Взваимодействие двух частных сетей через Интернет (VPN туннель)
Чтобы было возможным создание кодированных туннелей между локальной и удаленной сетями через Интернет (VPN туннель), в обоих сетях должен быть установлен WinRoute (версия 6.0.0 или выше), включая поддержку VPN (поддержка VPN включена в типовую установку - см. главу Установка).
Примечание: каждая установка WinRoute требует отдельной лицензии (см. главу Регистрация и лицензионная политика).
Установка серверов VPN
Во-первых, сервер VPN должен быть разрешен политикой трафика, и активирован с обоих концов туннеля. Детальное описание конфигурации VPN сервера дано в главе Настройки VPN сервера.
Определение туннеля до удаленного сервера
С обоих концовVPN туннеля должен быть определен туннель до сервера с другой стороны. Чтобы создать новый туннель, используйте опции Создать/VPN туннель (Add / VPN tunnel) в разделе Интерфейсы (Interfaces).
Название туннеля (Name of the tunnel)
Каждый VPN туннель должен иметь уникальное имя. Это имя будет использоваться в таблице интерфейсов, в правилах трафика (см. главу Определение пользовательских правил трафика) и в статистике интерфейса (подробнее в главе Статистика интерфейса).
Конфигурация (Configuration)
Выбор режима локального конца туннеля:
-
Активный эта сторона туннеля будет автоматически пытаться установить и поддерживать соединение с удаленным VPN сервером.
Спецификация удаленного сервера VPN должна быть установлена через Имя удаленного сервера (Remote host name) или IP адрес. Если удаленный сервер VPN не использует порт 4090, нужно указать соответствующий номер порта, разделенный двоеточием (например, server.company.com:4100 или 10.10.100.20:9000).
Этот режим доступен, если известен IP адрес или DNS имя другой стороны туннеля, и удаленная сторона может принимать входящие соединения (т.е. коммуникация не блокируется брандмауэром на удаленной стороне туннеля).
-
Пассивный этот конец туннеля будет только слушать входящие соединения с другой (активной) стороны.
Пассивный режим полезен лишь в том случае, когда локальный конец туннеля имеет фиксированный IP адрес, и когда он может принимать входящие соединения.
По крайней мере один конец каждого VPN туннеля должен быть переключен на активный режим (пассивные серверы не могут инициировать соединение).
Конфигурация удаленного конца туннеля.
При создании VPN туннеля, идентификационная информация удаленного конца аутентифицируется методом "отпечатков пальцев" или через сертификат SSL. Если "отпечатки пальцев" не совпадают с установленными в настройках туннеля, соединение будет блокироваться.
"Отпечатки пальцев" локального сертификата и информация для спецификации удаленных "отпечатков пальцев" даны в разделе Установки для удаленнго конца (Settings for remote endpoint). Укажите "отпечатки пальцев" для сертификата удаленного VPN сервера, и наоборот - укажите "отпечатки пальцев" локального сервера в настройках удаленного сервера.
Если локальная сторона переключена на активный режим, сертификат удаленной стороны и ее "отпечатки пальцев" можно скачать, щелкнув Определить удаленный сертификат (Detect remote certificate).
Если локальный VPN сервер настроен на пассивный прием, то получить удаленные "отпечатки пальцев" автоматически невозможно. Их можно получить с удаленного VPN сервера вручную. Пассивные концы туннеля невозможно обнаружить какими-либо удаленными сертификатами.
Однако, этот метод установки "отпечатков пальцев" не является безопасным - возможно использовать поддельный сертификат. Если для настроек VPN туннеля используются "отпечатки пальцев" поддельного сертификата, можно создать туннель для ложной удаленной точки (для атак). Более того, действующий сертификат не будет приниматься другой стороной. Следовательно, ради безопасности, рекомендуется устанавливать "отпечатки пальцев" вручную.
Установки DNS
С обоих сторон туннеля необходимо должным образом настроить DNS, чтобы можно было соединяться с узлами удаленной сети, используя DNS имена. Одним из способов является добавть с каждой стороны туннеля записи DNS узлов (host файлу). Онако, этот метод очень сложен и негибок.
При использовании с обоих концов туннеля в качестве DNS сервера DNS Форвардера, запросы DNS (правила DNS описаны в главе DNS Форвардер) могут пересылаться именам узлов в соответствующем домене DNS форвардера с другого конца туннеля.
Подробное руководство для настройки DNS дано в главе Пример настройки VPN туннеля.
Установление соединения
Активная сторона автоматически пытается восстановить соединение, если обнаружено, что связь с соответствующим туннелем разорвалась (первое соединение устанавливается сразу после определения туннеля при щелчке на кнопке Применить (Apply) в разделе Настройка/Интерфейсы (Configuration / Interfaces)).
VPN туннели можно отключить, нажав на кнопку Отключить (Disable). Оба конца выделенного туннеля должны автоматически отключиться (независимо от того, активны они или пассивны).
Примечание: VPN туннели поддерживают соединение (регулярно посылая специальные пакеты), даже если не передается никакой информации. Это защищает туннели от обрыва связи между ними другими брандмауэрами или сетевыми устройствами между концами туннеля.
Установки политики трафика для VPN
При создании VPN туннеля (см. главу Взаимодействие между двумя частными сетями через Интернет (VPN туннель), коммуникации между локальной сетью и сетью, связанной через этот туннель, должно быть разрешено правилами трафика. Если с помощью Мастера уже установлены базовые правила трафика (см. главу Настройка VPN клиентов), просто добавьте соответствующий VPN туннель в правило локального трафика (Local Traffic).
Примечание: правила трафика, установленные этим методом, позволяют полные IP коммуникации между локальной сетью, удаленной сетью и всеми VPN клиентами. Чтобы ограничить доступ, определите соответствующие правила трафика (для локального трафика, VPN клиентов, VPN туннеля и т.д.). Пример можно найти в главе Пример конфигурации VPN туннеля.
Перевод документации осуществлен силами компании Red Line Software
