (хотя у тещи 320 работает и ничего, но скорости так себе)

   Lenka_Boo

 

16 — 19.12.10 — 00:16

У меня TP-Link TL-WR741N. Все прекрасно работает, и Cisco VPN Client тоже.
Правда я его перепрошила сразу же в первый день. А то он внутреннюю сеть провайдера не видел.

   Fragster

 

17 — 19.12.10 — 00:36

(13) у админов прова кривые руки 🙂

   Старый Гоблин

 

18 — 19.12.10 — 01:37

(12) они небось на прикормке от другого производителя роутэров, поэтому и оценки соответствующие. Или свою сетку не могут правильно настроить….Сколько встречался с Д-Линками — косяки есть, но редко — с помощью техподдержки провайдера + форум на сайте Д-Линка — все решается… так что твой провайдер просто не равнодушен к Д-Линку….

   this

 

19 — 19.12.10 — 05:42

(0) из всего вышеуказанного — тебе хватить любого устройства…. подключение к серверу впн происходит по определенным адресам. Клиент подключается к адресу сервера… поэтому никакая маршрутизация клинта не нужна (если не используется proxy, т.к. в отличии от ната некоторые порты могут быть не доступны пользователю) К твоему запросу подойдет абсолютно любой роутер, какой душе будет угоден.

   Armando

 

20 — 19.12.10 — 14:20

Всем спасибо за советы!
Скажите, пожалуйста, стоит ли заморачиваться на частоте 5 ГГц? А то выбор не очень широкий получается http://market.yandex.ru/guru.xml?CMD=-RR=9,0,0,0-PF=2142620381%2BTR%2Bsel%2Bselect-PF=2142620374%2BTR%2Bsel%2Bselect-PF=2142620368%2BTR%2Bsel%2Bselect-PF=2142620365%2BEQ%2Buni%2B4-PF=2142620357%2BTR%2Bsel%2Bselect-PF=2141007006%2BEQ%2Bsel%2Bx70608131-PF=2142620389%2BEQ%2Bsel%2Bx938513220-PF=2142620388%2BEQ%2Bsel%2Bx412843755-PF=2142620391%2BEQ%2Bsel%2Bx88383158-VIS=1F2-CAT_ID=651524-EXC=1-PG=10&hid=723087&filter=&num=&greed_mode=false

   Armando

 

21 — 20.12.10 — 10:27

Вопрос еще актуален)

   Йохохо

 

22 — 20.12.10 — 15:15

5 ГГц (почти) нельзя использовать в России
wiki:Wi-Fi#.D0.A0.D0.BE.D1.81.D1.81.D0.B8.D1.8F
на вики есть список городов где нельзя

   Armando

 

23 — 20.12.10 — 18:03

(22) Афигеть, не знал. Да пох по большому счету. Не думаю что физиков с их бытовыми роутерами будут за попу брать. Максимум домой заявятся и заставят частоту сменить.

 

Наведи порядок в своей работе используя конфигурацию 1C "Управление IT-отделом 8"

ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку «Обновить» в браузере.

Ветка сдана в архив. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.

Когда-то я писал пост про «правильную настройку VPN соединения по так называемому Gentoo way». Несмотря на то, что на пост было множество несогласных с моим мнением отзывов(кстати, набравшись опыта я сейчас понимаю что сделал бы тоже несколько по другому. Каюсь, грешен), эта тема как оказалось очень актуальна и востребована. Мне до сих пор приходят на email различные вопросы связанные с настройкой VPN соединения на сервере — т.е. без графической оболочки и утилит. В этом посте я постараюсь как можно более подробно описать данный процесс.

Итак приступим.
Для начала требуется установить нужный пакет. В deb based дистрибутивах он называется pptp-linux:

sudo aptitude install pptp-linux

В других дистрибутивах пакет может называться по другому, однако в названии вероятнее всего есть «pptp». Так что, можно поискать по названию, почитать описание и установить.

