69572

VPN соединения типа шлюз-шлюз

Практическая работа

Информатика, кибернетика и программирование

Задача: связывание удаленных локальных сетей в единую корпоративную сеть с помощью Интернет как глобальной сетевой технологии. Офисная сеть компании подключена к маршрутизатору провайдера услуг Интернет с помощью локальной сети.

Русский

2014-10-07

1.62 MB

12 чел.

Урок 13  

Рассмотрим третий случай использования VPN: соединения типа шлюз-шлюз. Задача: связывание удаленных локальных сетей в единую корпоративную сеть с помощью Интернет как глобальной сетевой технологии. В этом случае необходимо в качестве сервера удаленного доступа использовать маршрутизатор, при этом в качестве клиента удаленного доступа VPN тоже будет выступать маршрутизатор.

Пример, демонстрирующий применение VPN типа шлюз-шлюз:

Если в качестве маршрутизаторов используются платформы под управлением Windows Server, то конфигурация имеет вид.

Для маршрутизатора обслуживающего Филиала 1:

Включаем возможность работы с интерфейсами вызова по требованию

Создаем интерфейс вызова по требованию.

И так далее …

При выборе типа создаваемого интерфейса - указываем VPN.

Указываем адрес удаленного шлюза, к которому подключена частная сеть Филиала 2.

Описываем маршрут в частную сеть Филиала 2 через интерфейс вызова по требованию.

Указываем учетную запись для подключения к удаленному шлюзу 11.0.0.1

После создания интерфейса вызова по требованию, указывается время простоя до разъединения. В случае использования данного интерфейса для объединения двух частных сетей выберем значение «Никогда» - т.е. постоянное подключение при любой активности соединения.

Если сети будут обмениваться трафиком для доступа к общим ресурсам серверов и рабочих станций под управлением MS Windows, то указываем использование соответствующего протокола

В свойствах портов для удаленного доступа, указываем возможность  принимать входящие подключения и возможность участвовать в создании исходящих вызовов по требованию

Эта настройка осуществляется для того, что бы удаленный шлюз мог подключаться к конфигурируемому шлюзу на те же порты, что могут потенциально быть использованы для создания исходящего подключения.

В результате создается статический маршрут вида

Причем, этот маршрут не имеет адреса следующего маршрутизатора, т.к. этот адрес, станет известен, только после того как произойдет подключение к удаленному маршрутизатору. Вот тогда, адрес PPP интерфейса будет динамически подставлен в таблицу маршрутизации.

Таблица маршрутизации имеет вид

А вот как выглядит таблица маршрутизации после подключения к удаленному маршрутизатору. Адреса интерфейсу PPP, очевидно, были выданы из APIPA. Адрес интерфейса подключенного во внутреннюю сеть 10.1.12.1/16

Взаимодействие с удаленной сетью производится через VPN интерфейс шлюза, о чем свидетельствую результаты выполнения команд ping и tracert

В соответствии с таблицей маршрутизации, обычный эхо-запрос должен был уходить на шлюз по умолчанию, либо на 169.254.53.216 для запроса в сеть 192.168.1.0/24. Однако, в нашем случае, адрес 169.254.53.216 привязан к интерфейсу вызова по требованию «Удаленный маршрутизатор», представляющего VPN туннель в сеть Филиала 2 - 192.168.1.0/24. Тогда, для стека ТСР/IP рассматриваемого шлюза, работа по отправке пакетов в сеть 192.168.1.0/24 будет состоять в передаче пакетов интерфейсу вызова по требованию – и все. В этом случае истинный маршрут передачи пакетов в удаленную сеть скрыт за VPN туннелем.  

Аналогичные настройки производятся и на удаленном маршрутизаторе обслуживающем Филиал 2. Описанный метод создания шифрованного туннеля между удаленными офисами использует так называемую симметричную настройку – т.е. на каждом из маршрутизаторов настраивается интерфейс вызова по требованию и именно он используется для отправки пакетов в сеть удаленного Филиала.

Существует и другой метод создания VPN туннеля, при этом модель взаимодействия выглядит следующим образом

Т.е. в настройках такого туннеля появляется асимметрия. Один из маршрутизаторов, выполняет роль клиента – является инициатором установления соединения, второй маршрутизатор – принимает соединение на один из своих портов и использует этот порт для отправки пакетов в сеть удаленного филиала. Таким образом, в асимметричной настройке существует всего один интерфейс вызова по требованию, и настроен этот интерфейс на клиентском маршрутизаторе. Настройка клиентского маршрутизатора не отличается от рассмотренной выше настройки интерфейса вызова по требованию. Особенности настройки касаются маршрутизатора, принимающего входящее VPN подключение (серверного маршрутизатора), и использующего это подключение для отправки пактов в сеть удаленного филиала.

