Afacerea mea este francize. Evaluări. Povesti de succes. Idei. Munca și educație
Despre site Contacte
Meniul
Contacte
Cautare site

Acasă Dezvoltare de sine Fuzionarea rețelelor. Conectarea a două birouri la distanță și orice număr de angajați la distanță într-o singură rețea locală prin VPN folosind OpenVPN în Debian, Ubuntu și Linux Cum să conectați o rețea de birouri cu un server la distanță

Fuzionarea rețelelor. Conectarea a două birouri la distanță și orice număr de angajați la distanță într-o singură rețea locală prin VPN folosind OpenVPN în Debian, Ubuntu și Linux Cum să conectați o rețea de birouri cu un server la distanță

Deși subiectul este ciudat, cu toate acestea, mulți întâmpină adesea dificultăți - fie că este vorba despre un începător Administrator de sistem sau pur și simplu un utilizator avansat care a fost forțat de superiorii săi să îndeplinească funcțiile unui specialist Enikey. Este paradoxal, dar în ciuda abundenței de informații despre VPN-uri, găsirea unei opțiuni clare este o problemă reală. Mai mult, cineva are chiar impresia că unul l-a scris, în timp ce alții au copiat cu nebunie textul. Drept urmare, rezultatele căutării sunt literalmente aglomerate cu o abundență de informații inutile, din care rareori poate fi extras ceva util. Prin urmare, am decis să mestec toate nuanțele în felul meu (poate că va fi de folos cuiva).

Deci, ce este un VPN? VPN ( VirtualPrivatReţea- rețea privată virtuală) este un nume generalizat pentru tehnologiile care permit ca una sau mai multe conexiuni de rețea (rețea logică) să fie furnizate printr-o altă rețea (inclusiv Internet). În funcție de protocoalele și scopurile utilizate, VPN poate oferi conexiuni trei tipuri: nod-nod, rețea-nodȘi rețea-rețea. După cum se spune, fără comentarii.

Schemă VPN stereotipă

VPN vă permite să combinați cu ușurință o gazdă la distanță cu rețeaua locală a unei companii sau a unei alte gazdă, precum și să combinați rețele într-una singură. Beneficiul este destul de evident - putem accesa cu ușurință rețeaua întreprinderii de la clientul VPN. În plus, VPN vă protejează și datele prin criptare.

Nu pretind că vă descriu toate principiile funcționării VPN, deoarece există multă literatură de specialitate și, sincer să fiu, eu nu știu multe lucruri. Cu toate acestea, dacă sarcina ta este „Fă-o!”, trebuie să te implici urgent în subiect.

Să ne uităm la o problemă din practica mea personală, când aveam nevoie să conectez două birouri prin VPN - un sediu central și o sucursală. Situația s-a complicat și mai mult de faptul că la sediul central exista un server video, care trebuia să primească video de la camera IP a filialei. Iată sarcina pe scurt.

Există multe soluții. Totul depinde de ceea ce ai la îndemână. În general, un VPN este ușor de construit folosind o soluție hardware bazată pe diverse routere Zyxel. În mod ideal, se poate întâmpla și ca internetul să fie distribuit la ambele birouri de către un singur furnizor și atunci nu veți avea deloc probleme (trebuie doar să contactați furnizorul). Dacă compania este bogată, atunci își poate permite CISCO. Dar, de obicei, totul este rezolvat folosind un software.

Și aici alegerea este grozavă - Open VPN, WinRoute (rețineți că este plătit), instrumente ale sistemului de operare, programe precum Hamanchi (ca să fiu sincer, în cazuri rare poate ajuta, dar nu recomand să vă bazați pe el - versiunea gratuită are o limită de 5 gazde și un alt dezavantaj semnificativ este că întreaga ta conexiune depinde de gazda Hamanchi, ceea ce nu este întotdeauna bun). În cazul meu, ideal ar fi să folosești OpenVPN, un program gratuit care poate crea cu ușurință o conexiune VPN de încredere. Dar, ca întotdeauna, vom urma calea celei mai mici rezistențe.

În filiala mea, internetul este distribuit printr-un gateway bazat pe client Windows. Sunt de acord, nu cel mai bun Cea mai bună decizie, dar pentru trei computere client va fi suficient. Trebuie să fac un server VPN de pe acest gateway. Deoarece citiți acest articol, probabil că sunteți sigur că sunteți nou în VPN. Prin urmare, pentru tine dau exemplul cel mai simplu, care, în principiu, mi se potrivește.

Familia Windows NT are deja capabilități rudimentare de server încorporate în ea. Configurarea unui server VPN pe una dintre mașini nu este dificilă. Ca server, voi da exemple de capturi de ecran Windows 7, dar principii generale va fi la fel ca pentru vechiul XP.

Vă rugăm să rețineți că pentru a conecta două rețele, acestea trebuie să aibă intervale diferite! De exemplu, la sediul central intervalul ar putea fi 192.168.0.x, iar la sucursală – 192.168.20.x (sau orice interval IP gri). Acest lucru este foarte important, așa că aveți grijă. Acum, puteți începe configurarea.

Accesați serverul VPN din Panoul de control -> Centru de rețea și partajare -> modificați setările adaptorului.

Acum apăsați tasta Alt pentru a afișa meniul. Acolo, în elementul Fișier, trebuie să selectați „Nouă conexiune de intrare”.

