Документация для Kerio WinRoute

Конфигурация сервера VPN

Сервер VPN используется для связи удаленых концов VPN туннелей и удаленных клиентов с использованием Kerio VPN Клиента.

Примечание: соединение сервера VPN через Интернет должно быть разрешено правилами трафика. Подробная информация приведена в главах Настройка VPN клиентов и Взаимодействие двух частных сетей через Интернет (VPN туннель).

VPN сервер доступен на вкладке Интерфейсы (Interfaces) в разделе Настройки/Интерфейсы (Configuration / Interfaces) как отдельный интерфейс.

Двойной щелчок на интерфейсе сервера VPN открывает диалог, позволяющий установить параметры сервера VPN (можно также выделить интерфейс и нажать Правка (Edit) или выбрать Правка (Edit) из контекстного меню).

Общее

Активизировать сервер VPN (Enable VPN server)

Эта функция позволяет включить/отключить сервер VPN. Сервер VPN использует протоколы TCP или UDP, по умолчанию используется порт 4090 (в продвинутые опциях порт можно изменить , но обычно в этом нет необходимости). Если сервер VPN не используется, его рекомендуется отключить.

Действие будет выполнено при щелчке на кнопке Применить (Apply) на вкладке Интерфейсы (Interfaces).

Назначение IP адреса (IP address assignment)

Спецификация подсети (т.е. IP адрес и соответствующая маска сети), откуда будут назначаться IP адреса VPN клиентам и удаленным концам VPN туннелей, связанным с сервером (все клиенты будут соединяться через эту подсеть).

По умолчанию (при первом запуске после инсталляции) WinRoute автоматически выбирает свободную подсеть, которая будет использоваться для VPN. При обычных условиях изменять установленную по умолчанию сеть нет необходимости.

Предупреждение: убедитесь, что подсеть VPN клиентов не конфликтует с локальной подсетью!

WinRoute может определять конфликты подсети VPN с локальными подсетями. Конфликт может возникнуть в том случае, если конфигурация локальной сети изменена (смена IP адреса, добавление новой подсети и т.д.), или если подсеть для VPN выбрана невнимательно. Если подсеть VPN конфликтует с локальной сетью, при сохранении настроек появится предупреждение (при щелчке на Применить (Apply) на вкладке Интерфейсы (Interfaces). В таком случае нужно переопределить подсеть VPN.

После каждого изменения конфигурации локальной сети и/или VPN рекомендуется проверять, не появилось ли сообщение о конфликтах IP.

Примечания:

1. В определенных условиях конфликты с локальной сетью могут появиться, когда подсеть VPN устанавливается автоматически (если позже изменили конфигурацию локальной сети).

2. В случае двух VPN туннелей при установлении соединения проверяется, не конфликтует ли подсеть VPN с IP диапазоном другого конца туннеля (удаленной точки).

   Если при изменении конфигурации VPN сервера появляется сообщение о конфликте с IP диапазоном (при щелчке на кнопке Применить на вкладке Интерфейсы), подсеть VPN нужно определить вручную. Выберите сеть, не используемую локальными сетями, участвующими в соединении. Подсети VPN с разных концов туннеля не должны быть идентичными (нужно выбрать две свободные подсети).

3. VPN клиентам можно назначить IP адреса, чтобы регистрировать имя пользователя. Подробнее см. в главе  Учетные записи пользователей.

SSL сертификат

Информация о текущем сертификате VPN сервера. Этот сертификат используется для удостоверения подлинности сервера при создании VPN туннеля (подробнее см. главу  Взаимодействие двух частных сетей через Интернет (VPN туннель)). Сервер VPN в WinRoute использует стандартный сертификат SSL.

Для определения VPN туннелей требуются "отпечати пальцев" (см. главу  Взаимодействие двух частных сетей через Интернет (VPN туннель)).

Совет: "отпечатки пальцев" сертификата можно скопировать в буфер обмена и вставить в текстовый файл, почтовое сообщение и т.д.

Щелкните Изменить Сертификат SSL (Change SSL Certificate), чтобы установить параметры для сертификата или VPN сервера. Для VPN сервера можно создать пользовательский (самоподписанный) сертификат или импортировать сертификат, созданный авторитетной компанией. Методы, используемые для создания и импорта сертификатов SSL, описаны в главе  Настройки параметров Web интерфейса.

Примечание: если у вас уже есть сертификат, созданный авторитетной компанией специально для вашего сервера (для безопасного web интерфейса), его можно использовать и для сервера VPN - необязательно просить новый сертификат.

DNS

Определение сервера DNS, который будет использоваться для VPN клиентов:

• Использовать WinRoute как сервер DNS (Use WinRoute as DNS server) IP адрес соответствующего интерфейса узла WinRoute будет использоваться как сервер DNS для VPN клиентов (VPN клиенты будут использовать DNS Форвардер).

  Если DNS Форвардер уже используется как сервер DNS для локальных узлов, рекомендуется его использовать и для VPN клиентов. DNS Форвардер обеспечивает самые быстрые ответы на DNS запросы клиентов, это также позволит избежать возможных конфликтов (несовместимости) записей DNS.

  Примечание: если DNS Форвардер отключен (см. главу  DNS Форвардер), эта опция будет недоступна.

• Использовать специальные серверы DNS (Use specific DNS servers) эта опция позволяет указать основной и вторичный DNS серверы для VPN клиентов.

  Если в локальной сети используется не DNS Форвардер, а другой DNS сервер, то используйте эту опцию.

Продвинутые настройки

Слушать порт (Listen on port)

Порт, на котором VPN сервер принимает входящие соединения (используются протоколы TCP, и UDP). По умолчанию установлен порт 4090 (в обычных условиях изменять порт нет необходимости).

Примечания:

1. Если VPN сервер уже работает, во время смены порта связь со всеми VPN клиентами будет автоматически разрываться.

2. Если сервер VPN не может работать на указанном порту (порт используется другой службой), при щелчке на кнопке Применить (Apply) в журнале ошибок (Error log) (см. главу Журнал ошибок) появится следующее сообщение об ошибке:

   (4103:10048) Socket error: Unable to bind socket

     for service to port 4090.

   (5002) Failed to start service "VPN"

     bound to address 192.168.1.1.

   Чтобы убедиться, что указанный порт действительно свободен, просмотрите Журнал ошибок на предмет появления подобных записей.

Пользовательские маршруты (Custom Routes)

В этом разделе можно определить другие сети, к которым будут установлены маршруты через VPN туннель. По умолчанию определены маршруты ко всем локальным подсетям со стороны сервера VPN - см. главу Обмен информацией маршрутизации).

Совет: используйте сетевую маску 255.255.255.255, чтобы определить маршрут к определенному узлу. Это может помочь, например, при добавлении маршрута к узлу в демилитаризованной зоне со стороны VPN сервера.

Перевод документации осуществлен силами компании Red Line Software