Частная виртуальная сеть: как работает виртуальная приватная сеть вашей компании
как работает виртуальная приватная сеть вашей компании
Получается, что благодаря VPN любой системный администратор может попасть в консоль внезапно сломавшегося Самого Главного Сервера прямо из отпуска, буквально с собственного смартфона. То есть VPN упрощает работу не только между разными офисами, но и для удаленных команд: администратор мониторит работу систем из Челябинска, программист работает на Бали, а менеджер составляет свои отчеты на даче в Подмосковье. Печальный опыт 2020 года показал, что любая компания должна быть готова к удаленной работе, значит, без VPN никому не обойтись — придется решать, как его поставить на инфраструктуре компании.
Если разворачивать инфраструктуру на облачной платформе, например Mail.Ru Cloud Solutions, можно использовать предустановленный VPN и быстро создать виртуальную частную сеть компании без лишних настроек.
С сетью понятно, а что там с блокировками?
К примеру, вам захотелось зайти на LinkedIn, доступ к которому на настоящий момент заблокирован по распоряжению Роскомнадзора. Разные приложения, выдуманные на этот случай, задействуют VPN и показывают вам интернет так, будто ваше устройство находится в другой стране. Как работает VPN в этом случае?
В стране, «из-под которой» вы будете выходить в интернет, стоит прокси-сервер (то есть, передатчик). Приложение соединяет ваше устройство и прокси-сервер в виртуальную приватную сеть, которая защищена так же хорошо, как корпоративные секреты, которыми перекидываются филиалы из нашей прошлой истории. Никто со стороны не видит, на какие же сайты вы пытаетесь попасть.
По внутренней виртуальной сети ваши запросы в сеть будут сперва попадать на общий вход, скажем, в Германии, а после этого — уже в интернет. Вы будете фактически видеть интернет так, как его видят немцы (многие сайты даже переключатся на немецкий язык). Российские блокировки и ограничения на доступ к сетевым ресурсам там не будут действовать. Зато будут действовать другие ограничения, принятые правительством Германии.
Способность прикинутся пользователем из другой страны — не основная функция VPN, а всего лишь некоторое побочное следствие архитектуры самой технологии.
Результаты работы такого VPN — анонимность и доступ к заблокированным ресурсам, и достигается это именно за счет создания виртуальной приватной сети.
Для чего нужен VPN: обобщаем информацию
Основная цель использования частных виртуальных сетей — обеспечить безопасное и устойчивое соединение между отделами и сотрудниками в неустойчивой и небезопасной среде в тех случаях, когда этого не сделать физическими инструментами (кабелями и WiFi-сетями).
Однако применение VPN не ограничивается лишь этим. Еще VPN-соединение — это то, что позволяет обезопасить доступ в публичные сети и надежную передачу конфиденциальной информации. Например, часто люди пользуются шифрованным каналом, когда нужно выйти в интернет из заведомо опасной сети — например, публичного вайфай в аэропорту или кафе.
Инженерам по кибербезопасности также стоит помнить, что VPN используется взломщиками для запутывания следов. Доступ в интернет через VPN скрывает реальное местоположение пользователей, поэтому в любой компании стоит обратить внимание на подозрительные VPN-подключения и защиту частных виртуальных сетей.
Что такое VPN и зачем это нужно?
VPN нынче актуален, как никогда прежде. Даже в домашних роутерах стали появляться не просто VPN-серверы, а еще и с аппаратным ускорением шифрования. Что же такое VPN и для чего он вообще нужен? Попробуем рассказать об этом простыми словами.
Что такое VPN?
Как-то так получилось, что даже в учебниках не дают расширенного и глубокого определения того, что это такое, VPN. Мол, и так ведь все понятно: аббревиатура VPN расшифровывается как Virtual Private Network, то есть виртуальная частная сеть. И зачем еще что-то обсуждать? Что такое «сеть» — понятно: на примитивном уровне это объединение двух и более узлов каким-либо видом связи для того, чтобы они могли обмениваться информацией. Естественно, наиболее удобным способом и с поддержкой всех необходимых сервисов.
Что такое «частная», тоже вроде бы очевидно — не публичная, поэтому и частная. То есть такая, в которой находится не абы кто, а только дозволенные узлы. Если копнуть чуть глубже, то именно эта составляющая VPN и является самой главной, так как она определяет ряд требований к этой самой «частности».
Зачем нужно шифрование? http://t.co/q6kPP2V7nv
— Kaspersky Lab (@Kaspersky_ru) May 23, 2013
Во-первых, надо как-то маркировать участников этой сети и ту информацию, которой они обмениваются, чтобы она не смешивалась с чужой. Во-вторых, определенно полезно эту информацию защитить от посторонних глаз. Ну хотя бы зашифровать, что снова накладывает следующий круг ограничений, связанных со стойкостью этого шифрования.
В-третьих, надо сохранять целостность такого способа передачи информации — не пускать посторонних в частную сеть, проверять источник передаваемых сообщений и следить за тем, чтобы информация нигде не просачивалась в «голом виде». В общем, все как на приватных вечеринках у сильных мира сего: шумят на всю округу, а кто и что там делает — не ясно. И суровая охрана на входе и выходе устраивает не только фейс-, но и прочих мест контроль.
Собрали вместе самые интересные карты интернета: спутники, подводные кабели и все такое https://t.co/nt1a2KrNyy pic.twitter.com/3UWpYLLivT
— Kaspersky Lab (@Kaspersky_ru) November 3, 2015
С понятием «виртуальная» все чуть попроще. Это всего лишь значит, что такая сеть абстрагирована от физической составляющей — ей не важно, по каким и скольким каналам связи она проложена, так как для участников этой сети она работает прозрачно. Или же, с другой стороны, физическая сеть чаще всего просто не принадлежит пользователю виртуальной.
Например, в серьезных организациях сотрудников при подсоединении рабочего ноутбука к любым проводным или беспроводным сетям, находящимся за пределами стен этой самой организации, обязуют сразу же задействовать VPN-подключение до офисной сети. При этом не важно, через какие именно дебри будет установлено это соединение, но можно не сомневаться, что пойдет оно по публичным, чужим сетям связи. Такое соединение принято называть туннелем, впоследствии этот термин нам встретится еще не раз.
Мы раскрываем все секреты безопасного пользования открытыми Wi-Fi-сетями https://t.co/yPoP8nyTzq pic.twitter.com/2VRpZCvqHV
— Kaspersky Lab (@Kaspersky_ru) January 21, 2016
Для чего нужен VPN?
Приведенный выше пример подключения удаленного пользователя к корпоративной сети — один из наиболее типичных сценариев использования VPN. Пользователь ощущает себя как дома — вернее, дома, на отдыхе или в командировке он способен ощутить себя как на работе и может без проблем пользоваться корпоративными сервисами.
Заодно и злоумышленник не сможет просто так пронюхать, чем конкретно занят этот пользователь, какие данные он передает и получает. Более того, в компаниях, озабоченных собственной безопасностью, на всех используемых работниками устройствах принудительно включается обязательное использование VPN-подключений где бы то ни было. Даже использование Интернета в таком случае идет сквозь корпоративную сеть и под строгим надзором службы безопасности!
Второй по распространенности вариант использования схож с первым, только подключаются к корпоративной сети не отдельные пользователи, а целые офисы или здания. Цель та же — надежно и безопасно объединить географически удаленные элементы одной организации в единую сеть.
Это могут быть как крупные представительства корпораций в разных странах, так и раскиданные по городу мясные ларьки ООО «Рога и копыта». Или даже просто камеры, сигнализации и прочие охранные системы. При такой простоте создания VPN — благо кабель каждый раз протягивать не нужно — виртуальные частные сети могут создавать и внутри компаний для объединения и изоляции тех или иных отделов или систем.
Не менее часто организовываются VPN-сети и между серверами или целыми вычислительными кластерами для поддержания их доступности и дублирования данных. Частота их использования напрямую связана с ростом популярности облачных технологий. Причем все вышеперечисленное — это не какие-то временные решения: такие подключения могут поддерживаться (и поддерживаются) годами.
Впрочем, сейчас наметился переход к следующему уровню абстракции — SDN (Software Defined Networks, программно-определяемые сети), которые преподнесут еще немало сюрпризов, в равной степени приятных и не очень. Однако это отдельная и весьма обширная тема, касаться которой мы сейчас не будем.
Центр прикладных исследований компьютерных сетей выпустил первый российский SDN-контроллерhttp://t.co/kNyW7FWqqB pic.twitter.com/Ebgy7lf1AE
— Фонд Сколково (@sk_ru) November 6, 2014
У России свой, особый путь применения VPN на практике. Когда-то крупные ISP строили свои сети на основе простых неуправляемых коммутаторов — очевидно, в целях экономии. Для разделения трафика клиентов стали использовать различные варианты VPN-подключений к серверу провайдера, через который и выдавали доступ в Интернет.
Удивительно, но такой метод используется до сих пор, а производители домашних роутеров для российского региона все еще вынуждены добавлять поддержку таких подключений в прошивку своих устройств. Так что в каком-то смысле Россия была лидером по числу одновременных VPN-подключений среди пользователей Сети.
VPN в каждый дом. http://t.co/1V792VCbsA pic.twitter.com/rq6CzDjEXJ
— Хабрахабр (@habrahabr) December 2, 2014
Контрпример таких постоянных VPN-соединений — это сессионные подключения. Они нередко используются при предоставлении клиентского доступа к различным сервисам, которые, как правило, связаны с обработкой очень чувствительной информации в области финансов, здравоохранения, юриспруденции.
Впрочем, для обычного пользователя гораздо важнее другой вариант практического использования VPN. В наших советах по безопасности Android и iOS настоятельно рекомендуется применять защищенное VPN-соединение до надежного узла (будь то домашний роутер или специальный VPN-провайдер) при подключении к любым публичным сетям, чтобы защитить свой трафик от возможного вмешательства злоумышленников!
Наконец, последний вариант применения VPN в частном порядке — это обход разнообразных сетевых ограничений. Например, для получения доступа к ресурсам, которые заблокированы или не предоставляют свои услуги на определенной территории. Согласно отчету GlobalWebIndex, только в 2014 году для доступа к социальным сетям VPN использовали около 166 млн человек.
Заключение
В общем, очевидно, что VPN нынче — штука полезная, нужная и постоянно набирающая популярность. Конечно, рассказали мы об этой технологии и ее возможностях в самых общих чертах — в реальной жизни есть множество нюансов, связанных с ее использованием, в том числе и законодательных, а не только технических. И уж точно наш рассказ будет неполным без описания популярных реализаций VPN и их развития. Об этом мы и поговорим в следующих двух частях нашего сериала.
Виртуальная частная сеть — это… Что такое Виртуальная частная сеть?
VPN (англ. Virtual Private Network — виртуальная частная сеть) — логическая сеть, создаваемая поверх другой сети, например Интернет. Несмотря на то, что коммуникации осуществляются по публичным сетям с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов.
Пользователи Microsoft Windows обозначают термином VPN одну из реализаций виртуальной сети — не для создания частных сетей.
Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол — Ethernet (провайдерами «последней мили» для предоставления выхода в Интернет.
При должном уровне реализации и использовании специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации. При правильной настройке всех компонентов технология VPN обеспечивает анонимность в Сети.
Структура VPN
VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.
Классификация VPN
Классификация VPN
Классифицировать VPN решения можно по нескольким основным параметрам:
По типу используемой среды
Наиболее распространённый вариант виртуальных частных сетей. C его помощью возможно создать надежную и защищенную подсеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec, PPTP.
- Доверительные
Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Вопросы обеспечения безопасности становятся неактуальными. Примерами подобных VPN решении являются: Multi-protocol label switching (L2TP (Layer 2 Tunnelling Protocol). (точнее сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec).
По способу реализации
- В виде специального программно-аппаратного обеспечения
Реализация VPN сети осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищённости.
- В виде программного решения
Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.
- Интегрированное решение
Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.
По назначению
Используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.
Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера, корпоративнoго ноутбука, смартфона или интернет-киоскa.
Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.
Используется для предоставления доступа к интернету провайдерами.
Он обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, но вместо разделения трафика, используется его шифрование.
По типу протокола
Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его.
По уровню сетевого протокола
По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.
Примеры VPN
- IPSec (IP security) — часто используется поверх IPv4.
- Microsoft.
- Cisco.
- L2TPv3 (Layer 2 Tunnelling Protocol version 3).
Многие крупные провайдеры предлагают свои услуги по организации VPN-сетей для бизнес-клиентов.
Литература
- Иванов М. А. Криптографические методы защиты информации в компьютерных системах и сетях. — М.: КУДИЦ-ОБРАЗ, 2001. — 368 с.
- Кульгин М. Технологии корпоративных сетей. Энциклопедия. — СПб.: Питер, 2000. — 704 с.
- Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. — СПб.: Питер, 2001. — 672 с.
- Романец Ю. В.. Тимофеев П. А., Шаньгин В. Ф. Защита информации в компьютерных системах и сетях. 2-е изд. — М: Радио и связь, 2002. −328 с.
- Столлингс В. Основы защиты сетей. Приложения и стандарты = Network Security Essentials. Applications and Standards. — М.: «Вильямс», 2002. — С. 432. — ISBN 0-13-016093-8
- Продукты для виртуальных частных сетей [Электронный документ] — http://www.citforum.ru/nets/articles/vpn_tab.shtml
- Анита Карве Реальные виртуальные возможности // LAN. — 1999.- № 7-8 http://www.osp.ru/lan/1999/07-08/107.htm
- Linux’s answer to MS-PPTP [Электронный документ] / Peter Gutmann. — http://www.cs.auckland.ac.nz/~pgut001/pubs/linux_vpn.txt
- Джоул Снайдер VPN: поделенный рынок // Сети. — 1999.- № 11 http://www.citforum.ru/nets/articles/vpn.shtml
- VPN Primer [Электронный документ] — www.xserves.com/downloads/anexgate/VPNPrimer.pdf
- PKI или PGP? [Электронный документ] / Наталья Сергеева. — http://www.citforum.ru/security/cryptography/pki_pgp/
- IPSec — протокол защиты сетевого трафика на IP-уровне [Электронный документ] / Станислав Коротыгин. — http://www.ixbt.com/comm/ipsecure.shtml
- OpenVPN FAQ [Электронный документ] — http://openvpn.net/faq.html
- Назначение и структура алгоритмов шифрования [Электронный документ] / Панасенко Сергей. — http://www.ixbt.com/soft/alg-encryption.shtml
- О современной криптографии [Электронный документ] / В. М. Сидельников. — http://www.citforum.ru/security/cryptography/crypto/
- Введение в криптографию / Под ред. В. В. Ященко. — М.: МЦНМО, 2000. — 288 с http://www.citforum.ru/security/cryptography/yaschenko/
- Подводные камни безопасности в криптографии [Электронный документ] / Bruce Schneier. — http://www.citforum.ru/security/cryptography/pitfalls.shtml
- IPSec: панацея или вынужденная мера? [Электронный документ] / Евгений Патий. — http://citforum.ru/security/articles/ipsec_standard/
- VPN и IPSec на пальцах [Электронный документ] / Dru Lavigne. — http://www.nestor.minsk.by/sr/2005/03/050315.html
- A Framework for IP Based Virtual Private Networks [Электронный документ] / B. Gleeson, A. Lin, J. Heinanen. — http://www.ietf.org/rfc/rfc2764.txt
- OpenVPN and the SSL VPN Revolution [Электронный документ] / Charlie Hosner. — http://www.sans.org/rr/whitepapers/vpns/1459.php
- Маркус Файльнер Виртуальные частные сети нового поколения // LAN.- 2005.- № 11
- Что такое SSL [Электронный документ] / Максим Дрогайцев. — http://www.ods.com.ua/win/rus/security/ssl.html
- Cryptanalysis of Microsoft’s PPTP Authentication Extensions (MS-CHAPv2) [Электронный документ] / Bruce Schneier. — http://www.schneier.com/paper-pptpv2.html
- Point to Point Tunneling Protocol (PPTP) Technical Specifications [Электронный документ] / Kory Hamzeh, Gurdeep Singh Pall, William Verthein, Jeff Taarud, W. Andrew Little. — http://infodeli.3com.com/infodeli/tools/remote/general/pptp/pptp.htm
- Райан Норманн Выбираем протокол VPN // Windows IT Pro. — 2001. — № 7 http://www.osp.ru/win2000/2001/07/010.htm
- MPLS: новый порядок в сетях IP? [Электронный документ] / Том Нолле. — http://www.emanual.ru/get/3651/
- Layer Two Tunneling Protocol «L2TP» [Электронный документ] / W. Townsley, A. Valencia, A. Rubens. — http://www.ietf.org/rfc/rfc2661.txt
- Алексей Лукацкий Неизвестная VPN // Компьютер Пресс.- 2001.- № 10 http://abn.ru/inf/compress/network4.shtml
- Первый кирпич в стене VPN Обзор устройств VPN начального уровня [Электронный документ] / Валерий Лукин. — http://www.ixbt.com/comm/vpn1.shtml
- Обзор оборудования VPN [Электронный документ] — http://www.networkaccess.ru/articles/security/vpn_hardware/
- Pure hardware VPNs rule high-availability tests [Электронный документ] / Joel Snyder, Chris Elliott. — http://www.networkworld.com/reviews/2000/1211rev.html
- VPN : Type of VPN [Электронный документ] — http://www.vpn-guide.com/type_of_vpn.htm
- KAME FAQ [Электронный документ] — http://orange.kame.net/dev/cvsweb2.cgi/kame/FAQ?rev=HEAD&content-type=text/x-cvsweb-markup
- Особенности российского рынка VPN [Электронный документ] — http://www.cnews.ru/reviews/free/security2006/articles/vpnmarket/
- Отечественные средства построения виртуальных частных сетей [?] / И. Гвоздев, В. Зайчиков, Н. Мошак, М. Пеленицын, С. Селезнев, Д. Шепелявый
- Сергей Петренко Защищенная виртуальная частная сеть: современный взгляд на защиту конфиденциальных данных // Мир Internet. — 2001. — № 2
См. также
Ссылки
Wikimedia Foundation.
2010.
Компьютеры и Интернет
Частная сеть – это сеть с защищённым доступом и защищённой передачей данных. Можно построить такую сеть, используя частные или арендованные линии, но это обходится дорого. Виртуальная частная сеть (VPN) – это сеть, которая использует телекоммуникационную инфраструктуру общего пользования, такую как Интернет, для предоставления удалённым пользователям или офисам безопасный доступ к сети в их центральное местоположение или к штаб-квартире по заметно сниженной стоимости. Конфиденциальность в виртуальной частной сети поддерживается с помощью комбинации процедур безопасности и системы передачи данных, называемой туннелированием или переадресацией портов. Стандарты для виртуальных частных сетей исходят от IETF.
Туннелирование – это метод сокрытия от публичной сети того факта, что данные, передаваемые по нему, являются частью передачи частной сети. Есть несколько способов приблизиться к туннелированию. Один из них называется протоколом двухточечного туннелирования (PPTP). Разработанный Microsoft совместно с некоторыми другими компаниями, PPTP позволяет авторизованным пользователям получать доступ к виртуальной частной сети через интернет-провайдера (ISP). Общая система инкапсуляции маршрутизации (GRE), разработанная Cisco Systems, является альтернативным протоколом туннелирования. Туннелирование не считается эффективным, если оно не используется в сочетании с шифрованием и дешифрованием данных.
Существует три типа виртуальных частных сетей. Доверенные VPN используют выделенную схему, но передача может быть нарушена, если они проходят через коммутаторы связи. Путь доверенной VPN должен быть задан и согласован с маршрутизацией и адресацией, установленными до его использования.
К защищенным VPN относятся те, которые используют шифрование между исходным компьютером или сетью и получающим компьютером или сетью. Для обеспечения безопасности весь трафик в виртуальной частной сети должен быть зашифрован и аутентифицирован. Кроме того, сеть должна быть защищена от внешних изменений свойств безопасности.
Объединение защищенного VPN с доверенным VPN приводит к гибридному VPN. Зачастую только часть доверенного VPN является защищенным VPN. В этом случае важно, чтобы все четко знали о границах защищенной виртуальной частной сети, чтобы можно было принять взвешенные решения об отправке различных типов информации в разные части сети.
Виртуальные частные сети используются для различных целей. Голосовые VPN позволяют проводить телеконференции и деловые встречи с удаленными участниками. Образовательные учреждения могут использовать VPN для предоставления преподавателям доступа к средствам и ресурсам кампуса, когда они находятся за пределами кампуса, а также для организации программ дистанционного обучения, которые учащиеся посещают удаленно.
Технология виртуальных частных сетей VPN
Сегодня с аббревиатурой VPN не сталкивался разве что только человек, полностью изолированный от возможностей всемирной паутины. Однако далеко не каждому ясно, что означает данный термин. Чаще всего создание виртуальной частной сети — это прерогатива тех, кому необходим доступ к заблокированному в конкретном регионе контенту, но первоначальное предназначение этой технологии совсем иное. VPN появились задолго до начала «эры блокировок»: еще в далеких 60-х ведущие инженеры одной из известных телефонных компаний Нью-Йорка создали первую виртуальную телефонную сеть. В то время в приоритете находилась в первую очередь конфиденциальность голосовой информации, сейчас же данная система более универсальна.
Суть и принцип работы
По своей сути VPN — это технология, позволяющая создавать абсолютно защищенные каналы связи с интернетом, информация по которым проходит в зашифрованном виде, скрывая реальные IP-адреса пользователей. Таким образом, она делает трафик недоступным для перехвата извне и защищенным от незаконного использования, несмотря на возможность аутентификации из разных мест и с любых операционных систем. Принцип работы виртуальной частной сети VPN достаточно прост: в момент выхода пользователя в интернет между глобальной паутиной и его устройством образуется своеобразный туннель, доступ к которому заблокирован. Его наличие при этом никак не отражается на скорости или других аспектах работы.
Использовать его можно в разных целях:
- При подключении через Wi-Fi в публичных местах шифрование данных позволит защитить их от злоумышленников.
- В корпоративных сетях данное подключение необходимо для организации безопасного доступа сотрудников к интернету и контролю их трафика.
- При наличии нескольких сетей разного уровня через VPN осуществляется обмен данными.
- При необходимости получения доступа к особо охраняемой информации в сфере финансов или юриспруденции используется исключительно защищенное соединение.
И, конечно же, сегодня крайне распространен обход блокировок: пользователи по всему миру скачивают информацию с закрытых ресурсов, пользуются сайтами, заблокированными на рабочих ПК, и скрывают историю посещений от провайдеров.
Способы организации виртуальных частных сетей
Организация может осуществляться одним из четырех основных способов:
- Удаленный доступ к локальной сети через модем или общедоступную сеть. Эта модель широко применяется корпорациями, аппаратные VPN сервера которых располагаются в центральных офисах, а также провайдерами, обеспечивающими доступ клиентов к интернету извне.
- Intranet VPN. Суть данного способа заключается в создании общей сети офисов, в каждом из которых есть свой сервер. Такое построение целесообразно для организации работы филиалов компаний и беспрепятственного и безопасного обмена данными между пользователями.
- Extranet VPN. Сегменты сети при таком варианте организации VPN могут принадлежать разным организациям, поэтому требуется разграничение доступа к ресурсам.
- Client/Server VPN. Обеспечивает защиту данных, проходящих через канал в пределах одного сегмента.
Передача информации через безопасные каналы связи набирает популярность все стремительнее, и технология виртуальных частных сетей VPN с каждым днем становится все популярнее. Реализована она и в ИКС — интернет-шлюзе, созданном для комфортной работы в корпоративных сетях. Такая интеграция позволяет добиваться самой эффективной защиты трафика и обеспечения требуемого контроля.
Виртуальная частная сеть — Virtual private network
«VPN» перенаправляется сюда. Для использования в других целях, см VPN (значения) .
Позволяет частной сети проходить через общедоступную сеть
Обзор VPN-подключения
Виртуальная частная сеть ( VPN ) расширяет частную сеть через общедоступную сеть и позволяет пользователям отправлять и получать данные через общие или сети общего пользование , как если бы их вычислительные устройства были подключены к частной сети. Таким образом, приложения, работающие через VPN, могут получить выгоду от функциональности, безопасности и управления частной сетью. Шифрование — это обычная, хотя и не неотъемлемая часть VPN-соединения.
