Виртуальная частная сеть

Виртуальная частная сеть (Virtual Private Network, VPN) для большинства обычных пользователей и начинающих администраторов — область мало известная. Даже когда услуга по предоставлению виртуальной частной сети обеспечивается какой-либо фирмой (провайдером), то на стороне пользователя обычно производятся настройки клиентской части VPN, что не вызывает затруднений (учитывая рекомендации провайдера). Очень подробное описание настройки VPN для организации связи двух локальных сетей приводится в статье "Конфигурация VPN в Windows 2000" Дугласа Тумбса (Издательство "Открытые системы", http://www.osp.ru/win2000/worknt/630.htm).

В статье описано создание виртуальной сети между удаленными локальными сетями, подключенными к Интернету. Но в практике администратора локальной сети чаще может возникнуть задача обеспечения связи одной удаленной рабочей станции с локальной сетью. Организация такого доступа к локальной сети позволяет решить задачу доступа пользователя к своим файлам и принтерам. При этом, в отличие от терминального доступа или доступа через программы удаленного администрирования, на экране компьютера, с которого осуществлен доступ, не будет рабочего стола удаленной машины. Но в сетевом окружении будут необходимые папки, а для печати документов можно использовать принтер, находящийся в локальной сети и подключенный к компьютеру, к которому осуществлен доступ через VPN. Задержки передачи информации между компьютером удаленного пользователя и сетью не повлияют на скорость обычной работы с документами. В зависимости от скорости передачи информации через применяемое подключение к Интернету, будут более или менее значительными время копирования файлов и печати документа. Само по себе соединение устанавливается достаточно быстро даже при использовании выхода в Интернет через обычный модем. У автора соединение устанавливается в течение сорока секунд, в то время как локальная сеть находится на расстоянии более 50 км от места подключения. Единственное условие, которое должно быть соблюдено, — это наличие у рабочей станции, с которой осуществляется доступ к сети, реального (пусть даже динамически выделяемого) IP-адреса, а у компьютера, через который подключена к Интернету локальная сеть, должен быть постоянный IP-адрес, выделенный поставщиком услуг Интернета. Если не ставить условие обратного доступа из сети к удаленной рабочей станции, то подключение может быть выполнено, когда выход в Интернет удаленной рабочей станции выполняется через другую локальную сеть.

Применение VPN позволяет предоставить доступ к файлам и принтерам не только администратору, но отдельным пользователям (возможно, руководителю организации). Доступ к файлам и принтерам через VPN не нарушает работы пользователя компьютера, через который осуществляется доступ. Методы шифрования, применяемые для организации VPN, не позволят постороннему перехватить передаваемую информацию, пароли и получить доступ к сети. В отличие от доступа через сервер терминалов, в данном случае не потребуется и приобретение каких-либо дополнительных лицензий в случае предоставления доступа нескольким пользователям.

Итак, наша сеть через вспомогательный сервер (компьютер) подключена к Интернету через ADSL-модем. Вам требуется доступ к файлам и принтерам сети. Поскольку без экспериментов здесь не обойтись, начнем с описания организации тестовой VPN между двумя машинами. Ваша сеть может существенно отличаться от той, что рассматривается в данной книге. Поэтому для организации VPN мы воспользуемся свободно распространяемым программным обеспечением, которое может работать на любом компьютере сети, где нет встроенных средств для создания виртуальной сети.

Эта программа называется OpenVPN, а найти ее можно по адресу в Интернете http://openvpn.sourceforge.net. Программа распространяется бесплатно, имеет реализации для различных платформ, что позволяет настраивать подключения к серверам, работающим как под Windows, так и под Linux (UNIX). Для скачивания файлов дистрибутива программы лучше воспользоваться страницей http://openvpn.sourceforge.net/beta. Серверная и клиентская части программы ничем не отличаются, кроме нескольких строчек в файле конфигурации программы. В режиме сервера программа может быть запущена в качестве службы. После установки программы на компьютере появляется виртуальный сетевой адаптер (рис. 6.4).

Рис. 6.4. Новый адаптер в перечне оборудования компьютера

Для нового адаптера автоматически создается и новое подключение (рис. 6.5), которое следует сразу переименовать в короткое и понятное имя. Это необходимо, поскольку в файлах конфигурации программы OpenVPN требуется указать имя сетевого адаптера. При этом программа работает в режиме командной строки, где короткие имена предпочтительны.

Файлы конфигурации для сервера и клиента в самом простом варианте приведены в листингах 6.1 и 6.2.

Листинг 6.1. Файл конфигурации для клиента OpenVPN Local.ovpn

# имя компьютера, к которому осуществляем доступ remote hp-admin

# порт, через который осуществляется связь (любой свободный) port 35000

# указание на роль компьютера в VPN proto tcp-client

dev tap

ifconfig 192.168.116.3 255.255.255.0

dev-node vpn

secret key.txt

ping 10

comp-lzo

verb 4

mute 10

Листинг 6.2. Файл конфигурации для сервера OpenVPN Server.ovpn

port 35000

proto tcp-server

dev tap

ifconfig 192.168.116.1 255.255.255.0

dev-node vpn

secret key.txt

ping 10

comp-lzo

verb 4

mute 10

Рис. 6.5. Окно Сетевые подключения с новым сетевым подключением