Удаленный доступ и VPN

реклама
СЕТИ VPN и их
характеристики
Удаленный доступ и VPN
Операционная система Windows XP Professional предоставляет ряд способов
для создания удаленного соединения с компьютером. На предыдущем уроке
говорилось о том, как использовать переносной или стационарный
компьютер для прямого доступа и управления другим компьютером. Remote
Desktop и Remote Assistance являются полезными инструментами, но вам
может и не потребоваться дистанционно использовать другой компьютер.
Вам просто нужно установить доступ к нему или к локальной компьютерной
сети (LAN).
В этом разделе рассматриваются инструменты, которыми вы, скорее всего,
воспользуетесь в подобных случаях. С помощью первого инструмента вы
получаете удаленный доступ к компьютеру или своей локальной сети с
помощью dial-in-соединения. Вторым инструментом является VPN
(Виртуальная частная сеть), которая для безопасной сетевой связи использует
не dial-in-соединение, а инфраструктуру интернета.
Удаленный доступ
Первым делом мы обсудим механизм удаленного доступа. С его помощью
Windows XP Professional может послать вызов в сеть (или локальный
компьютер) и получить к ним доступ, как если бы она была клиентом
локальной сети. В этом разделе мы будем говорить об основах установления
удаленного доступа с помощью Windows XP Professional, а затем покажем,
как конфигурировать сервер удаленного доступа или клиент удаленного
доступа.
Что такое удаленный доступ
Термин "удаленный доступ" звучит достаточно понятно и означает, что некто
получает доступ к компьютеру или локальной сети из отдаленного места. Это
можно осуществить несколькими способами. Скорее всего, вы
воспользуетесь dial-in-технологиями.
Как и в отношении других аспектов сетевой работы компьютера, и здесь
нельзя забывать об обеспечении безопасности. К нему следует отнести меры
по пресечению доступа к удаленному ресурсу неавторизованных
пользователей и защиту соединений от проникновения хакеров.
Соединение наборного доступа
Одним из простейших способов установить связь с удаленным компьютером
является использование dial-in-модема. Так как большинство людей
используют свои модемы для исходящих звонков (dial out), вы можете
изумиться, узнав, что модем может принимать и входящие вызовы (incoming
calls). Система Windows XP Professional облегчает прием входящих сигналов
в ваш компьютер.
Dial-in-модемы имеют один недостаток. Они создают очень медленные
соединения, скорость которых значительно ниже обычной скорости
локальных сетей. С другой стороны, повсеместное наличие телефонов делает
это способ соединения чрезвычайно полезным.
ISDN
ISDN является еще одной технологией, используемой для удаленного
доступа. В этом способе также используется dial-up-соединение, но клиенту
удаленного доступа и серверу требуется специальное ISDN-оборудование.
Также и линия связи устанавливается специально для ISDN. В связи с
ограниченным применением линий ISDN этот способ плохо подходит для
тех, кто работает в пути.
Хотя ISDN-соединение является более скоростным, чем dial-up-модем (128
Кбит/c против 56 Кбит/с), доступность ISDN-линии связи и ее оборудования
могут быть проблематичны. Использовать такую линию лучше всего в
филиале офиса, где можно установить выделенную ISDN-линию, закупив
необходимое оборудование.
Безопасность
Вы проделали большую работу для создания надежной политики
безопасности своей сети. Настройка и выдача разрешений пользователям,
наряду с политикой применения паролей, "одевают" на вашу сеть прочный
"бронежилет". Соединения удаленного доступа создают, однако, новую
лазейку для злоумышленников. Точки входа dial-in часто называют черным
ходом в сеть, и они представляют собой постоянную проблему для персонала
по безопасности. В системе Windows XP Professional для dial-in-соединений и
каналов VPN можно настроить усиленную аутентификацию.

Интерактивно. Процедура интерактивного входа в систему гарантирует
идентичность пользователя и для учетной записи домена, и для
локального компьютера. В зависимости от того места, с которого
пользователь осуществляет вход в систему, будут присутствовать
различные уровни доступа.

Домен. Когда пользователь входит в сеть, используя удостоверения
личности, которые хранятся в Active Directory, то это называется
учетной записью домена. Регистрация с доменной учетной записью
позволяет пользователю иметь доступ (в рамках разрешений
пользователя) к ресурсам всего данного домена, а также домена, с
которым установлены доверительные отношения.

Локальная учетная запись. Когда пользователь регистрируется на
локальном компьютере, то он имеет доступ (опять же, в рамках своих
пользовательских разрешений) только к ресурсам данного компьютера.
Вход в систему с локальной учетной записью не позволяет
пользователю получать доступ к LAN и другим доверенным сетям.

Контроль сетевого доступа. Контроль сетевого доступа применяется
для подтверждения идентичности пользователя, когда он пытается
получить доступ к сетевому сервису или ресурсу. Этот вид контроля
работает преимущественно тогда, когда доступ осуществляется с
вышеупомянутыми локальными учетными записями. При любой
попытке установить связь с сетевым ресурсом пользователь будет
получать напоминание о необходимом удостоверении личности.
Данными типами разрешений и учетных записей можно управлять с
помощью оснастки Group Policy (Групповая политика) консоли ММС. Более
подробную информацию по этому вопросу можно найти на уроке 9.
