Виртуелна приватна мрежа (VPN)

[vardarce]

Виртуелнa приватна мрежа (VPN)

Виртуелнa приватна мрежа (Virtual Private Network – VPN) е приватна комуникациска мрежа во рамката на јавните мрежи. Транспортот на VPN податоците се одвива преку јавните мрежи (на пример интернет) со користење на стандардни комуникациски протоколи. VPN овозможува на корисниците со оддаелечни локации да преку јавна мрежа едноставно одржуваат сигурна комуникација.


Архитектура

Виртуелната приватна мрежа им овозможува на кориcниците да разменуваат податоци преку врска која е емулирана како директна врска (point-to-point link - PPP) измеѓу клиентите и серверите. PPP емулацијата се добива со енкапсулација на податоците кои се рутираат низ јавната мрежа до крајното одредиште на приватната мрежа. Податоците се шифрирани и пакетите кои се пресретнати во рамката на јавната или делената мрежа неможе да се прочитаат без клуч за дешифрирање. Инфраструктурата на јавната мрежа е небитна затоа што корисникот логички го гледа само својот приватен линк, односно се наоѓа логички во локалната мрежа иако од другите корисници е раздвоен со јавна мрежа.


Технологија на тунелирање

Тунелирање е најважна технолошка компонента на виртуелните приватни мрежи и претставува пренос на пакети со податоци наменети за приватната мрежа преку јавната мрежа. Рутерите на јавните мрежи не се свесни дека пренесуваат пакети кои припаѓаат на приватна мрежа и VPN пакетите ги третираат како нормален сообраќај.

Тунелирање или енкапсулација е метод при кој се користи инфраструктурата на еден протокол за пренос на пакети со податоци кон друг протокол. Наместо да се испраќаат оригиналните пакети, тие се енкапсулираат во посебна структура заедно со протоколите. Таа структура содржи информации потребни за рутирање, односно како да се пренасочуваат пакетите низ мрежата така да новодобиениот пакет да може слободно да се транспортира низ мрежата.


Тунел

Тунелот претставува логички пат на пакетот кој се рутира преку мрежата. Енкапсулираните податоци се рутирани со помош на транспортната мрежа од едниот крај на тунелот со другиот крај. Поимот тунел се воведува затоа што податоците кои патуваат низ тунелот се разбирливи само за оние кои се наоѓаат на неговиот почеток и крај. Овие пакети во мрежата се рутираат како сите останати пакети.

Почетокот и крајот на тунелит се наоѓа во VPN мрежата. Кога енкапсулираните пакети ќе стигнат до одредиштето се прави деенкапсулација и се дистрибуираат до крајното одредиште.

Целиот процес на енкапсулација, транспорт и деенкапсулација на пакетите се нарекува тунелирање.


Особини на тунелирање технологијата

Тунелирање технологијата има особини чии предности значајно допринесуваат за нејзина употреба. Едни од најважните особини на тунелирање се:

-Сигурност - без обзир што тунелот оди низ несигурна јавна мрежа пристапот на податоците кои се тунелирани не е дозволен од неавторизирани корисници, со тоа транспортот го прави релативно безбеден.
-Ниска цена - затоа што се користат јавни мрежи трошоците се доста ниски кога ќе се споредат со трошоците потребни за изнајмување приватни линии или имплементација на приватни интернет мрежи.
-Лесна имплементација - нема потреба за промена на постоечката инфраструктура на јавните мрежи па затоа VPN се импелемнтира многу едноставно на нови корисници.
-Универзалност - поради енкапсулацијата можно е да се користат и податоци кои припаѓаат на нерутабилни протоколи. Исто така се штеди и на бројот на глобални IP адреси кои компаниите мора да ги поседуваат што сепак ја намалува цената на имплементација на виртуелните приватни мрежи.


Протоколи кои се користат при тунелирањето

Тунелирање технологијата користи три врсти на протоколи:

-Протокол носач - овие протоколи служат за рутирање на пакетите по мрежата кон нивното крајно одредиште. Тунелираните податоци имаат енкапсулација со овие протоколи. За рутирање на пакетите по Интернет се користи интернет протоколот (IP).
-Протокол за енкапсулација - овие протоколи служат за енкапсулација на оригиналните податоци и се користат за создавање, одржување и затварање на тунелите. Најчесто користени се PPTP и L2TP протоколите.
-Транспортни протоколи - ги енкапсулира оригиналние податоци за транспорт низ тунелот. Најпознати се PPP и SLIP протоколите.


Управување

Од аспект на управување постојат два пристапи на виртуелните приватни мрежи. Разликуваме VPN со кои управуваат корисниците и VPN кои управуваат провајдери на мрежни услуги (на пример Интернет Сервис Провајдери - ISP). Виртуелните приватни мрежи со кои управуваат провајдерите се делат на основа на тоа каде се наоѓаа опремата која ја го импелементира VPN-от:

-странски провајдери (PE - provide edge)
-странски корисници (CE - customer edge)


Безбедност

Безбедноста е интегрален дел од VPN услугите, затоа што постојат голем број на закани во VPN мрежите:

-Неовластен пристап на VPN сообраќајот.
-Внесување на неовластен сообраќај во VPN (spoofing).
-Бришење на VPN сообраќајот.
-DoS (Denial of Service) напади.
-Напади на инфраструктурата на мрежата преку софтвер за управување на мрежи.
-Измена на конфигурацијата на VPN мрежата.
-Напади на VPN протоколите.

Одбраната од VPN напади се реализира и кај корисникот и на ниво на провајдери што нудат VPN услуги:

-Криптозаштита на пакетите.
-Криптозаштита на контролниот сообраќај.
-Филтри.
-Firewall.
-Контрола на пристапот.
-Изолација.

VPN мрежите кои го користат интернетот или други небезбедни јавни мрежи обично користат разни методи на криптозаштита. Корисници на VPN мрежи со посебни побарувања за безбедност (на пример банките) обично имплементираат и додатна инфраструктура за заштита на податоците.

 

[cYb3rc0re]

ВПН одлична работа, наследуваш ИП адреса од каде што е мрежата, имаш ист пристап на поделени(шерувани) фолдери како да си таму во локалната мрежа, сето тоа преку интернет.

А како може да се креира добар ВПН?

Да речеме, од домашен компјутер кој е во мрежа со други 2 компјутери, да направам ВПН и да можам од интернет кафе или др. место да пристапам до шерувани фолдери кои ми се во мрежата?

 

[VIRTUAL]

Многу корисна работа - дефинитивно. Туку дај кажите како се прави таа мрежа како да се криптира и сите тие процедури... ајде ајде подетално малце

 

[vardarce]

Конфигурирајте го Windows XP Professional да биде VPN сервер

За малите и домашните канцеларии (small office/home office - SOHO), VPN можностите на Windows XP Professional претставуваат вистински благодет. Корисниците што патуваат со лаптоп компјутери или рачни компјутери неизбешно некогаш ќе посакаат датотеки од нивната домашна мрежа затоа што едноставно неможе се да се носи со вас. Овде доаѓа до израз убавината на Windows XP Professional и можноста за always-on конекцијата, како што е на пример АDSL или кабловскиот интернет. Тој always-on линк може да се искористи да ги прифаќа дојдовните VPN конекции и да им дозволи на мобилните корисинци да пристапат до директориумите што се поделени во вашата приватна мрежа.


Windows XP и неговата можност за се во една солуција

Windows XP Professional е создаден како еден чекор солуција за SOHO, превземајќи ги сите корисни функции достапни во Windows ME и додавањето на моќните мрежни функции достапни во Windows 2000. Комбинацијата дозволува лесно создавање на идеални солуции за пристапи преку мрежа (remote access) за SOHO.

Windows XP Professional remote access server можностите се многу слични со тие достапни во Windows 2000 Professional. Компјутер со инсталиран Windows XP може да прифати единствена дојдовна конекција на секој интерфејс што може да прифаќа било каква конекција. На пример Windows XP може да прифаќа конекции на секој од овие интерфејси:

- Dial-up модем сериски интерфејс
- Инфрацрвен интерфејс
- Паралелен порт интерфејс
- VPN интерфејс

Колку и да изгледа невозможно компјутер со Windows XP Professional со погорната конфигурација може да прифати до четири симултани RAS конекции. Но типичната конекција се состои од единствена RAS клиент конекција, дали преку dial-up модем интерфејс или преку VPN интерфејс.


Создадете дојдовна конекција со New Connection Wizard

Како и Windows 2000 Professional така и Windows XP Professional вклучува "New Connection Wizard". Во следните чекори ќе видите како да ја искористите таа можност за да создадете нов VPN сервер интерфејс. Во примерот ќе претпоставиме дека Windows XP Professional машината не е член на Windows NT 4.0 или Windows 2000 домејн. Машината ќе има две мрежни картички, една која ќе биде директно конектирана кон интернет и друга која е конектирана кон локалната мрежа (LAN). Најпрво ќе треба да провериме дали првата мрежна
картичка (таа што е спрема интернет) е подесена за интернет делење (Internet Connection Sharing - ICS). Додека ICS автоматски ја менува IP адресата на LAN мрежната од 192.168.1.1 до 192.168.0.16 лесно е да се промени во таа IP адреса што одговора за вашата локална мрежа. За пример ќе земеме дека вашата мрежа е направена со локални IP адреси во распон од 10.0.0.1 до 10.0.0.24.


Како да создадете VPN сервер интерфејс чекор по чекор

1. Најпрво што треба да направите е да притиснете на "Start" копчето и да отидете во "Control Panel".


2. "Во Control Panel" отворете ја "Network Connections" иконата.


3. Во "Network Connections" прозорецот притиснете на "New Connection Wizard" за да го стартувате визардот (слика 1).

слика 1


4. На "Welcome To The New Connection Wizard" прозорецот притиснете "Next".


5. На "Network Connection Type" прозорецот одберете ја опцијата "Set Up An Advanced Connection" (слика 2).

слика 2


6. На "Advanced Connection Options" страната одберете ја опцијата "Accept Incoming Connections" и притиснете "Next" (слика 3).

слика 3


7. На "Devices For Incoming Connections" нема потреба ништо да одбирате туку едноставно притиснете "Next" (слика 4).

слика 4


8. На "Incoming Virtual Private Network (VPN) Connection" прозорецот одберете ја опцијата "Allow Virtual Private Connections" и притиснете "Next" (слика 5).

слика 5


9. На следната страна "User Permissions" одберете ги корисниците на кои ќе им биде дозволена VPN конекција (слика 6).

слика 6


10. На "Networking Software" одберете ја опцијата "Internet Protocol (TCP/IP)" и притиснете на "Properties" копчето (слика 7).

слика 7


11. Во "Incoming TCP/IP Properties" прозорецот штиклирајте го "Allow Callers To Access My Local Area Network". Ова ќе им дозволи на VPN повикувачите да се конектираат до друг компјутер во мрежата. Ако ова поле не е штиклирано VPN корисниците ќе може да се конектираат и ќе може да ги користат само ресурсите на VPN серверот. После тоа притиснете "OK", вратете се на претходниот прозорец и притиснете "Next" (слика 8).

слика 8


12. На последниот прозорец "Completing The New Connection Wizard" притиснете "Finish" за да ја направите конекцијата.


Откако е направена конекцијата во "Network Connections" ќе добиете една икона со име "Incoming Connection" (слика 9).

слика 9


VPN сервер трикови за оптимизирање

"New Connection Wizard" ви помогна лесно да го направите VPN серверот но сеуште можете нешто екстра да направите за ја оптимизирате вашата VPN конекција. Како прво може да направите PPTP или L2TP/IPSec VPN конекција. Исто така при правењето на конекцијата MPPE 128-битната енкрипција е автоматски оспособена и Microsoft CHAP v2 се користи за авторизација на дојдовните конекции.

Ако сакате VPN клиентите да пристапуваат до ресурситге на внатрешната локална мрежа IP адресата доделена на VPN клиентот треба да биде во истиот распон како на мрежна картичка на VPN серверот што е спрема локалната мрежа. Исто така сите клиенти во локалната мрежа треба default gateway да им биде IP адресата на VPN сервер.

Доколу имате повеќе мрежи со различни IP адреси (multiple network segments) табелата за рутирање на VPN серверот мора да биде конфигурирана со патеките на различните внатрешни мрежи. Можете да ја користите "ROUTE ADD" командата за да ги креирате овие табели за рутирање.

