Входящее VPN-подключение можно создать как для рабочей станции Windows, так и для серверной операционной системы. Следует отметить, что на рабочей станции одновременно может быть задействовано только одно подключение.

Настройка VPN-подключения на базе операционной системы рабочей станции В качестве примера рассмотрим процесс настройки операционной системы Windows для организации возможности приема удаленных VPN-подключений. Можно выполнить одно подключение по любому из следующих интерфейсов: модемное соединение (рис. 5.12), инфракрасный порт, параллельный порт.

Создание VPN-подключения выполняется при помощи мастера новых подключений в следующей последовательности:

1. В мастере создания новых подключений выберите вариант Установить прямое подключение к другому компьютеру.

Настройка параметров входящего подключения в Windows

Рис. 5.12. Настройка параметров входящего подключения в Windows

2. Отметьте, что соединение должно обрабатывать входящие соединения (опция Принимать входящие подключения).

3. На вкладке о VPN-подключениях укажите, что вы хотите разрешить VPN-подключение, и выберите пользователей, которым будет разрешено использовать данное подключение.

4. На вкладке программного обеспечения в меню определения свойств IP-протокола настройте опции подключения удаленных пользователей к локальной сети: либо только к данному компьютеру (нужно снять флажок Разрешить звонящим доступ к локальной сети), либо ко всем компьютерам локальной сети (флажок установить). Также нужно определить параметры TCP/IP-протокола, которые будут использованы внешним клиентом. Адрес, получаемый VPN-клиентом, должен входить в подмножество адресов внутренней сети; как правило, на компьютерах сети в качестве шлюза используется адрес сетевой карты внутреннего интерфейса VPN-сервера.

Настройка VPN-подкпючений на базе серверной операционной системы

VPN-доступ в серверных операционных системах реализуется через службу RRAS. Администратору необходимо добавить столько портов для VPN-подключений, сколько потребуется в работе организации. Эта операция выполняется либо с помощью мастера настройки RRAS, либо вручную - простым добавлением нужного числа портов.

На практике обычно совмещают межсетевой экран и сервер входящих подключений по VPN. И создание входящих сессий в этом случае производится по правилам программного обеспечения межсетевого экрана.

VPN-подключения и межсетевые экраны На практике могут быть реализованы различные варианты расположения VPN-сервера и межсетевого экрана организации. Можно расположить VPN-сервер за межсетевым экраном, внутри локальной сети, тогда МСЭ будет перенаправлять весь VPN-поток на локальную систему. Это является безопасным решением, поскольку на сервере VPN производится аутентификация пользователя и несанкционированные данные просто отбрасываются.

Если расположить VPN-сервер перед межсетевым экраном, то необходимо выполнить настройку МСЭ, разрешающую пересылку пакетов с VPN-сервера внутрь локальной сети.

Фильтрация трафика VPN

В системах Windows VPN-канал создается службой маршрутизации и удаленного доступа. Поскольку RRAS проводит аутентификацию пользователя, то весь VPN-трафик безопасно может быть перенаправлен на такой сервер. Для обеспечения безопасности сервера (предотвращения атак на другие службы) в этом случае достаточно установить фильтры, которые пропускают к нему только трафик VPN и отсекают иные пакеты.

Подобную настройку легко выполнить штатными средствами, не устанавливая дополнительно программы межсетевого экрана. Следует настроить следующие фильтры на интернет-интерфейсе сервера:

для подключения по протоколу PPTP:

• по умолчанию игнорировать все пакеты, кроме явно разрешенных (drop all packets except those that meet the criteria below);

• разрешить IP-протокол на порт 1723 (разрешает передачу управляющего трафика PPTP);

• разрешить IP-протокол с идентификатором 47 (разрешает передачу данных по РРТР);

• разрешить IP-протокол на порт 1723 в варианте TCP [established] (настройка нужна, если инициатором соединения выступает сам VPN-сервер);

для подключения по протоколу L2TP:

• по умолчанию игнорировать все пакеты, кроме явно разрешенных;

• разрешить пакеты на UDP-порт номер 500;

• разрешить прохождение протокола с идентификатором 50;

• разрешить пакеты на UDP-порт номер 1701.

Не забывайте, что для обоих фильтров необходимо разрешить прохождение как входных пакетов, так и соответствующих симметричных выходных.

Настройки клиентов для подключения по VPN

Настроить VPN-подключение к сети предприятия можно в любых операционных системах клиента. Но, например, каждая версия Windows имеет некоторые отличия по созданию VPN-канала. В последних версиях (Windows XP, Windows 2000) данная операция выполняется с помощью мастера подключений.

Чтобы создать VPN-подключение к удаленной сети организации, достаточно вызвать задачу создания нового подключения и в мастере установок отметить вариант подключения к корпоративной сети, после чего просто ответить на запросы мастера.

ПримЕчАниЕ

Если параллельно с работой в корпоративной сети необходимо организовать использование Интернета (или доступ в иные сети) не через сеть организации, то в дополнительных настройках параметров подключения по VPN следует отключить применение шлюза по умолчанию из сети организации.

Действующий канал VPN будет отображаться пиктограммой еще одного сетевого соединения.

Vpn | Самоучитель системного администратора | Политики подключений


Самоучитель системного администратора



Новости за месяц

  • Сентябрь
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс