Иллюстрированный самоучитель по развертыванию виртуальных частных сетей

Инфраструктура интрасети

Маршрутизация

Поскольку VPN-сервер является IP-маршрутизатором, его необходимо соответствующим образом настроить. На каждом VPN-сервере должны быть определены маршруты ко всем сетевым ресурсам, к которым необходимо иметь доступ. В частности, для каждого VPN-сервера необходимо настроить следующие маршруты:

  • Маршрут по умолчанию, к брандмауэру или маршрутизатору, напрямую подключенному к Интернету. Этот маршрут обеспечивает доступ ко всем ресурсам в Интернете.
  • Один или несколько обобщающих маршрутов к соседнему маршрутизатору интрасети.

    Эти маршруты позволяют получить доступ к ресурсам интрасети, к которой подключен VPN-сервер. Без этих маршрутов невозможно будет получить доступ к узлам интрасети, не подключенным непосредственно к той же подсети, что и VPN-сервер.

Чтобы добавить маршрут по умолчанию, который подключен к Интернету, настройте интерфейс Интернета с основным шлюзом и затем вручную настройте интерфейс интрасети без основного шлюза.

Вы можете добавить маршруты интрасети в таблицу маршрутизации VPN-сервера двумя способами:

  • Добавить статические маршруты с помощью оснастки Маршрутизация и удаленный доступ (Routing and Remote Access). Вам не нужно добавлять маршрут для каждого сегмента в Вашей интрасети. Достаточно добавить только маршруты, которые объединяют все возможные адреса в Вашей интрасети. Например, если ваша интрасеть использует диапазон частных адресов 10.0.0.0/8 для собственных подсетей и узлов, то Вам не нужно добавлять маршрут для каждого сегмента. Добавьте только маршрут для 10.0.0.0 с маской подсети 255.0.0.0, к соседнему маршрутизатору сегмента интрасети, к которой подключен VPN-сервер.
  • Если в Вашей интрасети используются протоколы маршрутизации RIP (Routing Information Protocol) или OSPF (Open Shortest Path First), Вы можете добавить и настроить эти протоколы в качестве компонентов службы маршрутизации и удаленного доступа. Таким образом VPN-сервер будет участвовать в распространении информации маршрутизации в качестве динамического маршрутизатора.

Если Ваша интрасеть состоит из единственного сегмента, дополнительных настроек не требуется.

Доступности VPN-клиентов из интрасети зависит от настроек VPN-сервера для присвоения IP-адресов VPN-клиентам. IP-адреса могут присваиваться VPN-клиентам после подключения следующими способами:

  • Из диапазона адресов принадлежащих подсети (диапазон адресов внутренней подсети, к которой подключен VPN-сервер).

    Диапазон адресов, принадлежащих подсети, используется в том случае, если VPN-сервер использует DHCP для присвоения IP-адресов VPN-клиентам, и в случае, когда имеется настроенный вручную пул (пулы) IP-адресов из диапазона адресов подключенной подсети.

  • Из диапазона адресов, не принадлежащих подсети (диапазон адресов другой подсети, к которой VPN-сервер подключен логически).

    Диапазон адресов, не принадлежащих подсети, используется в случае, если сервер настроен вручную для использования пулов IP-адресов из отдельной подсети.

Если Вы используете диапазон адресов, принадлежащих подсети, то дополнительных настроек маршрутизации не требуется, а VPN-сервер выполняет роль прокси-сервера для всех пакетов, направляемых к VPN-клиентам. Маршрутизаторы и узлы подсети VPN-сервера отправляют пакеты, направленные VPN-клиентам на VPN-сервер, который пересылает их соответствующему VPN-клиенту.

Если Вы используете диапазон адресов, не принадлежащих подсети, необходимо добавить маршрут (маршруты), объединяющий диапазон адресов, не принадлежащих к подсети, с инфраструктурой маршрутизации интрасети. Созданные маршруты должны обеспечивать, что трафик, направляемый VPN-клиентам, будет перенаправляться на VPN-сервер, а затем отправляться VPN-сервером соответствующему VPN-клиенту. Вы можете добавить маршруты, объединяющие диапазон адресов, не принадлежащих к подсети, с инфраструктурой маршрутизации интрасети, следующими способами:

  • Для диапазона адресов, не принадлежащих подсети VPN-сервера, на соседнем маршрутизаторе добавьте статические маршруты, к интерфейсу интрасети VPN-сервера. Настройте соседний маршрутизатор таким образом, чтобы он распространял этот статический маршрут на все другие маршрутизаторы интрасети с помощью протоколов динамической маршрутизации, применяемых в Вашей сети.
  • Если VPN-маршрутизатор использует протокол OSPF и выступает в роли динамического маршрутизатора, то он должен быть настроен в качестве граничного маршрутизатора автономной системы (Autonomous system boundary router, ASBR), чтобы распространять статические маршруты диапазона адресов, не принадлежащих подсети VPN-сервера, на другие OSPF-маршрутизаторы интрасети.

Если Ваш интрасеть состоит только из одного сегмента, Вы должны либо настроить на каждом узле сети постоянные маршруты, к интерфейсу интрасети VPN-сервера для диапазона адресов, не принадлежащих подсети, либо указать на каждом узле сети IP-адрес интерфейса интрасети VPN-сервера в качестве основного шлюза. Для сети SOHO, состоящей из единственного сегмента, рекомендуется использовать пул адресов, принадлежащих подсети.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.