Объединение сетей. Объединение двух удаленных офисов и любого количества удаленных сотрудников в единую локальную сеть через VPN используя OpenVPN в Debian & Ubuntu & Linux Как связать сеть офиса с удаленным сервером
Хотя тема и избита, но тем не менее, часто многие испытывают затруднения – будь то начинающий системный администратор или же просто продвинутый пользователь, которого начальство заставило выполнять функции эникейщика. Парадоксально, но несмотря на обилие информации по VPN, найти внятный вариант — целая проблема. Более того, даже складывается впечатление, что один написал – другие же нагло скопировали текст. В итоге, поисковая выдача буквально захламлена обилием ненужной информации, из которой стоящее редко можно вычленить. Поэтому я решил в своей манере разжевать все нюансы (может, кому и пригодится).
Итак, что такое VPN? VPN (Virtual Private Network - виртуальная частная сеть) - обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (в том числе и интернет). В зависимости от применяемых протоколов и назначений, VPN может обеспечивать соединения трёх видов: узел-узел , узел-сеть и сеть-сеть. Как говорится, без комментариев.
Стереотипная схема VPN
VPN позволяет легко объединить удаленный хост с локальной сеткой фирмы или другого хоста, а также объединить сети в одну. Выгода вполне очевидна – мы легко с клиента VPN получаем доступ к сети предприятия. Кроме того, VPN еще и защищает ваши данные посредством шифрования.
Я не претендую на то, чтобы вам описать все принципы работы VPN, так как есть масса специальной литературы, да и если честно, я и сам много чего не знаю. Тем не менее, если у вас стоит задача «Сделай!», нужно срочно вливаться в тему.
Давайте рассмотрим задачу из моей личной практики, когда нужно было объединить по VPN два офиса –головной и филиал. Ситуацию еще и осложнял тот факт, что в головном офисе стоял видео-сервер, который должен принимать видео с IP камеры филиала. Вот вам вкратце задача.
Способов решения много. Все зависит от того, что у вас есть под рукой. Вообще, VPN легко построить с помощью железного решения на базе различных роутеров Zyxel. В идеале, может случиться и то, что интернет обоим офисам раздает один провайдер и тогда у вас вообще проблем не возникнет (достаточно просто обратиться к прову). Если фирма богата, то может себе позволить и CISCO. Но обычно все решается программными средствами.
А тут выбор велик – Open VPN, WinRoute (учтите, что он платный), средства операционной системы, программы типа Hamanchi (честно говоря, в редких случаях она может и выручит, но полагаться на нее не рекомендую – бесплатная версия имеет ограничение в 5 хостов и еще один существенный минус заключается в том, что все ваше соединение зависит хоста Hamanchi, что не всегда гуд). В моем случае идеально было бы воспользоваться OpenVPN – бесплатной программой, способной незатейливо создать надежное VPN-соединение. Но мы, как всегда, пойдем по пути наименьшего сопротивления.
У меня в филиале интернет раздает шлюз на базе клиентской Windows. Согласен, не самое лучшее решение, но для тройки клиентских компьютеров хватит с головой. Мне нужно сделать VPN-сервер из этого шлюза. Так как вы читаете эту статью, то наверняка уверен, что являетесь новичком в VPN. Поэтому для вас я привожу самый простой пример, который, в принципе, устраивает и меня.
В Windows семейства NT уже вшиты зачаточные возможности серверов. Поднять VPN-сервер на одной из машин не составит труда. В качестве сервера я буду приводить примеры скриншотов Windows 7, но общие принципы будут теми же самыми, что и для старушки XP.
Учтите, что для соединения двух сетей, нужно чтобы они имели разный диапазон ! Например, в головном офисе диапазон может быть 192.168.0.x, а в филиале – 192.168.20.x (или любой диапазон серых ip). Это очень важно, так что будьте внимательны. Теперь, можно приступать к настройке.
Зайдите на сервере VPN в Панель управления -> Центр управления сетями и общим доступом ->изменение параметров адаптера.
Теперь нажмите клавишу Alt, вызвав меню. Там в пункте Файл нужно выбрать «Новое входящее подключение».
Поставьте галочки тем пользователям, которые могут входить в систему по VPN. Я настоятельно рекомендую Добавить нового пользователя, назвать его понятным именем и назначить пароль.
