Как работи VPN връзката? Какво е VPN? Същност на технологията и нейните области на приложение.

В съвременните условия на развитие на информационните технологии предимствата на създаването на виртуални частни мрежи са неоспорими. Но преди да изброите най-очевидните и полезни начини за организиране на виртуални частни мрежи, трябва да дефинирате самата концепция. Виртуална частна мрежа или просто VPN (Virtual Private Network) е технология, при която се обменя информация с отдалечена локална мрежа чрез виртуален канал през публична мрежа, симулираща частна връзка от точка до точка. Публичната мрежа може да се отнася както за интернет, така и за друга интранет.

Заден план

Историята на произхода на VPN датира от 60-те години на миналия век, когато специалисти от инженерния отдел на телефонната компания в Ню Йорк разработиха система за автоматично установяване на връзки за абонати на PBX - Centrex (Central Exchange). С други думи, това не е нищо повече от виртуална частна телефонна мрежа, защото... били наети вече създадени комуникационни канали, т.е. бяха създадени виртуални канали за предаване на гласова информация. В момента тази услуга се заменя с нейния по-усъвършенстван аналог – IP-Centrex. Поверителността е била важен аспект при предаването на информация от доста време, датирайки приблизително от 1900 г. пр.н.е. Първите опити за криптография са направени от египтяните, изкривявайки символите на съобщенията. А през 15 век сл. н. е. математикът Леон Баптист Алберти създава първия криптографски модел. В наши дни това е виртуална частна мрежа, която може да осигури достатъчна надеждност на предаваната информация, заедно с отлична гъвкавост и разширяемост на системата.

VPN срещу PN

При организирането на защитени канали за предаване на информация в институции е несправедливо да не се обмисли възможността за организиране на пълноценна частна мрежа. Фигурата по-долу показва вариант за организиране на частна мрежа от малка компания с 2 клона.

Достъпът до външната мрежа може да бъде осигурен както през централния офис, така и децентрализиран. Тази мрежова организация има следните неоспорими предимства:

• висока скорост на пренос на информация, всъщност скоростта с такава връзка ще бъде равна на скоростта на локалната мрежа на предприятието;
• сигурност, предаваните данни не попадат в публичната мрежа;
• Никой не трябва да плаща за използването на организирана мрежа; всъщност капиталовите инвестиции ще бъдат направени само на етапа на производство на мрежата.

Следващата фигура показва подобен вариант за организиране на институционална мрежа с клонове, но само с помощта на виртуални частни мрежи.

В този случай предимствата, дадени за частните мрежи, се оказват недостатъци за VPN, но наистина ли тези недостатъци са толкова значими? Нека да го разберем:

• скорост на трансфер на данни. Доставчиците могат да осигурят доста високоскоростен интернет достъп, но той все още не може да се сравни с локална, изпитана във времето 100 Mbit мрежа. Но наистина ли е важно да се изпомпват стотици мегабайти информация през организирана мрежа всеки ден? За достъп до локалния уебсайт на предприятие, изпращане на имейл с документ, скоростта, която интернет доставчиците могат да осигурят, е напълно достатъчна;
• сигурност на предаваните данни. Когато организирате VPN, предадената информация се озовава във външна мрежа, така че ще трябва да се погрижите за организирането на сигурността предварително. Но днес има алгоритми за криптиране на информация, които са доста устойчиви на атаки, което позволява на собствениците на предавани данни да не се тревожат за сигурността. Прочетете повече за методите за сигурност и алгоритмите за криптиране по-долу;
• Никой не трябва да плаща за организирана мрежа. Доста противоречиво предимство, тъй като за разлика от ниската цена за използване на мрежата, има големи капиталови разходи за нейното създаване, което може да бъде непосилно за малка институция. В същото време таксата за използване на интернет в наши дни е доста достъпна сама по себе си, а гъвкавите тарифи позволяват на всеки да избере оптималния пакет.

Сега нека да разгледаме най-очевидните предимства на VPN:

• мащабируемост на системата. При откриване на нов клон или добавяне на служител, който има право да използва отдалечен достъп, не са необходими допълнителни разходи за комуникация.
• гъвкавост на системата. VPN не се интересува откъде осъществявате достъп. Отделен служител може да работи от вкъщи или докато чете поща от корпоративната пощенска кутия на компанията, той може да бъде в командировка в съвсем друга държава. Стана възможно и използването на т. нар. мобилни офиси, където няма връзка с определен район.
• От предходното следва, че човек е географски неограничен в организирането на работното си място, което е практически невъзможно при използване на частна мрежа.

Отделна точка е създаването на безжични, а не на кабелни частни мрежи. С този подход можете дори да обмислите възможността да имате свой собствен спътник. В този случай обаче първоначалните разходи достигат астрономически висоти, скоростта е намалена почти до скоростта на използване на световната мрежа и за да се осигури надеждна сигурност, отново трябва да се използва криптиране. И в крайна сметка получаваме същата виртуална частна мрежа, само че с невероятно високи първоначални разходи и разходите за поддържане на цялото оборудване в изправност. Методи на организация В VPN е най-препоръчително да се подчертаят следните три основни метода: В този случай отдалечените клиенти ще имат много ограничени възможности за използване на корпоративната мрежа; всъщност те ще бъдат ограничени до тези фирмени ресурси, които са необходими при работа с техните клиенти, например уебсайт с търговски оферти и VPN се използва в този случай за сигурно прехвърляне на чувствителни данни. Инструменти за информационна сигурност - протоколи за криптиране Тъй като данните във виртуалните частни мрежи се предават през публична мрежа, следователно те трябва да бъдат надеждно защитени от любопитни очи. За да се приложи защитата на предаваната информация, има много протоколи, които защитават VPN, но всички те са разделени на два типа и работят по двойки:

• протоколи, които капсулират данни и формират VPN връзка;
• протоколи, които криптират данни в създадения тунел.

