Як працуе VPN-злучэнне?

Паняцце прыватных віртуальных сетак, скарочана якія пазначаюцца як VPN (ад ангельскага Virtual Private Network), з'явілася ў кампутарных тэхналогіях адносна нядаўна. Стварэнне падлучэння такога тыпу дазволіла аб'ядноўваць кампутарныя тэрміналы і мабільныя прылады ў віртуальныя сеткі без звыклых правадоў, прычым па-за залежнасці ад месца дыслакацыі канкрэтнага тэрмінала. Зараз разгледзім пытанне аб тым, як працуе VPN-злучэнне, а заадно прывядзем некаторыя рэкамендацыі па наладзе такіх сетак і спадарожных кліенцкіх праграм.

Што такое VPN?

Як ужо зразумела, VPN ўяўляе сабой віртуальную прыватную сетку з некалькімі падлучанымі да яе прыладамі. Спакушацца не варта - падключыць дзесяткі два-тры адначасова якія працуюць камп'ютэрных тэрміналаў (як гэта можна зрабіць у «лакалцы») звычайна не атрымліваецца. На гэта ёсць свае абмежаванні ў наладзе сеткі ці нават проста ў прапускной здольнасці маршрутызатара, які адказвае за прысваенне IP-адрасоў і перадачу дадзеных.

Зрэшты, ідэя, першапачаткова закладзеная ў тэхналогіі злучэння, не новая. Яе спрабавалі абгрунтаваць досыць даўно. І многія сучасныя карыстальнікі кампутарных сетак сабе нават не ўяўляюць таго, што яны пра гэта ведалі ўсё жыццё, але проста не спрабавалі ўглыбіцца ў сутнасць пытання.

Як працуе VPN-злучэнне: асноўныя прынцыпы і тэхналогіі

Для лепшага разумення прывядзем самы просты прыклад, які вядомы любому сучаснаму чалавеку. Узяць хоць бы радыё. Бо, па сутнасці, яно ўяўляе сабой якое перадае прылада (транслятар), пасрэдніцкіх агрэгат (рэтранслятар), які адказвае за перадачу і размеркаванне сігналу, і якое прымае прылада (прыёмнік).

Іншая справа, што сігнал транслюецца абсалютна ўсім спажыўцам, а віртуальная сетка працуе Выбраныя, аб'ядноўваючы ў адну сетку толькі пэўныя прылады. Заўважце, ні ў першым, ні ў другім выпадку драты для падлучэння якія перадаюць і якія прымаюць прылад, якія ажыццяўляюць абмен дадзенымі паміж сабой, не патрабуюцца.

Але і тут ёсць свае тонкасці. Справа ў тым, што першапачаткова радыёсігнал з'яўляўся неабароненым, гэта значыць яго можа прыняць любы радыёаматар з які працуе прыборам на адпаведнай частаце. Як працуе VPN? Так сапраўды гэтак жа. Толькі ў дадзеным выпадку ролю рэтранслятара гуляе маршрутызатар (роутер або ADSL-мадэм), а роля прымача - стацыянарны кампутарны тэрмінал, ноўтбук або мабільнае прылада, якое мае ў сваім аснашчэнні спецыяльны модуль бесправаднога падлучэння (Wi-Fi).

Пры ўсім гэтым дадзеныя, выходныя з крыніцы, першапачаткова шыфруюцца, а толькі потым пры дапамозе адмысловага дэшыфратара прайграваюцца на канкрэтным прыладзе. Такі прынцып сувязі праз VPN называецца тунэльным. І гэтаму прынцыпу ў найбольшай ступені адпавядае мабільная сувязь, калі перанакіраванне адбываецца на канкрэтнага абанента.

Тунэляванне лакальных віртуальных сетак

Разбярэмся ў тым, як працуе VPN ў рэжыме тунэлявання. Па сутнасці сваёй, яны прадугледжваюць стварэнне нейкай прамой, скажам, ад пункту «A» да кропкі «B», калі пры перадачы дадзеных з цэнтральнага крыніцы (роутера з падключэннем сервера) вызначэнне ўсіх сеткавых прылад вырабляецца аўтаматычна па загадзя зададзенай канфігурацыі.

Іншымі словамі, ствараецца тунэль з кадаваннем пры адпраўцы дадзеных і дэкадаваннем пры прыёме. Атрымліваецца, што ніякай іншай юзер, які ўзяўся перахапіць дадзеныя такога тыпу ў працэсе перадачы, расшыфраваць іх не зможа.

сродкі рэалізацыі

Аднымі з самых магутных інструментаў такога роду падлучэнняў і заадно забеспячэння бяспекі з'яўляюцца сістэмы кампаніі Cisco. Праўда, у некаторых нявопытных адмінаў ўзнікае пытанне пра тое, чаму не працуе VPN-Cisco-абсталяванне.

Звязана гэта ў першую чаргу толькі з няправільнай наладай і што ўстаноўлены драйверамі маршрутызатараў тыпу D-Link або ZyXEL, якія патрабуюць тонкай налады толькі па прычыне таго, што абсталёўваюцца ўбудаванымі брэндмаўэр.

Акрамя таго, варта звярнуць увагу і на схемы падключэння. Іх можа быць дзве: route-to-route або remote access. У першым выпадку гаворка ідзе пра аб'яднанне некалькіх размяркоўвалых прылад, а ў другім - аб кіраванні падключэннем або перадачай дадзеных з дапамогай аддаленага доступу.

пратаколы доступу

Што тычыцца пратаколаў, сёння ў асноўным выкарыстоўваюцца сродкі канфігурацыі на ўзроўні PCP / IP, хоць ўнутраныя пратаколы для VPN могуць адрознівацца.

Перастаў працаваць VPN? Варта паглядзець на некаторыя схаваныя параметры. Так, напрыклад, заснаваныя на тэхналогіі TCP дадатковыя пратаколы PPP і PPTP ўсё роўна ставяцца да стэка пратаколаў TCP / IP, але для злучэння, скажам, у выпадку выкарыстання PPTP неабходна выкарыстоўваць два IP-адрасы замест пакладзенага аднаго. Аднак у любым выпадку тунэляванне мяркуе перадачу дадзеных, зняволеных ва ўнутраных пратаколах тыпу IPX або NetBEUI, і ўсе яны забяспечваюцца адмысловымі загалоўкамі на аснове PPP для бесперашкоднай перадачы дадзеных адпаведнага сеткаваму драйверу.

Для TCP / IP наогул рэкамендуецца выбіраць аўтаматычнае атрыманне асноўнага адрасы і упадабанага DNS-сервера. Пры гэтым задзейнічанне сервера проксі павінна быць адключана (і не толькі для лакальных адрасоў).

апаратныя прылады

Цяпер паглядзім на сітуацыю, калі ўзнікае пытанне пра тое, чаму не працуе VPN. Тое, што праблема можа быць звязаная з некарэктнай наладай абсталявання, зразумела. Але можа праявіцца і іншая сітуацыя.

Варта звярнуць увагу на самі маршрутызатары, якія ажыццяўляюць кантроль падключэння. Як ужо гаварылася вышэй, варта выкарыстоўваць толькі прылады, прыдатныя па параметрах падключэння.

Напрыклад, маршрутызатары накшталт DI-808HV або DI-804HV здольныя забяспечыць падключэнне да сарака прылад адначасова. Што тычыцца абсталявання ZyXEL, у многіх выпадках яно можа працаваць нават праз убудаваную сеткавую аперацыйную сістэму ZyNOS, але толькі з выкарыстаннем рэжыму каманднага радка праз пратакол Telnet. Такі падыход дазваляе канфігураваць любыя прылады з перадачай дадзеных на тры сеткі ў агульнай асяроддзі Ethernet з перадачай IP-трафіку, а таксама выкарыстоўваць унікальную тэхналогію Any-IP, прызначаную для задзейнічання стандартнай табліцы маршрутызатараў з перанакіроўвае трафікам ў якасці шлюза для сістэм, якія першапачаткова былі сканфігураваны для працы ў іншых падсеткі.

Што рабіць, калі не працуе VPN (Windows 10 і ніжэй)?

Самае першае і галоўнае ўмова - адпаведнасць выходных і ўваходных ключоў (Pre-shared Keys). Яны павінны быць аднолькавымі на абодвух канцах тунэля. Тут жа варта звярнуць увагу і на алгарытмы крыптаграфічнага шыфравання (IKE або Manual) з наяўнасцю функцыі аўтэнтыфікацыі або без яе.

Да прыкладу, той жа пратакол AH (у ангельскім варыянце - Authentication Header) можа забяспечыць ўсяго толькі аўтарызацыю без магчымасці прымянення шыфравання.

VPN-кліенты і іх налада

Што тычыцца VPN-кліентаў, то і тут не ўсё проста. Большасць праграм, заснаваных на такіх тэхналогіях, выкарыстоўваюць стандартныя метады налады. Аднак тут ёсць свае падводныя камяні.

Праблема заключаецца ў тым, што як ні ўсталёўвай кліент, пры выключанай службе ў самой «аперацыёнцы» нічога добрага з гэтага не выйдзе. Менавіта таму сначла трэба задзейнічаць гэтыя параметры ў Windows, потым ўключыць іх на маршрутызатары (роутере), а толькі пасля прыступаць да налады самога кліента.

У самой сістэме прыйдзецца стварыць новае падлучэнне, а не выкарыстоўваць, якое ўжо было. На гэтым спыняцца не будзем, бо працэдура стандартная, але вось на самай роутере прыйдзецца зайсці ў дадатковыя налады (часцей за ўсё яны размешчаны ў меню WLAN Connection Type) і актываваць усё тое, што звязана з VPN-серверам.

Варта адзначыць яшчэ і той факт, што сам віртуальны сервер прыйдзецца ўсталёўваць у сістэму ў якасці спадарожнай праграмы. Затое потым яго можна будзе выкарыстоўваць нават без ручной налады, папросту выбраўшы бліжэйшую дыслакацыю.

Адным з самых запатрабаваных і найбольш простых ў выкарыстанні можна назваць VPN кліент-сервер пад назвай SecurityKISS. Усталёўваецца праграма без сучка і задзірынкі, затое потым нават у налады заходзіць не трэба, каб забяспечыць нармальную сувязь для ўсіх прылад, падлучаных да раздаем.

Здараецца, што дастаткова вядомы і папулярны пакет Kerio VPN Client не працуе. Тут прыйдзецца звярнуць увагу не толькі на налады маршрутызатара або самой «аперацыёнкі», але і на параметры кліенцкай праграмы. Як правіла, увядзенне верных параметраў дазваляе пазбавіцца ад праблемы. У крайнім выпадку прыйдзецца праверыць налады асноўнага падлучэння і выкарыстоўваюцца пратаколаў TCP / IP (v4 / v6).

Што ў выніку?

Мы разгледзелі, як працуе VPN. У прынцыпе, нічога складанага ў самым падключэнні Ці стварэнні сетак такога тыпу няма. Асноўныя цяжкасці складаюцца ў наладзе спецыфічнага абсталявання і ўстаноўцы яго параметраў, якія, на жаль, многія карыстальнікі выпускаюць з выгляду, належачы на тое, што ўвесь працэс будзе зведзены да аўтаматызму.

З іншага боку, мы зараз больш займаліся пытаннямі, звязанымі з тэхнікай працы саміх віртуальных сетак VPN, так што наладжваць абсталяванне, ўсталёўваць драйверы прылад і т. Д. Прыйдзецца з дапамогай асобных інструкцый і рэкамендацый.