После того, как вы это сделали, нужно в следующем окне выбрать как будут подключаться пользователи. Ставьте галку «Через интернет». Теперь вам остается назначить диапазон адресов виртуальной сети. Причем, можно выбрать сколько всего компьютеров может участвовать в обмене данных. В следующем окне выберите протокол TCP/IP версии 4 нажмите «Свойства»:
У вас появится то, что у меня на скриншоте. Если вы хотите, чтобы клиент получил доступ к локальной сети, в которой находится сервер, просто ставьте галку «Разрешить звонящим доступ к локальной сети». В пункте «Назначение IP адресов» я рекомендую указать адреса вручную по принципу, который я выше описал. В моем примере я дал диапазону всего двадцать пять адресов, хотя мог указать просто и два и 255.
После этого жмем на кнопку «Разрешить доступ».
Система автоматически создаст VPN-сервер, который будет сиротливо ожидать, когда к нему кто-либо присоединится.
Теперь остается дело за малым – настроить VPN-клиента. На клиентской машине также идете в Центр управления сетями и общим доступом и выбираете Настройка нового подключения или сети . Теперь вам нужно будет выбрать пункт «Подключение к рабочему месту»
Жмете на «Использовать мое подключение к Интернету и теперь вас выбросит в окно, где нужно будет ввести адрес нашего интернет-шлюза в филиале. У меня он имеет вид 95.2.x.x
Теперь можно вызывать подключение, вводить то имя пользователя и пароль, который вы ввели на сервере и пытаться подключиться. Если все правильно, то вы подключитесь. В моем случае, я могу уже посылать пинг любому компьютеру филиала и запрашивать камеру. Теперь ее моно легко цеплять к видеосерверу. У вас же может быть что-то другое.
Как вариант, при подключении может выскочить ошибка 800, сигнализируящая о том, что с подключением что-то не то. Это проблема брэндмауэра либо клиента, либо сервера. Конкретно я сказать вам не могу – все определяется экспериментально.
Вот так незатейливо мы создали VPN между двумя офисами. Таким же образом можно объединить и игроков. Однако не стоит забывать, что это будет все-таки не полноценный сервер и лучше использовать более продвинутые средства, о которых я расскажу в следующих частях.
В частности, в части 2 мы с вами рассмотрим настройку OPenVPN под Windows и Linux.
Свяжитесь со специалистом Горяинов Денис Технический директор +79851256588 Задать вопрос
Объединение двух и более локальных сетейЗадачи объединения в сеть:1. наладить быстрый, безопасный и надежный обмен информацией между несколькими удаленными офисами и филиалами;
2. подключить к локальной сети мобильных сотрудников, обеспечив безопасность соединения ;
3. создать единый для филиалов телефонный канал для экономии и контроля расходов, удобства переключения;
4. создать централизованный интернет-канал и распределение трафика между филиалами;
5. взять под контроль «центра» удаленные офисы.
Если вам необходимо решить эти задачи, услуга от компании ZSC позволит вашей компании связать в единую сеть все удаленные филиалы и сотрудников.
Объединение локальных сетейКогда компаниям необходимо объединить несколько филиалов и офисов, сегодня исполнителю уже недостаточно просто настроить централизованную локальную сеть и наладить обмен информацией.
Клиенту необходимо комплексное решение с:
При этом должна быть обеспечена высокая степень безопасности всех этих информационных потоков.
Сегодня клиенту услуга объединения локальных сетей
требуется «под ключ » - каждый этап производства работ подрядчик должен осуществить самостоятельно, при минимальном участии заказчика. В результате клиенту необходимо предоставить централизованную систему управления филиалами со всеми необходимыми IT-компонентами и инструментами контроля и поддержки. Речь не идет о простом VPN - мы говорим о виртуальном объединении удаленных офисов до уровня «физического ».
При этом нельзя забывать, что проект объединения двух и более локальных сетей должен быть экономичным, иначе весь его положительный результат будет нерентабельным.
Если вам необходимо совершить подобное объединение филиалов и удаленных офисов или внедрить какой-либо его компонент (единая телефонная сеть, сбалансированный интернет-трафик), мы открыты для сотрудничества. Обладая огромным опытом и высокими квалификациями на рынке цифровых технологий, мы готовы предложить вам наиболее эффективный и экономичный вариант, ориентированный на конкретные потребности вашего бизнеса.
Устройства объединения сетейСпециалисты нашей компании ZSC работают с оборудованием любых производителей. Если у вас собственные роутеры - для объединения локальных сетей удаленных офисов мы настроим их.
Объединение сетей MikrotikВ своей же практики мы используем профессиональное оборудование от Mikrotik (более экономичное и популярное решение) и Cisco (более дорогое и функциональное решение).
