การรวมเครือข่าย การเชื่อมต่อสำนักงานระยะไกลสองแห่งและพนักงานระยะไกลจำนวนเท่าใดก็ได้ในเครือข่ายท้องถิ่นเดียวผ่าน VPN โดยใช้ OpenVPN ใน Debian & Ubuntu และ Linux วิธีเชื่อมต่อเครือข่ายสำนักงานกับเซิร์ฟเวอร์ระยะไกล

แม้ว่าหัวข้อนี้จะถูกแฮ็ก แต่หลายคนก็มักจะประสบปัญหาไม่ว่าจะเป็นมือใหม่ก็ตาม ผู้ดูแลระบบหรือเพียงแค่ผู้ใช้ขั้นสูงที่ถูกบังคับโดยผู้บังคับบัญชาให้ปฏิบัติหน้าที่ของผู้เชี่ยวชาญของ Enikey มันขัดแย้งกัน แต่ถึงแม้จะมีข้อมูลมากมายเกี่ยวกับ VPN แต่การค้นหาตัวเลือกที่ชัดเจนก็เป็นปัญหาที่แท้จริง ยิ่งกว่านั้น มีคนรู้สึกว่ามีคนเขียนมัน ในขณะที่คนอื่นคัดลอกข้อความอย่างโจ่งแจ้ง เป็นผลให้ผลการค้นหาเต็มไปด้วยข้อมูลที่ไม่จำเป็นมากมาย ซึ่งแทบจะไม่สามารถดึงสิ่งที่คุ้มค่าออกมาได้ ดังนั้นฉันจึงตัดสินใจเคี้ยวความแตกต่างทั้งหมดด้วยวิธีของฉันเอง (บางทีมันอาจจะเป็นประโยชน์กับใครบางคน)

VPN คืออะไร? วีพีเอ็น ( เสมือนส่วนตัวเครือข่าย- เครือข่ายส่วนตัวเสมือน) เป็นชื่อทั่วไปสำหรับเทคโนโลยีที่อนุญาตให้มีการเชื่อมต่อเครือข่ายหนึ่งรายการขึ้นไป (เครือข่ายลอจิคัล) ผ่านเครือข่ายอื่น (รวมถึงอินเทอร์เน็ต) ขึ้นอยู่กับโปรโตคอลและวัตถุประสงค์ที่ใช้ VPN สามารถให้การเชื่อมต่อได้ สามประเภท: โหนดโหนด, โหนดเครือข่ายและ เครือข่ายเครือข่ายอย่างที่พวกเขาพูดไม่มีความคิดเห็น

โครงการ VPN แบบเหมารวม

VPN ช่วยให้คุณสามารถรวมโฮสต์ระยะไกลเข้ากับเครือข่ายท้องถิ่นของบริษัทหรือโฮสต์อื่นได้อย่างง่ายดาย รวมทั้งรวมเครือข่ายเป็นหนึ่งเดียว ประโยชน์ที่ได้ค่อนข้างชัดเจน - เราสามารถเข้าถึงเครือข่ายองค์กรได้อย่างง่ายดายจากไคลเอนต์ VPN นอกจากนี้ VPN ยังปกป้องข้อมูลของคุณผ่านการเข้ารหัสอีกด้วย

ฉันไม่ได้เสแสร้งอธิบายหลักการทั้งหมดของการทำงานของ VPN ให้คุณฟัง เนื่องจากมีวรรณกรรมเฉพาะทางมากมาย และพูดตามตรง ฉันเองก็ไม่รู้อะไรมากมายนัก อย่างไรก็ตาม หากงานของคุณคือ “ลงมือทำ!” คุณจำเป็นต้องมีส่วนร่วมในหัวข้อนี้อย่างเร่งด่วน

มาดูปัญหาจากการปฏิบัติงานส่วนตัวของฉัน เมื่อฉันต้องเชื่อมต่อสำนักงานสองแห่งผ่าน VPN - สำนักงานใหญ่และสำนักงานสาขา สถานการณ์มีความซับซ้อนมากขึ้นเนื่องจากมีเซิร์ฟเวอร์วิดีโออยู่ที่สำนักงานใหญ่ ซึ่งควรจะรับวิดีโอจากกล้อง IP ของสาขา นี่คืองานโดยย่อ

มีวิธีแก้ปัญหามากมาย ทุกอย่างขึ้นอยู่กับสิ่งที่คุณมีอยู่ โดยทั่วไป VPN นั้นง่ายต่อการสร้างโดยใช้โซลูชันฮาร์ดแวร์ที่ใช้เราเตอร์ Zyxel ต่างๆ ตามหลักการแล้ว อาจเป็นไปได้ว่าอินเทอร์เน็ตถูกเผยแพร่ไปยังสำนักงานทั้งสองโดยผู้ให้บริการรายเดียว จากนั้นคุณจะไม่มีปัญหาใด ๆ เลย (คุณเพียงแค่ต้องติดต่อผู้ให้บริการ) ถ้าบริษัทรวยก็ซื้อ CISCO ได้ แต่โดยปกติแล้วทุกอย่างจะแก้ไขได้โดยใช้ซอฟต์แวร์

และนี่คือตัวเลือกที่ยอดเยี่ยม - Open VPN, WinRoute (โปรดทราบว่าต้องจ่ายเงิน), เครื่องมือระบบปฏิบัติการ, โปรแกรมอย่าง Hamanchi (พูดตามตรงในบางกรณีที่หายากก็สามารถช่วยได้ แต่ฉันไม่แนะนำให้พึ่งพามัน - เวอร์ชันฟรีจำกัดที่ 5 โฮสต์ และข้อเสียที่สำคัญอีกประการหนึ่งคือการเชื่อมต่อทั้งหมดของคุณขึ้นอยู่กับโฮสต์ Hamanchi ซึ่งไม่ได้ดีเสมอไป) ในกรณีของฉัน การใช้ OpenVPN เป็นโปรแกรมฟรีที่สามารถสร้างการเชื่อมต่อ VPN ที่เชื่อถือได้ได้อย่างง่ายดาย แต่เช่นเคย เราจะเดินตามเส้นทางที่มีการต่อต้านน้อยที่สุด

ในสาขาของฉัน อินเทอร์เน็ตได้รับการเผยแพร่โดยเกตเวย์ที่ใช้ไคลเอ็นต์ Windows ฉันเห็นด้วย ไม่ใช่สิ่งที่ดีที่สุด ทางออกที่ดีที่สุดแต่สำหรับคอมพิวเตอร์ไคลเอนต์สามเครื่องก็เพียงพอแล้ว ฉันต้องสร้างเซิร์ฟเวอร์ VPN จากเกตเวย์นี้ เนื่องจากคุณกำลังอ่านบทความนี้ คุณคงแน่ใจว่าคุณยังใหม่กับ VPN ดังนั้นสำหรับคุณฉันขอยกตัวอย่างที่ง่ายที่สุดซึ่งโดยหลักการแล้วเหมาะกับฉัน

ตระกูล Windows NT มีความสามารถด้านเซิร์ฟเวอร์พื้นฐานอยู่แล้ว การตั้งค่าเซิร์ฟเวอร์ VPN บนเครื่องใดเครื่องหนึ่งนั้นไม่ใช่เรื่องยาก ในฐานะเซิร์ฟเวอร์ผมจะยกตัวอย่างภาพหน้าจอของ Windows 7 มาให้แต่ หลักการทั่วไปจะเหมือนกับ XP เก่า

โปรดทราบว่าในการเชื่อมต่อสองเครือข่าย จะต้องมีช่วงที่แตกต่างกัน! ตัวอย่างเช่น ที่สำนักงานใหญ่ ช่วงอาจเป็น 192.168.0.x และที่สำนักงานสาขาอาจเป็น 192.168.20.x (หรือช่วง IP สีเทาใดๆ) นี่เป็นสิ่งสำคัญมากดังนั้นควรระวัง ตอนนี้คุณสามารถเริ่มการตั้งค่าได้แล้ว

ไปที่เซิร์ฟเวอร์ VPN ในแผงควบคุม -> ศูนย์เครือข่ายและการแบ่งปัน -> เปลี่ยนการตั้งค่าอะแดปเตอร์

ตอนนี้กดปุ่ม Alt เพื่อเปิดเมนู ในรายการไฟล์คุณต้องเลือก "การเชื่อมต่อขาเข้าใหม่"