Следующее что нам нужно сделать, это отредактировать параметры для подключения. Откроем файл /etc/ppp/options.pptp:

sudo vim /etc/ppp/options.pptp

И приведём примерно к такому виду:

lock noauth refuse-pap refuse-eap refuse-chap refuse-mschap require-mppe-128 nobsdcomp nodeflate persist

По порядку что и для чего:

Параметр Назначение
lock создаём файл блокировки
auth требовать от сервера подтвердить свою подлинность перед началом обмена пакетами
refuse-pap отключаем аутентификацию по протоколу pap
refuse-eap отключаем аутентификацию по протоколу eap
refuse-chap оотключаем аутентификацию по протоколу chap
refuse-mschap отключаем аутентификацию по протоколу mschap
require-mppe-128 требовать использование mppe с 128-битным шифрованием
nobsdcomp отключаем сжатие BSD-Compress
nodeflate отключаем deflate сжатие
persist пытаемся снова подключиться при разрыве

Теперь создадим файл с параметрами подключения:

sudo vim /etc/ppp/peers/vpn

И добавим туда следующее:

lcp-echo-interval 60 lcp-echo-failure 4 maxfail 0 defaultroute pty «pptp 192.168.0.4 —nolaunchpppd» name login remotename PPTP linkname vpn file /etc/ppp/options.pptp

Что и для чего:

Параметр Назначение
lcp-echo-interval интервал с которым опрашиваем удалённый сервер
lcp-echo-failure количество не отвеченных запросов от сервера, по прошествии которых считаем что мы отключены
maxfail 0 всегда пытаться подключиться если отсутствует связь
defaultroute после подключения, добавляет маршрут по умолчанию через созданный туннель.
pty создаём канал для связи с сервером. (подробнее man pptp)
name логин
remotename устанавливаем «имя предполагаемой» удалённой системы для аутентификации
linkname устанавливает логическое имя канала. В данном случае нам нужно для удобного «роутинга»
file указываем где находится файл с параметрами подключения

Откроем /etc/ppp/chap-secrets:

sudo vim /etc/ppp/chap-secrets

И добавим логин\пароль подключения:

Вместо login надо подставить логин и вместо password пароль соответственно.

Для подключения используется команда pon.

Например в нашем случае:

Для отключения poff:

Чтобы посмотреть состояние подключения plog:

У большинства провайдеров в локальной сети так же находятся внутренние ресурсы и многие наверняка захотят иметь к ним доступ при включенном VPN соединении. Для этого надо прописать маршруты. Т.е. грубо говоря, нам нужно задать правила для определённого диапазона адресов, чтобы трафик шёл не через наш внешний канал, а через внутреннюю сеть. Для этого нужно узнать шлюз который используется в локальной сети. Выполним следующую небольшую команду:

sudo ip r l | grep default

Важно: выполнять нужно обязательно нужно при отключенном VPN соединении. В противном случае мы получим шлюз PPTP туннеля.
Будет что-то вроде:

default via 10.7.131.11 dev eth0 proto static

10.7.131.11 и будет шлюз. Теперь создадим файл /etc/ppp/ip-up.d/vpn

sudo vim /etc/ppp/ip-up.d/vpn

И добавим в него небольшой скрипт:

#!/bin/sh#if[ ! $LINKNAME=»vpn»]thenexit 0 fi route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.7.131.11 route add -net 172.16.0.0 netmask 255.240.0.0 gw 10.7.131.11

Дадим права на исполнение:

sudo chmod +x /etc/ppp/ip-up.d/vpn

Так же при отключении было бы не плохо их удалять. Если не удалять их, конечно, ничего страшного произойти не должно, однако никогда не знаешь что потребуется сделать потом, и про них можно случайно забыть. Вот дабы такого не происходило, желательно их удалять.
Создадим файл /etc/ppp/ip-down.d/vpn

sudo vim /etc/ppp/ip-down.d/vpn

И туда тоже добавим небольшой скрипт:

#!/bin/sh#if[ !