Първият тип протокол установява тунелна връзка, а вторият тип е пряко отговорен за криптирането на данните. Нека разгледаме някои стандартни решения, предлагани от международно признатия световен лидер в разработката на операционни системи. Като стандартен набор се предлага избор от два протокола или по-точно набори:

1. PPTP (протокол за тунелиране от точка до точка) е тунелен протокол от точка до точка, плод на въображението на Microsoft и е разширение на PPP (протокол от точка до точка), следователно, използвайки неговите механизми за удостоверяване, компресия и криптиране . Протоколът PPTP е вграден в клиента за отдалечен достъп на Windows XP. При стандартния избор на този протокол Microsoft предлага използването на метода за криптиране MPPE (Microsoft Point-to-Point Encryption). Можете да прехвърляте данни без криптиране в чист текст. Капсулирането на данни с помощта на PPTP протокола се осъществява чрез добавяне на GRE (Generic Routing Encapsulation) хедър и IP хедър към данните, обработвани от PPP протокола.
2. L2TP (Layer Two Tunneling Protocol) е по-усъвършенстван протокол, роден от комбинацията на протоколите PPTP (от Microsoft) и L2F (от Cisco), включващ всичко най-добро от тези два протокола. Осигурява по-сигурна връзка от първата опция, като се използва протоколът IPSec (IP-сигурност). L2TP също е вграден в клиента за отдалечен достъп на Windows XP, освен това, когато автоматично определя типа връзка, клиентът първо се опитва да се свърже със сървъра, използвайки този протокол, който е по-предпочитан от гледна точка на сигурността.

Капсулирането на данни става чрез добавяне на L2TP и IPSec хедъри към данните, обработвани от PPP протокола. Криптирането на данни се постига чрез използване на DES (стандарт за шифроване на данни) или 3DES алгоритъм. В последния случай се постига най-голяма сигурност на предаваните данни, но в този случай ще трябва да платите за скоростта на връзката, както и за ресурсите на централния процесор. По отношение на използването на протоколи, Microsoft и Cisco образуват един вид симбиоза, преценете сами, протоколът PPTP е разработка на Microsoft, но се използва заедно с GRE, а това е продукт на Cisco, след това протоколът L2TP, който е по-напреднал по отношение на сигурността, не е нищо повече от хибрид, който включва включва всички най-добри PPTP (вече знаем чии) и L2F, така е, разработен от Cisco. Може би това е причината VPN, когато се използва правилно от дадена организация, да се счита за надежден начин за прехвърляне на поверителни данни. Обсъжданите тук примери за протоколи не са единствените; има много алтернативни решения, например PopTop - Unix реализация на PPTP или FreeSWAN - протокол за установяване на IPSec връзка под Linux, както и: Vtun, Racoon, ISAKMPD и др.

Практическо изпълнение

Сега нека преминем от теория към практика, защото, както знаете: „практиката е критерият за истината“. Нека се опитаме да организираме проста версия на виртуална частна мрежа, показана на фигурата по-долу.

Отдалечен служител или служител е извън офиса и има достъп до публична мрежа, дори и да е интернет. Адресът на мрежата, до която трябва да получите достъп 11.7.0.0 подмрежова маска, съответно 255.255.0.0. Тази корпоративна мрежа е домейн мрежа, работеща под Windows 2003 Server Corporate Edition. Сървърът има два мрежови интерфейса с IP адреси, вътрешен за корпоративната мрежа 11.7.3.1 и външен 191.168.0.2. Трябва да се отбележи, че при проектирането на VPN мрежа VPN сървърът е поставен на последно място, така че можете лесно да организирате VPN достъп до вече дебъгвана и формирана организационна мрежа, но в същото време, ако са настъпили значителни промени в управляваната мрежа, тогава може би ще трябва да преконфигурирате VPN сървъра. В нашия случай имаме вече оформена мрежа, с адресите, описани по-горе, е необходимо да конфигурирате VPN сървър и също така да разрешите достъп на определени потребители от външната мрежа. Има вътрешен сайт в корпоративната мрежа, до който ще се опитаме да влезем през виртуална частна мрежа. В Windows 2003 Server инсталирането на ролята на VPN сървър е доста просто.

Следвайки подканите на съветника, задайте необходимите параметри: във втората стъпка изберете отдалечен достъп (VPN или модем); след това отдалечен достъп през интернет; в 4-та стъпка посочваме сървърния интерфейс, свързан към интернет, в нашия случай 191.168.0.2; След това определяме метода за присвояване на адреси на отдалечени клиенти, в нашия случай това ще бъдат автоматично присвоени адреси; ако вашата мрежа има RADIUS сървър за централизирано удостоверяване на връзката, изберете го; ако не, оставете тази задача на VPN сървъра. И така, VPN сървърът е създаден, след като инсталациите са завършени, преминаваме към управление на потребителите на нашия домейн и за служители, които се нуждаят от отдалечен достъп до вътрешната мрежа на организацията, разрешаваме този достъп, като зададем съответния ключ на Раздел „Входящи повиквания“.

