69572

VPN соединения типа шлюз-шлюз

Практическая работа

Информатика, кибернетика и программирование

Задача: связывание удаленных локальных сетей в единую корпоративную сеть с помощью Интернет как глобальной сетевой технологии. Офисная сеть компании подключена к маршрутизатору провайдера услуг Интернет с помощью локальной сети.

Русский

2014-10-07

1.62 MB

13 чел.

Урок 13  

Рассмотрим третий случай использования VPN: соединения типа шлюз-шлюз. Задача: связывание удаленных локальных сетей в единую корпоративную сеть с помощью Интернет как глобальной сетевой технологии. В этом случае необходимо в качестве сервера удаленного доступа использовать маршрутизатор, при этом в качестве клиента удаленного доступа VPN тоже будет выступать маршрутизатор.

Пример, демонстрирующий применение VPN типа шлюз-шлюз:

Если в качестве маршрутизаторов используются платформы под управлением Windows Server, то конфигурация имеет вид.

Для маршрутизатора обслуживающего Филиала 1:

Включаем возможность работы с интерфейсами вызова по требованию

Создаем интерфейс вызова по требованию.

И так далее …

При выборе типа создаваемого интерфейса - указываем VPN.

Указываем адрес удаленного шлюза, к которому подключена частная сеть Филиала 2.

Описываем маршрут в частную сеть Филиала 2 через интерфейс вызова по требованию.

Указываем учетную запись для подключения к удаленному шлюзу 11.0.0.1

После создания интерфейса вызова по требованию, указывается время простоя до разъединения. В случае использования данного интерфейса для объединения двух частных сетей выберем значение «Никогда» - т.е. постоянное подключение при любой активности соединения.

Если сети будут обмениваться трафиком для доступа к общим ресурсам серверов и рабочих станций под управлением MS Windows, то указываем использование соответствующего протокола

В свойствах портов для удаленного доступа, указываем возможность  принимать входящие подключения и возможность участвовать в создании исходящих вызовов по требованию

Эта настройка осуществляется для того, что бы удаленный шлюз мог подключаться к конфигурируемому шлюзу на те же порты, что могут потенциально быть использованы для создания исходящего подключения.

В результате создается статический маршрут вида

Причем, этот маршрут не имеет адреса следующего маршрутизатора, т.к. этот адрес, станет известен, только после того как произойдет подключение к удаленному маршрутизатору. Вот тогда, адрес PPP интерфейса будет динамически подставлен в таблицу маршрутизации.

Таблица маршрутизации имеет вид

А вот как выглядит таблица маршрутизации после подключения к удаленному маршрутизатору. Адреса интерфейсу PPP, очевидно, были выданы из APIPA. Адрес интерфейса подключенного во внутреннюю сеть 10.1.12.1/16

Взаимодействие с удаленной сетью производится через VPN интерфейс шлюза, о чем свидетельствую результаты выполнения команд ping и tracert

В соответствии с таблицей маршрутизации, обычный эхо-запрос должен был уходить на шлюз по умолчанию, либо на 169.254.53.216 для запроса в сеть 192.168.1.0/24. Однако, в нашем случае, адрес 169.254.53.216 привязан к интерфейсу вызова по требованию «Удаленный маршрутизатор», представляющего VPN туннель в сеть Филиала 2 - 192.168.1.0/24. Тогда, для стека ТСР/IP рассматриваемого шлюза, работа по отправке пакетов в сеть 192.168.1.0/24 будет состоять в передаче пакетов интерфейсу вызова по требованию – и все. В этом случае истинный маршрут передачи пакетов в удаленную сеть скрыт за VPN туннелем.  

Аналогичные настройки производятся и на удаленном маршрутизаторе обслуживающем Филиал 2. Описанный метод создания шифрованного туннеля между удаленными офисами использует так называемую симметричную настройку – т.е. на каждом из маршрутизаторов настраивается интерфейс вызова по требованию и именно он используется для отправки пакетов в сеть удаленного Филиала.

Существует и другой метод создания VPN туннеля, при этом модель взаимодействия выглядит следующим образом

Т.е. в настройках такого туннеля появляется асимметрия. Один из маршрутизаторов, выполняет роль клиента – является инициатором установления соединения, второй маршрутизатор – принимает соединение на один из своих портов и использует этот порт для отправки пакетов в сеть удаленного филиала. Таким образом, в асимметричной настройке существует всего один интерфейс вызова по требованию, и настроен этот интерфейс на клиентском маршрутизаторе. Настройка клиентского маршрутизатора не отличается от рассмотренной выше настройки интерфейса вызова по требованию. Особенности настройки касаются маршрутизатора, принимающего входящее VPN подключение (серверного маршрутизатора), и использующего это подключение для отправки пактов в сеть удаленного филиала.

Если серверный маршрутизатор работает под управлением Windows Server, то его настройка выглядит следующим образом:

Добавляем интерфейс «Внутренний» к интерфейсам маршрутизации

Записываем маршрут через интерфейс «Внутренний»

, где

192.168.1.0  – сеть удаленного Филиала

255.255.255.0 – маска сети удаленного Филиала

«Внутренний» – название интерфейса

  1.  IP адрес PPP интерфейса со стороны сервера RRAS

Причем, адрес PPP интерфейса со стороны сервера известен заранее, т.к. в настройках RRAS указывается пул адресов выдаваемых удаленным пользователям – первый выдается PPP интерфейсу сервера.

Таблица маршрутизации имеет вид

В результате, после подключения клиентского маршрутизатора, станет возможна передача пакетов в сеть удаленного филиала 192.168.1.0/24, и использоваться для этого будет интерфейс «Внутренний» , т.е. через интерфейс операционной системы пакеты будут поступать на вход VPN туннеля, а далее как и в предыдущем случае – переправляться в сеть удаленного филиала в зашифрованном виде.

Рассмотрим задачу: пусть есть компания, имеющая офисную сеть, не разбитую на подсети и не имеющую удаленных филиалов. Офисная сеть компании подключена к маршрутизатору провайдера услуг Интернет с помощью локальной сети. Узлам офисной сети необходимо иметь доступ к Интернет, и, так как компания не имеет в своем распоряжении блока адресов, разрешенного к применению в Интернет, то в офисной сети компании используются автономные адреса, а для организации доступа узлов офисной сети к Интернет необходимо применять трансляцию сетевых адресов. Помимо этого существуют сотрудники компании, которые часто находятся в командировках за границами страны, которым необходимо обеспечить удаленный доступ в офисную сеть компании.  Так как удаленный доступ с использованием PSTN из-за границы является неоправданно дорогим способом решения задачи, было принято решение организовать удаленный доступ следующим образом: удаленный пользователь, находясь в командировке, звонит с помощью PSTN местному провайдеру, а после этого обращается к VPN серверу своей компании, используя Интернет как транспортную среду.

Проанализируем настройки необходимые на каждом из участников схемы.

Для PC2 конфигурируем интерфейс, например 10.0.0.2/8  шлюз 10.0.0.1.

Для R1 конфигурируем интерфейсы 10.0.0.1/8 – в частную сеть, и 11.0.0.2/8 для подключения к ISP провайдеру. Далее настраиваем NAT для доступа из частной сети в Интернет: Общий интерфейс 11.0.0.2/8, Частный интерфейс 10.0.0.1/8. Далее включаем RAS и разрешаем входящие подключения, конфигурируем порты PPTP для приема входящих подключений. Указываем пул адресов, выдаваемый удаленным пользователям:10.1.0.1-10.1.0.100. Указываем шлюз по умолчанию 11.0.0.1. Заводим учетную запись для пользователя PC1

Для R2 конфигурируем интерфейсы, 11.0.0.1/8 на R1 и 12.0.0.2/8 на R3. Включаем маршрутизацию, записываем маршрут в сеть 13.0.0.0/8 и 15.0.0.0/8 через шлюз 12.0.0.1.

Для R3 конфигурируем интерфейсы, 12.0.0.1/8 на R2 и 13.0.0.2/8 на R4. Включаем маршрутизацию, записываем маршрут в сеть 11.0.0.0/8 через шлюз 12.0.0.2. Узел в Интернет подключен через интерфейс 15.0.0.1.

Узел в Интернет использует адрес 15.0.0.2/8 и шлюз 15.0.0.1

Для R4 конфигурируем интерфейсы, 13.0.0.1/8 на R3 и записываем маршрут в сеть 11.0.0.0/8, 15.0.0.0/8 и 12.0.0.0/8 через шлюз 13.0.0.2. Подключаем модем и запускаем сервер RRAS. Указываем пул адресов для подключаемых абонентов, заводим учетную запись для пользователя PC1. Включаем NAT для работы подключенных абонентов в Интернет: Общий интерфейс 13.0.0.1/8, Частный интерфейс «Внутренний». Добавить интерфейс «Внутренний» в графический интерфейс настройки NAT можно, в том числе, и из командной строки.

Для РС1 - подключаем модем, создаем подключение к провайдеру R4 (это подключение используется в качестве маршрута по умолчанию) и VPN подключение к серверу офиса 11.0.0.2. В свойствах VPN подключения дополнительно указываем – не использовать интерфейс данного подключения в качестве маршрута по умолчанию.

После окончания конфигурации, пользователь PC1 вначале устанавливает коммутируемое соединение с ISP (R4), после чего активирует VPN соединение с удаленным офисом 11.0.0.2 (R1). В результате в маршрутной таблице PC1 возникает маршрут по умолчанию на ISP и маршрут в сеть удаленного офиса 10.0.0.0 – через интерфейс PPP созданного VPN туннеля. Автоматическое появление этого маршрута обусловлено тем, что диапазон адресов выдаваемых удаленным пользователям на R1 принадлежит частной сети удаленного офиса:

[10.1.0.1; 10.1.0.100] 10.0.0.0/8

В результате если PC1 отправляет пакет на любой IP адрес кроме 10.х.х.х, то этот пакет уходит по маршруту Default – не шифрованный трафик на ISP. Но если PC1 отправляет пакет в сеть 10.0.0.0/8 то этот пакет уходит на интерфейс РРР VPN туннеля и в зашифрованном виде достигает сервера удаленного офиса, где он расшифровывается и в обычном виде достигает адресата в частной сети. Обратное взаимодействие – из частной сети во внешнюю – происходит аналогично.

Задание для самостоятельной работы.

Используя приведенный выше метод описания настройки участников соединения, дать пояснения относительно конфигурации предложенных схем согласно поставленному условию. Решения оформить в виде сценариев настройки каждого участника схемы с указанием адресов интерфейсов используемых технологий и подробной конфигурацией каждой используемой технологии. Полученные конфигурации могут быть использованы в лабораторной работе в аудитории полностью, либо частично при настройке отдельных участков взаимодействия большой схемы на виртуальных машинах при  выполнении домашнего задания.

К отчету о работе кроме сценария конфигурации приложить захваченный сетевой трафик следующих взаимодействий:

  •  Проверка возможности обмена пакетами между узлом из сети компании и узлом, имитирующим компьютер в Интернет. При этом за пределами корпоративной сети, в той части сети, которая имитирует Интернет не должно быть трафика с автономными адресами.
  •  Проверка возможности подключения удаленного пользователя к маршрутизатору удаленного провайдера
  •  Проверка возможности подключения удаленного пользователя к VPN серверу
  •  Проверка возможности обмена пакетами между компьютером удаленного пользователя и узлом корпоративной сети
  •  Проверка невозможности прослушивания на транзитных маршрутизаторах Интернет трафика между удаленным пользователем и узлом корпоративной сети
  •  Проверка возможности обмена пакетами между компьютером удаленного пользователя и узлом, имитирующим Интернет

Задание 1.

Пусть есть некоторый провайдер услуг Интернет, подключающий пользователей по локальной сети в пределах одного района города. Пользователи могут обращаться в Интернет через маршрутизатор провайдера, но при этом их трафик с узлами Интернет не защищен от прослушивания анализатором протоколов, запущенным соседом по локальной сети, и коммутаторы, в данном случае проблемы не решают. Для того, чтобы защитить своих пользователей, ISP предлагает следующее решение: пользователи локальной сети сначала совершают вызов VPN сервера провайдера, а уже затем обращаются к ресурсам Интернет. При этом трафик в локальной районной сети оказывается зашифрован, а маршрутизатор провайдера отправляет его узлам в Интернет, разумеется, в открытом виде.

Необходимо: обеспечить возможности обмена пакетами между узлом из сети ISP и узлом, имитирующим компьютер в Интернет. При этом перехват трафика, выполненный на соседнем компьютере должен быть невозможен (трафик шифрован) а трафик, поступающий на узел, имитирующий узел Интернет – напротив, не зашифрован.  

Задание 2. Пусть есть компания, имеющая два офиса в удаленных областях страны. В каждом офисе у компании есть локальная сеть, не разбитая на подсети. Каждый офис подключен к Интернет посредством собственного провайдера. Так как компания не владеет диапазоном адресов, разрешенных для применения в Интернет, в ее локальных сетях применяется автономная адресация, и для организации доступа в Интернет маршрутизаторы компании в каждой из двух сетей пользуются трансляцией сетевых адресов. Компания имеет потребность связать свои офисы с помощью некоторой глобальной сетевой технологии, однако высокая стоимость подобного решения не позволяет ей воспользоваться услугами сетей на базе выделенных каналов или услугами территориальных сетей с коммутацией пакетов. Для решения задачи о связывании двух офисов было принято решение использовать Интернет как транспортную среду для передачи корпоративного трафика. Однако, использование рассмотренного выше туннелирования IP over IP не устраивает компания, так как сотрудники компании будет передавать через эту сеть конфиденциальные корпоративные данные. Поэтому было принято решение использовать VPN соединение между маршрутизаторами в офисах компании с целью обеспечения  конфиденциальность передаваемого через Интернет трафика. Для решения задачи один из маршрутизаторов было решено сделать сервером VPN, а другой – клиентом VPN.

Необходимо обеспечить:

  •  Возможности обмена пакетами между узлами из обоих сетей компании и узлом, имитирующим компьютер в Интернет. При этом за пределами корпоративной сети, в той части сети, которая имитирует Интернет не должно быть трафика с автономными адресами.
  •  Возможности установления VPN соединения между маршрутизаторами компании.
  •  Возможности узлов из обеих сетей компании обращаться прозрачно к узлам другой сети сквозь Интернет. При этом, в той части сети, которая имитирует Интернет не должно быть трафика с автономными адресами.
  •  Проверка невозможности перехвата трафика корпоративного на транзитных маршрутизаторах Интернет.

Одна из особенностей данного задания состоит в том, что маршрутизаторы в офисах компании не симметричны: один из них является сервером VPN, а другой – клиентом VPN 

Задание 3. Условие то же, что и в Задании 2, но оба маршрутизатора необходимо сконфигурировать таким образом, чтобы маршрут в удаленную офисную сеть пролегал через интерфейс вызова по требованию, что удобнее, чем использование интерфейса «Внутренний». Т.е. симметричная конфигурация маршрутизаторов.


 

А также другие работы, которые могут Вас заинтересовать

48348. Конституционное право Российской Федерации 95.5 KB
  Кафедра конституционного и муниципального права Контрольная работа по курсу Конституционное право Российской Федерации Избирательная система Российской Федерации: понятие характерные черты. Под избирательной системой в Российской Федерации понимается порядок выборов Президента Российской Федерации депутатов Государственной Думы Федерального собрания Российской Федерации порядок выборов в иные федеральные государственные органы предусмотренные Конституцией Российской...
48350. Методы формирования и классификация электронно-дырочных переходов 32 KB
  Электроннодырочный переход полученный методом вплавления в полупроводник металла или сплава содержащего донорные или акцепторные примеси называют сплавным переходом а переход полученный в результате диффузии атомов примеси в полупроводник диффузионным. Диффузионный рппереход образованный в результате диффузии примеси сквозь отверстие в защитном слое нанесенном на поверхность полупроводника называют планарным рппереходом. Электроннодырочный переход образованный в результате конверсии полупроводника вызванной обратной диффузией...
48351. РОЛЬ И МЕСТО СТРОИТЕЛЬСТВА В ЭКОНОМИКЕ СТРАНЫ 1.85 MB
  Неустойчивость соотношения строительномонтажных работ по их сложности и видам в течение месяца что затрудняет расчет численного и профессиональноквалификационного состава рабочих. Роль климата и местных условий в строительных работах. К наиболее значимым нарушениям природной среды относятся: нарушение верхнего покрова почвы при выполнении земляных работ и потеря растительного слоя; вырубка лесов и зеленых насаждений и т. Структура сметной стоимости строительства и строительномонтажных работ.
48352. Технология конструкционных материалов. Материаловедение, конспект лекций 1.25 MB
  Поверхностное упрочнение стали Поверхностная закалка стали Углеродистые стали Легированные стали и сплавы. Проектирование рациональных, конкурентоспособных изделий, организация их производства невозможны без должного технологического обеспечения и достаточного уровня знаний в области материаловедения и технологии. Последние являются важнейшим показателем образованности инженера в области техники.
48353. Русский язык и культура речи 283 KB
  Культура речи как учебная дисциплина Культура речи изучается в высших учебных заведениях как составная часть цикла гуманитарных дисциплин предназначенного для студентов всех специальностей. Предметом культуры речи как учебной дисциплины являются нормы литературного языка виды общения его принципы и правила этические нормы общения функциональные стили речи основы искусства речи а также трудности применения речевых норм и проблемы современного состояния речевой культуры общества.; повышение культуры разговорной речи обучение речевым...
48354. Социология 526.5 KB
  Социология logos учение наука об обществе о законах строения функционирования изменения и развития как общества в целом так и отдельных его систем и подсистем вплоть до малых групп. Так история изучает прошлое человеческого общества политология политические процессы и явления экономическая наука экономические процессы во всей их полноте и разнообразии демография количественные показатели рождаемости и смертности т. Метод социологии это специфическое проявление социально-философского метода во всестороннем изучении общества как...
48355. Исследование операций в бухгалтерском учете 272.5 KB
  Проблема выбора решения в условиях неопределенности. Решения могут быть удачными и неудачными разумными и неразумными. Оптимальными называются решения по тем или другим признакам предпочтительные перед другими. Заметим что само принятие решения выходит за рамки исследования операций и относится к компетенции ответственного лица чаще группы лиц которым предоставлено право окончательного выбора и на которых возложена ответственность за этот выбор.
48356. Лекции по акушерству 753 KB
  Гипоксия плода и новорожденного 6 Лекция №6. Гипоксия плода продолжение лекции №5 13 Лекция №9. Родовые травмы плода и новорожденного 61 VII семестр. Морфогенез плаценты зависит от развития маточноплацентарного кровообращения а не от кровообращения у плода.