$LINKNAME=»vpn»]thenexit 0 fi route del -net 10.0.0.0 netmask 255.0.0.0 gw 10.7.131.11 route del -net 172.16.0.0 netmask 255.240.0.0 gw 10.7.131.11

Так же дадим права на исполнение:

sudo chmod +x /etc/ppp/ip-down.d/vpn

Теперь остался последний штрих: подключать VPN соединение при загрузке ПК. Для этого откроем /etc/network/interfaces:

sudo vim /etc/network/interfaces

И добавим в конец что-нибудь вроде:

auto ppp0 iface ppp0 inet ppp provider vpn pre-up ip link set eth0 up up route del default up route add default dev ppp0
Параметр Назначение
provider имя vpn подключения. То, которое находится в /etc/ppp/peers/
pre-up link set eth0 up проверяем что локальная сеть — eth0, подключена прежде чем подключать VPN.
up route del default удаляем маршрут по умолчанию через eth0
up route add default dev ppp0 добавляем новый маршрут по умолчанию через недавно созданный интерфейс.

Несколько полезных ссылок:

  1. http://pptpclient.sourceforge.net/documentation.phtml — официальная документация pptpclient
  2. http://www.opennet.ru/man.shtml?topic=pppd&category=8 — переведённый man

Настройка шлюза VPN

Функция шлюза VPN 

Чтобы настроить сервер RRAS на выполнение самой распространенной функции — шлюза VPN — выполните следующие шаги.

  1. Откройте средство Routing and Remote Access MMC: Start-AII Programs-Administrative Tools- Routing and Remote Access 
  2. Выберите локальное имя сервера или подключитесь к удаленному серверу RRAS. Для этого щелкните правой кнопкой мыши на узле Routing and Remote Access и выбери­те в контекстном меню пункт Add Server (Добавить сервер).
  3. Щелкните на узле Action \ Configure and Enable Routing and Remote Access (Действие \ Настройка и активизация маршрутизации и удаленного доступа).
  4. На странице приветствия щелкните на кнопке Next (Далее).
  5. Выберите один из вариантов настройки. Для различных ситуаций нужны различные параметры.

    Например, при создании межсайтового VPN нужно устано­вить переключатель Secure Connection Between Two Private Networks (Защищенное соединение между двумя частными сетями). В нашем случае мы создаем простую VPN, поэтому выбираем вариант Remote Access (Dial-up or VPN) (Удаленный доступ (коммутируемый или VPN)).

  6. На странице Remote Access (Удаленный доступ) установите флажок VPN. Для соз­дания коммутируемых соединений (например, если к компьютеру VPN подключен модем) нужно также установить флажок Dial-up (Коммутируемый доступ). Щелкните на кнопке Next.
  7. На странице VPN Connection (Соединение VPN), укажите сетевую карту, подключенную к сети, откуда будут поступать клиенты VPN. Это мо­жет быть Интернет или защищенная периферийная сеть наподобие DMZ. Щелкните на кнопке Next.
  8. На странице IP Address Assignment (Назначение IP-адреса) укажите, как клиенты VPN должны получать свои IP-адреса (обычно автоматически — Automatically). Кроме того, можно указать ручной диапазон. Щелкните на кнопке Next.
  9. На странице Managing Multiple Remote Access Servers (Управление несколькими серверами удаленного доступа), укажите, нужно ли выполнять локальную аутентификацию с помощью RRAS или использовать удаленный сер­вер RADIUS. Щелкните на кнопке Next.
  10. Просмотрите параметры мастера и щелкните на кнопке Finish (Готово).
  11. При появлении сообщения о создании стандартной политики для запроса подклю­чения щелкните на кнопке ОК. Если появится сообщение об агенте ретрансляции DHCP (DHCP Relay Agent), также щелкните на кнопке ОК.
  12. После завершения работы мастера щелкните на кнопке Finish (Готово).

