Иллюстрированный самоучитель по развертыванию виртуальных частных сетей

Интернет-инфраструктура

Для создания VPN-подключения к VPN-серверу через Интернет:

  • Имя VPN-сервера должно быть разрешено.
  • VPN-сервер должен быть доступен.
  • На VPN-сервере должен быть разрешен входящий и исходящий VPN-трафик.

Разрешение имени VPN-сервера

В большинстве случаев для указания VPN-сервера используется его имя, а не IP-адрес, поскольку имя проще для запоминания. Вы можете использовать имя хоста (например, VPN1.example.microsoft.com) до тех пор, пока оно может быть разрешено в IP адрес. Тем не менее, Вы должны быть уверены, что имя, используемое для VPN-сервера при настройке VPN-подключения, реально существует и доступно в сети Интернет.

Если Вы предпочитаете использовать имена вместо IP-адресов, Вы также можете воспользоваться преимуществами используемого службой DNS алгоритма балансировки нагрузки DNS-карусель (DNS round robin), в том случае, если у Вас есть несколько VPN-серверов с одинаковыми именами. Вы можете создать несколько DNS-записей, устанавливающих соответствие между одним и тем же именем и разными IP-адресами. При этом DNS-сервер возвратит в ответ на запрос DNS-имени все соответствующие этому имени IP-адреса, и укажет их, выстроив в произвольном порядке для обеспечения успешного ответа на запрос. Поскольку большинство DNS-клиентов используют первый адрес из указанных в ответе IP-адресов, то подключения VPN-клиентов между VPN-серверами распределится равномерно.

Доступность VPN-сервера

Для того, чтобы VPN-сервер был доступен в сети, он должен иметь внешний IP-адрес, на который будут пересылаться пакеты из сети Интернет. Обычно не возникает никаких проблем, если статический IP-адрес Вам предоставляет поставщик услуг Интернета. В некоторых случаях VPN-сервер кроме внутреннего IP-адреса имеет также опубликованный IP-адрес, доступный в сети Интернет. Устройство между Интернетом и VPN-сервером транслирует опубликованный и фактический IP-адреса VPN-сервера, передаваемые и принимаемые в пакетах VPN-сервером.

В случае использования маршрутизации VPN-сервер может быть недоступен из-за наличия брандмауэра, маршрутизаторов с фильтрацией пакетов, использования трансляторов сетевых адресов (network address translator, NAT), шлюзов безопасности или других технологий или устройств, которые могут блокировать пакеты, получаемые или отправляемые компьютером VPN-сервера.

Конфигурация VPN-серверов и брандмауэра

Существует два подхода к использованию брандмауэра совместно с VPN-сервером:

  1. VPN-сервер подключен к Интернету, а брандмауэр включен между VPN-сервером и интрасетью.

    В этом случае настройки фильтров пакетов VPN-сервера должны разрешать только входящий и исходящий VPN-трафик от интерфейса Интернета VPN-сервера. Также настройки брандмауэра должны позволять передачу определенных типов трафика удаленного доступа.

  2. Брандмауэр подключен к Интернету, а VPN-сервер включен между брандмауэром и интрасетью.

    В этом случае и брандмауэр и VPN-сервер подключены к сегменту сети под названием сеть периметра (также называемый демилитаризованной зоной (demilitarized zone, DMZ), или экранированной подсетью). И брандмауэр, и VPN-сервер должны быть настроены с помощью фильтров пакетов, разрешающих только входящий и исходящий Интернет-трафик VPN. Данная конфигурация показана на Рисунке 2.

Для получения подробной информации о настройке фильтров пакетов для VPN-сервера и брандмауэра для описанных выше конфигураций, обратитесь к "Приложению А".

Вопросы проектирования: доступ к VPN-серверу из Интернета

При настройке доступа из Интернета для VPN-подключений удаленного доступа, обратите внимание на следующие моменты:

  • Убедитесь в том, что DNS-имена Ваших VPN-серверов разрешаемы в Интернете (для этого нужно зарегистрировать их либо на DNS-сервере в Интернете, либо на DNS-сервере Вашего поставщика услуг Интернета). Проверьте разрешаемость имени каждого из Ваших VPN-серверов, с помощью служебной утилиты ping, напрямую подключившись к сети Интернет. Из-за использования фильтров пакетов утилита ping может выдавать сообщение "Превышен интервал ожидания для запроса" ("Request timed out"), но проверка с помощью утилиты ping, поможет убедиться, что указанное имя соответствует определенному IP-адресу.
  • Убедитесь в том, что IP-адреса серверов доступны из Интернета, запустив утилиту ping с интервалом ожидания в 5 секунд (используйте параметр командной строки -w), на компьютере, напрямую подключенном к Интернету. В качестве аргумента утилиты pingможно указать IP-адрес или имя VPN-сервера. Если Вы видите сообщение об ошибке "Заданный узел недоступен" ("Destination unreachable"), значит VPN-сервер не доступен в сети Интернет.
  • Настройте фильтры пакетов для PPTP-, L2TP-трафика, или обоих типов трафика на соответствующем брандмауэре или на сетевых интерфейсах Интернета и сети периметра VPN-сервера. Для получения дополнительной информации обратитесь к "Приложению А".
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.