Конфигурирование компьютера для приема удаленных вызовов
Задолго до появления интернета, но уже немного позже освоения
пользования огнем, изобретения колеса и туалета в доме, люди
устанавливали связь с электронными досками объявлений с помощью своих
модемов, как и в наши дни, дозваниваясь до ISP-провайдеров. Операторы
электронных досок объявлений конфигурировали свои компьютеры для
ответа на телефонные звонки и соединения пользователей посредством
телефонной линии с содержимым электронной доски объявления.
Сейчас такая практика используется все реже. Если вы хотите что-то
разместить в сети, то просто создаете веб-страницу и отправляете ее на
сервер своего ISP. Однако, все еще можно (а, по ряду причин, даже
необходимо) настроить конфигурацию своего компьютера таким образом,
чтобы он мог общаться с другими компьютерами через модем. Например,
компания находит более удобным связываться с работниками, находящимися
в разъездах, с помощью dial-up-соединения, а не через интернет. Возможно,
вы работаете в маленькой компании, которой не нужна служба удаленного
доступа через интернет, а подходит простое dial-in-соединение.
Dial-in-соединение позволяет пользоваться ресурсами компьютера, до
которого вы дозваниваетесь. Например, находясь в командировке, вы
используете свой переносной компьютер для связи со своим стационарным
компьютером и получения доступа к своему жесткому диску, принтеру и
локальной сети (если ваш компьютер с ней соединен).
Аналогично настройке удаленного рабочего стола, о которой шла речь на
уроке 13, удаленный доступ состоит из двух компонентов.

Удаленный сервер. Когда вы дозваниваетесь до компьютера, то этот
компьютер считается сервером удаленного доступа. Им может быть
компьютер любого типа, но чаще всего - это стационарный компьютер,
соединенный с телефонной линией (или линиями). Ресурсами этого
компьютера и хотят воспользоваться dial-in-пользователи - будь то
файлы, принтеры или сетевое соединение.

Удаленный клиент. Это компьютер, который устанавливает связь с
удаленным сервером с помощью dial-in-соединения (чаще всего это
переносной компьютер). Например, если вы забыли что-то в своем
компьютере в офисе и имеете возможность удаленного доступа, то
можете связаться с ним из дома со своего домашнего компьютера и
получить нужные файлы. Терминология становится более
рафинированной, когда удаленный клиент дозванивается до
компьютера, соединенного с локальной сетью. В такой конфигурации
удаленный клиент называется удаленным узлом (remote node).
Конфигурация позволяет удаленному клиенту действовать, как если бы
он находился в том же здании, что и остальные компьютеры локальной
сети. Это означает, что вы не только получаете доступ в локальную
сеть, но и все содержимое вашего удаленного клиента становится
видимым в сети.
Примечание. Несмотря на то что в качестве удаленного узла вы технически
являетесь частью локальной сети, не забывайте, что вы соединяетесь
посредством телефонной линии и скорость этого соединения далека от
скоростей Ethernet- или WiFi-соединений.
Разумеется, для образования dial-up-соединений компьютерам нужны
модемы и телефонные линии.
Настройка сервера
Процесс настройки удаленного клиента достаточно прост, так как это
задание сводится, по большому счету, к созданию конфигурации "клиентсервер". Создание конфигурации удаленного сервера, напротив, несколько
сложнее. К счастью, Windows XP Professional в значительной степени
упрощает этот процесс, используя мастер новых подключений (New
Connection Wizard).
По существу, на удаленном сервере надо сконфигурировать входящее dial-inсоединение. Когда такое соединение имеется, то оно дает команду Windows
XP Professional отвечать на телефонные звонки и устанавливает соединение
клиента с компьютером. Для настройки удаленного сервера проделайте
следующие шаги.
1. Щелкните на Start\Connect To\Show all connections
(Пуск\Подключение\Отобразить все подключения).
2. Щелкните на Create a New Connection (Создание нового подключения)
для активизации мастера новых подключений (New Connection Wizard).
3. Щелкните на Next (Далее).
4. Выберите Set up an advanced connection (Установить прямое
подключение к другому компьютеру) и щелкните на Next.
5. Выберите Accept incoming connections (Принимать входящие
подключения) и щелкните на Next.
6. В появившемся диалоговом окне (рис. 14.1) показан список устройств
для входящих соединений.
Рис. 14.1. Выберите dial-in-модем в диалоговом окне Devices for
Incoming Connections (Устройства для входящих подключений)
7. Выберите в этом списке модем. Если на компьютере установлено более
одного модема, то можно выбрать несколько устройств из списка.
8. Затем появится окно Virtual Private Network (VPN) Connection
(Подключение к виртуальной частной сети). Независимо от того,
выберете ли вы VPN, нажмите на Next.
9. В следующем окне (рис. 14.2) выберите пользователей, которым
разрешается удаленно соединяться с этим сервером. Нажмите на Next.
10.Далее вам представляется список рекомендованных компанией
Microsoft сетевых компонентов. Очистите флажки рядом с теми
компонентами, которыми вы не будете пользоваться. Следует сказать,
что лучше ничего не убирать из этого списка.
11.Закройте New Connection Wizard, щелкнув на Finish (Готово).
Рис. 14.2. Выберите пользователей, которым разрешается использовать
удаленный доступ на этом компьютере
После выполнения всех этих шагов в окне Network Connections (Сетевые
подключения) появится новый значок Incoming Connections (Входящие
подключения).
Примечание. Если значок Incoming Connections уже есть (или вы пытаетесь
добавить еще один), то свойства этого значка изменяются, объединяя старый
и новый.
Соединения перемещаемого компьютера
Удаленный доступ очень нужен пользователям, которым приходится
отсоединять свои компьютеры от сети и отправляться в путешествие. Так как
у них нет постоянной связи с сетью, то им нужен какой-нибудь способ
получения доступа к сетевым ресурсам.
Windows XP Professional предоставляет таким путешественникам ряд средств
для подключения к сетевым ресурсам. Как мы уже знаем, они могут
использовать Offline Files (Автономные файлы), Windows Briefcase
(Портфель) и Remote Desktop (Удаленный рабочий стол).
Чтобы сконфигурировать переносной компьютер для работы в качестве
удаленного клиента, следует выполнить ряд шагов. Windows XP Professional
предоставляет расширенные возможности, к которым имеют доступ
администраторы, чтобы сделать удаленный доступ более полезным.
Применение мастера нового подключения (New Connection Wizard) на
удаленном клиенте
Настройка клиента для вызова удаленного сервера идентична процессу по
созданию dial-up-соединения c ISP. Это задание активизирует мастер New
Connection Wizard (см. гл. 4). Для создания dial-up-соединения с удаленным
сервером выполните следующие шаги.
1. Щелкните на Start\Connect To\Show all connections
(Пуск\Подключение\Отобразить все подключения).
2. В окне заданий щелкните на Create a New Connection (Создание нового
подключения). Запустится мастер нового подключения (New
Connection Wizard).
3. Щелкните на Next (Далее).
4. Выберите Connect to the Network at my workplace (Подключить к сети
на рабочем месте) и щелкните на Next.
5. Выберите Dial-up connection (Подключение удаленного доступа) и
щелкните на Next.
6. Выберите устройство, с помощью которого вы будете осуществлять
доступ к удаленному серверу - в данном случае модем.
7. Введите имя для идентификации этого соединения и нажмите на Next.
8. Введите телефонный номер для установки связи с удаленным сервером
(рис. 14.3).
Рис. 14.3. Ввод телефонного номера соединения удаленного доступа
9. Если нужно устанавливать это соединение с помощью ярлыка на
рабочем столе, выберите это и нажмите на Next.
При двойном щелчке на соединении (на ярлыке на рабочем столе или в окне
сетевого окружения) система Windows XP Professional будет набирать
телефонный номер и ждать ответа удаленного сервера для установки
соединения.
Если имеется несколько удаленных серверов, с которыми устанавливаются
соединения, то повторите все перечисленные шаги и создайте несколько
разных dial-in-соединений. Если удаленный сервер получит новый
телефонный номер или потребуется изменить его имя или любую другую
конфигурационную информацию, щелкните правой кнопкой мыши на
ярлыке, выберите Properties (Свойства) и внесите изменения в настройки.
Расширенные настройки
Конфигурирование удаленного сервера и клиента достаточно просто.
Компания Microsoft включила в этот процесс несколько дополнительных
свойств, которые могут оказаться полезными для вашей организации. Эти
настройки обеспечивают добавочные уровни безопасности и
функциональности. Они находятся в папке Network Connections (Сетевые
подключения). Щелкните на Dial-up Preferences (Настройка удаленного
доступа) в меню Advanced (Дополнительно) (см. рис. 14.4).
Рис. 14.4. Диалоговое окно Dial-up Preferences (Настройка удаленного
доступа)
Примечание. Настройку удаленного доступа можно включать и отключать на
клиентских компьютерах в оснастке Group Policy (Групповая политика)
консоли ММС. Это делается с помощью отметки флажка Enable the Dial-up
Preferences в меню Advanced.
Автонабор. Вкладка Autodial (Автонабор) используется для создания
возможности автонабора номера соединения. Она содержит список сетевых
адресов и соответствующих им соединений, что позволяет автоматически
набирать номер выбранного соединения, когда оно появляется в поле зрения.
Например, если приложение содержит сетевые ссылки, при щелчке на одной
из ссылок вам приходится входить в интернет. Система Windows XP
Professional задаст вопрос, какое соединение использовать для связи с ISP. В
следующий раз при щелчке на этой ссылке Windows XP Professional
вспомнит ваш выбор и автоматически наберет номер.
Включить или отключить автонабор не труднее, чем отметить или убрать
флажок рядом с соединением. Автонабором можно пользоваться только при
наличии включенного Диспетчера автоматических подключений удаленного
доступа (Remote Access Auto Connection Manager). По умолчанию эта
функция включена на клиентских компьютерах, работающих в среде
Windows XP Professional и не являющихся частью домена. Для активизации
диспетчера проделайте следующие шаги.
1. Щелкните правой кнопкой мыши на My Computer (Мой компьютер) и
щелкните на Manage (Управление) в появляющемся меню.
2. Щелкните дважды на Services and Applications (Службы и приложения)
и затем щелкните на Services (Службы) (рис. 14.5).
Рис. 14.5. Активизация Диспетчера автоматических подключений
удаленного доступа
3. Щелкните правой кнопкой мыши на Remote Access Auto Connection
Manager (Диспетчер автоматических подключений удаленного
доступа) и нажмите на Start (Пуск).
Обратный вызов (Callback). Если вы когда-нибудь дозванивались из номера
отеля, то знаете, что эти звонки преступно дороги. Одним из способов для
человека в поездке дозвониться до удаленного сервера, ничем при этом не
рискуя, является создание возможности для ответного звонка на удаленном
сервере. В этом случае звонящий регистрируется на удаленном сервере и,
если его логин принят, сервер разрывает соединение и сам дозванивается до
удаленного клиента.
