69572

VPN соединения типа шлюз-шлюз

Практическая работа

Информатика, кибернетика и программирование

Задача: связывание удаленных локальных сетей в единую корпоративную сеть с помощью Интернет как глобальной сетевой технологии. Офисная сеть компании подключена к маршрутизатору провайдера услуг Интернет с помощью локальной сети.

Русский

2014-10-07

1.62 MB

12 чел.

Урок 13  

Рассмотрим третий случай использования VPN: соединения типа шлюз-шлюз. Задача: связывание удаленных локальных сетей в единую корпоративную сеть с помощью Интернет как глобальной сетевой технологии. В этом случае необходимо в качестве сервера удаленного доступа использовать маршрутизатор, при этом в качестве клиента удаленного доступа VPN тоже будет выступать маршрутизатор.

Пример, демонстрирующий применение VPN типа шлюз-шлюз:

Если в качестве маршрутизаторов используются платформы под управлением Windows Server, то конфигурация имеет вид.

Для маршрутизатора обслуживающего Филиала 1:

Включаем возможность работы с интерфейсами вызова по требованию

Создаем интерфейс вызова по требованию.

И так далее …

При выборе типа создаваемого интерфейса - указываем VPN.

Указываем адрес удаленного шлюза, к которому подключена частная сеть Филиала 2.

Описываем маршрут в частную сеть Филиала 2 через интерфейс вызова по требованию.

Указываем учетную запись для подключения к удаленному шлюзу 11.0.0.1

После создания интерфейса вызова по требованию, указывается время простоя до разъединения. В случае использования данного интерфейса для объединения двух частных сетей выберем значение «Никогда» - т.е. постоянное подключение при любой активности соединения.

Если сети будут обмениваться трафиком для доступа к общим ресурсам серверов и рабочих станций под управлением MS Windows, то указываем использование соответствующего протокола

В свойствах портов для удаленного доступа, указываем возможность  принимать входящие подключения и возможность участвовать в создании исходящих вызовов по требованию

Эта настройка осуществляется для того, что бы удаленный шлюз мог подключаться к конфигурируемому шлюзу на те же порты, что могут потенциально быть использованы для создания исходящего подключения.

В результате создается статический маршрут вида

Причем, этот маршрут не имеет адреса следующего маршрутизатора, т.к. этот адрес, станет известен, только после того как произойдет подключение к удаленному маршрутизатору. Вот тогда, адрес PPP интерфейса будет динамически подставлен в таблицу маршрутизации.

Таблица маршрутизации имеет вид

А вот как выглядит таблица маршрутизации после подключения к удаленному маршрутизатору. Адреса интерфейсу PPP, очевидно, были выданы из APIPA. Адрес интерфейса подключенного во внутреннюю сеть 10.1.12.1/16

Взаимодействие с удаленной сетью производится через VPN интерфейс шлюза, о чем свидетельствую результаты выполнения команд ping и tracert

В соответствии с таблицей маршрутизации, обычный эхо-запрос должен был уходить на шлюз по умолчанию, либо на 169.254.53.216 для запроса в сеть 192.168.1.0/24. Однако, в нашем случае, адрес 169.254.53.216 привязан к интерфейсу вызова по требованию «Удаленный маршрутизатор», представляющего VPN туннель в сеть Филиала 2 - 192.168.1.0/24. Тогда, для стека ТСР/IP рассматриваемого шлюза, работа по отправке пакетов в сеть 192.168.1.0/24 будет состоять в передаче пакетов интерфейсу вызова по требованию – и все. В этом случае истинный маршрут передачи пакетов в удаленную сеть скрыт за VPN туннелем.  

Аналогичные настройки производятся и на удаленном маршрутизаторе обслуживающем Филиал 2. Описанный метод создания шифрованного туннеля между удаленными офисами использует так называемую симметричную настройку – т.е. на каждом из маршрутизаторов настраивается интерфейс вызова по требованию и именно он используется для отправки пакетов в сеть удаленного Филиала.