Когато конфигурирате VPN, имайте предвид, че за да работи правилно, вашата защитна стена трябва да бъде инсталирана, за да позволява протоколите, използвани от VPN. Сега, след като приключихме със сървърната страна, нека да преминем към създаването на клиент за виртуална частна мрежа на отдалечен компютър. За да направите това, трябва да стартирате съветника за мрежова връзка. Във втората стъпка, следвайки подканите, изберете „Свързване към мрежата на вашето работно място“. Третата стъпка е „Свързване към виртуална частна мрежа“. Следващата стъпка е да въведете името на връзката. Петата стъпка е да изберете дали да се свържете предварително с интернет (ако се свързвате от място с постоянен достъп, изберете „не“, но ако използвате например мобилен телефон като модем, тогава трябва да изберете предварително набиране на номер за свързване с интернет). В предпоследната стъпка въведете IP адреса на сървъра, до който ще имате достъп.

За вече създадена връзка можете да коригирате свойствата по всяко време, както и да конфигурирате някои точки относно сигурността и вида на създадената връзка.

Преглед

Конфигурирането на отдалечен достъп е завършено, време е да проверите неговата функционалност. Нека започнем традиционно, с любимата на всички команда "ping", нека просто се опитаме да "ping" някоя работна станция от нашата корпоративна мрежа.

Страхотно, компютрите са видими, но отдалеченият работник едва ли ще има нужда от това; нека опитаме да отидем на местния уебсайт на организацията.

Всичко работи добре, остава само да се измери производителността на създадената виртуална частна мрежа. За да направите това, копирайте файла през VPN връзката, а също и без да го използвате на VPN сървъра. Физическата среда за предаване на информация ще бъде 100 Mbit мрежа; в този случай пропускателната способност на мрежата не е ограничаващ фактор. И така, копирането на файл с размер 342 921 216 байта отне 121 секунди. С VPN връзка – 153 секунди. Като цяло загубата на време за копиране е 26%, което е естествено, тъй като при предаване на информация чрез VPN възникват допълнителни режийни разходи под формата на криптиране/декриптиране на данни. В нашия случай е използван PPTP протокол, когато се използват други видове протоколи, загубата на време също ще варира. Понастоящем Microsoft препоръчва използването на L2TP IPSec със смарт карти, за да се осигури максимална сигурност за удостоверяване и трансфер на информация.

заключения

Виртуалната частна мрежа не е новост, но, както виждаме, това е много полезно изобретение в света на информационните технологии, което ще ви помогне безопасно да получите информацията, която ви интересува. Трябва да се отбележи, че съществуват цели хардуерни системи за внедряване на VPN, но те не се използват широко поради фокуса си върху обслужването на големи предприятия и в резултат на това високата им цена. Изчислителната мощност на хардуерните решения, разбира се, е много висока, но не винаги е търсена, поради което софтуерните решения, и особено стандартните, които не изискват допълнителни разходи за търсене и закупуване на допълнителен софтуер, придобиха такава огромна популярност. Полученият VPN всъщност е много прост, но покрива основите на това как да изградите VPN. Изграждането на други видове VPN, базирани на Microsoft 2003 Server, не се различава по същество, всичко е просто и лесно. В заключение бих искал да кажа, че всъщност има наистина много начини за използване на VPN и те не се ограничават само до случаите, описани в тази статия, и е почти невъзможно да се изброят методите за внедряване. Въпреки това, ако сте намерили изход от ситуацията с помощта на VPN, никога не забравяйте за такъв важен компонент като сигурността не само на информацията, която се предава, но и на самата връзка.

Организирането на канали между отдалечени мрежи чрез VPN връзка е една от най-популярните теми на нашия уебсайт. В същото време, както показва отговорът на читателя, най-големите трудности са причинени от правилната конфигурация на маршрута, въпреки че специално обърнахме внимание на тази точка. След като анализирахме най-често задаваните въпроси, решихме да посветим отделна статия на темата за маршрутизирането. Имате въпроси? Надяваме се, че след като прочетете този материал, те ще бъдат по-малко.

Първо, нека да разберем какво е то маршрутизиране. Маршрутизирането е процес на определяне на маршрута за информация, която да следва в комуникационните мрежи. Нека бъдем честни, тази тема е много дълбока и изисква солидно количество теоретични познания, затова в рамките на тази статия умишлено ще опростим картината и ще се докоснем до теорията точно до степента, която ще бъде достатъчна, за да разберем процесите протичат и получават практически резултати.

Да вземем произволна работна станция, свързана към мрежата, как тя определя къде да изпрати този или онзи пакет? За тази цел е предназначен таблица за маршрутизиране, който съдържа списък с правила за всички възможни дестинации. Въз основа на тази таблица хостът (или рутерът) решава кой интерфейс и адрес на дестинация да изпрати пакет, адресиран до конкретен получател.

Печат на маршрут

В резултат на това ще видим следната таблица:

Всичко е много просто, интересуваме се от секцията IPv4 маршрутна таблица, първите две колони съдържат адреса на местоназначението и мрежовата маска, следвани от шлюза - възелът, към който трябва да се препращат пакетите за указаната дестинация, интерфейс и показател. Ако в графата Шлюзпосочено На връзката, това означава, че целевият адрес е в същата мрежа като хоста и е достъпен без маршрутизиране. Метрикаопределя приоритета на правилата за маршрутизиране, ако адресът на местоназначение има няколко правила в таблицата за маршрутизиране, тогава се използва този с по-ниска метрика.

Нашата работна станция принадлежи към мрежата 192.168.31.0 и според таблицата с маршрути всички заявки към тази мрежа се изпращат към интерфейс 192.168.31.175, който съответства на мрежовия адрес на тази станция. Ако адресът на местоназначението е в същата мрежа като адреса на източника, тогава информацията се доставя без използване на IP маршрутизиране (L3 мрежов слой на модела OSI), на слоя за връзка за данни (L2). В противен случай пакетът се изпраща до хоста, посочен в съответното правило на таблицата за маршрутизиране на целевата мрежа.

