• Возможность офисам общаться в режиме «каждый с каждым»

l2 vpn или l3 vpn

Решения L2 или L3 VPN могут применяться в различных схемах исполнения — «Точка-Точка», «Звезда», «Full Mesh».

В случае использования «одноранговой» сети с небольшим количеством устройств (компьютеров, принтеров, и т. д.) или точек подключения (офисов) зачастую используется схема L2 VPN, работающая на 2-ом уровне модели  OSI. Эта схема более проста в настройке и обслуживании, чем схема L3 VPN. Поэтому L2 VPN часто используется для небольших предприятий.

Схема с использованием L3 VPN более гибкая и масштабируемая. L3 позволяет не только коммутировать, но и маршрутизировать трафик, за счет работы на 3-м уровне модели OSI. Она применяется в более распределенных сетях с неограниченным количеством устройств в сети. L3 VPN дает возможность более гибко использовать адресное пространство IP-адресов, применять L3 — Access-листы и обеспечивать максимальную безопасность и управление. 

5 причин заказать vpn в вестколле

Ваша заявка успешно принята. Спасибо за обращение!

Подключение локальных сетей к виртуальной сети — VPN-подключение типа «сеть — сеть» — CLI — Azure VPN Gateway

• 07/26/2021
• Чтение занимает 13 мин

В этой статье

В этой статье показано, как с помощью Azure CLI создавать подключение типа «сеть — сеть» с использованием VPN-шлюза между вашей локальной сетью к виртуальной. Приведенные в этой статье инструкции относятся к модели развертывания с помощью Resource Manager. Эту конфигурацию также можно создать с помощью разных средств или моделей развертывания, выбрав вариант из следующего списка:

Подключение VPN-шлюза типа «сеть — сеть» используется для подключения между локальной сетью и виртуальной сетью Azure через туннель VPN по протоколу IPsec/IKE (IKEv1 или IKEv2). Для этого типа подключения требуется локальное VPN-устройство, которому назначен внешний общедоступный IP-адрес. Дополнительные сведения о VPN-шлюзах см. в этой статье.

Перед началом

Перед началом настройки убедитесь, что удовлетворены следующие требования:

• Убедитесь, что у вас есть совместимое VPN–устройство и пользователь, который может настроить его. Дополнительные сведения о совместимых устройствах VPN и их настройке см. в этой статье.
• Убедитесь, что у вас есть общедоступный IPv4–адрес для вашего VPN–устройства.
• Если вы не знаете диапазоны IP-адресов в своей конфигурации локальной сети, найдите того, кто сможет предоставить вам нужную информацию. При создании этой конфигурации необходимо указать префиксы диапазона IP-адресов, которые Azure будет направлять к локальному расположению. Ни одна из подсетей локальной сети не может перекрывать виртуальные подсети, к которым вы хотите подключиться.

• Используйте среду Bash в Azure Cloud Shell.

• При необходимости установите Azure CLI, чтобы выполнять справочные команды CLI.

  • Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о дополнительных возможностях, доступных при входе, см. в статье Вход с помощью Azure CLI.

  • Если появится запрос, установите расширения Azure CLI при первом использовании. Дополнительные сведения о расширениях см. в статье Использование расширений с Azure CLI.

  • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

• Для работы с этой статьей требуется Azure CLI версии 2.0 или более поздней. Если вы используете Azure Cloud Shell, последняя версия уже установлена.

Примеры значений

Следующие значения можно использовать для создания тестовой среды или для лучшего понимания примеров в этой статье.

#Example values

VnetName                = TestVNet1 
ResourceGroup           = TestRG1 
Location                = eastus 
AddressSpace            = 10.11.0.0/16 
SubnetName              = Subnet1 
Subnet                  = 10.11.0.0/24 
GatewaySubnet           = 10.11.255.0/27 
LocalNetworkGatewayName = Site2 
LNG Public IP           = <VPN device IP address>
LocalAddrPrefix1        = 10.0.0.0/24
LocalAddrPrefix2        = 20.0.0.0/24   
GatewayName             = VNet1GW 
PublicIP                = VNet1GWIP 
VPNType                 = RouteBased 
GatewayType             = Vpn 
ConnectionName          = VNet1toSite2

1. Подключение к подписке

Для локального выполнения интерфейса командной строки необходимо подключиться к подписке. Если вы используете Azure Cloud Shell в браузере, подключаться к подписке не требуется. В таком случае подключение к Azure Cloud Shell будет устанавливаться автоматически. Тем не менее при необходимости после подключения вы можете убедиться, что используется правильная подписка.

Войдите в свою подписку Azure с помощью команды az login и следуйте инструкциям на экране. Дополнительные сведения о входе в систему см. в статье Начало работы с Azure CLI.

az login

Если у вас есть несколько подписок Azure, укажите подписки для этой учетной записи.

az account list --all

Укажите подписку, которую нужно использовать.

az account set --subscription <replace_with_your_subscription_id>

2. Создание группы ресурсов

В следующем примере создается группа ресурсов с именем TestRG1 в расположении eastus. Если у вас уже есть группа ресурсов в регионе, где вы хотите создать виртуальную сеть, вы можете воспользоваться ею.

az group create --name TestRG1 --location eastus

3. Создание виртуальной сети

Если у вас еще нет виртуальной сети, создайте ее, используя команду az network vnet create. При создании виртуальной сети убедитесь, что указанные адресные пространства не перекрываются ни с одним из адресных пространств, которые используются в локальной сети.

Примечание

Для подключения этой виртуальной сети к локальному расположению вам необходимо обратиться к администратору локальной сети, чтобы выделить диапазон IP-адресов, который будет использоваться специально для этой виртуальной сети. Если повторяющийся диапазон адресов существует на обеих сторонах VPN-подключения, трафик не будет маршрутизироваться должным образом. Кроме того, если вы хотите подключить виртуальную сеть к другой виртуальной сети, адресное пространство не должно пересекаться с другой виртуальной сетью. Спланируйте конфигурацию сети соответствующим образом.

В следующем примере создаются виртуальная сеть TestVNet1 и подсеть Subnet1.

az network vnet create --name TestVNet1 --resource-group TestRG1 --address-prefix 10.11.0.0/16 --location eastus --subnet-name Subnet1 --subnet-prefix 10.11.0.0/24

4. Создание подсети шлюза

Шлюз виртуальной сети использует определенную подсеть, которая называется подсетью шлюза. Подсеть шлюза входит в диапазон IP-адресов виртуальной сети, который вы указываете при ее настройке. Подсеть шлюза содержит IP-адреса, которые используют ресурсы и службы шлюза виртуальной сети. Чтобы развертывать ресурсы шлюза в Azure, подсети нужно присвоить имя GatewaySubnet. Для развертывания ресурсов шлюза нельзя указывать другую подсеть. Если при создании VPN-шлюза у вас нет подсети с именем GatewaySubnet, операция завершится сбоем.

При создании подсети шлюза указывается количество IP-адресов, которое содержит подсеть. Необходимое количество IP-адресов зависит от конфигурации VPN-шлюза, который вы хотите создать. Некоторым конфигурациям требуется больше IP-адресов, чем прочим. Рекомендуем создать подсеть шлюза, которая использует /27 или /28.

Если появится сообщение об ошибке, которое указывает, что адресное пространство пересекается с подсетью или что подсеть находится вне адресного пространства виртуальной сети, проверьте диапазон адресов виртуальной сети. Возможно, в диапазоне адресов, созданном для виртуальной сети, недостаточно IP-адресов. Например, если подсеть по умолчанию охватывает весь диапазон адресов, не остается IP-адресов для создания дополнительных подсетей. Можно настроить подсети в существующем пространстве адресов, чтобы освободить IP-адреса, или указать дополнительный диапазон адресов и создать в нем подсеть шлюза.

Используйте команду azure network vnet subnet create, чтобы создать шлюз подсети.

az network vnet subnet create --address-prefix 10.11.255.0/27 --name GatewaySubnet --resource-group TestRG1 --vnet-name TestVNet1

Важно!

