Инструменты пользователя

Инструменты сайта


vpn

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Both sides previous revision Предыдущая версия
vpn [2014/11/19 13:23]
root
vpn [2015/05/14 14:16] (текущий)
tuor
Строка 1: Строка 1:
 +====== VPN ======
 +
 +===== Описание =====
 +
 +**VPN** - виртуальная частная сеть, позволяющая объединить в единую сеть пользователей,​ физически находящихся в различных местах. Кроме того, с помощью VPN можно организовать выход компьютеров локальной сети к интернету по логину/​паролю. ​
 +
 +Обычно VPN используется для организации удалённого доступа к локальной сети: например,​ в тех случаях,​ когда пользователю требуется получить доступ к внутренним ресурсам сети предприятия пока он находится в командировке или отпуске.
 +
 +===== Создание VPN-сети =====
 +
 +Для того, чтобы начать работу с VPN, необходимо создать виртуальную подсеть,​ в которой будут появляться VPN-пользователи после подключения. Для этого необходимо перейти в раздел "​Провайдеры и сети"​ и выбрать пункт "​Добавить"​ -> "​VPN-сеть"​.
 +
 +{{:​ics-int-vpn.png|Создание VPN-сети}}
 +
 +Необходимо указать диапазон адресов для VPN-сети в формате ip-адрес VPN-интерфейса/​маска. Адреса из этого диапазона будут выдаваться пользователям,​ подключающимся через VPN.
 +
 +Затем выбрать доступные для подключение протоколы - PPTP, L2TP или L2TP+ipsec.
 +
 +Для предоставления пользователям доступа в интернет посредством PPPoE, необходимо выбрать опцию "​PPPoE"​ и указать сетевой интерфейс,​ который подключен к сети с пользовательскими компьютерами.
 +
 +В том случае,​ если в вашей сети находятся несколько PPPoE-серверов,​ вы можете идентифицировать сервер ИКС при помощи поля "​Имя сервиса",​ задав в нем произвольное имя.
 +
 +{{:​ics-vpn-show.png|VPN-сеть}}
 +
 +Чтобы сразу перейти к списку пользователей,​ разрешенных для подключения,​ нажмите кнопку "​Настройки авторизации"​ на панели созданной VPN-сети.
 +
 +===== Настройка пользователя =====
 +
 +Для того, чтобы пользователь мог подключиться к серверу по VPN, необходимо отметить его флажком в списке пользователей в меню VPN - Пользователи. Также нужно указать ему логин и пароль для подключения. ​
 +
 +{{::​ics-vpn-users-list.png|Список пользователей::​}}
 +
 +Если пользователь всегда должен получать один и тот же ip-адрес,​ можно присвоить ему адрес из диапазона VPN-сети во вкладке пользователя "​IP-адреса"​. Этот адрес будет назначаться пользователю при подключении,​ в противном случае пользователю будет выдаваться первый свободный адрес из VPN-диапазона. Назначение адреса вручную удобно в том случае,​ если пользователь при подключении не использует ИКС как удаленный шлюз. В таком случае клиенту можно прописать статический маршрут до сетей ИКС. Это делается следующим образом (на примере Windows XP): 
 +
 +{{::​ics-vpn-client-setup.png|Настройка клиентского подключения::​}}
 +
 +В свойствах созданного VPN-подключения во вкладке "​Сеть"​ необходимо выбрать пункт "​Протокол интернета TCP/​IP",​ нажать кнопку "​Свойства",​ в открывшемся окне нажать кнопку "​Дополнительно"​ и снять флажок "​Использовать основной шлюз в удаленной сети"​.
 +
 +{{::​ics-vpn-console.png|Настройка клиентского подключения::​}}
 +
 +После этого пользователю в настройка системы необходимо прописать маршрут вида "​Удаленная сеть"​ -> "​Выданный VPN-адрес"​.
 +
 +===== Настройка межсетевого экрана =====
 +
 +Для того, чтобы удалённый пользователи могли подключаться к ИКС через PPTP VPN, необходимо чтобы в [[межсетевой экран|межсетевом экране]] были разрешены правила "​Доступ к VPN-серверу"​ (разрешены входящие соединения на порт 1723) и "​Доступ к серверу через GRE-туннели"​ (разрешен GRE-трафик).
 +    ​
 +
 +===== Мониторинг подключений =====
 +    ​
 +Во вкладке модуля [[vpn модуль|VPN]] "​Текущие сеансы"​ можно просмотреть список активных VPN-сессий,​ именя подключённых пользователей,​ их ip-адреса и т.д. Любое подключение можно разорвать.
 +    ​
 +
 +===== Использование ARP-прокси =====
 +
 +Обычно,​ если при настройке PPTP-подключения не был указана опция "​использовать шлюз в удалённой сети",​ пользователю необходимо вручную указывать маршрут до компьютеров локальной сети. Для того, чтобы обойти это ограничение,​ используется технология ARP proxy.
 +
 +В этом случае,​ при подключении по VPN пользователю выдаётся свободный ip-адрес из общей локальной сети и он может обращаться к ресурсам локальной сети так, как будто он физически находится в ней.
 +
 +Для того, чтобы использовать ARP-proxy, необходимо в свойствах VPN-сети указать диапазон адресов из локальной сети, например если используется локальная сеть 192.168.1.0/​24,​ то для VPN можно выделить диапазон 192.168.1.129/​28,​ таким образом VPN-пользователям можно выдать адреса 192.168.1.130-192.168.1.144.
  

Инструменты страницы