Ако няма такова правило, тогава пакетът се изпраща чрез нулев маршрут, който съдържа адреса на шлюза по подразбиране на мрежата. В нашия случай това е адресът на рутера 192.168.31.100. Този маршрут се нарича нулев, защото адресът на местоназначение за него е 0.0.0.0. Тази точка е много важна за по-нататъшното разбиране на процеса на маршрутизиране: всички пакети не принадлежат към тази мрежаи без отделни маршрути, Винагисе изпращат главен шлюзмрежи.

Какво ще направи рутерът, когато получи такъв пакет? Първо, нека да разберем как рутерът се различава от обикновената мрежова станция. Казано изключително опростено, рутерът е мрежово устройство, което е конфигурирано да предава пакети между мрежови интерфейси. В Windows това се постига чрез активиране на услугата Маршрутизиране и отдалечен достъп, в Linux, като зададете опцията ip_forward.

Решението за предаване на пакети в този случай също се взема въз основа на таблицата за маршрутизиране. Нека да видим какво съдържа тази таблица на най-често срещания рутер, например този, който описахме в статията:. В Linux системи можете да получите таблицата с маршрути с командата:

Маршрут -n

Както можете да видите, нашият рутер съдържа маршрути към известните мрежи 192.168.31.0 и 192.168.3.0, както и нулев маршрут към шлюза нагоре по веригата 192.168.3.1.

Адресът 0.0.0.0 в колоната Gateway показва, че адресът на дестинацията е достъпен без маршрутизиране. Така всички пакети с адреси на местоназначение в мрежи 192.168.31.0 и 192.168.3.0 ще бъдат изпратени към съответния интерфейс, а всички останали пакети ще бъдат препратени по нулевия маршрут.

Следващият важен момент са адресите на частните (частни) мрежи, те също са „сиви“ и включват три диапазона:

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

Тези адреси могат да се използват свободно от всеки и следователно те не е маршрутизиран. Какво означава? Всеки пакет с адрес на местоназначение, принадлежащ към една от тези мрежи, ще бъде отхвърлен от рутера, освен ако няма отделен запис в таблицата за маршрутизиране. Просто казано, маршрутът по подразбиране (null) за такива пакети не се използва от рутера. Трябва също така да се разбере, че това правило се прилага само при маршрутизиране, т.е. При предаване на пакети между интерфейси, изходящ пакет със "сив" адрес ще бъде изпратен по нулевия маршрут, дори ако този възел сам по себе си е рутер.

Например, ако нашият рутер получи входящ пакет с дестинация, да речем, 10.8.0.1, той ще бъде отхвърлен, тъй като такава мрежа е непозната за него и адресите в този диапазон не се маршрутизират. Но ако имаме достъп до същия възел директно от рутера, пакетът ще бъде изпратен по нулевия маршрут до шлюз 192.168.3.1 и ще бъде отхвърлен от него.

Време е да проверите как работи всичко. Нека опитаме от нашия възел 192.168.31.175 до ping възел 192.168.3.106, който се намира в мрежата зад рутера. Както можете да видите, успяхме, въпреки че таблицата с маршрути на хоста не съдържа информация за мрежата 192.168.3.0.

Как стана възможно това? Тъй като изходният възел не знае нищо за целевата мрежа, той ще изпрати пакета до адреса на шлюза. Шлюзът ще провери своята таблица с маршрути, ще намери там запис за мрежа 192.168.3.0 и ще изпрати пакета до съответния интерфейс. Можете лесно да проверите това, като изпълните командата за проследяване, която ще покаже целия път на нашия пакет:

Tracert 192.168.3.106

Сега нека се опитаме да ping възел 192.168.31.175 от възел 192.168.3.106, т.е. в обратна посока. Не ни се получи. Защо?

Нека разгледаме по-отблизо таблицата за маршрутизиране. Той не съдържа никакви записи за мрежата 192.168.31.0, така че пакетът ще бъде изпратен до рутер 192.168.3.1, като основен шлюз на мрежата, който ще отхвърли този пакет, тъй като няма никакви данни за целевата мрежа . Какво трябва да направя? Очевидно пакетът трябва да бъде изпратен до възела, който съдържа необходимата информация и може да препрати пакета до неговата дестинация, в нашия случай това е рутерът 192.168.31.100, който в тази мрежа има адрес 192.168.3.108.

За да се изпращат пакети за мрежата 192.168.31.0 специално към нея, трябва да създадем отделен маршрут.

192.168.31.0 маска 255.255.255.0 192.168.3.108

В бъдеще ще се придържаме към това обозначение на маршрутите, какво означава това? Просто е, пакетите за мрежа 192.168.31.0 с маска 255.255.255.0 трябва да бъдат изпратени до възел 192.168.3.108. В Windows можете да добавите маршрут с командата:

Добавяне на маршрут 192.168.31.0 маска 255.255.255.0 192.168.3.108

Route add -net 192.168.31.0 мрежова маска 255.255.255.0 gw 192.168.3.108

Да опитаме.

Нека анализираме резултата, в таблицата за маршрутизиране се появи маршрут и всички пакети към мрежа 192.168.31.0 сега се изпращат към рутера на тази мрежа, както се вижда от отговора на командата ping, но не достигат до местоназначението си. Какъв е проблема? Време е да си припомним, че една от основните задачи на рутера е не само маршрутизирането, но и функцията на защитната стена, която ясно забранява достъпа от външната мрежа към вътрешната. Ако временно заменим това правило с разрешително, тогава всичко ще работи.

Маршрутите, добавени от горните команди, се запазват, докато възелът не се рестартира, това е удобно, дори ако сте объркали много, просто трябва да рестартирате, за да отмените направените промени. За да добавите постоянен маршрут в Windows, изпълнете командата:

Добавяне на маршрут 192.168.31.0 маска 255.255.255.0 192.168.3.108 -p

В Linux /etc/network/interfaces, след описанието на интерфейса трябва да добавите:

Post-up route add -net 192.168.31.0 netmask 255.255.255.0 gw 192.168.3.108

Между другото, това не е единственият начин да конфигурирате достъпа от мрежа 192.168.3.0 до мрежа 192.168.31.0, вместо да добавяте маршрут за всеки възел, можете да „научите“ рутера да изпраща пакети правилно.

В този случай изходният възел няма записи за целевата мрежа и ще изпрати пакета до шлюза последния път, когато шлюзът е отхвърлил такъв пакет, но сега сме добавили желания маршрут към неговата таблица за маршрутизиране и той ще изпрати пакет към възел 192.168.3.108, който ще го достави до местоназначението му.

Силно ви препоръчваме да се упражнявате с подобни примери, така че маршрутизирането да престане да бъде черна кутия за вас и маршрутите да престанат да бъдат китайски скрипт. След като възникне разбиране, можете да преминете към втората част на тази статия.

Сега нека да разгледаме реални примери за комбиниране на офис мрежи чрез VPN връзка. Въпреки факта, че OpenVPN се използва най-често за тези цели и в нашите примери имаме предвид и решения, базирани на него, всичко казано ще бъде вярно за всеки тип VPN връзка.

Най-простият случай е, когато VPN сървърът (клиентът) и мрежовият рутер са разположени на един и същ хост. Разгледайте диаграмата по-долу:

Тъй като, надяваме се, сте научили теорията и сте я консолидирали на практика, нека анализираме маршрута на пакетите от офисната мрежа 192.168.31.0 до клоновата мрежа 192.168.44.0, такъв пакет ще бъде изпратен до шлюза по подразбиране, който е също VPN сървър. Този възел обаче не знае нищо за целевата мрежа и ще трябва да отхвърли този пакет. В същото време вече можем да се свържем с клоновия рутер на неговия адрес във VPN мрежата 10.8.0.2, тъй като тази мрежа е достъпна от офисния рутер.

За да получим достъп до клонова мрежа, трябва да доставим пакети за тази мрежа до възел, който е част от тази мрежа или има маршрут до нея. В нашия случай това е клон рутерът. Следователно на офисния рутер добавяме маршрута:

Сега офисният шлюз, след като получи пакета за клоновата мрежа, ще го изпрати през VPN канала до клоновия рутер, който, като мрежов възел 192.168.44.0, ще достави пакета до местоназначението му. За достъп от клоновата мрежа до офисната мрежа е необходимо да регистрирате подобен маршрут на клоновия рутер.

Нека вземем по-сложна схема, когато рутерът и VPN сървърът (клиентът) са различни мрежови възли. Тук има две възможности: прехвърлете необходимия пакет директно към VPN сървъра (клиента) или принудете шлюза да направи това.

Нека първо да разгледаме първия вариант.

За да могат пакетите за клоновата мрежа да достигнат до VPN мрежата, трябва да добавим маршрут към VPN сървъра (клиента) към всеки мрежов клиент, в противен случай те ще бъдат изпратени до шлюза, който ще ги отхвърли:

VPN сървърът обаче не знае нищо за клоновата мрежа, но може да изпраща пакети в рамките на VPN мрежата, където се намира възелът на клоновата мрежа, който ни интересува, така че ще изпратим пакета там, като добавим маршрут към VPN сървъра ( клиент):

192.168.44.0 маска 255.255.255.0 10.8.0.2

Недостатъкът на тази схема е необходимостта от регистриране на маршрути на всеки мрежов възел, което не винаги е удобно. Може да се използва, ако има малко устройства в мрежата или е необходим избирателен достъп. В други случаи би било по-подходящо задачата за маршрутизиране да се делегира на главния рутер на мрежата.

В този случай мрежовите устройства в офиса не знаят нищо за клоновата мрежа и ще изпращат пакети за нея през нулевия маршрут, мрежовия шлюз. Сега задачата на шлюза е да пренасочи този пакет към VPN сървъра (клиента); това може лесно да се направи чрез добавяне на желания маршрут към неговата таблица за маршрутизиране:

192.168.44.0 маска 255.255.255.0 192.168.31.101

Споменахме задачата на VPN сървъра (клиента) по-горе; той трябва да достави пакети до VPN мрежовия възел, който е част от целевата мрежа или има маршрут до него.

192.168.44.0 маска 255.255.255.0 10.8.0.2

За достъп от клоновата мрежа до офисната мрежа ще трябва да добавите подходящи маршрути към възлите на клоновата мрежа. Това може да стане по всеки удобен начин, не е задължително по същия начин, както се прави в офиса. Прост пример от реалния живот: всички компютри в офиса трябва да имат достъп до мрежата на офиса, но не всички компютри в офиса трябва да имат достъп до офиса на клона. В този случай в клона добавяме маршрут към VPN сървъра (клиента) на рутера, а в офиса го добавяме само към необходимите компютри.

Като цяло, ако разбирате как работи маршрутизирането и как се вземат решенията за пренасочване на пакети и знаете как да четете таблица за маршрутизиране, тогава настройването на правилните маршрути не би трябвало да е трудно. Надяваме се, че след като прочетете тази статия, вие също няма да ги имате.

• Тагове:

Моля, активирайте JavaScript, за да видите

VPN (Virtual Private Network) е виртуална частна мрежа.