Главная / Решения / Объединение сетей

Объединение локальных сетей офисов — цели и задачи

Главная цель объединения локальных сетей офисов — обеспечить прозрачный доступ к территориально-распределенным информационным ресурсам организации. Объединение сетей офисов позволяет решить следующие, наиболее распространенные задачи:

  • использовать единую номерную емкость офисной АТС;
  • обеспечить авторизацию пользовтателей для доступа к ресурсам (общие папки, интранет-сайт, электронная почта и др.) независимо от их текущего месторасположения;
  • обеспечивать защищенный доступ сотрудников организации к ресурсам, расположенным в разных офисах (например, обеспечить работу сотрудников с сервером 1С-предприятия, установленным в одном из офисов);
  • работать на удаленном компьютере с помощью терминального доступа (удаленное управление рабочим столом);
  • повысить эффективность и опреративность службы технической поддержки за счет возможности удаленного управления компьютерами, серверами и другим оборудованием, а также эффективного использования встроенных средств Windows для оказания помощи — Удаленный помошник.

Методы реализации объединения сетей офисов

Для того чтобы объединить локальные сети офисов и удаленных филиалов, применяют технологию виртуальных частных сетей — VPN (Virtual Private Network). Данная технология предназначена для криптографической защиты данных, передаваемых по компьютерным сетям.

Виртуальная частная сеть представляет собой совокупность сетевых соединений между несколькими VPN-шлюзами, на которых производится шифрование сетевого трафика. VPN-шлюзы еще называют криптографическими шлюзами или крипто-шлюзами.

Существуют два метода построения единой защищенной корпоративной сети организации:

  1. с использованием оборудования и соответствующего комплекса услуг интернет-провайдера;
  2. с использованием собственного оборудования, расположенного в головном офисе и филиалах.

Далее рассмотрим условия применимости, достоинства и недостатки каждого из этих методов.

VPN и услуги предоставляет интернет-провайдер

Данное решение применимо, если головной офис и филиалы подключены к Интернет через одного интернет-провайдера. Если отделения компании разбросаны по городам, да еще в разных странах, вряд ли найдется провайдер, который сможет предоставить вам необходимый уровень сервиса, да еще за приемлемые деньги.

Если ваши офисы находяться в пределах одного города, узнайте у вашего интернет-провайдера, может ли он обеспечить объединение локальных сетей ваших офисов в единую сеть. Возможно это решение будет оптимальным для вас по стоимости.

Объединение сетей офисов и филиалов своими силами

Метод объединения двух сетей с применением технологии VPN в англозязычной литературе называетя "Peer-to-Peer VPN" или "site-to-site VPN". Между двумя сетями устанавливается режим "прозрачного шифрования". Для шифрования и передачи трафика в IP-сетях наиболее часто используют протокол IPSec.

Для организации VPN-соединенией (VPN-туннелей) между центральным офисом и филиалами небольших компаний рекомендуем использовать аппаратные интернет-шлюзы (firewall) со встроенной поддержкой VPN. Примером таких шлюзов могут быть ZyXEL ZyWALL, Netgear Firewall, Check Point Safe@Office, и т.п. Данный класс продуктов рассчитан на применение в небольших компаниях со средней численностью персонала от 5 до 100 человек. Эти устройства просты в настройке, обладают высокой надежностью и достаточной производительностью.

В головном офисе организации часто устанавливают программные интегрированные решения по защите сети, такие как "Microsoft Internet Security and Acceleration Server 2006" (Microsoft ISA 2006), CheckPoint Express, CheckPoint VPN-1 Edge и другие. Для управления этими средствами защиты необходимо наличие высококвалифицированного персонала, который, как правило, или имеется в головном офисе или заимствуется у компании-аутсорсера.

Вне зависимости от применяемого оборудования, общая схема построения Peer-to-Peer VPN для безопасного объединения локальных сетей удаленных офисов в единую сеть, следующая:

Следует также заметить, что существуют специализированные аппаратные крипто-шлюзы, такие как Cisco VPN Concentrator, "Континент-К", и др. Их область применения — сети средних и крупных компаний, где необходимо обеспечить высокую производительность при шифровании сетевого трафика, а также специальные возможности. Например, обеспечить шифрование данных по ГОСТ ("Континент-К").

