Как создать сеть vpn: Создаем свой VPN-сервер. Пошаговая инструкция — Разработка на vc.ru

Содержание

Как создать свой VPN сервер. VPN для windows, android, ios

Автор Admin На чтение 8 мин. Просмотров 1.2k. Опубликовано

В этой статье я расскажу о том, как создать свой собственный VPN сервер для безопасного пользования интернетом.Узнаете, как  настроить компьютер (Windows) и телефон (IOS и Android) для работы через этот сервер.

Что за VPN и зачем он нужен

Простыми словами VPN — это технология, которая позволяет объединить устройства в сеть поверх другой сети. Например, поверх интернета. Но не будем забивать голову терминологией, мы просто сделаем так, что вы будете лазить в интернете через сервер в Сан-Франциско, Лондоне или Амстердаме. В общем там, где нет Ростелекома.


Зачем нужен свой VPN или чем плохи чужие

Разумеется, вы можете использовать чужие платные или бесплатные VPN-сервера. Благо на просторах интернета их очень много. Напишите в яндексе VPN и получите огромное количество предложений.

Если говорить о платных серверах, то цены там далеко не дешёвые. За бесплатные даже говорить не стоит. В чужих VPN есть следующие недостатки:

  1. Цена — хорошие VPN стоят хороших денег.
  2. Прослушка трафика — вы не знаете, кто держит VPN, а он знает, на какие сайты вы ходите, какие пароли передаете, с кем общаетесь и так далее. Https конечно частично решает эту проблему, но еще не все сайты перешли на https. Так же остается атака Man in the middle — владелец VPN может возвращать вам свои сертификаты и центры сертификации. Инициировать переход на более старую версию SSL, подсовывать вам свои сайты под видом искомых.
  3. VPN может быть «грязным» — возможно, до вас или параллельно с вами этот же VPN сервер (и его ip адрес) использует какой ни будь хакер из США — и этот ip адрес уже отслеживает ФБР.
  4. VPN может быть засвеченным — например, через него рассылали спам и он уже попал в черные списки — и вы не сможете войти на свой любимый сайт, потому что уже в бане.
  5. Модификация трафика — если ваш трафик не зашифрован или владелец VPN его может расшифровать, то сайты, которые вы запрашиваете, будут возвращаться с «лишними баннерами» или измененными адресами BTC и ETH для оплаты и так далее.

В общем, если вы просто хотите зависать на развлекательных сайтах, то берите любой бесплатный — иногда они будут не работать, иногда будут очень медленными, но это ж бесплатно.

Если VPN вам нужен для работы, берите хороший платный. Если у вас паранойя, или вы хотите заработать на аренде или вам просто интересно как это все делается — идем дальше.


Получаем свой VPS сервер

Для того чтобы поднять свой vpn, нам понадобится свой сервер в интернете. В этой статье мы рассмотрим пример на Zomro, но подойдет любой хостинг, где можно взять VDS или VPS. Самый простой тарифный план — 2.99$ в месяц, больше нам не надо.

Переходим на сайт: перейти. Выбираем раздел «Оптимальные VDS/VPS», выбираем тариф VDS/VPS «Micro» и нажимаем заказать.

Заполняем регистрационную форму и переходим в личный кабинет. Теперь необходимо пополнить баланс на 3 доллара. Выбираем в панели задач «Пополнить баланс»

Вводим сумму пополнения и выбираем удобный способ оплаты. После пополнения переходим в раздел «Товары / Услуги» и выбираем «виртуальные серверы». Нажимаем «Заказать»

Выбираем самый дешёвый тариф «VDS/VPS «Micro» [NL] (1 СPU/1 GB RAM/20 GB SSD)»

После этого в форме заказ там, где операционная система выбираем «Debian-10x86_64». Соглашаемся с условиями и нажимаем «В корзину».

После этого в корзине нажимаем оплатить.


Когда обработается ваш заказ, на почту прейдёт IP адрес, логин, пароль,  ссылка на страницу управления сервером и реквизитами для входа. Технический домен и так далее. Это важная информация не сообщайте её никому.

Что приятно, IP будет ваш и только ваш, и никто другой через ваш сервер ходить не будет (если вы сами не разрешите, но об этом позже).


Подключение к серверу VPS/VDS

Теперь нам нужно подключиться к своему новому серверу и настроить его. Скачиваем программу putty: скачать. Запускаем программу и вводим IP адрес из письма, в окно «Host Name», нажимаем кнопку «Open».

На появившемся окне жмём «Да». Перед нами откроется окно терминала, где нужно ввести логин и пароль из письма. Для того чтобы вставлять текст в терминал, нужно нажать правую кнопку мыши. Вводим логин и нажимаем enter. Вводим пароль (при наборе символы не будут отображаться, как будто вы ничего не набираете — это нормально) нажимаем enter. Для удобство ввода, можно скопировать пароль и правой кнопкой мыши вставить в терминал. После подключения, сворачиваем (не закрываем) терминал и переходим к следующему шагу.


Установка VPN на сервер

Теперь пришло время непосредственно развернуть свой VPN. В своём браузере переходим на сайт: openvpn.net. Выбираем раздел «GET OPENVPN«.

 

Выбираем нашу операционную систему (Debian)

 

Перед вами появится список команд, которые необходимо ввести в терминали. Убедитесь, что вверху выбрана именно Debian-10.

По очереди вводим каждую команду:

  1. Копируем первую команду: apt update && apt -y install ca-certificates wget net-tools gnupg, переходим в терминал, нажимаем правую кнопку мыши и нажимаем Enter (и так со всеми остальными). Должно получиться так:
  2. Копируем вторую: wget -qO — https://as-repository.openvpn.net/as-repo-public.gpg | apt-key add —
  3. Выполняем третью команду: echo «deb http://as-repository.openvpn.net/as/debian buster main»>/etc/apt/sources.list.d/openvpn-as-repo.list
  4. И ещё одна команда (запускает установку): apt update && apt -y install openvpn-as

Настраиваем свой VPN

Изменяем пароль для пользователя openvpn, который является администратором по умолчанию. Для этого выполняем команду: passwd openvpn вводим новый пароль и подтверждаем изменение (помните, что символы пароля не отображаются).


Убираем определение туннеля (двусторонний пинг)

Ели проверить анонимности нашего VPN на сайте 2ip.ru, то он может обнаружить, что мы используем  средств анонимизации. И самое неприятное, что это всё из-за одного параметра, который мы исправим.

Чтобы максимально замаскировать свой VPN, необходимо убрать «Определение туннеля (двусторонний пинг)». Самый простой способ блокировать команду ping в системах Linux — это добавить правило в iptables. Выполняем две команды по очереди:

  1. iptables -A INPUT —proto icmp -j DROP
  2. iptables -L -n -v [List Iptables Rules]

Теперь снова проверяем на сайте и видим, что теперь он не обнаружил средств анонимизации.


Настройка подключения к VPN

Для настроек своего VPN можно использовать веб-интерфейс. По умолчанию, адрес подключения имеет следующий вид: https://Х.Х.Х.Х/admin/ (где Х.Х.Х.Х – IP вашего сервера). По умолчанию логин: openvpn, а пароль вы изменили выше.

Там вы можете добавлять и редактировать пользователей вашего VPN и многое другое. Если интересно узнать подробно о настройках пишите в комментариях и я напишу отдельную статью на эту тему. А мы разберём как настроить подключение на Windows, IOS и Android.


Как подключить VPN на Windows

Автоматические настройки и конфигурационные файлы для клиентского подключения к вашему VPN можно скачать подключившись по клиентской ссылке к OpenVPN.

  1. В браузере водим адрес: https://Х.Х.Х.Х/ (где Х.Х.Х.Х – IP вашего сервера). В появившемся окне вводим логин, пароль и нажимаем «Sing in»
  2. Нажимаем на иконку Windows. Скачиваем и устанавливаем программу.
  3. Запускаем программу и пролистав вводные инструкции соглашаемся с условиями.
  4. Нажимаем на кнопку подключения. Вводим свой логин и пароль. Если всё верно, то вы подключитесь к своему ВПН.


Как подключить VPN на IOS

  1. Скачиваем с App Store программу OpenVPN.
  2. Теперь в нужно в браузере вашего ios устройства ввести адрес: https://Х.Х.Х.Х/ (где Х.Х.Х.Х – IP вашего сервера). Если будет надпись «Подключение не защищено», то для браузера chrome выбираем «Дополнительные» и  «Перейти на сайт». В других браузерах будет похожее.
  3. На следующей странице вводим логин и пароль. Листаем в самый низ, нажимаем надпись «Yourself (user-locked profile)» и скачиваем файл настроек.
  4. Переходим в файлы → загрузки. Выбираем скаченный файл под названием «client».
  5. Затем в правом верхнем углу нажимаем на кнопку Выбираем «Скопировать в OpenVPN»
  6. Далее нажимаем «ADD»
  7. Нажимаем «Save password», вводим свой пароль и в правом верхнем углу нажимаем «ADD»
  8. На запрос о разрешении на добавление конфигураций VPN, нажимаем Разрешить. Далее отпечатком пальца или face id подтверждаем создание нового VPN.

На этом настройка закончена. Теперь для подключения или отключения заходим в программу и нажимаем на кнопку.


Как подключить VPN Android

Подключение на устройстве Android выполняется таким же образом как и в IOS:

  1. Скачиваете и устанавливаете программу
  2. Вводите в браузере https://Х.Х.Х.Х: (где Х.Х.Х.Х – IP вашего сервера). Игнарируем надпись «Подключение не защищено»
  3. Вводим логин и пароль. Листаем в самый низ, нажимаем надпись «Yourself (user-locked profile)»и скачиваем файл настроек.
  4. Нажимаем на скаченный файл. Откроется программа OpenVPN
  5. Добавляете настройки VPN
  6. Подключаетесь нажав кнопку.

Видео инструкция создания своего VPN


Не забывайте подключать впн, когда пользуетесь бесплатным wifi в кафе или развлекательном центре. Если у вас остались вопросы, задавайте их в комментариях.

Как настроить свой собственный VPN-сервер

Читайте, как настроить VPN-сервер на своём ПК, с использованием специального оборудования или стандартными способами Windows.VPN (англ. Virtual Private Network ) – виртуальная частная сеть – это собирательное общее название технологии, которая обеспечивает возможность одного или нескольких сетевых соединений (логических сетей) поверх другой сети (как вариант – Интернет).

Содержание:

VPN очень полезны, не зависимо от того, где вы их используете: путешествуете ли вы по миру, работает ли вы в офисе или подключены к публичной точке доступа Wi-Fi в кафе в своем родном городе. Только вам необязательно использовать платную услугу VPN – вы можете разместить свой собственный VPN-сервер на дому.

Достаточно важным критерием при создании VPN является показатель скорости загрузки вашего домашнего интернет- соединения. Если пропускная способность очень мала, то вам лучше просто использовать платный VPN-сервис. Поставщики интернет-услуг обычно предлагают гораздо меньшую пропускную способность, чем необходимо для создания виртуальной сети. Тем не менее, если ваше Интернет-соединение обладает достаточной способностью, настройка VPN-сервера дома может быть для вас очень актуальной.

Для чего нужен VPN?