На общ език, VPN е напълно защитен канал, който свързва вашето устройство с активиран интернет към всяко друго устройство в световната мрежа. Казано още по-просто, можем да си го представим по-образно: без връзка с VPN услуга вашият компютър (лаптоп, телефон, телевизор или друго устройство) при достъп до мрежата е като частна къща без ограда. Във всеки един момент всеки може умишлено или случайно да счупи дървета или да стъпка лехите във вашата градина. Използвайки VPN, вашият дом се превръща в непревземаема крепост, защитата на която просто ще бъде невъзможна за нарушаване.

Как работи?

Принципът на работа на VPN е прост и „прозрачен“ за крайния потребител. В момента, в който влезете онлайн, се създава виртуален „тунел“ между вашето устройство и останалата част от интернет, блокирайки всякакви опити отвън да проникнат вътре. За вас работата на VPN остава абсолютно „прозрачна“ и невидима. Вашата лична, бизнес кореспонденция, разговори по Skype или телефон по никакъв начин не могат да бъдат прихванати или подслушани. Всичките ви данни са криптирани с помощта на специален алгоритъм за криптиране, който е почти невъзможно да се разбие.

В допълнение към защитата от външно проникване, VPN предоставя възможност за виртуално посещение на всяка страна в света за известно време и използване на мрежовите ресурси на тези страни, гледане на телевизионни канали, които преди това са били недостъпни. VPN ще замени вашия IP адрес с всеки друг. За да направите това, просто трябва да изберете държава от предложения списък, например Холандия, и всички сайтове и услуги, които посещавате, автоматично ще „мислят“, че сте в тази конкретна държава.

Защо не анонимизатор или прокси?

Възниква въпросът: защо просто не използвате някакъв анонимизатор или прокси сървър в мрежата, защото те също заместват IP адреса? Да, всичко е много просто - никоя от горепосочените услуги не осигурява защита, вие все още оставате „видими“ за нападателите и следователно всички данни, които обменяте в Интернет. И освен това работата с прокси сървъри изисква да имате определена способност да задавате точни настройки. VPN работи на следния принцип: “Свържи се и играй” не изисква никакви допълнителни настройки. Целият процес на свързване отнема няколко минути и е много прост.

Относно безплатните VPN

Когато избирате, трябва да запомните, че безплатните VPN почти винаги имат ограничения за количеството трафик и скоростта на пренос на данни. Това означава, че може да възникне ситуация, когато просто не можете да продължите да използвате безплатен VPN. Не забравяйте, че безплатните VPN мрежи не винаги са стабилни и често са претоварени. Дори ако вашият лимит не е надвишен, прехвърлянето на данни може да отнеме дълъг период от време поради голямото натоварване на VPN сървъра. Платените VPN услуги се отличават с висока честотна лента, липса на ограничения както за трафика, така и за скоростта, а нивото на сигурност е по-високо от това на безплатните.

Откъде да започна?

Повечето VPN услуги предоставят възможност за безплатно тестване на качеството за кратък период от време. Периодът на тестване може да бъде от няколко часа до няколко дни. По време на тестването обикновено получавате пълен достъп до цялата функционалност на VPN услугата. Нашата услуга прави възможно намирането на такива VPN услуги чрез връзката:

Концепцията за частни виртуални мрежи, съкратено като VPN (от английски, се появи в компютърните технологии сравнително наскоро. Създаването на връзка от този тип направи възможно комбинирането на компютърни терминали и мобилни устройства във виртуални мрежи без обичайните кабели, независимо от местоположение на конкретен терминал. Сега нека разгледаме въпроса как работи VPN връзката и в същото време ще предоставим някои препоръки за настройка на такива мрежи и свързаните с тях клиентски програми.

Какво е VPN?

Както вече стана ясно, VPN е виртуална частна мрежа с няколко свързани към нея устройства. Не трябва да се заблуждавате - свързването на две или три дузини едновременно работещи компютърни терминали (както може да се направи в локална зона) обикновено не работи. Това има своите ограничения в настройката на мрежата или дори просто в честотната лента на рутера, отговорен за присвояването на IP адреси и

Въпреки това, идеята, първоначално присъща на технологията за свързване, не е нова. Те се опитваха да го обосноват дълго време. И много съвременни потребители на компютърни мрежи дори не си представят, че са знаели за това през целия си живот, а просто не са се опитали да разберат същността на въпроса.

Как работи VPN връзката: основни принципи и технологии

За по-добро разбиране ще дадем най-простия пример, който е известен на всеки съвременен човек. Вземете например радиото. В края на краищата, по същество това е предавателно устройство (преводач), междинно звено (ретранслатор), отговорно за предаването и разпространението на сигнала, и приемащо устройство (приемник).

Друго нещо е, че сигналът се излъчва към абсолютно всички потребители, а виртуалната мрежа работи избирателно, обединявайки само определени устройства в една мрежа. Моля, обърнете внимание, че нито в първия, нито във втория случай са необходими кабели за свързване на предавателни и приемащи устройства, които обменят данни помежду си.

Но и тук има някои тънкости. Факт е, че първоначално радиосигналът беше незащитен, тоест може да бъде приет от всеки радиолюбител с работещо устройство на подходяща честота. Как работи VPN? Да, абсолютно същото. Само в този случай ролята на повторител се играе от рутер (рутер или ADSL модем), а ролята на приемник се играе от стационарен компютърен терминал, лаптоп или мобилно устройство, оборудвано със специален модул за безжична връзка (Wi- Fi).