ทำเครื่องหมายในช่องสำหรับผู้ใช้ที่สามารถเข้าสู่ระบบผ่าน VPN ฉันขอแนะนำอย่างยิ่งให้เพิ่มผู้ใช้ใหม่ ตั้งชื่อที่เป็นมิตรและกำหนดรหัสผ่าน

หลังจากที่คุณดำเนินการนี้แล้ว คุณจะต้องเลือกในหน้าต่างถัดไปว่าผู้ใช้จะเชื่อมต่ออย่างไร ทำเครื่องหมายที่ช่อง "ผ่านทางอินเทอร์เน็ต" ตอนนี้คุณเพียงแค่ต้องกำหนดช่วงที่อยู่เครือข่ายเสมือน นอกจากนี้ คุณสามารถเลือกจำนวนคอมพิวเตอร์ที่จะเข้าร่วมในการแลกเปลี่ยนข้อมูลได้ ในหน้าต่างถัดไป เลือกโปรโตคอล TCP/IP เวอร์ชัน 4 คลิก "คุณสมบัติ":

คุณจะเห็นสิ่งที่ฉันมีในภาพหน้าจอ หากคุณต้องการให้ไคลเอ็นต์เข้าถึงเครือข่ายท้องถิ่นที่เซิร์ฟเวอร์ตั้งอยู่ เพียงทำเครื่องหมายที่ช่อง "อนุญาตให้ผู้โทรเข้าถึงเครือข่ายท้องถิ่น" ในส่วน "การกำหนดที่อยู่ IP" ฉันขอแนะนำให้ระบุที่อยู่ด้วยตนเองตามหลักการที่ฉันอธิบายไว้ข้างต้น ในตัวอย่างของฉัน ฉันให้ช่วงที่อยู่เพียงยี่สิบห้าที่อยู่ แม้ว่าฉันจะระบุเพียงสองหรือ 255 ที่อยู่ก็ได้

หลังจากนั้นคลิกที่ปุ่ม "อนุญาตการเข้าถึง"

ระบบจะสร้างเซิร์ฟเวอร์ VPN โดยอัตโนมัติ ซึ่งจะรอใครสักคนมาเข้าร่วมอย่างโดดเดี่ยว

ตอนนี้สิ่งที่คุณต้องทำคือตั้งค่าไคลเอนต์ VPN บนเครื่องไคลเอนต์ ให้ไปที่ Network and Sharing Center และเลือก Set up a new Connection or Network ตอนนี้คุณจะต้องเลือก "เชื่อมต่อกับที่ทำงาน"

คลิกที่ "ใช้การเชื่อมต่ออินเทอร์เน็ตของฉัน" และตอนนี้คุณจะถูกโยนออกไปนอกหน้าต่างซึ่งคุณจะต้องป้อนที่อยู่ของเกตเวย์อินเทอร์เน็ตของเราที่สาขา สำหรับฉันมันดูเหมือน 95.2.x.x

ตอนนี้คุณสามารถเรียกการเชื่อมต่อป้อนชื่อผู้ใช้และรหัสผ่านที่คุณป้อนบนเซิร์ฟเวอร์แล้วลองเชื่อมต่อ หากทุกอย่างถูกต้อง คุณจะเชื่อมต่อได้ ในกรณีของฉัน ฉันสามารถ ping ไปยังคอมพิวเตอร์สาขาใดก็ได้และขอกล้องได้แล้ว ตอนนี้การเชื่อมต่อแบบโมโนกับเซิร์ฟเวอร์วิดีโอเป็นเรื่องง่าย คุณอาจมีบางอย่างที่แตกต่างออกไป

หรืออีกทางหนึ่งเมื่อเชื่อมต่ออาจมีข้อผิดพลาด 800 ปรากฏขึ้นเพื่อระบุว่ามีบางอย่างผิดปกติกับการเชื่อมต่อ นี่เป็นปัญหาไฟร์วอลล์ของไคลเอ็นต์หรือเซิร์ฟเวอร์ ฉันไม่สามารถบอกคุณได้โดยเฉพาะ - ทุกอย่างถูกกำหนดโดยการทดลอง

นี่คือวิธีที่เราสร้าง VPN ระหว่างสำนักงานสองแห่ง ผู้เล่นสามารถรวมเป็นหนึ่งเดียวกันได้ อย่างไรก็ตามอย่าลืมว่านี่จะยังไม่ใช่เซิร์ฟเวอร์ที่มีคุณสมบัติครบถ้วนและควรใช้เครื่องมือขั้นสูงมากกว่านี้ซึ่งฉันจะพูดถึงในส่วนต่อไปนี้

โดยเฉพาะอย่างยิ่งในส่วนที่ 2 เราจะดูการตั้งค่า OPENVPN สำหรับ Windows และ Linux

ติดต่อผู้เชี่ยวชาญ Denis Goryainov ผู้อำนวยการด้านเทคนิค+79851256588 ถามคำถาม

การเชื่อมต่อเครือข่ายท้องถิ่นตั้งแต่สองเครือข่ายขึ้นไปงานเครือข่าย:

1. สร้างการแลกเปลี่ยนข้อมูลที่รวดเร็ว ปลอดภัย และเชื่อถือได้ระหว่างสำนักงานและสาขาระยะไกลหลายแห่ง

2. เชื่อมต่อพนักงานนอกสถานที่เข้ากับเครือข่ายท้องถิ่นเพื่อให้มั่นใจในความปลอดภัย การเชื่อมต่อ ;

3. สร้างช่องทางโทรศัพท์เดียวสำหรับสาขาเพื่อประหยัดและควบคุมต้นทุนและเปลี่ยนสายได้ง่าย

4. สร้างช่องทางอินเทอร์เน็ตแบบรวมศูนย์และกระจายการรับส่งข้อมูลระหว่างสาขา

5. เข้ายึดสำนักงานระยะไกลภายใต้การควบคุมของ “ศูนย์”

หากคุณต้องการแก้ไขปัญหาเหล่านี้ บริการจาก ZSC จะช่วยให้บริษัทของคุณสามารถเชื่อมต่อสาขาและพนักงานที่อยู่ห่างไกลทั้งหมดไว้ในเครือข่ายเดียว

การรวมเครือข่ายท้องถิ่น

เมื่อบริษัทต่างๆ จำเป็นต้องรวมสาขาและสำนักงานหลายแห่งเข้าด้วยกัน ในปัจจุบันผู้รับเหมาเพียงตั้งค่าส่วนกลางไม่เพียงพออีกต่อไป เครือข่ายท้องถิ่นและสร้างการแลกเปลี่ยนข้อมูล

ลูกค้าต้องการ โซลูชั่นที่ครอบคลุมกับ:

ช่องโทรศัพท์เดียว

จัดการการรับส่งข้อมูลทางอินเทอร์เน็ต

ความเป็นไปได้ของการควบคุมอัตโนมัติและระยะไกล การสนับสนุนด้านเทคนิคคอมพิวเตอร์สาขาและเซิร์ฟเวอร์

เข้าถึงข้อมูลองค์กรของพนักงานระยะไกลได้ฟรี

ในขณะเดียวกันก็ต้องมั่นใจด้วย ระดับสูงความปลอดภัยของกระแสข้อมูลทั้งหมดนี้

ปัจจุบันลูกค้าต้องการบริการรวมเครือข่ายท้องถิ่น “ภายใต้ สำคัญ“- ผู้รับเหมาจะต้องดำเนินการแต่ละขั้นตอนของงานอย่างเป็นอิสระโดยมีส่วนร่วมจากลูกค้าน้อยที่สุด ส่งผลให้ลูกค้าต้องจัดเตรียม ระบบรวมศูนย์การจัดการสาขาด้วยองค์ประกอบไอทีที่จำเป็นทั้งหมด ตลอดจนเครื่องมือควบคุมและสนับสนุน เราไม่ได้พูดถึง VPN ธรรมดา แต่เรากำลังพูดถึงการเชื่อมต่อเสมือนจริงของสำนักงานระยะไกลในระดับ "ทางกายภาพ"

ในเวลาเดียวกันเราต้องไม่ลืมว่าโครงการรวมเครือข่ายท้องถิ่นตั้งแต่สองเครือข่ายขึ้นไปจะต้องประหยัด มิฉะนั้นผลลัพธ์เชิงบวกทั้งหมดจะไม่ทำกำไร

