Частная сеть в виртуальном пространстве

Частная сеть в виртуальном пространстве

VPN (англ. Virtual Private Network «виртуальная частная сеть») — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим или неизвестным уровнем доверия (например по публичным сетям) уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.

Содержание

Уровни реализации [ править | править код ]

Обычно VPN развёртывают на уровнях не выше сетевого, так как применение криптографии на этих уровнях позволяет использовать в неизменном виде транспортные протоколы (такие как TCP, UDP).

Пользователи Microsoft Windows обозначают термином VPN одну из реализаций виртуальной сети — PPTP, причём используемую зачастую не для создания частных сетей.

Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол — IP (такой способ использует реализация PPTP — Point-to-Point Tunneling Protocol) или Ethernet (PPPoE) (хотя и они имеют различия).

Технология VPN в последнее время используется не только для создания собственно частных сетей, но и некоторыми провайдерами «последней мили» на постсоветском пространстве для предоставления выхода в Интернет.

При должном уровне реализации и использовании специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации.

Структура VPN [ править | править код ]

VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет).

Возможно также подключение к виртуальной сети отдельного компьютера.

Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.

Классификация VPN [ править | править код ]

Классифицировать решения VPN можно по нескольким основным параметрам:

По степени защищенности используемой среды [ править | править код ]

Наиболее распространённый вариант виртуальных частных сетей. С его помощью возможно создать надежную и защищенную сеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP.

Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Проблемы безопасности становятся неактуальными. Примерами подобных решений VPN являются: Multi-protocol label switching (MPLS) и L2TP (Layer 2 Tunnelling Protocol) (точнее будет сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec).

По способу реализации [ править | править код ]

Реализация сети VPN осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищённости.

В виде программного решения

Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.

Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

По назначению [ править | править код ]

Используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.

Remote Access VPN

Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера, корпоративного ноутбука, смартфона или интернет-киоска.

Используют для сетей, к которым подключаются «внешние» пользователи (например заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.

Используется для предоставления доступа к интернету провайдерами, обычно если по одному физическому каналу подключаются несколько пользователей. Протокол PPPoE стал стандартом в ADSL-подключениях.

L2TP был широко распространён в середине 2000-х годов в домовых сетях: в те времена внутрисетевой трафик не оплачивался, а внешний стоил дорого. Это давало возможность контролировать расходы: когда VPN-соединение выключено, пользователь ничего не платит. В настоящее время (2012) проводной интернет дешёвый или безлимитный, а на стороне пользователя зачастую есть маршрутизатор, на котором включать-выключать интернет не так удобно, как на компьютере. Поэтому L2TP-доступ отходит в прошлое.

Он обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, но вместо разделения трафика используется его шифрование.

По типу протокола [ править | править код ]

Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство решений VPN поддерживает именно его. Адресация в нём чаще всего выбирается в соответствии со стандартом RFC5735, из диапазона Приватных сетей TCP/IP.

По уровню сетевого протокола [ править | править код ]

По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.

VPN-соединение на маршрутизаторах [ править | править код ]

С ростом популярности VPN-технологий, многие пользователи стали активно настраивать VPN-соединение на маршрутизаторах ради увеличения безопасности в сети. [1] VPN соединение, сконфигурированное на маршрутизаторе шифрует сетевой трафик всех подсоединенных устройств, в том числе и тех, которые не поддерживают VPN-технологий. [2]

Многие маршрутизаторы поддерживают VPN-соединение и имеют встроенный VPN-клиент. Существуют маршрутизаторы для которых требуется программное обеспечение с открытым исходным кодом, такое как DD-WRT, OpenWrt и Tomato, для того чтобы поддерживать OpenVPN протокол.

Уязвимости [ править | править код ]

Использование технологии WebRTC, которая по умолчанию включена в каждом браузере, позволяет третьей стороне определить реальный публичный IP-адрес устройства, работающего через VPN. Это является прямой угрозой для конфиденциальности, поскольку зная настоящий IP-адрес пользователя можно однозначно идентифицировать его в сети [3] . Для предотвращения утечки адреса рекомендуется либо полностью отключить WebRTC в настройках браузера, либо установить специальное дополнение WebRTC Network Limiter.