Обратный вызов реализуется при помощи следующих действий.
1. Щелкните на Start\Connect To\Show all connections
(Пуск\Подключение\Отобразить все подключения).
2. Дважды щелкните на значке Incoming Connections (Входящие
подключения), чтобы открыть окно свойств подключений.
3. Щелкните на вкладке Users (Пользователи).
4. Выберите пользователя, для которого нужно реализовать эту функцию.
5. Щелкните на Properties (Свойства).
6. Щелкните на вкладке Callback (Обратный вызов) (рис. 14.6).
Рис. 14.6. Реализация обратного вызова
7. Выберите либо Allow the caller to set the callback number (Звонящий
может выбрать номер ответного вызова) либо Always use the following
callback number (Только этот номер для ответного вызова), а затем не
забудьте ввести нужный телефонный номер.
8. Щелкните на ОК.
Реализация обратного вызова зависит от настроек клиента удаленного
доступа и сервера удаленного доступа. В таблице 14.1 показаны различные
виды поведения при обратном вызове.
Таблица 14.1. Действия при обратном вызове, основанные на настройках
клиента и сервера
Настройки
Настройки
удаленного
удаленного
клиента
сервера
Do not allow callback No callback (Нет
(Не разрешать
Действие обратного вызова
Соединение сохраняется.
обратного вызова)
обратного вызова
Do not allow callback Set by caller
Сервер предлагает сделать
(Не разрешать
(Устанавливается
обратный вызов, клиент отклоняет
обратного вызова
вызывающим)
это предложение, и соединение
сохраняется.
Do not allow callback Always callback to
Сервер предлагает сделать
(Не разрешать
(Всегда делать
обратный вызов, клиент отклоняет
обратного вызова
обратный вызов)
это предложение и соединение
разрывается.
Ask me during
No callback (Нет
dialing when server
обратного вызова)
offers (Выдавать
запрос при
Соединение сохраняется.
подключении к
серверу)
Ask me during
Set by caller
Появляется диалоговое окно для
dialing when server
(Устанавливается
ввода номера обратного вызова.
offers (Выдавать
вызывающим)
Введите номер и подождите, пока
запрос при
соединение прервется, и сервер
подключении к
сделает обратный вызов. Для
серверу)
сохранения соединения нажмите
клавишу ESC. Процедура
обратного вызова будет отменена.
Ask me during
Always callback to
Удаленный сервер прервет
dialing when server
(Всегда по этому
соединение и сделает обратный
offers (Выдавать
номеру)
вызов по номеру, указанному в
запрос при
сетевых подключениях.
подключении к
серверу)
Always call me back No callback (Нет
at the number(s)
Соединение сохраняется.
обратного вызова)
below (Всегда
делать обратный
вызов по указанным
номерам
Always call me back Set by caller
Сервер прерывает соединение и
at the number(s)
(Устанавливается
делает обратный вызов номеров,
below (Всегда
вызывающим)
указанных в сетевых
делать обратный
подключениях.
вызов по указанным
номерам)
Always call me back Always callback to
Сервер прерывает соединение и
at the number(s)
(Всегда по этому
делает обратный вызов номеров,
below (Всегда
номеру)
указанных в сетевых
делать обратный
подключениях.
вызов по указанным
номерам)
Хотя обратный вызов удобен не только для снижения оплаты за пользование
телефоном, но в еще большей степени он полезен как мера обеспечения
безопасности. При требовании от клиентов делать ответный звонок по
определенному номеру в сеть входят только пользователи, знающие
правильный номер телефона. При разрыве соединения и обратном звонке с
сервера до клиента обмануть сервер становится гораздо труднее.
VPN-соединения
Если вам надо дистанционно устанавливать связь с офисом или любым
другим компьютером, то однажды обнаружится, что сеансы dial-upсоединений вредны для вашего кошелька. В связи с тем, что dial-upсоединения устанавливаются по каналам обычной телефонной связи, оплата
счетов за междугородные телефонные разговоры становится суровой
правдой жизни. Эту неприятность можно легко обойти, воспользовавшись
уже существующей инфраструктурой - интернетом. Используя виртуальную
частную сеть (VPN), можно установить через интернет связь компьютераклиента с локальной сетью (LAN). Для формирования безопасного
соединения VPN прокладывает туннель в интернете к вашей LAN.
В этом разделе рассматривается процесс конфигурирования VPN и способ
соединения клиентов с локальной сетью через интернет. Первое, о чем стоит
подумать при установлении связи с локальной сетью, защищенной
межсетевым экраном, что межсетевой экран организации должен
поддерживать протокол PPTP. Протокол PPTP позволяет VPN устанавливать
соединение с локальной сетью через межсетевой экран. Кроме того, VPN-
сервер должен быть сконфигурирован для работы с входящими
соединениями. VPN-сервер - это приложение, предоставляющее протокол
PPTP. Как VPN-сервер, так и VPN-клиент должны иметь действующее
интернет-соединение.
Если в организации уже установлен VPN-сервер, то для обустройства
Windows XP Professional-клиентов не надо создавать никакой
дополнительной конфигурации. Вам требуется только сообщить IP-адрес
VPN-сервера своим VPN-клиентам. Если VPN-серверу и VPN-клиенту
требуется настройка, то об этом речь пойдет ниже.
В любом случае, VPN-сервер должен иметь маршрутизируемый (routable) IPадрес. Это значит, что IP-адрес должен находиться в интернете. Если VPNсервер входит в интернет по коллективному каналу или находится за
межсетевым экраном, то у такого сервера нет маршрутизируемого IP-адреса.
Однако выйти из этого положения можно, сконфигурировав межсетевой
экран с маршрутизируемым адресом. Межсетевой экран затем получает
указание направлять VPN-трафик на сервер.
Что такое виртуальные частные сети
Перед тем как погрузиться в особенности реализации VPN-соединения,
давайте более внимательно рассмотрим, из каких компонентов оно состоит.
VPN создает безопасный канал связи между LAN и компьютером,
находящимся где-то во внешнем мире (см. рис. 14.7). Такое соединение
позволяет пользователю в Массачусетсе работать в локальной сети LAN,
расположенной в Айдахо, как если бы он сам со своим компьютером
находился в Айдахо.
Рис. 14.7. VPN создает в интернете безопасный туннель
VPN - это частное соединение между двумя точками. Это соединение
шифруется, создавая туннель, проходящий сквозь интернет. Протокол
удаленного доступа PPP зашифровывает данные, передающиеся по каналу
VPN. После того как информация зашифрована, она пересылается
посредством соединения удаленного доступа или LAN-соединения.
IPSec
IPSec - это набор протоколов, с помощью которого поддерживается
безопасный обмен информационными пакетами на IP-уровне. Так как IPSec
работает на сетевом уровне, то он предоставляет безопасное средство
передачи данных, способное поддерживать любое приложение,
использующее IP.
IPSec предоставляет три способа обеспечения безопасности при передаче
информации в сети.

Аутентификация пакетов между отправляющим и принимающим
устройствами.

Сохранение целостности данных при транспортировке.

Сохранение секретности данных при транспортировке.
IPSec работает в двух режимах: транспортировочном и в режиме
туннелирования.
В транспортировочном режиме ESP (Encapsulation Security Protocol) и AHs
(Authentication Headers) находятся в исходном IP-пакете между IP заголовком
и расширенной информацией заголовка верхнего уровня. Например, в
Windows XP IPSec использует режим транспортировки для обеспечения
безопасности двухточечного соединения, такого как соединение между
Windows XP Professional-клиентом и Windows 2000-сервером.
В режиме туннелирования IPSec помещает исходный IP-пакет в новый IPпакет и вставляет AH и ESP между IP-заголовком нового пакета и исходным
IP-пакетом. Новый IP-пакет указывает направление к конечной точке
туннеля, а исходный IP-пакет указывает пункт назначения пакета. Вы можете
использовать режим туннелирования между двумя безопасными шлюзами,
такими как серверы туннелирования, маршрутизаторы или межсетевые
экраны.
IPSec-туннелирование является распространенным режимом. Оно работает
следующим образом.
1. Стандартный IP-пакет посылается на IPSec-устройство, где он должен
быть зашифрован и направлен в конечную систему по локальной сети.
2. Первое IPSec-устройство, которым в данном случае оказывается
межсетевой экран или маршрутизатор, проводит аутентификацию
принимающего устройства.
3. Два IPSec-устройства договариваются о шифре и алгоритме
аутентификации, которыми будут пользоваться.
4. Отправляющее IPSec-устройство шифрует IP-пакет с информацией и
помещает его в другой пакет с AH.
5. Пакет пересылается по TCP/IP-сети.
6. Принимающее IPSec-устройство читает IP-пакет, проверяет его
подлинность и извлекает зашифрованное вложение для расшифровки.
7. Принимающее устройство отправляет исходный пакет в пункт его
назначения.
Протокол PPTP
Протокол туннелирования от точки к точке (Point-to-Point Tunneling Protocol,
PPTP) осуществляет безопасную пересылку данных от удаленного клиента на
сервер организации. PPTP поддерживает многочисленные сетевые
протоколы, включая IP, IPX и NetBEUI. Вы можете использовать протокол
PPTP для создания безопасной виртуальной сети, в которой применяются
dial-up-соединения, в рамках локальной сети LAN, WAN или в интернете и
других сетях, в основе которых лежит протокол TCP/IP. Для создания PPTPVPN необходим PPTP-сервер и PPTP-клиент. Пакет программ Windows XP
Professional включает в себя необходимые параметры для конфигурирования
PPTP-соединений.
Протокол L2TP (Layer Two Tunneling Protocol)
PPTP является технологией компании Microsoft для создания виртуальных
каналов связи внутри коллективной сети. PPTP вместе с системами
шифрования и аутентификации создает частную безопасную сеть. Компания
Cisco Systems разработала протокол, аналогичный PPTP, под названием Layer
Two Forwarding (L2F), но для его поддержки требуется оборудование Cisco
на обоих концах соединения. Тогда Microsoft и Cisco объединили лучшие
качества протоколов PPTP и L2F и разработали протокол L2TP. Как и PPTP,
L2TP позволяет пользователям создать в интернете PPP-линию связи,
соединяющую ISP и корпоративный сайт.
Безопасность
Размещая свои сетевые ресурсы в интернете, вы, возможно, переживаете изза того, что хакер может взломать вашу сеть и получить информацию,
защищенную правом собственности, не говоря уже о распространении
разрушительного вируса. Но понятие безопасности относится не только к
интернет-мародерам. Политика безопасности должна быть на должном
уровне и внутри организации. Разумеется, при настройке удаленного доступа
следует убедиться, что VPN- или dial-in соединения максимально безопасны.
При конфигурировании VPN-или dial-in-сервера для приема входящих
соединений вы распахиваете двери не только авторизованным
пользователям, но и неавторизованным тоже. Что можно предпринять в этой
ситуации?
Если вы не ждете входящих вызовов на своем VPN- или dial-in-сервере, то
лучше отключить соединение. Для этого проделайте следующие шаги.
1. Щелкните на Start\Connect To\Show all connections
(Пуск\Подключение\Отобразить все подключения).
2. Щелкните дважды на значке Incoming Connections (Входящие
подключения), чтобы открыть окно свойств входящих подключений.
3. Для отключения dial-in-соединений отмените выбор модема, очистив
флажок Device (Устройство). Для отключения VPN-соединения
отмените выбор опции Virtual Private Network.
4. Щелкните на ОК.
Чтобы снова подключить модем или VPN, проделайте эти же шаги, но
выберите модем или VPN-соединение.
Естественно, что при использовании dial-in или VPN-соединений их
приходится держать в рабочем состоянии. Примите меры, повышающие
безопасность сети. Например, не размещайте телефонный номер модема на
своем корпоративном веб-сайте или в списке телефонов компании. Храните
его в секрете. Чаще меняйте пароли. И, наконец, пользуйтесь обратным
вызовом.
Создание VPN-соединения
Для создания конфигурации VPN-клиента используется мастер нового
подключения (New Connection Wizard). Конфигурация создается с помощью
следующих шагов.
1. Убедитесь в наличии связи с интернетом.
2. Щелкните на Start\Connect To\Show all connections
(Пуск\Подключение\Отобразить все подключения).
3. Щелкните на Create a New Connection (Создание нового подключения).
Запустится мастер создания нового подключения (New Connection
Wizard).
4. Щелкните на Next (Далее).
5. Выберите Virtual Private Network Connection (Подключение к
виртуальной частной сети).
6. Щелкните на Next.
7. Дайте соединению уникальное имя, чтобы его легче было найти.
8. Щелкните на Next.
9. В окне Public Network (Публичная сеть) (рис. 14.8) укажите
соединение, которое следует использовать для входа в интернет.
Windows XP Professional позволяет устанавливать связь автоматически
или вручную. Если вы предпочитаете делать это вручную, то выберите
Do not dial the initial connection (Не набирать номер для
предварительного подключения.).
10.Щелкните на Next.
11.В окне VPN Server Selection (Выбор VPN-сервера) (рис. 14.9) введите
имя или IP-адрес VPN-сервера (например, pptp.widgetech.com).
12.Щелкните на Next.
13.Можно разместить ярлык этого соединения на своем рабочем столе.
Сделайте выбор и затем щелкните на Finish (Готово).
Рис. 14.8. Выбор интернет-соединения, которым будет пользоваться
VPN-клиент
Рис. 14.9. Введите имя или IP-адрес VPN-сервера
14.В окне Network Connections (Сетевые подключения) появилась новая
секция - Virtual Private Network (Виртуальная частная сеть). В этой
секции размещается VPN-соединение, которое вы только что
сконфигурировали.
15.Если потребуется установить соединение посредством VPN, то нужно
дважды щелкнуть на ярлыке, и система Windows XP professional войдет
в интернет и установит связь с VPN-сервером. При установке связи с
интернетом вручную сначала надо войти в интернет, а затем щелкнуть
на ярлыке VPN.
Примечание. Если VPN-сервер устанавливает с интернетом соединение
удаленного доступа и имеет IP-адрес, динамически выдаваемый службой ISP,
то нужно изменить IP-адрес в диалоговом окне свойств VPN-клиента до того,
как предпринять попытку соединения.
Прием VPN-соединения
VPN-соединения можно устанавливать с серверами различного типа.
Например, в крупной корпорации может возникнуть потребность в
увеличении количества VPN-серверов. Эти серверы будут заниматься только
обработкой входящего VPN-трафика и, возможно, будут использовать
систему Windows 2000 или .NET Server. С другой стороны, в маленькой
организации может быть один VPN-сервер для периодической связи с VPNклиентом.
Так как мы имеем дело с системой Windows XP Professional, давайте
поговорим о том, как конфигурируются эти типы серверов для работы с
удаленными пользователями.
Конфигурирование VPN-сервера
Для работы компьютера в качестве VPN-сервера в папке Network Connections
(Сетевые подключения) должен находиться ярлык Incoming Connections
(Входящие подключения). Если такой ярлык имеется (допустим, уже
сконфигурирован удаленный доступ), щелкните на нем дважды. Появится
диалоговое окно свойств входящих подключений. Проверьте, отмечен ли
флажок Allow others to make private connections to my computer by tunneling
through the Internet or other network (Разрешить устанавливать частные
соединения с моим компьютером путем туннелирования интернета или
других сетей).
Если ярлык Incoming Connections в папке сетевых подключений отсутствует,
то проделайте следующие шаги.
1. Щелкните на Start\Connect To\Show all connections
(Пуск\Подключение\Отобразить все подключения).
2. Щелкните на Create a New Connection (Создание нового подключения).
Запустится мастер создания нового подключения (New Connection
Wizard).
3. Щелкните на Next (Далее).
4. Выберите Set up an advanced connection (Установить прямое
подключение к другому компьютеру) и щелкните на Next.
5. Выберите Accept incoming connections (Принимать входящие
подключения) и щелкните на Next.
6. В появившемся диалоговом окне показан список устройств для
входящих соединений.
7. Отмените выбор всех модемов в этом списке, так как вы будете
принимать входящие вызовы только через интернет-соединение.
8. Выберите Allow virtual private connections (Разрешить виртуальные
частные подключения) и щелкните на Next.
9. В следующем окне выберите пользователей, которым разрешается
удаленный доступ на сервер. Сделайте выбор и нажмите на Next.
10.Далее появляется список рекомендованных компанией Microsoft
сетевых компонентов. Очистите флажок рядом с каждым компонентом,
который не хотите использовать. (А лучше вообще ничего не меняйте.)
11.Закончите работу программы New Connections Wizard, щелкнув на
Finish (Готово).
Теперь в окне сетевых подключений должен появиться ярлык Incoming
Connections (Входящие подключения). Если такой ярлык уже был, то
существующее соединение будет отредактировано в соответствии с новыми
настройками.
Конфигурация VPN-соединения
Со временем вы поймете, что настройки VPN нужно уточнить или изменить.
Например, если IP-адрес VPN-сервера приписывается динамически, то
придется менять эту настройку VPN-клиента всякий раз, когда VPN-сервер
устанавливает связь с интернетом.
Для внесения изменений в VPN-соединения перейдите в окно Network
Connections (Сетевые подключения), щелкните правой кнопкой мыши на
VPN или на значке Incoming Connections (Входящие подключения) и
выберите в ниспадающем меню Properties (Свойства). В зависимости от того,
является ли компьютер сервером или клиентом, там будут представлены
различные опции.
Диалоговое окно свойств для VPN-клиента показано на рис. 14.10.
Диалоговое окно свойств для VPN-сервера показано на рис. 14.11.
В VPN-клиенте опции на вкладке General (Общие) применяются для
управления именем хоста или IP-адресом VPN-сервера или интернетсоединения, которое будет использоваться. Опции на вкладке Advanced
(Дополнительно) применяются для управления Internet Connection Firewall и
для совместного использования VPN-соединения.
В VPN-сервере можно изменять настройки, установленные во время работы
мастера нового подключения: включать или отключать VPN, размещать
значок в панели заданий во время соединения или указывать пользователей,
которые имеют право использовать VPN-соединение.
Рис. 14.10. Диалоговое окно свойств VPN-клиента
Рис. 14.11. Диалоговое окно свойств VPN-сервера
Решение проблем, связанных с VPN-соединениями
Какой бы простой ни была настройка VPN-соединения в системе Windows
XP Professional, вы все же можете столкнуться с некоторыми трудностями.
Найти источник проблемы в VPN-соединении достаточно сложно, так как эта
головоломка состоит из множества фрагментов. Заключается ли проблема в
клиенте? Или в соединении сервера с ISP? Или неверна конфигурация
сервера? Может быть, проблема кроется в маршрутизаторе или в межсетевом
экране?
До сих пор мы обсуждали VPN при работе с Windows XP Professionalклиентами. VPN-клиентом является не только Windows XP Professionalкомпьютер, но и VPN-сервер. Скорее всего, окончанием виртуальной
частной сети является маршрутизатор или межсетевой экран, а VPN-сервер
обычно располагается на Windows 2000, NT или .NET Server.
Для установки VPN-соединения VPN-клиент посылает вызов ISP, применяя
протокол PPP. На этом этапе ISP выдает клиенту TCP/IP-адрес, адрес DNSсервера и шлюз по умолчанию.
Когда клиент, используя протокол PPTP, пытается установить VPNсоединение, создается вторая TCP/IP-сессия. Эта сессия является туннельной
частью VPN-соединения. Она содержится внутри первой TCP/IP-сессии и
обеспечивает шифрование и инкапсуляцию пакетов. Когда клиент успешно
устанавливает соединение с VPN-сервером, то сервер выдает второй IPадрес, второй адрес DNS-сервера и новый шлюз. На каждом из этих этапов
могут возникнуть неполадки, которые вызовут проблемы в работе
соединения.
Несколько слов о сервере
Хотя это выходит за рамки вопросов, рассматривающихся в этом курсе, но
есть несколько моментов, касающихся сервера, о которых следует помнить
при построении VPN-сети.

Пользуйтесь сервером, на котором установлено минимальное
количество сервисов. Ограничьтесь использованием протоколов
TCP/IP и PPTP.

Если сервер расположен в зоне действия межсетевого экрана или в
DMZ, то необходимо переадресовывать трафик с внешнего
маршрутизируемого IP-адреса сервера на внутренний адрес VPN. Это
выполняется с помощью специальной конфигурации межсетевого
экрана, которая называется Network Address Translation
(Преобразование сетевых адресов), или с помощью канала (говоря на
языке Cisco).

Если нужно разместить VPN-сервер за межсетевым экраном, убедитесь
в том, что программа межсетевого экрана пропускает PPTP-пакеты.
Некоторые программы этого не делают, и если у вас установлена одна
из них, то вы не сможете пользоваться VPN.
Проблемы клиента
Другим местом возникновения проблемы является VPN-клиент. Процесс
соединения VPN-клиента с VPN-сервером проходит в несколько этапов.
Сначала в VPN-клиенте надо создать два набора настроек TCP/IP для его
правильного функционирования. Один набор используется для установки
связи с ISP и интернетом, а другой - в VPN-соединении. Кроме того, в
таблице маршрутизации VPN-клиента должны быть записаны два маршрута:
один направляет пакеты из локальной сети к ISP для дальнейшей отправки в
интернет, а другой посылает пакеты на VPN-сервер для использования в
локальной сети.
Наиболее распространенные проблемы VPN соединений, связанные с
клиентами, перечислены ниже.
Невозможно установить связь с сервером. Если VPN-клиент не может
установить связь с VPN-сервером, следует проверить ряд настроек.
Убедитесь в том, что сервер подключен к интернету. Для этого с
компьютера-клиента выполните пингование (ping) сервера по его IP-адресу.
Межсетевой экран может блокировать пинг, но если вы получите сообщение
"request timed out", то можете быть уверены в том, что сервер работает
некорректно. Если сервер получает свой IP-адрес динамически (при
использовании соединения удаленного доступа), убедитесь, что вы изменили
IP-адрес VPN-сервера в ярлыке VPN в окне Network Connections (Сетевые
подклюяения).
Если VPN-сервер отвечает на пинг своего IP-адреса, то проверьте пингом
имя сервера. Если имя не прозванивается, то, возможно, имя сервера не
зарегистрировано в домене, или DNS-сервер интернет-провайдера не в
порядке.
Проверьте PPTP-фильтрацию. Если на сервере активизирована PPTPфильтрация, то вы можете увидеть сообщение об ошибке с указанием, что
сервер не отвечает. Отключите PPTP-фильтрацию на сервере и попробуйте
создать нефильтруемое соединение.
Если удается установить связь при отключенном фильтровании, проверьте,
включены ли на сервере UDР-порты 137 и 138, а также TCP-порт 139. Если
они не работают, то подключите их, так как NetBIOS-пакеты не могут
пересылаться по сети без этих портов. Эти порты следует активизировать на
всех маршрутизаторах и межсетевых экранах, находящихся между VPNсервером и клиентом.
Если вы проделали все указанные шаги, но все равно не можете установить
связь с сервером, то проверьте все промежуточные маршрутизаторы на
предмет задержки ими GRE (generic routing encapsulating) пакетов. Эту
проверку полезно провести вместе с ISP, так как они зачастую используют
GRE непосредственно для управления маршрутизацией.
Клиент устанавливает связь, но не может войти в сеть. Другой проблемой
является возможность клиента установить связь с сервером, но
невозможность войти в сеть. Если VPN-сервер сконфигурирован как
контроллер домена, убедитесь в наличии у пользователя учетной записи,
которая разрешает удаленный доступ. Если сервер не является контроллером
домена, убедитесь в наличии у пользователя соответствующих прав на
доступ к серверу.
Winsock прокси-клиент. Если Winsock прокси-клиент активен, то VPNсоединение не может быть установлено. Winsock-прокси переадресовывает
пакеты на прокси-сервер до того, как они могут быть инкапсулированы для
отправки по каналу VPN. Убедитесь в том, что Winsock прокси-клиент
отключен.
Разрешение имени. Если вы подозреваете, что проблема связана с
разрешением имени, то пользуйтесь полными именами доменов и IPадресами при установке связи.
Другие места, которые можно проверить
Другие источники проблем выходят за рамки того, что пользователь может
или должен проверить. Если неполадки нельзя связать с работой клиента или
сервера, то их причина заключается в общих условиях работы компьютерной
сети.
Преобразование сетевых адресов. Если VPN-клиент находится в области
действия устройства, выполняющего преобразование сетевых адресов
(Network Address Translation, NAT ), то сессия протокола L2TP не
происходит из-за того, что зашифрованные IPSec ESP-пакеты могут быть
повреждены. С другой стороны, если VPN-клиент находится на одном
компьютере с Internet Connection Sharing или NAT, то он в состоянии
установить L2TP-соединение. Это происходит потому, что NAT не
выполняет никакой трансляции IP-адреса или порта в пакетах, исходящих из
его собственного узла.
ESP. Другим источником проблем является ESP. ESP может блокироваться,
если перед клиентом размещается NAT или маршрутизаторы находятся
перед VPN. В этом случае сервер может не пропускать ESP. Возможность
исходящего ESP-трафика сохраняется, но входящие пакеты ESP из шлюза
поступать не будут. Кроме того, ESP может быть модифицирован. Это
происходит, когда NAT повреждает пакеты. Пакеты могут быть повреждены
сетевым интерфейсом, который способен выгружать IPSec. Для проверки
введите в командную строку следующее:
Netsh in tip show offload
Если вы подозреваете, что способность сетевого адаптера выгружать IPSec
является причиной неполадок, то запустите Network Monitor и используйте
IPSec Monitor для анализа каждой попытки установить соединение.
Проверьте счетчик Confidential Bytes Received (Получено секретных байт),
чтобы узнать, теряются ли байты при их получении. Отключите
автоматическую политику IPSec и проверьте, не поможет ли это установить
соединение.
Windows XP Professional разрешает устанавливать связь с LAN или
локальным компьютером различными способами. Если вы хотите
устанавливать удаленное соединение через интернет, то VPN позволяет
сделать это безопасным способом. Можно настроить сервер или локальный
компьютер, чтобы они отвечали на поступающие вызовы, позволяя
пользователям устанавливать удаленный доступ по каналу телефонной связи.
Какой способ вы ни выберете, эти средства дистанционной связи
обеспечивают широкие возможности для сетевой работы пользователей.
Скачать