Виртуальная частная сеть

Когда вы убедились, что команда ping до сервера проходит нормально, время ответа не превышает 300 мс, а разброс значений этого времени невелик (не более 50 %), можно продолжать настройки. Если время ответа больше, работа с удаленной рабочей станции с ресурсами локальной сети будет очень медленной. Но иногда достаточно даже медленной связи для выполнения необходимых процедур администрирования. Связь будет очень неустойчивой, если ответы на команду ping будут нерегулярными. В случае появления среди строчек ответов на экране сообщения превышено время ожидания следует искать причины нарушения качества связи или выбрать другое время для подключения.

Рис. 6.9. Свойства интерфейса "Интернет", настройка ICMP (Запрос входящего эха)

Защищенный канал связи, создаваемый в Интернете, работает через порт, который мы зададим в файлах конфигурации OpenVPN. Это значит, что на всем протяжении этого канала (Рабочая станция—сервер провайдера1— Интернет—сервер провайдера2—сервер локальной сети) данный порт должен быть открыт. В примере показано применение порта 35 000, но можно выбрать любое значение, не используемое на вашем сервере. Если есть сомнения в том, что выбранный вами порт открыт на каком-либо участке предполагаемого канала, его можно изменить. Если на сервере ЛВС не применяется какой-нибудь из известных сервисов, например РОРЗ, то можно использовать стандартный для этого сервиса порт ПО. Скорее всего, он будет открыт на всем протяжении канала VPN. Для того чтобы открыть этот порт на вашем сервере, следует настроить свойства интерфейса, подключенного к Интернету в оснастке Маршрутизация и удаленный доступ. На рис. 6.10 показано окно Свойства: Интернет с перечнем служб, доступных из Интернета. На рис. 6.11 показано окно изменения свойств службы с указанием на номер входящего и исходящего порта. Можно выбрать эти значения разными. В этом случае соответствующие значения должны быть указаны в файлах конфигурации на удаленной рабочей станции (значение для входящего порта) и на сервере (значение для исходящего порта).

Рис. 6.10. Окно Свойства: Интернет с перечнем служб, доступных из Интернета

Открыв используемый порт, необходимо настроить маршрутизацию IP-пакетов, передаваемых через Интернет. Это также делается в оснастке Маршрутизация и удаленный доступ, где необходимо указать статические маршруты (рис. 6.12). Один маршрут уже был указан, когда настраивался доступ к Интернету для пользователей сети. Теперь следует добавить еще два (один для основного, другой для виртуального сетевого адаптера).

В дальнейшем может понадобиться подключение других пользователей через VPN. Для этого потребуется создать несколько виртуальных адаптеров по числу создаваемых каналов и присвоить им имена с различными суффиксами. Причем для каждого канала следует запускать свой экземпляр OpenVPN-сервера, а в файле конфигурации каждого экземпляра указать соответствующее имя адаптера. Выбранный вариант маршрутов изменять не потребуется.

Рис. 6.11. Окно изменения свойств службы

Рис. 6.12. Окно Маршрутизация и удаленный доступ (Статические маршруты)

Создадим файлы конфигурации подобные тем, что приведены выше (листинги 6.1 и 6.2), но содержащим новые значения IP-адресов и портов, которые вы будете использовать.