Технология VPN была разработана для предоставления доступа к корпоративным приложениям и ресурсам удаленным или мобильным пользователям, а также филиалам. В целях безопасности соединение с частной сетью может быть установлено с использованием зашифрованного многоуровневого протокола туннелирования , и пользователям может потребоваться пройти различные методы аутентификации для получения доступа к VPN. В других приложениях пользователи Интернета могут защищать свои соединения с помощью VPN, чтобы обойти геоблокировку и цензуру, или подключаться к прокси-серверам для защиты личных данных и местоположения, чтобы оставаться анонимными в Интернете. Однако некоторые веб-сайты блокируют доступ к известной технологии VPN, чтобы предотвратить обход своих географических ограничений, и многие провайдеры VPN разрабатывают стратегии, позволяющие обойти эти блокировки.
VPN создается путем установления виртуального двухточечного соединения с использованием выделенных каналов или протоколов туннелирования по существующим сетям. VPN, доступная из общедоступного Интернета, может обеспечить некоторые преимущества глобальной сети (WAN). С точки зрения пользователя, к ресурсам, доступным в частной сети, можно получить удаленный доступ.
Типы
Классификация VPN основана сначала на топологии, а затем на используемой технологии.
Типичная VPN типа «сеть-сеть».
Ранние сети передачи данных позволяли подключаться к удаленным объектам в стиле VPN через модем удаленного доступа или через выделенные линии с использованием виртуальных каналов X.25 , Frame Relay и асинхронного режима передачи (ATM), предоставляемых через сети, принадлежащие операторам связи и управляемые ими . Эти сети не считаются настоящими VPN, поскольку они пассивно защищают передаваемые данные путем создания логических потоков данных. Их заменили виртуальные частные сети, основанные на IP и IP / многопротокольных сетях с коммутацией по меткам (MPLS), благодаря значительному снижению затрат и увеличению пропускной способности, обеспечиваемой новыми технологиями, такими как цифровая абонентская линия (DSL) и оптоволоконные сети.
VPN можно охарактеризовать как межсетевой или удаленный доступ путем подключения одного компьютера к сети или как межсетевой для соединения двух сетей. В корпоративной среде виртуальные частные сети удаленного доступа позволяют сотрудникам получать доступ к интрасети компании за пределами офиса. Сети VPN типа «сеть-сеть» позволяют сотрудникам в географически разнесенных офисах использовать одну и ту же виртуальную сеть. VPN также можно использовать для соединения двух похожих сетей через непохожую промежуточную сеть, например, две сети IPv6, соединенные через сеть IPv4 .
Системы VPN можно классифицировать по:
- протокол туннелирования, используемый для туннелирования трафика
- расположение точки завершения туннеля, например, на границе клиента или поставщика сети
- тип топологии соединений, например, сайт-сайт или сеть-сеть
- обеспеченные уровни безопасности
- уровень OSI, который они представляют для подключающейся сети, например, схемы уровня 2 или сетевое подключение уровня 3
- количество одновременных подключений
Механизмы безопасности
VPN не могут делать онлайн-соединения полностью анонимными, но обычно они могут повысить конфиденциальность и безопасность. Чтобы предотвратить раскрытие частной информации, VPN обычно разрешают только аутентифицированный удаленный доступ с использованием протоколов туннелирования и методов шифрования .
Модель безопасности VPN обеспечивает:
Фазы жизненного цикла туннеля IPSec в виртуальной частной сети.
Протоколы Secure VPN включают в себя следующее:
Аутентификация
Конечные точки туннелей должны быть аутентифицированы, прежде чем можно будет установить безопасные туннели VPN. Создаваемые пользователями виртуальные частные сети удаленного доступа могут использовать пароли , биометрические данные , двухфакторную аутентификацию или другие криптографические методы. В туннелях между сетью часто используются пароли или цифровые сертификаты . В них постоянно хранится ключ, позволяющий автоматически устанавливать туннель без вмешательства администратора.
Маршрутизация
Протоколы туннелирования могут работать в топологии сети « точка-точка» , которая теоретически не может считаться VPN, поскольку ожидается, что VPN по определению будет поддерживать произвольные и изменяющиеся наборы сетевых узлов. Но поскольку большинство реализаций маршрутизаторов поддерживают программно-определяемый туннельный интерфейс, предоставляемые заказчиком виртуальные частные сети часто представляют собой просто определенные туннели, в которых используются традиционные протоколы маршрутизации.
Строительные блоки VPN, предоставляемые провайдером
Терминология Site-to-Site VPN.
В зависимости от того, работает ли VPN, предоставляемая поставщиком (PPVPN), на уровне 2 или уровне 3, описанные ниже стандартные блоки могут быть только L2, только L3 или их комбинацией. Функциональность многопротокольной коммутации меток (MPLS) размывает идентичность L2-L3.
RFC 4026 обобщил следующие термины для охвата VPN L2 MPLS и VPN L3 (BGP), но они были введены в RFC 2547 .
- Клиентские (C) устройства
Устройство, которое находится в сети клиента и не подключено напрямую к сети поставщика услуг. Устройства C не знают о VPN.
- Клиентское пограничное устройство (CE)
Устройство на границе сети клиента, обеспечивающее доступ к PPVPN. Иногда это просто разграничение между ответственностью поставщика и клиента. Другие провайдеры позволяют клиентам настраивать его.
- Пограничное устройство провайдера (PE)
Устройство или набор устройств на границе сети поставщика, которые подключаются к сетям клиентов через устройства CE и представляют точку зрения поставщика на сайт клиента. PE знают о VPN, которые подключаются через них, и поддерживают состояние VPN.
- Устройство провайдера (P)
Устройство, которое работает в базовой сети поставщика и не взаимодействует напрямую с конечной точкой клиента. Он может, например, обеспечивать маршрутизацию для многих туннелей, управляемых провайдером, которые принадлежат PPVPN разных клиентов. Хотя устройство P является ключевой частью реализации PPVPN, оно не поддерживает VPN и не поддерживает состояние VPN. Его основная роль заключается в том, чтобы позволить поставщику услуг масштабировать свои предложения PPVPN, например, выступая в качестве точки агрегации для нескольких PE. Соединения P-to-P в такой роли часто представляют собой оптические каналы с высокой пропускной способностью между основными местоположениями поставщиков.
Видимые пользователем услуги PPVPN
Сервисы OSI Layer 2
- Виртуальная локальная сеть
Виртуальная локальная сеть (VLAN) — это метод уровня 2, который позволяет сосуществовать множеству широковещательных доменов локальной сети (LAN), соединенных между собой через соединительные линии с использованием транкового протокола IEEE 802.1Q . Другие протоколы транкинга использовались, но стали устаревшими, в том числе Inter-Switch Link (ISL), IEEE 802.10 (первоначально протокол безопасности, но был введен подмножество для транкинга) и ATM LAN Emulation (LANE).
- Служба виртуальной частной локальной сети (VPLS)
Виртуальные локальные сети (VLAN), разработанные Институтом инженеров по электротехнике и радиоэлектронике , позволяют нескольким тегированным локальным сетям совместно использовать общий транкинг. Сети VLAN часто включают только объекты, принадлежащие клиенту. В то время как VPLS, как описано в предыдущем разделе (службы OSI уровня 1), поддерживает эмуляцию как топологий точка-точка, так и топологий точка-множество точек, обсуждаемый здесь метод расширяет возможности технологий уровня 2, таких как магистральная сеть LAN 802.1d и 802.1q. через транспорт, такой как Metro Ethernet .
В данном контексте VPLS — это PPVPN уровня 2, имитирующая полную функциональность традиционной LAN. С точки зрения пользователя, VPLS позволяет соединить несколько сегментов LAN через ядро провайдера с коммутацией пакетов или оптическое ядро, прозрачное для пользователя, заставляя удаленные сегменты LAN вести себя как одну единую LAN.
В VPLS сеть провайдера имитирует обучающий мост, который опционально может включать службу VLAN.
- Псевдопровод (PW)
PW похож на VPLS, но может предоставлять разные протоколы L2 на обоих концах. Обычно его интерфейс представляет собой протокол WAN, такой как режим асинхронной передачи или Frame Relay . Напротив, при стремлении создать видимость LAN, смежной между двумя или более местоположениями, будет уместна услуга Virtual Private LAN или IPLS.
- Ethernet через IP-туннелирование
EtherIP ( RFC 3378 ) — это спецификация протокола туннелирования Ethernet через IP. EtherIP имеет только механизм инкапсуляции пакетов. В нем нет защиты конфиденциальности и целостности сообщений. EtherIP был представлен в сетевом стеке FreeBSD и программе сервера SoftEther VPN .