С всичко това данните, идващи от източника, първоначално се криптират и едва след това, с помощта на специален декриптор, се възпроизвеждат на конкретно устройство. Този принцип на комуникация чрез VPN се нарича тунелиране. И този принцип е най-съвместим с мобилните комуникации, когато пренасочването се извършва към конкретен абонат.

Тунелиране на локална виртуална мрежа

Нека разберем как работи VPN в режим на тунелиране. В основата си той включва създаване на определена права линия, да речем, от точка „А“ до точка „Б“, когато при предаване на данни от централен източник (рутер със сървърна връзка) всички мрежови устройства се идентифицират автоматично според предварително зададена конфигурация.

С други думи, създава се тунел с кодиране при изпращане на данни и декодиране при получаване. Оказва се, че никой друг потребител, който се опита да прихване този тип данни по време на предаване, няма да може да ги дешифрира.

Средства за изпълнение

Един от най-мощните инструменти за този вид връзки и същевременно гарантиращи сигурност са системите на Cisco. Вярно е, че някои неопитни администратори имат въпрос защо оборудването VPN-Cisco не работи.

Това се дължи предимно на неправилна конфигурация и инсталирани драйвери на рутери като D-Link или ZyXEL, които изискват фина настройка само защото са оборудвани с вградени защитни стени.

Освен това трябва да обърнете внимание на диаграмите на свързване. Може да има два от тях: от маршрут до маршрут или отдалечен достъп. В първия случай говорим за комбиниране на няколко разпределителни устройства, а във втория - за управление на връзката или пренос на данни с помощта на отдалечен достъп.

Протоколи за достъп

По отношение на протоколите, инструментите за конфигуриране се използват предимно днес на ниво PCP/IP, въпреки че вътрешните протоколи за VPN могат да варират.

VPN спря да работи? Има някои скрити опции, които да разгледате. Например, допълнителните протоколи PPP и PPTP, базирани на TCP технология, все още принадлежат към TCP/IP протоколните стекове, но за да се свържете, да речем, когато използвате PPTP, трябва да използвате два IP адреса вместо необходимия. Във всеки случай обаче тунелирането включва прехвърляне на данни, затворени във вътрешни протоколи като IPX или NetBEUI, всички от които са оборудвани със специални PPP-базирани хедъри за безпроблемно прехвърляне на данни към подходящия мрежов драйвер.

Хардуерни устройства

Сега нека да разгледаме ситуация, в която възниква въпросът защо VPN не работи. Ясно е, че проблемът може да е свързан с неправилна конфигурация на оборудването. Но може да възникне и друга ситуация.

Струва си да се обърне внимание на самите рутери, които следят връзката. Както бе споменато по-горе, трябва да използвате само устройства, които отговарят на параметрите за връзка.

Например рутери като DI-808HV или DI-804HV могат да свързват до четиридесет устройства едновременно. Що се отнася до оборудването на ZyXEL, в много случаи то може дори да работи през вградената мрежова операционна система ZyNOS, но само с помощта на режим на команден ред чрез протокола Telnet. Този подход ви позволява да конфигурирате всяко устройство с предаване на данни в три мрежи в обща Ethernet среда с предаване на IP трафик, както и да използвате уникалната технология Any-IP, предназначена да използва стандартна таблица от рутери с пренасочен трафик като шлюз за системи, които първоначално са били конфигурирани да работят в други подмрежи.

Какво да направите, ако VPN не работи (Windows 10 и по-стари)?

Първото и най-важно условие е съответствието на изходните и входните ключове (предварително споделени ключове). Те трябва да са еднакви в двата края на тунела. Също така си струва да обърнете внимание на криптографските алгоритми за криптиране (IKE или Manual) със или без функция за удостоверяване.

Например, същият AH протокол (на английски - Authentication Header) може да осигури само оторизация без възможност за използване на криптиране.

VPN клиенти и тяхната конфигурация

Що се отнася до VPN клиентите, тук също не всичко е просто. Повечето програми, базирани на такива технологии, използват стандартни методи за конфигуриране. Тук обаче има подводни камъни.

Проблемът е, че както и да инсталирате клиента, ако услугата е изключена в самата операционна система, нищо добро няма да излезе. Ето защо първо трябва да активирате тези настройки в Windows, след това да ги активирате на рутера (рутера) и едва след това да започнете да настройвате самия клиент.

Ще трябва да създадете нова връзка в самата система, вместо да използвате съществуваща. Няма да се спираме на това, тъй като процедурата е стандартна, но на самия рутер ще трябва да отидете на допълнителни настройки (най-често те се намират в менюто WLAN Connection Type) и да активирате всичко, свързано с VPN сървъра.

Заслужава да се отбележи и фактът, че той ще трябва да бъде инсталиран в системата като придружаваща програма. Но след това може да се използва дори без ръчна конфигурация, просто като изберете най-близкото местоположение.

Един от най-популярните и най-лесните за използване е VPN клиент-сървър, наречен SecurityKISS. Програмата е инсталирана, но след това дори не е необходимо да влизате в настройките, за да осигурите нормална комуникация за всички устройства, свързани към дистрибутора.

Случва се доста добре познатият и популярен пакет Kerio VPN Client да не работи. Тук ще трябва да обърнете внимание не само на самата операционна система, но и на параметрите на клиентската програма. По правило въвеждането на правилните параметри ви позволява да се отървете от проблема. В краен случай ще трябва да проверите настройките на основната връзка и използваните TCP/IP протоколи (v4/v6).

какъв е резултатът

Разгледахме как работи VPN. По принцип няма нищо сложно в свързването или създаването на мрежи от този тип. Основните трудности са в настройката на конкретно оборудване и настройването на неговите параметри, които, за съжаление, много потребители пренебрегват, разчитайки, че целият процес ще бъде сведен до автоматизация.