Домашний VPN предоставляет вам зашифрованный туннель – соединение, позволяющее вам использовать открытые публичные сети Wi-Fi для создания подключения к нужной VPN –сети. Вы можете пользоваться VPN с любых устройств на разных операционных системах: Android, iOS, ChromeOS, Windows, Linux или macOS; можете получить доступ к различным сервисам конкретной страны, даже находясь за ее пределами. VPN обеспечит безопасный доступ к вашей домашней сети из любого места. Вы даже можете открыть доступ к сети своим родственникам, друзьям или коллегам, разрешая им использовать сервера, размещенные в вашей домашней сети. Например, это позволит вам обмениваться данными, делиться фото и видео файлами, документами, проектами, иметь возможность постоянно общаться и быть на связи. Также вы можете играть в компьютерные игры, предназначенные для локальной сети, – хотя есть и более простые способы настройки временной сети для игр с друзьями.

VPN-сеть также полезна для подключения к различным услугам во время поездок. Например, вы можете использовать Netflix или другие сервисы для получения потокового видео во время поездок, воспользоваться любой библиотекой или каталогом фильмов и записей.

Способ 1. Использование маршрутизатора с возможностями VPN

Вместо того, чтобы пытаться настроить VPN самостоятельно, вы можете сразу купить готовое предварительно настроенное VPN-решение. Высокопроизводительные домашние маршрутизаторы (роутеры) часто продаются со встроенными VPN-серверами – просто найдите беспроводной маршрутизатор, в котором присутствует такой сервер. Зачастую это роутеры в средней и высокой ценовых диапазонах. Затем вы можете использовать веб-интерфейс вашего маршрутизатора для активации и настройки VPN-сервера. Обязательно проверьте и выберите такой маршрутизатор, который поддерживает тот тип VPN, который вы хотите использовать.

Способ 2. Используйте маршрутизатор, поддерживающий DD-WRT или другую стороннюю прошивку

Пользовательская прошивка маршрутизатора – это, в основном, новая операционная система, которую вы можете использовать на своем маршрутизаторе взамен имеющейся стандартной операционной системы маршрутизатора. DD-WRT является самой популярной прошивкой, но также хорошо работает и другие операционные системы, например OpenWrt.

Если у вас есть маршрутизатор, поддерживающий использование DD-WRT, OpenWrt или любую другую стороннюю операционную систему, то вы можете запустить его с помощью этой прошивки, чтобы получить больше возможностей. DD-WRT и другая аналогичная прошивка включают в себя встроенную поддержку VPN-сервера. Поэтому вы можете размещать VPN-сервер даже на тех маршрутизаторах, которые изначально поставляются без программного обеспечения, поддерживающего создание и управление VPN-сервером.

Обязательно выбирайте маршрутизатор со встроенной поддержкой сторонних производителей операционных систем. Выполните установку пользовательской прошивки маршрутизатора и включите VPN-сервер.

Способ 3. Создайте свой собственный выделенный VPN-сервер

Вы также можете просто использовать программное обеспечение для настройки VPN-сервера на одном из своих компьютеров.

Приложение Apple Server (также как и Windows) предлагает встроенный способ размещения VPN-сервера. Тем не менее, это не самые мощные и безопасные варианты. И они могут быть слишком требовательны, чтобы настроить VPN-сервер и заставить его работать правильно.

Вы также можете установить сторонний VPN-сервер, такой как OpenVPN. VPN-серверы доступны для каждой операционной системы, от Windows до Mac и Linux. Вам просто нужно перенаправить соответствующие порты с вашего маршрутизатора на компьютер, на котором запущено серверное программное обеспечение.

Существует также возможность переоборудования собственного выделенного устройства в VPN-сервер. Вы можете взять одноплатный компьютер Raspberry Pi (малинка) и установить программное обеспечение сервера OpenVPN, превратив его в легкий, маломощный VPN-сервер. Вы даже можете установить на него другое серверное программное обеспечение и использовать его в качестве многоцелевого сервера.

Где еще можно разместить собственный VPN-сервер

Есть еще один вариант, который находится посередине между размещением VPN-сервера на вашем собственном оборудовании и оплатой услуг VPN-провайдера, который предоставляет вам VPN-сервис и удобное приложение.

Вы можете разместить свой собственный VPN-сервер на веб-хостинге. И на самом деле, это поможет сэкономить вам небольшую сумму, чем если бы вы воспользовались услугами выделенного VPN-провайдера. Вы заплатите хостинг-провайдеру за серверный хостинг, а затем установите VPN-сервер в том месте, которое они вам предоставили.

В зависимости от возможностей и стоимости пакетов услуг хостинг-провайдера это может быть быстрый способ подключения, когда вы добавляете VPN-сервер и получаете контрольную панель управления к нему. Или может вам придётся заняться настройкой сервера вручную полностью с самого начала.

При настройке VPN дома вы, вероятно, захотите настроить динамический DNS на своем маршрутизаторе. Динамический DNS всегда отслеживает изменения вашего IP-адреса и связывает его с актуальным, на данный момент, IP-адресом вашего компьютера. Это даст вам простую возможность всегда получать доступ к своей VPN, даже если IP-адрес вашего домашнего интернет-соединения изменился.

Однако, очень важно, не забыть настроить безопасный VPN-сервер. Вам нужна надежная безопасная сеть, чтобы никто не мог к ней подключиться без соответствующего разрешения. Это может быть вариант защиты с использованием пароля (но, желательно, регулярно его менять). Или другой вариант, как предлагает OpenVPN, использовать предустановленный ключ, один из самых простых способов надежной аутентификации.

настройка соединения, способы маскировки + видео

Май 18th, 2016 Павел Карманов

Все больше кафе, гостиниц и других общественных мест обзаводятся собственными сетями Wi-Fi. Но, используя незащищенный трафик, владельцы устройств ставят под угрозу безопасность собственных данных. Поэтому возрастает и актуальность частных сетей. Чтобы обезопасить себя, можно создать VPN-подключение. О том, что это такое и как его правильно настроить в системе Windows 7, читайте в нашей статье.

Что такое VPN-подключение и зачем оно нужно

Данная технология подразумевает под собой защищённую сеть, созданную поверх незащищённой сети. VPN-клиент, используя публичную сеть, через специальные протоколы подключается к VPN-серверу. Сервер принимает запрос, проверяет подлинность клиента и после этого передает данные. Это обеспечивается средствами криптографии.

Возможности VPN позволяют использовать её для следующих целей:

  1. Скрыть свой реальный IP и стать анонимным.
  2. Скачать файл из сети, в которой ограничен доступ для IP адресов страны пользователя (если использовать IP-адрес страны, у которой есть доступ к данной сети.
  3. Шифровка передаваемых данных.

Как настроить соединение?

  1. Через «Пуск» открыть «Панель управления», затем запустить «Центр управления сетями и общим доступом».

    Выбрать область «Центр управления сетями и общим доступом»

  2. Пройти по ссылке «Настройка нового подключения или сети».

    Чтобы создать новое подключение или сеть, нужно кликнуть на соответствующую строку в списке

  3. Нажать «Подключение к рабочему месту».

    Выбрать «Подключение к рабочему месту»

  4. Выбрать «Использовать мое подключение к Интернету (VPN)».

    Выбрать «Использовать мое подключение к Интернету (VPN)»

  5. В поле «Интернет адрес» ввести адрес своего VPN-сервера.
  6. Чтобы его узнать, нужно запустить инструмент «Выполнить» (Win + R) и вести cmd.

    Нужно ввести в строку cmd и нажать «Enter»

  7. Затем написать команду ipconfig, запустить её и найти строку «Основной шлюз», в которой находится искомый адрес.

    Нужен тот адрес, который находится в строке «Основной шлюз»

  8. Теперь нужно вставить адрес и отметить галочкой пункт «Не подключаться сейчас…» и нажать «Далее».

    Ввести в поле полученный адрес, поставить галочку напротив пункта «Не подключаться сейчас…»

  9. Ввести логин и пароль, которые предоставил провайдер и нажать «Создать».

    Ввести логин и пароль

  10. Закрыть окно.
  11. Снова открыть «Центр управления сетями и общим доступом» и нажать «Изменение параметров адаптера».

    Пройти по ссылке «Изменение параметров адаптера»

  12. Здесь появился значок VPN-подключения. Чтобы выполнить соединение, нужно кликнуть на иконку правой кнопкой мыши и нажать «Подключить». Чтобы отключить — также кликнуть ПКМ на значке и нажать «Отключить».

    Здесь находится значок VPN-подключения, через который можно выполнить соединение или отключить

  13. В открывшемся окне нужно ввести логин и пароль и соединиться.

    Ввести логин и пароль (если нужно) и нажать «Подключение»

Видео: создание и настройка VPN

Возможные ошибки и пути решения проблем

400 Bad Request

  1. Отключить брандмауэр или другую программу, которая влияет на безопасность и действия в сети.
  2. Обновить версию используемого браузера или использовать другой.
  3. Удалить все то, что браузер записывает на диск: настройки, сертификаты, сохраненные файлы и прочее.

611, 612

  1. Перезагрузить компьютер и проверить, работает ли локальная сеть. Если это не решит проблему, то позвонить в службу техпомощи.
  2. Закрыть некоторые программы, чтобы увеличить производительность системы.

629

Проверить настройки брандмауэра. В крайнем случае его можно отключить, но это нежелательно, так как снизится уровень безопасности.

630

Переустановить драйвера сетевого адаптера.

650

  1. Проверить, работает ли «Подключение по локальной сети».
  2. Проблема с сетевой картой или сетевым кабелем.

738

  1. Возможно, логин и пароль были украдены злоумышленниками.
  2. «Подвисла» сессия. Через несколько минут еще раз попытаться подключиться.

752

  1. Некорректно настроен локальный фаервол.
  2. Изменены атрибуты доступа (международный телефонный номер вместо адреса VPN-сервера).

789

Открыть настройки VPN-подключения, перейти на вкладку «Сеть» и из доступных типов VPN выбрать «Автоматически» или «Туннельный протокол точка-точка (PPTP)». Затем переподключиться.

800

Возможно, повреждён кабель, роутер или маршрутизатор. Если они в порядке, то нужно проверить следующее:

  1. Свойства LAN-соединения. Возможно, они сбились или были удалены. Нужно открыть свойства VPN-подключения, выбрать «Протокол Интернета версии 4 (TCP/IPv4)» и открыть его свойства. Затем проверить правильность параметров: адрес IP, маска подсети, основной шлюз. Как правило, они указаны в договоре провайдера на подключение Интернета. В качестве альтернативы можно поставить галочку напротив пунктов «Получать IP-адрес автоматически» и «Получать адрес DNS-сервера автоматически».
  2. Если используется роутер или маршрутизатор, то в поле «Основной шлюз» стоит 192.168.0.1 (192.168.0.1). Подробнее об этом сказано в инструкции роутера. Если точно известно, что у точки доступа основной шлюз 192.168.0.1 или 192.168.1.1, то адреса IP находятся в диапазоне от 192.168.0.100 (192.168.1.100) и выше.
  3. Конфликт адресов IP (в трее на значке монитора есть жёлтый восклицательный знак). Это значит, что в локальной сети есть компьютер с таким же адресом IP. Если роутера нет, но конфликт есть, значит, используется не тот IP адрес, который указан в договоре с провайдером. В этом случае нужно поменять IP адрес.
  4. Возможно, проблемы с маской подсети или DNS сервера. Они должны быть указаны в договоре. В тех случаях, когда используется роутер, DNS часто совпадает с основным шлюзом.
  5. Выключена или сгорела сетевая карта. Чтобы проверить устройство, нужно нажать «Пуск», выбрать инструмент «Выполнить» и ввести в строку mmc devmgmt.msc. В открывшемся окне кликнуть на «Сетевые адаптеры». Если она выключена (перечеркнута), то нужно ее запустить. Если карта не включается, значит, она сгорела или вышла из слота (второй вариант возможен только в том случае, если карта не встроена в материнскую плату). Если карта работает, то отключить ее и запустить снова. В крайнем случае можно удалить сетевую карту из конфигурации и нажать на иконку «Обновить конфигурацию оборудования». Система найдет сетевую карту и установит ее.
  6. Неправильный адрес сервера VPN. Он должен быть указан в инструкции. Если такой информации нет, то нужно обратиться в техслужбу. Если Интернет работает и без VPN-подключения, то зайти на сайт провайдера и найти адрес VPN-сервера. Он может быть как буквенным (vpn.lan), так и в виде IP-адреса. Чтобы посмотреть адрес VPN-сервера, нужно открыть свойства VPN-подключения.
  7. На личном счёте нет денег.

Независимо от ошибки, если ее не получается устранить самостоятельно, придётся связываться со службой техподдержки.

Как включить автоматический запуск?

  1. Для того чтобы подключение запускалось автоматически, нужно перейти в «Панель управления» — «Сеть и интернет» — «Сетевые подключения». 

    В панеле управления найти VPN

  2. Находим VPN, открываем свойства, далее переходим на вкладку «Параметры» и убираем галочки с «Отображать ход подключения», «Запрашивать имя, пароль» и «Включать домен входа в Windows».
  3. После нужно открыть планировщик заданий Windows. Переходим в «Панель управления» — «Система и безопасность» — «Администрирование» — «Планировщик заданий». Или можно зайти через реестр: Win+R, ввести строку taskschd.msc.

    Открываем планировщик заданий

  4. В меню выбрать «Действие», затем «Создать простую задачу».

    Выбрать «Создать простую задачу»

  5. Потребуется ввести имя и описание — это не имеет значения, поэтому можно использовать любые. Жмём «Далее».

    Введите произволные имя и описание

  6. После вы сможете выбрать, когда запускать подключение. Выбираем «При запуске компьютера».

    Выбрать «При запуске компьютера»

  7. Выбираем «Запустить программу».

    Отмечаем «Запустить программу» и жмём «Далее»

  8. Теперь в поле «Программа или сценарий» пишем: C:\Windows\system32\rasdial.exe

    Заполните поле «Программы и сценарии»

     

  9. Отмечаем галочкой «Открыть «Свойства» для этой задачи после нажатия кнопки «Готово» и нажимаем «Готово».

    Отмечаем нужные пункты и жмём «ОК»

     Система может запросить пароль администратора. В этом случае введите пароль и нажмите «ОК».

После выполненных действий VPN-подключение будет автоматически запускаться при включении Windows. 

Пользователь VPN-подключения может быть уверен, что его личные данные защищены от мошенников. А настроить соединение совсем несложно.

Пишу тексты с осени 2015 года. Наиболее глубокие познания в области IT. Оцените статью: Поделитесь с друзьями!

Как создать VPN сервер в Windows без использования сторонних программ

&nbsp windows

В Windows 8.1, 8 и 7 имеется возможность создания VPN сервера, хотя она и неочевидна. Для чего это может понадобиться? Например, для игр по «локальной сети», RDP подключения к удаленным компьютерам, домашнему хранилищу данных, медиа серверу или же для безопасного использования Интернета с общедоступных точек доступа.

Подключение к VPN серверу Windows осуществляется по протоколу PPTP. Стоит отметить, что сделать то же самое с помощью Hamachi или TeamViewer проще, удобнее и безопаснее.

Создание VPN сервера

Откройте список подключений Windows. Самый быстрый способ сделать это — нажать клавиши Win + R в любой версии Windows и ввести ncpa.cpl, затем нажать Enter.

В списке подключений нажмите клавишу Alt и в появившемся меню выберите пункт «Новое входящее подключение».

На следующем этапе нужно выбрать пользователя, которому будет разрешено удаленное подключение. Для большей безопасности лучше создать нового пользователя с ограниченными правами и предоставить доступ к VPN только ему. Кроме этого, не забудьте установить хороший, годный пароль для этого пользователя.

Нажмите «Далее» и отметьте пункт «Через Интернет».

В следующем диалоговом окне нужно отметить, по каким протоколам будет возможно подключение: если вам не требуется доступ к общим файлам и папкам, а также принтерам при VPN подключении, можно снять отметку с этих пунктов. Нажмите кнопку «Разрешить доступ» и дождитесь завершения создания VPN сервера Windows.

Если потребуется отключить возможность VPN подключения к компьютеру, кликните правой кнопкой мыши по «Входящие подключения» в списке подключений и выберите пункт «Удалить».

Как подключиться к VPN серверу на компьютере

Для подключения вам потребуется знать IP адрес компьютера в Интернете и создать VPN подключение, в котором VPN сервер — этот адрес, имя пользователя и пароль — соответствуют пользователю, которому разрешено подключение. Если вы взялись за эту инструкцию, то с данным пунктом, скорее всего, проблем у вас не возникнет, и вы умеете создавать такие подключения. Однако ниже — кое-какая информация, которая может оказаться полезной:

  • Если компьютер, на котором был создан VPN-сервер, подключен к Интернету через роутер, то в роутере необходимо создать перенаправление подключений порта 1723 на IP адрес компьютера в локальной сети (а этот адрес сделать статическим).
  • С учетом того, что большинство Интернет-провайдеров предоставляют динамический IP на стандартных тарифах, каждый раз узнавать IP своего компьютера может быть затруднительным, особенно удаленно. Решить это можно с помощью таких сервисов как DynDNS, No-IP Free и Free DNS. Как-нибудь напишу о них подробно, но пока не успел. Уверен, в сети хватает материала, который позволит разобраться, что к чему. Общий смысл: подключение к вашему компьютеру всегда можно будет осуществлять по уникальному домену третьего уровня, несмотря на динамический IP. Это бесплатно.

Более подробно не расписываю, потому как статья все-таки не для самых начинающих пользователей. А тем, кому это действительно нужно, вполне будет достаточно вышеизложенной информации.

А вдруг и это будет интересно:

VPN удаленное подключение в Windows 7 и 10 пошаговая инструкция

VPN удаленное подключение в Windows 7 и 10

Сегодня хочу рассказать как просто и быстро настроить VPN соединение в windows 10 и 7

Простая инструкция без вступлений и разжевывания что такое VPN и RDP. Подробности и теория тут если хотите знать более углубленно.

Для начала определитесь есть ли у вас все необходимые данные, чтоб успешно настроить соединение с удаленным сервисом или компьютером по средствам VPN .

Необходимый минимум для доступа по VPN

Администратор сервиса к которому вы подключаетесь по средствам VPN открывает вам доступ и выдает вам:

IP адрес — устройства к которому подключаетесь(может быть в виде URL ссылки).

Ключ идентификации в виде файла или набора символов (своего рода пароль),в зависимости от типа подключения

Логин и пароль — присваивается администратором.

Настраиваем соединение в windows 10

Слева в нижнем углу экрана выбираем меню «Пуск», настройки, выбираем пункт «сети и интернет».

В открывшемся окне соответственно выбираем пункт VPN и Добавить vpn — подключение.

Перед вами откроется окно настройки, непосредственно самого подключения, в котором необходимо ввести данные, в соответствующие поля, о которых говорилось выше.

Поставщик услуг — Windows (встроенные)

Имя подключения — например Работа, просто называете данное соединение чтоб в последствии знать что это за подключение.

Имя или адрес сервера — как правило IP адрес (выглядит примерно так 222.578.45.8.78), иногда URL ссылка (http:\\sait\prostoi)

Тип VPN — что выбрать в данном пункте вам должен сообщить администратор. Как правило используют L2TP/IPsec с предварительным ключом, и выбрав этот пункт добавится еще одно поле куда нужно будет вставить набор символов (этот самый ключ).

Если выбрать более защищенное соединение, например L2TP/IPsec с сертификатом, то сертификат этот должен быть предварительно вам предоставлен и установлен на ваш ПК.

Имя пользователя — думаю понятно что сюда вводим предоставленный вам логин

Пароль — соответственно пароль

Ниже оставляем галочку в поле запомнить и нажимаем сохранить.

При использовании L2TP/IPsec с предварительным ключом выглядит так

В последствии созданное подключение можно найти и посмотреть его статус, а так же отключить или подключить в правом нижнем углу щелкнув по значку сети или в параметрах сетей, там где настраивали.

Настраиваем соединение в windows 7

Тут все относительно просто но более заморочено чем в 10 версии windows.

Итак по порядку, открываем пуск — панель управления — цент управления сетями и общим доступом, затем в открывшемся окне настройка нового подключения

Откроется выбор типа подключения, выбираем VPN подключение к рабочему месту, затем использовать прямое подключение к Интернет

Второй вариант это если у вас нет интернета или вы на прямую подключаетесь по телефону к удаленному устройству.

В следующем окне заполняем поля

Интернет адрес — как правило IP адрес (выглядит примерно так 222.578.45.8.78), иногда URL ссылка (http:\\sait\prostoi)

Имя место назначения — например Работа, просто называете данное соединение чтоб в последствии знать что это за подключение.

Ставим галочку «Не подключатся сейчас …«, так как далее нам нужно будет задать наш L2TP/IPsec предварительный ключ.

Нажав Далее заполняем поля

Пользователь — думаю понятно что сюда вводим предоставленный вам логин

Пароль — соответственно пароль

Нажимаем создать и закрыть, без подключения.

Теперь как правило нам нужно указать наш L2TP/IPsec предварительный ключ или возможно другой параметр дополнительной защиты.

В процессе создания подключения его мы указать и задать не можем.

Подключение создано и теперь открываем его настройки в правом нижнем углу наводим на значок сетей щелкаем левой кнопкой и видим наше созданное VPN соединение. Правой кнопкой щелкаем по нему и выбираем свойства.

Откроется окно в котором выберите вкладку Безопасность, в окне тип VPN выбираем нашу защиту L2TP/IPsec VPN

Ниже нажимаем дополнительные параметры и выбрав, установкой галочки на против пустого окна ключ — собственно вводим туда наш ключ.

Как бы все теперь ок — ок

Для подключения выбираем сеть и подключить.

Напоминаю ключ и все параметры вам должен предоставить ваш системный администратор.

Если есть что добавить оставляйте комментарии.

Всем Удачи!

Как организовать защищённый доступ при помощи VPN / Блог компании «Актив» / Хабр



На март 2017 г. доля вакансий о работе с удаленным доступом, размещенных на hh.ru составляла 1,5% или 13 339 вакансий. За год их число удвоилось. В 2014 г. численность удаленных сотрудников оценивалась в 600 тыс. чел или 1% от экономически-активного населения (15–69 лет). J’son & Partners Consulting прогнозирует, что к 2018 г. около 20% всех занятых россиян будут работать удаленно. Например, до конца 2017 г. Билайн планирует перевести на удаленное сотрудничество от 50% до 70% персонала.

Зачем компании переводят сотрудников на удаленку:


  • Сокращение затрат компании на аренду и содержание рабочих мест.
  • Отсутствие привязки к одной локации дает возможность собирать команду
    проекта, которую никогда нельзя было бы собрать в пределах одного города. Дополнительный плюс – возможность использования более дешевой рабочей силы.
  • Удовлетворение потребности сотрудников в связи с их семейными обстоятельствами.

Мы для себя открыли потребность в VPN более 10 лет назад. Для нас мотиватором предоставления VPN доступа сотрудникам была возможность оперативного доступа в корпоративную сеть из любой точки мира и в любое время дня и ночи.


Вариантов решений достаточно много. Зачастую решение стоит принимать исходя из того, какое оборудование и софт уже используются в компании, навыком настройки какого ПО обладает системный администратор. Начну с того от чего мы отказались сразу, а затем расскажу что мы попробовали в на чем мы в итоге остановились.


VPN в роутерах

Так называемых “китайских решений” на рынке много. Практически любой роутер имеет функциональность встроенного VPN сервера. Обычно это простое вкл/выкл функционала и добавление логинов паролей для пользователей, иногда интеграция с Radius сервером. Почему мы не стали рассматривать подобное решение? Мы прежде всего думаем о своей безопасности и непрерывности работе сервиса. Подобные же железки не могут похвастаться ни надежной защитой (прошивки выходят обычно очень редко, или не выходят в принципе), да и надежность работы оставляет желать лучшего.


VPN Enterprise класса

Если посмотреть на квадрат Гартнера то на VPN рынке уже давно лидирующие позиции занимают компании, которые производят сетевое оборудование. Juniper, Cisco, Check Point: все они имеют комплексные решения решения, в составе которых есть и VPN сервис.


Минусов у подобных решений, пожалуй, два. Первый и главный — высокая стоимость. Второй — скорость закрытия уязвимостей оставляет желать лучшего, а если не платить ежегодные взносы за поддержку, то обновлений безопасности ждать не стоит. Не так давно появился и третий момент — закладки, встроенные в ПО крупных сетевых вендоров.


Microsoft VPN

10 лет назад мы были компанией, ориентированной прежде всего на Windows. Microsoft предлагает бесплатное решение для тех, у кого вся инфраструктура построена на их базе. В простых случаях настройка не вызывает сложностей даже у начинающего системного администратора. В нашем случае мы хотели выжать из VPN все с точки зрения безопасности, соответственно, использование паролей было исключено. Мы естественно хотели использовать сертификаты вместо паролей и для хранения ключевой пары использовать свой продукт Рутокен ЭЦП. Для реализации проекта нам нужно было: контроллер домена, радиус сервер и правильно поднятая и настроенная инфраструктура PKI. Подробно на настройке я останавливаться не буду, в интернете есть достаточно много информации по данным вопросам, а правильная настройка PKI вообще может потянуть на десяток статей. Первым протоколом, который мы использовали у себя, был протокол PPTP. Долгое время данный вариант VPN нас устраивал, но в конечном итоге нам пришлось отказаться от него по двум причинам: PPTP работал далеко не везде и мы начинали пользоваться не только Windows, но и другими операционными системами. Поэтому мы стали искать альтернативы. Замечу, что поддержка PPTP не так давно была прекращена apple. Для начала мы решили посмотреть, что еще из протоколов может предложить на Microsoft. SSTP/L2TP. SSTP нас устраивал всем, за исключением того, что он работал только на Windows. L2TP данным недостатком не обладал, но его настройка и поддержание его в работе показались нам достаточно затратными и мы решили попробовать альтернативы. Хотелось более простого решения, как для пользователей, так и для администраторов.


OpenVPN

Мы в компании “Актив” искренне любим open source. Выбирая замену Microsoft VPN мы не могли обойти стороной решение OpenVPN. Основным плюсом для нас было то, что решение «из коробки» работает на всех платформах. Поднять сервер в простом случае достаточно просто. Сейчас, используя docker и, к примеру готовый образ, это можно сделать за несколько минут. Но нам хотелось большего. Нам хотелось добавить в проект интеграцию с Microsoft CA, для того, чтобы использовать выданные ранее сертификаты. Нам хотелось добавить поддержку используемых нами токенов. Как настраивать связку OpenVPN и токены описано к примеру вот в этой статье. Сложнее было настроить интеграцию Microsoft CA и OpenVPN, но в целом тоже вполне реализуемо. Получившимся решением мы пользовались около трех лет, но все это время продолжали искать более удобные варианты. Главной возможностью, которую мы получили, перейдя на OpenVPN, был доступ из любой ОС. Но остались еще две претензии: сотрудникам компании нужно пройти 7 кругов ада Microsoft CA для выписывания сертификата, а администраторам по-прежнему приходилось поддерживать достаточно сложную инфраструктуру VPN.


У нас есть знание, как использовать токены в любых операционных системах, у нас есть понимание, как правильно готовить инфраструктуру PKI, мы умеем настраивать разные версии OpenVPN и мы имеем технологии, которые позволяют управлять всем этим удобным для пользователя образом из окна браузера. Так возникла идея нового продукта.



Настройка Рутокен VPN

Мы действительно постарались сделать настройку простой и понятной. Вся настройка занимает всего несколько минут и реализована как мастер начальной настройки. На первом шаге нужно настроить сетевые настройки устройства, думаю комментарии здесь будут лишними.



На втором шаге нужно ввести название компании и подождать несколько минут, пока устройство произведет настройку встроенного центра сертификации.





Третьим шагом необходимо настроить сам VPN сервис. Указать внешний IP, на который будет происходить подключение. Выбрать тип шифрования и адресацию сети.



Четвертым шагом настройки мы создаем локальных пользователей, или добавляем их из AD



На этом настройку можно считать завершенной, все остальные действия может произвести сам сотрудник (хотя все может сделать и администратор).


Личный кабинет сотрудника

После того, как администратор добавил пользователей, сотрудник может воспользоваться порталом самообслуживания.



В зависимости от операционной системы и браузера сотрудника, понадобится установить плагин и расширение для браузера, которые необходимы для работы с токенами.



После установки плагина/расширения нам остается лишь сгенерировать сертификат себе на Рутокен ЭЦП.





И установить клиент под нужную операционную систему:




Как все это работает?

Немного об аппаратной части. Изначально мы долго думали, какую “базу” использовать для нашего решения, так как нужно было соблюдать баланс между стоимостью, удобством, производительностью. После исследований, что предлагается на рынке, мы остановились на двух вариантах реализации и дальнейшего распространения решения:


  • x86 (Enterprise) – программное решение, которое предоставляется конечному потребителю в виде образа виртуальной машины, который можно развернуть в рамках своей ит-инфраструктуры.

  • Raspberry Pi – уже достаточно известный микрокомпьютер, который обладает вполне неплохой производительностью при не самой высокой стоимости и который можно начать использовать как VPN-сервер уже через 10 минут после того, как его в прямом смысле вынули из коробки.

Итак, теперь рассмотрим то, как работает наше решение. Первично хочется напомнить, что у нас реализована двухфакторная аутентификация. В качестве носителей клиентских закрытых ключей и сертификатов используются токены собственного производства, а также программное обеспечение для работы с ними.

Но изначально, нам все же нужно осуществить настройку сервисов, которые требуются для корректной работы продукта. Настройка сервисов осуществляется на текущий момент специалистами нашей компании в полуавтоматическом режиме. Это значит, что автоматизирован процесс деплоя программного обеспечения и первичных настроек, но инициализация данного процесса пока остается привилегией человека. Во время первичной настройки устанавливаются системные пакеты, python, django, OpenVPN, supervisor, OpenSSL и пр.

А что же дальше? Далее необходимо настроить всю инфраструктуру, которая собственно и отвечает в целом за безопасность. А именно: CA (центр сертификации), PKI (инфраструктура открытых ключей), выписать необходимые ключи и сертификаты.

Создание PKI и CA, а также формирование файла конфигурации OpenVPN-сервера, генерация ключей и выписывание сертификатов осуществляется уже после передачи продукта клиенту. Но это не значит, что для этого необходимо иметь какие-то специфические знания и прямой доступ к операционной системе. Все реализовано в бизнес-логике бэкенда системы администрирования, доступ к которой предоставляется через Web-интерфейс. От клиента требуется только ввести минимальный набор атрибутов (описано выше), после чего стартует процесс инициализации PKI и создания СА. Описывать конкретные вызовы системных команд смысла особого нет, так как уже давно все описано и разжевано до нас. Главное, что мы сделали — это автоматизировали данный процесс, избавив пользователя от необходимости обладать специфическими знаниями в администрировании.

Для работы с ключами и сертификатами мы решили не изобретать велосипед (хотя очень хотелось и до сих пор вынашиваем мысль его изобрести исходя из наших дальнейших планов развития продукта) и используем easy-rsa.

Самый долгий процесс при настройке инфраструктуры – это генерация файла Diffie-Hellman. Мы долго экспериментировали с параметрами и пришли к балансу “качество-производительность”. Хотя были мысли вообще избавиться от данного шага, нагенерировать таких файлов заранее, используя наши серверные мощности и просто “раздавать” их во время первичной инициализации. Тем более, что данные, содержащиеся в этом файле не являются приватными. Но пока мы оставили эти мысли для дальнейших “изысканий”.

Далее необходимо предоставить конечному пользователю механизм самостоятельного создания ключевых пар, формирования запросов на выписку сертификата в CA и собственно получение данного сертификата с записью на токен. А так же необходим клиент, позволяющий установить VPN-соединение с предварительной аутентификацией на токене.

Первую задачу мы решили благодаря нашему плагину который реализует функциональность электронной подписи, шифрования и двухфакторной аутентификации для Web- и SaaS-сервисов. Для того, чтобы выписать сертификат и записать его на токен, пользователь должен установить данный плагин, перейти по ссылке чтобы попасть в личный кабинет сервиса RutokenVPN, предварительно подключив токен к компьютеру (подробнее о плагине можно прочитать на нашем ресурсе )

При инициализации процесса выписывания сертификата, осуществляется запрос на токен для генерации ключевой пары а также запрос на выписку сертификата в CA. Приватный ключ записывается на токен, а запрос на выписку сертификата отправляется в СА, который в свою очередь осуществляет его выписывание и возвращает в ответе. После чего сертификат так же записывается на токен.

Почти все готово для установления VPN-соединения. Не хватает клиента, который “знает”, как работать с сервером и нашими токенами.



Наш клиент реализован на Electron. Кто не в курсе, что это за зверь, то если совсем кратко – возможность реализовать десктопное приложение, используя js, css и html. Не вдаваясь в подробности, клиент является неким “враппером” над OpenVPN-клиентом, позволяющим осуществлять его вызовы с нужными параметрами. Почему именно так? На самом деле нам было так удобней, хотя выбранное решение и накладывает определенные ограничения.

Так как мы используем токен как носитель ключевой информации, необходимой для аутентификации при установлении VPN-сессии, то нам нужно сконфигурировать OpenVPN-клиент для работы с ним. Провайдером PKCS#11 является библиотека собственной разработки для работы с нашими токенами, путь к которой и прописывается в настройках OpenVPN клиента. Подробнее о ней можно почитать здесь.

При запросе на установку VPN-соединения, запрашивается PIN-код ключа, при корректном вводе извлекается сертификат для аутентификации клиента, осуществляется хэндшейк клиента с сервером и устанавливается VPN-соединение. Знающие люди могут возразить, что не все так просто, но целью данного описания не является рассказать все тонкости работы OpenVPN, а только осветить основные моменты нашей реализации.

Немного о наших планах. Основное, над чем сейчас мы работаем — это реализация ГОСТ-шифрования. Уже пройден достаточно большой путь исследований, позволивший нам максимально приблизиться к ее реализации. В ближайшее время сможем удовлетворить интерес потенциальных клиентов в данной функциональности.

Настройка VPN сервера и клиентского компьютера

Чтобы разобраться с настройкой VPN, необходимо понимать, что же это такое. VPN (Virtual Private Network) – это виртуальная частная сеть. В неё входит группа протоколов, с помощью которых можно организовать визуальную сеть поверх незащищенной сети. Её используют для того, чтобы получить доступ в интернет, доступ в корпоративную сеть и объединение её сегментов.

На какие типы делят VPN?

VPN делятся на:

  • PPTP (Point-to-point Tunneling Protocol) – туннельный протокол типа точка-точка. Такой протокол организовывает защиту соединения. Для этого создаётся туннель поверх стандартной сети. На данный момент этот тип протокола не рекомендуют, потому что он считается самым небезопасным протоколом. Как организовать такой протокол? Для настройки используются 2 сетевые сессии: PPP и TCP сессия. Для установки PPP сессии необходим протокол GRE. Эту сессию устанавливают для передачи данных. Для управления используется соединение на TCP порту. Из-за такого «строения» протокола в гостиничных и мобильных операторах могут появиться проблемы.
  • L2TP (Layer 2 Tunneling Protocol). Этот протокол лучше, чем предыдущий. Он базируется на двух протоколах: PPTP и L2F. В нём объединяется каналы данных и управления, также добавляется шифрование, что делает его более безопасным.Помимо этого, есть ещё одно преимущество L2TP перед PPTP — L2TP намного легче воспринимается большинством брандмауэров, в отличие от PPTP.
  • SSTP(Secure Socket Tunneling Protocol) – протокол безопасного туннелирования сокетов. Он основывается на SSL, который является безопасным уровнем сокета и построен на криптографической системе с использованием открытого и закрытого ключа. SSTP допускает создание защищенного соединения из любого места с помощью HTTPS и открытого порта 443. Его самым важным достоинством является эффективное использование сетевых ресурсов.

Для чего используются VPN?

Давайте более детально рассмотрим самые частые сферы применения VPN:

  • Выход в сеть интернета. Зачастую, используется провайдерами городских сетей. Но также этот способ достаточно популярен и в сетях предприятий. Главное его преимущество заключается в обладании высоким уровнем безопасности. Этому факту способствует осуществление доступа в интернет через две различные между собой сети. Это позволяет задать для них различные уровни безопасности. Классическое решение подразумевает в себе раздачу интернета в корпоративную сеть. В этом случаи выдержать уровни безопасности для локального и интернет трафика практически невозможно.
  • Доступ в корпоративную сеть снаружи. Также существует возможность объединения сетей всех филиалов в одну сеть. Эта функция и есть основной целью разработчиков VPN – возможность организации безопасной работы в единой корпоративной сети для пользователей, месторасположения которых вне предприятия. Достаточно широко применяется в качестве соединителя территориально-разнесенных подразделений, обеспечения выхода в сеть для сотрудников, которые находятся в командировке или же в отпуске, открывает возможность работать, не выходя из собственного дома.
  • Объединение компонентов корпоративной сети. Чаще всего сеть предприятия включает в себя определенное количество сегментов, которые имеют различные уровни безопасности и доверия. В этой ситуации для взаимодействия между сегментами можно применить VPN. Это решения считается наиболее безопасным, если сравнивать его с простым соединением. Поступивши таким образом можно организовать доступ сети складов к отдельным ресурсам сети отдела реализации. В связи с тем, что это отдельная логическая сеть, для нее можно задать нужные требования по безопасности и при этом не вмешиваться в функциональный процесс отдельных сетей.

Особенности настройки VPN соединения

Присутствует большая вероятность того, что клиентами VPN будут рабочие станции под управлением операционной системы Windows. Но необходимо выделить, что сервер может беспрепятственно выполнять свои основные функции как под Windows, так и под Linux или BSD. В связи с этим мы приступим к рассмотрению Windows 7. Не стоит останавливать свое внимание на базовых настройках. В них нет ничего сложного, и они понятны абсолютно каждому пользователю. Нужно остановиться на одном тонком нюансе:

  • Во время подключения стандартного VPN соединения главный шлюз будет указан для VPN сети, иными словами, на клиентской машине интернет полностью исчезнет или же будет использоваться через подключения в какой-либо удаленной сети. Такое неудобство может привести к существенным финансовым затратам – двойной оплате трафика (первый раз оплачивается удаленная сеть, а во второй раз сеть провайдера). Чтобы не допустить таких ситуаций необходимо на закладке «Сеть», в свойствах протокола TCP/IPv4, нажать кнопку «дополнительно» и в новом открытом окне снять галочку с позиции «Использовать основной шлюз в удаленной сети». На рисунке можно визуально ознакомиться с этим действием.

Этот вопрос не требовал подробного рассмотрения, если бы не массовые возникновения проблем и незнание причин такого странного поведения VPN соединения у многих системных сотрудников.

Что же такое маршрутизация? Если особо не вдавться в подробности темриналогий то можно сказать, что это совокупность правил, которые определяют маршрут следования данных в связных сетях. Их можно сравнить с дорожными указателями и разметкой. Представьте себе ситуацию: вы попали в совершенно чужой для вас город, где отсуствуют какие-либо знаки и разметка на перекрестках. Вы впадаете в растерянность. Аналогичная ситуация происходит и в сетях. Люые сетевые пакеты осуществляют свое передвижение согласно определенному набору правил – таблиц маршрутизации. Именно благодаря им можно отправить документ на сетевой принтер для его распечатки, а электронное письмо попадет точно адрессату.

Если же вы желаете использовать VPN соединение в качестве работы удаленных клиентов в корпоративной сети, то возникает необходимость настройки маршрутов. Если же не провести этот процесс, то, как тогда пакет самостоятельно определит, что ему необходимо именно через туннель попасть в вашу корпоративную сеть? Вы же не указываете в почтовом письме или телеграмме, что ее нужно доставить «бабушке в деревню».

На сегодняшний день известны несколько способов построения виртуальной сети. Каждый из них подразумевает в себе свою уникальную схему маршрутизации. Давайте рассмотрим их подробней:

Все клиенты получают адреса из диапазона локальной сети

Этот вариант функционирует только при условии поддержки со стороны Proxy ARP, позволяющий объеденить две не связные между собой сети в одну целую. Считается, что все хосты расположены на одной физической сети и обмениваются траффиком без дополнительной маршрутизации.

Основными преимуществами этого способа являются простота и полный доступ к сети удаленных клиентов. Однако в таком случае вы получаете низкий уровень безопасности и невозможность разграничения доступа между пользователями локальной сети и VPN клиентам.

В результате клиенты могут получить адреса из диапазона, не являющегося частью локальной сети, но который маршрутизируется из нее.

В таком случае удаленные клиенты выделяются в отдельную подсеть (на картинке это 10.0.1.0/24). При этом на рисунке видно, что обе подсети могут быть составляющими общей сети — 10.0.0.0/23. Таким образом, управление структурой может осуществляться с помощью маршрутизации или маски подсети.

Первый вариант заключается в перемещении компьютеров в сеть 10.0.0.0/23 (для этого необходимо изменить маску сети на 255.255.254.0), что предоставит ему доступ к обеим подсетям.

Второй вариант состоит в направлении пакетов из одной подсети в другую с помощью шлюза. Этот способ лучше подходит для этой ситуации, так как мы получим возможность настраивать правила для разных подсетей, создавая разные уровни доверия.

Для того чтобы получить доступ с клиентского компьютера, находящегося в одной подсети, в другую, следует использовать статическую маршрутизацию. Записи будут иметь такой шаблон:

X.X.X.X mask Y.Y.Y.Y Z.Z.Z.Z

В этом шаблоне сеть — Х.Х.Х.Х, маска сети — Y.Y.Y.Y, а шлюз — Z.Z.Z.Z. для того чтобы добавить маршрут в ОС Windows нужно воспользоваться командой routeadd. Общая запись команды выглядит так:

routeadd X.X.X.X mask Y.Y.Y.Y Z.Z.Z.Z

В ОС Linux запись немного меняет свою форму, но в целом остается неизменной:

routeadd -net X.X.X.X netmask Y.Y.Y.Y gw Z.Z.Z.Z

Стоит отметить, что команды действуют до первой перезагрузки. Хотя это создает определенные трудности, этим свойством можно воспользоваться при ошибке в создании маршрута. После того как вы убедились, что всё работает правильно, следует добавить постоянные маршруты. Для этого к уже известной нам команде следует добавить ключ –p:

routeadd X.X.X.X mask Y.Y.Y.Y Z.Z.Z.Z -p

Чтобы осуществить это в Ubuntu, после описания интерфейса в файле /etc/network/interfaces, следует добавить строку:

uprouteadd -net X.X.X.X netmask Y.Y.Y.Y gw Z.Z.Z.Z

Теперь вернемся к маршрутам. Для того чтобы предоставить доступ к локальной сети, следует для удаленных клиентов прописать к ней маршрут:

10.0.0.0 mask 255.255.255.0 10.0.1.1

И наоборот: для осуществления доступа из локальной сети к ПК удаленных клиентов следует прописать

10.0.1.0 mask 255.255.255.0 10.0.0.1

Такую схему рекомендуется использовать в большинстве случаев, ведь вы сможете регулировать права клиентов в локальной сети.

Удаленные клиенты имеют адреса, которые не являются частью локальной сети, но могут из нее маршрутизироваться.

Обратите внимание, что эта схема не рассчитана на маршрутизацию из локальной сети в удаленную. Зачастую она используется для предоставления доступа клиентам с низкой степенью доверия. Таким образом, клиентам доступны только опубликованные в VPN ресурсы. Стоит отметить, что для доступа к локальной сети этого недостаточно — дополнительно следует настроить сервер на трансляцию пакетов из удаленной сети в локальную и обратно.

Публикацию ресурса в сети VPN можно осуществить следующими путями: с помощью размещения его на VPN сервере и разрешению доступа к нему из удаленной сети, путем прокинутого порта в удаленную сеть или же подключения ресурса в роли клиента сети. Ниже представлена схема, на которой изображен сервер терминалов с маршрутом 10.0.0.2, доступный по адресу 172.16.0.2 удаленной сети.

VPN Соединение двух подсетей

Приведенная схема служит для соединения нескольких подсетей в целостную единственную сеть. Такая сеть имеет более сложную структуру. Однако если понять процесс направления пакетов через интерфейсы, сразу все становится на места. При данных условиях X.X.X.X — IP адрес основного офиса, а филиалы имеют серые IP адреса. Роутер офиса осуществляет подключение в качестве клиента. На нем находится VPN сервер.

Теперь поговорим о маршрутизации. Клиенты подсети LAN1 производят передачу пакетов к подсети LAN2 на сетевой шлюз роутера. Равным образом роутер передает пакеты на противоположный конец VPN туннеля. Точно такая же маршрутизация должна быть проведена для подсети LAN2.

Для этого необходимо написать маршрут к LAN2 на клиентах подсети LAN1:

10.0.1.0 mask 255.255.255.0 10.0.0.1

Нужно также прописать маршрут другого конца туннеля на роутере LAN1:

10.0.1.0 mask 255.255.255.0 172.16.0.2

Для клиентов LAN2 маршруты должны иметь следующий вид:

10.0.0.0 mask 255.255.255.0 10.0.1.1

PPTP является простым в реализации протоколом. Но не стоит забывать о том, что не нужно использовать его при работе с важнейшими данными, поскольку PPTP – слабозащищенный протокол.

Созданная нами в тестовой лаборатории схема, которая поможет практически ознакомиться с технологией:

Мы имеем локальную сеть 10.0.0.0/24, в которой расположен роутер, выполняющий функции VPN сервера терминальный сервер. Для VPN была закреплена сеть с маршрутом 10.0.1.0/24. Наружный вид сервера имеет условленный адрес X.X.X.X. Нам необходимо предоставить доступ удаленным клиентам к ресурсам терминального сервера.

Настройка сервера PPTP

Устанавливаем пакет pptpd:

sudo apt-get install pptpd

Далее запускаем /etc/pptpd.conf и задаем наиболее важные настройки VPN сервера. Для этого указываем в конце файла адрес сервера:

localip 10.0.1.1

Для выдачи клиентам указываем диапазон адресов:

remoteip 10.0.1.200-250

Не перезапустив pptpd, невозможно будет увеличить количество адресов, поэтому необходимо задавать их с запасом. Необходимо также найти и переписать строку:

bcrelay eth2

Существует две опции, которые возможно использовать. Это listen и speed. С помощью listen указывается IP адрес от локального интерфейса. Нужно это с целью прослушивания РРТР-соединения. Второй – speed – позволяет с точностью показать VPN-соединения в бит/с. В качестве примера можно взять разрешение для серверов прием РРТР-соединения, но лишь при внешнем интерфейсе:

listen X.X.X.X

В файле /etc/ppp/pptpdoptions находятся настройки намного тоньше. Принимая настройки «по умолчанию», это будет наиболее соответствовать необходимым требованиям. Для лучшего представления стоит рассказать о нескольких из них.

За шифровку приложенных данных, а также проверку на подлинность несет ответственность секция #Encryption. Любой предположительно опасный протокол типа CHAP, PAP и MS-CHAP, устаревшие протоколы запрещаются опциями:

refuse-pap
refuse-chap
refuse-mschap

Следующим этапом является применение протокола проверки на подлинность (MS-CHAP v2, а также 128-битное MPPE-128):

require-mschap-v2
require-mppe-128

Далее стоит упомянуть о секции #Network и Routing. Секция для использования DNS-серверов, ориентируясь на внутреннюю сеть. Почему это, вероятнее всего, станет весьма выгодным? Потому что позволяет обратить сигнал напрямую к компьютеру через имена, не исключительно через IP. Такое возможно при содержании в DNS всех портативных компьютеров. Но в нашей ситуации вышеуказанная опция совершенно бесполезна. В этом случае нужно всего лишь ввести адрес WINS-сервера через опцию ms-wins.

В том же разделе имеется proxyarp опция. Она включает в себя поддержание с помощью сервера Proxy ARP.

Следующая секция #Miscellaneous и содержащаяся в ней lock-опция. Лимитирует возможности любого клиента всего лишь через одно подключение.

Настраивание сервера вполне можно считать завершенным процессом. Последнее, что осталось, это разработать самих пользователей. Для того чтобы сделать это, внесите в /etc/ppp/chap-secrets все нужные записи:

ivanov * 123 *
petrov * 456 10.0.1.201

Первая запись дает возможность подключиться к серверу пользователю, пароль которого 123, а также присваивается персональный IP-адрес. Вторая запись создает следующего пользователя. Она так же выдает ему постоянный адрес (10.0.1.201).

Далее нужно перезапустить pptpd:

sudo /etc/init.d/pptpd restart

Обратите внимание! В тех случаях, когда pptpd отказывает в перезапуске, виснет, /var/log/syslog выдает строчку о long config file line ignored, незамедлительно вводите в конце файла /etc/pptpd.conf перенос строчки.

Наконец, сервер полностью подготовлен к работе.

Настройка клиентского компьютера

В большинстве случаев для VPN соединения подходят настройки «по умолчанию», но не будет лишним указать конкретный тип соединения и отключить протоколы шифрования, которые не будут использоваться.

После этого, нужно прописать адреса статических маршрутов и основного шлюза, при этом учитывая особенности структуры сети. Данные вопросы рассматривались в прошлых разделах.

После установки VPN соединения можем пропинговать любой компьютер, входящий в локальную сеть, так мы без особого труда получаем доступ к терминальному серверу:

Внимание, еще одно важное замечание! Зачастую доступ к ПК в локальной сети будет осуществляться по IP адресам. Имеется в виду – путь \\\\10.0.0.1 будет рабочим, а \\\\SERVER – не будет работать. Такой вариант будет весьма непривычным для пользователей и может вызвать дополнительные трудности. От этих проблем можно избавиться несколькими способами:

  1. Если ваша сеть построена на основе доменной структуры, тогда необходимо для VPN соединения адресом DNS-сервера указать адрес сервера контроллера домена. Можно воспользоваться функцией в настройках сервера ms-dns в /etc/ppp/pptpd-options и данные настройки клиентом будут получаться автоматически.
  2. Если в вашей сети отсутствует DNS сервер, тогда можно создать WINS-сервер и аналогично настроить для него автоматическую передачу данных для клиентских компьютеров, используя опцию ms-wins.
  3. Если количество удаленных клиентов невелико, вы можете настроить файлы hosts на каждом из компьютеров, прописав в них строку вида: 10.0.0.2 SERVER. Файл hosts вы можете найти в папке (C:\\Windows\\System32\\drivers\\etc\\hosts).

Основой нашего сервера стал маршрутизатор, использующий WindowsServer 2008 R2. Настройка сервера рассматривалась ранее. Настройки актуальны и для серверов на основе WindowsServer 2003 – 2008 с небольшими особенностями.

Настройка закончена и, в крайнем случае, в процессе запуска мастера, необходимо будет выбрать нужную конфигурацию. При открытии диспетчера сервера, в ролях нужно найти «маршрутизация и удаленный доступ» зайти в ее свойства (открывается при помощи правой кнопки мыши). В появившемся окне, нужно установить переключатель «IPv4» в состояние локальной сети и вызова по требованию и установить галочку напротив «IPv4 сервер удаленного доступа«.

После данных манипуляций нужно в закладке «безопасность» выбрать проверку подлинности при помощи протокола MS-CHAPV2 и запретить подключение без проверки.

Далее следует еще одна закладка IPv4. На ней нужно обозначить из какого диапазона значений клиенты VPN сети будут получать свои адреса, и установить интерфейс, который будет принят подключением.

После сохранения изменений, служба перезапустится и добавится роль VPN сервера. В консоли (левая часть) должен появиться пункт «порты», в его свойства нам и нужно зайти. По умолчанию система создает 5 PPTP и 5 L2TP портов. В настройках PPTP устанавливаем галочки напротив подключения по требованию и подключения удаленного доступа. Кроме этого, необходимо указать максимальное количество портов. Все лишние порты рекомендуется отключить.

На данном этапе настройка сервера может считаться оконченным действием. Необходимо лишь определить количество пользователей, для которых будет доступен удаленный доступ к серверу.

Настройка доступа производится разделе локальных пользователей и групп, где находим «свойства пользователя» и разрешаем доступ в разделе «права доступа к сети» во «входящих звонках».

Чтобы удостовериться в правильности всех настроек, нужно подключиться из клиентского компьютера, при этом выбрав нужный нам тип проверки доступа. Список подключенных клиентских компьютеров можно увидеть в консоли, где расположен пункт «Клиенты удаленного доступа».

Для произведения диагностики проблем с подключением в первую очередь необходимо изучать журнал событий, в котором фиксируются все наиболее важные происшествия. В описаниях вы сможете найти полную информацию для быстрого обнаружения и устранения возникшей проблемы.

 

 

Видео: Настройка VPN сервера на Windows 7

Видео: Настройка VPN сервера на Windows 8 R2

 

Поделиться «Настройка VPN сервера и клиентского компьютера»

Интересное по теме:

Как настроить собственный VPN-сервер за 15 минут / Habr

Если вы используете Habr, скорее всего, вы заботитесь о конфиденциальности в Интернете. По мере того как правительства и корпорации ужесточают контроль над деятельностью людей в Интернете, проблема сохранения ваших данных о просмотренных страницах становится все более актуальной.

Многие технические веб-сайты говорят, что VPN больше не предназначена только для компьютерных фанатов, и обычные люди тоже должны ее использовать (Fast Company, Mashable, PCMag). Но как технически подкованный человек вы знаете, что нет службы, которой можно доверять так же сильно, как той, которую вы размещаете и управляете самостоятельно.

С помощью этого поста вы развернете собственный экземпляр Outline VPN на AWS.


Что такое контур?

Outline — это проект с открытым исходным кодом, поддерживаемый Jigsaw, дочерней компанией Google, специализирующейся на информационной безопасности и конфиденциальности. Outline состоит из трех частей: серверного программного обеспечения на основе Docker, Outline Manager для создания и удаления пользователей и клиентского приложения для нескольких платформ. Исходники для всех этих компонентов доступны на GitHub.


Подробнее

Строго говоря, Outline — это не традиционный VPN, а прокси на основе ShadowSocks.Однако, поскольку он перенаправляет трафик на удаленный сервер и шифрует данные по пути, т.е. выполняет две вещи, обычно ожидаемые от службы VPN, я буду называть Outline VPN (похоже, что все так делают).


Хостинг

Для простоты мы будем размещать Outline на Lightsail, удобной для любителей части AWS. План самого низкого уровня стоит 3,50 доллара США (менее 250 рублей) в месяц и дает вам 512 МБ ОЗУ, 20-гигабайтный твердотельный накопитель и 1 ТБ для передачи данных — ресурсов, которых достаточно для запуска службы VPN.


Почему Lightsail, а не EC2

EC2 подходит, когда вашему проекту требуется масштабируемость и вы готовы индивидуально настраивать (и оплачивать) каждую услугу, включая вычисления, передачу данных и т. Д. Для небольших проектов, таких как персональный сервер VPN, EC2 сбивает с толку и, что наиболее важно, слишком дорого: самый дешевый экземпляр EC2 будет стоить вам 3,87 доллара в месяц, без передачи данных.

Единственная веская причина использовать EC2 вместо Lightsail — это то, что вы не использовали уровень бесплатного пользования AWS (Lightsail не имеет права на него).


Начало работы с Lightsail

Создайте новый экземпляр Lightsail. Вам будет представлен список мест. Выберите тот, который вам больше всего подходит. Изменение зоны доступности актуально только в том случае, если вы запускаете несколько инстансов в одном регионе и беспокоитесь об отказоустойчивости; в противном случае оставьте значение по умолчанию.

Выберите Ubuntu 18.04 LTS в качестве операционной системы.

Создайте экземпляр, дождитесь его запуска, а затем откройте его настройки.На вкладке «Сеть» создайте статический IP-адрес (он включен в стоимость экземпляра).

Подключитесь к серверу с помощью SSH. Вы можете использовать клиент на основе браузера на вкладке «Подключение» в настройках.

После подключения установите обновления программного обеспечения.

  sudo apt-get update
sudo apt-get upgrade  

️ Настоятельно рекомендуется настроить свопинг. См. Это руководство.


Установить Docker

Серверное программное обеспечение Outline полагается на Docker, но Ubuntu поставляется без него.К счастью, его можно установить за считанные секунды.

  sudo curl -sS https://get.docker.com/ | ш
sudo usermod -aG docker ubuntu  

️ Не забудьте выйти и повторно подключиться к серверу, чтобы настройки вступили в силу!


Установить и настроить Outline

Для установки серверного программного обеспечения выполните следующую команду:

  sudo bash -c "$ (wget -qO- https://raw.githubusercontent.com/Jigsaw-Code/outline-server/ master / src / server_manager / install_scripts / install_server.sh) " 

После завершения установки вы увидите две важные вещи: ключ управления сервером и набор портов, которые вам нужно открыть. Вернитесь к настройкам сервера и настройте брандмауэр на вкладке« Сеть ».

Загрузить и установите Outline Manager с веб-сайта. Приложение доступно для macOS, Windows и Linux. На странице настройки выберите «Настроить структуру в любом месте» и вставьте ключ управления сервером.

Как только вы это сделаете, вы увидите экран управления сервером, где вы можете добавлять и удалять пользовательские ключи, а также просматривать статистику передачи данных.Создайте ключ, переименуйте его, если хотите, нажмите кнопку «Поделиться» справа, прокрутите всплывающее окно вниз и скопируйте ключ доступа.


Подключитесь к серверу

Загрузите приложение Outline Client. На сегодняшний день он поддерживает macOS, Windows, Linux, ChromeOS, iOS и Android. В приложении нажмите или коснитесь кнопки с плюсом, вставьте ключ и подключитесь к серверу.

Теперь ваш трафик в безопасности.

.

Как создать общедоступный VPN-сервер в Windows 10

VPN или виртуальная частная сеть используется для доступа к определенной сети из другой сети. Другими словами, это тоже можно назвать мини-Интернетом. Его можно использовать двумя способами. Либо он может позволить вам получить доступ к закрытому серверу, что означает, что вы не получите доступа к Интернету; или же вы можете использовать его для доступа к набору ресурсов и в то же время получить доступ к Интернету. Вы поняли!

Но что, если вы хотите получить доступ к своим ресурсам дома, пока вас нет? Что, если вы хотите использовать частный сервер в своем офисе или дома, пока вас нет? Это дает вам возможность создать VPN-сервер.

Сегодня мы научимся делать то же самое.

Как создать общедоступный VPN-сервер в Windows 10

В этом процессе мы предпримем следующие шаги:

  1. Найдите свой IP-адрес.
  2. Настройте переадресацию портов на маршрутизаторе.
  3. Настройте VPN-сервер в Windows 10.
  4. Разрешите VPN-подключения через брандмауэр.
  5. Настройте VPN-соединение в Windows 10.

Найдите свой IP-адрес

Это довольно просто.Вы можете узнать больше о том, как найти свой IP-адрес.

Настройте переадресацию портов на маршрутизаторе

Чтобы вы могли подключиться к VPN-серверу через общедоступную сеть, например Интернет, вам необходимо настроить переадресацию портов.

Для этого сначала войдите в админпанель вашего роутера. Вам нужно сделать это, потому что ваш маршрутизатор будет для вас шлюзом для доступа к этой сети.

После входа в систему найдите вкладку меню с надписью Port Forwarding, Applications and Gaming, NAT / QOS или любым другим подобным именем.

Для подключений, основанных на протоколе туннелирования точка-точка, установите номер порта 1723.

Сохраните конфигурацию и перезагрузите маршрутизатор.

Настройка VPN-сервера в Windows 10

Начните с ввода ncpa.cpl в поле поиска Cortana и щелкните соответствующую запись, которая находится в категории элемента Control Panel .

Нажмите комбинацию клавиш ALT + F на клавиатуре, чтобы открыть меню «Файл».Выберите Новое входящее соединение.

Теперь появится мини-окно, в котором можно разрешить учетным записям пользователей на конкретной машине доступ к VPN-соединению.

Вы также можете выбрать Добавить кого-нибудь , чтобы добавить кого-то еще в белый список для доступа к этому соединению.

Нажмите Далее , и вы увидите возможность выбрать, как люди будут подключаться к сети. Проверяю на Через интернет.

После нажатия Next вы попадете на страницу, где вам нужно настроить сеть.

Выберите IPV4 и нажмите Properties.

Теперь вам будет предложено настроить некоторые дополнительные параметры, такие как разрешение пользователям доступа к вашей локальной сети или способ распределения IP-адресов для этих пользователей.

Нажмите ОК , чтобы сохранить настройки.

По завершении настройки сети нажмите Разрешить доступ.

Если хотите, теперь вы можете распечатать эту информацию для дальнейшего использования или для клиентского компьютера.

Нажмите Закройте , чтобы выйти из процесса настройки.

Разрешить VPN-подключения через брандмауэр

Откройте окно поиска Cortana и найдите Разрешите приложение через брандмауэр Windows.

Щелкните соответствующий результат, чтобы открыть нужную страницу настроек брандмауэра Windows. Нажмите Изменить настройки.

Прокрутите вниз, чтобы проверить, включен ли Маршрутизация и удаленный доступ как для общедоступных, так и для частных сетей.Нажмите ОК.

Настройка VPN-соединения в Windows 10

Чтобы настроить PPTP-соединение в Windows 10, вы можете прочитать нашу аналогичную статью о настройке VPN в Windows 10.

Надеюсь, у вас все получится. !

.

Создание VPN-шлюза на основе маршрута: портал — Azure VPN Gateway

  • 7 минут на чтение

В этой статье

Эта статья поможет вам быстро создать VPN-шлюз Azure на основе маршрутов с помощью портала Azure. VPN-шлюз используется при создании VPN-подключения к локальной сети.Вы также можете использовать VPN-шлюз для подключения к виртуальным сетям.

Действия, описанные в этой статье, позволят создать виртуальную сеть, подсеть, подсеть шлюза и шлюз VPN на основе маршрута (шлюз виртуальной сети). После завершения создания шлюза вы можете создавать подключения. Для этих шагов требуется подписка Azure. Если у вас нет подписки Azure, прежде чем начать, создайте бесплатную учетную запись.

Создать виртуальную сеть

Вы можете создать виртуальную сеть с моделью развертывания Resource Manager и порталом Azure, выполнив следующие действия.Дополнительные сведения о виртуальных сетях см. В разделе Обзор виртуальной сети.

Примечание

При использовании виртуальной сети как части кросс-локальной архитектуры обязательно согласовывайте с администратором локальной сети диапазон IP-адресов, который можно использовать специально для этой виртуальной сети. Если на обеих сторонах VPN-соединения существует повторяющийся диапазон адресов, трафик будет маршрутизироваться неожиданным образом. Кроме того, если вы хотите подключить эту виртуальную сеть к другой виртуальной сети, адресное пространство не может перекрываться с другой виртуальной сетью.Соответственно спланируйте конфигурацию сети.

  1. Войдите на портал Azure.

  2. В Search resources, service и docs (G + /) введите virtual network .

  3. Выберите Virtual Network из результатов Marketplace .

  4. На странице Virtual Network выберите Create .

  5. После выбора Создать откроется страница Создать виртуальную сеть .

  6. На вкладке Basics настройте Сведения о проекте и Сведения об экземпляре Параметры виртуальной сети.

    Когда вы заполняете поля, вы видите зеленую галочку, когда символы, которые вы вводите в поле, подтверждены. Некоторые значения заполняются автоматически, вы можете заменить их собственными значениями:

    • Подписка : Убедитесь, что указана правильная подписка. Вы можете изменить подписки с помощью раскрывающегося списка.
    • Группа ресурсов : выберите существующую группу ресурсов или щелкните Создать новую , чтобы создать новую. Дополнительные сведения о группах ресурсов см. В разделе Обзор диспетчера ресурсов Azure.
    • Имя : введите имя вашей виртуальной сети.
    • Регион : выберите расположение для вашей виртуальной сети. Местоположение определяет, где будут находиться ресурсы, которые вы развертываете в этой виртуальной сети.
  7. На вкладке IP-адреса настройте значения.Значения, показанные в примерах ниже, предназначены для демонстрационных целей. Отрегулируйте эти значения в соответствии с необходимыми настройками.

    • Адресное пространство IPv4 : по умолчанию адресное пространство создается автоматически. Вы можете щелкнуть адресное пространство, чтобы настроить его так, чтобы оно отражало ваши собственные значения. Вы также можете добавить дополнительные адресные пространства.
    • Подсеть : Если вы используете адресное пространство по умолчанию, подсеть по умолчанию создается автоматически. Если вы меняете адресное пространство, вам нужно добавить подсеть.Выберите + Добавить подсеть , чтобы открыть окно Добавить подсеть . Настройте следующие параметры, а затем выберите Добавить , чтобы добавить значения:
      • Имя подсети : В этом примере мы назвали подсеть «FrontEnd».
      • Диапазон адресов подсети : диапазон адресов для этой подсети.
  8. На вкладке Security в это время оставьте значения по умолчанию:

    • Защита от DDos : Basic
    • Межсетевой экран : Отключено
  9. Выберите Review + create , чтобы проверить настройки виртуальной сети.

  10. После подтверждения настроек выберите Создать .

Настроить и создать шлюз

На этом этапе вы создаете шлюз виртуальной сети для своей виртуальной сети. Создание шлюза часто может занять 45 минут или больше, в зависимости от выбранного SKU шлюза.

Шлюз виртуальной сети использует определенную подсеть, которая называется подсетью шлюза. Подсеть шлюза является частью диапазона IP-адресов виртуальной сети, который вы указываете при настройке виртуальной сети.Он содержит IP-адреса, которые используют ресурсы и службы шлюза виртуальной сети.

При создании подсети шлюза вы указываете количество IP-адресов, содержащихся в подсети. Количество необходимых IP-адресов зависит от конфигурации VPN-шлюза, которую вы хотите создать. Для некоторых конфигураций требуется больше IP-адресов, чем для других. Мы рекомендуем вам создать подсеть шлюза, которая использует / 27 или / 28.

Если вы видите ошибку, указывающую, что адресное пространство перекрывается с подсетью или что подсеть не содержится в адресном пространстве вашей виртуальной сети, проверьте диапазон адресов виртуальной сети.Возможно, у вас недостаточно IP-адресов в диапазоне адресов, который вы создали для своей виртуальной сети. Например, если ваша подсеть по умолчанию охватывает весь диапазон адресов, не останется IP-адресов для создания дополнительных подсетей. Вы можете настроить свои подсети в существующем адресном пространстве, чтобы освободить IP-адреса, или указать дополнительный диапазон адресов и создать там подсеть шлюза.

  1. В меню портала Azure выберите Создать ресурс .

  2. В поле Search the Marketplace введите «Virtual Network Gateway». Найдите Шлюз виртуальной сети в результатах поиска и выберите запись. На странице Шлюз виртуальной сети выберите Создать . Откроется страница Создать шлюз виртуальной сети .

  3. На вкладке Basics введите значения для шлюза виртуальной сети.

    Описание проекта

    • Подписка : Выберите подписку, которую хотите использовать, из раскрывающегося списка.
    • Группа ресурсов : этот параметр заполняется автоматически, когда вы выбираете свою виртуальную сеть на этой странице.

    Сведения об экземпляре

    • Имя : назовите свой шлюз. Имя шлюза — это не то же самое, что имя подсети шлюза. Это имя создаваемого вами объекта шлюза.
    • Регион : выберите регион, в котором вы хотите создать этот ресурс. Регион для шлюза должен совпадать с регионом виртуальной сети.
    • Тип шлюза : выберите VPN . VPN-шлюзы используют шлюз виртуальной сети типа VPN .
    • Тип VPN : выберите тип VPN, указанный для вашей конфигурации. Для большинства конфигураций требуется тип VPN на основе маршрутов.
    • SKU : выберите SKU шлюза из раскрывающегося списка. Артикулы, перечисленные в раскрывающемся списке, зависят от выбранного вами типа VPN. Дополнительные сведения о SKU шлюза см. В разделе SKU шлюза.
    • Поколение : Для получения информации о создании шлюза VPN см. SKU шлюза.
    • Виртуальная сеть : в раскрывающемся списке выберите виртуальную сеть, в которую вы хотите добавить этот шлюз.
    • Диапазон адресов подсети шлюза : это поле отображается только в том случае, если в вашей виртуальной сети нет подсети шлюза. Если возможно, сделайте диапазон / 27 или больше (/ 26, / 25 и т. Д.). Мы не рекомендуем создавать диапазон меньше / 28. Если у вас уже есть подсеть шлюза, вы можете просмотреть детали GatewaySubnet, перейдя в свою виртуальную сеть. Щелкните Подсети , чтобы просмотреть диапазон.Если вы хотите изменить диапазон, вы можете удалить и воссоздать GatewaySubnet.

    Общедоступный IP-адрес : этот параметр определяет объект общедоступного IP-адреса, который связывается со шлюзом VPN. Общедоступный IP-адрес динамически назначается этому объекту при создании VPN-шлюза. Единственный раз, когда публичный IP-адрес изменяется, — это когда шлюз удаляется и создается заново. Он не меняется при изменении размера, сбросе или другом внутреннем обслуживании / обновлении вашего VPN-шлюза.

    • Общедоступный IP-адрес : Оставьте Создать новый выбранным.
    • Имя общедоступного IP-адреса : в текстовом поле введите имя экземпляра общедоступного IP-адреса.
    • Назначение : VPN-шлюз поддерживает только динамический.

    Активно-активный режим : выберите Включить активный-активный режим только в том случае, если вы создаете конфигурацию шлюза «активный-активный». В противном случае оставьте этот параметр невыделенным.

    Оставьте Настроить BGP ASN снятым, если эта настройка специально не требуется.Если вам нужен этот параметр, ASN по умолчанию — 65515, хотя его можно изменить.

  4. Выберите Review + create , чтобы запустить проверку. После прохождения проверки выберите Создать , чтобы развернуть шлюз VPN. Для полного создания и развертывания шлюза может потребоваться до 45 минут. Вы можете увидеть статус развертывания на странице обзора вашего шлюза.

После создания шлюза вы можете просмотреть назначенный ему IP-адрес, просмотрев виртуальную сеть на портале.Шлюз отображается как подключенное устройство.

Примечание

SKU основного шлюза не поддерживает аутентификацию IKEv2 или RADIUS. Если вы планируете подключать клиентов Mac к вашей виртуальной сети, не используйте базовый SKU.

Важно

При работе с подсетями шлюза не связывайте группу безопасности сети (NSG) с подсетью шлюза. Связывание группы безопасности сети с этой подсетью может привести к тому, что ваш шлюз виртуальной сети (VPN, шлюз Express Route) перестанет функционировать должным образом.Дополнительные сведения о группах безопасности сети см. В разделе Что такое группа безопасности сети?

Просмотр шлюза VPN

  1. После создания шлюза перейдите к виртуальной сети 1 на портале. Шлюз VPN отображается на странице обзора как подключенное устройство.

  2. В списке устройств щелкните VNet1GW для просмотра дополнительных сведений.

Следующие шаги

После завершения создания шлюза вы можете создать соединение между вашей виртуальной сетью и другой виртуальной сетью.Или создайте соединение между вашей виртуальной сетью и локальным расположением.

.

Как настроить VPN за 6 шагов

Зачем вашему бизнесу нужен VPN?

По сути, виртуальные частные сети защищают предприятия и пользователей, а также их конфиденциальные данные. Вот другие причины, по которым ваш бизнес может получить выгоду от VPN:

Удобство
VPN

— это удобный способ предоставить сотрудникам, в том числе удаленным, легкий доступ к вашей бизнес-сети без необходимости физического присутствия при сохранении безопасности частных сетей и бизнес-ресурсов.

Лучшая безопасность

Связь с VPN-соединением обеспечивает более высокий уровень безопасности по сравнению с другими методами удаленной связи, закрывая частные сети для людей, не имеющих авторизованного доступа. Фактическое географическое расположение пользователей защищено и не доступно для публичных или общих сетей, таких как Интернет.

Упрощенное администрирование

С помощью гибких программных инструментов VPN легко добавлять новых пользователей или группы пользователей.Это хорошо для предприятий, которые растут быстрее, чем их бюджеты, поскольку это означает, что вы можете часто расширять сетевые следы без добавления новых компонентов или создания сложных сетевых конфигураций.

Есть ли недостатки у использования VPN?

Успех VPN зависит от других частей вашей сетевой инфраструктуры. Вот факторы, которые могут вызвать проблемы с производительностью вашего VPN:

Риски безопасности конфигурации

Разработка и реализация VPN могут быть сложными.Если вы не знаете, как обеспечить его безопасную работу, подумайте о привлечении опытного специалиста по сетевой безопасности, чтобы убедиться, что безопасность VPN не была нарушена.

Надежность

Поскольку VPN-подключения работают вне Интернета, вам необходимо выбрать поставщика Интернет-услуг (ISP), который постоянно предоставляет отличные услуги с минимальным временем простоя или без него.

Масштабируемость

Если вам нужно добавить новую инфраструктуру или создать новые конфигурации, вы можете столкнуться с техническими проблемами из-за несовместимости, особенно если вы добавляете новые продукты от разных поставщиков.

Медленная скорость соединения

Если вы используете VPN-клиент, который предоставляет бесплатный VPN-сервис, скорость вашего соединения может быть низкой, поскольку эти провайдеры обычно не предлагают высокоскоростные соединения. Подумайте, хватит ли скорости для нужд бизнеса.

Стоит ли создавать собственный VPN или покупать его?

Вместо того, чтобы пытаться создать его самостоятельно, вы можете купить готовое решение VPN. Если вы покупаете решения для VPN, задайте вопросы о простоте настройки.

Шаги по настройке VPN

6 шагов по настройке VPN

Шаг 1. Выровняйте ключевые компоненты VPN

Для начала вам понадобится VPN-клиент, VPN-сервер и VPN-маршрутизатор. Загружаемый клиент соединяет вас с серверами по всему миру, поэтому сотрудники могут получить доступ к вашей сети малого бизнеса. Клиент может использоваться на таких устройствах, как смартфоны и ноутбуки, даже если сотрудники используют общедоступные сети Wi-Fi.

Для защиты и шифрования всего сетевого трафика вам также понадобится маршрутизатор VPN.Многие маршрутизаторы поставляются со встроенными клиентами VPN.

Шаг 2. Подготовка устройств

Иногда клиенты VPN могут конфликтовать с другими клиентами или не работать должным образом. Перед настройкой VPN рекомендуется подготовить сетевую систему, чтобы избежать проблем в будущем.

В качестве первого шага удалите все существующее клиентское программное обеспечение VPN, которое вам не нужно. Теоретически клиенты VPN должны хорошо работать вместе, но конкурирующие клиенты также могут быть источником проблем, поэтому лучше их удалить.

Это также хорошее время, чтобы рассмотреть конфигурацию сети. Если вы планируете установить VPN для сотрудников, которые будут получать доступ к онлайн-ресурсам несколькими способами, такими как Wi-Fi, модемы 4G и проводные соединения, вам может потребоваться больше времени на настройку клиента VPN. Может помочь упрощение сетей путем отключения неиспользуемых устройств.

Шаг 3. Загрузите и установите VPN-клиенты

Самый простой способ запустить вашу VPN — это установить клиентов от вашего провайдера VPN. Однако они могут не предлагать программное обеспечение для всех необходимых вам платформ, таких как Windows, iOS и Android.Даже если они этого не делают, лучше сначала установить то, что они предлагают, а затем подтвердить, что ваша учетная запись VPN работает правильно.

Найдите страницу «Загрузки» на веб-сайте вашего провайдера VPN. Вам также следует скачать приложения для мобильных устройств, которыми пользуются ваши сотрудники, поскольку вы хотите защитить соединения с максимально возможного числа устройств.

Если первоначальный клиент, который вы устанавливаете, сразу работает, вы можете связаться с поставщиком VPN по поводу клиентов для других платформ. А если вы вообще не можете войти в систему, то можете передать эту информацию в службу поддержки провайдера VPN.

Шаг 4. Найдите руководство по настройке

Если по какой-либо причине ваш провайдер VPN не предлагает программное обеспечение для устройств, которые использует ваша компания, посетите веб-сайт провайдера, чтобы найти инструкции по ручной настройке. Надеюсь, вы найдете необходимую документацию. Если вы этого не сделаете, поищите руководства по установке других поставщиков, которые используют те же устройства.

Например, если в вашей компании используются Chromebook, вы можете искать руководства, специально предназначенные для этих устройств.

Шаг 5: Войдите в VPN

После установки клиентских приложений VPN пора ввести данные для входа.Как правило, имя пользователя и пароль будут теми, которые вы использовали при регистрации у провайдера VPN, хотя некоторые компании просят вас создать отдельный логин для самого клиента VPN.

После входа в систему приложение VPN обычно подключается к серверу, ближайшему к вашему текущему местоположению.

Шаг 6: Выберите протоколы VPN

Протоколы

VPN определяют способ передачи данных между вашим компьютером и сервером VPN. Некоторые протоколы помогают повысить скорость, а другие помогают улучшить конфиденциальность и безопасность данных.

OpenVPN

Это протокол с открытым исходным кодом, что означает, что вы можете просматривать его код. OpenVPN также быстро становится отраслевым стандартом.

L2TP / IPSec

Туннельный протокол уровня 2 — еще один популярный протокол. Он имеет надежную защиту и часто связан с протоколом IPSec, который аутентифицирует и шифрует пакеты данных, отправляемые через VPN.

SSTP

Протокол Secure Socket Tunneling Protocol полностью интегрирован с операционной системой Microsoft.

PPTP

Point-to-Point Tunneling Protocol — один из старейших протоколов VPN. Но он становится менее широко используемым, поскольку доступны более быстрые и безопасные протоколы.

Шаг 7. Устранение неполадок

Обычно клиент вашего VPN-провайдера начинает работать сразу. Но если это не так, попробуйте следующие шаги:

  • Завершите работу, снова откройте клиент и попробуйте перезагрузить устройство.
  • Если у вас работает какое-либо другое программное обеспечение VPN, убедитесь, что вы отключены, а затем закройте его.

Клиентам VPN для правильной работы требуются соответствующие драйверы программного обеспечения. В некоторых случаях вы можете щелкнуть настройку «восстановить», чтобы перезагрузить драйверы. Проверьте страницу настроек, чтобы узнать, доступна ли эта функция.

Если у вас возникли проблемы со входом в систему, дважды проверьте свои учетные данные. Некоторые клиенты VPN генерируют свои собственные логины, а некоторые позволяют выбирать свои собственные.

Убедитесь, что вы используете правильный логин, и при необходимости прочтите все приветственные письма или руководства по быстрому запуску, которые вы, возможно, получили от провайдера.

Вы также можете попробовать переключить серверы. Выберите подключение к другому серверу, расположенному близко к вашему физическому местоположению.

Другой вариант: попробуйте подключиться с помощью разных протоколов, предполагая, что клиент VPN позволяет их изменять. Например, вы можете использовать OpenVPN с TCP, а затем переключиться на L2TP и PPTP.

Если у вас все еще возникают проблемы, возможно, виноваты другие программы. Иногда брандмауэры или программное обеспечение безопасности могут нарушить VPN-соединения. Вы можете временно отключить программное обеспечение, которое может вызвать проблему, — просто не забудьте снова включить его после подключения, чтобы не подвергать критические бизнес-системы уязвимым для атак.

Шаг 8: Настройте соединение

Когда вы освоите основы, пора улучшать. Убедитесь, что настройки, которые вы применили к VPN, соответствуют потребностям вашего бизнеса.

Например, решите, хотите ли вы, чтобы VPN запускался, как только люди запускают свои устройства. Это может быть хорошей идеей, если вам постоянно нужна защита VPN — например, если большинство людей работают вне офиса. Но если вы думаете, что вам нужно использовать VPN только изредка, вы можете настроить его на запуск только при необходимости, освободив сетевые ресурсы для других целей.

Другой вариант тонкой настройки — выбрать часто используемые серверы в качестве настроек по умолчанию или «избранных». Это может сэкономить вам немного времени, поскольку вам и другим сотрудникам не придется искать предпочтительные серверы каждый раз, когда вы подключаетесь.

Вы также можете включить «аварийный выключатель», если ваш провайдер VPN предлагает это. Блокирующий переключатель предназначен для предотвращения отправки или получения данных устройством в случае отключения VPN.

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *