В каких случаях есть необходимость в использовании VPN сервера в локальной сети.
Возьмем за исходные данные следующее состояние роутера:
Используя эти исходные данные мы можем обеспечить прямой доступ из интернета к роутеру и его сервисам. Например на нашем роутере всегда запущен демонстационный ftp сервер - ftp://guest:guest@russianproxy-zyxel.ddns.net - заходите и проверьте . Также можно обеспечить доступ к любому устройству в локальной сети роутера через настройку проброса портов на роутере, например к IP камере, сетевому хранилищу, серверу баз данных и т.д.
Многие предприятия и частные лица предпочитают обеспечивать своим устройствам, сервисам и данным локальной сети максимальный уровень безопасности, а для именно для этого и предназначена технология виртуальной частной сети VPN - создание защищенной локальной сети поверх общедоступной сети интернет. Все устройства, сервисы и данные локальной сети будут недоступны напрямую из интернета и только установив vpn соединение с vpn сервером на роутере можно получить полноценный доступ из интернета к локальной сети роутера.
По сравнению с прямым доступом из интернета к ресурсам локальной сети по выделенному IP , появляется одно дополнительное необходимое условие - установление впн соединения с роутером на удаленном клиенте, но при этом безопасность доступа к ресурсам локальной сети - максимальна.
На этой странице ниже есть детальное описание настройки vpn сервера на роутере и клиента на windows для установки pptp vpn соединения с роутером с сайта производителя.
После всех настроек мы получили PPTP VPN сервер, имеющий следующие параметры доступа :
Адрес PPTP VPN сервера : russianproxy-zyxel.ddns.net
Имя пользователя : vpn
Пароль : *******
Теперь проверим получившуюся VPN сеть с ноутбука подключенного к интернету через точку доступа на смартфоне :
Установив vpn соединение с vpn сервером на роутере получаем следующую картину:
Теперь работая через впн соединение с роутером, мы можем выходить в интернет через выделенный IP адрес роутера, что видно по сайту internet.yandex.ru на картинке ниже. Также нам доступен, для примера, спутниковый ресивер по его IP адресу в локальной сети 192.168.0.10.
Все вышесказанное подтверждает то, что имея всего лишь ноутбук с установленным на нём впн соединением с роутером, Вы сможете работать точно также, как если бы Вы находились на своём рабочем месте или дома. Вы ни чего не забудите ни дома, ни на работе, так как всегда можете виртуально оказаться и дома, и на рабочем месте. И вообще там, где Вам нужно.
Ниже Вы можете ознакомиться со статьей с сайта производителя роутера http://zyxel.ru/kb/3984 :
Реализация PPTP-сервера на устройстве серии Keenetic с микропрограммой NDMS V2
Вопрос:
Возможно ли реализовать сервер
VPN PPTP на устройстве серии Keenetic с микропрограммой NDMS V2?
Ответ:
Внимание! Статья актуальна для интернет-центров Keenetic II, Keenetic Giga II, Keenetic DSL, Keenetic VOX и Keenetic Ultra!
Начиная с микропрограммы NDMS
V2.05.В.9 в PPTP-сервере интернет-центра по умолчанию протокол MPPE работает с ключом 40
бит, что вызвано изменениями в законодательстве, действующем на территории Таможенного союза России, Белоруссии и Казахстана. В ОС Windows Vista/7/8 по умолчанию протокол MPPE использует для PPTP-подключений 128-битный ключ. Дополнительную информацию, о подключении к PPTP-серверу интернет-центра серии Keenetic (с микропрограммой NDMS V2.05.В.9 и выше) из Windows, вы найдете в статье:
БЗ-4605
Начиная с микропрограммы NDMS версии V2.04.B2 для установки доступен компонент микропрограммы Сервер PPTP.
К встроенному серверу
VPN PPTP можно подключить до 10 клиентов одновременно.
1. Перед началом настройки необходимо зайти в
веб-интерфейс в меню
Система > Компоненты и установить компонент микропрограммы
Сервер PPTP.
О том, как выполнить обновление компонентов микропрограммы NDMS V2 для интернет-центров серии Keenetic, можно прочитать в статье:
БЗ-2681
2. После установки нужного компонента в разделе Приложения появится вкладка Сервер VPN.
При настройке Сервера VPN нужно указать интерфейс интернет-центра Keenetic, к которому будет организован доступ, и пул IP-адресов, которые будут выдаваться PPTP-клиентам.
Например, разрешим удаленным PPTP-клиентам доступ к основной локальной сети:
Внимание! Указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами интерфейсов Keenetic, статическими IP-адресами подключенных устройств и используемыми на интерфейсах DHCP-пулами. При пересечении пулов адресов PPTP-сервера и, например, подсети Home клиент локальной сети может получить адрес, уже занятый в сети PPTP. Это приведет к ситуации, когда локальный хост не будет иметь доступа ни к Интернету (включая ping), ни к управлению интернет-центром Keenetic. При этом использовать одну и ту же подсеть IP-адресов не запрещено, если диапазоны IP-адресов PPTP-клиентов и клиентов локальной сети не будут пересекаться (например, указание диапазона 192.168.1.10-192.168.1.20 для PPTP-сервера и 192.168.1.33-192.168.1.52 для Home при использовании маски 24 бита вполне допустимо).
3.Для подключения к PPTP-серверу используются учетныe записи Keenetic. При настройке пользователя нужно разрешить ему доступ к VPN. Таким образом, учетная запись получает возможность подключаться к встроенному PPTP-серверу. Щелкните мышкой по учетной записи пользователя.
Откроется окно Настройка пользователя VPN. Установите галочку в поле Разрешить доступ к VPN и нажмите кнопку Применить.
О настройках учетных записей пользователей в интернет-центре серии Keenetic с микропрограммой NDMS V2 можно прочитать в статье:
БЗ-2353
Дополнительные функции PPTP-сервера в устройстве Keenetic:
1. C одним логином и паролем можно подключить несколько клиентов (мультлогин), но общее число подключений при этом не может превышать 10. Подробную информацию можно найти в статье:
БЗ-4162
2. Возможность указать статический IP-адрес для PPTP-клиента. Подробная информация представлена в статье:
БЗ-4164
3, Отключение обязательного шифрования MPPE. Для этого в
интерфейсе командной строки нужно выполнить команду
vpn-server mppe-optional (обратная команда
no vpn-server mppe-optional).
4. Включение и отключение трансляции пакетов (NAT), исходящих от PPTP-клиентов в адрес интерфейса VPN-сервера.
Эта функция используется для предоставления доступа в Интернет PPTP-клиентам. Данную возможность можно настроить через веб-конфигуратор устройства или через интерфейс командной строки (CLI). В веб-конфигураторе в меню Приложения > Сервер VPN установите галочку в поле Транслировать адреса клиентов (NAT) для включения NAT. В интерфейсе командной строки нужно выполнить команду ip nat vpn (обратная команда no ip nat vpn). Подробное описано можно найти в статье: БЗ-4187
Ниже представлены ссылки на полезные статьи по настройке встроенного VPN-сервера PPTP интернет-центра серии Keenetic:
- Подключение к VPN-серверу для доступа к локальной сети за Keenetic (VPN-сервер) и для доступа в Интернет через интернет-соединение на Keenetic: БЗ-4187
- Подключение к VPN-серверу для доступа к удаленной сети за Keeneitc (VPN-сервер) с доступом в Интернет через локальное интернет-соединение на VPN-клиенте: БЗ-4185
Подключение к VPN-серверу интернет-центра серии Keenetic для доступа к удаленной локальной сети и для получения доступа в Интернет
Вопрос:
Как настроить подключение к
VPN-серверу интернет-центра серии Keenetic для доступа к удаленной локальной сети и для получения доступа в Интернет через VPN-соединение?
Ответ:
Внимание! Данную реализацию можно использовать как частный случай обычной организации VPN-подключений, описанный в статье БЗ-4185.
При настройке, приведенной в этой статье, увеличится нагрузка на сам VPN-канал и на интернет-канал, к которому подключен интернет-центр Keenetic с VPN-сервером!
Начиная с микропрограммы NDMS V2.05.В.9 в PPTP-сервере интернет-центра по умолчанию протокол MPPE работает с ключом 40 бит, что вызвано изменениями в законодательстве, действующем на территории Таможенного союза России, Белоруссии и Казахстана. В ОС Windows Vista/7/8 по умолчанию протокол MPPE использует для PPTP-подключений 128-битный ключ. Дополнительную информацию, о подключении к PPTP-серверу интернет-центра серии Keenetic (с микропрограммой NDMS V2.05.В.9 и выше) из Windows, вы найдете в статье: БЗ-4605
Для начала выполните настройку VPN-сервера PPTP на интернет-центре серии Keenetic. Инструкция представлена в статье:
БЗ-3984
Затем можно перейти к настройке подключения VPN-клиента к VPN-серверу интернет-центра.
Для подключения к VPN-серверу с удаленного клиента (например, с клиента ОС Windows) необходимо настроить подключение в меню Центр управления сетями и общим доступом > Настройка нового подключения или сети > Подключение к рабочему месту, отметить галочкой пункт Нет, создать новое подключение и далее выбрать Использовать мое подключение к Интернету (VPN).
В настройках подключения нужно указать внешний
"белый" IP-адрес интернет-центра Keenetic (при подключении из Интернета) или локальный IP-адрес (при подключении из локальной сети).
После этого необходимо указать параметры учетной записи для подключения к PPTP-серверу:
После создания VPN-подключения для сокращения времени подключения к серверу можно зайти в меню Центр управления сетями и общим доступом > Изменения параметров адаптера, найти созданное подключение, щелкнуть по нему правой кнопкой мыши, зайти в Свойства > Безопасность > Тип VPN и принудительно установить Туннельный протокол точка-точка (PPTP). Без этой настройки ОС Windows будет последовательно перебирать все возможные варианты VPN-соединений, пока не подключится по протоколу PPTP.
После этих настроек можно производить VPN-подключение. Клиент подключится и получит IP-адрес из указанного пула IP-адресов:
Чтобы
трафик маршрутизировался в VPN-туннель от PPTP-клиента в удаленную подсеть за PPTP-сервером и в сеть Интернет, нужно в настройках PPTP-подключения обязательно установить галочку в поле Использовать основной шлюз в локальной сети (по умолчанию эта галочка установлена). Щелкните правой кнопкой мыши на созданном PPTP-подключении Keenetic_ PPTP, затем нажмите Свойства > Сеть > Протокол интернет версии 4 (TCP\IPv4) > Свойства > Дополнительно
При этом маршрут в удаленную сеть за PPTP-сервером придет автоматически, и сеть за VPN-сервером будет доступна без необходимости ручного добавления статического маршрута.
Для того чтобы получать Интернет от PPTP-сервера при подключении, нужно в веб-конфигураторе интернет-центра в
меню Приложения > Сервер VPN установить галочку в поле Транслировать адреса клиентов (NAT) для включения NAT (или через интерфейс командной строки выполнить команду ip nat vpn).
Внимание! По умолчанию для подключения на PPTP-клиенте должны быть включены шифрование MPPE128 и протокол CCP. Клиент Windows 7/8 самостоятельно может подобрать параметры, поэтому настраивать вручную его не обязательно. Но для других клиентов, например другого интернет-центра Keenetic как для PPTP-клиента, нужно явно включить шифрованиe данных MPPE и CCP (БЗ-2332), иначе клиент не сможет подключиться. Для отключения обязательного использования шифрования при подключении к PPTP-серверу в интерфейсе командной строки нужно выполнить команду vpn-server mppe-optional (обратная команда
no vpn-server mppe-optional).
Посмотреть статистику VPN-сервера можно через веб-интерфейс в меню Системный монитор > VPN-сервер.
Ключевые слова
gre, ndm, pptp, vpn, туннель