От друга страна, сега бяхме по-фокусирани върху проблеми, свързани с техниките на работа на самите VPN виртуални мрежи, така че настройката на оборудването, инсталирането на драйвери на устройства и т.н. ще трябва да се извърши с помощта на отделни инструкции и препоръки.

Издадохме нова книга, Маркетинг на съдържание в социалните медии: Как да влезете в главите на вашите последователи и да ги накарате да се влюбят във вашата марка.

Абонирай се

VPN е технология за мрежова връзка, при която може да се организира виртуална подмрежа в съществуваща мрежа.

За да разберем какво е VPN, нека да разгледаме един пример. Например, трябва да изпратите колет до друг град и да го направите анонимно. В обикновената поща ще бъдете помолени да предоставите документ за самоличност, което означава, че няма да можете да изпратите колета анонимно. И няма абсолютна гаранция, че съдържанието на колета ще остане в тайна и няма да бъде отворено. Но можете да използвате услугите на специални компании, които ще прехвърлят пратката, без да питат кой е подателят, а също така гарантират пълна поверителност на съдържанието, неговата цялост и безопасност. VPN изпълнява функцията на подобни компании.

Защо имате нужда от VPN?

VPN ви позволява надеждно да прехвърляте данни без изкривяване.

Трябва да използвате този тип връзка за:

1. Работете с приложения и ги изтегляйте, когато IP адресът принадлежи към друга зона.
2. Удобна и лесна връзка с глобалната мрежа.
3. Създаване на защитен канал, защитен от хакерски атаки.
4. Възможност за анонимна работа.
5. Висока скорост на връзка без прекъсвания.
6. Осигуряване на ниво на сигурност при работа в корпоративни мрежи.

Как работи VPN връзката

Ако се свържете чрез VPN, в съобщението се изпраща информация за отдалечения маршрут и използвания IP сървър. Тази информация, която преминава през мрежата, е в капсулирано състояние; данните са криптирани, така че не могат да бъдат прихванати. Етапът на криптиране чрез VPN се извършва при изпращане, а декриптирането вече се извършва с помощта на заглавката на съобщението от страна на получателя (ключът за криптиране трябва да бъде споделен). Ако дешифрирането е извършено правилно, необходимият тип връзка е установен.

Ако говорим за нивото на сигурност, днес Интернет не може да се похвали с високо ниво на защита. Но ако използвате VPN заедно с протоколи, можете да постигнете сигурност и сигурност на информацията.

Как да използвам

Връзката трябва да бъде конфигурирана. Нека да разгледаме стъпките, използвайки най-често срещаната операционна система - Windows като пример: отворете контролния панел и изберете секцията "Мрежа и интернет". Следва: „Център за мрежи и споделяне“ - „Настройване на нова връзка“ - „Свързване с работно място.“ Щракнете до „Не, създайте връзка“ и щракнете върху „Използване на моята връзка“.

Когато влизате през интернет, въведете IP на рутера или интернет центъра (предоставен от доставчика при първоначалната настройка), а когато влизате през VPN, въведете локалния IP.

След това настройваме параметрите на акаунта (дадени при регистрация на Интернет център/Wi-Fi рутер, намиращ се на гърба на устройството), които са необходими за свързване към PPTP сървъра, това са потребителско име, парола и домейн (домейнът е не е задължително). Създадохме VPN и сега за последващи влизания можем да оптимизираме целия процес, за да намалим времето за връзка:

• Отворете „Център за мрежи и споделяне“.
• Кликнете върху „Промяна на настройките на адаптера“.
• Търсим връзката, която направихме, и разглеждаме нейните характеристики (сигурност, свойства и тип VPN).
• Инсталирайте „Протокол за тунел от точка до точка (PPTP)“.

Ако не направите това, всеки път, когато влезете в глобалната мрежа, Windows ще се редува да търси в наличните опции, докато намери PPTP протокола.

Това завършва настройката, можете да се свържете.

Как да свържете VPN с помощта на браузър

Настройките за връзка са различни за всеки браузър. Нека разгледаме всеки от тях:

1. Опера. Този браузър има вграден неограничен VPN, който можете да използвате безплатно. За да го активирате, трябва да отворите „Меню“, след това отидете на „Настройки“, изберете „Сигурност“ и „Активиране на VPN“.
2. Chrome. Тук не можете без помощта на специални разширения. Отворете „Меню“, след това „Допълнителни инструменти“, след това „Разширения“ и „Още разширения“. Въведете „VPN“, вижте резултатите и щракнете върху един от тях. В раздела, който се отваря, щракнете върху „Инсталиране“. След това разширението ще се инсталира автоматично и неговата икона ще се покаже в панела на менюто. Когато трябва да използвате VPN, щракнете върху иконата и активирайте разширението. Най-добри разширения: Hotspot Shield, Touch VPN. Всички те са безплатни.
3. Яндекс браузър. Инсталирайте добавката - VPN услуга. Отворете „Меню“, след това „Добавки“, след което изберете „Директория с разширения“. В търсенето въведете „VPN“ и изберете някоя от предложените опции. След това механизмът на действие е същият: инсталирайте разширението, иконата му се появява в реда „Меню“. Преди всяко използване на VPN връзка, активирайте разширението. Следните разширения се доказаха добре: „TunnelBear“, „Hola Better Internet“, „Zen Mate“.
4. Mozilla. Съгласно горната схема инсталираме разширението. Най-добри добавки: „Hotspot Shield Free VPN Proxy“, „Hoxx VPN Proxy“, „Zenmate Security“.