หากคุณต้องการดำเนินการควบรวมสาขาและสำนักงานระยะไกลที่คล้ายกันให้เสร็จสิ้น หรือใช้ส่วนประกอบใดๆ (เครือข่ายโทรศัพท์แบบรวมศูนย์ การรับส่งข้อมูลอินเทอร์เน็ตที่สมดุล) เรายินดีให้ความร่วมมือ มีประสบการณ์มากมายและมีคุณสมบัติสูงในตลาด เทคโนโลยีดิจิทัลเราพร้อมที่จะเสนอทางเลือกที่มีประสิทธิภาพและคุ้มค่าที่สุดแก่คุณ ซึ่งปรับให้เหมาะกับความต้องการเฉพาะของธุรกิจของคุณ

อุปกรณ์รวมเครือข่าย

ผู้เชี่ยวชาญ ZSC ของเราทำงานร่วมกับอุปกรณ์จากผู้ผลิตทุกราย หากคุณมีเราเตอร์ของคุณเอง เราจะกำหนดค่าให้เราเตอร์เหล่านั้นรวมเครือข่ายท้องถิ่นของสำนักงานระยะไกลเข้าด้วยกัน

การรวมเครือข่าย Mikrotik

ในการปฏิบัติของเราเราใช้ อุปกรณ์มืออาชีพจาก Mikrotik (โซลูชันที่ประหยัดและได้รับความนิยมมากกว่า) และ Cisco (โซลูชันที่มีราคาแพงและใช้งานได้ดีกว่า)

โดยใช้อุปกรณ์ Mikrotik เป็นตัวอย่าง เราจะวิเคราะห์เทคโนโลยีสำหรับการเชื่อมต่อเครือข่ายท้องถิ่น แม้จะค่อนข้างต่ำก็ตาม มูลค่าตลาดเมื่อเปรียบเทียบกับระบบอะนาล็อกแล้ว แพลตฟอร์มซอฟต์แวร์ Mikrotik ช่วยให้คุณสามารถตั้งค่าช่องทางการแลกเปลี่ยนข้อมูลที่ยืดหยุ่น ปลอดภัย และใช้งานได้ อุปกรณ์ของผู้ผลิตรายนี้ได้พิสูจน์ตัวเองแล้วในโครงการมากมายของเราและใน สำนักงานลูกค้า นอกจากนี้ Mikrotik ยังช่วยให้คุณประหยัดงบประมาณได้อย่างจริงจัง

เราเตอร์ Mikrotik รองรับโปรโตคอลสูงสุดเจ็ดโปรโตคอลสำหรับการส่งข้อมูลอย่างปลอดภัย ซึ่งถูกเข้ารหัสในรูปแบบของแพ็กเก็ตแยกกันพร้อมส่วนหัว IP ที่สอง ส่วนหัวนี้ประกอบด้วยที่อยู่ IP ของผู้รับและที่อยู่ IP ของผู้ส่ง เมื่อพยายามดักจับข้อมูล ผู้ฉ้อโกงจะเห็นเฉพาะข้อมูลนี้ และไม่สามารถระบุคอมพิวเตอร์ต้นทางและคอมพิวเตอร์ของผู้รับได้ ในกรณีที่ข้อมูลรั่วไหล การถอดรหัสโค้ดจะใช้เวลามากเกินไปและยังไม่เป็นที่แน่ชัดว่าจะใช้งานได้หรือไม่ นอกจากนี้ยังมีการใช้ตัวเลือกอื่นสำหรับการถ่ายโอนข้อมูลที่ปลอดภัยอีกด้วย

โปรโตคอลความปลอดภัย:

รายละเอียดเพิ่มเติม

PPTP (โปรโตคอลช่องสัญญาณแบบจุดต่อจุด) - ใช้เพื่อสร้างเครือข่ายเฉพาะบนเครือข่ายแบบเปิด แตกต่าง ประสิทธิภาพสูงตัวเลือกการเข้ารหัสที่หลากหลายและความสามารถในการใช้แพลตฟอร์มซอฟต์แวร์ที่หลากหลาย

L2TP - ต่างจาก PPTP ตรงที่มีความทนทานต่อข้อผิดพลาดสูงกว่าและความปลอดภัยที่เชื่อถือได้มากกว่า ใช้ทั้งในการสร้างเครือข่ายแบบปิดภายในเครือข่ายแบบเปิด และสำหรับการเข้าถึงเครือข่ายองค์กรจากอุปกรณ์ระยะไกล รวมถึงการใช้รูปแบบการเชื่อมต่อที่หลากหลาย

IP2IP - เข้ารหัสข้อมูลลงในแพ็คเก็ตและกำหนด IP แยกต่างหากเพื่อการส่งข้อมูลที่เชื่อถือได้ไปยังผู้รับ ใช้เพื่อสร้างอุโมงค์ระหว่างเราเตอร์ผ่านทางอินเทอร์เน็ต

PPPOE - ทำงานคล้ายกับโปรโตคอล PPTP แต่เป็นโซลูชันที่ง่ายกว่าและใช้ทรัพยากรน้อยกว่า

IPSec เป็นหนึ่งในตัวเลือกที่น่าเชื่อถือที่สุดสำหรับการสร้างอุโมงค์แบบปิด นอกจากนี้ข้อมูลจะถูกเข้ารหัสและต้องใช้แต่ละคีย์ในการอ่าน ซึ่งให้การป้องกันการรับส่งข้อมูลในระดับสูงสองระดับ

VLAN - ให้การสร้างอุโมงค์ความปลอดภัยความเร็วสูงแบบลอจิคัล ซึ่งในแง่ของความปลอดภัยนั้นใกล้เคียงกับการส่งข้อมูล "ทางกายภาพ" เช่น ภายในสำนักงานผ่านสายเคเบิล

EoIP - จัดระเบียบการเชื่อมโยงที่โปร่งใสของสำนักงานระยะไกลและสาขาผ่านช่องทางเสมือนที่สร้างขึ้น ช่วยให้คุณสามารถกำหนดค่าการรับส่งข้อมูลอินเทอร์เน็ต นโยบายความปลอดภัยส่วนบุคคล ดำเนินการปรับสมดุล และการตั้งค่าสำหรับสาขาระยะไกลได้อย่างยืดหยุ่น ในการใช้ EoIP คุณต้องมีแบนด์วิดท์ที่ค่อนข้างกว้าง เนื่องจากโปรโตคอลใช้ปริมาณการรับส่งข้อมูลมากถึง 15% สำหรับการจัดการ

การรวมกันของโปรโตคอลความปลอดภัยต่างๆ ช่วยให้คุณสร้างช่องทางการแลกเปลี่ยนข้อมูลที่ยืดหยุ่น ปลอดภัย และเชื่อถือได้ และตอบสนองความต้องการทางธุรกิจที่เฉพาะเจาะจง หากจำเป็นต้องมีการรักษาความปลอดภัยสูงสุด โปรโตคอล IPSec ก็เหมาะสม และหากจำเป็นต้องมีช่องทางที่ง่ายกว่าในการส่งข้อมูลที่เข้ารหัส - PPTP, L2TP หรือ IP2IP เพื่อจัดระเบียบการขนส่งข้อมูลระหว่างสาขาและสำนักงานอย่างโปร่งใสและควบคุมได้ VLAN และ EoIP สามารถเป็นตัวเลือกได้

ราคาของการรวมเครือข่ายท้องถิ่นตั้งแต่สองเครือข่ายขึ้นไป

เป็นไปไม่ได้ที่จะแสดงรายการราคาแบบรวมด้วยราคาหลักเดียวสำหรับการรวมเครือข่ายท้องถิ่นตั้งแต่สองเครือข่ายขึ้นไปที่จะนำไปใช้กับทุกโครงการ ในการคำนวณขั้นสุดท้าย ขึ้นอยู่กับชุดงาน ความต้องการทางธุรกิจ ขอบเขตงาน จำนวนซ็อกเก็ตอีเธอร์เน็ต ภาพสายเคเบิล และอื่นๆ อีกมากมาย

อย่างไรก็ตาม มีตัวบ่งชี้พื้นฐานหลายประการที่ใช้กับงานบางประเภท:

ประเภทของงาน	หน่วยวัด	ราคา (บาท)*
การติดตั้งช่องเคเบิล	ม.	120
การติดตั้งสาย UTP (cat 5 e) โดยคำนึงถึงการติดตั้งแบบกลุ่ม	ม.	44,48
การติดตั้งลอนโดยคำนึงถึงการยึด	ม.
การติดตั้งเต้ารับ RJ-45	ชิ้น	200
การทำเครื่องหมายสายเคเบิลโดยคำนึงถึงการทำเครื่องหมาย วัสดุ	ชิ้น
ติดตั้งกล้องวงจรปิด จุด Wi-Fi ฯลฯ	ชิ้น	1500
การทดสอบสายการติดต่อ (“ความต่อเนื่อง”)	ชิ้น
งานออกแบบระบบโครงสร้าง	ตร.ม. ม.
การติดตั้งอุปกรณ์เครือข่าย	ชิ้น	400