При работе с подсетями шлюза не связывайте группу безопасности сети (NSG) с подсетью шлюза. Связывание группы безопасности сети с этой подсетью приведет к тому, что шлюз виртуальной сети (VPN-шлюз и шлюз Express Route) перестанет работать ожидаемым способом. Дополнительные сведения о группах безопасности сети см. в статье Фильтрация сетевого трафика с помощью групп безопасности сети.

5. Создание локального сетевого шлюза

Обычно термин «шлюз локальной сети» означает локальное расположение. Присвойте сайту имя, по которому Azure может обращаться к этому сайту, а затем укажите IP-адрес локального VPN-устройства, к которому вы подключитесь. Вы можете также указать префиксы IP-адресов, которые будут направляться через VPN-шлюз к VPN-устройству. Указываемые префиксы адресов расположены в локальной сети. При изменении локальной сети вы сможете без проблем обновить эти префиксы.

Используйте следующие значения.

• Параметр —gateway-ip-address — это IP-адрес локального VPN-устройства.
• —local-address-prefixes — это локальные адресные пространства.

Используйте команду az network local-gateway create,чтобы добавить шлюз локальной сети с несколькими префиксами адресов:

az network local-gateway create --gateway-ip-address 23.99.221.164 --name Site2 --resource-group TestRG1 --local-address-prefixes 10.0.0.0/24 20.0.0.0/24

6. Запрос общедоступного IP-адреса

VPN-шлюз должен иметь общедоступный IP-адрес. Сначала запросите ресурс IP-адреса, а затем укажите его при создании шлюза виртуальной сети. IP-адрес динамически назначается ресурсу при создании VPN-шлюза. В настоящее время VPN-шлюз поддерживает только динамическое выделение общедоступных IP-адресов. Вы не можете запросить назначение статического общедоступного IP-адреса. Однако это не означает, что IP-адрес изменяется после назначения VPN-шлюзу. Общедоступный IP-адрес изменяется только после удаления и повторного создания шлюза. При изменении размера, сбросе или других внутренних операциях обслуживания или обновления IP-адрес VPN-шлюза не изменяется.

Используйте команду az network public-ip create, чтобы запросить динамический общедоступный IP-адрес.

az network public-ip create --name VNet1GWIP --resource-group TestRG1 --allocation-method Dynamic

7. Создание VPN-шлюза

Создайте VPN-шлюз виртуальной сети. Создание шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU шлюза.

Используйте следующие значения.

• Для конфигурации «сеть — сеть» задайте для параметра —gateway-type значение Vpn. Тип шлюза всегда зависит от реализуемой конфигурации. Дополнительные сведения см. в разделе Типы шлюзов.
• У параметра —vpn-type может быть значение RouteBased (в некоторых документах такой шлюз называется шлюзом с динамической маршрутизацией) или PolicyBased (в некоторых документах — шлюз со статической маршрутизацией). Этот параметр зависит от требований устройства, к которому вы подключаетесь. Дополнительные сведения о VPN-шлюзах см. в этой статье.
• Выберите SKU шлюза, который нужно использовать. К определенным номерам SKU применяются ограничения настройки. Дополнительные сведения см. в разделе о номерах SKU шлюзов.

Чтобы создать VPN-шлюз, используйте команду az network vnet-gateway create. При выполнении этой команды с использованием параметра —no-wait вы не увидите ответа или выходных данных. Этот параметр позволяет создать шлюз в фоновом режиме. Для создания шлюза требуется не менее 45 минут.

az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWIP --resource-group TestRG1 --vnet TestVNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait 

8. Настройка VPN-устройства

Для подключения типа «сеть — сеть» к локальной сети требуется VPN-устройство. На этом этапе мы настроим VPN-устройство. Чтобы настроить локальное VPN-устройство, вам потребуется следующее:

• Общий ключ. Это тот же общий ключ, который указывается при создании VPN-подключения «сеть — сеть». В наших примерах мы используем простые общие ключи. Для практического использования рекомендуется создавать более сложные ключи.

• Общедоступный IP-адрес шлюза виртуальной сети. Общедоступный IP-адрес можно просмотреть с помощью портала Azure, PowerShell или CLI. Чтобы найти общедоступный IP-адрес шлюза виртуальной сети, используйте команду az network public-ip list. Для удобства чтения выходные данные форматируются для отображения списка общедоступных IP-адресов в формате таблицы.

  az network public-ip list --resource-group TestRG1 --output table
  

Скачивание скриптов конфигурации VPN-устройства:

В зависимости устройства VPN можно загрузить для него скрипт конфигурации. Дополнительные сведения см. в статье о скачивании скриптов конфигурации для VPN-устройств.

Дополнительные сведения о конфигурации см. по следующим ссылкам:

• См. дополнительные сведения о совместимых VPN-устройствах.

• Прежде чем настраивать VPN-устройство, которое вы хотите использовать, проверьте его на наличие известных проблем совместимости устройств.

• См. дополнительные сведения о проверенных VPN-устройствах. Ссылки на инструкции по настройке устройств будут предоставляться по мере возможности. Актуальные сведения о конфигурации всегда лучше проверять у производителей устройств. В списке перечислены протестированные нами версии. Если вашей ОС нет в этом списке, эта версия все равно может быть совместимой. Обратитесь к изготовителю устройства, чтобы проверить совместимость версии ОС с вашим VPN-устройством.

• Общие сведения о конфигурации устройства VPN см. в статье Обзор конфигураций партнерских VPN-устройств.

• См. дополнительные сведения о примерах изменения конфигурации устройств.

• См. дополнительные сведения о требованиях к шифрованию и VPN-шлюзах Azure.

• См. дополнительные сведения о VPN-устройствах и параметрах IPsec/IKE для подключений типа «сеть — сеть» через VPN-шлюз. По этой ссылке отображаются сведения о версии IKE, группе Диффи-Хелмана, способе аутентификации, алгоритмах шифрования и хэширования, времени существования SA, PFS, DPD, а также другие сведения о параметрах, необходимых для завершения настройки.

• См. инструкции по настройке политики IPsec/IKE для VPN-подключений типа «сеть — сеть» или «виртуальная сеть — виртуальная сеть».

• Сведения о подключении нескольких VPN-устройств на основе политик см. в статье Подключение VPN-шлюзов Azure к нескольким локальным VPN-устройствам на основе политики с помощью PowerShell.

9. Создание VPN-подключения

Создайте VPN-подключение типа «сеть — сеть» между шлюзом виртуальной сети и локальным VPN-устройством. Обратите особое внимание на значение общего ключа, которое должно соответствовать значению заданного общего ключа для VPN-устройства.

Создайте подключение с помощью команды az network vpn-connection create.

az network vpn-connection create --name VNet1toSite2 --resource-group TestRG1 --vnet-gateway1 VNet1GW -l eastus --shared-key abc123 --local-gateway2 Site2

Через некоторое время будет установлено подключение.

10. Проверка VPN-подключения

Убедиться в успешном выполнении подключения можно с помощью команды az network vpn-connection show. В примере параметр —name — это имя подключения, которое требуется проверить. Когда подключение устанавливается, это отображено соответствующим образом (состояние «Подключение»). После установки подключения его состояние изменяется на «Подключено».

az network vpn-connection show --name VNet1toSite2 --resource-group TestRG1

Если вы хотите использовать другой метод проверки подключения, см. статью Проверка соединения VPN-шлюза.

Подключение к виртуальной машине

Вы можете подключиться к виртуальной машине, которая развернута в вашей виртуальной сети, создав подключение к удаленному рабочему столу. Лучший способ проверить, можете ли вы подключиться к своей виртуальной машине, — подключиться, используя частный IP-адрес, а не имя компьютера. Таким образом, вы проверяете, можете ли вы подключиться, а не правильно ли настроено разрешение имен.

1. Найдите частный IP-адрес. Вы можете найти частный IP-адрес виртуальной машины, просмотрев ее свойства на портале Azure или используя PowerShell.