Bifați casetele pentru utilizatorii care se pot conecta prin VPN. Recomand cu căldură să adăugați un utilizator nou, să îi acordați un nume prietenos și să alocați o parolă.

După ce ați făcut acest lucru, trebuie să selectați în fereastra următoare cum se vor conecta utilizatorii. Bifați caseta „Prin internet”. Acum trebuie doar să atribuiți o serie de adrese de rețea virtuală. Mai mult, puteți alege câte computere pot participa la schimbul de date. În fereastra următoare, selectați protocolul TCP/IP versiunea 4, faceți clic pe „Proprietăți”:

Veți vedea ce am în captură de ecran. Dacă doriți ca clientul să obțină acces la rețeaua locală în care se află serverul, pur și simplu bifați caseta de selectare „Permiteți accesul apelanților la rețeaua locală”. În secțiunea „Atribuirea adreselor IP”, vă recomand să specificați adresele manual, conform principiului pe care l-am descris mai sus. În exemplul meu, am dat intervalului doar douăzeci și cinci de adrese, deși aș fi putut specifica doar două sau 255.

După aceea, faceți clic pe butonul „Permiteți accesul”.

Sistemul va crea automat un server VPN, care va aștepta singur ca cineva să i se alăture.

Acum tot ce mai rămâne de făcut este să configurați un client VPN. Pe computerul client, accesați, de asemenea, Centrul de rețea și partajare și selectați Configurați o nouă conexiune sau rețea. Acum va trebui să selectați „Conectați-vă la un loc de muncă”

Faceți clic pe „Utilizați conexiunea mea la Internet” și acum veți fi aruncat într-o fereastră în care va trebui să introduceți adresa gateway-ului nostru de internet la sucursală. Pentru mine pare ca 95.2.x.x

Acum puteți apela conexiunea, introduceți numele de utilizator și parola pe care le-ați introdus pe server și încercați să vă conectați. Dacă totul este corect, veți fi conectat. În cazul meu, pot deja să dau ping la orice computer de ramură și să solicit o cameră. Acum mono este ușor de conectat la un server video. S-ar putea să ai ceva diferit.

Alternativ, la conectare, poate apărea o eroare 800, care indică faptul că ceva nu este în regulă cu conexiunea. Aceasta este fie o problemă de firewall de client, fie de server. Nu vă pot spune în mod specific - totul este determinat experimental.

Așa am creat pur și simplu un VPN între două birouri. Jucătorii pot fi uniți în același mod. Cu toate acestea, nu uitați că acesta nu va fi încă un server cu drepturi depline și este mai bine să folosiți instrumente mai avansate, despre care voi vorbi în următoarele părți.

În special, în partea 2 ne vom uita la configurarea OPenVPN pentru Windows și Linux.

Contactați un specialist Denis Goryainov Director tehnic+79851256588 Pune o întrebare

Conectarea a două sau mai multe rețele locale Sarcini de rețea:

1. să stabilească un schimb de informații rapid, sigur și de încredere între mai multe birouri și sucursale aflate la distanță;

2. conectați angajații mobili la rețeaua locală, asigurând securitatea conexiuni ;

3. crearea unui canal telefonic unic pentru sucursale pentru a economisi și controla costurile și ușurința comutării;

4. crearea unui canal de internet centralizat și distribuirea traficului între filiale;

5. luați birouri la distanță sub controlul „centrului”.

Dacă trebuie să rezolvați aceste probleme, serviciul de la ZSC va permite companiei dumneavoastră să conecteze toate sucursalele și angajații la distanță într-o singură rețea.

Consolidarea rețelelor locale

Când companiile trebuie să unească mai multe sucursale și birouri, astăzi nu mai este suficient ca antreprenorul să înființeze pur și simplu un retea localași să stabilească schimbul de informații.

Clientul are nevoie soluție cuprinzătoare Cu:

  • un singur canal telefonic;
  • trafic de internet gestionat;
  • posibilitate de control automat si de la distanta suport tehnic calculatoare și servere de filială;
  • acces gratuit pentru angajații de la distanță la informațiile corporative.

    • În același timp, trebuie asigurat grad înalt securitatea tuturor acestor fluxuri de informații.

    Astăzi, clientul necesită serviciul de combinare a rețelelor locale „sub cheie„- Antreprenorul trebuie să efectueze fiecare etapă a lucrării în mod independent, cu participarea minimă a clientului. Ca urmare, clientul trebuie să furnizeze sistem centralizat managementul sucursalei cu toate componentele IT necesare și instrumentele de control și suport. Nu vorbim despre un simplu VPN - vorbim despre conectarea virtuală a birourilor de la distanță la nivelul „fizic”.

    În același timp, nu trebuie să uităm că proiectul de combinare a două sau mai multe rețele locale trebuie să fie economic, altfel întregul său rezultat pozitiv va fi neprofitabil.

    Dacă aveți nevoie să realizați o fuziune similară a sucursalelor și birourilor la distanță sau să implementați oricare dintre componentele acesteia (rețea telefonică unificată, trafic de internet echilibrat), suntem deschiși cooperării. Având o vastă experiență și calificări înalte pe piață tehnologii digitale, suntem gata să vă oferim cea mai eficientă și mai rentabilă opțiune, adaptată nevoilor specifice ale afacerii dumneavoastră.