ปัจจุบัน ณ วันที่ 02/16/2017 (ไม่รวมภาษีมูลค่าเพิ่ม)

ผู้เชี่ยวชาญและนักออกแบบของเราสามารถสร้างโครงการสำหรับเชื่อมต่อเครือข่ายท้องถิ่นสองเครือข่ายขึ้นไปที่มีความซับซ้อนและขนาดใดก็ได้ ปรับให้เหมาะกับความต้องการทางธุรกิจเฉพาะ ประสานงานกับลูกค้า และนำไปใช้งานแบบเบ็ดเสร็จ

สมาคม เครือข่ายคอมพิวเตอร์- เราทำงานอย่างไร:

• เราได้รับข้อมูลเบื้องต้น การตั้งค่า และนโยบายความปลอดภัยที่ทำงานภายในบริษัทของคุณ
• เรารวมเข้ากับการตั้งค่าเราเตอร์ กำหนดค่าอุปกรณ์ตามความต้องการของคุณ
• เราส่งเราเตอร์ที่กำหนดค่าไปยังสาขาระยะไกล (สำนักงาน) และเชื่อมต่อ
• ดำเนินการ การว่าจ้าง ;
• ให้คุณด้วย โซลูชั่นสำเร็จรูป- การรวมเครือข่ายท้องถิ่นสองเครือข่ายขึ้นไป

สำหรับคุณ - ทุกอย่างเรียบง่ายระดับประถมศึกษา! และในด้านของเรา เรามีประสบการณ์มากมาย มีคุณวุฒิสูง และอื่นๆ อีกมากมาย โครงการที่เสร็จสมบูรณ์- และทั้งหมดนี้ช่วยให้เราทำงานได้อย่างรวดเร็ว มีประสิทธิภาพ และประหยัดงบประมาณได้อย่างมากโดยไม่กระทบต่อคุณภาพ

และหากคุณเป็นลูกค้าของเราที่ใช้บริการสมัครสมาชิกแบบครอบคลุมของอัตราค่าพรีเมียมแล้วล่ะก็ บริการนี้ให้บริการฟรี (คุณชำระค่าอุปกรณ์เท่านั้น)!

มาดูส่วนประกอบแต่ละส่วนให้ละเอียดยิ่งขึ้น โซลูชั่นที่ครอบคลุม"การรวมเครือข่ายท้องถิ่นสองเครือข่ายขึ้นไป"

การโทรศัพท์ระหว่างสำนักงานระยะไกล

งาน: สร้างเครือข่ายโทรศัพท์แบบครบวงจรด้วยหมายเลข “สั้น” สำหรับผู้ใช้บริการในสาขาห่างไกล ประหยัดค่าโทรและควบคุมการใช้งาน สายโทรศัพท์, เชื่อมต่อไปยัง เครือข่ายโทรศัพท์พนักงานมือถือแนะนำเบอร์เดียว

เมื่อเรารวมกันเป็นเครือข่ายเดียวกัน อีเทอร์เน็ตสำนักงานกลางและสำนักงานห่างไกลเราจึงได้จัดตั้งเป็นหนึ่งเดียว พื้นที่ข้อมูล- ภายในพื้นที่นี้ คุณสามารถถ่ายโอนข้อมูลใดก็ได้: ไฟล์ เนื้อหาวิดีโอ เนื้อหาเสียง และข้อมูลอื่นๆ ส่วนข้อมูลที่แพร่หลายที่สุดที่ส่งภายในบริษัทคือ ข้อมูลเซิร์ฟเวอร์- ความนิยมเป็นอันดับสอง - เสียงและ เนื้อหาวิดีโอ.

เครือข่ายท้องถิ่นเดียวช่วยให้คุณสามารถกำหนดค่าอุปกรณ์ในลักษณะที่พนักงานที่อาจแยกจากกันหลายพันกิโลเมตรอยู่ในสำนักงานเดียวกัน

พนักงานประจำ

ในการสร้างเครือข่ายโทรศัพท์แบบครบวงจรระหว่างสาขาและ "ศูนย์" คุณต้องมี PBX สำนักงานดิจิทัลของคุณเอง ซึ่งได้รับการติดตั้งในสำนักงานกลาง และในสาขาจะมีการเชื่อมต่อโทรศัพท์ IP ซึ่งมีการกำหนดค่าที่อยู่ IP ราวกับว่าเป็นเครือข่ายของสำนักงานแห่งเดียว PBX และโทรศัพท์ระยะไกลจะระบุตัวตนของกันและกัน หลังจากนั้นเราจะกำหนดหมายเลข "สั้น" สำหรับสำนักงานระยะไกล ทุกอย่างเกิดขึ้นราวกับว่าเราเพิ่งเพิ่มพนักงานใหม่ในสำนักงานกลาง

เป็นผลให้พนักงานของคุณเริ่มทำงานในพื้นที่เดียวไม่ว่าพวกเขาจะอยู่ห่างจากกันแค่ไหนก็ตาม เมื่อมีสายเรียกเข้ามาที่ PBX ชุมสายโทรศัพท์จะ "คิดว่า" ว่าคุณอยู่ในเครือข่ายเดียวกันและโอนสายไป แต่จะได้ยินในเมืองอื่นหรือแม้แต่ประเทศอื่น สิ่งนี้ทำให้มั่นใจได้ ระดับสูงการส่งข้อมูล - การสื่อสารดำเนินการผ่านอุโมงค์ที่เข้ารหัสที่ปลอดภัย

พนักงานเคลื่อนที่

พนักงานที่ทำงานนอกสถานที่สามารถเชื่อมต่อกับเครือข่ายโทรศัพท์แบบครบวงจรของบริษัทได้ ในการดำเนินการนี้ พวกเขาจำเป็นต้องใช้โทรศัพท์ที่รองรับการขุดอุโมงค์ อุโมงค์ที่เข้ารหัสได้รับการกำหนดค่าภายในสมาร์ทโฟน ซึ่งจะ "เพิ่มขึ้น" เมื่อเชื่อมต่อโทรศัพท์ เครือข่าย Wi-Fiและได้รับอนุญาตผ่านการตั้งค่าที่กำหนดจาก PBX กลางในสำนักงานของคุณ

เป็นผลให้พนักงานที่ทำงานนอกสถานที่ของคุณเป็นส่วนหนึ่งของเครือข่ายโทรศัพท์ของบริษัท อาจมีหมายเลข "สั้น" เพื่อการสลับที่รวดเร็ว และใช้อัตราที่เหมาะสมสำหรับการโทรออกและรับสายที่กำหนดค่าไว้ใน PBX กลางของคุณ

ข้อดีของระบบโทรศัพท์แบบรวมระหว่างสาขา:

• การกำหนดค่าการกำหนดเส้นทางการโทรภายในที่ยืดหยุ่น
• ความสามารถในการใช้ผู้ให้บริการและภาษีหลายราย
• ความสามารถในการใช้หมายเลขโทรศัพท์เดียวโดยเปลี่ยนเส้นทางไปยังหมายเลขสาขาในภายหลัง
• ประหยัดค่าโทรศัพท์ได้มาก
• การรวมศูนย์และการควบคุมการโทรเข้าและโทรออก

ในบรรดาข้อดีเหล่านี้และข้อดีอื่นๆ มากมายของเครือข่ายโทรศัพท์ระหว่างสาขาระยะไกล มีสองข้อดีหลักที่ทำให้บริการนี้เป็นที่ต้องการในปัจจุบัน: อันดับแรก- การใช้หมายเลขหลายช่อง และ, ที่สอง- ประหยัดค่าโทรศัพท์

ด้วยการใช้หลายช่องทาง การโทรจึงกระจายอย่างสะดวกสบายระหว่างสำนักงานระยะไกล เพียงตั้งค่าเมนูเสียงเพื่อให้ลูกค้าสามารถโทรไปยังหมายเลขเดียวและเชื่อมต่อกับภูมิภาค เมือง สำนักงาน หรือแผนกที่ต้องการได้ก็เพียงพอแล้ว

มั่นใจในการประหยัดต้นทุนด้วยการกำหนดเส้นทางแบบลอจิคัลระหว่างผู้ปฏิบัติงานหลายรายที่เชื่อมต่อกับ PBX เดียวในตำแหน่งศูนย์กลาง สำนักงาน- นั่นคือเพียงพอที่จะตั้งค่าการแลกเปลี่ยนโทรศัพท์ที่สำนักงานใหญ่อย่างถูกต้องเพียงครั้งเดียวโดยเชื่อมต่อผู้ให้บริการหลายรายเข้าด้วยกันเพื่อลดค่าโทรศัพท์สำหรับเครือข่ายสำนักงานสาขาทั้งหมด ตัวอย่างเช่น การโทรทั้งหมดภายในรัสเซียจะดำเนินการผ่านผู้ให้บริการโทรศัพท์ IP รายเดียว การโทรแบบอะนาล็อกภายในมอสโกจะผ่านสายในเมืองไม่จำกัด และการโทรทางไกลผ่านผู้ให้บริการโทรศัพท์ SIP รายที่สาม และสำหรับทุกคน ประเภทแยกต่างหากการสื่อสาร: ขาเข้า/ขาออก, การโทรภายในรัสเซีย, ภายในภูมิภาค, เมือง, ระหว่างเมือง และ การโทรระหว่างประเทศ,จากโทรศัพท์บ้านและโทรศัพท์มือถือ

ลูกค้าของเราในการกำหนดค่าที่ซับซ้อนมีผู้ให้บริการโทรคมนาคมตั้งแต่ 2 ถึง 5 ราย ซึ่งช่วยให้มั่นใจได้ถึงการใช้เงินทุนให้เกิดประโยชน์สูงสุด พวกเขาจำเป็นต้องตรวจสอบการทำงานที่ถูกต้องของอุปกรณ์ส่วนกลางเพียงเครื่องเดียวเพื่อให้บริการสำนักงานหลายสิบแห่งได้จริงและไม่เสียเงินนับหมื่นรูเบิลจากการใช้การรับส่งข้อมูลทางโทรศัพท์โดยไม่รู้หนังสือ

คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับบริการนี้ได้ในส่วน "Office PBX" ที่นี่คุณจะพบว่าบริษัทสามารถประหยัดเงินได้มากเพียงใดโดยใช้ PBX ส่วนกลาง

เครือข่ายอินเทอร์เน็ต

งาน: รับประกันการรับส่งข้อมูลอินเทอร์เน็ตที่เสถียรและต่อเนื่องในสำนักงานหรือสาขาระยะไกล

เมื่อบริษัทมีสาขาเล็กๆในเมืองอื่นแล้ว งานที่มีประสิทธิภาพเชื่อมโยงกับการเชื่อมต่อแบบถาวรและเสถียรผ่านทางอินเทอร์เน็ตและกระบวนการทางธุรกิจทั้งหมดจะหยุดลงทันทีที่การเชื่อมต่อขาดหายจำเป็นต้อง บังคับจองช่องอินเทอร์เน็ต

กำลังสมัคร อุปกรณ์ที่ทันสมัยจาก MikroTik และ Cisco เราสามารถมั่นใจได้ว่ากระบวนการทางธุรกิจของลูกค้าจะไม่หยุดนิ่ง และสาขาที่อยู่ห่างไกลจะได้รับอินเทอร์เน็ตที่เสถียรอย่างต่อเนื่อง

ปรับสมดุลช่องอินเทอร์เน็ตของสำนักงานระยะไกล - คืออะไร?

เพื่อให้งานนี้สำเร็จ เรากำหนดค่าช่องทางของผู้ให้บริการอินเทอร์เน็ตหลักและสำรอง ในกรณีนี้การสำรองข้อมูลอาจเป็นช่องทางเพิ่มเติมภาคพื้นดินหรือช่องทางที่ประหยัดกว่าของผู้ให้บริการโทรศัพท์มือถือ (Beeline, MTS, Megafon, Yota, Tele2)

ในกรณีที่ช่องสัญญาณหลักล้มเหลวซึ่งมักจะมีประสิทธิภาพมากกว่า ระบบจะสลับไปยังช่องสัญญาณสำรองโดยอัตโนมัติ ด้วยสวิตช์ดังกล่าว อุปกรณ์จะได้รับอนุญาตอีกครั้ง และอุโมงค์จะถูกยกขึ้นในช่องสัญญาณสำรองเพื่อการส่งข้อมูลที่เข้ารหัสอย่างปลอดภัย ขั้นแรกจำเป็นต้องอนุญาตอุปกรณ์ในลักษณะที่สามารถปรับสมดุลระหว่างช่องอินเทอร์เน็ตสองช่องได้ขึ้นอยู่กับความพร้อมในการใช้งาน

สำหรับผู้ใช้ปลายทางจะไม่เกิดการเปลี่ยนแปลง - เขาจะใช้อินเทอร์เน็ตต่อไปซึ่งจะจัดหาให้ชั่วคราวผ่านช่องทางสำรอง และของเรา ระบบอัตโนมัติการตรวจสอบจะได้รับข้อมูลนี้ ผู้เชี่ยวชาญจะเห็นข้อมูลและส่งคำขอไปยังผู้ให้บริการช่องทางหลักเพื่อแก้ไขปัญหา

เราขอแนะนำให้ลูกค้าอย่าประหยัดในช่องทางสำรอง เนื่องจากค่าใช้จ่ายในการใช้งาน (สูงถึง 1,000 รูเบิล ขึ้นอยู่กับภูมิภาค) จะต่ำกว่าการสูญเสียทางธุรกิจที่อาจเกิดขึ้นเนื่องจากการหยุดชะงักในช่องทางอินเทอร์เน็ตเพียงช่องทางเดียว

นอกจากนี้ยังมีรูปแบบที่ซับซ้อนมากขึ้นสำหรับการปรับสมดุลช่องทางอินเทอร์เน็ตของสำนักงานระยะไกล ตัวอย่างเช่น Cisco พัฒนาและใช้งาน GRE tunnels เป็นอุโมงค์ตามปกติ แต่ส่วนหัว GRE ถูกวางไว้ "ด้านบน" ของแพ็กเก็ต IP มาตรฐาน อุโมงค์ดังกล่าวช่วยให้คุณสามารถดำเนินการอนุญาตโดเมนภายในเครือข่ายได้

ตัวเลือกในการปรับสมดุลช่องทางอินเทอร์เน็ตขึ้นอยู่กับความต้องการเฉพาะของลูกค้า

เครือข่ายท้องถิ่นระหว่างสำนักงานระยะไกลสามารถใช้เพื่อตัวเลือกการรวมอื่นๆ ได้ เช่น สำหรับการประชุมทางวิดีโอ การรับรองนโยบายความปลอดภัยแบบรวมศูนย์ และอื่นๆ อีกมากมาย

ในส่วนของเรา เราสามารถรับประกันการรวมเครือข่ายสาขาของลูกค้าเพื่อให้โครงสร้างพื้นฐานด้านไอทีทำงานโดยไม่เกิดข้อผิดพลาด เพื่อให้กระบวนการทางธุรกิจไม่หยุดนิ่ง เราพร้อมที่จะมอบความทนทานต่อความผิดพลาดของส่วนประกอบทั้งหมดอย่างที่ไม่เคยมีมาก่อน

ในหลายองค์กรที่มีหลายสาขา มีความจำเป็นต้องรวมเครือข่ายสำนักงานท้องถิ่นให้เป็นเครือข่ายองค์กรเดียว การเชื่อมต่อเครือข่ายจะช่วยเพิ่มประสิทธิภาพทางธุรกิจและลดต้นทุนที่เกี่ยวข้องกับสำนักงานระยะไกล การรวมเครือข่ายของสำนักงานระยะไกลของบริษัทเข้าด้วยกันทำให้สามารถแก้ไขปัญหาต่อไปนี้:

• งานของพนักงานทุกสำนักงานในฐานข้อมูลเดียว (เช่น 1C)
• ให้การเข้าถึงสำหรับพนักงานระยะไกลเพื่อแบ่งปันทรัพยากรของบริษัทผ่านทางอินเทอร์เน็ต ( การเข้าถึงระยะไกลไปยังเครือข่าย)
• การแลกเปลี่ยนข้อมูลที่รวดเร็วและสะดวกสบายระหว่างพนักงานในสำนักงานระยะไกล

การเชื่อมต่อเครือข่ายดำเนินการผ่านเครือข่ายอินเทอร์เน็ตสาธารณะ ดังนั้นปัญหาด้านความปลอดภัยของเครือข่ายที่เชื่อมต่อและการรักษาความลับของข้อมูลที่ส่งจึงเกิดขึ้น เทคโนโลยี VPN (Virtual Private Network) ใช้เพื่อเชื่อมต่อสองเครือข่ายอย่างปลอดภัยผ่านช่องทางการสื่อสารสาธารณะ

การตั้งค่า VPN (เครือข่ายส่วนตัวเสมือน)

การตั้งค่า VPN (Virtual Private Networks) ระหว่างสำนักงานของบริษัท (การเชื่อมต่อเครือข่าย) ช่วยให้มั่นใจได้ถึงการเข้ารหัสข้อมูลที่ส่ง ขึ้นอยู่กับความต้องการของลูกค้าและโครงสร้างพื้นฐานด้านไอทีที่มีอยู่ เครือข่าย VPN สามารถสร้างขึ้นได้โดยใช้ซอฟต์แวร์หรือฮาร์ดแวร์ที่ซับซ้อน วิธีทั่วไปในการสร้างเครือข่าย VPN คือการตั้งค่า VPN ตาม แพคเกจซอฟต์แวร์ซึ่งนอกเหนือจากการใช้เครือข่าย VPN แล้ว ยังสามารถทำหน้าที่เป็นไฟร์วอลล์และกรองการรับส่งข้อมูลเครือข่ายได้

การเข้าถึงคอมพิวเตอร์ระยะไกล

สมมติว่าเรามีสำนักงาน 2 แห่งในส่วนต่างๆ ของเมือง หรือในเมืองหรือประเทศต่างๆ และแต่ละแห่งมีการเชื่อมต่ออินเทอร์เน็ตอย่างเพียงพอ ช่องที่ดี- เราจำเป็นต้องเชื่อมต่อพวกมันเข้ากับเครือข่ายท้องถิ่นเดียว ในกรณีนี้ผู้ใช้ทุกคนจะต้องเดาว่าคอมพิวเตอร์หรือเครื่องพิมพ์นี้อยู่ที่ใดในเครือข่ายท้องถิ่น ใช้เครื่องพิมพ์ โฟลเดอร์แชร์ และข้อดีทั้งหมดของเครือข่ายทางกายภาพ พนักงานระยะไกลที่เชื่อมต่อผ่าน OpenVPN จะสามารถทำงานบนเครือข่ายได้เหมือนกับว่าคอมพิวเตอร์ของพวกเขาอยู่บนเครือข่ายทางกายภาพของสำนักงานแห่งใดแห่งหนึ่ง

เราจะตั้งค่ามันใน ระบบปฏิบัติการ Debian Squeeze แต่คำแนะนำนั้นใช้ได้กับการกระจายที่ใช้ Debian อย่างสมบูรณ์ และด้วยการเปลี่ยนแปลงเล็กน้อยในคำสั่งสำหรับการติดตั้งและกำหนดค่าบริดจ์ และ OpenVPN จะใช้ได้กับการกระจาย Linux หรือ FreeBSD ใด ๆ

สมมติว่ามีการติดตั้งการกระจาย Debian หรือ Ubuntu ตามคำแนะนำข้อใดข้อหนึ่ง:

มาติดตั้งและกำหนดค่าเครือข่าย VPN โดยใช้ OpenVPN โดยใช้บริดจ์ แตะ0

เราสร้างสะพานเครือข่ายระหว่างเครือข่ายทางกายภาพ eth1และอินเทอร์เฟซเสมือน แตะ0

เราติดตั้งโปรแกรมที่จำเป็นโดยยอมรับคำขอของผู้จัดการแพ็คเกจ:

เรากำหนดค่าเครือข่ายเซิร์ฟเวอร์ตามความจริงที่ว่าเรามีการ์ดเครือข่าย 2 อัน: เครือข่าย eth0 eth1 br0

การแก้ไขไฟล์การกำหนดค่า /etc/เครือข่าย/อินเทอร์เฟซ:

Auto lo iface lo inet loopback # ผู้ให้บริการอินเทอร์เน็ต auto eth0 iface eth0 ที่อยู่คงที่ inet 192.168.50.2 netmask 255.255.255.0 เกตเวย์ 192.168.50.1 # เครือข่ายท้องถิ่น auto eth1 iface eth1 ที่อยู่คงที่ inet 10.10.10.1 netmask 255.255.255.0

อัตโนมัติ lo iface lo inet loopback # เราลงทะเบียนบริดจ์ เรารวมอินเทอร์เฟซ tap0 VPN และการ์ดเครือข่าย eth1 ไว้ในนั้น auto br0 iface br0 inet static # เราเพิ่มอินเทอร์เฟซ openvpn ให้กับ tap0 bridge bridge_ports eth1 tap0 ที่อยู่ 10.10.10.1 netmask 255.255 .255.0 # อินเทอร์เน็ตอัตโนมัติ eth0 iface eth0 ที่อยู่คงที่ inet 192.168.50.2 netmask 255.255.255.0 เกตเวย์ 192.168.50.1

หลังจากนี้ เมื่อคุณรันคำสั่ง ifconfig บริดจ์ควรปรากฏขึ้น br0ด้วย IP 10.10.10.1 อินเทอร์เฟซ eth0ด้วยที่อยู่ IP 192.168.50.2 และอินเทอร์เฟซ eth1โดยไม่มีที่อยู่ IP เนื่องจากอยู่ในบริดจ์ br0

การตั้งค่า OPENVPN:
เราคัดลอกสคริปต์เพื่อกำหนดค่าเซิร์ฟเวอร์ openvpn ของเราด้วยคำสั่ง:

Cp -Rp /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /etc/openvpn/easy-rsa

ทำการเปลี่ยนแปลงไฟล์ /etc/openvpn/easy-rsa/varsเพื่อกำหนดตัวแปรร่วมและป้อนข้อมูลน้อยลงเมื่อสร้างคีย์:

Vi /etc/openvpn/easy-rsa/vars

ส่งออก KEY_COUNTRY="US" ส่งออก KEY_PROVINCE="CA" ส่งออก KEY_CITY="SanFrancisco" ส่งออก KEY_ORG="Fort-Funston" ส่งออก KEY_EMAIL=" "

ส่งออก KEY_COUNTRY="UA" ส่งออก KEY_PROVINCE="11" ส่งออก KEY_CITY="เคียฟ" ส่งออก KEY_ORG="NameFirm" ส่งออก KEY_EMAIL=" "

ไปที่โฟลเดอร์ที่มีสคริปต์สำหรับสร้างใบรับรองและคีย์ด้วยคำสั่ง:

ซีดี /etc/openvpn/easy-rsa/

เราเริ่มต้น PKI (โครงสร้างพื้นฐานคีย์สาธารณะ) ด้วยคำสั่ง:

- ./vars ./ทำความสะอาดทั้งหมด

ความสนใจ. เมื่อดำเนินการตามคำสั่ง ./ทำความสะอาดทั้งหมดใบรับรองและคีย์ที่มีอยู่ทั้งหมดของทั้งเซิร์ฟเวอร์และไคลเอนต์จะถูกลบ ดังนั้นอย่ารันบนเซิร์ฟเวอร์ที่ใช้งานจริง หรือรันหลังจากบันทึกโฟลเดอร์ /etc/openvpn/ไปยังไฟล์เก็บถาวรด้วยคำสั่ง:

Tar cf - /etc/openvpn/ | gzip -c -9 > /home/openvpn_backup.tgz

เราสร้างใบรับรองผู้ออกใบรับรอง (CA) และคีย์ด้วยคำสั่ง:

./build-ca

พารามิเตอร์ส่วนใหญ่จะเลือกมาจากไฟล์ vars ต้องระบุเฉพาะพารามิเตอร์ Name อย่างชัดเจน:

ชื่อ:vpn

โดยทั่วไป คุณสามารถกรอกข้อมูลทุกช่องในแต่ละครั้งตามที่คุณต้องการ

เราสร้างพารามิเตอร์ Diffie-Hellman ด้วยคำสั่ง:

./build-dh

เราสร้างใบรับรองและรหัสลับเซิร์ฟเวอร์ ห้ามป้อนสิ่งใดเมื่อได้รับแจ้งให้ใส่รหัสผ่าน และเมื่อได้รับแจ้ง ลงนามใบรับรอง?: เข้า ยและกด เข้าโดยการรันคำสั่ง:

./build-key-เซิร์ฟเวอร์เซิร์ฟเวอร์

พารามิเตอร์ทั้งหมดได้รับการยอมรับตามค่าเริ่มต้น เมื่อมีการร้องขอ ชื่อสามัญเข้า เซิร์ฟเวอร์

ชื่อสามัญ (เช่น ชื่อของคุณหรือชื่อโฮสต์ของเซิร์ฟเวอร์ของคุณ) :server

สำหรับคำถาม ลงนามใบรับรอง?และ คำขอใบรับรอง 1 ใน 1 ได้รับการรับรอง ยอมรับหรือไม่เราตอบในเชิงบวก:

ลงนามใบรับรอง? :y 1 ใน 1 คำขอใบรับรองได้รับการรับรอง ยอมรับหรือไม่ ย

สิ่งที่เหลืออยู่คือการสร้างใบรับรองและคีย์สำหรับลูกค้า ขั้นแรกเราเริ่มต้นพารามิเตอร์:

ซีดี /etc/openvpn/easy-rsa/ ./vars

การสร้างคีย์สำหรับผู้ใช้ เซิร์ฟเวอร์1- ตัวอย่างเช่น เราเพิ่มผู้ใช้ได้มากเท่าที่จำเป็น:

./build-key server1 ./build-key ไคลเอ็นต์1 ./build-key ไคลเอ็นต์2

จากการที่เรามีเครือข่าย 10.10.10.0/24 เราจัดสรรที่อยู่สำหรับคอมพิวเตอร์ในสำนักงาน 1 ทันที - 10.10.10.40-149 สำหรับสำนักงาน 2 เราจัดสรรกลุ่มที่อยู่ 10.10.10.150-254 และจัดสรรที่อยู่สำหรับพนักงานที่อยู่ห่างไกล 10.10.10.21-39.
สร้างโฟลเดอร์ /etc/openvpn/ccd/โดยที่เราระบุว่าไคลเอนต์ใดที่มี IP ใดโดยใช้คำสั่ง:

Mkdir -p /etc/openvpn/ccd/

เรากำหนด IP ของลูกค้าแต่ละรายบนเครือข่ายโดยใช้คำสั่ง::

เสียงสะท้อน "ifconfig-push 10.10.10.150 255.255.255.0" > /etc/openvpn/ccd/server1 echo "ifconfig-push 10.10.10.21 255.255.255.0" > /etc/openvpn/ccd/client1 echo "ifconfig-push 10.10.10.22 255.255.255.0"> /etc/openvpn/ccd/client2

สร้างไฟล์การกำหนดค่าเซิร์ฟเวอร์:

Vi /etc/openvpn/server.conf ################################# พอร์ต 1195 โปรโต udp dev tap0 ca easy-rsa/keys/ca.crt cert คีย์ easy-rsa/keys/server.crt easy-rsa/keys/server.key # ไฟล์นี้ควรถูกเก็บเป็นความลับ dh easy-rsa/keys/dh1024.pem เซิร์ฟเวอร์โหมด tls- เซิร์ฟเวอร์ daemon ifconfig 10.10.10.1 255.255.255.0 client-config-dir /etc/openvpn/ccd keepalive 10 20 client-to-client comp-lzo คีย์คงอยู่ กริยา 3 บันทึกต่อท้าย /var/log/openvpn.log #script-security 2 # ไม่แสดงความคิดเห็นเมื่อทำงานกับ OpenVPN เวอร์ชัน 2.4 ขึ้นไป /etc/openvpn/up.sh ########################### ######

Vi /etc/default/openvpn.vi

ตัวเลือก = ""

OPTARGS = "--สคริปต์ความปลอดภัย 2"

การสร้างสคริปต์ /etc/openvpn/up.shเปิดตัวเมื่อเซิร์ฟเวอร์ OpenVPN เริ่มทำงาน:

Vi /etc/openvpn/up.sh #!/bin/sh brctl addif br0 tap0 brctl addif br0 eth1 ifconfig tap0 0.0.0.0

เราให้สิทธิ์ในการรันสคริปต์ /etc/openvpn/up.shสั่งการ:

Chmod +x /etc/openvpn/up.sh

หลังจากนี้ ให้รีบูทเซิร์ฟเวอร์ OpenVPN ด้วยคำสั่ง:

ดำเนินการคำสั่ง ถ้ากำหนดค่าอินเทอร์เฟซควรปรากฏขึ้น แตะ0โดยไม่มีที่อยู่ IP

เรากำลังรวบรวมไฟล์เก็บถาวรพร้อมคีย์เพื่อแจกจ่ายให้กับพนักงานที่อยู่ห่างไกลและส่งไปยังสำนักงาน 2

เราสร้างโฟลเดอร์ด้วยชื่อผู้ใช้โดยใช้คำสั่ง:

Mkdir -p /etc/openvpn/users/server1 mkdir -p /etc/openvpn/users/client1 mkdir -p /etc/openvpn/users/client2

สร้างโฟลเดอร์ที่มีคีย์ที่เก็บถาวรด้วยคำสั่ง:

Mkdir -p /etc/openvpn/users_tgz

เรารวบรวมคีย์และใบรับรองจากโฟลเดอร์ผู้ใช้โดยใช้คำสั่ง:

Cp /etc/openvpn/server/easy-rsa/keys/server1.key /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/server1.crt /etc/openvpn/users/ server1/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/client1.key /etc/openvpn/ ผู้ใช้/client1/ cp /etc/openvpn/server/easy-rsa/keys/client1.crt /etc/openvpn/users/client1/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/ openvpn/users/client1/ cp /etc/openvpn/server/easy-rsa/keys/client2.key /etc/openvpn/users/client2/ cp /etc/openvpn/server/easy-rsa/keys/client2.crt / ฯลฯ/openvpn/users/client2/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/client2/

เราสร้างไฟล์คอนฟิกูเรชันตามข้อเท็จจริงที่ว่า เซิร์ฟเวอร์1คือเซิร์ฟเวอร์สำนักงานระยะไกล 2 และ ลูกค้า1และ ลูกค้า2พนักงานเหล่านี้คือพนักงานระยะไกลที่เชื่อมต่อกับเครือข่าย VPN จากภายนอกจาก Windows

แทนที่จะเป็น IP-SERVER-VPN เราตั้งค่าที่อยู่ IP ภายนอกของเซิร์ฟเวอร์ OpenVPN

สร้างไฟล์การกำหนดค่า OpenVPN สำหรับเซิร์ฟเวอร์ 1:

Echo " ไคลเอนต์ IP-SERVER-VPN 1195 ระยะไกล dev tap0 proto udp แก้ไข-ลองใหม่อย่างไม่มีที่สิ้นสุด nobind ยืนยันคีย์คงอยู่-tun ca ca.crt ใบรับรอง server1.crt คีย์ server1.key comp-lzo กริยา 4 ปิดเสียง 20 กริยา 3 บันทึกผนวก / var/log/openvpn.log ขึ้น /etc/openvpn/up.sh "> /etc/openvpn/users/server1/server1.conf

การเก็บคีย์สำหรับ เซิร์ฟเวอร์1สั่งการ:

Tar cf - /etc/openvpn/users/server1 | gzip -c -9 > /etc/openvpn/users_tgz/server1.tgz

ลูกค้า1:

Echo " ไคลเอนต์ IP-SERVER-VPN 1195 ระยะไกล dev tap0 proto udp แก้ไข - ลองใหม่ไม่มีที่สิ้นสุด nobind ยืนยัน - คีย์คงอยู่ - tun ca.crt ใบรับรอง client1.crt คีย์ client1.key comp-lzo กริยา 4 ปิดเสียง 20 กริยา 3 " > /etc /openvpn/users/client1/client1.ovpn

เก็บคีย์สำหรับ client1 ด้วยคำสั่ง:

Tar cf - /etc/openvpn/users/client1 | gzip -c -9 > /etc/openvpn/users_tgz/client1.tgz

สร้างไฟล์การกำหนดค่าสำหรับ ลูกค้า2สั่งการ:

Echo " ไคลเอนต์ IP-SERVER-VPN 1195 ระยะไกล dev tap0 proto udp แก้ไข - ลองใหม่ไม่มีที่สิ้นสุด nobind ยืนยัน - คีย์คงอยู่ - tun ca.crt ใบรับรอง client2.crt คีย์ client2.key comp-lzo กริยา 4 ปิดเสียง 20 กริยา 3 " > /etc /openvpn/users/client1/client2.ovpn