   • Портал Azure. Найдите свою виртуальную машину на портале Azure. Просмотрите свойства виртуальной машины. Там будет указан частный IP-адрес.

   • PowerShell. Воспользуйтесь примером ниже, чтобы просмотреть список виртуальных машин и частных IP-адресов из ваших групп ресурсов. Вам не нужно изменять этот пример перед использованием.

     $VMs = Get-AzVM
     $Nics = Get-AzNetworkInterface | Where VirtualMachine -ne $null
     
     foreach($Nic in $Nics)
     {
     $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
     $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
     $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
     Write-Output "$($VM.Name): $Prv,$Alloc"
     }
     

2. Убедитесь, что вы подключены к виртуальной сети с помощью VPN-подключения «точка — сеть».

3. Откройте подключение к удаленному рабочему столу. Для этого введите «RDP» или «подключение к удаленному рабочему столу» в поле поиска на панели задач, а затем выберите подключение к удаленному рабочему столу. Вы также можете открыть подключение к удаленному рабочему столу с помощью команды mstsc в PowerShell.

4. В сеансе подключения к удаленному рабочему столу введите частный IP-адрес виртуальной машины. Щелкните «Показать параметры», чтобы настроить дополнительные параметры, а затем подключитесь.

Устранение неполадок с подключением

Если возникают проблемы при подключении к виртуальной машине через VPN-подключение, проверьте следующее.

Стандартные задачи

Этот раздел содержит общие команды, которые могут быть полезны при работе с конфигурациями подключения типа «сайт — сайт». Полный список сетевых команд интерфейса командной строки см. в разделе об управлении ресурсами сети Azure.

Просмотр локальных сетевых шлюзов

Чтобы просмотреть список шлюзов локальной сети, используйте команду az network local-gateway list.

az network local-gateway list --resource-group TestRG1

Изменение префиксов IP-адресов для шлюза локальной сети при отсутствии подключения шлюза

Если нет подключения шлюза и нужно добавить или удалить префиксы IP-адресов, выполните ту же команду, что и для создания шлюза локальной сети (az network local-gateway create). Эта команда также используется для обновления IP-адреса шлюза VPN-устройства. Чтобы перезаписать текущие параметры, укажите существующее имя шлюза локальной сети. Если используется другое имя, необходимо создать новый шлюз локальной сети вместо перезаписи существующего.

При каждом изменении нужно указать полный список префиксов, а не только те префиксы, которые вы хотите изменить. Укажите только те префиксы, которые нужно сохранить. В этом случае это 10.0.0.0/24 и 20.0.0.0/24.

az network local-gateway create --gateway-ip-address 23.99.221.164 --name Site2 -g TestRG1 --local-address-prefixes 10.0.0.0/24 20.0.0.0/24

Изменение префиксов IP-адресов для шлюза локальной сети при наличии подключения шлюза

Если подключение шлюза существует и требуется добавить или удалить префиксы IP-адресов, обновите их с помощью команды az network local-gateway update. После этого VPN-подключение будет некоторое время недоступно. При изменении префиксов IP-адресов не нужно удалять VPN-шлюз.

При каждом изменении нужно указать полный список префиксов, а не только те префиксы, которые вы хотите изменить. В этом примере 10.0.0.0/24 и 20.0.0.0/24 уже существуют. Добавьте префиксы 30.0.0.0/24 и 40.0.0.0/24 и укажите все 4 при обновлении.

az network local-gateway update --local-address-prefixes 10.0.0.0/24 20.0.0.0/24 30.0.0.0/24 40.0.0.0/24 --name VNet1toSite2 -g TestRG1

Изменение шлюза локальной сети gateway-ip-address

Если общедоступный IP-адрес VPN-устройства, к которому вы хотите подключиться, изменился, измените шлюз локальной сети в соответствии с изменениями. IP-адрес шлюза можно изменить, не удаляя существующее подключение VPN-шлюза (если имеется). Чтобы изменить IP-адрес шлюза, замените значения Site2 и TestRG1 собственными, используя команду az network local-gateway update.

az network local-gateway update --gateway-ip-address 23.99.222.170 --name Site2 --resource-group TestRG1

Проверьте правильность IP-адреса в выходных данных:

"gatewayIpAddress": "23.99.222.170",

Проверка значений общего ключа

Убедитесь, что значение общего ключа совпадает со значением, использованным для настройки VPN-устройства. Если это не так, выполните подключение еще раз, используя значение с устройства, или воспользуйтесь предыдущим значением устройства. Значения должны совпадать. Чтобы просмотреть общий ключ, используйте команду az network vpn-connection-list.

az network vpn-connection shared-key show --connection-name VNet1toSite2 --resource-group TestRG1

Просмотр общедоступного IP-адреса VPN-шлюза

Чтобы найти общедоступный IP-адрес шлюза виртуальной сети, используйте команду az network public-ip list. Для удобства чтения выходные данные в этом примере форматируются для отображения списка общедоступных IP-адресов в формате таблицы.

az network public-ip list --resource-group TestRG1 --output table

Дальнейшие действия

Услуги по созданию и настройке виртуальных частных сетей (VPN)

element

В географически распределенных компаниях, как и в компаниях с большим количеством мобильных сотрудников, остро встает вопрос предоставления постоянного доступа к корпоративным сервисам с сохранением защиты информации. Вариантов решения два: или строить выделенный канал, что очень дорого и не решает проблемы доступа с мобильных устройств, или использовать VPN и передавать зашифрованный трафик через общедоступные каналы.

Преимущества использования VPN-сетей:

• Экономия – подключение осуществляется через Интернет.
• Расширенная безопасность – подключение осуществляется при помощи протоколов PPTP/L2TP, обеспечивающих аутентификацию и шифрование данных, таким образом в сети Интернет «видны» только внешние IP-адреса.
• Поддержка сетевых протоколов – благодаря поддержке широко распространенных протоколов можно дистанционно выполнять любое приложение, зависящее от конкретного сетевого протокола.

Защита трафика в виртуальной частной сети обеспечивается целым набором технологий: криптографией, механизмами аутентификации пользователей, инфраструктурой распределения открытых ключей.

Соединения могут быть трех видов, в зависимости от назначения:

{схема} Узел-узел

{схема} узел-сеть

{схема} сеть-сеть

VPN-решения могут быть на базе программно-аппаратных комплексов:

VPN позволяет не просто установить защитное устройство на периметре корпоративной сети (например, межсетевой экран), но и построить стойкую границу вокруг всей корпоративной сети, включая каждый офис, а при необходимости — каждое рабочее место, устройство и каждый сетевой пакет.

Наши специалисты обладают глубокой экспертизой в области построения комплексной защиты ИТ-инфраструктуры и могут предложить, как отдельные VPN-решения, так и в составе межсетевых экранов нового поколения.

Проконсультируйтесь со специалистом CNS.

Подскажите, какие задачи в области информационной безопасности стоят перед вами?

как работает + инструкция по настройке

VPN (Virtual Private Network – виртуальная частная сеть) – технология, позволяющая безопасно подключиться к интернету.

VPN-сервер — это сервер, который принимает, шифрует и/или расшифровывает данные и передаёт их в точку назначения.

VPN-соединение обеспечивает пользователям дополнительный уровень конфиденциальности в интернете. Между Вами (вашим IP-адресом) и сервером создаётся зашифрованный канал: таким образом Ваши данные будут защищены, текущий IP-адрес скрыт и сохранится анонимность в сети.

Простая аналогия: вылазки Гарри Поттера из Хогвартса в соседнюю деревню Хогсмид. Он, если помните, пользовался мантией-невидимкой и тайными ходами, обозначенными на карте Мародёров. Тайные ходы — это и есть VPN сеть, то есть Вы попадаете из точки А (компьютера) в точку Б (сайт), но не прямым путём, а обходным. Ну а мантия-невидимка обеспечивает анонимность.

Для чего НУЖЕН ВПН

Что ж, я вроде понятно объяснила, что такое VPN-подключение. Теперь разберемся подробнее, зачем и в каком случае может понадобиться VPN-сервер.

1. Безопасность передачи данных. Например, для совершения покупок в интернете Вы передаёте данные своей банковской карты – их могут перехватить мошенники. VPN не допустит этого и обеспечит Вам необходимую защиту.

2. Безопасность в открытых сетях Wi-Fi. Например, в торговых центрах или кафе Вы точно не знаете, кто и как создал эту сеть, и действительно ли она принадлежит данной точке. А VPN зашифрует данные о Вас и Вашем устройстве и никто не сможет ими воспользоваться в преступных целях.

3. Доступ к заблокированным государством ресурсам. В разных странах некоторые ресурсы блокируются. Если, скажем, в Китае пользователю нужно зайти в Инстаграм, то ему придётся прибегнуть к помощи VPN.

Есть и странные случаи: из России, например, нельзя зайти на сайт канадской почты, чтобы отследить посылку. VPN-сервер подменит данные о Вашем местонахождении и Вы сможете свободно перейти на нужный сайт.

4. Защита данных на смартфоне. VPN сделает так, что никто не сможет получить доступ к Вашим перепискам в мессенджерах или украсть другие персональные данные.

5. Защита от провайдеров. Провайдеры собирают информацию о пользователях: историю поиска, на какие сайты Вы переходите, какими мессенджерами пользуетесь и т.д. Благодаря VPN провайдер сможет установить только факт использования виртуальных частных сетей, но не получит доступа к Вашим данным.

6. Подключение к удаленным серверам. VPN позволит подключиться к ним, если, например, пользователю нужно поработать из дома. Поэтому многие крупные компании создают собственные сети впн.

Лучшие VPN сервисы

Для тех, кто не хочет заморачиваться, сразу расскажу о лучших VPN сервисах. Ну а если Вы хотите глубже разобраться в теме — не переключайтесь, дальше в статье будет много интересного.

У каждого из сервисов разные пакеты возможностей, поэтому кликайте и знакомьтесь с каждой программой впн поближе. Я указала минимальную стоимость для покупки услуг на один месяц, но за подписку на несколько месяцев сразу большинство дают бонусы и скидки. В таблице ниже — ТОП впн-клиентов.

Только ими, конечно, предложение не ограничивается, так что вот ещё несколько хороших сервисов.

Защитите свои данные. Лучшие VPN — в Агрегаторе сервисов.

Как выбрать VPN

Разбежались глаза от разнообразия? Обратите внимание на основные критерии, по которым нужно выбирать подходящий VPN-сервис:

• Средняя скорость. Любой VPN существенно или не очень снизит скорость соединения. Лучшими считаются сервисы, которые снижают её не более, чем на 30%;
• Цена подписки. Средняя цена сервиса составит примерно 700 руб/мес. На такую примерно и ориентируйтесь. А если цена слишком высокая или низкая, выясните, почему. Наличие бесплатного тестового периода станет отличным бонусом;
• Количество стран и серверов. Чем их больше, тем больше у Вас вариантов подключений — и тем, естественно, лучше;
• Политика конфиденциальности. Обязательно с ней ознакомьтесь: там чётко прописывается, какие данные пользователей хранятся на серверах VPN, а какие нет, возможна ли передача Ваших данных третьим лицам и т.д.
• Функционал. Обратите внимание на то, какие фишки и плюшки помимо базовых услуг предлагает сервис. Например, безопасные торренты, изменение часового пояса, связка с TOR, смена DNS, возможность использовать впн на нескольких устройствах и т.д.

Как работает VPN

Теперь наглядно разберёмся, как именно работает ВПН. Эта информация, к слову, может Вам пригодиться при выборе сервиса, но об этом я подробнее расскажу ниже.

Типы протоколов VPN

Теперь, когда есть представление о том, что такое VPN, разберёмся в разновидностях его протоколов и рассмотрим их основные преимущества и недостатки. Если Вам это неинтересно и срочно нужны сервисы, то можете сразу переходить к следующей главе.

1. OpenVPN

Сравнительно новый протокол, используется многими VPN-сервисами по умолчанию и считается самым надёжным. Он объединяет в себе несколько технологий, включая SSLv3/TLSv1 протоколы и библиотеку OpenSSL, и поддерживает множество алгоритмов шифрования – это обеспечивает надёжность соединения.

Открытый исходный код протокола позволяет оперативно адаптироваться при возникновении новых опасностей. OpenVPN довольно сложно настроить, но большинство программ предлагает уже готовые настройки.

2. PPTP VPN

Протокол “point to point”, то есть “точка-точка”, создаёт VPN внутри общей сети и часто используется сервисами по умолчанию. Он прост в настройке, поэтому очень распространен. Удобен как для бизнеса, так и для домашнего использования.

Для PPTP не нужно устанавливать дополнительное оборудование, но у него есть и недостаток: данные не шифруются, поэтому полная безопасность не гарантирована.

3. Site-to-Site VPN

Протокол “узел-узел”. Его часто предпочитают в бизнесе: так компьютеры связываются в единую сеть, если они находятся в разных подразделениях компании, будь они в разных офисах или даже в разных странах. Помимо этого, с ним можно подключиться и к сети другой компании.

Уровень безопасности здесь довольно высокий, правда придётся установить дополнительное оборудование или приложения на подключённых к сети устройствах.

4. L2TP

Работает в сочетании с другими протоколами, то есть помимо безопасности подключения можно обеспечить и шифрование данных. Этот протокол очень похож на PPTP VPN, но соединение гораздо надёжнее.

5. IPsec

Устанавливает безопасное подключение к сети. С его помощью образуется туннель к удалённому узлу: данные шифруются и каждая сессия отслеживается. Этот протокол считается одним из самых надёжных.

IPsec VPN существует в двух режимах: транспортном и туннельном. Транспортный шифрует конкретное сообщение в пакете данных, а туннельный – пакет данных целиком.

Этот протокол может работать совместно с другими: уровень безопасности сети повышается, однако на установку приложений потребуется время и умелые руки.

НАС УЖЕ БОЛЕЕ 32 000 чел.
ВКЛЮЧАЙТЕСЬ

6. IKEv2

Оптимальный вариант для подключения к сети на мобильных устройствах. Протокол легко настраивается, обеспечивает пользователю высокую скорость и безопасность соединения, стабильно работает, но уязвим к блокировке брандмауэрами.

7. SSL и TLS

Работают как один протокол. SSL VPN – протокол защищённых сокетов, TLS VPN — транспортный протокол. Он устанавливает безопасное соединение от веб-браузера до сервера сайта и установлен в большинстве браузеров по умолчанию. Часто применяется в онлайн-магазинах: пользователь получает доступ к специальным предложениям вместо всей сети.

8. MPLS VPN

Очень гибкий протокол, который можно адаптировать под нужные условия. VPN-клиенты с поддержкой MPLS работают с провайдерами: несколько сайтов объединяются и формируют VPN на основе мощностей этого провайдера.

Такой сервис сложно настроить или внести в него изменения, поэтому он обойдётся пользователю дороже, чем другие VPN.

9. Hybrid VPN

Сочетает в себе MPLS и iPsec VPN. Некоторые узлы допускают возможность подключения этих протоколов одновременно: таким образом повышается надёжность MPLS. С помощью оборудования iPsec формируется VPN-туннель с зашифрованными данными. Далее iPsec переключается на MPLS, и информация передаётся в точку назначения.

Гибридные VPN стоят дороже других протоколов, но в то же время их можно гибко настроить под свои нужды. Как правило, они используются компаниями, когда MPLS VPN не поддерживается их узлами.

Заметка. Чтобы выбрать протокол, Вы должны понимать, какой тип и уровень безопасности Вам нужен. Если для домашних устройств достаточно PPTP или OpenVPN, то для крупного бизнеса стоит задуматься о более сложных системах.