- Только IP-сервис, подобный LAN (IPLS)
Подмножество VPLS, устройства CE должны иметь возможности уровня 3; IPLS представляет пакеты, а не кадры. Он может поддерживать IPv4 или IPv6.
OSI Layer 3 PPVPN-архитектуры
В этом разделе обсуждаются основные архитектуры для PPVPN, в одной из которых PE устраняет неоднозначность адресов в одном экземпляре маршрутизации, а в другой — виртуальный маршрутизатор, в котором PE содержит экземпляр виртуального маршрутизатора для каждой VPN. Первый подход и его варианты привлекли наибольшее внимание.
Одна из проблем PPVPN связана с тем, что разные клиенты используют одно и то же адресное пространство, особенно пространство частных адресов IPv4. Провайдер должен уметь устранять неоднозначность перекрывающихся адресов в PPVPN нескольких клиентов.
- BGP / MPLS PPVPN
В методе, определенном в RFC 2547 , расширения BGP объявляют маршруты в семействе адресов IPv4 VPN, которые имеют форму 12-байтовых строк, начиная с 8-байтового идентификатора маршрута (RD) и заканчивая 4-байтовым IPv4-адресом. . RD устраняет неоднозначность, иначе дублирующиеся адреса в одном PE.
PE понимают топологию каждой VPN, которые связаны с туннелями MPLS либо напрямую, либо через P-маршрутизаторы. В терминологии MPLS маршрутизаторы P — это маршрутизаторы с коммутацией меток, не осведомленные о виртуальных частных сетях.
- Виртуальный роутер PPVPN
Архитектура виртуального маршрутизатора, в отличие от методов BGP / MPLS, не требует модификации существующих протоколов маршрутизации, таких как BGP. Предоставляя логически независимые домены маршрутизации, заказчик, использующий VPN, полностью отвечает за адресное пространство. В различных туннелях MPLS разные PPVPN различаются по своей метке, но не нуждаются в различителях маршрутизации.
Незашифрованные туннели
Некоторые виртуальные сети используют протоколы туннелирования без шифрования для защиты конфиденциальности данных. Хотя VPN часто действительно обеспечивают безопасность, незашифрованная оверлейная сеть не совсем вписывается в безопасную или надежную категоризацию. Например, туннель, установленный между двумя хостами с помощью Generic Routing Encapsulation (GRE), является виртуальной частной сетью, но не является ни безопасной, ни надежной.
Собственные протоколы туннелирования с открытым текстом включают протокол туннелирования уровня 2 (L2TP), когда он настроен без IPsec, и протокол туннелирования точка-точка (PPTP) или шифрование точка-точка Microsoft (MPPE).
Надежные сети доставки
Надежные VPN не используют криптографическое туннелирование; вместо этого они полагаются на безопасность сети одного провайдера для защиты трафика.
- Многопротокольная коммутация по меткам (MPLS) часто перекрывает сети VPN, часто с контролем качества обслуживания в надежной сети доставки.
- L2TP, который представляет собой основанную на стандартах замену и компромисс с использованием хороших функций каждого из двух проприетарных протоколов VPN: Cisco Layer 2 Forwarding (L2F) (устаревший с 2009 года) и Microsoft Point-to-Point Tunneling Protocol (PPTP). .
С точки зрения безопасности VPN либо доверяют базовой сети доставки, либо должны обеспечивать безопасность с помощью механизмов в самой VPN. Если доверенная сеть доставки не работает только между физически безопасными сайтами, и доверенная, и безопасная модели нуждаются в механизме аутентификации для пользователей, чтобы получить доступ к VPN.
Типы развертывания
VPN в мобильной среде
Пользователи используют мобильные виртуальные частные сети в настройках, где конечная точка VPN не привязана к одному IP-адресу , а вместо этого перемещается по различным сетям, таким как сети передачи данных от сотовых операторов или между несколькими точками доступа Wi-Fi, не прерывая безопасный сеанс VPN. или потеря сеансов приложения. Мобильные виртуальные частные сети широко используются в сфере общественной безопасности, где они предоставляют правоохранительным органам доступ к таким приложениям, как компьютерная диспетчеризация и криминальные базы данных, а также в других организациях с аналогичными требованиями, таких как управление полевым обслуживанием и здравоохранение.
VPN на роутерах
С ростом использования VPN многие начали развертывать VPN-соединение на маршрутизаторах для дополнительной безопасности и шифрования передачи данных с использованием различных криптографических методов. Домашние пользователи обычно развертывают VPN на своих маршрутизаторах для защиты таких устройств, как смарт-телевизоры или игровые консоли , которые не поддерживаются собственными клиентами VPN. Поддерживаемые устройства не ограничиваются теми, на которых можно запускать VPN-клиент.
Многие производители маршрутизаторов поставляют маршрутизаторы со встроенными клиентами VPN. Некоторые используют прошивки с открытым исходным кодом, такие как DD-WRT , OpenWRT и Tomato , для поддержки дополнительных протоколов, таких как OpenVPN .
Настройка служб VPN на маршрутизаторе требует глубоких знаний в области сетевой безопасности и тщательной установки. Незначительная неправильная конфигурация VPN-подключений может сделать сеть уязвимой. Производительность будет зависеть от интернет-провайдера (ISP).
Сетевые ограничения
Ограничением традиционных VPN является то, что они являются соединениями точка-точка и не поддерживают широковещательные домены ; поэтому связь, программное обеспечение и сеть, основанные на уровне 2 и широковещательных пакетах , например NetBIOS, используемом в сети Windows , могут не поддерживаться полностью, как в локальной сети . Варианты VPN, такие как Virtual Private LAN Service (VPLS) и протоколы туннелирования уровня 2, предназначены для преодоления этого ограничения.
VPN сервисы
Большое количество (обычно коммерческих) организаций предоставляют «виртуальные частные сети» для всех видов целей, но в зависимости от поставщика и приложения они часто не создают настоящую «частную сеть» с чем-либо значимым в локальной сети. Тем не менее термин становится все более распространенным. Широкая общественность в основном стала использовать термин VPN-сервис или просто VPN специально для коммерчески продаваемых продуктов или услуг, которые используют протокол VPN для туннелирования интернет-трафика пользователя, поэтому IP-адрес сервера поставщика услуг кажется публике IP-адрес пользователя. В зависимости от должным образом реализованных функций, трафик пользователя, его местоположение и / или реальный IP-адрес могут быть скрыты от общественности, тем самым обеспечивая желаемые предлагаемые функции доступа в Интернет , такие как обход цензуры в Интернете , анонимизация трафика и географическая разблокировка . Они надежно туннелируют Интернет-трафик пользователя только между общедоступным Интернетом и устройством пользователя, и обычно устройства пользователя, подключенные к одной и той же «VPN», не могут видеть друг друга. Эти VPN могут быть основаны на типичных протоколах VPN или более замаскированных реализациях VPN , таких как SoftEther VPN , но также используются прокси-протоколы, такие как Shadowsocks . Эти VPN обычно продаются как службы защиты конфиденциальности.
На стороне клиента обычная настройка VPN не является обычной VPN, но обычно использует интерфейсы VPN операционной системы для захвата данных пользователя для отправки. Сюда входят виртуальные сетевые адаптеры в операционных системах компьютеров и специализированные интерфейсы «VPN» в мобильных операционных системах. Менее распространенной альтернативой является предоставление интерфейса прокси-сервера SOCKS .
Пользователи должны учитывать, что, когда передаваемый контент не зашифрован перед входом в VPN, эти данные видны в принимающей конечной точке (обычно на сайте общедоступного поставщика VPN) независимо от того, зашифрована ли сама оболочка туннеля VPN для межузлового транспорта. Только безопасный VPN, где участники имеют контроль на обоих концах всего пути передачи данных, или содержимое зашифровано перед входом в туннель провайдера.
Законность
Китай
Неутвержденные VPN запрещены в Китае, поскольку их могут использовать граждане для обхода Великого файрвола . (VPN относится к любому протоколу, который направляет трафик в другое место, как указано выше.) На людей, продающих несанкционированные услуги VPN, налагались тюремные сроки и штрафы. Физические лица также были оштрафованы за доступ к веб-сайтам с помощью VPN.
Запрет не распространяется на иностранные компании, а также на внутренние государственные учреждения и компании. Официальные аккаунты китайского правительства, такие как Чжао Лицзянь и Хуа Чунин , а также редактор Ху Сицзинь из связанной с государством Global Times , имеют официальные аккаунты в социальных сетях в Twitter, сервисе, который запрещен в материковом Китае.
Смотрите также
Ссылки
дальнейшее чтение
Виртуальная частная сеть (VPN) Введение
Пользовательский поиск
Виртуальная частная сеть (VPN) Введение
Виртуальная частная сеть (VPN) — это технология, которую вы можете использовать для удаленного и безопасного доступа к офисной или домашней сети через Интернет, чтобы данные связи были защищены от перехвата или взлома хакерами.
Когда VPN-соединение устанавливается между 2 сторонами (между VPN-клиентом и VPN-шлюзом или между 2-мя VPN-шлюзами), создается защищенный виртуальный туннель с возможностью шифрования данных (чтобы хакер не мог видеть содержимое данных), сохранить целостность данных (отсутствие изменений данных во время передачи) и обеспечение связи только между этими двумя аутентифицированными сторонами.
Существует 2 распространенных типа виртуальной частной сети: VPN с удаленным доступом и VPN типа «сеть-сеть».
VPN удаленного доступа
VPN для удаленного доступа — это очень распространенная служба VPN, которую можно настроить в своей офисной или домашней сети. Его можно реализовать, настроив VPN-шлюз или сервер, и вы можете подключиться к нему с помощью VPN-клиента из других мест. Если нет, вы также можете подписаться на услугу VPN, предоставляемую поставщиком VPN, для аналогичного безопасного доступа.
Как видно из схемы ниже, в аэропорту, библиотеке, ресторане или других общественных точках доступа пользователь может запустить VPN-соединение с помощью VPN-клиента на компьютере и подключиться к VPN-шлюзу. Каждый раз, когда пользовательский компьютер отправляет данные, программное обеспечение VPN-клиента шифрует эти данные перед отправкой через Интернет на шлюз VPN на границе сети назначения. Как только VPN-шлюз получает данные, он расшифровывает их и отправляет пакет на целевой компьютер в своей частной сети (офисной или домашней сети), после чего конечный компьютер также зашифрует возвращаемые данные.
VPN для удаленного доступа поддерживается протоколами туннелирования L2F, PPTP, L2TP и IPsec.
Иногда, если пользователь использует веб-браузер вместо VPN-клиента для подключения к VPN-шлюзу, мы называем этот тип VPN как SSL VPN .
Site-to-Site VPN
Site-to-site VPN — это соединение VPN, устанавливаемое между 2 шлюзами VPN, которые находятся в 2 разных сетях через Интернет, так что компьютеры обеих сетей могут безопасно обмениваться данными.На компьютерах пользователей нет необходимости в VPN-клиенте. VPN-соединение будет установлено между обоими VPN-шлюзами. Оба VPN-шлюза будут шифровать и расшифровывать данные связи, чтобы обеспечить безопасность и целостность данных.
VPN типа «сеть-сеть» может поддерживаться туннельным режимом IPsec, протоколами PPTP, L2TP поверх IPSec. Интересный? Вы также можете ознакомиться с этими продуктами VPN, чтобы получить дополнительную информацию!
Статьи по теме :
Быстрая настройка VPN-клиента для Windows 10
Как настроить PPTP VPN-сервер в Windows 7
Настройка клиента PPTP VPN для Windows 7
Настройка клиента PPTP VPN в Windows Vista
Простая настройка VPN-сервера PPTP в Windows XP
Настройка клиента PPTP VPN в Windows XP
Простой способ проверки WAN IP кабельного / DSL-соединения
Вернуться к началу «Введение в виртуальную частную сеть (VPN)» !!
.
Виртуальная частная сеть (VPN) | Документы Microsoft
- 2 минуты на чтение
В этой статье
Применимо к: Windows Server (полугодовой канал), Windows Server 2016, Windows 10
Шлюз
RAS как VPN-сервер с одним клиентом
В Windows Server 2016 роль сервера удаленного доступа представляет собой логическую группу следующих связанных технологий доступа к сети.
- Служба удаленного доступа (RAS)
- Маршрут
- Прокси-сервер веб-приложения
Эти технологии являются ролевыми службами роли сервера удаленного доступа.
При установке роли сервера удаленного доступа с помощью мастера добавления ролей и компонентов или Windows PowerShell можно установить одну или несколько из этих трех служб ролей.
При установке службы роли DirectAccess и VPN (RAS) вы развертываете шлюз службы удаленного доступа ( RAS Gateway ).Вы можете развернуть шлюз RAS как сервер виртуальной частной сети (VPN) шлюза RAS с одним клиентом, который предоставляет множество дополнительных функций и расширенные функции.
Функции и возможности Always On VPN: в этом разделе вы узнаете о функциях и функциях Always On VPN.
Настройка туннелей VPN-устройств в Windows 10: Always On VPN дает вам возможность создать выделенный профиль VPN для устройства или компьютера. Подключения Always On VPN включают два типа туннелей: туннель устройства и пользовательский туннель .Туннель устройства используется для сценариев подключения перед входом в систему и в целях управления устройством. Пользовательский туннель позволяет пользователям получать доступ к ресурсам организации через серверы VPN.
Развертывание Always On VPN для Windows Server 2016 и Windows 10: инструкции по развертыванию удаленного доступа в качестве VPN-шлюза RAS с одним клиентом для VPN-подключений типа «точка-сеть», которые позволяют вашим удаленным сотрудникам подключаться к сети вашей организации с помощью Always On VPN. соединения. Рекомендуется ознакомиться с руководствами по проектированию и развертыванию для каждой из технологий, используемых в этом развертывании.
Техническое руководство по Windows 10 VPN: ознакомит вас с решениями, которые вы примете для клиентов Windows 10 в своем корпоративном решении VPN, и о том, как настроить развертывание. Вы можете найти ссылки на поставщика услуг настройки VPNv2 (CSP) и предоставить инструкции по настройке управления мобильными устройствами (MDM) с использованием Microsoft Intune и шаблона профиля VPN для Windows 10.
Как создать профили VPN в Configuration Manager. В этом разделе вы узнаете, как создавать профили VPN в Configuration Manager.
Настройка клиентских подключений Windows 10 AlwaysOn VPN: в этом разделе описаны параметры и схема ProfileXML, а также способы создания ProfileXML VPN. После настройки серверной инфраструктуры необходимо настроить клиентские компьютеры с Windows 10 для связи с этой инфраструктурой через VPN-соединение.
Параметры профиля VPN: в этом разделе описываются параметры профиля VPN в Windows 10 и рассказывается, как настроить профили VPN с помощью Intune или Configuration Manager.Вы можете настроить все параметры VPN в Windows 10 с помощью узла ProfileXML в VPNv2 CSP.
.Виртуальная частная сеть
VPN — Сеть IUP — Получите поддержку — Центр ИТ-поддержки
VPN на стандартных машинах ITS: только для сотрудников
IT Services предлагает специальные настройки для соединений VPN при использовании стандартных портативных компьютеров и настольных компьютеров IUP. В этих системах есть два соединения VPN, которые можно использовать при подключении из сети вне кампуса, не относящейся к IUP. Это позволяет пользователям запускать VPN-соединение.
перед входом в эти системы. Преимущества использования этой опции для VPN-подключений:
- Возможность входа в систему IUP IT Standard в сети за пределами кампуса, т.е.е., Comcast или другие поставщики услуг, впервые
- Повышена скорость входа в эти системы
- Все пользователи, которым предоставлен доступ к сетевым дискам, будут автоматически отображать
- Мгновенный доступ к внеплощадочной сети IUP
Инструкции
Настройка VPN для Windows 10
- Начните, нажав кнопку Start и выбрав Settings.
- В настройках выберите Сеть и Интернет.
- В сети и в Интернете выберите VPN.
- Щелкните Добавить VPN-соединение.
- На экране добавления заполните поля следующим образом:
- Поставщик VPN: Windows (встроенный)
- Имя подключения: IUP VPN
- Имя или адрес сервера: vpn.iup.edu
- Тип VPN: Автоматический
- Тип информации для входа: Имя пользователя и пароль
- Имя пользователя (необязательно): IUPMSD \ имя пользователя (замените имя пользователя своим именем пользователя IUP)
- Пароль (необязательно): Пароль IUP
- Флажок «Запомнить мои данные для входа»: если вы установите этот флажок, вам не придется вводить пароль при подключении к VPN.Если вы не установите этот флажок, вам нужно будет ввести свое имя пользователя и пароль при подключении к VPN.
- По завершении этого экрана нажмите Сохранить.
- После добавления вы увидите новое сетевое соединение на экране «Сеть и Интернет».
- Закройте этот экран и вернитесь на рабочий стол.
- На рабочем столе, удерживая клавишу Windows, нажмите X. В появившемся меню выберите Сетевое подключение. Вы также можете нажать клавишу W, чтобы перейти к сетевым подключениям.
- На экране сетевых подключений щелкните Изменить параметры адаптера.
- На этом экране вы увидите только что созданное VPN-соединение и щелкните этот значок правой кнопкой мыши.
- Щелкните правой кнопкой мыши соединение IUP VPN и выберите Свойства , чтобы открыть окно свойств сети.
- Щелкните вкладку Безопасность .
- Щелкните переключатель с надписью Разрешить эти протоколы и установите флажок для Microsoft CHAP версии 2 (MS-CHAP v2).
- Теперь щелкните вкладку Networking .
- Щелкните один раз, чтобы выделить Internet Protocol Version 4 (TCP / IPV4).
- Щелкните кнопку Properties .
- Щелкните Advanced.
- Снимите флажок, чтобы использовать шлюз по умолчанию в удаленной сети.
- Нажмите OK , чтобы закрыть диалоговое окно Advanced TCP / IP Setting.
- Нажмите ОК , чтобы закрыть диалоговое окно свойств Интернет-протокола версии 4 (TCP / IPV4).
- Нажмите ОК и затем закройте экран «Свойства сети».
Теперь вы готовы подключиться к только что созданному VPN-соединению.
- Чтобы подключиться к VPN, щелкните значок Центра поддержки в правом нижнем углу.
- Вы должны увидеть опцию VPN-подключения, отображаемую в быстром меню.
- Щелкните опцию VPN, и вы попадете на экран «Сеть и Интернет».
- Щелкните опцию IUP VPN и щелкните Connect.
Настройка VPN для Windows 8.1
Прежде чем вы сможете создать это соединение, вы ДОЛЖНЫ сначала подключиться к вашему провайдеру Интернет-услуг (ISP).
- Получите доступ к панели чудо-кнопок Windows , переместив курсор мыши в верхний или нижний правый угол экрана.
- Выберите Настройки
- В меню настроек выберите Изменить настройки ПК в самом низу
- В меню настроек ПК выберите Сеть
- Выбрать Добавить VPN-соединение
- Заполните поля следующим образом:
- Поставщик VPN: Microsoft
- Имя подключения: IUP VPN
- Имя или адрес сервера: vpn.iup.edu
- Тип данных для входа: имя пользователя и пароль
- Имя пользователя: IUPMSD \
- Пароль: ваш сетевой пароль IUP
- Убедитесь, что установлен флажок «Запомнить мои данные для входа».
- Выбрать Сохранить
- Теперь отобразится новое VPN-соединение IUP.
- Нажмите клавишу Windows + клавишу с буквой x (на клавиатуре)
- Выберите Сетевые подключения
- Щелкните правой кнопкой мыши на подключении IUP VPN .
- Выбрать Недвижимость
- Выберите вкладку Безопасность
Нажмите кнопку Разрешить эти протоколы .
- Убедитесь, что выбрана опция Microsoft CHAP Version 2 (MS-CHAP v2).
- Выберите Сеть вкладку
- Щелкните один раз на Протокол Интернета версии 4 (TCP / IPv4) , чтобы выбрать его
- Выбрать Недвижимость
- Нажмите кнопку Advanced
- Снимите отметку с Использовать шлюз по умолчанию в удаленной сети , опция
- Выбрать ОК
- Выбрать ОК
- Выбрать ОК
- Войдите в меню настроек из панели чудо-кнопок Windows , переместив курсор мыши в верхний или нижний правый угол экрана.
- Выберите Настройки
- Выбрать Сеть
- Выбрать IUP VPN
- Выбрать Подключиться
Настройка VPN для Mac OSX (версия 10.10 и более ранняя)
- В меню Apple выберите Системные настройки .
- Выберите Сеть .
- Нажмите кнопку Добавить (+) .
- Введите следующее в диалоговом окне интерфейса:
- Интерфейс = VPN
- Тип VPN = IKEv2
- Имя службы = IUP VPN
- Щелкните Создать .
- Щелкните раскрывающееся меню Конфигурация и выберите Добавить конфигурацию .
- В качестве имени введите VPN Server и нажмите Create.
- Введите следующее, чтобы настроить VPN-соединение:
- Адрес сервера = vpn.iup.edu
- Имя учетной записи = iupmsd \ username (вместо username на ваше имя пользователя IUP).
- Шифрование = Автоматически (128 бит или 40 бит)
- Выберите Показать статус VPN в строке меню.
- Щелкните Параметры аутентификации и введите свой сетевой пароль.
- Щелкните ОК , затем щелкните Применить .
- Нажмите Подключить , и ваш Mac теперь должен быть подключен к IUP VPN.
Настройка VPN для Mac OSX (версия 10.11 и выше)
- В меню Apple выберите Системные настройки .
- Выберите Сеть .
- Нажмите кнопку Добавить (+) .
- Введите следующее в диалоговом окне интерфейса:
- Интерфейс = VPN
- Тип VPN = IKEv2
- Имя службы = IUP VPN
- Щелкните Создать .
- Введите следующее, чтобы настроить VPN-соединение:
- Адрес сервера = vpn.iup.edu
- Remote ID = vpn.iup.edu
- Локальный идентификатор = Оставить пустым
- Нажмите Параметры аутентификации
- Имя пользователя = IUPMSD \ USERNAME (вместо USERNAME на ваше имя пользователя IUP)
- Пароль = (ваш сетевой пароль IUP)
Щелкните ОК , затем щелкните Применить
Нажмите Подключить , и ваш Mac теперь должен быть подключен к IUP VPN.
Настройка VPN для iPad (iOS 10)
- Выберите настройки — Общие — VPN — Добавить конфигурацию VPN …
- Введите следующее в диалоговом окне интерфейса:
- Тип = IKEv2
- Описание = IUP VPN
- Сервер = vpn.iup.edu
- Remote ID = vpn.iup.edu
- Локальный идентификатор = Оставить пустым
- Аутентификация:
- User Authentication = Оставьте это значение по умолчанию (Имя пользователя )
- Имя пользователя = IUPMSD \ USERNAME
- Пароль = Ваш сетевой пароль IUP
- Нажмите Готово .
Примечание. iOS 9 или более ранней версии не будет работать с IKEv2 ; используйте тип PPTP
Настройка VPN для iPhone (iOS 10)
- Выберите настройки — Общие — VPN — Добавить конфигурацию VPN …
- Введите следующее в диалоговом окне интерфейса:
- Тип = IKEv2
- Описание = IUP VPN
- Сервер = vpn.iup.edu
- Remote ID = vpn.iup.edu
- Локальный идентификатор = Оставить пустым
- Аутентификация:
- User Authentication = Оставьте это значение по умолчанию (Имя пользователя )
- Имя пользователя = IUPMSD \ USERNAME
- Пароль = Ваш сетевой пароль IUP
- Нажмите Готово .
Примечание. iOS 9 или более ранней версии не будет работать с IKEv2 ; используйте тип PPTP
Настройка VPN для устройств Android
- Откройте приложение «Настройки».
- В разделе «Беспроводные сети» выберите Еще.
- Выберите VPN.
- В правом верхнем углу вы найдете знак + . Коснитесь его.
- Описание = IUP VPN
- Сервер = vpn.iup.edu
- Remote ID = vpn.iup.edu
- Локальный идентификатор = Оставить пустым
- Аутентификация пользователя = Вариант имени пользователя
- Имя пользователя = IUPMSD \ Имя пользователя
- Пароль = Ваш сетевой пароль IUP
- Нажмите Сохранить.
- Вы можете подключиться, вернувшись к настройкам VPN и выбрав свой VPN.
выбора. Вам будет предложено ввести имя пользователя и пароль.
Настройка VPN для Chromebook
Чтобы настроить VPN-соединение, выполните следующие действия. После завершения настройки вы сможете при необходимости подключиться к VPN.
- В правом нижнем углу выберите время.
- Выберите «Настройки».
- Выберите Google Play Store .
- Выберите Управление настройками Android .
- Щелкните Сеть и Интернет.
- Щелкните VPN.
- В верхнем правом углу щелкните символ + .
- Прокрутите вниз и выберите PPTP VPN.
- В правом верхнем углу выберите Добавить.
- В появившемся поле введите информацию.
- Адрес сервера vpn.iup.edu
- Выберите Сохранить .
Как только соединение будет установлено, вы сможете подключиться к VPN.
Чтобы подключиться к PPTP VPN, перейдите в меню PPTP VPN и выберите имя VPN-подключения.
Настройки VPN для базы данных библиотеки (ОС Windows)
Если у вас возникли проблемы с доступом к базе данных библиотеки с помощью VPN, вам может потребоваться изменить настройки шлюза по умолчанию в вашей VPN. Выполните следующие действия, чтобы изменить настройки шлюза по умолчанию:
- Щелкните кнопку «Пуск» и введите «ncpa.cpl «в строке поиска. Откроется окно сетевых подключений.
- Щелкните правой кнопкой мыши VPN-подключение IUP и выберите свойства.
- Выберите вкладку сети.
- Щелкните один раз на Протокол Интернета версии 4 (TCP / IPv4) , чтобы выбрать его
- Выбрать свойства.
- Нажмите кнопку Advanced .
- Проверить и Использовать шлюз по умолчанию в удаленной сети опция
- Трижды нажмите ОК.
- Повторно подключитесь к VPN-соединению, и вы сможете получить доступ к нужным ресурсам
Предложение: Если вы будете часто использовать одну и ту же библиотечную базу данных, рекомендуется установить второе VPN-соединение (назовите его «Library VPN») с соответствующими настройками, вместо того, чтобы изменять настройку каждый раз, когда вам нужно использовать Это.
Настройки VPN для базы данных библиотеки (Mac OS)
Если у вас возникли проблемы с доступом к базе данных библиотеки с помощью VPN, вам может потребоваться изменить настройки шлюза по умолчанию в вашей VPN.Выполните следующие действия, чтобы изменить настройки шлюза по умолчанию:
- Откройте настройки сети.
- Щелкните свое VPN-соединение, затем нажмите кнопку «Дополнительно».
- Щелкните «Отправить весь трафик через VPN-соединение».
- Нажмите ОК, затем закройте Сетевые настройки
- Повторно подключитесь к VPN-соединению, и вы сможете получить доступ к нужным ресурсам
Предложение: если вы будете часто использовать одну и ту же библиотечную базу данных, рекомендуется установить второе VPN-соединение (назовите его «Library VPN») с соответствующими настройками, вместо того, чтобы изменять настройку каждый раз, когда вам нужно его использовать. .
Некоторые распространенные ошибки
- Неверное имя пользователя / пароль: VPN не может аутентифицироваться с предоставленными учетными данными. Убедитесь, что вы правильно вводите имя пользователя и пароль. Имя пользователя должно быть введено в формате «IUPMSD \ имя пользователя ». Пожалуйста, замените имя пользователя на имя пользователя своей вычислительной учетной записи IUP.
- Ошибка 800: эта ошибка возникает при попытке подключиться к VPN с неправильным протоколом. Убедитесь, что этот тип VPN задан в конфигурации VPN.
- Ошибка 812: эта ошибка выдается, если маршрутизатор не настроен для разрешения VPN-подключений. Что касается домашних сетей, обратитесь к своему Интернет-провайдеру. Если вы получаете это сообщение об ошибке при попытке подключиться к IUP VPN с работы, обратитесь к своему работодателю.
.
ЕГО | Услуги и поддержка | Интернет-сеть и беспроводной доступ | Виртуальная частная сеть (VPN)
Виртуальная частная сеть (VPN) Pace обеспечивает механизм для компьютеров, которые ее используют, чтобы быть частью сети Pace University, когда этот компьютер физически не находится в каком-либо кампусе Pace.
Примечание. Страница загрузки Pace VPN доступна только за пределами кампуса. Следовательно, ссылки http://vpn.pace.edu, перечисленные ниже, будут работать только за пределами кампуса. Клиент Cisco AnyConnect VPN не поддерживается планшетом Windows RT из-за ограничений O / S с этим устройством.Посетите страницу поддерживаемого программного обеспечения для получения полного списка.
Право на участие
Студенты, преподаватели и сотрудники
Как получить эту услугу
Находясь за пределами кампуса, вы можете напрямую подключиться к сети Pace University через веб-браузер. Это решение теперь доступно для пользователей Macintosh OSX, Windows 7 или более поздних версий, включая 64-битную архитектуру.
Примечание. Если ваш браузер блокирует всплывающие окна, вам может потребоваться нажать «Разрешить всплывающие окна» в верхней части экрана, чтобы начать сеанс VPN.Кроме того, во время установки вам может быть предложено принять сертификаты безопасности более одного раза; вы должны разрешить это, чтобы продолжить.
Если вы используете Internet Explorer, вам может быть предложено добавить http://vpn.pace.edu/ в список надежных сайтов, прежде чем продолжить установку. В Mac OSX вам будет предложено ввести пароль локального администратора, чтобы продолжить.
Когда вы впервые заходите на этот сайт, программа загружается и устанавливается на ваш компьютер.Для будущих подключений вы можете либо запустить программу прямо со своего компьютера для подключения, либо вернуться на сайт http://vpn.pace.edu/ и подключиться. В любом случае на вашем компьютере не потребуется повторно устанавливать клиентское программное обеспечение.
Поддержка
По любым вопросам, запросам в службу поддержки или сообщению о проблеме, связанной с этой услугой, обращайтесь в службу поддержки ITS. Запросы в службу поддержки также можно отправлять онлайн на help.pace.edu (требуется имя пользователя и пароль MyPace Portal). Воспользуйтесь типом запроса «Информационные технологии»> «Интернет, сеть и VPN»> «Доступ к удаленному рабочему столу / виртуальная частная сеть (VPN)» (Примечание. При нажатии на эту ссылку форма будет предварительно заполнена после входа в систему).
Обратитесь в службу поддержки ITS
U Телефон: (914) 773-3333
U Бесплатный звонок: 1 (855) 722-3487
M Электронная почта: [email protected]
G Онлайн: help.pace.edu
Узнать больше
Документация
Загрузите и установите VPN-клиент Pace Cisco AnyConnect
Обзор Установка Cisco AnyConnect VPN для Windows
Обзор Установка Cisco AnyConnect VPN для Mac
Подключитесь с помощью клиента Cisco AnyConnect VPN
Обзор подключения к виртуальной частной сети (VPN)
Для этого вам не нужен VPN:
Примечание. VPN не требуется для доступа ко всему на Pace.Итак, если вы хотите просто проверить электронную почту Pace, получить доступ к нашим библиотечным системам и т. Д., Вам не следует использовать VPN. Используя VPN, когда вам это не нужно, вы, скорее всего, замедляете свой собственный опыт VPN при доступе к другим интернет-ресурсам, а также облагаете налогом интернет-соединение Pace.
Вот список того, что можно делать за пределами кампуса без использования VPN
- Проверьте электронную почту Pace
- Перейдите на домашнюю страницу Pace, www.pace.edu и большинство других веб-сайтов.
- Войдите на портал MyPace и пользуйтесь большей частью портала MyPace (Blackboard, регистрация, студенческие записи и т. Д.))
- Посмотрите неограниченные веб-страницы Pace
- Просмотр библиотечных систем
- Доступ к файлам, хранящимся в WFS (веб-файловая система)
Для этого вам нужен VPN:
Вам потребуется установить и запустить VPN, прежде чем вы сможете приступить к следующим действиям (за пределами кампуса):
- Доступ к административным системам темпа (баннеры, табели учета рабочего времени и т. Д.)
- Использование программного обеспечения Pace с ограничениями по лицензии
- Использование программного обеспечения, такого как SSH (программное обеспечение Secure Shell, обычно используемое для подключения к системам Unix и Linux)
- Запустите подключение удаленного рабочего стола к офисному компьютеру (удаленный рабочий стол, VNC и т. Д.)
- Войдите в Pace Domain Print с компьютеров / ноутбуков учащихся, в университетском городке или за его пределами и загрузите данные из любого нового местоположения принтера.
Примечание. Из соображений безопасности Banner доступен только через подключение удаленного рабочего стола к вашей локальной Pace Machine.
.