    Dispozitive de agregare a rețelei

    Specialiștii noștri ZSC lucrează cu echipamente de la orice producător. Dacă aveți propriile routere, le vom configura pentru a uni rețelele locale de birouri la distanță.

    Fuzionarea rețelelor Mikrotik

    În practica noastră folosim echipament profesional de la Mikrotik (soluție mai economică și mai populară) și Cisco (soluție mai scumpă și mai funcțională).

    Folosind echipamentele Mikrotik ca exemplu, vom analiza tehnologiile de conectare a rețelelor locale. În ciuda destul de scăzute valoare de piațăÎn comparație cu analogii, platforma software Mikrotik vă permite să configurați canale de schimb de informații flexibile, sigure și funcționale. Echipamentul acestui producător s-a dovedit în numeroasele noastre proiecte și în birouri clientii. În plus, Mikrotik vă permite să economisiți serios bugetul.

    Routerele Mikrotik acceptă până la șapte protocoale pentru trimiterea în siguranță a informațiilor, care sunt criptate sub formă de pachete separate cu un al doilea antet IP. Acest antet include adresa IP a destinatarului și adresa IP a expeditorului. Când încearcă să intercepteze informații, fraudatorul vede doar aceste informații și este imposibil să se determine computerul sursă și computerul destinatar. În cazul unei scurgeri de informații, va dura prea mult timp pentru a descifra codul și nu este încă un fapt că va funcționa. Sunt utilizate și alte opțiuni pentru transferul securizat de informații.

    Protocoale de securitate:

    mai multe detalii

    PPTP (protocol de tunel punct la punct) - folosit pentru a construi rețele dedicate peste cele deschise. E diferit performanta ridicata, o varietate de opțiuni de criptare și capacitatea de a utiliza diverse platforme software.

    L2TP - spre deosebire de PPTP, are o toleranță mai mare la erori și o securitate mai fiabilă. Este folosit atât pentru construirea de rețele închise în cadrul celor deschise, cât și pentru accesarea unei rețele corporative de la dispozitive la distanță, precum și pentru utilizarea unei varietăți de scheme de conexiune.

    IP2IP - criptează informațiile în pachete și îi atribuie un IP separat pentru o transmitere fiabilă către destinatar. Folosit pentru a construi tuneluri între routere prin Internet.

    PPPOE - funcționează similar cu protocolul PPTP, dar este o soluție mai simplă și mai puțin consumatoare de resurse.

    IPSec este una dintre cele mai fiabile opțiuni pentru construirea unui tunel închis. În plus, informațiile sunt criptate și trebuie folosite chei individuale pentru a le citi. Acest lucru oferă un grad înalt, cu două niveluri de protecție a transmisiei datelor.

    VLAN - asigură crearea de tuneluri securizate logice de mare viteză, care din punct de vedere al securității sunt apropiate de transmiterea „fizică” a informațiilor, de exemplu, în interiorul unui birou prin cabluri.

    EoIP - organizează o asociere transparentă de birouri și sucursale la distanță pe canale virtuale create. Vă permite să configurați în mod flexibil traficul pe Internet, politicile individuale de securitate, efectuați echilibrarea și setările pentru sucursalele de la distanță. Pentru a utiliza EoIP, aveți nevoie de o lățime de bandă destul de largă, deoarece protocolul ocupă până la 15% din trafic pentru gestionare.

    Combinația de diferite protocoale de securitate vă permite să construiți canale de schimb de informații flexibile, sigure și fiabile și să răspundeți nevoilor specifice ale afacerii. Dacă este necesară securitate maximă, protocolul IPSec este potrivit, iar dacă este necesar un canal mai simplu pentru transmiterea informațiilor criptate - PPTP, L2TP sau IP2IP. Pentru a organiza o logistică transparentă și controlată a informațiilor între sucursale și birouri, VLAN și EoIP pot fi o alegere.

    Prețul combinării a două sau mai multe rețele locale

    Este imposibil să se prezinte o listă unificată de prețuri cu prețuri de o singură cifră pentru combinarea a două sau mai multe rețele locale care s-ar aplica tuturor proiectelor. În calculul final, mult depinde de sarcinile stabilite, nevoile afacerii, domeniul de activitate, numărul de prize Ethernet, filmarea cablului și multe altele.

    Cu toate acestea, există câțiva indicatori de bază care se aplică anumitor tipuri de muncă:

    Tipul muncii

    Unități

    Preț, frecare.)*

    Instalarea canalului de cablu

    m.

    120

    Instalarea cablului UTP (cat 5 e) ținând cont de instalarea în grup

    m.

    44,48

    Instalarea ondulației ținând cont de prindere

    m.

    Instalarea unei prize RJ-45

    PC.

    200

    Marcarea cablului ținând cont de marcat materiale

    PC.

    Instalare camere CCTV, puncte Wi-Fi etc.

    PC.

    1500

    Testarea liniei pentru contact („continuitate”)

    PC.

    Lucrări de proiectare a sistemului structurat

    mp m.

    Instalarea echipamentelor de retea

    PC.

    400

    Actual din 16.02.2017 (fără TVA)

    Specialiștii și designerii noștri sunt capabili să creeze un proiect pentru conectarea a două sau mai multe rețele locale de orice complexitate și scară, adaptat nevoilor specifice ale afacerii, să îl coordoneze cu clientul și să îl implementeze la cheie.