Цепочки VPN-серверов

Это подключение не через один, а через несколько VPN-серверов. При обычном использовании Ваше устройство передаёт данные на сервер, скажем, расположенный в Канаде — и далее на сайт. С цепочкой серверов Ваши данные будут переданы на сервер в Канаде, потом с этого сервера, например, на сервер в США — и только потом на нужный сайт.

Таким образом данные шифруются надёжнее: вычислить IP пользователя благодаря тому, что используется несколько узлов, будет невозможно. Схемы передачи данных в цепочках бывают двух видов.

– Каскадная

Данные передаются на один сервер, затем на следующий, далее в пункт назначения. Схема проста в использовании и информация передаётся быстро. Но если у хакеров появится доступ к одному из серверов, на которые передаётся инфа, то её могут перехватить, потому что на каждом сервере данные расшифровываются.

– Сквозная

Этот вариант надёжнее, потому что информация передаётся к конечному VPN-серверу через промежуточные в зашифрованном виде. Правда, скорее всего её придётся настраивать вручную. Такую схему мало кто предлагает, поэтому придётся запускать на устройстве два и более VPN-клиента. Кроме того, сквозная схема существенно замедляет соединение, а у злоумышленников есть возможность получить конечный IP-адрес.

Как подключить VPN

Теперь разберёмся, как включить vpn на примере топового – VPN Monster. Он работает на десктопе и в мобильном приложении (правда, только для Android).

– На десктопе

Приложение можно скачать на официальном сайте и получить ключ на 7 дней бесплатного периода. После скачивания vpn на компьютер и установки запустите программу и введите код активации. Далее сервис предложит подключиться к VPN.

Шаг 1. Выбор сервера

При подключении программа выбирает сервер автоматически, но если Вас не устраивает скорость подключения или не получается зайти на какие-то сайты, то можно переключиться на другой. Для этого нажмите на три полоски в верхнем левом углу, далее — “Выбор сервера”.

В открытом окне выберите нужный сервер. К примеру, пусть это будет тот, где скорость выше. В нашем случае это Венгрия.

Значок uTorrent рядом со скоростью соединения говорит о том, что этот сервер позволяет использовать расширенные функции. Для удобства избранные серверы можно обозначить звездочкой и они всегда будут наверху списка.

Шаг 2. Настройки

Перейдите в настройки через меню или нажмите на шестеренку в правом верхнем углу. Настройки предлагаются трёх видов; Основные, Соединение и Анонимность. Сейчас мы подробно разберемся в каждых.

2.1. Основные

Выберите нужные Вам настройки: например, автозапуск программы при включении компьютера. На всякий случай под каждым параметром есть аннотация. Для примера отметим несколько.

Мы подключились к венгерскому серверу, но при нестабильном подключении серверы можно обновить. Обратите внимание: после обновления скорость подключения может измениться.

2.2. Соединения

Здесь, как и в основных настройках, отметьте нужные.

В случае необходимости можно выбрать протокол с нужными параметрами.

2.3. Анонимность

У всех параметров есть аннотации, поэтому объяснять каждый нет смысла. К примеру, скроем от провайдера факт использования VPN.

На этом настройка закончена: можно пользоваться программой ближайшую неделю. Сервис простой и интуитивно понятный, но если возникнут проблемы или вопросы, есть раздел “Помощь” в меню.

– На мобильном

Здесь всё гораздо проще, поэтому глобально по шагам расписывать не буду. Открываем приложение на смартфоне и нажимаем на запуск.

Приложение работает бесплатно (с рекламой), но если она сильно раздражает, то можно подключить 7-дневный премиум-период. Для этого зайдите в меню, нажмите на кнопку Super Monster и выберите нужную позицию.

Теперь нужно выбрать сервер. Вернитесь на главную страницу и кликните на значок в правом нижнем углу. В открывшемся меню нажмите кнопку “обновить”.

Далее выбираем нужное местоположение — например, Нидерланды.

Кстати, приложение предлагает ещё и собственный встроенный браузер.

Законодательное регулирование VPN

Теперь коснусь вопроса, который (возможно) Вас волнует. Наверняка Вы хотя бы краем уха слышали о запрете VPN и анонимайзеров в России и о блокировке некоторых сервисов. Ну и наверное все помнят о попытках заблокировать Telegram.

Так вот, выдохните и расслабьтесь: пользоваться VPN не запрещено. Закон о запрете анонимайзеров, входящий в “пакет Яровой”, запрещает пользоваться впн для перехода на сайты, внесённые в реестр Роскомнадзора. Некоторые сервисы действительно их блокируют. А ещё поисковики могут получать штрафы за выдачу касательно некоторых анонимайзеров.

Главное, что Вам за использование VPN ничего не будет — санкции получают провайдеры, VPN-клиенты и т.д. Ну а так как большинство сервисов зарегистрированы не в России и/или успели перенести свои серверы за границу, то и Ваши данные остаются защищёнными от товарища майора, и скорость соединения существенно не пострадала.

Кстати, заблокированные сайты далеко не всегда содержат противозаконные данные. Многие ресурсы попадают в реестр по ошибке или только из-за одной страницы, так что со временем они могут быть восстановлены. Как говорится, лес рубят — щепки летят. Всего таких доменов сейчас больше 380 (!) тысяч.

Важно. Несмотря на то, что за обход блокировок Вас не накажут, это не касается контента, к которому Вы хотите получить доступ. Поэтому надеюсь на Вашу сознательность.

Советы ПО ИСПОЛЬЗОВАНИЮ

Чтобы использование VPN-сервера шло только на пользу и Вы совершили как можно меньше ошибок, а лучше не совершили их вовсе, вот несколько рекомендаций.

1. Воспользуйтесь бесплатным периодом. Большинство VPN-сервисов платные, но многие из них гарантируют возврат денег в срок от 24 часов до 30 дней. Если Вы хотите протестировать сервис, но боитесь потерять деньги, оплатите за месяц, ознакомьтесь с программой. Если сервис Вас не устроит, отмените подписку, свяжитесь с техподдержкой и Вам вернут деньги.

2. Установите расширение в браузере. Установите VPN-расширение в браузере. Как правило, расширения бесплатны, работают надёжно и дают несколько серверов для подключения на выбор. А в Opera даже не нужно ничего устанавливать: VPN там есть по умолчанию. Единственный нюанс: из-за большой нагрузки на серверы скорость может немного пострадать.

3. Используйте VPN на всех своих устройствах. Большинство сервисов позволяют подключить к VPN несколько устройств. То есть так Вы сможете защитить не только все свои девайсы, но и устройства, например, членов семьи. Удобно!

4. Пользуйтесь несколькими серверами. Если возникли проблемы с VPN-подключением, смените сервер или просто перезагрузите устройство. Чаще всего это решает подобные проблемы. Но если перезагрузка не поможет, то не стесняйтесь написать в техподдержку. В большинстве сервисов она работает круглосуточно.

5. Пользуйтесь альтернативами VPN. Помимо VPN можно пользоваться прокси. Прокси-сервер обеспечивает пользователю конфиденциальность и безопасность в интернете. Отличается от впн он тем, что, во-первых, не зашифровывает данные, а во-вторых, чаще всего собирает информацию о пользователях. Для подключения к прокси-серверу не нужно устанавливать отдельную программу – достаточно найти подходящий сервер (или создать свой) и настроить подключение.

Ещё одно решение — сеть Tor. Она построена по “луковичному” принципу: подключение осуществляется через несколько узлов, для каждого из которых данные зашифровываются отдельно. Серверы выбираются случайным образом. Об уровне безопасности сети говорит то, что Tor используется даже сотрудниками спецслужб, не говоря уже о даркнете. Единственный минус – сеть работает довольно медленно и имеет ряд ограничений: например, не рекомендует (но и не запрещает) скачивать файлы.

Коротко о главном

Итак, теперь мы знаем, что такое VPN и как его настроить. Думаю, Вы поняли, что сейчас без него не обойтись — хотя бы в виде расширения для браузера.

