Аннотация
Виртуальная частная сеть (virtual private network, VPN) является расширением частной сети, позволяя выполнять подключения через общедоступные сети, такие как Интернет. Удаленный доступ при помощи VPN-подключения позволяет компьютерам получить безопасный доступ к внутренним сетям организации через сеть Интернет. Этот документ описывает различные компоненты и выбор плана развертывания удаленного доступа с помощью VPN-подключения с использованием серверов на платформе Windows 2000 и VPN-клиентов под управлением ОС Windows. В этом документе содержатся подробные инструкции по развертыванию в сетях VPN удаленного доступа, основанного на протоколах PPTP (Point-to-Point Tunneling Protocol) и L2TP (Layer Two Tunneling Protocol), информацию о конфигурации брандмауэров, создании тестовой лаборатории VPN и подробности работы с сервисными утилитами и разрешения типичных проблем. В этом документе подробно описано использование протокола TCP/IP, IP-маршрутизации, протокола IPSec (Internet Protocol security), и возможностей службы маршрутизации и удаленного доступа Windows 2000.
Введение
Виртуальная частная сеть является расширением частной сети, позволяя выполнять подключение через общедоступные сети, такие как Интернет. С помощью VPN Вы можете передавать данные между двумя компьютерами через общедоступные сети, имитируя соединение точка-точка (такие как глобальные сети (WAN) для передачи данных на дальние расстояния основанные на системе передачи информации T-Carrier).
При эмуляции соединения точка-точка, данные инкапсулируются (группируются) с заголовком, который содержит информацию о маршрутизации, что позволяет данным достичь конечной точки при передаче через общедоступные сети. При эмуляции частного соединения данные шифруются чтобы обеспечить конфиденциальность. Пакеты, перехваченные в общедоступной сети, нельзя расшифровать не имеея ключей шифрования. Соединение, в котором частные данные инкапсулированы и зашифрованы – это виртуальное частное подключение (VPN-подключение).
На рисунке 1 показан логический эквивалент VPN-подключения.
Рисунок 1 – логический эквивалент VPN-подключения
Пользователи, работающие дома или в пути, могут использовать VPN-подключения для установки соединения удаленного доступа к серверу организации с использованием инфраструктуры общедоступных сетей, таких как Интернет. С точки зрения пользователя VPN-подключение является прямым соединением точка-точка между компьютером (VPN-клиент) и сервером организации (VPN-сервер). Конкретная инфраструктура общедоступных сетей в данном случае не имеет значения, поскольку логически всё выглядит так, как будто данные передаются через выделенное частное подключение.
Организации также могут использовать VPN-подключения для создания маршрутизируемых соединений с географически разделенными офисами или с другими организациями через общедоступные сети, такие как Интернет, установив безопасную связь. Логика работы маршрутизированных VPN-подключений такая же, как и выделенных WAN-подключений.
С помощью удаленного доступа и маршрутизированных подключений организации могут использовать VPN-подключения для того, чтобы заменить удаленные коммутированные соединения или соединения по выделенной линии на локальные соединения с поставщиком услуг Интернета (ISP, Internet service provider).
В операционной системе Windows® 2000 существует два типа технологий VPN удаленного доступа:
1. | Протокол PPTP (Point-to-Point Tunneling Protocol). PPTP использует методы проверки подлинности на уровне пользователей на основе протокола PPP (Point-to-Point Protocol), а также шифрование данных на основе MPPE (Microsoft Point-to-Point Encryption). |
2. | Протокол L2TP (Layer Two Tunneling Protocol) совместно с протоколом PSec. L2TP использует методы проверки подлинности на уровне пользователей на основе протокола PPP, а также протокол IPSec для проверки подлинности на уровне компьютера, осуществляя проверку подлинности данных и сертификатов и обеспечивая их целостность и шифрование. |
Клиент удаленного доступа (однопользовательский компьютер) создает VPN-подключение удаленного доступа к частной сети. VPN-сервер обеспечивает доступ ко всей сети, к которой он подключен. Пакеты, отправляемые с удаленного клиента через VPN-подключение, формируются на компьютере-клиенте удаленного доступа.
Клиент удаленного доступа (VPN-клиент) проходит проверку подлинности на сервере удаленного доступа (VPN-сервер), а сервер, в свою очередь, проходит проверку подлинности на клиентском компьютере.
Компьютеры под управлением операционных систем Windows XP, Windows 2000, Windows NT 4.0, Windows Millennium Edition (ME), Windows 98 и Windows 95 могут создавать VPN-подключения удаленного доступа к VPN-серверу под управлением Windows 2000. VPN-клиентами также может быть PPTP-клиент сторонних производителей или L2TP-клиент, использующий протокол IPSec.
Примечание. Клиенты и серверы Microsoft не поддерживают использование туннельного режима протокола IPSec для удаленного доступа VPN из-за отсутствия промышленного стандарта методов аутентификации пользователей и конфигурации IP-адресов при использовании туннеля IPSec. Туннельный режим IPSec описан в RFC 2401, RFC 2402 и RFC 2406. |
Для шифрования Вы можете использовать как канальное шифрование так и шифрование точка-точка:
• | Канальное шифрование обеспечивает шифрование данных только в канале между клиентом и сервером VPN. Для PPTP-подключений Вы должны использовать шифрование MPPE в сочетании с проверкой подлинности MS-CHAP, MS-CHAP v2 или EAP-TLS. Для L2TP/IPSec-подключений шифрование канала между VNP-клиентом и VPN-сервером обеспечивает протокол IPSec. |
• | Шифрование точка-точка обеспечивает шифрование данных между начальным и конечным узлами. Вы можете использовать протокол IPSec после создания VPN-подключения для шифрования данных между начальным и конечным узлами. |