Существует и другой метод создания VPN туннеля, при этом модель взаимодействия выглядит следующим образом

Т.е. в настройках такого туннеля появляется асимметрия. Один из маршрутизаторов, выполняет роль клиента – является инициатором установления соединения, второй маршрутизатор – принимает соединение на один из своих портов и использует этот порт для отправки пакетов в сеть удаленного филиала. Таким образом, в асимметричной настройке существует всего один интерфейс вызова по требованию, и настроен этот интерфейс на клиентском маршрутизаторе. Настройка клиентского маршрутизатора не отличается от рассмотренной выше настройки интерфейса вызова по требованию. Особенности настройки касаются маршрутизатора, принимающего входящее VPN подключение (серверного маршрутизатора), и использующего это подключение для отправки пактов в сеть удаленного филиала.

Если серверный маршрутизатор работает под управлением Windows Server, то его настройка выглядит следующим образом:

Добавляем интерфейс «Внутренний» к интерфейсам маршрутизации

Записываем маршрут через интерфейс «Внутренний»

, где

192.168.1.0  – сеть удаленного Филиала

255.255.255.0 – маска сети удаленного Филиала

«Внутренний» – название интерфейса

  1.  IP адрес PPP интерфейса со стороны сервера RRAS

Причем, адрес PPP интерфейса со стороны сервера известен заранее, т.к. в настройках RRAS указывается пул адресов выдаваемых удаленным пользователям – первый выдается PPP интерфейсу сервера.

Таблица маршрутизации имеет вид

В результате, после подключения клиентского маршрутизатора, станет возможна передача пакетов в сеть удаленного филиала 192.168.1.0/24, и использоваться для этого будет интерфейс «Внутренний» , т.е. через интерфейс операционной системы пакеты будут поступать на вход VPN туннеля, а далее как и в предыдущем случае – переправляться в сеть удаленного филиала в зашифрованном виде.

Рассмотрим задачу: пусть есть компания, имеющая офисную сеть, не разбитую на подсети и не имеющую удаленных филиалов. Офисная сеть компании подключена к маршрутизатору провайдера услуг Интернет с помощью локальной сети. Узлам офисной сети необходимо иметь доступ к Интернет, и, так как компания не имеет в своем распоряжении блока адресов, разрешенного к применению в Интернет, то в офисной сети компании используются автономные адреса, а для организации доступа узлов офисной сети к Интернет необходимо применять трансляцию сетевых адресов. Помимо этого существуют сотрудники компании, которые часто находятся в командировках за границами страны, которым необходимо обеспечить удаленный доступ в офисную сеть компании.  Так как удаленный доступ с использованием PSTN из-за границы является неоправданно дорогим способом решения задачи, было принято решение организовать удаленный доступ следующим образом: удаленный пользователь, находясь в командировке, звонит с помощью PSTN местному провайдеру, а после этого обращается к VPN серверу своей компании, используя Интернет как транспортную среду.

Проанализируем настройки необходимые на каждом из участников схемы.

Для PC2 конфигурируем интерфейс, например 10.0.0.2/8  шлюз 10.0.0.1.

Для R1 конфигурируем интерфейсы 10.0.0.1/8 – в частную сеть, и 11.0.0.2/8 для подключения к ISP провайдеру. Далее настраиваем NAT для доступа из частной сети в Интернет: Общий интерфейс 11.0.0.2/8, Частный интерфейс 10.0.0.1/8. Далее включаем RAS и разрешаем входящие подключения, конфигурируем порты PPTP для приема входящих подключений. Указываем пул адресов, выдаваемый удаленным пользователям:10.1.0.1-10.1.0.100. Указываем шлюз по умолчанию 11.0.0.1. Заводим учетную запись для пользователя PC1

Для R2 конфигурируем интерфейсы, 11.0.0.1/8 на R1 и 12.0.0.2/8 на R3. Включаем маршрутизацию, записываем маршрут в сеть 13.0.0.0/8 и 15.0.0.0/8 через шлюз 12.0.0.1.

Для R3 конфигурируем интерфейсы, 12.0.0.1/8 на R2 и 13.0.0.2/8 на R4. Включаем маршрутизацию, записываем маршрут в сеть 11.0.0.0/8 через шлюз 12.0.0.2. Узел в Интернет подключен через интерфейс 15.0.0.1.

Узел в Интернет использует адрес 15.0.0.2/8 и шлюз 15.0.0.1

Для R4 конфигурируем интерфейсы, 13.0.0.1/8 на R3 и записываем маршрут в сеть 11.0.0.0/8, 15.0.0.0/8 и 12.0.0.0/8 через шлюз 13.0.0.2. Подключаем модем и запускаем сервер RRAS. Указываем пул адресов для подключаемых абонентов, заводим учетную запись для пользователя PC1. Включаем NAT для работы подключенных абонентов в Интернет: Общий интерфейс 13.0.0.1/8, Частный интерфейс «Внутренний». Добавить интерфейс «Внутренний» в графический интерфейс настройки NAT можно, в том числе, и из командной строки.

Для РС1 - подключаем модем, создаем подключение к провайдеру R4 (это подключение используется в качестве маршрута по умолчанию) и VPN подключение к серверу офиса 11.0.0.2. В свойствах VPN подключения дополнительно указываем – не использовать интерфейс данного подключения в качестве маршрута по умолчанию.

После окончания конфигурации, пользователь PC1 вначале устанавливает коммутируемое соединение с ISP (R4), после чего активирует VPN соединение с удаленным офисом 11.0.0.2 (R1). В результате в маршрутной таблице PC1 возникает маршрут по умолчанию на ISP и маршрут в сеть удаленного офиса 10.0.0.0 – через интерфейс PPP созданного VPN туннеля. Автоматическое появление этого маршрута обусловлено тем, что диапазон адресов выдаваемых удаленным пользователям на R1 принадлежит частной сети удаленного офиса:

[10.1.0.1; 10.1.0.100] 10.0.0.0/8

В результате если PC1 отправляет пакет на любой IP адрес кроме 10.х.х.х, то этот пакет уходит по маршруту Default – не шифрованный трафик на ISP. Но если PC1 отправляет пакет в сеть 10.0.0.0/8 то этот пакет уходит на интерфейс РРР VPN туннеля и в зашифрованном виде достигает сервера удаленного офиса, где он расшифровывается и в обычном виде достигает адресата в частной сети. Обратное взаимодействие – из частной сети во внешнюю – происходит аналогично.

Задание для самостоятельной работы.

Используя приведенный выше метод описания настройки участников соединения, дать пояснения относительно конфигурации предложенных схем согласно поставленному условию. Решения оформить в виде сценариев настройки каждого участника схемы с указанием адресов интерфейсов используемых технологий и подробной конфигурацией каждой используемой технологии. Полученные конфигурации могут быть использованы в лабораторной работе в аудитории полностью, либо частично при настройке отдельных участков взаимодействия большой схемы на виртуальных машинах при  выполнении домашнего задания.

К отчету о работе кроме сценария конфигурации приложить захваченный сетевой трафик следующих взаимодействий:

  •  Проверка возможности обмена пакетами между узлом из сети компании и узлом, имитирующим компьютер в Интернет. При этом за пределами корпоративной сети, в той части сети, которая имитирует Интернет не должно быть трафика с автономными адресами.
  •  Проверка возможности подключения удаленного пользователя к маршрутизатору удаленного провайдера
  •  Проверка возможности подключения удаленного пользователя к VPN серверу
  •  Проверка возможности обмена пакетами между компьютером удаленного пользователя и узлом корпоративной сети
  •  Проверка невозможности прослушивания на транзитных маршрутизаторах Интернет трафика между удаленным пользователем и узлом корпоративной сети
  •  Проверка возможности обмена пакетами между компьютером удаленного пользователя и узлом, имитирующим Интернет

Задание 1.

Пусть есть некоторый провайдер услуг Интернет, подключающий пользователей по локальной сети в пределах одного района города. Пользователи могут обращаться в Интернет через маршрутизатор провайдера, но при этом их трафик с узлами Интернет не защищен от прослушивания анализатором протоколов, запущенным соседом по локальной сети, и коммутаторы, в данном случае проблемы не решают. Для того, чтобы защитить своих пользователей, ISP предлагает следующее решение: пользователи локальной сети сначала совершают вызов VPN сервера провайдера, а уже затем обращаются к ресурсам Интернет. При этом трафик в локальной районной сети оказывается зашифрован, а маршрутизатор провайдера отправляет его узлам в Интернет, разумеется, в открытом виде.

Необходимо: обеспечить возможности обмена пакетами между узлом из сети ISP и узлом, имитирующим компьютер в Интернет. При этом перехват трафика, выполненный на соседнем компьютере должен быть невозможен (трафик шифрован) а трафик, поступающий на узел, имитирующий узел Интернет – напротив, не зашифрован.  

Задание 2. Пусть есть компания, имеющая два офиса в удаленных областях страны. В каждом офисе у компании есть локальная сеть, не разбитая на подсети. Каждый офис подключен к Интернет посредством собственного провайдера. Так как компания не владеет диапазоном адресов, разрешенных для применения в Интернет, в ее локальных сетях применяется автономная адресация, и для организации доступа в Интернет маршрутизаторы компании в каждой из двух сетей пользуются трансляцией сетевых адресов. Компания имеет потребность связать свои офисы с помощью некоторой глобальной сетевой технологии, однако высокая стоимость подобного решения не позволяет ей воспользоваться услугами сетей на базе выделенных каналов или услугами территориальных сетей с коммутацией пакетов. Для решения задачи о связывании двух офисов было принято решение использовать Интернет как транспортную среду для передачи корпоративного трафика. Однако, использование рассмотренного выше туннелирования IP over IP не устраивает компания, так как сотрудники компании будет передавать через эту сеть конфиденциальные корпоративные данные. Поэтому было принято решение использовать VPN соединение между маршрутизаторами в офисах компании с целью обеспечения  конфиденциальность передаваемого через Интернет трафика. Для решения задачи один из маршрутизаторов было решено сделать сервером VPN, а другой – клиентом VPN.

Необходимо обеспечить:

  •  Возможности обмена пакетами между узлами из обоих сетей компании и узлом, имитирующим компьютер в Интернет. При этом за пределами корпоративной сети, в той части сети, которая имитирует Интернет не должно быть трафика с автономными адресами.
  •  Возможности установления VPN соединения между маршрутизаторами компании.
  •  Возможности узлов из обеих сетей компании обращаться прозрачно к узлам другой сети сквозь Интернет. При этом, в той части сети, которая имитирует Интернет не должно быть трафика с автономными адресами.
  •  Проверка невозможности перехвата трафика корпоративного на транзитных маршрутизаторах Интернет.

Одна из особенностей данного задания состоит в том, что маршрутизаторы в офисах компании не симметричны: один из них является сервером VPN, а другой – клиентом VPN 

Задание 3. Условие то же, что и в Задании 2, но оба маршрутизатора необходимо сконфигурировать таким образом, чтобы маршрут в удаленную офисную сеть пролегал через интерфейс вызова по требованию, что удобнее, чем использование интерфейса «Внутренний». Т.е. симметричная конфигурация маршрутизаторов.


 

А также другие работы, которые могут Вас заинтересовать

28355. Субъекты наследственного правопреемства. Недостойные наследники 14.75 KB
  Граждане и государство могут быть наследниками как по закону так и по завещанию. При наследовании по закону граждане находящиеся в живых к моменту смерти наследодателя а также дети зачатые при его жизни и родившиеся после его смерти; При наследовании по завещанию любые лица находившиеся в живых к моменту смерти наследодателя а также зачатые при его жизни и родившиеся после его смерти. Вопервых не имеют права наследовать ни по закону ни по завещанию граждане которые противозаконными действиями направленными против наследодателя...
28356. Наследство: понятие и состав 14.51 KB
  Наследство: понятие и состав. В его состав согласно ст. Состав наследственного имущества чрезвычайно разнообразен. Включаются в состав наследства средства транспорта а также другое имущество предоставленное государством или муниципальным образованием на льготных условиях наследодателю в связи с его инвалидностью или другими подобными обстоятельствами ст.
28357. Наследование по завещанию: понятие и общие положения 13.85 KB
  Наследодатель вправе сделать распоряжение своим имуществом на случай смерти путем составления завещания. Условия совершения завещания: совершается полностью дееспособным гражданином должно быть совершено лично наследодателем в завещании должно содержаться распоряжение только одного лица Принципы: свобода завещания – наследодатель по своему усмотрению выбирает наследников и завещает все или часть своего имущества также он вправе лишить наследства одного или нескольких наследников без объяснения причин в любое время может...
28358. Общие правила, касающиеся формы и порядка совершения завещания 14.64 KB
  Общие правила касающиеся формы и порядка совершения завещания. Форма завещания должна быть письменной. К содержанию завещания ГК РФ особых требований не предусматривается. Завещание обязательно должно быть подписано завещателем лично либо при помощи рукоприкладчика о чем делается запись при составлении завещания.
28359. Формы завещания, порядок их совершения 15.06 KB
  Завещание должно быть составлено в письменной форме и удостоверено нотариусом. В случае когда в соответствии с правилами ГК при составлении подписании удостоверении завещания или при передаче завещания нотариусу присутствуют свидетели не могут быть такими свидетелями и не могут подписывать завещание вместо завещателя: нотариус или другое удостоверяющее завещание лицо; лицо в пользу которого составлено завещание или сделан завещательный отказ супруг такого лица его дети и родители; граждане не обладающие дееспособностью в полном объеме;...
28360. Недействительность завещания. Изменение, отмена и исполнение завещания 14.57 KB
  В зависимости от основания недействительности завещание является недействительным в силу признания его таковым судом оспоримое завещаниеили не зависимо от такого признания ничтожное. По иску лица права или законные интересы которого нарушены этим завещанием оспаривание недействительности З. а также применение последствий недействительности З. отменено завещателем полностью или в соответствующей части в случае недействительности последующего З.
28361. Наследование по закону: понятие и общие положения 14.01 KB
  Дети супруг и родители наследодателя.Внуки наследодателя и их потомки наследуют по праву представления. Полнородные и неполнородные братья и сестры наследодателя его дудушка и бабушка как со стороны отца так и со стороны матери.и сестры родителей наследодателя.
28362. Обязательные наследники: понятие, категории обязательных наследников, размер доли 14.52 KB
  1149 ГК РФ определяет понятие права на обязательную долю в наследственном имуществе т. Право на обязательную долю вопервых не допускает исключения управомоченного лица из числа наследников на основании завещания вовторых не допускает снижения размера доли данного наследника ниже установленного минимума. Право на обязательную долю в наследстве удовлетворяется из оставшейся незавещанной части наследственного имущества даже если это приведет к уменьшению прав других наследников по закону на эту часть имущества а при недостаточности...
28363. Понятие, способы и сроки принятия наследства. Наследственная трансмиссия 14.62 KB
  Понятие способы и сроки принятия наследства. Со дня открытия наследства у наследников появляется право наследования. По своей правовой природе принятие наследства является односторонней сделкой в которой выражается воля наследника по поводу приобретения наследства. Принятие наследником части наследства означает принятие всего причитающегося ему наследства.