На рынке хватает предложений VPN-сервисов, поэтому каждый может выбрать для себя оптимальный вариант. К сожалению, как и любая технология, VPN имеет ряд недостатков и рисков.

• Возможна утечка данных при неправильной настройке;
• Не все сайты поддаются работе через VPN-серверы;
• В некоторых странах VPN запрещено законом;
• За хороший сервис VPN придётся платить;
• У бесплатных программ и расширений нет гарантии об анонимности;
• VPN может замедлять скорость интернет-соединения.

Как по мне, так плюсы всё-таки перевешивают, и это даже не об обходе блокировок, а о собственной безопасности. Тем более это важно для бизнеса. Тем, кто не хочет заморачиваться с поиском, напомню лучшие VPN-сервисы:

И напоследок — ещё пара статей, которые могут Вам пригодиться (ну или, как минимум, знания не бывают лишними).

Как лицензируется Cisco AnyConnect?

Для версий Cisco AnyConnest 4.0 и выше была изменена схема лицензирования функционала удаленного доступа. На все лицензии типа SSL VPN объявлены даты окончания продаж. В частности это коснется лицензий SSL Premium User Licenses , Advanced Endpoint Assessment Licenses, AnyConnect Essentials VPN Licenses, AnyConnect Mobile VPN Licenses, Premium Shared VPN Server Licenses & Premium Shared SSL VPN Participant Licenses, FIPS Compliant VPN Licenses, VPN Phone Licenses.

В рамках новой схемы предусмотрены три типа лицензий: Cisco AnyConnect Plus Subscription Licenses, Cisco AnyConnect Plus Perpetual Licenses, Cisco AnyConnect Apex Subscription Licenses. Предусмотрены и отдельные лицензии, обеспечивающие миграцию старых типов на новые.

Новые типы лицензий не привязаны к VPN-концентраторам, в качестве которых могут использоваться межсетевые экраны Cisco ASA, маршрутизаторы Cisco ISR G2 и Cisco ASR. Лицензии приобретаются на пользователей, а не на устройство. При покупке лицензии Cisco AnyConnect на определенное количество пользователей, вы получаете возможность генерации ключей активации для неограниченного количества VPN-концентраторов.

Рассмотрим новые типы лицензий подробнее. Cisco AnyConnect Plus Subscription Licenses/Perpetual Licenses позволяют подключать удаленного сотрудника с помощью клиента Cisco AnyConnect. AnyConnect Plus сочетает в себе функционал AnyConnect Essentials и AnyConnect Mobile и обеспечивает возможность подключения как с мобильных, так и со стационарных устройств. Лицензия предусматривает возможность приобретения как в виде подписки на 1,3 или 5 лет, так и в виде постоянной лицензии.

Чтобы иметь возможность скачивать новые версии и пользоваться услугами технической поддержки Cisco TAC необходим сервисный контракт. Лицензии заказываются на определенное количество пользователей (т.е. количество реальных абонентов, пользующихся удаленным подключением). Минимальное число пользователей составляет 25, есть варианты 50, 100, 150 и другие. При необходимости лицензии можно суммировать для увеличения числа пользователей.

Тип лицензии Cisco AnyConnect Apex Subscription Licenses включает в себя все возможности AnyConnect PLUS и кроме того позволяет подключаться через браузер к Cisco ASA, проверять устройства на соответствие политикам безопасности и инструментам криптографии нового поколения. Этот тип можно использовать вместо SSL Premium, Advanced Endpoint Assessment, Premium Shared VPN Server & Premium Shared SSL VPN Participant. Лицензии типа Cisco AnyConnect Apex Subscription Licenses доступны только в виде подписки на 1, 3 или 5 лет и из так же необходимо заказывать на определенное количество пользователей.

Новая схема не привязана к VPN-концентраторам, но для получения доступа к функционалу SSL VPN необходимо ввести лицензионный ключ. После покупки пользователь получает PAK (Product Activation Key), который можно использовать многократно для генерации лицензионных ключей на неограниченное количество устройств.

В рубрику «Решения операторского класса» | К списку рубрик  |  К списку авторов  |  К списку публикаций

УСЛУГИ VPN ОПЕРАТОРОВ СВЯЗИ

А.А. Кузеванов, системный администратор «Р.М.ТЕЛЕКОМ»

Эффективность управления современным предприятием в значительной мере зависит от качества функционирования информационной инфраструктуры. Работа сотрудников из территориально распределенных подразделений в едином информационном пространстве позволяет оптимизировать их взаимодействие, повышать эффективность бизнес-процессов. Однако создание собственной телекоммуникационной сети, объединяющей подобные подразделения предприятия, требует значительных капиталовложений, а ее эксплуатация -существенных непрофильных затрат. Поэтому большим спросом пользуется услуга по организации виртуальной частной сети (Virtual Private Network -VPN) предприятия, которую предлагают все современные операторы связи. Информация в такой сети передается по каналам общего пользования, а необходимая защищенность достигается на уровне протоколов информационного обмена. В настоящей статье рассматриваются основные разновидности VPN и схемы их реализации для пользователя в мульти-сервисной сети связи компании «Р.М.ТЕЛЕКОМ».

Классификация VPN

Существует несколько основных вариантов классификации VPN. Для клиента наиболее значимы следующие факторы:

• кем поддерживается функционирование VPN;
• каким образом взаимодействуют сети подразделений предприятия.

По первому признаку разделяют: VPN, поддерживаемые клиентом, и VPN, поддерживаемые оператором.

Если функциональность VPN реализуется на оборудовании клиента, то он берет на себя все издержки, связанные с ее организацией, поддержкой и развитием. Преимущество данного подхода для клиента — в возможности полного контроля над работой виртуальной сети. Необходимость такого контроля может диктоваться политикой информационной безопасности клиента.

Во многих случаях экономически более целесообразно воспользоваться услугой поддержки VPN, предоставляемой оператором, который принимает на себя все вопросы технического и административного обеспечения бесперебойности ее работы. При этом клиент избавляется от необходимости приобретения, настройки и обслуживания телекоммуникационного оборудования, переносит эксплуатационные расходы на оператора. В дальнейшем в статье речь пойдет именно о VPN, организуемых поставщиками услуг.

По второму фактору VPN классифицируются в зависимости от уровня модели взаимодействия открытых систем, на котором происходит информационный обмен между сетями подразделений.

Рассмотрим типовую схему объединения локальных сетей двух удаленных объектов (см. рисунок) Как правило, такие сети представляют собой один или несколько Ethernet-коммутаторов с подключенными оконечными устройствами (компьютерами, серверами, IP-телефонами, точками доступа Wi-Fi и т.д.).

Исходя из решаемой клиентом задачи целесообразным может быть объединение таких сетей в единую пакет-но-коммутируемую сеть. В этом случае создается VPN 2-го, канального, уровня ( Ethernet-VPN). Логика работы подобной VPN такова, что она предстает «виртуальным коммутатором», функционально неотличимым от обычного пакетного коммутатора. Поэтому после подключения локальных сетей в пограничное VPN-оборудование происходит «прозрачная» передача Ethernet-фреймов из одной сети в другую.

Другим вариантом объединения сетей является использование на их границе маршрутизаторов, которые могут выполнять расширенные — по сравнению с коммутаторами — функции, например: фильтрация трафика для обеспечения информационной безопасности и повышение эффективности использования доступной полосы пропускания. В этом случае создается VPN 3-го, сетевого, уровня (IP-VPN), в которой выполняется передача только IP-пакетов, без передачи Ethernet-фреймов в целом, что дополнительно повышает эффективную пропускную способность VPN.

В IP-VPN пограничные маршрутизаторы клиента и оператора взаимодействуют с помощью одного из протоколов динамической маршрутизации, таких, как OSPF, RIP, BGP (либо используются статические маршруты). В обмене участвуют лишь IP-префиксы, принадлежащие данному клиенту, «перекрестный» трафик между сетями разных VPN невозможен (чем и обеспечивается их «частный» характер). Клиенты вправе использовать произвольные диапазоны IP-адресов, в том числе пересекающиеся с диапазонами адресов других клиентов. С точки зрения клиента, операторская сеть предстает в виде пары маршрутизаторов, соединенных между собой каналом связи «точка — точка», внутренняя же структура сети оператора, а также подключения других клиентов в этой схеме, как и в предыдущей, скрыты (см. рисунок).

Таким образом, оба варианта услуги (IP-VPN и Ethernet-VPN) в равной степени обеспечивая информационную безопасность клиента, предоставляют разные опции взаимодействия его локальных сетей: от практически полного стирания логических границ между ними (Ethernet-VPN) до максимально управляемой и масштабируемой IP-сети (IP-VPN). Выбор оптимального решения остается за клиентом.

Практика предоставления услуг VPN

«Р.М.ТЕЛЕКОМ» является оператором мультисервисной телекоммуникационной сети и предоставляет своим клиентам — наряду с услугами доступа в Интернет, телефонной свяи и видеоконференц-связи — услуги организации VPN обоих описанных выше типов.

В основе сети связи лежит протокол IP, работающий во взаимоувязанных коммутируемых Ethernet-сегментах, развернутых на широкой сети оптических и радиорелейных линий связи. Используются радиорелейные станции WOCCOM DGM с Ethernet-интерфейсом, что позволяет включать их, как и оптические каналы связи, непосредственно в коммутаторы, обеспечивая тем самым возможность создания непрерывного пакетно-коммути-руемого домена.

При такой организации сети высокая отказоустойчивость ее работы достигается за счет применения быстродействующего протокола динамической смены канальной топологии сети RSTP в условиях высокой степени связности ее узлов. Решение опережает в работе средства динамической IP-маршрутизации, в частности, применяемый протокол OSPF, задача которого в такой схеме сводится по преимуществу к распространению информации о доступности IP-сетей.

Отказоустойчивая опорная сеть позволяет обеспечить также отказоустойчивость и предоставляемых на ее базе сетевых услуг.

Физической точкой доступа к VPN-услуге является Ethernet-интерфейс, предоставляемый оператором на месте расположения объекта заказчика. В случае VPN 3-го уровня IP-параметры настройки этого интерфейса выбираются клиентом исходя из используемой им схемы адресации. Чаще всего для этого применяют так называемые приватные адреса, специально выделенные для изолированных сетей. Задача маршрутизации, как правило, успешно решается путем настройки статических маршрутов; такая схема наиболее стабильна. В ситуациях, когда клиенту требуется динамический характер обмена маршрутной информацией между объектами сети, возможно использование общепринятого для таких случаев протокола BGP.

Для организации VPN 2-го уровня со стороны оператора применяется то же оборудование, физическая схема подключения остается неизменной, однако на этот раз порт становится «прозрачным» для Ethernet-фреймов клиента. При этом наиболее логично подсоединить к нему непосредственно коммутатор локальной сети. При необходимости включается поддержка протокола STP, что делает реальной автоматическую поддержку альтернативных каналов связи, работающих в режиме «горячего» резервирования. Для эффективного использования пропускной способности VPN-канала возможна фильтрация передаваемого трафика по MAC-адресам фреймов, который ограничивается пределами локальной сети данного объекта и не передается в VPN-канал.

Поддерживаются и более сложные клиентские сети, построенные с использованием технологии виртуальных локальных сетей (VLAN). В таком случае к оборудованию оператора напрямую подключается транк-интер-фейс коммутатора (инкапсуляция IEEE 802.1Q). Трафик всех VLAN «прозрачным» образом «пробрасывается» на удаленную точку также с транк-интерфейсом. Предусмотрены конфигурации, в которых трафик некоторого подмножества VLAN передается на одну точку, а другого — на другую.

Эти возможности позволяет легко реализовать в Ethernet-VPN как полносвязную или частично связную топологию клиентской сети, так и традиционную топологию «звезда», подходящую для иерархичных клиентских сетей.

В условиях повсеместного перехода телефонии на использование в качестве транспорта IP-сетей важным является обеспечение приоритетной передачи голосового трафика. В соответствии с современным подходом к решению этой задачи (DiffServ) такие пакеты помечаются определенным значением поля DSCP заголовка IP-пакета. Причем существенно, чтобы отработка приоритета выполнялась на каждом промежуточном устройстве в сети, в том числе и на части VPN, проходящей по сети оператора. По соглашению между оператором и клиентом клиент помечает трафик, требующий преимущественной передачи, а оператор «доверяет» этой маркировке и отрабатывает соответствующий трафик как приоритетный, чем достигается полная эффективность системы обеспечения качества корпоративных интерактивных сервисов (QoS) на всей сети клиента.

Для предоставления услуг доступа в Интернет и телефонии может быть задействовано то же каналооб-разующее оборудование оператора. Для передачи этого трафика по выбору клиента либо выделяется отдельный физический порт, либо на используемом для VPN-трафика интерфейсе (независимо от типа VPN) устанавливается дополнительный IP-адрес для выхода в Интернет, а для обеспечения телефонной связи — шлюз, к которому подключается локальная мини-АТС или телефонные аппараты.

Описанные возможности услуг VPN, предлагаемых в сети «Р.М.ТЕЛЕКОМ», показывают, что применение современных технологий построения таких сетей позволяет сделать сервис максимально удобным для клиента: их можно использовать как по принципу «включись и работай», так и сообразно с потребностями клиента реализовать сложное техническое решение стоящей перед заказчиком задачи.

Опубликовано: Журнал «Технологии и средства связи» #6, 2006
Посещений: 14619

Статьи по теме

В рубрику «Решения операторского класса» | К списку рубрик  |  К списку авторов  |  К списку публикаций

IPSec VPN-туннель на маршрутизаторах Moxa

Инструкция по настройке соединения между двумя подсетями через маршрутизаторы EDR-810-VPN-2GSFP.

Для организации защищенного канала связи между двумя удаленными подсетями необходимо настроить VPN-туннель. В данной инструкции рассматривается пример построения IPsec VPN-туннеля между двумя маршрутизаторами EDR-810-VPN-2GSFP.

Рисунок 1 «Схема сети»

В таблице 1 указана адресация всей системы, согласно которой будем настраивать оборудование.

Таблица 1 «Адресация сети»

xxx.xxx.xxx.xxx – основной шлюз WAN сети зависит от построения системы или выдается провайдером связи. В примере на рисунке 1 – соединение между маршрутизатором сети А и В прямое, поэтому шлюз указывать не нужно.

Все настройки маршрутизаторов осуществляются через web-интерфейс.

По умолчанию маршрутизаторы EDR-810-VPN-2GSFP имеют следующие параметры:

IP-адрес: 192.168.127.254

Логин: admin

Пароль: moxa

В целях безопасности рекомендуется изменить данные для входа.

После внесения любых изменений в настройки маршрутизатора необходимо нажимать кнопку Apply для сохранения изменений. 

1. Настройка Маршрутизатора А

1.1. Настройка LAN-интерфейса

IP-адрес и маска подсети (согласно Таблице 1) задаются в разделе Network – Interface — LAN

1.2. Настройка WAN-интерфейса

Маршрутизатор EDR-810 имеет 10 портов, каждый из которых можно назначить LAN или WAN-интерфейсом. Поэтому прежде, чем задавать адресацию на WAN-интерфейсе, нужно установить порты, которые будут относиться к WAN. Для этого необходимо поместить их в отдельную VLAN.

VLAN настройки осуществляются в разделе Layer 2 Functions — Virtual LAN — VLAN Settings.

Порты 7 и 8 маршрутизатора будут относиться к WAN-интерфейсу. На этих портах указываем VLAN ID 2. 

Когда отдельная VLAN для WAN-портов создана, можно перейти к назначению адресации.

• Адресация WAN-интерфейса

В разделе Network – Interface – WAN назначается IP-адрес, маска сети и шлюз по умолчанию согласно Таблице 1. 

