Настройка VPN соединения

Введение

VPN (Virtual Private Network - Виртуальная частная сеть) – технология, которая позволяет организовать защищенное соединение поверх любой IP-сети (инфраструктуры). Все данные, которые передаются по соединениям VPN шифруются различными алгоритмами шифрования. Поэтому обеспечивается полная конфиденциальность и целостность передаваемой информации.

REFOS позволяет организовывать защищенные соединения, используя функциональное расширение OpеnVPN.

Важно

Функциональное расширение OpеnVPN распространяется по платной лицензии

OpеnVPN позволяет организовать защищенные соединения следующих типов:

  • Организация удаленного доступа пользователей к ресурсам удаленной сети (Remote access VPN). В данном случае REFOS выступает в качестве VPN-сервера, который предоставляет защищенный доступ VPN-клиентам. VPN-клиентом может являться любой ПК с соответствующим установленным ПО;

  • Организация защищенного соединения между офисами (Site-to-Site VPN). В данном случае REFOS может выступать в роли как сервера, так и клиента. VPN-клиент инициирует подключение к VPN-серверу, а VPN-сервер согласовывает подключения и объединяет территориально распределенные офисы компании в одну логическую сеть.

VPN-соединением между клиентом и сервером также называют туннелем.

Для настройки VPN-соединений используются следующие режимы работы:

  • Peer to Peer Server (SSL/TLS) – режим сервера с TLS-аутентификацией для подключения удаленных VPN-клиентов;

  • Peer to Peer Client (SSL/TLS) – режим клиента с TLS-аутентификацией;

  • Удаленный доступ (SSL/TLS) - режим сервера с TLS-аутентификацией и расширенным сетевыми параметрами для подключения удаленных пользователей;

  • Удаленный доступ (Аутентификация пользователя) - режим сервера с аутентификацией по локальной базе сервера и дополнительными сетевыми параметрами для подключения удаленных пользователей;

  • Удаленный доступ (SSL/TLS+Аутентификация пользователя) - режим сервера с TLS-аутентификацией и дополнительной аутентификацией по локальной базе сервера, а также дополнительными сетевыми параметрами для подключения удаленных пользователей.

Настройка конфигурации VPN-соединения между офисами (Site-to-Site VPN)

Предположим, необходимо объединить VPN-туннелем два территориально распределенных офиса.

Одна система REFOS будет выступать в качестве сервера, а вторая в качестве клиента.

Для аутентификации пользователя и согласования VPN-соединения необходимо использоваться сертификат клиента, сертификат удостоверяющего цента и общий ключ при использовании TLS-аутентификации.

Важно

Процесс генерации и управления сертификатами изложен в разделе Доверенные сертификаты

Настройка конфигурации VPN-сервера в режиме Peer to Peer Server (SSL/TLS)

В разделе VPN - OpenVPN - Серверы/клиенты в соответствии с таблицей производится добавление конфигурации.

Добавление конфигурации VPN-сервера

Параметр

Описание

Общая информация

Описание

Задать общее наименование соединения.

Режим

Выбрать режим VPN-сервера – Peer to Peer Server (SSL/TLS).

Протокол

Используется по умолчанию – UDP.

Режим работы устройства

Используется по умолчанию – TUN.

Интерфейс

Выбрать интерфейс, на котором будет производится прослушивание входящих соединений от VPN-клиентов.

Используется по умолчанию – Any.

Локальный порт

Номер порта, который использует сервис OpenVPN.

Используется по умолчанию – 1194.

Криптографические установки

Аутентификация TLS

В данном примере используется Аутентификация TLS. Поэтому необходимо:

  • Включить аутентификацию пакетов TLS;

  • Автоматически генерировать совместно использующийся ключ аутентификации TLS.

Общий ключ аутентификации TLS генерируется во время сохранения конфигурации. Поэтому после сохранения конфигурации для просмотра и передачи общего ключа клиенту необходимо открыть данную конфигурацию заново.

