Виртуальная частная сеть
Оглавление
Виртуальная частная сеть
Страница 2
Страница 3
Страница 4
Страница 5
Страница 6
Страница 5 из 6
Создадим файл секретного ключа с помощью пункта меню программы OpenVpn
Generate a static Open VPN key (Создать статический ключ) и поместим одну копию
на OpenVPN-сервере, а другую — на OpenVPN-клиенте в папке с файлами конфигурации
программы. Можно использовать и те файлы, что применялись на локальных машинах.
Важно, чтобы на обеих машинах были копии одного и того же файла.
На рабочей станции обычно специальных настроек не требуется. Должна быть
установлена программа OpenVPN, а в папку с конфигурационными файлами программы
помещены файл конфигурации клиента и секретный ключ.
Теперь можно запустить OpenVPN-сервер и попытаться установить соединение с
рабочей станцией, подключенной к Интернету. Хорошо, если для проведения пробного
подключения есть второй телефон. К сожалению, соединение dial-up по той же
линии, к которой подключен ADSL-модем, не всегда бывает достаточно хорошего
качества, но, возможно, вам повезет, и вы сможете для эксперимента использовать
одну телефонную линию.
На рабочей станции устанавливаем соединение с Интернетом через обычный модем
и запускаем OpenVPN с использованием локального (клиентского) файла
конфигурации. Программа делает несколько попыток соединения и, если все
настроено верно, соединение устанавливается. Вы можете определить момент
установки соединения по сообщению initialization Sequence completed. В противном
случае следует проверить настройки и качество соединения.
После установления соединения VPN откройте сетевое окружение на рабочей
станции. Вы должны увидеть компьютер, к которому производилось подключение.
Попытка открыть этот компьютер и получить доступ к ресурсам может оказаться
неудачной, если для доступа к компьютеру требуется сертификат, а на рабочей
станции его нет. Установите для входящего подключения на сервере проверку
подлинности по имени пользователя и паролю. Это можно сделать на вкладке
Проверка подлинности в окне свойств подключения. При работе в локальной сети
может быт включен режим проверки подлинности по смарт-карте или сертификату, но
при наличии доступа к сведениям о компьютере проверяется подлинность самого
компьютера. В нашем случае связь оказывается односторонней. Удаленная рабочая
станция не имеет постоянного IP-адреса, OpenVPN установила связь и
идентифицировала клиента по своему секретному ключу, а сервер теперь хочет
проверить подлинность пользователя или компьютера при попытке доступа к его
ресурсам. В этом случае можно установить проверку подлинности по имени
пользователя и паролю. (На некоторых компьютерах это соответствует выбору метода
проверки MD5-Challenge; более понятное наименование метода может
отсутствовать.)
Можно, конечно, установить и настроить центр сертификации на сервере Windows
server 2003. Но это тема отдельного разговора.
Подключение к рабочим станциям сети
Если вам удалось подключиться к серверу сети или к к компьютеру, имеющему
непосредственное подключение к Интернету, то можно начинать настройку доступа к
любой рабочей станции сети (рис. 6.13). Эта возможность позволяет любому
пользователю (если вы настроили для него доступ) подключиться из дома к своему
рабочему компьютеру. В нашей сети второй сервер, имея непосредственное
подключение к Интернету, имеет реальный IP-адрес в Интернете. Другие компьютеры
сети имеют только внутренние адреса. Тем не менее есть возможность обеспечить
доступ к этим компьютерам через VPN. Это возможно, потому что обращение к
компьютерам происходит не только по IP-адресу, но и с использованием
определенного порта. Если на стороне Open VPN-клиента в файле конфигурации
указать порт, отличающийся от того, который был применен для связи с сервером, а
на сервере, подключенном к Интернету, создать маршрут к рабочей станции в
локальной сети, OpenVPN-сервер на которой имеет этот же номер порта, то связь
OpenVPN-клиента осуществится именно с этой рабочей станцией. Если применяется
брандмауэр, то необходимо разрешить доступ из Интернета по этому номеру
порта.
Настройте доступ по выбранному порту к рабочей станции, создав еще одну
запись для службы OpenVpn подобно тому, как показано на рис. 6.10, но с именем,
отличным от существующего (например, OpenVpn 1), адресовав ее на соответствующий
рабочей станции IP-адрес и указав выбранный для работы порт. Следует указать
также статические маршруты (рис. 6.12) к рабочим станциям. Указывать их надо для
интерфейса, подключенного к Интернету. Шлюз — адаптер, смотрящий в локальную
сеть, назначение — IP-адрес рабочей станции в сети, маска подсети —
255.255.255.255.
Можно заранее настроить возможность доступа к нескольким рабочим станциям,
выбрав для них различные номера портов. Если при организации удаленного доступа
пользователя к своей рабочей станции подготовить отдельный ключевой файл, то
кроме этого пользователя никто не сможет подключиться к его рабочей станции.
Аналогично, этот пользователь не сможет подключиться к другим рабочим станциям и
серверам.
При подготовке нескольких подключений следует дать понятные имена ключевым
файлам, самим подключениям и файлам конфигурации, чтобы избежать путаницы.
Если ваш компьютер (рабочая станция) поддерживает работу с несколькими
сетевыми адаптерами, то можно одновременно подключиться к рабочей
станции в локальной сети и к серверу. Несмотря на то, что в файлах
конфигурации клиентов будет указано одно и то же имя удаленного компьютера,
соответствующее IP-адресу сервера, подключение будет происходить к
соответствующим рабочим станциям. При этом в сетевом окружении они будут
появляться под своими именами. Таким образом, ваша работа на удаленной рабочей
станции почти не будет отличаться от работы в локальной сети. Работу с
несколькими виртуальными сетевыми адаптерами необходимо обязательно проверить в
условиях, когда с одним адаптером все работает устойчиво. ЕСЛИ вместо Сообщения
Initialization Sequence Completed на Экране
Рис. 6.13. Схема подключения к рабочей станции будет ПОЯВЛЯТЬСЯ Initialization Sequence Completed with Errors, когда
установлено более одного виртуального адаптера, работа с сетевыми ресурсами
может быть затруднена или невозможна.
В файлах конфигурации могут быть предусмотрены параметры, позволяющие
улучшить надежность VPN-соединения и уменьшить время его восстановления при
сбоях. Подробное описание всех возможных параметров приведено на сайте
разработчиков OpenVPN, а здесь приведем еще раз содержимое файлов конфигурации
сервера и клиента с некоторыми изменениями (листинги 6.3 и 6.4).
Листинг 6.3. Файл конфигурации для клиента OpenVPN Local.ovpn
remote server2 # необходимо в файле HOSTS указать IP-адрес
proto tcp-client
dev tap2
ifconfig 192.168.116.12 255.255.255.0
mssfix
dev-node den
secret den.txt
ping-restart 60
ping-timer-rem
persist-key
resolv-retry 86400
ping 10 comp-lzo verb 4 mute 10
Листинг 6.4. Файл конфигурации для сервера OpenVPN Server.ovpn
port 35001
proto tcp-server
dev tap
ifconfig 192.168.116.142 255.255.255.0
dev-node <Имя подключения>
secret den.txt
ping 10
comp-lzo
verb 4
mute 10
« Пред. - След. »