Что такое VPN-туннель и как его настроить. Как сделать vpn туннель между роутерами


Что такое VPN-туннель и как его настроить

VPN или, другими словами, частная виртуальная сеть – это способ соединения двух локаций так, будто они подключены к одной частной локальной сети. Существует несколько причин, по которым вам наверняка захочется настроить ее. Одной из них, как правило, является удобство, а также желание добавить безопасности своему соединению.Давайте пробежимся по некоторым аспектам, из-за которых вам наверняка захочется настроить VPN-туннель, а также изучим разницу между использованием туннеля и использованием полного VPN-сервиса на своем устройстве.

Что такое VPN-туннель?

«Туннель», проще говоря, это соединение между двумя локациями через некий материал. Хорошей аналогией является туннель, проложенный под горой. Обе стороны горы соединены прямым путем; в данном случае «гора» — это Интернет. Так что, по существу, туннель – это короткая дорога через Интернет.И хотя по определению туннель не имеет шифрования, причина, по которой люди их создают, это желание привнести шифрование в свои соединения. Предположим, у вас есть филиал компании в одном месте с обычным Интернет-соединением, а потом вы захотели присоединиться к серверу вашего главного офиса в другом месте. Поскольку данные, которые вы отправляете между офисами, весьма деликатные, вы бы не хотели, чтобы кто-то мог их увидеть, пока они путешествуют по Интернету. Вот, где VPN-туннель вступает в игру.

Почему вам захочется настроить VPN-туннель

Существует много причин, по которым вам бы захотелось его настроить. Прежде всего многие используют его для шифрования соединения TCP/IP между приложением и сервером. Некоторым приложениям, в особенности основанным на клиент-серверном протоколе, нужно подключаться к базе данных сервера для того, чтобы получить доступ к требуемой информации. Использование туннеля – это превосходный способ сделать соединение более легким для конечного пользователя, а также сделать коммуникацию конфиденциальной.Другая причина заключается в вашем желании зашифровать весь свой трафик при посещении некоторых мест. Туннель можно настроить с помощью обычного или прозрачного прокси для передачи всех ваших данных через этот туннель.

Как настроить VPN-туннель

Есть много хороших статей о том, как перенаправить весь трафик в браузере через защищенный туннель. Но в данной статье, мы будем использовать локальный порт для создания простого «туннеля» между устройствами. Для примера предположим, что мы хотим использовать локальный порт 5555 для удаленного доступа к порту 80 с целью безопасного доступа к веб-приложению на удаленном компьютере. Также для работы с этой статьей необходимо рабочее SSH-соединения для шифрования трафика.

  • Прежде всего скачайте Putty и запустите exe-файл. Заполните поле hostname (IP) и прочую информацию для SSH-доступа.
  • Теперь перейдите в Connection -> SSH -> Tunnels menu. Здесь мы настраиваем SSH-туннель. Введите информацию о порте. Для нашего примера настройки показаны ниже.

  • После того, как соединение было установлено, Putty откроет экран соединения с удаленным устройством. Вы также можете настроить так, чтобы он не запускал оболочку, а просто показывал пустое окно, но при этом туннель все равно будет открыт.

  • Ваш туннель готов к использованию. Откройте браузер или любое приложение, которое вы настраивали под localhost и подходящий порт. В нашем примере это порт 5555.

Даже если вы не используете локальный веб-сервер, вы увидите, что вы подключены к удаленному серверу так, будто он запущен у вас на компьютере. Вот почему это называется туннель, это прямое подключение к удаленному устройству через «гору» Интернета.У вас есть другие причины для настройки VPN-туннеля между двумя устройствами? Опишите их ниже! Если будут вопросы по настройке, то обязательно обращайтесь.

Отказ от ответственности: Эта статья написана только для образовательных целей. Автор или издатель не публиковали эту статью для вредоносных целей. Если читатели хотели бы воспользоваться информацией для личной выгоды, то автор и издатель не несут ответственность за любой причиненный вред или ущерб.

helpugroup.ru

Настойка IPsec VPN-туннеля между двумя сетевыми узлами (Site-to-Site) при помощи маршрутизаторов TP-Link

 

Для настройки IPsec VPN-туннеля между маршрутизаторами TP-Link вам необходимо совершить следующие действия:

1. Установить соединение между двумя устройствами

2. Уточнить настройки маршрутизаторов, необходимые для создания IPsec VPN-туннеля 

3. Настроить параметры IPsec VPN-туннеля на yстройстве TL-ER6120 (Маршрутизатор "А")

4. Настроить параметры IPsec VPN-туннеля на устройстве TL-R600VPN (Маршрутизатор "B")

5. Проверить настройки IPsec SA

ПРИМЕЧАНИЕ: В данном примере мы используем устройства TL-ER6120 и TL-R600VPN. Способ настройки IPsec VPN-туннеля для устройства TL-WR842ND является таким же, как и для устройства TL-R600VPN.

Установка соединения между двумя устройствами:

Перед установкой VPN-туннеля, убедитесь, что два маршрутизатора подключены к сети интернет. После того как вы убедились, что для каждого маршрутизатора установлено активное интернет-соединение, вам необходимо проверить настройки VPN для данных устройств. Для этого следуйте инструкции ниже.

Проверьте настройки маршрутизатора, необходимые для установки IPsec VPN-туннеля

Для проверки настроек, необходимых для двух маршрутизаторов, перейдите на веб-страницу управления маршрутизатором "А".

Страница состояния маршрутизатора "А":

Страница состояния маршрутизатора "B":

Настройка параметров IPsec VPN-туннеля для устройства TL-ER6120

(маршрутизатор "А")

 

Шаг 1 : На веб-странице управления нажмите VPN, затем IKE Proposal.

В пункте IKE Proposal по своему усмотрению введите наименование (Proposal Name), выберите параметры aутентификаци (Authentication), шифрования (Encryption) и DH Group. В данном примере мы вводим параметры MD5, 3DES, Dh3. 

 

 

 

Шаг 2: Нажмите "Добавить" (Add) 

Шаг 3: Нажмите IKE Policy, по своему усмотрению введите наименование (Policy Name), выберите режим обмена (Exchange Mode). В данном примере мы используем параметры "Основной" (Main), выбираем IP-адрес (IP Address) в качестве вида ID (ID type).

 

 

 

Шаг 4: В пункте IKE Proposal 1 в данном примере мы используем test 1. Введите Pre-shared Key и SA Lifetime, DPD должен быть отключен.

 

 

Шаг 5: Нажмите "Добавить" (Add). 

 

 

Шаг 6: Нажмите IPsec в меню слева, затем нажмите IPsec Proposal. Выберите протокол защиты (Security Protocol), ESP аутентификацию (ESP Authentication) и ESP шифрование (ESP Encryption), которые вы хотите использовать для VPN-туннеля. В данном случае мы вводим параметры ESP, MD5 и 3DES. 

 

 

Шаг 7: Нажмите "Добавить" (Add)

Шаг 8: Нажмите IPsec Policy, по вашему усмотрению введите наименование (Policy Name), режим (Mode) должен быть установлен LAN-to-LAN. Введите значение локальной подсети (Local Subnet) и удаленной подсети (Remote Subnet).

 

Шаг 9 : Выберите WAN, который вы используете, и введите удаленный шлюз (Remote Gateway). В данном примере в качестве удаленного шлюза (Remote Gateway) используется WAN IP-адрес 218.18.1.208. 

Шаг 10 : В поле Policy Mode выберите IKE.

Шаг 11 : В графе IKE Policy мы выбираем пункт test1, который уже используется.

Шаг 12 : В графе IPsec Proposal в данном примере мы используем ipsec1.

Шаг 13 : В пункте PFS в данном примере мы выбираем NONE, в пункте SA Lifetime введите "28800" или значение по своему усмотрению. 

Шаг 14 : В графе "Статус" (Status) выберите "Активировать" (Activate).

 

 

Шаг 15: Нажмите "Добавить" (Add).

 

Шаг 16: Выберите "Включить" (Enable), затем нажмите "Сохранить" (Save).

 

 

Настройка параметров IPsec VPN-туннеля для устройства TL-R600VPN

(маршрутизатор "B")

 

Шаг 1: Перейдите в IpsecVPN -> IKE, нажмите "Добавить новый" (Add new)

 

Шаг 2: Введите наименование (Policy Name) по своему усмотрению, в данном примере мы используем test2. В пункте режим обмена (Exchange Mode) выберите "Основной" (Main). 

 

 

Шаг 3 : Алгоритм аутентикации (Authentication Algorithm) и алгоритм шифрования (Encryption Algorithm) являются такими же, как и в настройках маршрутизатора "А", в данном примере мы используем MD5 и 3DES.

Шаг 4 : Для DH Group выберите Dh3, так же как и для маршрутизатора "А".

Шаг 5 : Введите Pre-share Key и срок SA Lifetime, убедитесь, что они совпадают с маршрутизатором "А". 

Шаг 6 : Нажмите "Сохранить" (Save).

Шаг 7 : Выберите IPsec в меню слева и нажмите "Добавить новый" (Add new).

 

Шаг 8 : Введите наименование (Policy Name), в данном примере мы используем ipsec2.

Шаг 9 : Введите значения локальной подсети (Local Subnet) и удаленной подсети (Remote Subnet), затем введите значение удаленного шлюза (Remote Gateway), которым является WAN IP-адрес маршрутизатора "А" - 218.18.0.233.

 

Шаг 10 : В пункте режим обмена (Exchange mode) выберите IKE, в пункте протокол защиты (Security Protocol) выберите ESP. 

Шаг 11 : Алгоритм аутентификации (Authentication Algorithm) и алгоритм шифрования (Encryption Algorithm) являются такими же, как и в настройках маршрутизатора "А", в данном примере мы используем MD5 и 3DES.

Шаг 12 : В пункте IKE Security Policy в данном примере мы используем test2.

Шаг 13 : В пункте PFS мы выбираем NONE, в пункте Lifetime введите "28800" или значение по своему усмотрению. 

Шаг 14 : В поле статус выберите "Включить" (Enable)

Шаг 15 : Нажмите "Сохранить" (Save).

Шаг 16 : Нажмите "Включить" (Enable) IPsec и далее нажмите "Сохранить" (Save).

 

 

Проверка IPsec SA

Маршрутизатор "А":

 

Маршрутизатор "B": 

 

 

 

 

 

 

Требования к использованию | Обновлено 04-26-2013 15:05:04 PM

www.tp-link.com

VPN-туннель домой. Настройка клиентов iOS и Android.

Я хотел получить доступ к домашней сети из любой точки мира. Например, с работы или из кино. Чтобы забрать какой-то файл, который я оставил на домашнем компьютере, или поставить кино на закачку, или включить вебкамеру и посмотреть, не зашли ли ко мне воры! В TomatoUSB, который я накатил на роутер, как раз есть всё необходимое.

Сначала надо либо арендовать статический IP у вашего провайдера, либо настроить Dynamic DNS, чтобы когда вы не дома, вы всегда могли знать IP-адрес вашего роутера.

Настройки VPN-сервера находятся в разделе «VPN Tunneling → OpenVPN Server». Сначала нагенерим ключи. На роутере нет интерфейса для генерации ключей, будем генерировать на линуксовой или маковой машине. Генерировать надо там, куда не пройдёт злоумышленник, и там, где вы эти ключи не потеряете.

Скачиваем easy-rsa. Клонируем или качаем архив в разделе «Releases». И заходим в easy-rsa/easyrsa3.

Создаём инфраструктуру ключей:

./easyrsa init-pki

Создаём удостоверяющий центр:

./easyrsa build-ca

Команда спросит пароль, вы будете его вводить каждый раз при создании ключей для нового устройства, так что сделайте его надёжным и не забудьте. Ещё спросит «Common Name» — это имя удостоверяющего центра, и для домашней сети можно ввести что угодно.

Эта команда нагенерит два файла: pki/ca.crt — сертификат, который нужно будет закинуть в роутер и на каждый клиент; и pki/private/ca.key — приватный ключ удостоверяющего центра, которым и будут подписываться ключи для клиентов. Пароль, который вы вводили — от этого ключа.

Теперь сгенерируем ключи для роутера:

./easyrsa build-server-full router nopass

Команда спросит пароль, который вы создали при генерации удостоверяющего центра. И создаст файлы: pki/private/router.key — приватный ключ сервера; и pki/issued/router.crt — сертификат сервера.

Теперь сгенерируем файл Диффи-Хелмана:

./easyrsa gen-dh

Пока команда работает, можно попить чай. Теперь зальём все ключи на сервер. В «VPN Tunneling → OpenVPN Server» на вкладке «Keys» заливаем:

  • в поле «Certificate Authority» содержимое файла pki/ca.crt;
  • в поле «Server Certificate» содержимое pki/issued/router.crt;
  • в поле «Server Key» — pki/private/router.key;
  • в «Diffie Hellman parameters» — pki/dh.pem.

Не забудьте нажать кнопку «Save» внизу.

На вкладке «Basic» в этом разделе всё нормально, я ещё поставил галку «Start with WAN», чтобы VPN-сервер работал всегда, когда есть интернет.

На вкладке «Advanced» ставлю галку «Respond to DNS», чтобы из VPN можно было ходить по локальным адресам типа mediaserver.lan, как я писал в предыдущей статье. И под ней появляется галка «Advertise DNS to clients», чтобы клиент при подключении узнавал, что на роутере есть DNS-сервер, в который надо ходить.

Ещё в «Advanced» я ставлю «Manage Client-Specific Options», и появившуюся под ней «Allow Client ↔ Client» — чтобы VPN-клиенты могли между собой взаимодействовать.

Сохраняемся и нажимаем кнопку «Start Now».

Есть два пути: правильный и удобный. Правильный: сгенерировать приватный ключ и запрос на сертификат на клиенте, передать запрос на сертификат на машину, где удостоверяющий центр, сгенерировать из запроса на сертификат сам сертификат, передать сертификат обратно на клиент. Удобный: одной командой сгенерировать всё в удостоверяющем центре. Я использую правильный, когда выписываю ключ для компьютера, и удобный, когда для мобильного устройства.

Удобный способ:

./easyrsa build-client-full lenin nopass

Это значит «сделай всё для клиента по имени lenin и чтобы без пароля». Чтобы с паролем, надо убрать nopass (будет спрашивать при подключении). Получится два файла: pki/private/lenin.key и pki/issued/lenin.crt — ключ и сертификат соответственно.

Правильный способ описан в доке easy-rsa. В общем, генерируете ключи для всех клиентов. Но лучше сначала для одного сделать и проверить, всё ли вы сделали правильно.

На клиент надо доставить его приватный ключ, его сертификат, сертификат удостоверяющего центра, и, собственно, настройки: на какой сервер ходить, в какой порт стучаться, какой интерфейс использовать, какой протокол и т.п.

Для того, чтобы все эти файлы притащить на клиент, придумали формат .ovpn. Там в одном файле и настройки, и ключ, и сертификаты. Формат его такой:

Настройки списком <ca> сертификат удостоверяющего центра </ca> <cert> сертификат клиента </cert> <key> ключ клиента </key>

Я написал скрипт, который генерирует .ovpn файл из шаблона конфигурации. Там, где у вас удостоверяющий центр, создайте шаблон template.ovpn примерно такой:

client dev tun remote example.com # Замените этот адрес на ваш IP или DDNS-домен resolv-retry infinite nobind persist-key persist-tun verb 1 keepalive 10 120 port 1194 proto udp cipher BF-CBC comp-lzo remote-cert-tls server redirect-gateway key-direction 1 ${ca} ${cert} ${key}

В директории easy-rsa/easyrsa3, в которой вы генерировали ключи и сертификаты, выполните:

./ovpn_maker.sh template.ovpn lenin > lenin.ovpn

Это значит «сгенерируй-ка мне файл lenin.ovpn с ключами для клиента lenin и настройками из template.ovpn». Полученный файл надо закинуть на устройство.

  1. Поставьте OpenVPN Connect.
  2. Скиньте файл .ovpn на телефон.
  3. Откройте OpenVPN Connect, нажмите на кнопку ⋮ в правом верхнем углу и выберите «Import → Import Profile from SD card».
  4. Найдите и импортируйте ваш файл.

Теперь переключитесь на другой WiFi или на мобильный интернет, чтобы проверить подключение. Жмите «Connect» и смотрите, что всё работает. Попробуйте зайти на ваш роутер и на другие сервера вашей домашней сети. Если вы настраивали VPN так, чтобы весь трафик шёл через VPN, то и это проверьте. Например, зайдите на Яндекс.Интернетометр и убедитесь, что ваш IP совпадает с домашним.

Если что-то пошло не так, то можно нажать на ⋮ и выбрать там «Show log file». И разбираться, почему не работает.

Иконку для подключения VPN-туннеля можно вывести на домашний экран. Для этого в приложении нажмите «⋮ → Add Shortcut». Подключения можно переименовывать.

  1. Установите OpenVPN Connect. Теперь надо скинуть .ovpn в телефон.
  2. Подключите телефон к компу и откройте iTunes.
  3. Выберите там ваш телефон, в левой колонке выберите Apps, и прокрутите вниз до секции «File Sharing».
  4. В этой секции выберите OpenVPN, жмите кнопку «Add» и выбирайте ваш файл.
  5. Открывайте на телефоне OpenVPN Connect.
  6. Там увидите ваш файл, он будет называться типа «адрес-сервера/имя-клиенте». Жмите под ним зелёный плюс.

Теперь так же подключитесь к другой сети (соседский WiFi или мобильный интернет), и попробуйте подключить VPN. Проверьте, что можете открыть ресурсы домашней сети. За кнопкой со статусом соединения (Connecting / Connected) скрывается лог, в который надо смотреть в случае проблем.

Подключения тоже можно переименовывать. И включать их можно прямо в настройках айфона: «Settings → VPN». Всё описанное справедливо и для айпада.

Если вы хотите настроить VPN более тонко, и подробнее узнать про ключи и сертификаты, то почитайте большое руководство по установке и настройке OpenVPN на хабре.

isqua.ru

Принципы организации VPN | CiscoTips

VPN (Virtual Private Network) – широко распространённая технология, позволяющая организовывать виртуальные сети поверх существующих реальных сетей. В данной статье речь пойдёт о терминологии и общих принципах, настройка таких сетей будет рассматриваться отдельно.

Не смотря на слово «Private» в названии технологии, существует возможность организации и общедоступных – нешифрованных сетей. Вообще, организация VPN может осуществляться огромным количеством способов с использованием разных технологий (SSL VPN, IPSec, GRE и др.).

Любое построение VPN-а означает создание туннелей, под туннелем подразумевается канал между двумя устройствами, по которому передаётся данные. Важное условие – данные изолированы от особенностей построения канала. Устройство, передающее полезные данные делает это так, как будто бы никакого туннеля нет, а настройка самого туннеля при этом выделяется в отдельную задачу. Существует два типа VPN туннелей:

  1. Remote access VPN – означает, что туннель организуется между приложением на компьютере клиента и каким-либо устройством, которое выступает в качестве сервера и организовывает подключения от различных клиентов (например, VPN-концентратор, маршрутизатор, Cisco ASA и т.п.)
  2. Site-to-site VPN – подразумевает наличие двух устройств (например, маршрутизаторов), между которыми имеется перманентный туннель, в этом случае, пользователи находятся за устройствами, в локальный сетях и на их компьютерах не требуется установки какого-либо специального программного обеспечения.

Первый тип используется для подключения, например, удалённых работников в корпоративную сеть предприятия по защищённому каналу. В этом случае работник может находиться в любом месте, где есть интернет, и программное обеспечение на его компьютере построит туннель до маршрутизатора компании, по которому будут передаваться полезные данные. Второй тип используется в случае необходимости стационарного соединения между двумя удалёнными филиалами, или филиалом и центральным офисом. В этом случае сотрудники без специального ПО работают в локальной сети офиса, а на границе этой сети стоит маршрутизатор, который незаметно для пользователя создаёт туннель с удалённым маршрутизатором и передаёт на него полезный трафик.

В туннеле обычно используется три прослойки протоколов:

  1. Транспортный протокол (например, IP). Это протокол, на котором построена существующая реальная сеть, то есть, он изначально не связан с VPN-ом, но используется для транспортировки инкапсулированных пакетов, содержащих внутри себя зашифрованную, или открытую информацию, относящуюся ко внутренней сети туннеля.
  2. Протокол инкапсуляции (например, GRE) – используется как прослойка между транспортным протоколом и внутренним транспортируемым протоколом.
  3. Инкапсулированный (транспортируемый) протокол (например, IP, IPX, IPSec) – это собственно пакеты внутритуннельной сети, пользователь, подключенный к VPN-у отправляет пакеты, которые на входе в туннель становятся инкапсулированными, например, в GRE, который, в свою очередь, инкапсулируется в транспортный протокол.
Инкапсуляция GRE

Таким образом, общий порядок инкапсуляции, в случае использования site-to-site VPN следующий: пользователь отправляет обычный пакет, пакет доходит до устройства, на котором поднят туннель, устройство заворачивает этот полезный пакет в поле «data» протокола инкапсуляции, который, в свою очередь заворачивается в поле «data» транспортного протокола. После чего из устройства выходит с виду обычный, например, ip пакет, в котором, на самом деле, в поле с полезными данными содержится GRE-пакет, в котором, в свою очередь, содержится другой внутренний IP пакет. Это позволяет использовать независимую адресацию внутри туннеля и снаружи туннеля. Когда целевое устройство получает такой пакет, оно разворачивает его, декапсулируя из него GRE и потом внутренний IP пакет. После чего внутренний пакет направляется получателю. В данной ситуации, как не сложно догадаться, отправитель и получатель ничего не знаю о наличии туннеля, и работают так, как будто бы его нет. При этом в транспортном протоколе используется одна адресация (например, публичные IP адреса), а в транспортируемом протоколе могут использоваться приватные адреса, что не мешает ему транспортироваться через интернет (так как маршрутизация осуществляется для внешнего, транспортного пакета).

ciscotips.ru


Смотрите также