    O asociere retele de calculatoare- Cum lucrăm:
    • primim datele inițiale, setările și politicile de securitate care funcționează în cadrul companiei dumneavoastră;
    • le integrăm cu setările routerului, configuram echipamentele în funcție de cerințele dumneavoastră;
    • trimitem routerul configurat la sucursala (birou) la distanță și îl conectăm;
    • executa punere in functiune ;
    • îți pune la dispoziție soluție gata făcută- combinarea a două sau mai multe rețele locale.

    Pentru tine - totul este elementar simplu! Și de partea noastră avem experiență vastă, calificări înalte și zeci de proiecte finalizate. Și toate acestea ne permit să lucrăm rapid, eficient și cu economii serioase de buget, fără a sacrifica calitatea.

    Și dacă sunteți clientul nostru al unui serviciu cuprinzător de abonament al tarifului Premium, atunci acest serviciu vă este oferit gratuit (platiți doar pentru echipament)!

    Să aruncăm o privire mai atentă asupra componentelor individuale soluție cuprinzătoare„Combinarea a două sau mai multe rețele locale”.

    Telefonie între birouri la distanță

    Sarcină: creați o rețea telefonică unificată cu numere „scurte” pentru abonații din sucursalele îndepărtate, asigurați economii de costuri la apeluri și control asupra utilizării linii telefonice, conectează la reteaua telefonica angajați mobili, introduceți un singur număr.

    Când ne unim printr-o rețea comună Ethernet birouri centrale și îndepărtate, am format astfel un singur spațiu informațional. În acest spațiu, puteți transfera orice date: fișiere, conținut video, conținut vocal și alte informații. Cel mai răspândit segment de informații care se transmite în cadrul companiei este datele serverului; pe locul doi în popularitate - voceȘi conținut video.

    O singură rețea locală vă permite să configurați echipamentele astfel încât angajații care pot fi despărțiți de mii de kilometri se află în același birou.

    Angajații staționari

    Pentru a construi o rețea telefonică unificată între filiale și „centru”, aveți nevoie de propriul dvs. PBX digital de birou, care este instalat în biroul central. Iar în filiale sunt conectate telefoane IP, pentru care adresele IP sunt configurate ca și cum ar fi o rețea a unui singur birou. PBX-ul și telefonul la distanță se identifică reciproc, după care atribuim un număr „scurt” pentru biroul de la distanță. Totul se întâmplă ca și cum tocmai am adăugat un nou angajat în biroul central.

    Drept urmare, angajații tăi încep să lucreze într-un singur spațiu, indiferent cât de departe sunt unul de celălalt. Când un apel de intrare vine la PBX, centrala telefonică „crede” că sunteți în aceeași rețea și redirecționează apelul, dar este auzit în alt oraș sau chiar țară. Acest lucru asigură nivel inalt transmiterea datelor - comunicarea se realizează prin tuneluri criptate securizate.

    Angajații mobili

    Angajații mobili pot fi, de asemenea, conectați la rețeaua telefonică unificată a companiei. Pentru a face acest lucru, trebuie să folosească telefoane care acceptă tunelul. În interiorul smartphone-ului este configurat un tunel criptat, care „se ridică” atunci când telefonul este conectat Rețele Wi-Fiși este autorizat prin setările prescrise de la centrala centrală din biroul dumneavoastră.

    Drept urmare, angajatul dvs. mobil face parte din rețeaua telefonică corporativă, poate avea un număr „scurt” pentru comutare rapidă și poate utiliza tarife favorabile pentru efectuarea și primirea apelurilor care sunt configurate pe centrala dumneavoastră centrală.

    Avantajele telefoniei unificate între filiale:
    • configurație flexibilă a direcționării interne a apelurilor;
    • capacitatea de a utiliza mai mulți operatori și tarife;
    • capacitatea de a utiliza un singur număr de telefon cu redirecționare ulterioară către numerele de filială;
    • economii semnificative la costurile de telefonie;
    • centralizarea și controlul apelurilor de intrare și de ieșire.

    Printre acestea și alte numeroase avantaje ale unei rețele de telefonie între filiale la distanță, există două principale care au făcut ca acest serviciu să fie atât de solicitat astăzi: primul- utilizarea numerelor multicanal; Și, al doilea- economisirea costurilor de telefonie.

    Datorită multicanalului, apelurile sunt distribuite confortabil între birourile aflate la distanță. Este suficient să configurați pur și simplu un meniu vocal, astfel încât clientul să poată apela un singur număr și să se conecteze la o anumită regiune, oraș, birou sau divizie.

    Economiile de costuri sunt asigurate de rutarea logică între mai mulți operatori care sunt conectați la un singur PBX într-o locație centrală. birou. Adică este suficient să configurați corect o singură centrală telefonică la sediul central, conectând mai mulți operatori la acesta pentru a reduce costurile de telefonie pentru întreaga rețea de sucursale. De exemplu, toate apelurile din Rusia sunt efectuate printr-un singur operator de telefonie IP. Apelurile analogice din Moscova trec prin linii de oraș nelimitate, iar apelurile la distanță lungă printr-un al treilea operator de telefonie SIP. Și așa - pentru toată lumea un tip separat comunicații: intrare/ieșire, apeluri în Rusia, în regiune, oraș, interurban și apeluri internaționale, de pe telefoane fixe și mobile.

