Виртуальная частная сеть

При установившейся связи в сетевом окружении удаленного компьютера появится сервер. Чтобы зарегистрироваться на нем, потребуется ввести имя пользователя и пароль, допустимые в сети.

Для успешного соединения следует проконтролировать выполнение еще двух условий:

  локальный IP-адрес удаленной рабочей станции и сервера должен принадлежать подсети, которой не принадлежат адреса виртуальных адаптеров, созданных OpenVPN;

  имя рабочей группы, к которой принадлежит удаленная рабочая станция, должно совпадать с именем домена или рабочей группы сервера. Компьютер может принадлежать и самому домену (ноутбук, например).

Первое из этих условий обеспечивает однозначность поиска компьютера-сервера программой клиентом. Невыполнение этого условия приведет к невозможности установления связи с удаленной сетью, a OpenVPN не предоставит вам никакой информации о причинах неудачи.

Второе условие обеспечивает появление компьютеров, находящихся в локальной сети, в сетевом окружении удаленной рабочей станции.

При достаточном качестве связи пользователь получит практически все те же возможности, что и при работе в локальной сети.

Если вход в локальную сеть защищен брандмауэром, то необходимо разрешить доступ к файлам и принтерам через виртуальный интерфейс, а основной интерфейс должен быть доступен для команды ping. Для этого следует включить параметр протокола ICMP (Internet Control Message Protocol, протокол управляющих сообщений в сети Интернет) Разрешать запрос входящего эха, что обеспечит возможность ответов компьютера на команду ping по его адресу. Настройки этого протокола доступны в дополнительных параметрах брандмауэра в ОС Windows XP и Windows 2003 Server.

Поскольку в каждой сети, в том числе и в вашей, настройки доступа к ней могут иметь свои особенности, без экспериментов вам не обойтись, поэтому для тонкой настройки придется обратиться к справке по OpenVPN и справочной системе Windows. Но применение OpenVPN позволит вам достаточно быстро провести настройки подключения, если они возможны в ваших условиях. Когда подключение установлено, скорость передачи информации по этому каналу будет ниже, чем при прямом соединении. Дополнительные преобразования информации, шифрование и дешифрование, — все это требует добавочного времени. Но для обычной работы в сети скорость связи вполне достаточна, особенно если рабочая станция подключена к Интернету через быстрый канал связи. Автору удалось установить такое соединение через коммутируемый доступ (dial-up). При этом работа с документом Word требо-

вала, чтобы он был скопирован на рабочую станцию, но печать на один из принтеров сети проходила нормально. Более того, этот принтер был подключен к рабочей станции во время соединения. Для ускорения процесса подключения желательно, чтобы драйвер принтера уже был установлен на удаленной рабочей станции.

Можно обеспечить несколько подключений к серверу, запустив на нем несколько экземпляров OpenVPN-сервера. Каждый из экземпляров должен быть связан со своим виртуальным сетевым подключением. Виртуальные подключения могут создаваться средствами OpenVPN в любом необходимом количестве. Это позволяет для каждого подключения применять свой ключевой файл, что повышает защищенность сети.

Описанный выше пример подключения предназначен только для первого опыта его организации. В нем предполагается прямое соединение двух компьютеров перекрестным кабелем или через концентратор (хаб, коммутатор). Реальное соединение, которое далее будет описано, лучше организовывать после удачного завершения первого эксперимента по установке связи между двумя компьютерами. Для реальной связи через Интернет с локальной сетью потребуется более кропотливая работа. Приведем пример реально работающей пары компьютеров, связанных через VPN. Само собой разумеется, что на оба компьютера необходимо установить OptnVPN. Имя виртуальному сетевому адаптеру следует присвоить короткое, латинскими буквами. Можно использовать имя программы OpenVPN.

В этом примере описаны настройки для двух компьютеров. Один из них — ноутбук, который работает и в локальной сети и вне ее. Другой — вспомогательный сервер под управлением Windows Server 2003, через который локальная сеть имеет выход в Интернет. Подключение к Интернету осуществлено через ADSL-модем. При этом сеть имеет единственный внешний адрес 81.195.117.138. Внутренние адреса ЛВС принадлежат подсети 192.168.115.0. Постоянный адрес ноутбука в данном случае значения не имеет, поскольку при подключении к Интернету через обычный модем он получает динамически выделяемый адрес. Конкретное значение этого адреса тоже не имеет значения и в настройках соединения не применяется. В файлах конфигурации OpenVPN виртуальным сетевым адаптерам присваиваются адреса: 192.168.116.1 — для сервера и 192.168.116.2 — для ноутбука (удаленной рабочей станции). На рис. 6.8 схематично показана организация подключения к локальной сети через Интернет с использованием виртуальной частной сети.

Прежде всего, необходимо обеспечить возможность ответа сервера на команду ping. Иногда администраторы намеренно запрещают эту возможность, пытаясь максимально обезопасить сеть от проникновения в нее извне. Но в нашем случае именно такое проникновение и готовится. При этом защищенность сети не ухудшается, если не считать возможности простого обнаружения вашего компьютера (сервера) из Интернета. Ответ компьютера на команду ping запрещается, если включен брандмауэр и выключен параметр протокола ICMP (Internet Control Message Protocol) Запрос входящего эха (рис. 6.9).

Рис. 6.8. Схема подключения к ЛВС через Интернет с применением VPN

Компьютер, имеющий несколько сетевых подключений (соответственно и несколько сетевых адаптеров), может иметь различные настройки брандмауэра для каждого из них. Тем более это относится к компьютеру, на котором настроено преобразование сетевых адресов (NAT). Поэтому, настраивая параметры сетевых подключений, будьте внимательны. Случайная ошибка при установке параметров подключений к катастрофе не приведет, но заставит помучиться в поисках причин неудачи.