На примере оборудования Mikrotik разберем технологии объединения локальных сетей. Несмотря на достаточно низкую рыночную стоимость по сравнению с аналогами, программная платформа Mikrotik позволяет настраивать гибкие, безопасные и функциональные каналы обмена информацией. Оборудование этого производителя отлично зарекомендовало себя на наших многочисленных проектах и в офисах клиентов. Кроме этого, Mikrotik позволяет серьезное экономить бюджет.
Роутеры Mikrotik поддерживают до семи протоколов безопасной отправки информации, которая шифруется в виде отдельных пакетов с присвоением второго IP заголовка. Этот заголовок включает в себя IP адрес получателя и IP адрес отправителя. При попытке перехватить информацию мошенник видит только эту информацию, при этом определить компьютер-источник и компьютер-получатель невозможно. В случае утечки информации, понадобится слишком много времени, чтобы расшифровать код, и еще не факт, что это получится. Применяются и другие варианты безопасной передачи информации.
Протоколы безопасности:
подробнее
PPTP (туннельный межточечный протокол) - применяется для построения выделенных сетей поверх открытых. Отличается высокой производительностью, разнообразными опциями шифрования и возможностью использования различных программных платформ.
L2TP - в отличие от PPTP, обладает более высокой устойчивостью к сбоям и более надежной безопасностью. Применяется как для построения закрытых сетей внутри открытых, так и для доступа в корпоративную сеть с удаленных устройств, а также для применения разнообразных схем подключения.
IP2IP - шифрует информацию в пакеты и присваивает ему отдельный IP для надежной передачи адресату. Применяется для построения туннелей между роутерами через интернет.
PPPOE - работает по аналогии с протоколом PPTP, но является более простым и менее ресурсоемким решением.
IPSec - один из наиболее надежных вариантов для построения закрытого туннеля. Помимо того, информация зашифровывается, для прочтения необходимо использовать индивидуальные ключи. Это обеспечивает высокую, двухуровневую степень защиты передачи данных.
VLAN - обеспечивает создание логических высокоскоростных защищенных туннелей, которые по безопасности приближаются к «физической» передаче информации, например, внутри офиса через кабели.
EoIP - организует прозрачное объединение удаленных офисов и филиалов поверх созданных виртуальных каналов. Позволяет гибко настраивать интернет-трафик, индивидуальные политики безопасности, проводить балансировку и настройки для удаленных филиалов. Для применения EoIP необходим достаточно широкий пропускной канал, так как протокол отнимает до 15% трафика для осуществления управления.
Комбинация различных протоколов безопасности позволяет выстраивать гибкие, безопасные и надежные каналы обмена информацией и удовлетворять конкретные потребности бизнеса. Если необходима максимальная безопасность, подойдет протокол IPSec, а если требуется более простой канал передачи зашифрованной информации - PPTP, L2TP или IP2IP. Для организации прозрачной и управляемой логистики информации между филиалами и офисами выбором могут стать VLAN и EoIP.
Цена объединения двух и более локальных сетейПредставить унифицированный прайс с однозначными ценами на объединение двух и более локальных сетей , который распространялся бы на все проекты, невозможно. При конечном расчете многое зависит от поставленных задач, потребностей бизнеса, объема работ, количества Ethernet-розеток, метража кабеля и многого другого.
Однако существует несколько базовых показателей, которые распространяются на отдельные виды работ:
Вид работ | Единицы измерения | Цена (руб.)* |
Монтаж кабель-канала | м. | 120 |
Монтаж кабеля UTP ( cat 5 e ) с учетом групповой прокладки | м. | 44,48 |
Монтаж гофры с учетом крепления | м. | |
Монтаж розетки RJ-45 | шт. | 200 |
Маркировка кабеля с учетом маркированных материалов | шт. | |
Монтаж камер видеонаблюдения, Wi - Fi точек и т.д. | шт. | 1500 |
Тестирование линии на наличие контакта («прозвонка») | шт. | |
Проектные работы структурированной системы | кв. м. | |
Монтаж сетевого оборудования | шт. | 400 |
Актуально на 16.02.2017 (без учета НДС)
Наши специалисты и проектировщики способны создать проект объединения двух и более локальных сетей любой сложности и масштаба, под конкретные потребности бизнеса, согласовать его с заказчиком и реализовать «под ключ».
Объединение компьютерных сетей - как мы работаем:- получаем исходные данные, настройки и политики безопасности, которые работают внутри вашей компании;
- интегрируем их с настройками роутера, проводим настройку оборудования согласно необходимым вам требованиям;
- отправляем в удаленный филиал (офис) настроенный роутер и подключаем его;
- проводим пусконаладку ;
- предоставляем вам готовое решение - объединение двух и более локальных сетей.
Для вас - все элементарно просто! А на нашей стороне - огромный опыт, высокая квалификация и десятки реализованных проектов. И все это позволяет нам работать быстро, качественно и с серьезной экономией бюджета не в ущерб качеству.
А если вы являетесь нашим клиентом комплексного абонентского обслуживания тарифа Premium , то данная услуга предоставляется для вас бесплатно (оплачивается только оборудование)!
Разберем подробней отдельные компоненты комплексного решения «Объединение двух и более локальных сетей» .
Телефония между удаленными офисамиЗадача : создать единую телефонную сеть с «короткими» номерами абонентов в удаленных филиалах, обеспечить экономию средств при звонках и контроль за использованием телефонных линий, подключить к телефонной сети мобильных сотрудников, внедрить единый номер.
Когда мы объединили общей сетью Ethernet центральный и удаленные офисы, мы образовали, таким образом, единое информационное пространство. Внутри этого пространства можно передавать любые данные: файлы, видео-контент, голосовой контент и другую информацию. Самый массовый сегмент информации, который передается внутри компании - данные серверов ; на втором месте по популярности - голосовой и видео-контент .
Единая локальная сеть позволяет настраивать оборудование таким образом, что сотрудники, которые могут быть разделены тысячами километров, находятся в одном офисе.
Стационарные сотрудникиДля выстраивания единой телефонной сети между филиалами и «центром» необходима собственная цифровая офисная АТС , которая устанавливается в центральном офисе. А в филиалах подключаются IP-телефоны, для которых настраиваются IP-адреса так, словно это была бы сеть одного офиса. АТС и удаленный телефон идентифицируют друг друга, после чего для удаленного офиса мы присваиваем «короткий» номер. Все происходит так, словно мы просто добавили нового сотрудника в центральном офисе.
В итоге, ваши сотрудники начинают работать в едином пространстве, как бы далеко они не находились друг от друга. Когда на АТС приходит входящий звонок, телефонная станция «думает», что вы находитесь в одной сети и переадресует вызов, а он раздается в другом городе или даже стране. При этом обеспечивается высокий уровень передачи данных - связь осуществляется через защищенные шифрованные тоннели.
Мобильные сотрудникиК единой телефонной сети компании можно подключать и мобильных сотрудников. Для этого им необходимо применять телефоны, которые поддерживают тоннелирование. Внутри смартфона настраивается шифрованный тоннель, который «поднимается» при подключении телефона к сети Wi-Fi и авторизуется через прописанные настройки с центральной АТС в вашем офисе.
В итоге, ваш мобильный сотрудник входит в корпоративную телефонную сеть, может обладать «коротким» номером для быстрого переключения и использовать выгодные тарифы для совершения и приема вызовов, которые настроены на вашей центральной АТС.
Преимущества единой телефонии между филиалами:- гибкая настройка внутренней маршрутизации звонков;
- возможность использования нескольких операторов и тарифов;
- возможность применения единого телефонного номера с последующей переадресацией на номера филиалов;
- существенная экономия расходов на телефонию;
- централизация и осуществления контроля за входящими и исходящими звонками.
Среди этих и других многочисленных преимуществ телефонной сети между удаленными филиалами существуют два основных, которые и сделали эту услугу столь востребованной в наши дни: первое - использование многоканальных номеров ; и, второе - экономия расходов на телефонию .
Благодаря многоканальности, звонки комфортно распределяются между удаленными офисами. Достаточно просто настроить голосовое меню, чтобы клиент мог звонить на единый номер и соединиться с определенным регионом, городом, офисом или подразделением.
Экономия расходов обеспечивается логичной маршрутизацией между несколькими операторами, которые подключены к единой АТС в центральном офисе . То есть, достаточно один раз грамотно настроить телефонную станцию в головном офисе, подключив к ней несколько операторов, чтобы сократить расходы на телефонию всей филиальной сети офисов. Например, все звонки по России осуществляются через одного оператора IP-телефонии. Аналоговые вызовы по Москве проходят через безлимитные городские линии, а междугородние - через третьего оператора SIP-телефонии. И так - для каждого отдельного вида связи: входящие/исходящие, звонки по России, внутри региона, города, междугородние и международные вызовы, со стационарных и мобильных телефонов.
Наши клиенты, в сложных конфигурациях, имеют от 2 до 5 операторов связи, что обеспечивает наиболее оптимальное расходование средств. Им необходимо отслеживать корректную работу только одного центрального оборудования, чтобы фактически обслуживать десятки офисов и не тратить десятки тысяч рублей на неграмотное расходование телефонного трафика.
Подробнее с данной услугой можно познакомиться в разделе «Офисная АТС» . Здесь вы узнаете, сколько конкретно может сэкономить компания при использовании центральной АТС.
Интернет объединение сетейЗадача : обеспечить стабильный, бесперебойный интернет-трафик в удаленном офисе или филиале
Когда у компании есть небольшой филиал в другом городе, его эффективная работа связана с постоянным и стабильным подключением по сети Интернет и все бизнес-процессы останавливаются как только обрывается связь, необходимо в обязательном порядке резервировать интернет-каналы .
Применяя современное оборудование от MikroTik и Cisco, мы способны сделать так, чтобы бизнес-процессы заказчика не останавливались и удаленные филиалы постоянно получали стабильный интернет.
Балансировка интернет-каналов удаленных офисов - что это такое?Для выполнения этой задачи, мы настраиваем каналы основного и резервного интернет-провайдеров. При этом резервный может быть как наземным дополнительным каналом, так и более экономичным каналом мобильных операторов (Билайн, МТС, Мегафон, Yota, Теле2).
В случае отказа основного, как правило, более мощного, канала происходит автоматическое переключение на резервный канал. При таком переключении оборудование переавторизируется, а в резервном канале поднимается тоннель для защищенной шифрованной передачи данных. Предварительно необходимо выполнить авторизацию оборудования таким образом, чтобы была возможность балансировать между двумя интернет-каналами в зависимости от их доступности.
Для конечного пользователя никаких изменений не произойдет - он просто продолжит пользоваться интернетом, который будет временно поставляться по резервному каналу. А наша автоматизированная система мониторинга принимает эти данные, специалисты видят информацию и отправляют заявку провайдеру основного канала для устранения проблемы.
Мы призываем клиентов не экономить на резервном канале, так как стоимость его использования (до 1 тысячи рублей в зависимости от региона) будет существенно ниже возможных бизнес-потерь из-за перебоев в единственном интернет-канале.
Существуют и более сложные схемы балансировки интернет-каналов удаленных офисов. Например, Cisco разработаны и внедрены GRE-тоннели. Они представляют собой привычные тоннели, но GRE-заголовок накладывается «поверх» стандартного IP-пакета. Такие тоннели позволяют выполнять доменную авторизацию внутри сети.
Вариант балансировки интернет-канала зависит от конкретных потребностей заказчика.
Локальные сети между удаленными офисами можно применять и для других вариантов объединения, например, для видеоконференцсвязи , обеспечения единой политики безопасности и многое другое.
Мы же, со своей стороны, способны обеспечить такое объединение филиальной сети клиента, чтобы его IT-инфраструктура работала без сбоев, чтобы его бизнес-процессы не останавливались - мы готовы обеспечить для вас беспрецедентную отказоустойчивость всех компонентов.
Во многих организациях, имеющих несколько филиалов, возникает необходимость объединения локальных сетей офисов в единую корпоративную сеть. Соединение сетей повысит эффективность бизнеса и позволит снизить издержки, связанные с удаленностью офисов. Объединение сетей удаленных офисов компании позволяет решить следующие задачи:
- Работа сотрудников всех офисов в единой базе данных (например, 1С)
- Обеспечение доступа удаленных сотрудников к общим корпоративным ресурсам компании через интернет (удаленный доступ к сети)
- Быстрый и удобный обмен данными между сотрудниками удаленных офисов
Соединение сетей осуществляется через публичные сети Интернет, ввиду этого остро встает вопрос безопасности объединения сетей и конфиденциальности передаваемой информации. Для безопасного и защищенного соединения двух сетей по публичным каналам связи используется технология VPN (Виртуальные частные сети).
Настройка VPN (Виртуальные частные сети)Настройка VPN (Виртуальные частные сети) между офисами компании (соединение сетей) обеспечивают шифрование передаваемых данных. В зависимости от потребностей заказчика и уже имеющейся ИТ-инфраструктуры, VPN сеть может быть создана на основе программного или аппаратного комплекса. Достаточно распространенным способом создания VPN сети является настройка VPN на основе программного комплекса, который, помимо реализации VPN сети, может служить сетевым экраном и обеспечивать фильтрацию сетевого трафика.
Удаленный доступ к компьютеруПредположим, что у нас есть 2 офиса в разных точках города, или же в разных городах или странах и каждый из них подключен к интернету по достаточно хорошему каналу. Нам нужно связать их в единую локальную сеть. В таком случае никто из пользователей не будет догадыватся где находится тот или иной компьютер или принтер в локальной сети, пользоватся принтерами, расшаренными папками и всеми преимуществами физической сети. Удаленные сотрудники подключившись по OpenVPN смогут также работать в сети, как-будто их компьютеры находятся в физической сети одного из офисов.
Настраивать будем в операционной системе Debian Squeeze, но инструкция полностью пременима к любому дистрибутиву основанному на Debian, и с небольшими изменениями в командах установки и настройки моста и OpenVPN будет применима к любому дистрибутиву Linux или FreeBSD.
Предположим, что дистрибутив Debian или Ubuntu установлены по одной из инструкций: ,
Установим и настроим VPN сеть на основе OpenVPN используя мост tap0
Создаем сетевой мост между физической сетевой eth1 и виртуальным интерфейсом tap0
Устанавливаем нужные программы согласившись на запрос менеджера пакетов:
Настраиваем сеть сервера исходя из того, что у нас 2 сетевые карты: сетевая eth0 eth1 br0
Редактируем конфигурационный файл /etc/network/interfaces :
Auto lo iface lo inet loopback # internet provider auto eth0 iface eth0 inet static address 192.168.50.2 netmask 255.255.255.0 gateway 192.168.50.1 # local network auto eth1 iface eth1 inet static address 10.10.10.1 netmask 255.255.255.0
Auto lo iface lo inet loopback # Прописываем мост, в него включаем VPN интерфейс tap0 и сетевую карту eth1 auto br0 iface br0 inet static # Добавляем в мост tap0 интерфейс openvpn bridge_ports eth1 tap0 address 10.10.10.1 netmask 255.255.255.0 # Internet auto eth0 iface eth0 inet static address 192.168.50.2 netmask 255.255.255.0 gateway 192.168.50.1
После этого при выполнении команды ifconfig должен появится мост br0 с IP 10.10.10.1, интерфейс eth0 c IP адресом 192.168.50.2 и интерфейс eth1 без IP адреса, так как он в мосте br0
Настраиваем OPENVPN:
Копируем скрипты для конфигурирования нашего openvpn сервера командой:
Cp -Rp /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /etc/openvpn/easy-rsa
Вносим изменения в файл /etc/openvpn/easy-rsa/vars , чтобы определить глобальные переменные и при создании ключей поменьше вводить данных:
Vi /etc/openvpn/easy-rsa/vars
Export KEY_COUNTRY="US" export KEY_PROVINCE="CA" export KEY_CITY="SanFrancisco" export KEY_ORG="Fort-Funston" export KEY_EMAIL=" "
Export KEY_COUNTRY="UA" export KEY_PROVINCE="11" export KEY_CITY="Kiev" export KEY_ORG="NameFirm" export KEY_EMAIL=" "
Переходим в папку с скриптами для создания сертификатов и ключей командой:
Cd /etc/openvpn/easy-rsa/
Инициализируем PKI (Public Key Infrastructure) командами:
. ./vars ./clean-all
Внимание. При выполнении команды ./clean-all удалятся все существующие сертификаты и ключи как сервера так и клиентов, потому не выполняйте на боевом сервере, или же выполняйте предварительно сохранив папку /etc/openvpn/ в архив командой:
Tar cf - /etc/openvpn/ | gzip -c -9 > /home/openvpn_backup.tgz
Генерируем Certificate Authority (CA) сертификат и ключ командой:
./build-ca
Большинство параметров подхватятся из файла vars. Только параметр Name надо указать явно:
Name :vpn
Вообще можете все поля заполнять каждый раз так, как Вам нужно.
Генерируем параметры Диффи - Хеллмана командой:
./build-dh
Генерируем сертификат и секретный ключ сервера, на запрос ввода пароля ничего не вводим, и при запросе Sign the certificate? : вводим y и нажимаем Enter выполнив команду:
./build-key-server server
Все параметры принимаем по умолчанию. На запрос Common Name вводим server
Common Name (eg, your name or your server"s hostname) :server
На вопросы Sign the certificate? и 1 out of 1 certificate requests certified, commit? отвечаем положительно:
Sign the certificate? :y 1 out of 1 certificate requests certified, commit? y
Осталось создать сертификаты и ключи для клиентов. Сначала инициализируем параметры:
Cd /etc/openvpn/easy-rsa/ . ./vars
Создаем ключи для пользователя server1 . По примеру, пользователей добавляем столько, сколько нужно:
./build-key server1 ./build-key client1 ./build-key client2
Исходя из того, что сеть у нас 10.10.10.0/24
мы сразу выделяем пул адресов для компьютеров офиса 1 - 10.10.10.40-149
, для офиса 2 выделяем пул адресов 10.10.10.150-254
и выделяем пул адресов для удаленных сотрудников 10.10.10.21-39.
Создаем папку /etc/openvpn/ccd/
где указываем какому клиенту какой айпи командой:
Mkdir -p /etc/openvpn/ccd/
Прописываем каждому клиенту свой IP в сети командами::
Echo "ifconfig-push 10.10.10.150 255.255.255.0" > /etc/openvpn/ccd/server1 echo "ifconfig-push 10.10.10.21 255.255.255.0" > /etc/openvpn/ccd/client1 echo "ifconfig-push 10.10.10.22 255.255.255.0" > /etc/openvpn/ccd/client2
Cоздаем конфигурационный файл сервера:
Vi /etc/openvpn/server.conf ################################## port 1195 proto udp dev tap0 ca easy-rsa/keys/ca.crt cert easy-rsa/keys/server.crt key easy-rsa/keys/server.key # This file should be kept secret dh easy-rsa/keys/dh1024.pem mode server tls-server daemon ifconfig 10.10.10.1 255.255.255.0 client-config-dir /etc/openvpn/ccd keepalive 10 20 client-to-client comp-lzo persist-key persist-tun verb 3 log-append /var/log/openvpn.log #script-security 2 # раскоментировать при работе на OpenVPN версии от 2.4 up /etc/openvpn/up.sh #################################
Vi /etc/default/openvpn
OPTARGS=""
OPTARGS="--script-security 2"
Создаем скрипт /etc/openvpn/up.sh запускающийся при запуске OpenVPN сервера:
Vi /etc/openvpn/up.sh #!/bin/sh brctl addif br0 tap0 brctl addif br0 eth1 ifconfig tap0 0.0.0.0
Даем права на выполнение скрипта /etc/openvpn/up.sh командой:
Chmod +x /etc/openvpn/up.sh
После этого перезагружаем OpenVPN сервер командой:
Выполняем команду ifconfig , должен появится интерфейс tap0 без IP адреса.
Собираем архив с ключами для раздачи удаленным сотрудникам и отправки на офис 2
Создаем папки с именами пользователей командами:
Mkdir -p /etc/openvpn/users/server1 mkdir -p /etc/openvpn/users/client1 mkdir -p /etc/openvpn/users/client2
Создаем папку с архивированными ключами командой:
Mkdir -p /etc/openvpn/users_tgz
Собираем ключи и сертификаты по папкам пользователей командами:
Cp /etc/openvpn/server/easy-rsa/keys/server1.key /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/server1.crt /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/client1.key /etc/openvpn/users/client1/ cp /etc/openvpn/server/easy-rsa/keys/client1.crt /etc/openvpn/users/client1/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/client1/ cp /etc/openvpn/server/easy-rsa/keys/client2.key /etc/openvpn/users/client2/ cp /etc/openvpn/server/easy-rsa/keys/client2.crt /etc/openvpn/users/client2/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/client2/
Создаем конфигурационные файлы из расчета, что server1 - это сервер удаленного офиса 2, а client1 и client2 это удаленные сотрудники подключающиеся к VPN сети снаружи из Windows.
Вместо IP-SERVER-VPN ставим внешний айпи адрес OpenVPN сервера.
Создаем конфигурационный файл OpenVPN для server1:
Echo " remote IP-SERVER-VPN 1195 client dev tap0 proto udp resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert server1.crt key server1.key comp-lzo verb 4 mute 20 verb 3 log-append /var/log/openvpn.log up /etc/openvpn/up.sh " > /etc/openvpn/users/server1/server1.conf
Архивируем ключи для server1 командой:
Tar cf - /etc/openvpn/users/server1 | gzip -c -9 > /etc/openvpn/users_tgz/server1.tgz
client1 :
Echo " remote IP-SERVER-VPN 1195 client dev tap0 proto udp resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert client1.crt key client1.key comp-lzo verb 4 mute 20 verb 3 " > /etc/openvpn/users/client1/client1.ovpn
Архивируем ключи для client1 командой:
Tar cf - /etc/openvpn/users/client1 | gzip -c -9 > /etc/openvpn/users_tgz/client1.tgz
Создаем конфигурационый файл для client2 командой:
Echo " remote IP-SERVER-VPN 1195 client dev tap0 proto udp resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert client2.crt key client2.key comp-lzo verb 4 mute 20 verb 3 " > /etc/openvpn/users/client1/client2.ovpn
Архивируем ключи для client2 командой:
Tar cf - /etc/openvpn/users/client2 | gzip -c -9 > /etc/openvpn/users_tgz/client2.tgz
Настраиваем VPN сервер офиса 2
В инструкции выше мы установили и настроили VPN сервер на Debian GNU/Linux используя OpenVPN, создали ключи с сертификатами для удаленного сервера офиса 2 и удаленных сотрудников. Теперь нам необходио соеденить офис 1 с офисом 2 в единую локальную сеть через VPN.