    Clienții noștri, în configurații complexe, au de la 2 până la 5 operatori telecom, ceea ce asigură cea mai optimă utilizare a fondurilor. Ei trebuie să monitorizeze funcționarea corectă a unui singur echipament central pentru a deservi efectiv zeci de birouri și pentru a nu pierde zeci de mii de ruble cu utilizarea analfabetă a traficului telefonic.

    Puteți afla mai multe despre acest serviciu în secțiunea „Office PBX”. Aici veți afla exact cât poate economisi o companie utilizând un PBX central.

    Rețele de internet

    Sarcină: asigurați trafic de internet stabil și neîntrerupt într-un birou sau sucursală aflată la distanță

    Când o companie are o sucursală mică în alt oraș, aceasta munca eficienta este asociat cu o conexiune permanentă și stabilă prin Internet și toate procesele de afaceri se opresc de îndată ce conexiunea este pierdută, este necesar să obligatoriu rezerva canale de internet.

    Punerea în aplicare echipament modern de la MikroTik și Cisco, ne putem asigura că procesele de afaceri ale clientului nu se opresc și că sucursalele aflate la distanță primesc în mod constant internet stabil.

    Echilibrarea canalelor de internet ale birourilor la distanță - ce este?

    Pentru a îndeplini această sarcină, configurăm canalele furnizorilor de internet principal și de rezervă. În acest caz, backup-ul poate fi fie un canal suplimentar terestru, fie un canal mai economic al operatorilor de telefonie mobilă (Beeline, MTS, Megafon, Yota, Tele2).

    În cazul unei defecțiuni a canalului principal, de obicei mai puternic, are loc o trecere automată la canalul de rezervă. Cu un astfel de comutator, echipamentul este reautorizat, iar un tunel este ridicat în canalul de rezervă pentru transmiterea securizată a datelor criptate. Mai întâi este necesar să autorizați echipamentul în așa fel încât să fie posibilă echilibrarea între două canale de Internet în funcție de disponibilitatea acestora.

    Pentru utilizatorul final, nu vor avea loc modificări - pur și simplu va continua să utilizeze Internetul, care va fi furnizat temporar printr-un canal de rezervă. Și ale noastre sistem automatizat monitorizarea primește aceste date, specialiștii văd informațiile și trimit o solicitare furnizorului principal de canal pentru a remedia problema.

    Îndemnăm clienții să nu economisească pe un canal de rezervă, deoarece costul utilizării acestuia (până la 1 mie de ruble în funcție de regiune) va fi semnificativ mai mic decât posibilele pierderi de afaceri din cauza întreruperilor singurului canal de internet.

    Există, de asemenea, scheme mai complexe pentru echilibrarea canalelor de internet ale birourilor la distanță. De exemplu, Cisco a dezvoltat și implementat tuneluri GRE. Sunt tunelurile obișnuite, dar antetul GRE este plasat „pe deasupra” pachetului IP standard. Astfel de tuneluri vă permit să efectuați autorizarea domeniului în cadrul rețelei.

    Opțiunea de echilibrare a canalului de internet depinde de nevoile specifice ale clientului.

    Rețelele locale dintre birourile de la distanță pot fi utilizate pentru alte opțiuni de unificare, de exemplu, pentru conferințe video, asigurarea unei politici de securitate unificate și multe altele.

    Noi, la rândul nostru, suntem capabili să asigurăm o astfel de unificare a rețelei de sucursale a clientului, astfel încât infrastructura sa IT să funcționeze fără eșecuri, astfel încât procesele sale de afaceri să nu se oprească - suntem gata să vă oferim o toleranță la erori fără precedent a tuturor componentelor.

    În multe organizații cu mai multe sucursale, este nevoie de a combina rețelele locale de birouri într-o singură rețea corporativă. Conectarea rețelelor va crește eficiența afacerii și va reduce costurile asociate cu birourile la distanță. Consolidarea rețelelor de birouri ale companiei la distanță permite rezolvarea următoarelor probleme:

    • Munca angajaților din toate birourile într-o singură bază de date (de exemplu, 1C)
    • Oferirea accesului angajaților de la distanță la resursele partajate ale companiei corporative prin Internet ( acces de la distanță la retea)
    • Schimb de date rapid și convenabil între angajații birourilor de la distanță

    Conectarea rețelelor se realizează prin rețele publice de internet; prin urmare, se pune problema securității rețelelor de conectare și a confidențialității informațiilor transmise. Tehnologia VPN (Virtual Private Network) este utilizată pentru a conecta în siguranță și în siguranță două rețele prin canale de comunicații publice.

    Configurarea VPN (rețele private virtuale)

    Configurarea VPN (Virtual Private Networks) între sediile companiei (conectarea rețelelor) asigură criptarea datelor transmise. În funcție de nevoile clientului și de infrastructura IT existentă, o rețea VPN poate fi creată pe baza unui complex software sau hardware. O modalitate destul de comună de a crea o rețea VPN este configurarea unei rețele VPN pe baza pachete software, care, pe lângă implementarea unei rețele VPN, poate servi ca firewall și poate filtra traficul de rețea.

    Acces la computer de la distanță

    Să presupunem că avem 2 birouri în diferite părți ale orașului, sau în diferite orașe sau țări, și fiecare dintre ele este conectat la Internet cu suficient canal bun. Trebuie să le conectăm într-o singură rețea locală. În acest caz, niciunul dintre utilizatori nu va trebui să ghicească unde se află acest sau acel computer sau imprimantă în rețeaua locală, să folosească imprimante, foldere partajate și toate avantajele unei rețele fizice. Angajații de la distanță conectați prin OpenVPN vor putea, de asemenea, să lucreze în rețea ca și cum computerele lor s-ar afla în rețeaua fizică a unuia dintre birouri.

