Сетевая инфраструктура сайта
Диапазон адресов, принадлежащих подсетии
Если Вы используете диапазон адресов, принадлежащих подсети, никаких дополнительных настроек маршрутизации не требуется. В этом случае VPN-сервер выступает в качестве прокси-сервера для всех пакетов, предназначенных для логических интерфейсов всех других подключенных VPN-маршрутизаторов. Узлы подсети, к которой подключен VPN-сервер, направляют пакеты, предназначенные для логических интерфейсов подключенных VPN-маршрутизаторов, VPN-серверу. VPN-сервер передает полученные пакеты тем VPN-маршрутизаторам, для которых эти пакеты предназначены.
Диапазон адресов, не принадлежащих подсетии
Если Вы используете диапазон адресов, не принадлежащих подсети, Вам необходимо добавить маршруты для этого диапазона в инфраструктуру маршрутизации сайта таким образом, чтобы трафик, предназначенный для логических интерфейсов подключенных VPN-маршрутизаторов, вначале направлялся VPN-серверу, а затем передавался VPN-сервером соответствующему подключенному VPN-маршрутизатору. Вы можете сделать это одним из следующих способов:
- Добавьте на соседнем маршрутизаторе статический маршрут к внутреннему интерфейсу VPN-сервера для диапазона адресов, не принадлежащих подсети. Настройте соседний маршрутизатор таким образом, чтобы он распространял этот маршрут на все другие маршрутизаторы сайта с помощью протоколов динамической маршрутизации, использующихся на Вашем сайте.
- Если VPN-сервер использует протокол OSPF и выступает как динамический маршрутизатор, он должен быть настроен в качестве граничного маршрутизатора автономной системы (Autonomous system boundary router, ASBR), что позволит распространять статический маршрут для диапазона адресов, не принадлежащих подсети, на другие OSPF-маршрутизаторы сайта.
Если Ваш сайт состоит только из одной подсети, Вам необходимо выполнить одно из следующих действий::
- Добавьте на каждом узле сайта статический маршрут к внутреннему интерфейсу VPN-сервера для диапазона адресов, не принадлежащих подсети.
- В сетевых настройках каждого узла сайта в качестве основного шлюза укажите внутренний IP-адрес VPN-сервера.
Поскольку при использовании диапазона адресов, не принадлежащих подсети, требуется дополнительная настройка узлов, для небольшой офисной или домашней сети (SOHO), состоящей из единственной подсети, рекомендуется использовать пул адресов, принадлежащих подсети.
Маршрутизация и VPN-серверы с дополнительными службами
Если на VPN-сервере запущены какие-либо дополнительные службы, данные, предназначенные для них, могут передаваться через Интернет в зашифрованном или открытом виде. Это зависит от того, какой IP-адрес VPN-сервера используется узлом для доступа к той или иной службе:
- Если узел обращается к запущенной на VPN-сервере службе, используя внутренний IP-адрес VPN-сервера, весь трафик передается в зашифрованном виде внутри VPN-туннеля.
- Если узел обращается к запущенной на VPN-сервере службе, используя внешний IP-адрес VPN-сервера, весь трафик передается в незашифрованном виде вне VPN-туннеля.
Способ создания маршрутов на вызывающих маршрутизаторах при установлении VPN-подключений предоставляет возможность доступа к службам, запущенным на отвечающем маршрутизаторе, однако трафик может передаваться не через VPN-подключение. Когда вызывающий маршрутизатор устанавливает VPN-подключение к отвечающему маршрутизатору, создается узловой маршрут, использующий подключение к Интернету. Узловой маршрут к отвечающему маршрутизатору создается таким образом, что отвечающий маршрутизатор становится доступен через Интернет. При отсутствии узлового маршрута VPN-трафик не может отправляться отвечающему маршрутизатору.
Наличие узлового маршрута к отвечающему маршрутизатору приводит к тому, что весь трафик между узлами сайта вызывающего маршрутизатора и внешним IP-адресом отвечающего маршрутизатора передается не через VPN-подключение, а передается в незашифрованном виде через сеть между вызывающим и отвечающим маршрутизаторами.
Например, если вызывающий маршрутизатор устанавливает VPN-подключение к отвечающему маршрутизатору, и после этого узел сайта вызывающего маршрутизатора обращается к общему файловому ресурсу на компьютере отвечающего маршрутизатора, используя его внешний IP-адрес, трафик, направляемый к общему файловому ресурсу, передается не через VPN-подключение, а передается в незашифрованном виде через сеть между вызывающим и отвечающим маршрутизаторами.
В дополнение к этому, если на отвечающем маршрутизаторе настроены фильтры пакетов, которые разрешают передачу только VPN-трафика, весь остальной трафик, направляемый к отвечающему маршрутизатору, будет отклонен. В этой типовой конфигурации все попытки подключений к службам, запущенным на отвечающем маршрутизаторе, будут неудачными, потому что при обращении к этим службам трафик передается не через VPN-подключение..
То, какой IP-адрес VPN-сервера будет использоваться VPN-клиентом для доступа к запущенным на VPN-сервере службам, зависит от способа разрешения имени VPN-сервера. Пользователи и приложения обращаются к сетевым ресурсам, используя преимущественно имена, а не IP-адреса. Имя должно быть разрешено в IP-адрес с помощью служб DNS или WINS. Если DNS- или WINS-инфраструктура сайта не содержит записи соответствия между именем VPN-сервера и его публичным IP-адресом, трафик, направляемый к службам, запущенным на VPN-сервере, всегда будет передаваться через VPN-подключение.
Для предотвращения динамической регистрации публичного IP-адреса VPN-сервера на DNS-сервере сайта, выполните следующее: на VPN-сервере откройте компонент панели управления Сеть и удаленный доступ к сети (Dial-up and Network Connections), выберите подключение к Интернету и откройте свойства компонента Протокол Интернета (TCP/IP) (Internet Protocol (TCP/IP)), нажмите кнопку Дополнительно (Advanced), в диалоговом окне Дополнительные параметры TCP/IP (Advanced TCP/IP Settings) перейдите на вкладку DNS и снимите флажок Зарегистрировать адреса этого подключения в DNS (Register this connection's addresses in DNS).
Для предотвращения динамической регистрации публичного IP-адреса VPN-сервера на WINS-сервере сайта, выполните следующее: на VPN-сервере откройте компонент панели управления Сеть и удаленный доступ к сети (Dial-up and Network Connections), выберите подключение к Интернету и откройте свойства компонента Протокол Интернета (TCP/IP) (Internet Protocol (TCP/IP)), нажмите кнопку Дополнительно (Advanced), в диалоговом окне Дополнительные параметры TCP/IP (Advanced TCP/IP Settings) перейдите на вкладку WINS и установите переключатель в положение Отключить NetBIOS через TCP/IP (Disable NetBIOS over TCP/IP)..