Поговорим о виртуальных частных сетях (VPN). Что это такое, как настроить VPN на домашнем компьютере и рабочем оборудовании.
Что такое VPN-сервер
VPN-сервер — это специальное оборудование, на котором содержатся учётные записи клиентов, использующих технологию VPN (Virtual Private Network). VPN нужен для того, чтобы создать защищённый канал связи типа узел-узел, узел-сеть или сеть-сеть, для безопасной передачи трафика поверх сети. Технологию используют удалённые сотрудники, которые работают дома, но могут заходить в рабочую сеть «как в свою». VPN используют крупные компании для связи с филиалами в других городах или для соединения нескольких офисов в одном городе.
Технология позволяет не только шифровать трафик, но и выходить в Интернет от имени VPN-сервера, подменяя IP-адрес и местонахождение. Можно сказать, что в современном мире пользуется большой популярностью. Используется для повышения анонимности в сети и обхода блокировок сайтов.
VPN-сервер можно создать своими силами, а можно арендовать у провайдера.
Как настроить на Windows 7
- Зайдите в «Панель управления» — «Центр управления сетями и общим доступом».
- В меню слева выберите «Изменение параметров адаптера». Откроется окно с текущими подключениями. Нажмите клавишу Alt, сверху появится стандартное меню. В разделе «Файл» выберите «Новое входящее подключение».
- Приступим к настройке, следуя указаниям мастера подключений.
- Система предоставит вам список пользователей, которым разрешено будет подключаться к компьютеру. Можно создать нового пользователя.
- Выбираем способ подключения пользователей к компьютеру.
- Выбираем программы работы с сетью, которые хотим разрешить для входящих подключений.
- Завершаем подключение.
Если компьютер находится за роутером, необходимо настроить проброс портов. В этом нет ничего сложного.
- Откройте любой браузер и в адресную строку введите 192.168.0.1 (для некоторых может быть 192.168.10.1 или 192.168.100.1). Адрес вашего маршрутизатора может быть любым, если вы настраиваете его самостоятельно.
- Откроется веб-интерфейс роутера. Введите логин и пароль (обычно admin/admin). Списки с логинами и паролями к роутерам можно легко найти в интернете.
- В настройках роутера укажите, что входящий трафик перенаправляется на ваш компьютер. Эта процедура называется пробросом портов или Port Forwarding. Номер порта 1723.
Отдельно следует сказать, что для подключения к компьютеру извне у него должен быть «белый» IP-адрес. Постоянный, который виден из интернета. Его можно недорого арендовать у поставщика.
Клиентское подключение к серверу VPN на Windows 7
Здесь всё гораздо проще:
- Зайдите в «Центр управления сетями и общим доступом».
- Выберите «Настройка нового подключения или сети», а в открывшемся списке — «Подключение к рабочему месту».
- Создайте новое подключение. На вопрос «Как выполнить подключение?» ответьте «VPN». Нужно будет ввести IP-адрес сервера, логин и пароль от вашей учётной записи на сервере. Без учётной записи подключиться вы не сможете.
- Если нет необходимости подключаться прямо сейчас, поставьте галочку «Не подключаться сейчас, только выполнить настройку для подключения в будущем».
Ошибки, которые могут возникнуть при подключении
- Ошибка 807. Проверьте интернет-соединение. Если с физическим подключением всё в порядке, перезагрузите компьютер и роутер. Проверьте, не сбилось ли время на компьютере и часовой пояс — расхождений быть не должно. Антивирус и брандмауэр могут блокировать VPN-подключение. Если вы не специалист, на время работы желательно просто отключить все сетевые фильтры. Если вы беспокоитесь о безопасности данных, создайте соответствующее правило в настройке файервола.
- Ошибка 868. Имя хоста не преобразуется в IP-адрес, так как не указаны или неверно указаны настройки DNS. Служба DNS отключена. Может возникнуть по причине того, что 53-й порт закрыт брандмауэром. Не исключаем также проблемы на стороне провайдера.
- Ошибка 628. Чаще всего возникает из-за перегрузки сервера. Встречается, если неправильно выставлены настройки оборудования для подключения к Интернету, не оплачен доступ в Интернет.
Сторонние средства для создания VPN подключения
Подключение можно создавать и с помощью сторонних средств.
Open VPN
OpenVPN — бесплатный сервис для создания защищённого соединения (туннелирования IP-сетей). Скачать программу можно на одноимённом официальном сайте программы.
Софт представлен как для Windows, так и для Linux. В системе Linux достаточно открыть терминал и ввести команду apt-get-install openvpn. Для Windows нужно скачать установочный файл, соответствующий разрядности операционной системы (32 или 64 бита).
- Запустите установочный файл.
- Следуйте указаниям мастера установки. Все настройки можно оставить по умолчанию.
- В процессе программа запросит установку дополнительного драйвера — соглашайтесь.
- Информацию о программе можно почитать в файле Readme.
- Для подключения по VPN у вас должен быть файл конфигурации, предоставленный другой стороной. Скопируйте его в папку OpenVPN.
- В свойствах ярлыка программы укажите, что она должна выполняться от имени администратора.
- Запустите OpenVPN. В настройках выберите «Использовать конфигурационный файл». Если у вас нет этого файла, вы можете настроить соединение через прокси-сервер самостоятельно.
На Linux запуск осуществляется командой service openvpn start. Подключение файла конфига — openvpn/etc/openvpn/client.conf.
IPSec-туннели
Протокол защиты IPSec позволяет шифровать трафик на сетевом уровне модели OSI, то есть на уровне передачи IP-пакетов. Для успешного соединения необходимо настроить протокол на двух сторонах соединения. IPSec VPN считается самым надёжным средством подключения, например, для филиалов компаний.
Для примера рассмотрим вид подключения IPSec между двумя сетями, как показано на рисунке:
Рассмотрим конфигурацию для маршрутизатора Cisco:
R1 (config)#int f0/0
R1 (config-if)#ip address 1.1.1.1 255.255.255.252
R1 (config-if)#no shut
R1 (config-if)#int lo0
R1 (config-if)#ip address 2.0.0.1 255.255.255.255
R1 (config-if)#no shut
R1 (config-if)#crypto isakmp policy 10
R1 (config-isakmp)#authentication pre-share
R1 (config-isakmp)#encryption aes 128
R1 (config-isakmp)#group 5
R1 (config-isakmp)#hash sha
R1 (config-isakmp)#exit
R1 (config)#crypto isakmp key 0 123 address 1.1.1.2
R1 (config)#access-list 101 permit ip host 2.0.0.1 host 2.0.0.2
R1 (config)#ip route 2.0.0.2 255.255.255.255 1.1.1.2
R1 (config)#crypto ipsec transform-set TR esp-aes 256 esp-sha-hmac
R1 (cfg-crypto-trans)#mode tunnel
R1 (cfg-crypto-trans)#exit
R1 (config)#crypto map MAPP 10 ipsec-isakmp
R1 (config-crypto-map)#match address 101
R1 (config-crypto-map)#set peer 1.1.1.2
R1 (config-crypto-map)#set transform-set TR
R1 (config-crypto-map)#do wr mem
При настройке IPSec на маршрутизаторах Cisco на втором маршрутизаторе должны быть проведены аналогичные операции. Исключение составляют IP-адреса узлов, названия интерфейсов. Ключ, указанный в настройках, может быть любым, но обязательно должен совпадать на обеих сторонах подключения.
При настройке туннеля с маршрутизатором MikroTik может быть использован следующий набор команд:
[admin@MikroTik] > ip dhcp-server add interface=ether1 name=dhcp1
[admin@MikroTik] > ip ipsec proposal add enc-algorithms=aes-128-cbc nmae=10 pfc-group=modp1536
[admin@MikroTik] >ip ipsec proposal add name=proposal
[admin@MikroTik] > ip address add address=1.1.1.2/30 interface=ether1 network=1.1.1.0
[admin@MikroTik] >ip address add address=2.0.0.2 interface=ether2 network=2.0.0.2
[admin@MikroTik] > ip dhcp-client add disabled=no interface=ether1
[admin@MikroTik] >ip ipsec peer add address=1.1.1.1/30 dh-group=modp1536 enc-algorithm=aes-128 generate-policy=port-override secret=123
[admin@MikroTik] > ip ipsec policy add dst-address=2.0.0.2/32 priority=10 sa-dst-address=1.1.1.1 sa-src-address=1.1.1.2 src-address=2.0.0.01/3 tunnel=yes
[admin@MikroTik] > ip route add distance=1 dst-address=2.0.0.2/32 gateway=1.1.1.1
За дополнительной информацией вы можете обратиться к мануалам вашего маршрутизатора. Для домашнего использования настройку между роутерами можно проводить в их веб-интерфейсе.
Видео: работа с VPN-сервером
https://youtube.com/watch?v=irT_JjVzJqc
В заключение немного о безопасности. Хотя сторонние сервисы активно предлагают услуги по «безопасному» VPN-соединению, не нужно забывать, что все логи хранятся на серверах VPN-провайдеров. Недобросовестные провайдеры могут таким образом собирать информацию о клиентах, а затем использовать её в своих целях. В опасную категорию входят различные интернет-расширения для браузеров — «анонимайзеры», — которые зачастую даже не скрывают ваш реальный IP. Полную анонимность и безопасность в сети может обеспечить только ваш здравый рассудок. Удачи!