    O vom instala în sistem de operare Debian Squeeze, dar instrucțiunile sunt pe deplin aplicabile oricărei distribuții bazate pe Debian și cu modificări minore în comenzile pentru instalarea și configurarea bridge-ului și OpenVPN vor fi aplicabile oricărei distribuții Linux sau FreeBSD.

    Să presupunem că distribuția Debian sau Ubuntu este instalată conform uneia dintre instrucțiuni:

    Să instalăm și să configurăm o rețea VPN bazată pe OpenVPN folosind o punte atinge 0

    Creăm o punte de rețea între rețeaua fizică et1și interfață virtuală atinge 0

    Instalăm programele necesare acceptând solicitarea managerului de pachete:

    Configuram reteaua de server pe baza faptului ca avem 2 placi de retea: retea eth0 et1 br0

    Editarea fișierului de configurare /etc/network/interfaces:

    Auto lo iface lo inet loopback # furnizor de internet auto eth0 iface eth0 inet adresa statica 192.168.50.2 netmask 255.255.255.0 gateway 192.168.50.1 # local network auto eth1 iface eth1 inet static adresa netmask1 10.15.25.255.

    Auto lo iface lo inet loopback # Înregistrăm un bridge, includem interfața tap0 VPN și placa de rețea eth1 în ea auto br0 iface br0 inet static # Adăugăm interfața openvpn la bridge-ul tap0 bridge_ports eth1 tap0 adresa 10.10.10.1 netmask 255.255 .255.0 # Internet auto eth0 iface eth0 inet adresa statica 192.168.50.2 netmask 255.255.255.0 gateway 192.168.50.1

    După aceasta, când rulați comanda ifconfig, ar trebui să apară o punte br0 cu IP 10.10.10.1, interfata eth0 cu adresa IP 192.168.50.2 și interfață et1 fără o adresă IP, deoarece este într-un bridge br0

    Configurarea OPENVPN:
    Copiem scripturile pentru a configura serverul nostru openvpn cu comanda:

    Cp -Rp /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /etc/openvpn/easy-rsa

    Efectuarea de modificări la fișier /etc/openvpn/easy-rsa/vars pentru a defini variabile globale și a introduce mai puține date la crearea cheilor:

    Pe /etc/openvpn/easy-rsa/vars

    Export KEY_COUNTRY="US" export KEY_PROVINCE="CA" export KEY_CITY="SanFrancisco" export KEY_ORG="Fort-Funston" export KEY_EMAIL=" "

    Export KEY_COUNTRY="UA" export KEY_PROVINCE="11" export KEY_CITY="Kiev" export KEY_ORG="NameFirm" export KEY_EMAIL=" "

    Accesați folderul cu scripturi pentru crearea de certificate și chei cu comanda:

    Cd /etc/openvpn/easy-rsa/

    Inițializam PKI (Public Key Infrastructure) cu comenzile:

    . ./vars ./clean-all

    Atenţie. La executarea comenzii ./curata tot Toate certificatele și cheile existente atât ale serverului, cât și ale clienților vor fi șterse, așa că nu le rulați pe un server de producție sau le rulați după salvarea folderului /etc/openvpn/ la arhiva cu comanda:

    Tar cf - /etc/openvpn/ | gzip -c -9 > /home/openvpn_backup.tgz

    Generăm un certificat de autoritate de certificare (CA) și o cheie cu comanda:

    ./build-ca

    Majoritatea parametrilor vor fi preluați din fișierul vars. Doar parametrul Nume trebuie specificat explicit:

    Nume: vpn

    În general, puteți completa toate câmpurile de fiecare dată, după cum aveți nevoie.

    Generam parametri Diffie-Hellman cu comanda:

    ./build-dh

    Generăm un certificat și o cheie secretă de server, nu introducem nimic atunci când vi se solicită o parolă și când vi se solicită Semnează certificatul?: introduce yși apăsați introduce rulând comanda:

    ./build-key-server server

    Toți parametrii sunt acceptați implicit. La cerere Denumirea comună introduce Server

    Nume comun (de exemplu, numele dvs. sau numele de gazdă al serverului dvs.): server

    Pentru întrebări Semnează certificatul?Și 1 din 1 solicită certificat certificat, comite? Raspundem pozitiv:

    Semnează certificatul? :y 1 din 1 solicită certificat certificat, comite? y

    Tot ce rămâne este să creați certificate și chei pentru clienți. Mai întâi inițializam parametrii:

    Cd /etc/openvpn/easy-rsa/ . ./vars

    Crearea cheilor pentru utilizator server1. De exemplu, adăugăm cât mai mulți utilizatori este necesar:

    ./build-key server1 ./build-key client1 ./build-key client2

    Pe baza faptului că avem o rețea 10.10.10.0/24 alocam imediat un grup de adrese pentru computerele din biroul 1 - 10.10.10.40-149 , pentru biroul 2 alocam un pool de adrese 10.10.10.150-254 și alocați un grup de adrese pentru angajații de la distanță 10.10.10.21-39.
    Creați un folder /etc/openvpn/ccd/ unde indicăm ce client cu ce IP folosind comanda:

    Mkdir -p /etc/openvpn/ccd/

    Atribuim fiecărui client propriul IP în rețea folosind comenzile::

    Echo "ifconfig-push 10.10.10.150 255.255.255.0" > /etc/openvpn/ccd/server1 echo "ifconfig-push 10.10.10.21 255.255.255.0" > /etc/openvpn/ccd/server1 echo "ifconfig-push 10.10.10.21 255.255.255.0" > /etc/openvpn/ccd/efig0. 0,22 255.255.255.0" > /etc/openvpn/ccd/client2

    Creați un fișier de configurare a serverului:

    Vi /etc/openvpn/server.conf ################################ port 1195 proto udp dev tap0 ca easy-rsa/keys/ca.crt cert easy-rsa/keys/server.crt cheie easy-rsa/keys/server.key # Acest fișier trebuie păstrat secret dh easy-rsa/keys/dh1024.pem mode server tls- daemon server ifconfig 10.10.10.1 255.255.255.0 client-config-dir /etc/openvpn/ccd keepalive 10 20 client-la-client comp-lzo persist-key persist-tun verb 3 log-append /var/log/openvpn.log #script-security 2 # anulați comentariile când lucrați cu OpenVPN versiunea 2.4 în sus /etc/openvpn/up.sh ############################ ######

    În /etc/default/openvpn

    OPTARGS=""

    OPTARGS="--script-security 2"

    Crearea unui script /etc/openvpn/up.sh lansat când pornește serverul OpenVPN:

    Vi /etc/openvpn/up.sh #!/bin/sh brctl addif br0 tap0 brctl addif br0 eth1 ifconfig tap0 0.0.0.0

    Oferim drepturi pentru a executa scriptul /etc/openvpn/up.sh comanda:

    Chmod +x /etc/openvpn/up.sh

    După aceasta, reporniți serverul OpenVPN cu comanda:

    Executați comanda ifconfig, ar trebui să apară interfața atinge 0 fără o adresă IP.

    Colectăm o arhivă cu chei pentru distribuire către angajații de la distanță și trimitere la biroul 2

    Creăm foldere cu nume de utilizator folosind comenzile:

    Mkdir -p /etc/openvpn/users/server1 mkdir -p /etc/openvpn/users/client1 mkdir -p /etc/openvpn/users/client2

    Creați un folder cu chei arhivate cu comanda:

    Mkdir -p /etc/openvpn/users_tgz

    Colectăm chei și certificate din folderele utilizatorilor folosind comenzile:

    Cp /etc/openvpn/server/easy-rsa/keys/server1.key /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/server1.crt /etc/openvpn/users/ server1/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/client1.key /etc/openvpn/ users/client1/ cp /etc/openvpn/server/easy-rsa/keys/client1.crt /etc/openvpn/users/client1/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/ openvpn/users/client1/ cp /etc/openvpn/server/easy-rsa/keys/client2.key /etc/openvpn/users/client2/ cp /etc/openvpn/server/easy-rsa/keys/client2.crt / etc/openvpn/users/client2/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/client2/

    Creăm fișiere de configurare pe baza faptului că server1 este serverul de birou la distanță 2 și client1Și client2 Aceștia sunt angajați la distanță care se conectează la o rețea VPN din exterior din Windows.

    În loc de IP-SERVER-VPN, setăm adresa IP externă a serverului OpenVPN.

    Creați un fișier de configurare OpenVPN pentru server1:

    Echo " la distanță IP-SERVER-VPN 1195 client dev tap0 proto udp rezolv-retry infinit nobind persist-key persist-tun ca ca.crt cert server1.crt cheie server1.key comp-lzo verb 4 mute 20 verb 3 log-append / var/log/openvpn.log up /etc/openvpn/up.sh " > /etc/openvpn/users/server1/server1.conf

    Arhivarea cheilor pentru server1 comanda:

    Tar cf - /etc/openvpn/users/server1 | gzip -c -9 > /etc/openvpn/users_tgz/server1.tgz

    client1:

    Echo " la distanță IP-SERVER-VPN 1195 client dev tap0 proto udp rezolv-retry infinit nobind persist-key persist-tun ca ca.crt cert client1.crt cheie client1.key comp-lzo verb 4 mute 20 verb 3 " > /etc /openvpn/users/client1/client1.ovpn

    Arhivați cheile pentru client1 cu comanda:

    Tar cf - /etc/openvpn/users/client1 | gzip -c -9 > /etc/openvpn/users_tgz/client1.tgz

    Creați un fișier de configurare pentru client2 comanda:

    Echo " la distanță IP-SERVER-VPN 1195 client dev tap0 proto udp rezolv-retry infinit nobind persist-key persist-tun ca ca.crt cert client2.crt cheie client2.key comp-lzo verb 4 mute 20 verb 3 " > /etc /openvpn/users/client1/client2.ovpn

    Arhivarea cheilor pentru client2 comanda:

    Tar cf - /etc/openvpn/users/client2 | gzip -c -9 > /etc/openvpn/users_tgz/client2.tgz

    Configurarea serverului VPN pentru birou 2

    În instrucțiunile de mai sus, am instalat și configurat serverul VPN Debian GNU/Linux folosind OpenVPN, am creat chei cu certificate pentru serverul de la distanță al biroului 2 și angajații de la distanță. Acum trebuie să conectăm biroul 1 cu biroul 2 într-o singură rețea locală prin VPN.

