Иллюстрированный самоучитель по развертыванию виртуальных частных сетей

Инфраструктура Интернета

Для создания VPN-подключения к отвечающему маршрутизатору через Интернет необходимо выполнение следующих условий::

  • Имя отвечающего маршрутизатора должно быть разрешимым.
  • Отвечающий маршрутизатор должен быть доступен.
  • На отвечающем маршрутизаторе должны быть разрешены прием и отправка VPN-трафика.

Разрешение имени отвечающего маршрутизатора

При настройке интерфейсов вызова по требованию рекомендуется использовать IP-адреса отвечающих маршрутизаторов, к которым осуществляется подключение, вместо их имен. Если Вы будете использовать имя отвечающего маршрутизатора, разрешаемое в общий IP-адрес, весь трафик, адресованный службам VPN-маршрутизатора, будет передаваться через Интернет в незашифрованном виде.

Доступность отвечающего маршрутизатораа

Для того, чтобы обеспечить доступность отвечающего маршрутизатора, ему необходимо назначить общий IP-адрес, на который будут передаваться пакеты через Интернет. Если маршрутизатор имеет статический общий IP-адрес, полученный от поставщика услуг Интернета или регионального Интернет-регистратора, то проблем, как правило, не возникает. Иногда отвечающий маршрутизатор имеет частный IP-адрес и публичный статический IP-адрес, под которым он известен в Интернете. В этом случае соответствие между публичным и частным IP-адресами устанавливает устройство, находящееся между Интернетом и отвечающим маршрутизатором.

Даже при правильной инфраструктуре маршрутизации отвечающий маршрутизатор может быть недоступен в силу особенностей расположения брандмауэров, маршрутизаторов, фильтрующих пакеты, трансляторов сетевых адресов (NAT), шлюзов безопасности или других устройств, которые могут запрещать прием либо передачу пакетов отвечающим маршрутизатором.

Конфигурация VPN-маршрутизатора и брандмауэра

Существует два подхода к использованию VPN-маршрутизатора совместно с брандмауэром:

  1. VPN-сервер подключен напрямую к Интернету, а брандмауэр расположен между VPN-сервером и сайтом.

    В этом случае на VPN-сервере должны быть настроены фильтры пакетов, разрешающие прием и отправку через интерфейс подключения к Интернету только VPN-трафика. Брандмауэр может быть настроен таким образом, чтобы разрешать передачу определенных типов внутрисетевого трафика.

  2. Брандмауэр подключен к Интернету, а VPN-сервер расположен между брандмауэром и сайтом.

    В этом случае брандмауэр и VPN-сервер подключены к сегменту сети, называемому сетью периметра, также известному как демилитаризованная зона (Demilitarized zone, DMZ) или экранированная подсеть (Screened subnet). Как на VPN-маршрутизаторе, так и на брандмауэре должны быть настроены фильтры пакетов, разрешающие отправку и прием из Интернета только VPN-трафика (эта конфигурация изображена на Рисунке 2).

Для получения детальной информации по настройке фильтров пакетов VPN-сервера и брандмауэра обратитесь к Приложению А.

Вопросы проектирования: доступ к отвечающему маршрутизатору из Интернета

При конфигурировании Интернет-инфраструктуры для VPN-подключений "маршрутизатор-маршрутизатор" необходимо определиться со следующими вопросами:

  • При настройке интерфейсов вызова по требованию используйте IP-адреса отвечающих маршрутизаторов, когда это возможно. Если Вы используете имена, убедитесь, что DNS-имена отвечающих маршрутизаторов могут быть разрешены (для этого нужно зарегистрировать их либо на DNS-сервере в Интернете, либо на DNS-сервере Вашего поставщика услуг Интернета). Проверить разрешение имени каждого отвечающего маршрутизатора можно с помощью служебной утилиты ping. Настройки пакетных фильтров могут быть причиной того, что утилита ping выдаст сообщение о превышении интервала ожидания для запроса, но тем не менее убедитесь, что утилита разрешила указанное имя в соответствующий IP-адрес.
  • Убедитесь, что IP-адреса отвечающих маршрутизаторов доступны из Интернета, запустив утилиту ping с интервалом ожидания в 5 секунд (опция -w) на компьютере, напрямую подключенному к Интернету. В качестве аргумента утилиты ping можно указать IP-адрес или имя отвечающего маршрутизатора. Если Вы получите сообщение об ошибке "Заданный узел недоступен" ("Destination unreachable"), значит отвечающий маршрутизатор недоступен.
  • Настройте фильтрацию пакетов для PPTP-трафика, L2TP-трафика или для обоих типов трафика на соответствующем брандмауэре, а также на сетевых интерфейсах отвечающего маршрутизатора, подключенных к Интернету и к сети периметра. Для получения дополнительной информации обратитесь к Приложению А.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.