Малите мрежи кои користат VPN сервер со Windows XP Professional сигурно нема да имаат мрежни за сервиси како на пример WINS или DNS. Ако името на приватната мрежа е проблем за VPN клиентите тогаш добро би било да се направи LMHOSTS датотека (TXT датотека) со едноставен текст кој ќе го содржи името и IP адресата. Пример: 10.0.0.2 KAJGANA.

VPN клиентите мора да бидат конфигурирани за поврзување со IP адресата или host името на VPN серверот. Ако VPN серверот има директен линк кон интернет или статичка IP адреса можете да ја искористите таа IP адреса во "configuration interface" на VPN клиентот. Доколку VPN серверот има динамичка адреса ќе мора да користите интернет host и метод на регистрирање на host-тот динамички. Неколку сервиси како на пример DynDNS бесплатно ја нудат таа опција, да ја регистрирате вашата динамичка IP адреса во јавната DNS датабаза, со тоа во секој момент автоматски VPN клиентите преки јавниот домејн ќе ја знаат IP адресата на VPN серверот.

 

[vardarce]

Создадете VPN клиент конекција на Windows XP


Како да создадете VPN клиент интерфејс, чекор по чекор

1. Најпрво што треба да направите е да притиснете на "Start" копчето и да отидете во "Control Panel".


2. "Во Control Panel" отворете ја "Network Connections" иконата.


3. Во "Network Connections" прозорецот притиснете на "Create a new connection" за да го стартувате визардот (слика 1).

слика 1


4. На "Welcome To The New Connection Wizard" страната притиснете "Next".


5. На "Network Connection Type" страната одберете ја опцијата "Connect to the network at my workplace" (слика 2).

слика 2


6. На "Network Connection" страната одберете ја опцијата "Virtual Private Network connection" и притиснете "Next" (слика 3).

слика 3


7. Во "Connection Name" внесете го името на вашата VPN конекција (слика 4).

слика 4


8. На "VPN Server Selection" внесете го името на домејнот или пак IP адресата на серверот кој што требате да се конектирате и после тоа притиснете "Next" (слика 5).

слика 5


9. На последниот прозорец "Completing The New Connection Wizard" притиснете "Finish" за да ја направите конекцијата (слика 6).

слика 6


Конектирање на серверот

Доколку имате инсталирано firewall пред да се конектирате на приватната мрежа ќе мора да го отворите TCP портот 1723 за PPTP. Исто така пред да се конектирате на VPN мрежата не заборавајте да се конектирате на интернет доколку има потреба од такво нешто. Откако ќе ја стартувате конекцијата ќе се појави прозорец (слика 7) каде што ќе мора да го внесете вашиот "User name" и "Password" кој ви е доделен од серверот.

слика 7


Доколку VPN серверот е направен да прима само заштитени податоци дечекирајте ја опцијата "Require data encryption (disconnect if none)" која се наоѓа на "Security" табот во "Properties" прозорецот на вашата VPN клиент конекција (слика 8).

слика 8

 

[NiTr0]

Дали ова може да ми користи за на ги контролирам компјутерите кои ми се врзани во мрежа и кои секој сам одделно се приклучува на интернет? Прашањето ми е дали со вакви конекции другите ПЦ ќе се приклучуваат на интернет само преку мојот ПЦ, ако тој се однесува како сервер?

 

[vardarce]

Дали ова може да ми користи за на ги контролирам компјутерите кои ми се врзани во мрежа и кои секој сам одделно се приклучува на интернет? Прашањето ми е дали со вакви конекции другите ПЦ ќе се приклучуваат на интернет само преку мојот ПЦ, ако тој се однесува како сервер?

Може да се исконфигурира твојата локална мрежа да биде направена преку VPN и сите корисници што ги имаш да се конектираат со VPN (dial-up) конекција за да се поврзат на интернет. Мрежата на велешкиот кабловски оператор е направена на овој начин со VPN.

 

[NiTr0]

Може да се исконфигурира твојата локална мрежа да биде направена преку VPN и сите корисници што ги имаш да се конектираат со VPN (dial-up) конекција за да се поврзат на интернет. Мрежата на велешкиот кабловски оператор е направена на овој начин со VPN.

Кај мене се работи за поделба на ADSL-от и се вкупно 4 ПЦ-а плус мојот, вкупно 5.

 

[macedon89]

Дали можит некој да ми препорачат некој VPN за Германија???