1.3. Настройка NAT

Для того чтобы маршрутизатор подменял адреса локальной сети на внешний адрес при передаче во внешнюю сеть, необходимо настроить NAT в разделе NAT — NAT Setting

1.4. Настройка даты и времени

Для выполнения корректного соединения между VPN-сервером и VPN-клиентом необходимо, чтобы маршрутизаторы были синхронизированы в настройках даты и времени.  

Настройка системного времени осуществляется в разделе System — Date and Time.

Можно осуществить синхронизацию локальную или по протоколу SNTP. 

2. Настройка Маршрутизатора В

Для настройки Маршрутизатора В необходимо повторить шаги 1.1 – 1.4, указывая параметры в соответствии с Таблицей 1. 

3. Настройка VPN-туннеля

3.1. Активация VPN-соединения

На каждом маршрутизаторе нужно активировать VPN-туннель в разделе VPN – IPSec — Global Setting.

Также в этом разделе включается NAT для данных, передаваемых в туннеле и логирование системной информации об установлении туннеля (может понадобиться для отладки VPN-соединения)

3.2.  Предустановка сертификатов безопасности

Аутентификация при установке IPSec VPN-туннеля может осуществляться с помощью ключа безопасности (пароля), но это не самый безопасный вариант. Рекомендуем использовать сертификаты безопасности для аутентификации.

Сгенерировать сертификаты безопасности можно с помощью различных программ, а также можно создать их на самом маршрутизаторе. 

• Создание сертификата безопасности

В разделе Certificate Management — CA Server — Certificate Create нужно выполнить несколько шагов: 

‒ Заполнить таблицу Certificate Request, нажать кнопку Apply

‒ Заполнить таблицу Certificate Setting, нажать кнопку Add и затем Apply

‒ Сгенерировать и выгрузить сертификат с помощью кнопки PKCS#12 Export (необходимо время на создание файла с сертификатом, затем нужно будет повторно нажать кнопку PKCS#12 Export)

Нужно создать сертификаты на каждом маршрутизаторе в соответствии с таблицей 2.

Таблица 2 «Сертификаты безопасности»

• Загрузка сертификаты на маршрутизатор

Оба сертификата нужно загрузить на каждый маршрутизатор в раздел Certificate Management — Local Certificate

3.3.  Настройка параметров VPN-соединения

В разделе VPN – IPSec — IPSec Setting нужно осуществить расширенные настройки (Advanced Setting).

• Маршрутизатор А – VPN-клиент.

Маршрутизатор А будет инициировать VPN-соединение. То есть режим работы устанавливается как Start in initial. 

Даже если аутентификация осуществляется с помощью сертификатов безопасности, нужно сначала установить пароль для предустановленного ключа (Pre—shared Key).

Затем нужно выбрать режим аутентификации Х.509 и два загруженных сертификата.

На маршрутизаторе А локальным сертификатом будет сертификат СА-1, а удаленным – СА-2

• Маршрутизатор В – VPN-сервер.

VPN-сервером будет Маршрутизатор В, поэтому он будет ожидать подключения. Устанавливается режим работы Wait connecting. 

На маршрутизаторе B локальным сертификатом будет сертификат СА-2, а удаленным – СА-1

3.4.  Настройка устройств в локальных сетях

На устройствах в локальных сетях необходимо указать основной шлюз – LAN адрес маршрутизатора в соответствии с Таблицей 1.

Для локальной сети А: 192.168.127.1

Для локальной сети В: 172.16.126.1

3.5.  Диагностика VPN-соединения

После выполнения вышеуказанных настроек на двух маршрутизаторах будет установлено VPN-соединение. В разделе VPN – IPSec — IPSec Status появится запись об установленном VPN-туннеле.

Кроме того, при успешном установлении VPN-туннеля на маршрутизаторе загорится индикатор VPN.  

Если соединение не устанавливается, то необходимо проверить корректность установки в разделе Monitor — Event Log

Подключение VPN уровня 3 к цепям уровня 2 | Руководство пользователя VPN уровня 3 для устройств маршрутизации

 user @ PE3>  show route table mpls.0 
mpls.0: 21 пункт назначения, 21 маршрут (21 активный, 0 удерживаемых, 0 скрытых)
+ = Активный маршрут, - = последний активный, * = оба

0 * [MPLS / 0] 1w3d 05:29:02, метрика 1
                      Получать
1 * [MPLS / 0] 1w3d 05:29:02, метрика 1
                      Получать
2 * [MPLS / 0] 1w3d 05:29:02, метрика 1
                      Получать
16 * [VPN / 0] 12:22:45
                      в таблицу L3VPN.inet.0, Pop
315184 * [LDP / 9] 12:45:14, метрика 1
                    > до 10.10.20.1 через xe-2/0 / 0.0, Pop
315184 (S = 0) * [LDP / 9] 12:45:14, метрика 1
                    > до 10.10.20.1 через xe-2/0 / 0.0, Pop
315200 * [LDP / 9] 00:03:53, метрика 1
                    > до 10.10.20.1 через xe-2/0 / 0.0, поменять местами 625297
                      на 10.10.6.2 через xe-2/1 / 0.0, поменять местами 299856
315216 * [LDP / 9] 12:45:14, метрика 1
                    > до 10.10.6.2 через xe-2/1 / 0.0, Pop
315216 (S = 0) * [LDP / 9] 12:45:14, метрика 1
                    > до 10.10.6.2 через xe-2/1 / 0.0, Pop
315232 * [LDP / 9] 12:45:06, метрика 1
                    > до 10.10.1.1 через xe-2/3 / 0.0, Pop
315232 (S = 0) * [LDP / 9] 12:45:06, метрика 1
                    > до 10.10.1.1 через xe-2/3 / 0.0, Pop
315248 * [LDP / 9] 12:45:14, метрика 1
                    > до 10.10.5.1 через xe-2/2 / 0.0, Pop
315248 (S = 0) * [LDP / 9] 12:45:14, метрика 1
                    > до 10.10.5.1 через xe-2/2 / 0.0, Pop
  315264  * [L2CKT / 7] 11:11:20
                    > через lt-1/1 / 10.0,  Pop 
315312 * [RSVP / 7] 11:26:01, показатель 1
                    > до 10.10.6.2 через xe-2/1 / 0.0, путь с коммутацией меток к pe5
315312 (S = 0) * [RSVP / 7] 11:26:01, показатель 1
                    > до 10.10.6.2 через xe-2/1 / 0.0, путь с коммутацией меток к pe5
315328 * [RSVP / 7] 11:26:01, показатель 1
                    > до 10.10.20.1 через xe-2/0/0.0, путь с коммутацией меток к-RR
315360 * [RSVP / 7] 11:26:01, показатель 1
                    > до 10.10.20.1 через xe-2/0 / 0.0, путь с коммутацией меток к-RR
316208 * [RSVP / 7] 00:03:32, метрика 1
                    > до 10.10.6.2 через xe-2/1 / 0.0, обход пути с коммутацией меток-> 10.10.9.1
316208 (S = 0) * [RSVP / 7] 00:03:32, показатель 1
                    > до 10.10.6.2 через xe-2/1 / 0.0, обход пути с коммутацией меток-> 10.10.9.1
  lt-1/1 / 10.0  * [L2CKT / 7] 11:11:20, метрическая2 1
                    > до 10.10.5.1 через xe-2/2 / 0.0, нажмите  301488 
 

Управляемые схемы VPN | dcnet

DC-Net MPLS VPN-сервисы сети передачи данных для государственных органов обеспечивают управляемую безопасную связь с диапазоном скоростей доступа от 2 Мбит / с до 1 Гбит / с и стоимостью, соответствующей бюджету вашего агентства. Эта государственная услуга включает в себя круглосуточный мониторинг и поддержку сети в режиме 24 x 7 x 365, а также соглашение об уровне обслуживания (SLA) качества обслуживания (QoS).

С помощью управляемой службы VPN (виртуальная частная сеть) ваш трафик защищен и отделен от трафика других клиентов в сети с помощью туннелирования VPN.