VPN-verbinding tussen twee kantoren. Een nieuw netwerk aanmaken en het aangemaakte netwerk verwijderen. Een OpenVPN-server opzetten

laat een reactie achter 6,950

een VPN-kanaal bouwen

Hallo allemaal, vandaag zullen we in dit artikel in detail bekijken hoe je een VPN-kanaal tussen kantoren kunt opzetten met behulp van OpenVPN met de mogelijkheid van extra wachtwoord beveiliging. Het is geen geheim dat OpenVPN De laatste tijd is in veel organisaties erg populair geworden, en het punt hier is niet dat het volledig gratis is, maar het punt is de efficiëntie waarmee je externe kantoren kunt verbinden met VPN-kanalen. Wij zullen configureren VPN-tunnel tussen kantoren met extra wachtwoordbeveiliging op het Windows-platform.

Taak: Zet een VPN-kanaal op tussen twee vestigingen van uw bedrijf. Het netwerk in de eerste tak heet N_B1) en het netwerk in de tweede tak heet N_B2. OpenVPN installeren in beide kantoren draait het op Windows 7 OS. Laten we beginnen met de taak die voor ons ligt.

Netwerk N_B1 bevat:

De computer of server waarop de OpenVPN-server is geïnstalleerd, heeft 2 netwerkinterfaces, één zoals u begrijpt voor het WAN IP-adres, en de tweede voor intern netwerk..
Is er ook op geïnstalleerd proxy server die internet distribueert naar het lokale netwerk en daardoor beschikbaar is voor alle machines in het netwerk lokaal netwerk hoofdgateway (192.168.2.100)
192.168.2.100 kijkt in het lokale netwerk
192.168.2.3 deze interface kijkt naar internet via een router met een statisch IP-adres, bijvoorbeeld 123.123.123.123. Het doorsturen gebeurt erop, of zoals het ook wel port forwarding 1190 wordt genoemd (poort 1190 wordt bijvoorbeeld doorgestuurd op de netwerkinterface met IP-adres 192.168.2.3)
Gebruiker op het netwerk heeft 192.168.2.100

Netwerk N_B2 bevat:

De computer of server waarop de OpenVPN-client is geïnstalleerd, beschikt ook over 2 netwerkinterfaces.
Er is ook een proxyserver geïnstalleerd die het internet naar het lokale netwerk distribueert en daardoor fungeert als de belangrijkste gateway voor alle machines op het lokale netwerk (172.17.10.10)
172.17.10.10 kijkt in het lokale netwerk
192.168.2.3 kijkt via de router naar de wereld.
Onlinegebruiker: 172.17.10.50

Taak: Een persoon van een kantoor met netwerk N_B1 (192.168.2.100) zou het moeten zien gedeelde bronnen op iemands computer vanaf het N_B2-netwerk (172.17.10.50) en in de tegenovergestelde richting.

Met andere woorden: iedereen moet iedereen zien en de mogelijkheid hebben om langs te komen, voor het geval iemand de nieuwe foto's deelt met zijn collega uit een andere vestiging.

Hoe u één privénetwerk voor iedereen kunt creëren mobiele medewerkers en afgelegen vestigingen

Wat is een VPN?

Laten we aannemen dat we twee kantoren hebben in verschillende delen van de stad, of in verschillende steden of landen en elk van hen is verbonden met internet. Voor werk bijvoorbeeld 1C als single bedrijfssysteem we moeten ze integreren in één enkel lokaal netwerk. (Ondanks het feit dat wij oplossingen bieden voor 1C in de vorm gedistribueerde databases gegevens. Soms is het gemakkelijker om te creëren enkel netwerk en verbinden rechtstreeks naar de 1C-server alsof de server zich op uw terrein bevindt)

Je kunt natuurlijk een persoonlijke lijn tussen twee steden kopen, maar deze beslissing het zal waarschijnlijk super duur zijn.
De oplossing die gebruik maakt van een virtueel particulier netwerk (VPN - Virtual Private Network) biedt ons de mogelijkheid om deze speciale lijn te organiseren door een gecodeerde tunnel over het internet te creëren voordeel van VPN voor speciale communicatielijnen - waardoor het bedrijf geld bespaart terwijl het kanaal volledig gesloten is.
Vanuit consumentenoogpunt is VPN een technologie waarmee u beveiligde toegang op afstand kunt organiseren open kanalen Internet naar servers, databases en alle bronnen van uw bedrijfsnetwerk. Laten we zeggen dat een accountant in stad A eenvoudig een factuur kan afdrukken op de printer van een secretaresse in stad B bij wie de klant kwam. Medewerkers op afstand Door vanaf hun laptop verbinding te maken via VPN kunnen ze ook op het netwerk werken alsof ze zich in het netwerk bevinden fysiek netwerk hun kantoren.

Heel vaak komen klanten, geconfronteerd met *remmen* van kassa's bij het gebruik van Remote Desktop, tot de behoefte VPN-installaties. Hierdoor hoeft u geen gegevens voor de kassa heen en weer te sturen naar de server via virtuele COM via internet en kunt u installeren dunne cliënt op elk punt dat rechtstreeks met de kassa communiceert en alleen naar de server verzendt Nodige informatie Door gesloten kanaal. En het rechtstreeks uitzenden van de RDP-interface naar internet stelt uw bedrijf bloot aan zeer grote risico's.

Verbindingsmethoden

Methoden voor het organiseren van een VPN zijn het meest geschikt om de volgende twee hoofdmethoden te benadrukken:

(Klant - Netwerk ) Externe toegang van individuele medewerkers tot het bedrijfsnetwerk van de organisatie via een modem of openbaar netwerk.
(Netwerk - Netwerk) Twee of meer kantoren verenigen in één beveiligd virtueel netwerk via internet

De meeste handleidingen, vooral voor Windows, beschrijven de verbinding volgens het eerste schema. Tegelijkertijd moet je dat begrijpen deze verbinding is geen tunnel, maar stelt u alleen in staat verbinding te maken met een VPN-netwerk. Om deze tunnels te organiseren, hebben we slechts 1 wit IP-adres nodig en niet op basis van het aantal externe kantoren, zoals veel mensen ten onrechte denken.

De afbeelding toont beide opties voor verbinding met hoofdkantoor A.

Er is een kanaal opgezet tussen kantoren A en B om de integratie van de kantoren in één netwerk te garanderen. Dit zorgt voor transparantie van beide kantoren voor alle apparaten die zich in een van hen bevinden, wat veel problemen oplost. Bijvoorbeeld het organiseren van één nummercapaciteit binnen één PBX met IP-telefoons.

Alle diensten van kantoor A zijn beschikbaar voor mobiele klanten, en als kantoor B zich in één virtueel netwerk bevindt, zijn de diensten ook beschikbaar.

In dit geval de verbindingsmethode mobiele klanten meestal geïmplementeerd door PPTP (Point-to-Point Tunneling Protocol) Point-to-point tunneling protocol, en de tweede IPsec of OpenVPN

PPTP

(Point-to-Point Tunneling Protocol bumagin-lohg) is een point-to-point tunnelingprotocol, het geesteskind van Microsoft, en is een uitbreiding van PPP (Point-to-Point Protocol), en gebruikt daarom de authenticatie, compressie en encryptiemechanismen. Het PPTP-protocol is in de afstandsbediening ingebouwd Windows-toegang XP. Met de standaardselectie van dit protocol door Microsoft Er wordt voorgesteld om de MPPE-coderingsmethode (Microsoft Point-to-Point Encryption) te gebruiken. U kunt gegevens zonder encryptie overbrengen naar open vorm. Gegevensinkapseling met behulp van het PPTP-protocol vindt plaats door een GRE-header (Generic Routing Encapsulation) en een IP-header toe te voegen aan de gegevens die door het PPP-protocol worden verwerkt.

Vanwege aanzienlijke veiligheidsproblemen is er geen reden om PPTP te verkiezen boven andere protocollen, behalve de incompatibiliteit van het apparaat met andere VPN-protocollen. Als jouw apparaat L2TP/IPsec of OpenVPN ondersteunt, kun je beter een van deze protocollen kiezen.

Opgemerkt moet worden dat bijna alle apparaten, inclusief mobiele apparaten, een client hebben ingebouwd in het besturingssysteem (Windows, iOS, Android) waarmee u direct een verbinding tot stand kunt brengen.

L2TP

(Layer Two Tunneling Protocol) is een geavanceerder protocol, ontstaan uit de combinatie van de PPTP (van Microsoft) en L2F (van Cisco) protocollen, waarin het beste van deze twee protocollen is verwerkt. Biedt een veiligere verbinding dan de eerste optie; encryptie vindt plaats via het IPSec-protocol (IP-beveiliging). L2TP is bovendien ook ingebouwd in de Windows XP-client voor externe toegang automatische detectie Bij een type verbinding probeert de client eerst verbinding te maken met de server via dit protocol, omdat dit vanuit het oogpunt van beveiliging de voorkeur verdient.

Tegelijkertijd, binnen IPsec-protocol er is zo'n probleem als het coördineren van de noodzakelijke parameters. Ondanks het feit dat veel fabrikanten hun parameters standaard instellen zonder de mogelijkheid van maatwerk, wordt er gebruik gemaakt van hardware dit protocol onverenigbaar zal zijn.

OpenVPN

Geavanceerd openen VPN-oplossing, gemaakt door OpenVPN-technologieën, wat nu de de facto standaard is in VPN-technologieën. De oplossing maakt gebruik van SSL/TLS-coderingsprotocollen. OpenVPN gebruikt de OpenSSL-bibliotheek om codering te bieden. OpenSSL-ondersteuning een groot aantal van verschillende cryptografische algoritmen zoals 3DES, AES, RC5, Blowfish. Net als bij IPSec bevat CheapVPN extreme hoog niveau encryptie - AES-algoritme met een sleutellengte van 256 bits.
OpenVPN is de enige oplossing waarmee u providers kunt omzeilen die kosten verlagen of in rekening brengen voor het openen van aanvullende protocollen anders dan WEB. Dit maakt het mogelijk om kanalen te organiseren die in principe onmogelijk te volgen En wij hebben zulke oplossingen

Nu heb je een idee van wat een VPN is en hoe het werkt. Als u een manager bent, denk er dan eens over na, misschien is dit precies wat u zocht

Een voorbeeld van het opzetten van een OpenVPN-server op het pfSense-platform

Een server maken

Koppel: WAN(servernetwerkinterface verbonden met internet)
Protocol: UDP
Lokale haven: 1194
Beschrijving: pfSenseOVPN(elke handige naam)
Tunnelnetwerk: 10.0.1.0/24
Omleidingsgateway: Aanzetten(Schakel deze optie uit als u niet wilt dat al het internetverkeer van de client wordt omgeleid via de VPN-server.)
Lokaal netwerk: Laat het open(Als u wilt dat het lokale netwerk achter de pfSense-server toegankelijk is voor externe gebruikers VPN-clients, voer hier de adresruimte van dit netwerk in. Laten we zeggen 192.168.1.0/24)
Gelijktijdige verbindingen: 2 (Als je gekocht hebt extra licentie OpenVPN Remote Access Server, voer het nummer in dat overeenkomt met het aantal gekochte licenties)
Communicatie tussen klanten: Aanzetten(Als u niet wilt dat VPN-clients elkaar zien, schakelt u deze optie uit)
DNS-server 1 (2, enz.): specificeer de DNS-servers van de pfSense-host.(u vindt hun adressen in de sectie Systeem > Algemene instellingen > DNS-servers)

Vervolgens maken we clients aan en om de configuratieprocedures voor clientprogramma's te vereenvoudigen, biedt pfSense extra hulpmiddel – “OpenVPN Client Export-hulpprogramma”. Deze tool bereidt automatisch installatiepakketten en bestanden voor klanten voor, waardoor handmatige instellingen OpenVPN-client.

VPN-verbindingen tussen kantoren dekken zakelijke beveiligingsvereisten zoals:

Mogelijkheid tot gecentraliseerde toegang tot informatie vanuit kantoren, maar ook vanuit het hoofdkantoor
Eengemaakt bedrijf Informatie Systeem
Enterprise-databases met één enkel toegangspunt
Zakelijk E-mail met één enkel toegangspunt
Vertrouwelijkheid van informatie die tussen kantoren wordt overgedragen

Als u problemen ondervindt bij het instellen of nog geen beslissing heeft genomen VPN-technologie- bel ons!

Wat als u externe kantoren moet verbinden en deze moet verbinden met één lokaal netwerk of externe werknemers moet verbinden met het lokale kantoornetwerk?

Het internet ontwikkelt zich snel, waardoor elke computereigenaar onbeperkt toegang heeft informatiebronnen. De mogelijkheid om altijd en overal toegang te krijgen tot het bedrijfsnetwerk wordt steeds populairder verplichte eis bedrijfsleven. Alle meer bedrijven streven ernaar technologieën te introduceren die organiseren mogelijk maken samenwerken, ongeacht de geografische locatie van medewerkers of klanten. Medewerkers die op zakenreis zijn, hebben de mogelijkheid om binnen te komen bedrijfsnetwerk rechtstreeks vanuit hun hotelkamer, en degenen die vanuit huis werken, zijn in realtime verbonden met het hoofdkantoor van het bedrijf. Hiervoor waren tot voor kort dure apparatuur en communicatiekanalen nodig, waarvan de huur ook kostbaar was.

Wat is een VPN?

Vanuit consumentenoogpunt is VPN (virtueel particulier netwerk) een technologie waarmee u via open internetkanalen beveiligde toegang op afstand kunt organiseren tot servers, databases en alle bronnen op uw bedrijfsnetwerk. Virtueel gebruiken prive netwerk Het is eenvoudig om kantoren of productiefaciliteiten met elkaar te verbinden, om gegarandeerde hoogwaardige en veilige communicatie in heel Rusland of in het buitenland te garanderen. Het belangrijkste voordeel van een VPN ten opzichte van speciale communicatiekanalen is dat het bedrijf geld bespaart; daar moet u het mee eens zijn, maar dat is niet het geval laatste vraag voor elke persoon in ons land, en zelfs in de wereld.

VPN-functies:

hoge mate van bescherming tegen ongeautoriseerde toegang op basis van cryptografie;
werk van personeel in externe kantoren van de organisatie met applicaties en programma's die zich op het hoofdkantoor bevinden (bijvoorbeeld met het 1C: Enterprise-systeem);
beveiligde documentstroom tussen bedrijfskantoren;
optimalisatie van de kosten voor het verschaffen van toegang tot informatie.

Oplossingen:

Alle producten voor VPN-creatie kan worden onderverdeeld in twee categorieën: software en hardware. Een aantal bedrijven zoals Cisco-systemen, NetScreen en Sonic bieden een hele reeks oplossingen die kunnen worden geschaald afhankelijk van het aantal gelijktijdige VPN-verbindingen waarmee u wilt werken. Ze zijn vaak eenvoudiger en sneller te configureren, maar het grootste nadeel van hardwareoplossingen zijn de zeer hoge kosten.

VPN-softwareoplossing - meestal een kant-en-klare commerciële of gratis softwareapplicatie (OpenVPN) die wordt geïnstalleerd op een computer die is aangesloten op het netwerk? meestal een internetgateway. Om veiligheids- en prestatieredenen is het het beste om VPN-app-installaties opzij te zetten. individuele machines, bij voorkeur met *nix-achtig besturingssysteem.

Hoe het werkt?

In zijn eenvoudigste vorm VPN's verbinden externe gebruikers of externe kantoren met het bedrijfsnetwerk. Het aansluitschema is heel eenvoudig: gebruiker op afstand draait op uw computer met internettoegang, cliënt programma om verbinding te maken met een extern kantoor. In dit geval wordt er gebruik van gemaakt OpenVPN-client. Het programma maakt verbinding met de bedrijfsserver en codeert al het verkeer. De toegang wordt georganiseerd met behulp van een gecodeerde gebruikerssleutel, waarvoor u een wachtwoord kunt instellen.

In dit geval wordt een VPN-kanaal gevormd, een ‘tunnel’ waardoor gegevens tussen twee eindknooppunten kunnen worden uitgewisseld. Deze tunnel is “ondoorzichtig” voor alle andere gebruikers, inclusief de provider. VPN-kanalen beschermd door krachtige encryptie-algoritmen ingebed in de protocolstandaarden Internet beveiliging Protocolbeveiliging (IPSec).

Nu heb je een idee van wat een VPN is en hoe het werkt. Als u een manager bent, denk er dan eens over na, misschien is dit precies wat u zocht.

Als u dit artikel nuttig vindt,
wees niet lui om te liken en te delen met je vrienden.

VPN (Virtual Private Network) is een veelgebruikte technologie waarmee u uw zaken kunt organiseren virtuele netwerken bovenop bestaande echte netwerken. Dit artikel gaat over terminologie en algemene principes zal het opzetten van dergelijke netwerken afzonderlijk worden bekeken.

Ondanks het woord ‘Privé’ in de naam van de technologie, is het mogelijk om publieke – niet-versleutelde netwerken te organiseren. Over het algemeen kan een VPN op een groot aantal manieren worden georganiseerd verschillende technologieën (SSL-VPN, IPSec, GRE en etc.).

Elke constructie van een VPN betekent het creëren van tunnels; een tunnel betekent een kanaal tussen twee apparaten waarlangs gegevens worden verzonden. Belangrijke voorwaarde– gegevens zijn geïsoleerd van de specifieke kenmerken van kanaalconstructie. Het apparaat dat nuttige gegevens verzendt, doet dit alsof er geen tunnel is, en het opzetten van de tunnel zelf is een aparte taak. Er zijn er twee VPN-type tunnels:

VPN-toegang op afstand– betekent dat er een tunnel wordt georganiseerd tussen een applicatie op de computer van de klant en een apparaat dat als server fungeert en verbindingen organiseert vanaf diverse opdrachtgevers(bijvoorbeeld VPN-concentrator, router, Cisco ASA, enz.)
Site-naar-site-VPN– impliceert de aanwezigheid van twee apparaten (bijvoorbeeld routers), waartussen zich een permanente tunnel bevindt, gebruikers bevinden zich achter de apparaten, op lokale netwerken en er hoeft geen speciale software op hun computers te worden geïnstalleerd;

Het eerste type wordt gebruikt om bijvoorbeeld externe werknemers via een beveiligd kanaal te verbinden met het bedrijfsnetwerk van een onderneming. In dit geval kan de werknemer zich op elke plaats bevinden waar internet is, en software zal op zijn computer een tunnel bouwen naar de router van het bedrijf, waardoor nuttige gegevens worden verzonden. Het tweede type wordt gebruikt wanneer een vaste verbinding nodig is tussen twee externe vestigingen, of een vestiging en een centraal kantoor. In dit geval werken medewerkers zonder speciale software op het lokale kantoornetwerk, en aan de rand van dit netwerk bevindt zich een router die, onopgemerkt door de gebruiker, een tunnel creëert met een externe router en daar nuttig verkeer naartoe verzendt.

Een tunnel gebruikt doorgaans drie protocollagen:

Transportprotocol (bijvoorbeeld IP). Dit is het protocol waarop de bestaande echt netwerk, dat wil zeggen dat het in eerste instantie niet wordt geassocieerd met de VPN, maar wordt gebruikt om ingekapselde pakketten te transporteren die gecodeerde of open informatie, gerelateerd aan het interne netwerk van de tunnel.
Inkapselingsprotocol (bijvoorbeeld GRE) - gebruikt als laag tussen het transportprotocol en het interne transportprotocol.
Een ingekapseld (getransporteerd) protocol (bijvoorbeeld IP, IPX, IPSec) zijn de daadwerkelijke pakketten van het intra-tunnelnetwerk dat de gebruiker verbonden met de VPN verzendt, pakketten die bijvoorbeeld bij de ingang van de tunnel worden ingekapseld; in GRE, dat op zijn beurt is ingekapseld in een transportprotocol.

Dus, algemene orde inkapseling, in het geval van site-to-site VPN, is als volgt: de gebruiker verzendt een regulier pakket, het pakket bereikt het apparaat waarop de tunnel is geplaatst, het apparaat verpakt dit handig pakket in het “data”-veld van het inkapselingsprotocol, dat op zijn beurt is verpakt in het “data”-veld van het transportprotocol. Daarna verlaat een ogenschijnlijk gewoon IP-pakket het apparaat, waarin het payload-veld in feite een GRE-pakket bevat, dat op zijn beurt een ander intern IP-pakket bevat. Hierdoor is onafhankelijke adressering binnen en buiten de tunnel mogelijk. Wanneer het doelapparaat een dergelijk pakket ontvangt, breidt het dit uit, waarbij de GRE en vervolgens het binnenste IP-pakket ervan worden ontkapseld. Waarna het interne pakket naar de ontvanger wordt verzonden. In deze situatie weten de afzender en de ontvanger, zoals u wellicht kunt raden, niets van de aanwezigheid van een tunnel en gedragen zij zich alsof deze niet bestaat. Tegelijkertijd, binnen transportprotocol Er wordt één adressering gebruikt (bijvoorbeeld openbare IP-adressen) en het getransporteerde protocol kan privé-adressen gebruiken, wat niet verhindert dat het via internet wordt getransporteerd (aangezien de routering wordt uitgevoerd voor een extern transportpakket).

Organisatie van kanalen tussen netwerken op afstand via een VPN-verbinding is een van de meest populaire onderwerpen op onze site. Tegelijkertijd worden, zoals uit de reactie van de lezer blijkt, de grootste problemen veroorzaakt door juiste instelling routering, hoewel we specifiek aandacht aan dit punt hebben besteed. Na analyse van de meest gestelde vragen hebben we besloten een apart artikel te wijden aan het onderwerp routing. Vragen hebben? Dat hopen we na het lezen van dit materiaal er zullen er minder zijn.

Laten we eerst eens kijken wat het is routering. Routing is het proces waarbij de route wordt bepaald die informatie in communicatienetwerken moet volgen. Laten we eerlijk zijn, dit onderwerp gaat erg diep en vereist veel kennis. theoretische kennis Daarom zullen we in het kader van dit artikel het beeld opzettelijk vereenvoudigen en de theorie precies in die mate aanroeren dat dit voldoende zal zijn om de lopende processen te begrijpen en praktische resultaten te verkrijgen.

Laten we een willekeurig werkstation nemen dat op het netwerk is aangesloten. Hoe bepaalt het waar dit of dat pakket naartoe moet worden gestuurd? Voor dit doel is het bedoeld routeringstabel, dat een lijst met regels bevat voor alle mogelijke bestemmingen. Op basis van deze tabel beslist de host (of router) welke interface en bestemmingsadres een pakket naar een specifieke ontvanger moet sturen.

Routeafdruk

Als gevolg hiervan zien we de volgende tabel:

Alles is heel eenvoudig, we zijn geïnteresseerd in de sectie IPv4-routetabel, bevatten de eerste twee kolommen het bestemmingsadres en het netwerkmasker, gevolgd door de gateway - het knooppunt waarnaar pakketten moeten worden doorgestuurd gespecificeerd doel, interface en statistieken. Als in de kolom poort aangeduid On-link Dit betekent dat het bestemmingsadres zich op hetzelfde netwerk bevindt als de host en zonder routering toegankelijk is. Statistieken bepaalt de prioriteit van routeringsregels als het bestemmingsadres meerdere regels in de routetabel heeft, dan wordt degene met de lagere metriek gebruikt.

Ons werkstation behoort tot netwerk 192.168.31.0 en volgens de routetabel worden alle verzoeken aan dit netwerk verzonden naar interface 192.168.31.175, wat overeenkomt met netwerkadres dit zijn stations. Als het bestemmingsadres zich in hetzelfde netwerk bevindt als het bronadres, wordt informatie geleverd zonder gebruik te maken van IP-routing ( netwerklaag L3 OSI-model), aan koppelingsniveau(L2). IN anders Het pakket wordt verzonden naar de host die is gespecificeerd in de routetabelregel die overeenkomt met het bestemmingsnetwerk.

Als een dergelijke regel niet bestaat, wordt het pakket verzonden via nul route, dat het adres van de standaardgateway van het netwerk bevat. In ons geval is dit het routeradres 192.168.31.100. Deze route wordt nul genoemd omdat het bestemmingsadres ervoor 0.0.0.0 is. Dit punt is erg belangrijk voor een beter begrip van het routeringsproces: alle pakketten behoort niet tot dit netwerk en geen aparte routes hebben, Altijd zijn verzonden belangrijkste toegangspoort netwerken.

Wat zal de router doen als hij zo'n pakket ontvangt? Laten we eerst eens kijken hoe een router verschilt van een gewone router. netwerkstation. Om het heel eenvoudig te zeggen: een router is een netwerkapparaat dat is geconfigureerd om pakketten onderling te verzenden Netwerk interfaces. Op Windows wordt dit bereikt door de service in te schakelen Routering en toegang op afstand , in Linux door de optie in te stellen ip_forward.

De beslissing om pakketten te verzenden wordt in dit geval ook genomen op basis van de routeringstabel. Laten we eens kijken wat het bevat deze tafel op een heel gewone router, bijvoorbeeld degene die we in het artikel hebben beschreven: . Op Linux-systemen kun je de routetabel ophalen met de opdracht:

Route -n

Zoals u kunt zien, bevat onze router routes naar de bekende netwerken 192.168.31.0 en 192.168.3.0, evenals een nulroute naar de upstream gateway 192.168.3.1.

Het adres 0.0.0.0 in de Gateway-kolom geeft aan dat het bestemmingsadres bereikbaar is zonder routering. Alle pakketten met bestemmingsadressen in de netwerken 192.168.31.0 en 192.168.3.0 worden dus naar de corresponderende interface gestuurd, en alle andere pakketten worden langs de nulroute doorgestuurd.

Volgende belangrijk punt- adressen van particuliere (privé) netwerken, ze zijn ook “grijs”, deze omvatten drie bereiken:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Deze adressen kunnen door iedereen vrij gebruikt worden en daarom ook door hen niet gerouteerd. Wat betekent het? Elk pakket met een bestemmingsadres dat tot een van deze netwerken behoort, wordt door de router weggegooid als dat niet het geval is aparte ingang in de routeringstabel. Simpel gezegd wordt de standaardroute (null) voor dergelijke pakketten niet door de router gebruikt. Dat moet ook begrepen worden deze regel is alleen van toepassing bij routering, d.w.z. Bij het verzenden van pakketten tussen interfaces wordt een uitgaand pakket met een "grijs" adres langs de nulroute verzonden, zelfs als dit knooppunt zelf een router is.

Als onze router bijvoorbeeld ontvangt inkomend pakket met een bestemming van bijvoorbeeld 10.8.0.1, dan wordt het weggegooid, omdat een dergelijk netwerk onbekend is en adressen in dit bereik niet worden gerouteerd. Maar als we hetzelfde knooppunt rechtstreeks vanaf de router benaderen, wordt het pakket langs de nulroute naar gateway 192.168.3.1 verzonden en door deze verwijderd.

Het is tijd om te kijken hoe het allemaal werkt. Laten we proberen vanaf ons knooppunt 192.168.31.175 naar knooppunt 192.168.3.106 te pingen, dat zich op het netwerk achter de router bevindt. Zoals je ziet is dat gelukt, ook al bevat de routetabel van de host geen enkele informatie over het 192.168.3.0-netwerk.

Hoe werd dit mogelijk? Omdat het bronknooppunt niets weet over het bestemmingsnetwerk, zal het het pakket naar het gateway-adres sturen. De gateway zal zijn routetabel controleren, daar een vermelding voor netwerk 192.168.3.0 vinden en het pakket naar de juiste interface sturen. U kunt dit eenvoudig verifiëren door het trace-commando uit te voeren, dat het volledige pad van ons pakket zal tonen:

Tracert 192.168.3.106

Laten we nu proberen knooppunt 192.168.31.175 te pingen vanaf knooppunt 192.168.3.106, d.w.z. in tegengestelde richting. Het lukte ons niet. Waarom?

Laten we de routeringstabel eens nader bekijken. Het bevat geen vermeldingen voor netwerk 192.168.31.0, dus het pakket wordt verzonden naar router 192.168.3.1 als de hoofdgateway van het netwerk, die Huidig pakket wordt verwijderd, omdat er geen gegevens over het bestemmingsnetwerk zijn. Wat moet ik doen? Uiteraard moet u het pakket naar het knooppunt sturen dat het bevat Nodige informatie en kan het pakket naar zijn bestemming verzenden, in ons geval is het router 192.168.31.100, die in dit netwerk het adres 192.168.3.108 heeft.

Om ervoor te zorgen dat pakketten voor het 192.168.31.0-netwerk er specifiek naartoe worden verzonden, moeten we een aparte route creëren.

192.168.31.0 masker 255.255.255.0 192.168.3.108

In de toekomst zullen we vasthouden aan deze notatie van routes, wat betekent dit? Het is eenvoudig: pakketten voor netwerk 192.168.31.0 met masker 255.255.255.0 moeten naar knooppunt 192.168.3.108 worden gestuurd. In Windows kun je een route toevoegen met de opdracht:

Route toevoegen 192.168.31.0 masker 255.255.255.0 192.168.3.108

Route toevoegen -net 192.168.31.0 netmasker 255.255.255.0 gw 192.168.3.108

Laten we proberen.

Laten we het resultaat analyseren, er is een route verschenen in de routeringstabel en alle pakketten naar het 192.168.31.0-netwerk worden nu naar de router van dit netwerk gestuurd, zoals blijkt uit het antwoord ping-opdrachten, maar bereiken hun bestemming niet. Wat is er aan de hand? Het is tijd om te onthouden dat een van de hoofdtaken van een router niet alleen routering is, maar ook de functie firewall die expliciet de toegang ontzegt extern netwerk binnen. Als we deze regel tijdelijk vervangen door een tolerante regel, zal alles werken.

De routes die door de bovenstaande commando's zijn toegevoegd, worden opgeslagen totdat het knooppunt opnieuw wordt opgestart, dit is handig, zelfs als je veel fouten hebt gemaakt, hoef je alleen maar opnieuw op te starten om de aangebrachte wijzigingen te annuleren. Toevoegen permanente route voer in Windows de opdracht uit:

Route toevoegen 192.168.31.0 masker 255.255.255.0 192.168.3.108 -p

Onder Linux /etc/netwerk/interfaces, na de interfacebeschrijving moet u toevoegen:

Post-up route toevoegen -net 192.168.31.0 netmasker 255.255.255.0 gw 192.168.3.108

Dit is overigens niet het geval de enige manier configureer de toegang van netwerk 192.168.3.0 tot netwerk 192.168.31.0. In plaats van een route voor elk knooppunt toe te voegen, kunt u de router "leren" om pakketten correct te verzenden.

In dit geval heeft het bronknooppunt geen gegevens over het bestemmingsnetwerk en zal het pakket naar de gateway sturen. De laatste keer heeft de gateway een dergelijk pakket weggegooid, maar nu hebben we het aan de routeringstabel toegevoegd gewenste traject, en het zal het pakket naar knooppunt 192.168.3.108 sturen, dat het op zijn bestemming zal afleveren.

We raden u ten zeerste aan om uzelf te oefenen met het gebruik van vergelijkbare voorbeelden, zodat routering niet langer een black box voor u is, en routes niet langer een Chinees schrift zijn. Zodra er begrip ontstaat, kunt u doorgaan naar het tweede deel van dit artikel.

Laten we nu eens kijken naar echte voorbeelden van het combineren van kantoornetwerken via een VPN-verbinding. Ondanks dat OpenVPN het meest voor deze doeleinden wordt gebruikt en we in onze voorbeelden ook oplossingen bedoelen die daarop gebaseerd zijn, geldt alles wat gezegd wordt voor elk type VPN-verbinding.

Het eenvoudigste geval is wanneer de VPN-server (client) en de netwerkrouter zich op dezelfde host bevinden. Beschouw het onderstaande diagram:

Omdat we hopen dat u de theorie heeft geleerd en deze in de praktijk heeft geconsolideerd, laten we de route van pakketten van het kantoornetwerk 192.168.31.0 naar het vestigingsnetwerk 192.168.44.0 analyseren. Zo'n pakket wordt naar de standaardgateway gestuurd, namelijk ook een VPN-server. Dit knooppunt weet echter niets van het bestemmingsnetwerk en zal dit pakket moeten weggooien. Tegelijkertijd kunnen we al contact opnemen met de filiaalrouter op zijn adres in het VPN-netwerk 10.8.0.2, aangezien dit netwerk toegankelijk vanaf de kantoorrouter.

Om toegang te krijgen tot een filiaalnetwerk, moeten we pakketten voor dat netwerk afleveren bij een knooppunt dat deel uitmaakt van dat netwerk of een route ernaartoe heeft. In ons geval is dit de filiaalrouter. Daarom voegen we op de kantoorrouter de route toe:

Nu zal de kantoorgateway, nadat hij het pakket voor het vestigingsnetwerk heeft ontvangen, dit via het VPN-kanaal naar de vestigingsrouter sturen, die, als netwerkknooppunt 192.168.44.0, het pakket op zijn bestemming zal afleveren. Om vanuit het vestigingsnetwerk toegang te krijgen tot het kantoornetwerk, moet u een soortgelijke route registreren op de vestigingsrouter.

Laten we een ingewikkelder schema nemen, wanneer de router en de VPN-server (client) dat zijn verschillende knooppunten netwerken. Er zijn hier twee opties: slagen benodigde pakket rechtstreeks naar de VPN-server (client) of dwing de gateway om dit te doen.

Laten we eerst naar de eerste optie kijken.

Om ervoor te zorgen dat pakketten voor het vestigingsnetwerk het VPN-netwerk bereiken, moeten we aan elke netwerkclient een route naar de VPN-server (client) toevoegen, anders worden ze naar de gateway gestuurd, die ze verwijdert:

De VPN-server weet echter niets van het filiaalnetwerk, maar kan pakketten verzenden binnen het VPN-netwerk waar het filiaalnetwerkknooppunt waarin we geïnteresseerd zijn zich bevindt, dus we zullen het pakket daarheen sturen door een route op de VPN-server toe te voegen ( cliënt):

192.168.44.0 masker 255.255.255.0 10.8.0.2

Het nadeel van dit schema is de noodzaak om routes op elk netwerkknooppunt te registreren, wat niet altijd handig is. Het kan worden gebruikt als er weinig apparaten op het netwerk zijn of als selectieve toegang vereist is. In andere gevallen zou het passender zijn om de routeringstaak te delegeren aan de hoofdrouter van het netwerk.

In dit geval netwerk apparaten office weet niets van het vestigingsnetwerk en zal er pakketten voor verzenden langs de nulroute, de netwerkgateway. De taak van de gateway is nu om dit pakket door te sturen naar de VPN-server (client). Dit kan eenvoudig worden gedaan door de gewenste route aan de routeringstabel toe te voegen:

192.168.44.0 masker 255.255.255.0 192.168.31.101

We hebben hierboven de taak van de VPN-server (client) genoemd; deze moet pakketten afleveren bij het VPN-netwerkknooppunt dat deel uitmaakt van het bestemmingsnetwerk of daar een route naartoe heeft.

192.168.44.0 masker 255.255.255.0 10.8.0.2

Om vanuit het vestigingsnetwerk toegang te krijgen tot het kantoornetwerk, moet u de juiste routes naar de knooppunten van het vestigingsnetwerk toevoegen. Iedereen kan dit doen op een handige manier, niet noodzakelijkerwijs hetzelfde als op kantoor. Eenvoudig echt voorbeeld: Alle filiaalcomputers moeten toegang hebben tot het kantoornetwerk, maar niet alle kantoorcomputers moeten toegang hebben tot het filiaal. In dit geval voegen we in het filiaal een route toe naar de VPN-server (client) op de router, en op kantoor voegen we deze alleen toe aan de benodigde computers.

Als u begrijpt hoe routering werkt en hoe beslissingen over het doorsturen van pakketten worden genomen, en u weet hoe u een routeringstabel moet lezen, zou het instellen van de juiste routes over het algemeen niet moeilijk moeten zijn. We hopen dat jij ze na het lezen van dit artikel ook niet hebt.