Виртуальная частная сеть

Создадим файл секретного ключа с помощью пункта меню программы OpenVpn Generate a static Open VPN key (Создать статический ключ) и поместим одну копию на OpenVPN-сервере, а другую — на OpenVPN-клиенте в папке с файлами конфигурации программы. Можно использовать и те файлы, что применялись на локальных машинах. Важно, чтобы на обеих машинах были копии одного и того же файла.

На рабочей станции обычно специальных настроек не требуется. Должна быть установлена программа OpenVPN, а в папку с конфигурационными файлами программы помещены файл конфигурации клиента и секретный ключ.

Теперь можно запустить OpenVPN-сервер и попытаться установить соединение с рабочей станцией, подключенной к Интернету. Хорошо, если для проведения пробного подключения есть второй телефон. К сожалению, соединение dial-up по той же линии, к которой подключен ADSL-модем, не всегда бывает достаточно хорошего качества, но, возможно, вам повезет, и вы сможете для эксперимента использовать одну телефонную линию.

На рабочей станции устанавливаем соединение с Интернетом через обычный модем и запускаем OpenVPN с использованием локального (клиентского) файла конфигурации. Программа делает несколько попыток соединения и, если все настроено верно, соединение устанавливается. Вы можете определить момент установки соединения по сообщению initialization Sequence completed. В противном случае следует проверить настройки и качество соединения.

После установления соединения VPN откройте сетевое окружение на рабочей станции. Вы должны увидеть компьютер, к которому производилось подключение. Попытка открыть этот компьютер и получить доступ к ресурсам может оказаться неудачной, если для доступа к компьютеру требуется сертификат, а на рабочей станции его нет. Установите для входящего подключения на сервере проверку подлинности по имени пользователя и паролю. Это можно сделать на вкладке Проверка подлинности в окне свойств подключения. При работе в локальной сети может быт включен режим проверки подлинности по смарт-карте или сертификату, но при наличии доступа к сведениям о компьютере проверяется подлинность самого компьютера. В нашем случае связь оказывается односторонней. Удаленная рабочая станция не имеет постоянного IP-адреса, OpenVPN установила связь и идентифицировала клиента по своему секретному ключу, а сервер теперь хочет проверить подлинность пользователя или компьютера при попытке доступа к его ресурсам. В этом случае можно установить проверку подлинности по имени пользователя и паролю. (На некоторых компьютерах это соответствует выбору метода проверки MD5-Challenge; более понятное наименование метода может отсутствовать.)

Можно, конечно, установить и настроить центр сертификации на сервере Windows server 2003. Но это тема отдельного разговора.

Подключение к рабочим станциям сети

Если вам удалось подключиться к серверу сети или к к компьютеру, имеющему непосредственное подключение к Интернету, то можно начинать настройку доступа к любой рабочей станции сети (рис. 6.13). Эта возможность позволяет любому пользователю (если вы настроили для него доступ) подключиться из дома к своему рабочему компьютеру. В нашей сети второй сервер, имея непосредственное подключение к Интернету, имеет реальный IP-адрес в Интернете. Другие компьютеры сети имеют только внутренние адреса. Тем не менее есть возможность обеспечить доступ к этим компьютерам через VPN. Это возможно, потому что обращение к компьютерам происходит не только по IP-адресу, но и с использованием определенного порта. Если на стороне Open VPN-клиента в файле конфигурации указать порт, отличающийся от того, который был применен для связи с сервером, а на сервере, подключенном к Интернету, создать маршрут к рабочей станции в локальной сети, OpenVPN-сервер на которой имеет этот же номер порта, то связь OpenVPN-клиента осуществится именно с этой рабочей станцией. Если применяется брандмауэр, то необходимо разрешить доступ из Интернета по этому номеру порта.

Настройте доступ по выбранному порту к рабочей станции, создав еще одну запись для службы OpenVpn подобно тому, как показано на рис. 6.10, но с именем, отличным от существующего (например, OpenVpn 1), адресовав ее на соответствующий рабочей станции IP-адрес и указав выбранный для работы порт. Следует указать также статические маршруты (рис. 6.12) к рабочим станциям. Указывать их надо для интерфейса, подключенного к Интернету. Шлюз — адаптер, смотрящий в локальную сеть, назначение — IP-адрес рабочей станции в сети, маска подсети — 255.255.255.255.

Можно заранее настроить возможность доступа к нескольким рабочим станциям, выбрав для них различные номера портов. Если при организации удаленного доступа пользователя к своей рабочей станции подготовить отдельный ключевой файл, то кроме этого пользователя никто не сможет подключиться к его рабочей станции. Аналогично, этот пользователь не сможет подключиться к другим рабочим станциям и серверам.

При подготовке нескольких подключений следует дать понятные имена ключевым файлам, самим подключениям и файлам конфигурации, чтобы избежать путаницы.

Если ваш компьютер (рабочая станция) поддерживает работу с несколькими сетевыми адаптерами, то можно одновременно подключиться к рабочей

станции в локальной сети и к серверу. Несмотря на то, что в файлах конфигурации клиентов будет указано одно и то же имя удаленного компьютера, соответствующее IP-адресу сервера, подключение будет происходить к соответствующим рабочим станциям. При этом в сетевом окружении они будут появляться под своими именами. Таким образом, ваша работа на удаленной рабочей станции почти не будет отличаться от работы в локальной сети. Работу с несколькими виртуальными сетевыми адаптерами необходимо обязательно проверить в условиях, когда с одним адаптером все работает устойчиво. ЕСЛИ вместо Сообщения Initialization Sequence Completed на Экране

Рис. 6.13. Схема подключения к рабочей станции будет ПОЯВЛЯТЬСЯ Initialization Sequence Completed with Errors, когда установлено более одного виртуального адаптера, работа с сетевыми ресурсами может быть затруднена или невозможна.

В файлах конфигурации могут быть предусмотрены параметры, позволяющие улучшить надежность VPN-соединения и уменьшить время его восстановления при сбоях. Подробное описание всех возможных параметров приведено на сайте разработчиков OpenVPN, а здесь приведем еще раз содержимое файлов конфигурации сервера и клиента с некоторыми изменениями (листинги 6.3 и 6.4).

Листинг 6.3. Файл конфигурации для клиента OpenVPN Local.ovpn

remote server2 # необходимо в файле HOSTS указать IP-адрес

proto tcp-client

dev tap2

ifconfig 192.168.116.12 255.255.255.0

mssfix

dev-node den

secret den.txt

ping-restart 60

ping-timer-rem

persist-key

resolv-retry 86400

ping 10 comp-lzo verb 4 mute 10

Листинг 6.4. Файл конфигурации для сервера OpenVPN Server.ovpn

port 35001

proto tcp-server

dev tap

ifconfig 192.168.116.142 255.255.255.0

dev-node <Имя подключения>

secret den.txt

ping 10

comp-lzo

verb 4

mute 10