Предположим, что в офисе 2 у нас установлен и настроен Linux сервер (шлюз), который занимается распределением интернет канала для сотрудников офиса2. На этом сервере есть 2 сетевые карты: eth0 - интернет провайдер и eth1 - локальная сеть, она будет включена в мост, и будет иметь пул адресов 10.10.10.100-254
Нам необходимо установить програмное обеспечение командой:
Aptitude install bridge-utils openvpn
Настраиваем сеть сервера
Настраиваем сеть исходя из того, что у нас 2 сетевые карты сетевая eth0 - получает интернет от провайдера и через неё офис 1 выходит в интернет, а также сетевая eth1 - включена в свич локальной сети офиса 1, она будет включена в мост с интерфейсом br0
Редактируем конфигурационный файл /etc/network/interfaces:
Vi /etc/network/interfaces
Auto lo iface lo inet loopback # internet provider auto eth0 iface eth0 inet static address 192.168.60.2 netmask 255.255.255.0 gateway 192.168.60.1 # local network auto eth0 iface eth0 inet static address 192.168.1.1 netmask 255.255.255.0
Auto lo iface lo inet loopback # Прописываем мост, в него включаем VPN интерфейс tap0 и сетевую карту eth1 auto br0 iface br0 inet static # Добавляем в мост tap0 интерфейс openvpn bridge_ports eth1 tap0 address 10.10.10.150 netmask 255.255.255.0 # Internet auto eth0 iface eth0 inet static address 192.168.60.2 netmask 255.255.255.0 gateway 192.168.60.1
Сохраняем изменения и перезагружаем сеть командой:
/etc/init.d/networking restart
После этого при выполнении команды ifconfig должен появится мост br0 с IP 10.10.10.150 , интерфейс eth0 c IP адресом 192.168.60.2 и интерфейс eth1 без IP адреса, так как он находится в мосте br0
Для компьютеров офиса 2 выдаем компьютерам IP адреса не выходя за рамки 10.10.10.150-254 , где 10.10.10.150 - это IP адрес сервера офиса 2.
Заливаем с VPN сервера офиса 1 собранный архив ключей OpenVPN на сервер офиса 2 командой:
Ssh -P22 /etc/openvpn/users_tgz/server1.tgz :/root/
Или же, если server1 офиса 2 не имеет постоянного, либо динамического айпи будем сливать ключи с VPN сервера офиса 2 командой:
Ssh -P22 :/etc/openvpn/users_tgz/server1.tgz /root/
На запрос пароля - вводим пароль пользователя root , после ввода правильного пароля скачивается архив с ключами в папку /root/server1.tgz
Распаковываем содержимое архива (только файлы ключей без папок ) /root/server1.tgz в папку /etc/openvpn/
Разрешаем OpenVPN запускать скрипты:
Vi /etc/default/openvpn
OPTARGS=""
OPTARGS="--script-security 2"
Создаем скрипт /etc/openvpn/up.sh запускающийся при подключении VPN клиента к VPN серверу:
Vi /etc/openvpn/up.sh #!/bin/sh brctl addif br0 tap0 brctl addif br0 eth1 ifconfig tap0 0.0.0.0 chmod +x /etc/openvpn/up.sh
Перезагружаем OpenVPN сервер командой:
/etc/init.d/openvpn restart
При выполнении команды ifconfig должен появится интерфейс tap0 без IP адреса.
Теперь можно пинговать с обоих офисов компьютеры другого офиса, пользоватся расшаренными папками, принтерами, ресурсами другого офиса, а также устраивать игровые баталии офис 1 на офис 2:)
Для проверки интерфейсов подключенных в мост, выполняем команду:
Brctl show
Ответ системы:
Bridge name bridge id STP enabled interfaces br0 7000.003ds4sDsf6 no eth1 tap0
Видим нашу локальную сетевую карту eth1 и виртуальный интерфейс OpenVPN tap0
Задача выполнена, два удаленных офиса соединены в одну локальную сеть.
Если Вам статья принесла пользу, поделитесь с друзьями кликнув по иконке Вашей социальной сети внизу данной статьи. Прокоментируйте пожалуйста данную инструкцию, понравилась ли она Вам, принесла пользу? Вы также можете подписатся на получение уведомлений о выходе новых статей на свою почту на странице
А теперь сделаем маленький перерывчик и половину минутки отдохнем подняв себе настроение для более продуктивной работы, просмотрим ролик и улыбнемся:
