Схема сети показана на рис.1. Здесь подсети 192.168.4.0, 192.177.1.0 и маршрутизатор Cisco эмулируют сеть Internet, станция S2 - RAS ISP . Станции SI, XI, Р1 и уда-ленный клиент Х2, представляют защищенную часть корпоративной сети.
Рис. 1. VPN на основе ТСОП и каналов Internet
Сначала настроим сетевые IP-интерфейсы на компьютерах и маршрутизаторе Cisco.
Установим службу RAS на сервере S2.
Перед установкой службы на вкладке Панель упр. > Телефон и модем > Модемы протестируем наш модем. Создадим на сервере учетную запись удаленного RAS- клиента, U1 с паролем 11, которому будет разрешено подключаться по телефонной линии.
Установим службу RAS на сервере S2.
Перед установкой службы на вкладке Панель упр. > Телефон и модем > Модемы протестируем наш модем. Создадим на сервере учетную запись удаленного RAS- клиента, U1 с паролем 11, которому будет разрешено подключаться по телефонной линии.
Через непродолжительное время сервер RAS начнет работать.
Щелкнем дважды имя сервера - откроется дерево папок RAS.
Сначала правой кнопкой щелкнем имя сервера и откроем Свойства. На вкладке Общее проверим, чтобы флажок Сервер удаленного доступа был установлен. На вкладке IP отметем флажки Разрешить IP-маршрутизацию и Удаленный доступ с предоставлением канала по требованию. На этой же вкладке отметем флажок Включить широковещание при разрешении имен. В окне Служба проверки подлинности на вкладке Безопасность установим Windows-проверка подлинности. Щелкнем кнопку Методы проверки подлинности и установим флажок Шифрованная проверка (Microsoft, версия MS-CHAP v2), OK, Применить, ОК.
Щелкнем папку Порты. В правом окне будут показаны предлагаемые порты RAS. Далее, выделим модемный порт и щелкнем Настроить. В следующем окне установим флажок Подключения удаленного доступа (только входящие), ОК. Подтвердим сделанные изменения нажатием Применить, ОК.
Щелкнем папку Клиенты удаленного доступа. В правом окне будут показаны имена клиентов, установивших сеанс связи с RAS.
Папка Политика удаленного доступа содержит настройки условий, которым должны соответствовать подключения удаленных пользователей В свойствах клиента U1 на вкладке Входящие звонки установим флажки Управление на основе политики удаленного доступа и Ответный вызов не выполняется.
Снова откроем папку Политика удаленного доступа сервера RAS. После установки сервера создается по умолчанию политика - Разрешить доступ, если разрешены входящие подключения. Откроем ее и установим флажок Предоставить право удаленного доступа.
Настроем политику защиты паролей при аутентификации клиентов RAS и метод шифрования передаваемых данных. Для этого откроем политику и щелкнем кнопку Изменить профиль. На вкладке Проверка подлинности установим флажок Шифрованная проверка (Microsoft, версия MS-CHAP v2), ОК. На вкладке Шифрование установим флажок Без шифрования, ОК. В окне Изменение профиля коммутируемых подключений установим флажок Разрешить доступ только через эти носители и в меню ниже отметем Асинхронный (Модем).
Установим клиента RAS на компьютере Х2.
- Перед установкой клиента на вкладке Панель упр. > Телефон и модем > Модемы протестируйте наш модем.
- Откроем окно Сетевые подключения. Дважды щелкнем Создание нового подключения для вызова мастера настройки.
- Далее выберем Подключить к сети на рабочем месте.
- Отметем Подключение удаленного доступа.
- В следующем окне выберем модем для этого подключения.
- Далее введем произвольное подходящее имя подключения, например Связь с RAS.
- Введем номер телефона сервера RAS, Готово.
Выделим созданное подключение и Откроем его свойства. На вкладке Сеть отметем Клиент для сетей Microsoft, протокол ТСР\IP, тип подключения сервера удаленного доступа - РРР. На вкладке Безопасность установим флажок Дополнительные параметры и щелкнем Параметры. В меню Шифрование данных выберем Не разрешено. В секции Безопасный вход установим флажки Разрешить следующие протоколы и Протокол проверки пароля MS-CHAP V2. Откроем свойства протокола TCP/IP, кнопка Дополнительно. Установим флажок Использовать основной шлюз в удаленной сети, OK, ОК, ОК.
Установим сервер VPN на компьютере S1.
Перед установкой службы создайте на сервере учетную запись удаленного VPN- клиента, например U1 с паролем 11, которому будет разрешено подключаться к корпоративной сети по защищенному VPN-соединению.
Установим сервер VPN на компьютере S1.
Перед установкой службы создайте на сервере учетную запись удаленного VPN- клиента, например U1 с паролем 11, которому будет разрешено подключаться к корпоративной сети по защищенному VPN-соединению.
- Запустим оснастку Панель упр. > Администр. > Маршрутизация и удаленный доступ. Выделим сервер и в меню Действие выберем Настроить и включить маршрутизацию и удаленный доступ. Запустится мастер установки.
- В следующем окне выберем Удаленный доступ (VPN или модем).
Далее выберем Доступ к виртуальной частной сети. - В окне Соединение по VPN выберем интерфейс, который обращен к удаленному VPN-клиенту. Здесь же отметем флажок Безопасность с использованием фильтров статических пакетов. Необходимые фильтры будут установлены автоматически. Потом при желании их можно изменить или удалить.
- Далее на вкладке Выбор сетевого соединения выберем интерфейс, который обращен к вашей корпоративной сети.
- На вкладке Назначение IP-адресов выберем способ назначения IP-адресов клиентам VPN: Из заданного диапазона адресов. С помощью кнопки Создать введем начальный и конечный IP-адреса пула.
Через непродолжительное время сервер VPN начнет работать.
Щелкнем дважды имя сервера - откроется дерево папок сервера VPN.
Сначала правой кнопкой щелкнем имя сервера и Откроем Свойства.
На вкладке Общие проверим, чтобы были установлены флажrи Сервер удаленного доступа,Mаршрутизатор только локальной сети.
На вкладке Безопасность в окне Служба проверки подлинности. Установим Windows-проверка подлинности. Щелкнем кнопку Методы проверки подлинности и Установим флажок Шифрованная проверка (Microsoft, версия MS-CHAP v2), ОК.
На вкладке IP отметем флажки Разрешить IP-маршрутизацию и Удаленный доступ с предоставлением канала по требованию. На этой же вкладке отметем флажок Включить широковещание при разрешении имен.
Щелкнем папку Порты. В правом окне будут показаны предлагаемые виртуальные устройства - минипорты WAN. Оставим только порты WAN (РРТР), остальные удалим из окна.
Щелкнем дважды имя сервера - откроется дерево папок сервера VPN.
Сначала правой кнопкой щелкнем имя сервера и Откроем Свойства.
На вкладке Общие проверим, чтобы были установлены флажrи Сервер удаленного доступа,Mаршрутизатор только локальной сети.
На вкладке Безопасность в окне Служба проверки подлинности. Установим Windows-проверка подлинности. Щелкнем кнопку Методы проверки подлинности и Установим флажок Шифрованная проверка (Microsoft, версия MS-CHAP v2), ОК.
На вкладке IP отметем флажки Разрешить IP-маршрутизацию и Удаленный доступ с предоставлением канала по требованию. На этой же вкладке отметем флажок Включить широковещание при разрешении имен.
Щелкнем папку Порты. В правом окне будут показаны предлагаемые виртуальные устройства - минипорты WAN. Оставим только порты WAN (РРТР), остальные удалим из окна.
Развернем дерево IP-маршрутизации. Щелкнем правой кнопкой Статические маршруты и введем новый маршрут по умолчанию к другим подсетям: 0.0.0.0, маска 0.0.0.0, шлюз 192.177.1.2, Удалим неиспользуемые в данной работе протокол IGMP и агента DHCP.
Установим клиента VPN на компьютере Х2.
Установим клиента VPN на компьютере Х2.
- Откроем окно Сетевые подключения. Дважды щелкнем Создание нового подключения для вызова мастера настройки.
- Далее выберем Подключить к сети на рабочем месте.
- Отметем Подключение к виртуальной частной сети.
- Введем произвольное подходящее имя подключения, например Связь с VPN.
- Далее отметем Набрать номер для следующего предварительного подключения. Ниже будет показано имя подключения для вызова сервера RAS.
- В окне Выбор VPN-сервера введем IP-адрес 192.177.1.1 окончания туннеля, Готово.
Откроем свойства созданного подключения. На вкладке Безопасность установим флажок Дополнительные параметры и щелкнем Параметры. В меню Шифрование данных выберите Самое стойкое. В секции Безопасный вход установим флажки Разрешить следующие протоколы и Протокол проверки пароля MS-CHAP v2, ОК. На вкладке Сеть отметем Клиент для сетей Microsoft, протокол TCP/IP, тип VPN: РРТР VPN. Откроем свойства протокола TCP/IP, кнопка Дополнительно. Установим флажок Использовать основной шлюз в удаленной сети, OK, ОК, ОК.
Щелкнем значок Связь с VPN для создания защищенного туннеля к серверу S1 (VPN). Сначала будет предложено зарегистрироваться на сервере S2 (RAS)
Настроем компьютеры X1, P1 корпоративной сети. Создадим на них пользователя U1 с паролем 11, общую папку U1 и предоставим пользователю к этой папке полный доступ.
Исследуем детально работу сети после создания VPN-туннеля и убедимся, что защищенная сеть 192.168.1.0 доступна только со станции Х2.
Изучим фильтры блокировки запрещенного трафика через интерфейс 192.177.1.1. Для этого в настройках VPN-сервера S1 выделим Общие и Откроем свойства интерфейса 192.177.1.1. Кнопки Фильтры входа и Фильтры выхода позволяют настроить фильтры. По умолчанию создано по 6 правил каждого фильтра.
Удалем все фильтры и сравнем защищенность сети 192.168.1.0 когда туннель есть, и когда его нет.
Щелкнем значок Связь с VPN для создания защищенного туннеля к серверу S1 (VPN). Сначала будет предложено зарегистрироваться на сервере S2 (RAS)
Настроем компьютеры X1, P1 корпоративной сети. Создадим на них пользователя U1 с паролем 11, общую папку U1 и предоставим пользователю к этой папке полный доступ.
Исследуем детально работу сети после создания VPN-туннеля и убедимся, что защищенная сеть 192.168.1.0 доступна только со станции Х2.
Изучим фильтры блокировки запрещенного трафика через интерфейс 192.177.1.1. Для этого в настройках VPN-сервера S1 выделим Общие и Откроем свойства интерфейса 192.177.1.1. Кнопки Фильтры входа и Фильтры выхода позволяют настроить фильтры. По умолчанию создано по 6 правил каждого фильтра.
Удалем все фильтры и сравнем защищенность сети 192.168.1.0 когда туннель есть, и когда его нет.
Матрица доступа (исходное с защитным фильтром)
S2 | Х2 | S1 | Р1 | X1 | Е0/0 | Е0/1 | |
S2 | - | - | - | - | - | + | + |
Х2 | + | - | + | + | + | - | + |
S1 | - | + | - | + | + | - | - |
Р1 | - | + | + | - | + | - | - |
XI | - | + | + | + | - | - | - |
Е0/0 | + | - | - | - | - | - | + |
Е0/1 | + | - | - | - | - | + | - |
Матрица доступа (убрали защитный фильтр)
S2 | Х2 | S1 | Р1 | X1 | Е0/0 | Е0/1 | |
S2 | - | + | + | + | + | + | + |
Х2 | + | - | + | + | + | + | + |
S1 | + | + | - | + | + | + | + |
Р1 | + | + | + | - | + | + | + |
X1 | + | + | + | + | - | + | + |
Е0/0 | + | + | + | + | + | - | + |
Е0/1 | + | + | + | + | + | + | - |