На что необходимо обратить внимание при выборе оборудования

Выбирая оборудование для организации виртуальной частной сети (VPN) необходимо обратить внимание на следующие свойства:

  1. количество одновременно-поддерживаемых vpn-туннелей;
  2. производительность;
  3. возможность фильтрации сетевого трафика внутри vpn-туннеля (эта функция реализована далеко не во всех интернет-шлюзах);
  4. поддержка управления качеством QoS (очень полезна при передаче голосового трафика между сетями);
  5. совместимость с имеющимся оборудованием и применяемыми технологиями.

Аппаратные решения

Преимущества решений, построенных на недорогих аппаратных интернет-шлюзах

  • Низкая стоимость;
  • Высокая надежность (нет необходимости в резервном копировании, при отключении питания ничего не выходит из строя);
  • Простота администрирования;
  • Малое энергопотребление;
  • Занимает мало места, можно установить где угодно;
  • в зависимости от выбранной платформы для построения VPN, имеется возможность для установки на vpn-шлюз дополнительных сервисов: антивирусная проверка интернет-трафика, обнаружение атак и вторжений, и др, что существенно увеличивает общий уровень защищенности сети и уменьшает общую стоимость решения по комплексной защите сети.

Недостатки

  • Решение не масштабируется, увеличение производительности достигается полной заменой оборудования;
  • Менее гибко в настройках;
  • Интеграция с Microsoft Active Directory (или LDAP), как правило, не поддерживается.

Программные решения

Преимущества программных решений

  • Гибкость;
  • Масштабируемость, т.е. возможность увеличить производительность по мере необходимости;
  • Тесная интеграция с Microsoft Active Directory (Microsoft ISA 2006, CheckPoint)

Недостатки

  • Высокая цена;
  • Сложность администрирования.

С чего начать

Прежде чем присупить к выбору оборудования и программного обеспечения (далее — ПО) для реализации проекта по объединению локальных сетей офисов в единую сеть через VPN, необходимо располагать следующими сведениями:

  1. Определить топологию:
    • Meshed (полносвязные) — каждый сайт может автоматически организовать шифрованное соединение с любым другим сайтом;
    • Star (звезда) — филиалы могут организовать защищенные соединения с центральным сайтом;
    • Hub and Spoke (связь через концентратор) — филиалы могут соединяться между собой через концентратор центрального сайта;
    • Remote Access (удаленный доступ) — пользователи и группы могут организовать безопасные соединения с одним или несколькими сайтами;
    • Комбинации перечисленных выше методов (например, топология Star with Meshed Center — звезда с полносвязным центром, — в которой удаленные филиалы могут обмениваться информацией со всеми членами центральной VPN, имеющей полносвязную топологию).

  2. Количество филиалов (какое количество одновременных VPN-соединений должно поддерживать оборудование головного офиса);
  3. Количество пользователей в центральном офисе и в каждом филиале;
  4. Какое оборудование и/или ПО используется в каждом филиале (данные необходимы для учета возможностей по использованию существующего оборудования и/или ПО);
  5. Данные по подключению филиалов к Интернет: назначение IP адреса – динамическое или статическое, скорость канала связи;
  6. Какой подход к управлению информационной безопасностью (защита периметра сети, антивирусная безопасность) будет применен: централизованное управление головным офисом и филиалами одним администратором безопасности (системным администратором), или в каждом филиале свой системный администратор.

Чтобы минимизировать угрозы проникновения в сеть центрального офиса, необходимо уделить должное внимание защите сетей филиалов организации. Использование VPN не гарантирует надежную защиту от проникновения, если сети филиалов также не будут надежно защищены. Если злоумышленник сможет получить несанкционированный доступ к сети филиала, то он также сможет получить доступ и к информационной системе головного офиса, поскольку сети головного офиса и филиала объединены в единую сеть через VPN.

Добавить комментарий

Закрыть меню