Если серверный маршрутизатор работает под управлением Windows Server, то его настройка выглядит следующим образом:

Добавляем интерфейс «Внутренний» к интерфейсам маршрутизации

Записываем маршрут через интерфейс «Внутренний»

, где

192.168.1.0  – сеть удаленного Филиала

255.255.255.0 – маска сети удаленного Филиала

«Внутренний» – название интерфейса

  1.  IP адрес PPP интерфейса со стороны сервера RRAS

Причем, адрес PPP интерфейса со стороны сервера известен заранее, т.к. в настройках RRAS указывается пул адресов выдаваемых удаленным пользователям – первый выдается PPP интерфейсу сервера.

Таблица маршрутизации имеет вид

В результате, после подключения клиентского маршрутизатора, станет возможна передача пакетов в сеть удаленного филиала 192.168.1.0/24, и использоваться для этого будет интерфейс «Внутренний» , т.е. через интерфейс операционной системы пакеты будут поступать на вход VPN туннеля, а далее как и в предыдущем случае – переправляться в сеть удаленного филиала в зашифрованном виде.

Рассмотрим задачу: пусть есть компания, имеющая офисную сеть, не разбитую на подсети и не имеющую удаленных филиалов. Офисная сеть компании подключена к маршрутизатору провайдера услуг Интернет с помощью локальной сети. Узлам офисной сети необходимо иметь доступ к Интернет, и, так как компания не имеет в своем распоряжении блока адресов, разрешенного к применению в Интернет, то в офисной сети компании используются автономные адреса, а для организации доступа узлов офисной сети к Интернет необходимо применять трансляцию сетевых адресов. Помимо этого существуют сотрудники компании, которые часто находятся в командировках за границами страны, которым необходимо обеспечить удаленный доступ в офисную сеть компании.  Так как удаленный доступ с использованием PSTN из-за границы является неоправданно дорогим способом решения задачи, было принято решение организовать удаленный доступ следующим образом: удаленный пользователь, находясь в командировке, звонит с помощью PSTN местному провайдеру, а после этого обращается к VPN серверу своей компании, используя Интернет как транспортную среду.

Проанализируем настройки необходимые на каждом из участников схемы.

Для PC2 конфигурируем интерфейс, например 10.0.0.2/8  шлюз 10.0.0.1.

Для R1 конфигурируем интерфейсы 10.0.0.1/8 – в частную сеть, и 11.0.0.2/8 для подключения к ISP провайдеру. Далее настраиваем NAT для доступа из частной сети в Интернет: Общий интерфейс 11.0.0.2/8, Частный интерфейс 10.0.0.1/8. Далее включаем RAS и разрешаем входящие подключения, конфигурируем порты PPTP для приема входящих подключений. Указываем пул адресов, выдаваемый удаленным пользователям:10.1.0.1-10.1.0.100. Указываем шлюз по умолчанию 11.0.0.1. Заводим учетную запись для пользователя PC1

Для R2 конфигурируем интерфейсы, 11.0.0.1/8 на R1 и 12.0.0.2/8 на R3. Включаем маршрутизацию, записываем маршрут в сеть 13.0.0.0/8 и 15.0.0.0/8 через шлюз 12.0.0.1.

Для R3 конфигурируем интерфейсы, 12.0.0.1/8 на R2 и 13.0.0.2/8 на R4. Включаем маршрутизацию, записываем маршрут в сеть 11.0.0.0/8 через шлюз 12.0.0.2. Узел в Интернет подключен через интерфейс 15.0.0.1.

Узел в Интернет использует адрес 15.0.0.2/8 и шлюз 15.0.0.1

Для R4 конфигурируем интерфейсы, 13.0.0.1/8 на R3 и записываем маршрут в сеть 11.0.0.0/8, 15.0.0.0/8 и 12.0.0.0/8 через шлюз 13.0.0.2. Подключаем модем и запускаем сервер RRAS. Указываем пул адресов для подключаемых абонентов, заводим учетную запись для пользователя PC1. Включаем NAT для работы подключенных абонентов в Интернет: Общий интерфейс 13.0.0.1/8, Частный интерфейс «Внутренний». Добавить интерфейс «Внутренний» в графический интерфейс настройки NAT можно, в том числе, и из командной строки.

Для РС1 - подключаем модем, создаем подключение к провайдеру R4 (это подключение используется в качестве маршрута по умолчанию) и VPN подключение к серверу офиса 11.0.0.2. В свойствах VPN подключения дополнительно указываем – не использовать интерфейс данного подключения в качестве маршрута по умолчанию.

После окончания конфигурации, пользователь PC1 вначале устанавливает коммутируемое соединение с ISP (R4), после чего активирует VPN соединение с удаленным офисом 11.0.0.2 (R1). В результате в маршрутной таблице PC1 возникает маршрут по умолчанию на ISP и маршрут в сеть удаленного офиса 10.0.0.0 – через интерфейс PPP созданного VPN туннеля. Автоматическое появление этого маршрута обусловлено тем, что диапазон адресов выдаваемых удаленным пользователям на R1 принадлежит частной сети удаленного офиса:

[10.1.0.1; 10.1.0.100] 10.0.0.0/8

В результате если PC1 отправляет пакет на любой IP адрес кроме 10.х.х.х, то этот пакет уходит по маршруту Default – не шифрованный трафик на ISP. Но если PC1 отправляет пакет в сеть 10.0.0.0/8 то этот пакет уходит на интерфейс РРР VPN туннеля и в зашифрованном виде достигает сервера удаленного офиса, где он расшифровывается и в обычном виде достигает адресата в частной сети. Обратное взаимодействие – из частной сети во внешнюю – происходит аналогично.

Задание для самостоятельной работы.

Используя приведенный выше метод описания настройки участников соединения, дать пояснения относительно конфигурации предложенных схем согласно поставленному условию. Решения оформить в виде сценариев настройки каждого участника схемы с указанием адресов интерфейсов используемых технологий и подробной конфигурацией каждой используемой технологии. Полученные конфигурации могут быть использованы в лабораторной работе в аудитории полностью, либо частично при настройке отдельных участков взаимодействия большой схемы на виртуальных машинах при  выполнении домашнего задания.

К отчету о работе кроме сценария конфигурации приложить захваченный сетевой трафик следующих взаимодействий:

  •  Проверка возможности обмена пакетами между узлом из сети компании и узлом, имитирующим компьютер в Интернет. При этом за пределами корпоративной сети, в той части сети, которая имитирует Интернет не должно быть трафика с автономными адресами.
  •  Проверка возможности подключения удаленного пользователя к маршрутизатору удаленного провайдера
  •  Проверка возможности подключения удаленного пользователя к VPN серверу
  •  Проверка возможности обмена пакетами между компьютером удаленного пользователя и узлом корпоративной сети
  •  Проверка невозможности прослушивания на транзитных маршрутизаторах Интернет трафика между удаленным пользователем и узлом корпоративной сети
  •  Проверка возможности обмена пакетами между компьютером удаленного пользователя и узлом, имитирующим Интернет

Задание 1.

Пусть есть некоторый провайдер услуг Интернет, подключающий пользователей по локальной сети в пределах одного района города. Пользователи могут обращаться в Интернет через маршрутизатор провайдера, но при этом их трафик с узлами Интернет не защищен от прослушивания анализатором протоколов, запущенным соседом по локальной сети, и коммутаторы, в данном случае проблемы не решают. Для того, чтобы защитить своих пользователей, ISP предлагает следующее решение: пользователи локальной сети сначала совершают вызов VPN сервера провайдера, а уже затем обращаются к ресурсам Интернет. При этом трафик в локальной районной сети оказывается зашифрован, а маршрутизатор провайдера отправляет его узлам в Интернет, разумеется, в открытом виде.

Необходимо: обеспечить возможности обмена пакетами между узлом из сети ISP и узлом, имитирующим компьютер в Интернет. При этом перехват трафика, выполненный на соседнем компьютере должен быть невозможен (трафик шифрован) а трафик, поступающий на узел, имитирующий узел Интернет – напротив, не зашифрован.  

Задание 2. Пусть есть компания, имеющая два офиса в удаленных областях страны. В каждом офисе у компании есть локальная сеть, не разбитая на подсети. Каждый офис подключен к Интернет посредством собственного провайдера. Так как компания не владеет диапазоном адресов, разрешенных для применения в Интернет, в ее локальных сетях применяется автономная адресация, и для организации доступа в Интернет маршрутизаторы компании в каждой из двух сетей пользуются трансляцией сетевых адресов. Компания имеет потребность связать свои офисы с помощью некоторой глобальной сетевой технологии, однако высокая стоимость подобного решения не позволяет ей воспользоваться услугами сетей на базе выделенных каналов или услугами территориальных сетей с коммутацией пакетов. Для решения задачи о связывании двух офисов было принято решение использовать Интернет как транспортную среду для передачи корпоративного трафика. Однако, использование рассмотренного выше туннелирования IP over IP не устраивает компания, так как сотрудники компании будет передавать через эту сеть конфиденциальные корпоративные данные. Поэтому было принято решение использовать VPN соединение между маршрутизаторами в офисах компании с целью обеспечения  конфиденциальность передаваемого через Интернет трафика. Для решения задачи один из маршрутизаторов было решено сделать сервером VPN, а другой – клиентом VPN.

Необходимо обеспечить:

  •  Возможности обмена пакетами между узлами из обоих сетей компании и узлом, имитирующим компьютер в Интернет. При этом за пределами корпоративной сети, в той части сети, которая имитирует Интернет не должно быть трафика с автономными адресами.
  •  Возможности установления VPN соединения между маршрутизаторами компании.
  •  Возможности узлов из обеих сетей компании обращаться прозрачно к узлам другой сети сквозь Интернет. При этом, в той части сети, которая имитирует Интернет не должно быть трафика с автономными адресами.
  •  Проверка невозможности перехвата трафика корпоративного на транзитных маршрутизаторах Интернет.

Одна из особенностей данного задания состоит в том, что маршрутизаторы в офисах компании не симметричны: один из них является сервером VPN, а другой – клиентом VPN 

Задание 3. Условие то же, что и в Задании 2, но оба маршрутизатора необходимо сконфигурировать таким образом, чтобы маршрут в удаленную офисную сеть пролегал через интерфейс вызова по требованию, что удобнее, чем использование интерфейса «Внутренний». Т.е. симметричная конфигурация маршрутизаторов.


 

А также другие работы, которые могут Вас заинтересовать

2493. Проверка основного закона динамики вращения твердого тела с помощью маятника Обербека 132.45 KB
  Математическая форма записи основных закономерностей для поступательного и вращательного движений остается неизменной.
2494. Определение ускорения свободного падения посредством математического маятника 97 KB
  Цель работы: определить ускорение свободного падения в поле тяготения Земли методом математического маятника.
2495. Перевірка вмінь запису чисел римською системою числення. 32.5 KB
  Сформувати практичні навички в учнів про запис чисел римською системою числення. Розвивати увагу; розвивати процес зорового сприймання чіткості.
2496. Изучение математического маятника. Изучение колебаний груза на пружине 28.97 KB
  Цель: определить ускорение свободного падения методом математического маятника. Математический маятник – это материальная точка, подвешенная на невесомой нерастяжимой нити. Составить уравнение гармонических колебаний для пружинного маятника.
2497. Изучение зависимости периода колебаний нитяного маятника от длины нити 18.51 KB
  Цель: установить математическую зависимость периода нитяного маятника от длины нити маятника. Математическим маятником называется материальная точка, подвешенная на невесомой и нерастяжимой нити. Моделью может служить тяжёлый шарик, размеры которого весьма малы по сравнению с длинной нити, на которой он подвешен (не сравнимы с расстоянием от центра тяжести до точки подвеса).
2498. Микроэкономика. Экономика как система наук 222.5 KB
  Экономические блага. Потребности, ресурсы и факторы. Способ производства, экономические отношения, их структура. Экономические категории и законы. Экономические интересы, стимулы и заинтересованность. Экономический строй первобытнообщинного способа производства. Товар и его свойства. Меновая стоимость. Двойственный, противоречивый характер труда, создающего товар.
2499. Основы русского языка 243 KB
  Разновидности языка. Культура речи. Коммуникативные качества культурной речи. Взаимосвязь речь – речевая культурная ситуация. Коммуникативно-конгитивный процесс. Речевые нарушения в устном и письменном высказывании.
2500. Определение понятия сердце в кардиоолгии 107.9 KB
  Краткие сведения об истории развития учения о сердце. Развитие крупных сосудов, выходящих из сердца и входящих в него. Понятие о проводящей системе сердца. Закономерности ветвления экстраорганных и интраорганных артерий. Источники развития непарной и полунепарной вен.
2501. Признаки объектов ОУ. Самоанализ урока 25.27 KB
  Цель: формирование представлений о признаках объекта на основе рассказа с пояснениями на примерах и выполнения практических заданий.