    Să presupunem că în office 2 am instalat și configurat un server Linux (gateway), care distribuie canalul de Internet pentru angajații office 2. Acest server are 2 plăci de rețea: eth0 - furnizor de internet și et1- retea locala, va fi inclusa in pod si va avea un pool de adrese 10.10.10.100-254

    Trebuie să instalăm software-ul cu comanda:

    Aptitude instalează bridge-utils openvpn

    Configurarea rețelei de servere

    Configuram reteaua pe baza faptului ca avem 2 placi de retea eth0- primeste internetul de la furnizor si prin acesta biroul 1 acceseaza internetul, precum si reteaua et1- inclus în comutatorul de rețea locală al biroului 1, va fi inclus în bridge-ul cu interfața br0

    Editați fișierul de configurare /etc/network/interfaces:

    Vi /etc/network/interfaces

    Auto lo iface lo inet loopback # furnizor de internet auto eth0 iface eth0 inet adresa statica 192.168.60.2 netmask 255.255.255.0 gateway 192.168.60.1 # local network auto eth0 iface eth0 inet static address netmask 192.15525 192.155.

    Auto lo iface lo inet loopback # Înregistrăm un bridge, includem interfața tap0 VPN și placa de rețea eth1 în ea auto br0 iface br0 inet static # Adăugăm interfața openvpn la bridge-ul tap0 bridge_ports eth1 tap0 adresa 10.10.10.150 netmask 255.255 .255.0 # Internet auto eth0 iface eth0 inet adresa statica 192.168.60.2 netmask 255.255.255.0 gateway 192.168.60.1

    Salvați modificările și reporniți rețeaua cu comanda:

    /etc/init.d/networking restart

    După aceasta, la executarea comenzii ifconfig ar trebui să apară un pod br0 cu IP 10.10.10.150 , interfata eth0 cu adresa IP 192.168.60.2 și interfață et1 fără o adresă IP, deoarece este într-un bridge br0

    Pentru computerele Office 2, emitem adrese IP computerelor fără a merge mai departe 10.10.10.150-254 , Unde 10.10.10.150 - aceasta este adresa IP a serverului Office 2.

    Încărcăm arhiva chei OpenVPN colectată de pe serverul VPN de birou 1 pe serverul de birou 2 cu comanda:

    Ssh -P22 /etc/openvpn/users_tgz/server1.tgz :/root/

    Sau, dacă serverul 1 al biroului 2 nu are un IP permanent sau dinamic, vom îmbina cheile de pe serverul VPN al biroului 2 cu comanda:

    Ssh -P22 :/etc/openvpn/users_tgz/server1.tgz /root/

    Când vi se solicită o parolă, introduceți parola de utilizator rădăcină, după introducerea parolei corecte, arhiva cu cheile este descărcată în folder /root/server1.tgz

    Despachetați conținutul arhivei ( numai fișiere cheie fără foldere) /root/server1.tgzîntr-un folder /etc/openvpn/

    Permiteți OpenVPN să ruleze scripturi:

    În /etc/default/openvpn

    OPTARGS=""

    OPTARGS="--script-security 2"

    Crearea unui script /etc/openvpn/up.sh lansat când clientul VPN se conectează la serverul VPN:

    Vi /etc/openvpn/up.sh #!/bin/sh brctl addif br0 tap0 brctl addif br0 eth1 ifconfig tap0 0.0.0.0 chmod +x /etc/openvpn/up.sh

    Reporniți serverul OpenVPN cu comanda:

    /etc/init.d/openvpn reporniți

    La executarea comenzii ifconfig ar trebui să apară interfața atinge 0 fără o adresă IP.

    Acum poți să dai ping la computerele altui birou din ambele birouri, să folosești foldere partajate, imprimante, resurse ale altui birou și, de asemenea, să organizezi bătălii de jocuri între biroul 1 și biroul 2 :)

    Pentru a verifica interfețele conectate la punte, rulați comanda:

    Spectacol BRCTl

    Răspunsul sistemului:

    Nume pod ID pod Interfețe activate STP br0 7000.003ds4sDsf6 nu eth1 tap0

    Vedem placa noastră de rețea locală et1și interfața virtuală OpenVPN atinge 0

    Sarcina este finalizată, două birouri la distanță sunt conectate într-o singură rețea locală.

    Dacă ați găsit acest articol util, vă rugăm să-l distribuiți prietenilor tăi făcând clic pe pictograma ta. rețea socialăîn partea de jos a acestui articol. Vă rugăm să comentați această instrucțiune, v-a plăcut sau v-a fost util? De asemenea, vă puteți abona pentru a primi notificări despre articole noi pe e-mailul dvs. de pe pagină

    Acum să luăm o scurtă pauză și să ne odihnim o jumătate de minut, ridicându-ne dispozițiile pentru o muncă mai productivă, urmăriți videoclipul și zâmbim:

    avtovsamare.ru - Afacerea mea - Francize. Evaluări. Povesti de succes. Idei. Munca și educație

    Certificat de înregistrare a mass-media EL Nr FS 77 - 57771 din 18.04.2014.
    Copyright © 2006-2017. Toate materialele sunt protejate prin drepturi de autor
    Institutul de presă „BusinessGarant” este înregistrat de către Serviciul Federal de Supraveghere a Comunicațiilor, Tehnologiilor Informației și Comunicațiilor de Masă