VPN уязвимы для атаки, называемой дактилоскопией трафика веб-сайта [4] . Очень кратко, это пассивная атака перехвата, хотя противник только наблюдает зашифрованный трафик с VPN, он все еще может догадаться, какой веб-сайт посещается, потому что все веб-сайты имеют определенные шаблоны трафика. Содержание передачи по-прежнему скрыто, но к какому веб-сайту он подключается, больше не является секретом [5] [6] .

Примеры VPN [ править | править код ]

  • IPSec (IP security) — часто используется поверх IPv4.
  • PPTP (point-to-point tunneling protocol) — разрабатывался совместными усилиями нескольких компаний, включая Microsoft.
  • PPPoE (PPP (Point-to-Point Protocol) over Ethernet)
  • L2TP (Layer 2 Tunnelling Protocol) — используется в продуктах компаний Microsoft и Cisco.
  • L2TPv3 (Layer 2 Tunnelling Protocol version 3).
  • OpenVPN SSL VPN с открытым исходным кодом, поддерживает режимы PPP, bridge, point-to-point, multi-client server
  • freelan SSL P2P VPN с открытым исходным кодом
  • Hamachi — программа для создания одноранговой VPN-сети.
  • NeoRouter — zeroconf (не нуждающаяся в настройке) программа для обеспечения прямого соединения компьютеров за NAT, есть возможность выбрать свой сервер.

Многие крупные провайдеры предлагают свои услуги по организации VPN-сетей для бизнес-клиентов.

Виртуальная сеть (VNet) Azure — это стандартный строительный блок для вашей частной сети в Azure. Azure Virtual Network (VNet) is the fundamental building block for your private network in Azure. Виртуальная сеть позволяет ресурсам Azure различных типов (например, виртуальным машинам Azure) обмениваться данными друг с другом через локальные сети и через Интернет. VNet enables many types of Azure resources, such as Azure Virtual Machines (VM), to securely communicate with each other, the internet, and on-premises networks. Виртуальная сеть похожа на традиционную сеть, c которой вы будете работать в собственном центре обработки данных, но предлагает дополнительные возможности инфраструктуры Azure, как например масштабирование, доступность и изоляция. VNet is similar to a traditional network that you’d operate in your own data center, but brings with it additional benefits of Azure’s infrastructure such as scale, availability, and isolation.

Читайте также:  Прошивка через ми флэш инструкция

Основные понятия о виртуальной сети VNet concepts

  • Адресное пространство. При создании виртуальной сети необходимо указать пользовательское пространство частных IP-адресов, в котором используются общедоступные и частные адреса (RFC 1918). Address space: When creating a VNet, you must specify a custom private IP address space using public and private (RFC 1918) addresses. Azure назначает ресурсам в виртуальной сети частный IP-адрес из определенного вами адресного пространства. Azure assigns resources in a virtual network a private IP address from the address space that you assign. Например, при развертывании виртуальной машины в виртуальной сети с адресным пространством 10.0.0.0/16 виртуальная машина назначается частный IP-адрес, подобный 10.0.0.4. For example, if you deploy a VM in a VNet with address space, 10.0.0.0/16, the VM will be assigned a private IP like 10.0.0.4.
  • Подсети: Подсети позволяют вам разделить виртуальную сеть на подсети и выделить каждой из них часть адресного пространства виртуальной сети. Subnets: Subnets enable you to segment the virtual network into one or more sub-networks and allocate a portion of the virtual network’s address space to each subnet. Затем можно развернуть ресурсы Azure в определенной подсети. You can then deploy Azure resources in a specific subnet. Так же, как в традиционной сети, подсети позволяют вам разделить адресное пространство виртуальной сети на сегменты, которые подходят для внутренней сети организации. Just like in a traditional network, subnets allow you to segment your VNet address space into segments that are appropriate for the organization’s internal network. Это также увеличивает эффективность распределения адресов. This also improves address allocation efficiency. Вы можете защищать ресурсы в рамках подсетей с помощью групп безопасности сети. You can secure resources within subnets using Network Security Groups. Дополнительные сведения см. в статье о группах безопасности. For more information, see Security groups.
  • Регионы. Виртуальная сеть ограничена одним регионом или расположением, но взаимодействие между несколькими виртуальными сетями из разных регионов можно обеспечить с помощью пиринговой связи. Regions: VNet is scoped to a single region/location; however, multiple virtual networks from different regions can be connected together using Virtual Network Peering.
  • Подписка: Виртуальная сеть предоставляется в пределах подписки. Subscription: VNet is scoped to a subscription. Вы можете реализовать несколько виртуальных сетей в пределах подписки и региона Azure. You can implement multiple virtual networks within each Azure subscription and Azure region.

Рекомендации Best practices

При создании сети в Azure важно учесть следующие универсальные принципы проектирования. As you build your network in Azure, it is important to keep in mind the following universal design principles:

  • Убедитесь в отсутствии перекрытий в адресных пространствах. Ensure non-overlapping address spaces. Убедитесь, что ваше адресное пространство виртуальной сети (блок CIDR) не перекрывается в диапазонах других сетей вашей организации. Make sure your VNet address space (CIDR block) does not overlap with your organization’s other network ranges.
  • Ваши подсети не должны охватывать все адресное пространство виртуальной сети. Your subnets should not cover the entire address space of the VNet. Подготовьтесь заранее и зарезервируйте некоторое адресное пространство на будущее. Plan ahead and reserve some address space for the future.
  • Мы советуем создать несколько больших виртуальных сетей, а не много маленьких. It is recommended you have fewer large VNets than multiple small VNets. Это позволит предотвратить расходы на управление. This will prevent management overhead.
  • Защитите виртуальную сеть, назначив группы безопасности сети входящим в нее подсетям. Secure your VNet’s by assigning Network Security Groups (NSGs) to the subnets beneath them.

Обмен данными через Интернет Communicate with the internet

По умолчанию все ресурсы в виртуальной сети могут устанавливать исходящие подключения к Интернету. All resources in a VNet can communicate outbound to the internet, by default. Можно также установить входящее подключение к ресурсу, присвоив ему общедоступный IP-адрес, или общедоступный экземпляр Load Balancer. You can communicate inbound to a resource by assigning a public IP address or a public Load Balancer. Общедоступный IP-адрес или общедоступную подсистему балансировки нагрузки также можно использовать для управления исходящими подключениями. You can also use public IP or public Load Balancer to manage your outbound connections. См. дополнительные сведения об исходящих интернет-подключениях, общедоступных IP-адресах и Load Balancer. To learn more about outbound connections in Azure, see Outbound connections, Public IP addresses, and Load Balancer.

При использовании только внутреннего экземпляра Load Balancer (цен. категория "Стандартный") исходящие подключения будут недоступными, пока вы не настроите для исходящих подключений использование общедоступного IP-адреса уровня экземпляра или общедоступного экземпляра Load Balancer. When using only an internal Standard Load Balancer, outbound connectivity is not available until you define how you want outbound connections to work with an instance-level public IP or a public Load Balancer.

Обмен данными между ресурсами Azure Communicate between Azure resources

Безопасный обмен данными между ресурсами обеспечивается одним из следующих способов: Azure resources communicate securely with each other in one of the following ways:

  • Через виртуальную сеть. Вы можете развернуть в виртуальной сети виртуальные машины и несколько других типов ресурсов Azure, например среды Службы приложений Azure, Службу Azure Kubernetes и Масштабируемые наборы виртуальных машин Azure. Through a virtual network: You can deploy VMs, and several other types of Azure resources to a virtual network, such as Azure App Service Environments, the Azure Kubernetes Service (AKS), and Azure Virtual Machine Scale Sets. Полный список ресурсов Azure, которые можно развернуть в виртуальной сети, см. в статье Интеграция виртуальной сети для служб Azure. To view a complete list of Azure resources that you can deploy into a virtual network, see Virtual network service integration.
  • Через конечную точку службы для виртуальной сети. Расширьте пространство частных адресов и возможности идентификации своей виртуальной сети до ресурсов службы Azure (например, учетные записи службы хранилища Microsoft Azure и базы данных SQL Azure), используя прямое подключение. Through a virtual network service endpoint: Extend your virtual network private address space and the identity of your virtual network to Azure service resources, such as Azure Storage accounts and Azure SQL databases, over a direct connection. Конечные точки служб позволяют защищать критически важные ресурсы служб Azure в пределах вашей виртуальной сети. Service endpoints allow you to secure your critical Azure service resources to only a virtual network. Дополнительные сведения см. в статье Конечные точки служб для виртуальной сети. To learn more, see Virtual network service endpoints overview.
  • Базовая пиринговая связь между виртуальными сетями. Виртуальные сети можно подключать между собой. Таким образом, ресурсы в этих виртуальных сетях могут обмениваться данными, используя пиринговую связь между этими сетями. Through VNet Peering: You can connect virtual networks to each other, enabling resources in either virtual network to communicate with each other, using virtual network peering. Виртуальные сети, которые вы подключаете, могут находиться в одном или в разных регионах Azure. The virtual networks you connect can be in the same, or different, Azure regions. Дополнительные сведения см. в статье Пиринг между виртуальными сетями. To learn more, see Virtual network peering.
Читайте также:  Как можно разменять 3 х комнатную квартиру

Обмен данными через локальные ресурсы Communicate with on-premises resources

Локальные компьютеры и сети можно подключить к виртуальной сети, используя любое сочетание следующих способов: You can connect your on-premises computers and networks to a virtual network using any combination of the following options:

  • Виртуальная частная сеть (VPN) типа "точка — сеть". Устанавливается между виртуальной сетью и отдельным компьютером в вашей сети. Point-to-site virtual private network (VPN): Established between a virtual network and a single computer in your network. Необходимо настроить подключение для каждого компьютера, который требуется подключить к виртуальной сети. Each computer that wants to establish connectivity with a virtual network must configure its connection. Этот тип подключения идеально подходит для новичков, не умеющих работать в Azure, или для разработчиков, так как при его использовании существующую сеть почти не нужно менять. This connection type is great if you’re just getting started with Azure, or for developers, because it requires little or no changes to your existing network. Обмен данными между компьютером и виртуальной сетью осуществляется через Интернет с помощью зашифрованного туннеля. The communication between your computer and a virtual network is sent through an encrypted tunnel over the internet. Дополнительные сведения см. в разделе о VPN-подключении "точка — сеть". To learn more, see Point-to-site VPN.
  • VPN-подключение "сеть – сеть". Устанавливается между локальным VPN-устройством и VPN-шлюзом Azure, развернутым в виртуальной сети. Site-to-site VPN: Established between your on-premises VPN device and an Azure VPN Gateway that is deployed in a virtual network. Используя такой тип соединения, авторизованные локальные ресурсы могут получить доступ к виртуальной сети. This connection type enables any on-premises resource that you authorize to access a virtual network. Обмен данными между локальным VPN-устройством и VPN-шлюзом Azure осуществляется через Интернет с помощью зашифрованного туннеля. The communication between your on-premises VPN device and an Azure VPN gateway is sent through an encrypted tunnel over the internet. Дополнительные сведения см. в разделе о VPN-подключении "сеть — сеть". To learn more, see Site-to-site VPN.
  • Azure ExpressRoute. Устанавливается между вашей сетью и Azure через участник ExpressRoute. Azure ExpressRoute: Established between your network and Azure, through an ExpressRoute partner. Это подключение является закрытым. This connection is private. Трафик не проходит через Интернет. Traffic does not go over the internet. Дополнительные сведения см. в разделе ExpressRoute (частное подключение). To learn more, see ExpressRoute.

Фильтрация сетевого трафика Filter network traffic

Сетевой трафик между подсетями можно фильтровать следующими способами: You can filter network traffic between subnets using either or both of the following options:

  • Группы безопасности. Группы безопасности сети и приложения могут содержать несколько правил безопасности относительно входящего и исходящего трафика, что позволяет фильтровать его по исходному и конечному IP-адресу, порту и протоколу. Security groups: Network security groups and application security groups can contain multiple inbound and outbound security rules that enable you to filter traffic to and from resources by source and destination IP address, port, and protocol. Дополнительные сведения см. в разделах о группах безопасности сети и группах безопасности приложений. To learn more, see Network security groups or Application security groups.
  • Виртуальные сетевые модули. Виртуальный сетевой модуль представляет собой виртуальную машину, которая выполняет сетевую функцию (например, брандмауэр, оптимизация WAN и др.). Network virtual appliances: A network virtual appliance is a VM that performs a network function, such as a firewall, WAN optimization, or other network function. Список доступных сетевых виртуальных модулей, которые можно развернуть в виртуальной сети, см. на странице Azure Marketplace. To view a list of available network virtual appliances that you can deploy in a virtual network, see Azure Marketplace.

Маршрутизация сетевого трафика Route network traffic

По умолчанию Azure маршрутизирует трафик между подсетями, подключенными виртуальными сетями, локальными сетями и Интернетом. Azure routes traffic between subnets, connected virtual networks, on-premises networks, and the Internet, by default. Чтобы переопределить маршруты по умолчанию, создаваемые в Azure, используйте следующие варианты: You can implement either or both of the following options to override the default routes Azure creates:

  • Таблицы маршрутов. Вы можете создать пользовательские таблицы с маршрутами, которые определяют направление передачи трафика для каждой подсети. Route tables: You can create custom route tables with routes that control where traffic is routed to for each subnet. Подробнее о таблицах маршрутов. Learn more about route tables.
  • Маршруты протокола BGP. При подключении виртуальной сети к локальной сети с помощью VPN-шлюза или канала ExpressRoute Azure можно распространить локальные маршруты BGP в виртуальных сетях. Border gateway protocol (BGP) routes: If you connect your virtual network to your on-premises network using an Azure VPN Gateway or ExpressRoute connection, you can propagate your on-premises BGP routes to your virtual networks. Подробнее об использовании протокола BGP с VPN-шлюзом Azure и ExpressRoute. Learn more about using BGP with Azure VPN Gateway and ExpressRoute.

Ограничения виртуальной сети Azure Azure VNet limits

Существуют определенные ограничения на количество ресурсов Azure, которые вы можете развернуть. There are certain limits around the number of Azure resources you can deploy. Для большинства ограничений сети Azure заданы максимальные значения. Most Azure networking limits are at the maximum values. Тем не менее вы можете увеличить определенные сетевые ограничения, как указано на странице ограничений виртуальной сети. However, you can increase certain networking limits as specified on the VNet limits page.

Цены Pricing

Плата за использование виртуальной сети Azure не взимается, она бесплатная. There is no charge for using Azure VNet, it is free of cost. Взимается стандартная плата за ресурсы, такие как виртуальные машины и другие продукты. Standard charges are applicable for resources, such as Virtual Machines (VMs) and other products. Дополнительные сведения см. на странице цен на виртуальную сеть и калькулятора цен Azure. To learn more, see VNet pricing and the Azure pricing calculator.

Дальнейшие действия Next steps

Чтобы начать использовать виртуальную сеть, создайте ее, разверните в ней несколько виртуальных машин и выполните обмен данными между виртуальными машинами. To get started using a virtual network, create one, deploy a few VMs to it, and communicate between the VMs. Чтобы узнать, как это сделать, см. краткое руководство по созданию виртуальной сети. To learn how, see the Create a virtual network quickstart.

С тех пор как интернет ( вернее ARPAnet ) был маленькой американской сеткой утекло много киселя. Сейчас сеть большое небезопасное место, где защита своих данных является одним из приоритетных направлений. О том как же меньше бояться я и расскажу в этом маленьком опусе.

1. Предположим.

Мы имеем два чудных рабочих места, одно находится в офисе на работе, а другое дома. И у нас стоит задача как же удобно забирать файлы с работы домой и с дома на работу. Таскать на компакт диске? Неудобно. Носить на флешке? Замучаешься копировать каждый раз. А вдруг неизвестно, какие файлы понадобятся сегодня? Таскать все сразу? Не вариант. Тем более на дворе 21й век, интернет как никогда скоростной, а безлимитные тарифы есть почти в каждом городе ( ну если сейчас нет, то в обозримом будущем точно будут ). Так что же сделать? Объединить компьютеры в локальную сеть и спокойно копировать файлы, подключаться к удаленному рабочему столу и даже играть в игры ( ну мало ли, вдруг кому захочется ).

2. Что.

С помощью бесплатной программы OpenVPN мы объединим два наших компьютера (а может и больше) в единую виртуальную сеть. Все передаваемые данные будут надежно зашифрованы с помощью Blowfish с ключем до 448 бит ( взлом с текущими мощностями компьютеров просто нереален ).
OpenVPN лучше ставить вместе с GUI. Скачать все это чудо можно с оффициального сайта OpenVPN GUI.

Читайте также:  Блокировать рекламу в edge

3. Как.

Итак у нас есть два компьютера. Один из них имеет внешний IP-адрес ( ну скорее всего домашний, ибо в офисах чаще сидят за фаерволами), а другой скрыт за NAT’ом. Ясное дело, что к тому компьютеру, который скрыт за NAT’ом подключится будет проблематично, тем более если захочется скачать с него файлы. Потому сервером OpenVPN мы выберем домашний компьютер, а в качестве клиента будет выступать наш офисный ПК. Итак приступим.

4. Установка

Установка OpenVPN простая и не требует особых знаний. Next next next finish. Собственно настройка гораздо интереснее.

5. Техническое описание задачи

Подготовка к действу закончена. Теперь самое время описать технически как же все это будет действовать.
Имеем:
Домашний компьютер А с внешним адресом $HOMEIP;
Офисный компьютер Б закрытый фаерволом и не имеющий внешнего адреса;
Необходимо:
Офисный компьютер Б должен подключаться к компьютеру А по протоколу TCP на порт 12345. Виртуальная сеть будет иметь адрес 10.0.1.0/24, где 10.0.1.1 домашний компьютер, а 10.0.1.2 — офисный. Авторизация должна проходить по сертификатам без использования паролей.

6. Сервер

OpenVPN по умолчанию устанавливается в C:Program FilesOpenVPN. Запускаем консоль (cmd.exe и переходим в каталог C:Program FilesOpenVPNeasy-rsa и выполняем там init-config.bat.

C:Program FilesOpenVPNeasy-rsa>copy vars.bat.sample vars.bat
Скопировано файлов: 1.

C:Program FilesOpenVPNeasy-rsa>copy openssl.cnf.sample openssl.cnf
Скопировано файлов: 1.

Теперь откроем конфигурационный файл vars.bat и приведем его к следующему виду:
@echo off
set HOME=%ProgramFiles%OpenVPNeasy-rsa
set KEY_CONFIG=openssl.cnf
set KEY_DIR=keys
set KEY_SIZE=2048
set KEY_COUNTRY=RU
set KEY_PROVINCE=MSK
set KEY_CITY=Moskow
set KEY_ORG=Kremlin
set KEY_EMAIL=none@net.com

Здесь:
KEY_DIR — каталог где будут храниться ключи;
KEY_SIZE — длина RSA-ключа используемого для подписи;
KEY_COUNTRY — код страны;
KEY_PROVINCE — код региона ( провинции, области и тд)
KEY_CITY — город;
KEY_ORG — организация;
KEY_EMAIL — адрес электронной почты;
Теперь для генерации необходимых ключей и сертификатов последовательно запустим команды:
vars.bat
clean-all.bat
build-ca.bat
build-dh.bat
build-key-server.bat homepc

В результате в консоли получится нечто вроде этого:
C:Program FilesOpenVPNeasy-rsa>vars

C:Program FilesOpenVPNeasy-rsa>clean-all.bat
Скопировано файлов: 1.
Скопировано файлов: 1.

C:Program FilesOpenVPNeasy-rsa>build-ca.bat
Loading ‘screen’ into random state — done
Generating a 2048 bit RSA private key
. +++
. +++
writing new private key to ‘keysca.key’
——
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
——
Country Name (2 letter code) [RU]:
State or Province Name (full name) [MSK]:
Locality Name (eg, city) [Moskow]:
Organization Name (eg, company) [Kremlin]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server’s hostname) []:server
Email Address [none@net.com]:

C:Program FilesOpenVPNeasy-rsa>build-dh.bat
Loading ‘screen’ into random state — done
Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time
. +. ++*

C:Program FilesOpenVPNeasy-rsa>build-key-server.bat homepc
Loading ‘screen’ into random state — done
Generating a 2048 bit RSA private key
. +++
. +++
writing new private key to ‘keyshomepc.key’
——
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
——
Country Name (2 letter code) [RU]:
State or Province Name (full name) [MSK]:
Locality Name (eg, city) [Moskow]:
Organization Name (eg, company) [Kremlin]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server’s hostname) []:homepc
Email Address [none@net.com]:

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from openssl.cnf
Loading ‘screen’ into random state — done
Check that the request matches the signature
Signature ok
The Subject’s Distinguished Name is as follows
countryName :PRINTABLE:’RU’
stateOrProvinceName :PRINTABLE:’MSK’
localityName :PRINTABLE:’Moskow’
organizationName :PRINTABLE:’Kremlin’
commonName :PRINTABLE:’homepc’
emailAddress :IA5STRING:’none@net.com’
Certificate is to be certified until Aug 11 12:51:16 2018 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

C:Program FilesOpenVPNeasy-rsa>

Генерация ключей для сервера закончена. Скопируем следующие файлы ca.crt, homepc.key, homepc.crt и dh2048.pem из каталога OpenVPNeasy-rsakeys в каталог OpenVPNconfig. Потом создаем конфиг сервера OpenVPNconfigserver.ovpn ( если у вас Vista, то сначала создайте конфиг например на рабочем столе, а потом скопируйте в каталог config ). В него забиваем следующее:
############################
#в данном режиме демон OpenVPN принимает несколько подключений
mode server
#использовать TLS
tls-server
#используемый протокол, udp или tcp-server
proto tcp-server
#используемый тип виртуального адаптера,TUN — туннель, TAP — сеть
dev tap
#порт на котором слушаем подключение
port 12345
#файл корневого сертификата
ca ca.crt
#сертификат сервера
cert homepc.crt
#ключ сервера
key homepc.key
#файл ключа Диффи-Хелмана
dh dh2048.pem
#настраиваем интерфейс
ifconfig 10.0.1.1 255.255.255.0
#уровень отладки, 3 нам вполне хватит
verb 3
#длина ключа шифрования, 256 нам хватит
keysize 256
#используемый алгоритм шифрования, blowfish
cipher BF-CBC
#использовать сжатие данных
comp-lzo

Сохраняем, после чего жмем на него правой кнопкой мыши, и выбираем запуск с помощью OpenVPN ( ну или открыть с помощью OpenVPN, если конфиг имеет расширение txt). Сервер запустится и будет готов обслуживать подключения.

7. Клиент.

Для работы клиенты мы сгенерируем один файл содержащий необходимые нам ключи и сертификаты. Для этого в консоли сервера ( например после генерации его ключей ) выполняем команды vars.bat и затем build-key-pkcs12.bar officepc. Получим что-то вроде этого:
C:Program FilesOpenVPNeasy-rsa>build-key-pkcs12.bat officepc
Loading ‘screen’ into random state — done
Generating a 2048 bit RSA private key
.
. +++
. +++
writing new private key to ‘keysofficepc.key’
——
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
——
Country Name (2 letter code) [RU]:
State or Province Name (full name) [MSK]:
Locality Name (eg, city) [Moskow]:
Organization Name (eg, company) [Kremlin]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server’s hostname) []:officepc
Email Address [none@net.com]:

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from openssl.cnf
Loading ‘screen’ into random state — done
DEBUG[load_index]: unique_subject = "yes"
Check that the request matches the signature
Signature ok
The Subject’s Distinguished Name is as follows
countryName :PRINTABLE:’RU’
stateOrProvinceName :PRINTABLE:’MSK’
localityName :PRINTABLE:’Moskow’
organizationName :PRINTABLE:’Kremlin’
commonName :PRINTABLE:’officepc’
emailAddress :IA5STRING:’none@net.com’
Certificate is to be certified until Aug 11 13:17:22 2018 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
Loading ‘screen’ into random state — done
Enter Export Password:
Verifying — Enter Export Password:

Ссылка на основную публикацию
Хрипит динамик на телефоне при прослушивании
Одной из самых распространенных поломок мобильных аппаратов является выход из строя динамика. Любой пользователь мобильных телефонов знает, что сейчас производители...
Установить программу для сканирования документов бесплатно
Загрузите бесплатно пробную полнофункциональную версию программы для сканирования Scanitto Pro. Данная версия работает без каких-либо ограничений в течение 30 дней....
Установить протокол mtp media transfer protocol
Описание Компания Microsoft содержит под своим крылом множество драйверов, среди этой коллекции находится и Media Transfer Protocol, тот самый драйвер,...
Хэнкок из какой вселенной комиксов
Хэнкок Общая информацияЖанр Научная фантастика Драма Комедия Страна производстваСШАКиностудия Columbia Pictures РежиссёрПитер БергАвтор сценария Винс Джиллиган Винсент Нго Когда вышел2008...
Adblock detector