Инфраструктура интрасети
Маршрутизация и VPN-серверы с дополнительными службами
Если на VPN-сервере запущены дополнительные службы, то данные, предназначенные для них, могут передаваться через Интернет в зашифрованном или открытом виде. Это зависит от того, какой IP-адрес VPN-сервера используется узлом для доступа к службе:
- Если VPN-клиент обращается к запущенной на VPN-сервере службе, используя внутренний IP-адрес VPN-сервера, то весь трафик передается в зашифрованном виде внутри туннеля VPN-подключения.
- Если VPN-клиент обращается к запущенной на VPN-сервере службе, используя внешний IP-адрес VPN-сервера, то весь трафик отправляется в незашифрованном виде вне туннеля VPN-подключения.
В зависимости от способа создания маршрутов на VPN-клиентах удаленного доступа при установлении VPN-подключения, возможно подключение к службам, запущенным на VPN-сервере, однако, трафик может пересылаться вне VPN-подключения. Когда VPN-клиент удаленного доступа устанавливает VPN-подключение к VPN-серверу, он создает следующие маршруты в таблице маршрутизации IP VPN-клиента:
- Маршрут по умолчанию, использующий VPN-подключение.
Новый маршрут по умолчанию для VPN-подключений эффективно заменяет существующий маршрут по умолчанию на протяжении всего подключения. После создания подключения весь трафик, который не предназначен для адресов в непосредственно подключенной сети или адресам VPN-сервера, отправляется через VPN-подключение.
- Узловой маршрут к VPN-серверу, использующий подключение по локальной сети.
Узловой маршрут к адресу VPN-сервера создается таким образом, что VPN-сервер оказывается доступен из локально подключенной сети. Если узловой маршрут отсутствует, VPN-трафик не может быть отправлен на VPN-сервер.
В результате использования узлового маршрута для VPN-сервера весь трафик, пересылаемый между приложениями, запущенными на VPN-клиенте и приложениями на VPN-сервере, использующими внешний IP-адрес VPN-сервера, не будет пересылаться внутри VPN-подключения, а вместо этого будет отправляться незашифрованным по сети между VPN-клиентом и VPN-сервером.
Например, если VPN-клиент удаленного доступа устанавливает VPN-подключение к VPN-серверу, и после этого узел внутренней сети VPN-клиента обращается к общему файловому ресурсу на компьютере VPN-сервера, используя его внешний IP-адрес, трафик к общему файловому ресурсу не передается через VPN-подключение, а передается в открытом виде через сеть между VPN-клиентом и VPN-сервером.
В дополнение к этому, если на VPN-сервере настроенные фильтры пакетов разрешают передачу только VPN-трафика, весь остальной трафик, посылаемый VPN-серверу, будет отклонен. В этой типовой конфигурации все попытки подключений к службам, запущенным на VPN-сервере, будут неудачны, потому что трафик, передаваемый к этим службам, передается не через VPN-подключение.
IP-адрес, используемый VPN-клиентом для доступа к запущенным на каждом VPN-сервере службам, зависит от способа разрешения имени VPN-сервера. Пользователи и приложения обращаются к сетевым ресурсам преимущественно используя имена, а не IP-адреса. Имя должно быть разрешено в IP-адрес с помощью служб DNS или WINS. Если инфраструктура DNS или WINS интрасети не содержит записи о соответствии между именем и внешним IP-адресом VPN-сервера, трафик к службам, запущенным на VPN-сервере, всегда будет передаваться через VPN-подключение.
Для предотвращения динамической регистрации внешнего IP-адреса VPN-сервера на DNS-сервере интрасети, выполните следующее: на VPN-сервере откройте компонент панели управления Сеть и удаленный доступ к сети (Dial-up and Network Connections), выберите подключение к Интернету и откройте свойства компонента Протокол Интернета (TCP/IP) (Internet Protocol (TCP/IP)), нажмите кнопку Дополнительно (Advanced), в диалоговом окне Дополнительные параметры TCP/IP (Advanced TCP/IP Settings) перейдите на вкладку DNS и снимите флажок Зарегистрировать адреса этого подключения в DNS (Register this connection's addresses in DNS).
Для предотвращения динамической регистрации внешнего IP-адреса VPN-сервера на WINS-сервере интрасети, выполните следующее: на VPN-сервере откройте компонент панели управления Сеть и удаленный доступ к сети (Dial-up and Network Connections), выберите подключение к Интернету и откройте свойства компонента Протокол Интернета (TCP/IP) (Internet Protocol (TCP/IP)), нажмите кнопку Дополнительно (Advanced), в диалоговом окне Дополнительные параметры TCP/IP (Advanced TCP/IP Settings), перейдите на вкладку WINS и установите переключатель в положение Отключить NetBIOS через TCP/IP (Disable NetBIOS over TCP/IP).
Перед созданием VPN-подключения VPN-клиент использует инфраструктуру DNS сети Интернет для определения имени компьютера VPN-сервера по его внешним IP-адресам. После создания VPN-подключения, предполагая, что DNS- и WINS-серверы интрасети настроены либо во время процесса PPP-подключения или через перенаправление сообщения DHCPInform, VPN-клиент использует инфраструктуру DNS и WINS интрасети для разрешения имени компьютера VPN-сервера по его внутреннему IP-адресу в интрасети.