Центр сертификации пиров

Добавить центр сертификации. Первоначально необходимо создать или импортировать центр сертификации.

Список отзыва сертификатов узлов

Необязательный параметр.

Используется по умолчанию – None.

Сертификат сервера

Задать сертификат VPN-сервера. Первоначально необходимо создать или импортировать сертификат VPN-сервера.

Длина параметров DH

Задать длину ключа Диффи-Хеллмана.

Используется по умолчанию – 2048 бит.

Алгоритм шифрования

Задать алгоритм шифрования.

Используется по умолчанию – AES-128-CBC.

Дайджест-алгоритм аутентификации

Задать алгоритм хеширования.

Используется по умолчанию – SHA-1.

Уровень сертификата

Задать уровень сертификата.

Используется по умолчанию – Один (клиент+сервер).

Настройки туннеля

Туннельная сеть IPv4

Задать параметры туннельной сети. Пример ввода – 99.0.0.0/24.

Данный параметр относится к адресации сети, которая используется в созданном туннеле. Туннель является двух точечным соединением с использованием сторонней заданной адресацией, которая не пересекается с адресацией физических интерфейсов. При использовании адреса сети 99.0.0.0/24, адрес локального интерфейса туннеля VPN-сервера будет использоваться первый из данной сети – 99.0.0.1, а для клиента будет использоваться второй 99.0.0.2.

Локальная сеть IPv4

Необязательный параметр.

Задать сети, напрямую подключенные к шлюзу. В данном случае возможно анонсировать напрямую подключенные сети удаленному шлюзу. В таблице маршрутизации удаленного шлюза появится информация о данных сетях, доступных через созданный туннель.

Пример ввода – 10.0.0.0/24.

Удаленная сеть IPv4

Необязательный параметр.

Задать удаленные сети, которые доступны для данного сервера через VPN-тоннель.

Пример ввода – 20.0.0.0/24.

Число одновременных подключений

Необязательный параметр.

Задать количество подключаемых клиентов.

По умолчанию ограничение не стоит.

Сжатие

Необязательный параметр.

Задать сжатие туннельных пакетов для оптимизации производительности.

По умолчанию параметры не настроены.

Тип сервиса

Необязательный параметр.

По умолчанию параметры не настроены.

Динамический IP-адрес

Необязательный параметр.

По умолчанию параметры не настроены.

Топология сети

Необязательный параметр.

По умолчанию параметры не настроены.

Пример конфигурации VPN-сервера представлен на рисунке.

../../../../_images/one12.png

Пример конфигурации VPN-сервера

Настройка конфигурации VPN-клиента в режиме Peer to Peer Client (SSL/TLS)

Настройка конфигурации VPN-клиента на второй системе REFOS. В разделе VPN - OpenVPN - Серверы/клиенты в соответствии с таблицей производится добавление конфигурации.

Добавление конфигурации VPN-клиента

Параметр

Описание

Общая информация

Описание

Задать общее наименование соединения.

Режим

Выбрать режим VPN-сервера – Peer to Peer Client (SSL/TLS).

Протокол

Используется по умолчанию – UDP.

Режим работы устройства

Используется по умолчанию – TUN.

Интерфейс

Выбрать интерфейс, на котором будет инициировать подключение к VPN-серверу.

Используется по умолчанию – LAN1.

Удаленный сервер

Задать IP-адрес интерфейса и номер порта VPN-сервиса.

Локальный порт

Используется по умолчанию – 1195.

Настройки Аутентификации пользователей

Имя пользователя/пароль

Необязательный параметр.

Задать имя пользователя и пароль из локальной базы пользователей VPN-сервера.

Дополнительный метод аутентификации.

Время пересогласования

Необязательный параметр.

По умолчанию не используется.

Криптографические установки

Аутентификация TLS

В данном примере используется Аутентификация TLS. Поэтому необходимо:

  • Включить аутентификацию пакетов TLS.

Ввести в поле Общий ключ аутентификации TLS, который генерируется на VPN-сервере.

Центр сертификации пиров

Добавить центр сертификации. Первоначально необходимо импортировать сертификат корневого.

центра сертификации VPN-сервера.

Список отзыва сертификатов узлов

Необязательный параметр.

Используется по умолчанию – None.

Сертификат клиент

Задать сертификат VPN-клиента. Первоначально необходимо импортировать сертификат.

VPN-клиента.

Длина параметров DH

Задать длину ключа Диффи-Хеллмана.

Используется по умолчанию – 2048 бит.

Значение параметра должно быть сопоставимо с значением конфигурации VPN-сервера.

Алгоритм шифрования

Задать алгоритм шифрования.

Используется по умолчанию – AES-128-CBC.

Значение параметра должно быть сопоставимо с значением конфигурации VPN-сервера.

Дайджест-алгоритм аутентификации

Задать алгоритм хеширования.

Используется по умолчанию – SHA-1.

Значение параметра должно быть сопоставимо с значением конфигурации VPN-сервера.

Уровень сертификата

Задать уровень сертификата.

Используется по умолчанию – Один (клиент+сервер).

Настройки туннеля

Туннельная сеть IPv4

Задать параметры туннельной сети. Пример ввода – 99.0.0.0/24. Данный параметр относится к адресации сети, которая используется в созданном туннеле Туннель является двух точечным соединением с использованием сторонней заданной адресацией, которая не пересекается с адресацией физических интерфейсов. При использовании адреса сети 99.0.0.0/24, адрес локального интерфейса туннеля VPN-сервера будет использоваться первый из данной сети – 99.0.0.1, а для клиента будет использоваться второй 99.0.0.2.

Удаленная сеть IPv4

Необязательный параметр.

Задать удаленные сети, которые доступны для данного клиента через VPN-тоннель.

Пример ввода – 10.0.0.0/24.

Ограничить исходящую пропускную

способность

Необязательный параметр.

Ограничение исходящей пропускной способности туннеля в байтах/сек.

По умолчанию ограничение не стоит.

Сжатие

Необязательный параметр.

Задать сжатие туннельных пакетов для оптимизации производительности.

По умолчанию параметры не настроены.

Тип сервиса

Необязательный параметр.

По умолчанию параметры не настроены.

Не получать маршруты

Необязательный параметр.

По умолчанию не используется.

Не добавлять/удалять

маршруты

Необязательный параметр.

По умолчанию не используется.

Пример конфигурации VPN-клиента представлен на рисунке.

../../../../_images/two14.png

Пример конфигурации VPN-клиента

Статус VPN-соединения

Проверка состояния соединения между VPN-сервером и VPN-клиентом производится в разделе VPN - OpenVPN - Статус соединения.

../../../../_images/tri9.png

Статус соединения

Настройка конфигурации VPN-сервера с использованием режима Удаленный доступ

Режимы Peer to Peer позволяют связать несколько территориально распределенных сегментов сети защищенным каналом. В данном случае речь идет о филиальной сети. Но также существует потребность предоставления защищенного канала одному или нескольким пользователям для удаленного доступа к информационным ресурсам компании. Режим Удаленный доступ с разным типом аутентификации позволяет настроить VPN-сервер с дополнительными сетевыми параметрами для удаленного пользователя.

К дополнительным сетевым параметрам относится:

  • Предоставление параметров DNS-серверов клиентам;

  • Предоставление параметров NTP-серверов клиентам.

Описание дополнительных сетевых параметров приведено в таблице.

Описание дополнительных сетевых параметров

Параметр

Описание

Домен DNS по умолчанию

Указать доменное имя клиентам

DNS-серверы

Указать клиентам список используемых DNS -серверов

NTP-серверы

Указать клиентам список используемых NTP -серверов