การเก็บคีย์สำหรับ ลูกค้า2สั่งการ:

Tar cf - /etc/openvpn/users/client2 | gzip -c -9 > /etc/openvpn/users_tgz/client2.tgz

การตั้งค่าเซิร์ฟเวอร์ VPN สำหรับสำนักงาน 2

ตามคำแนะนำข้างต้น เราได้ติดตั้งและกำหนดค่าเซิร์ฟเวอร์ VPN แล้ว เดเบียน GNU/Linuxด้วยการใช้ OpenVPN เราได้สร้างคีย์พร้อมใบรับรองสำหรับเซิร์ฟเวอร์ระยะไกลของสำนักงาน 2 และพนักงานระยะไกล ตอนนี้เราต้องเชื่อมต่อ office 1 กับ office 2 เข้ากับเครือข่ายท้องถิ่นเดียวผ่าน VPN

สมมติว่าในสำนักงาน 2 เราได้ติดตั้งและกำหนดค่าเซิร์ฟเวอร์ Linux (เกตเวย์) ซึ่งกระจายช่องทางอินเทอร์เน็ตสำหรับพนักงานสำนักงาน 2 เซิร์ฟเวอร์นี้มีการ์ดเครือข่าย 2 อัน: eth0 - ผู้ให้บริการอินเทอร์เน็ต และ eth1- เครือข่ายท้องถิ่นจะรวมอยู่ในบริดจ์และจะมีกลุ่มที่อยู่ 10.10.10.100-254

เราจำเป็นต้องติดตั้งซอฟต์แวร์ด้วยคำสั่ง:

ความถนัดในการติดตั้ง bridge-utils openvpn

การตั้งค่าเครือข่ายเซิร์ฟเวอร์

เรากำหนดค่าเครือข่ายโดยพิจารณาว่าเรามีการ์ดเครือข่าย 2 อัน eth0- รับอินเทอร์เน็ตจากผู้ให้บริการและผ่านสำนักงาน 1 เข้าถึงอินเทอร์เน็ตรวมถึงเครือข่าย eth1- รวมอยู่ในสวิตช์เครือข่ายท้องถิ่นของสำนักงาน 1 โดยจะรวมอยู่ในบริดจ์พร้อมอินเทอร์เฟซ br0

แก้ไขไฟล์คอนฟิกูเรชัน /etc/network/interfaces:

Vi /etc/network/interfaces.vi

Auto lo iface lo inet loopback # ผู้ให้บริการอินเทอร์เน็ต auto eth0 iface eth0 ที่อยู่คงที่ inet 192.168.60.2 netmask 255.255.255.0 เกตเวย์ 192.168.60.1 # เครือข่ายท้องถิ่น auto eth0 iface eth0 ที่อยู่คงที่ inet 192.168.1.1 netmask 255.255.255.0

อัตโนมัติ lo iface lo inet loopback # เราลงทะเบียนบริดจ์ เรารวมอินเทอร์เฟซ tap0 VPN และการ์ดเครือข่าย eth1 ไว้ในนั้น auto br0 iface br0 inet static # เราเพิ่มอินเทอร์เฟซ openvpn ให้กับ tap0 bridge bridge_ports eth1 tap0 ที่อยู่ 10.10.10.150 netmask 255.255 .255.0 # อินเทอร์เน็ตอัตโนมัติ eth0 iface eth0 ที่อยู่คงที่ inet 192.168.60.2 netmask 255.255.255.0 เกตเวย์ 192.168.60.1

บันทึกการเปลี่ยนแปลงและรีบูตเครือข่ายด้วยคำสั่ง:

/etc/init.d/รีสตาร์ทเครือข่าย

หลังจากนั้นเมื่อดำเนินการตามคำสั่ง ถ้ากำหนดค่าสะพานควรจะปรากฏขึ้น br0ด้วยไอพี 10.10.10.150 , อินเทอร์เฟซ eth0ด้วยที่อยู่ IP 192.168.60.2 และอินเทอร์เฟซ eth1โดยไม่มีที่อยู่ IP เนื่องจากอยู่ในบริดจ์ br0

สำหรับคอมพิวเตอร์ office 2 เราจะออกที่อยู่ IP ให้กับคอมพิวเตอร์โดยไม่ต้องไปไกลกว่านั้น 10.10.10.150-254 , ที่ไหน 10.10.10.150 - นี่คือที่อยู่ IP ของเซิร์ฟเวอร์ office 2

เราอัปโหลดไฟล์เก็บถาวรคีย์ OpenVPN ที่รวบรวมจากเซิร์ฟเวอร์ VPN ของสำนักงาน 1 ไปยังเซิร์ฟเวอร์สำนักงาน 2 ด้วยคำสั่ง:

Ssh -P22 /etc/openvpn/users_tgz/server1.tgz :/root/

หรือหากเซิร์ฟเวอร์ 1 ของสำนักงาน 2 ไม่มี IP ถาวรหรือไดนามิก เราจะรวมคีย์จากเซิร์ฟเวอร์ VPN ของสำนักงาน 2 ด้วยคำสั่ง:

Ssh -P22 :/etc/openvpn/users_tgz/server1.tgz /root/

เมื่อได้รับแจ้งให้ใส่รหัสผ่าน ให้ป้อนรหัสผ่านผู้ใช้ รากหลังจากป้อนรหัสผ่านที่ถูกต้อง ไฟล์เก็บถาวรที่มีคีย์จะถูกดาวน์โหลดไปยังโฟลเดอร์ /root/server1.tgz

คลายเนื้อหาของไฟล์เก็บถาวร ( เฉพาะไฟล์สำคัญที่ไม่มีโฟลเดอร์) /root/server1.tgzไปยังโฟลเดอร์ /etc/openvpn/

อนุญาตให้ OpenVPN เรียกใช้สคริปต์:

Vi /etc/default/openvpn.vi

ตัวเลือก = ""

OPTARGS = "--สคริปต์ความปลอดภัย 2"

การสร้างสคริปต์ /etc/openvpn/up.shเปิดตัวเมื่อไคลเอนต์ VPN เชื่อมต่อกับเซิร์ฟเวอร์ VPN:

Vi /etc/openvpn/up.sh #!/bin/sh brctl addif br0 tap0 brctl addif br0 eth1 ifconfig tap0 0.0.0.0 chmod +x /etc/openvpn/up.sh

รีบูทเซิร์ฟเวอร์ OpenVPN ด้วยคำสั่ง:

/etc/init.d/openvpn รีสตาร์ท

เมื่อดำเนินการตามคำสั่ง ถ้ากำหนดค่าอินเทอร์เฟซควรปรากฏขึ้น แตะ0โดยไม่มีที่อยู่ IP

ตอนนี้คุณสามารถ ping คอมพิวเตอร์ของสำนักงานอื่นจากทั้งสองสำนักงาน ใช้โฟลเดอร์ที่ใช้ร่วมกัน เครื่องพิมพ์ ทรัพยากรของสำนักงานอื่น และยังจัดการต่อสู้การเล่นเกมระหว่างสำนักงาน 1 และสำนักงาน 2 :)

หากต้องการตรวจสอบอินเทอร์เฟซที่เชื่อมต่อกับบริดจ์ ให้รันคำสั่ง:

การแสดง BRCTl

การตอบสนองของระบบ:

ชื่อบริดจ์ บริดจ์ id อินเทอร์เฟซที่เปิดใช้งาน STP br0 7000.003ds4sDsf6 ไม่มี eth1 tap0

เราเห็นการ์ดเครือข่ายท้องถิ่นของเรา eth1และอินเทอร์เฟซเสมือน OpenVPN แตะ0

งานเสร็จสมบูรณ์ สำนักงานระยะไกลสองแห่งเชื่อมต่อกันเป็นเครือข่ายท้องถิ่นเดียว

หากคุณพบว่าบทความนี้มีประโยชน์ โปรดแบ่งปันกับเพื่อนของคุณโดยคลิกที่ไอคอนของคุณ เครือข่ายทางสังคมที่ด้านล่างของบทความนี้ โปรดแสดงความคิดเห็นเกี่ยวกับคำแนะนำนี้ คุณชอบหรือมีประโยชน์หรือไม่ คุณยังสามารถสมัครรับการแจ้งเตือนบทความใหม่ทางอีเมลของคุณบนเพจ

ตอนนี้เรามาพักสักครึ่งนาทีและพักสมองเพื่อทำงานที่มีประสิทธิผลมากขึ้น ดูวิดีโอแล้วยิ้ม: