0
<< предыдущая заметкаследующая заметка >>
19 января 2015
VPN – всё своё «ношу» с собой.

В научно-фантастических произведениях изредка встречается такой забавный гаджет – безразмерный саквояж, в который можно запихивать все что угодно и в совершенно чудовищных количествах. В разных версиях работает он по-разному.

Авторы простодушные, не мудрствуя лукаво, представляют себе внутренний объем этого чудо саквояжа значительно больше внешнего, ну а с немалым весом носимого барахла, если такой вопрос вообще возникает, справляются каким-нибудь антигравитатором. Такие мелочи как размер и ёмкость батареек для постоянно действующего антиграва и свертывателя пространства, автора, в силу простодушия, обычно не волнуют. В крайнем случае автор питает свою конструкцию энергией вакуума.

Авторы просвещенные, чтящие Оккама с его бритвой, поступают иначе. Барахло в саквояже они не таскают, а сам саквояж, в их версии, представляет собой портативный телепортер, связывающий владельца саквояжа со складским помещением значительных размеров.

Эта версия чудо – саквояжа нравится мне значительно больше, и именно её мы сегодня попробуем реализовать. Правда, увы, не в материальном, а в информационном пространстве.

И так мы имеем информацию, много и разной информации. Таскать её всегда с собой очень и очень не правильно, это примерно тоже, что таскать с собой все свои деньги. Телепортер для денег придумали давным-давно, называется «кредитная карта». Деньги спокойно лежат в банке и по необходимости «телепортируются» в банкомат или кассу. Даже потеря или кража кредитки, обычно неприятность, а не катастрофа.

Тоже можно сделать и с информацией. Храним информацию на стационарном компьютере или сетевом накопителе (NAS). От поломок страхуемся зеркалированием (RAID 1), от глупостей и случайностей – резервным копированием (Backup). Доступ к данным получаем по локальной сети, с любого удобного нам устройства.

Все замечательно, проблема только в том, что все это происходит в рамках одной локальной сети. Можно конечно открывать доступ к различным сетевым службам локалки из сети Интернет, но это крайне не безопасный путь. Продолжая «финансовые» аналогии – это примерно тоже, что опубликовать номер своей кредитки, дав возможность любому попытать счастья в отгадывании твоего PIN-кода. :-)

Правильнее установить со своей локальной сетью защищенный канал связи, эдакий виртуальный кабель безразмерной дины. Тот самой информационный «телепортер», который мы собирались построить в начале этой заметки.

Отличные новости – и технологии и оборудование для подобных фокусов существуют и вполне доступны. Совокупно, интересующие нас технологии называются VPN (Virtual Private Network – виртуальная частная сеть).

В рамках данной заметки углубляться в детали технологий мы не станем. Просто констатируем – для реализации задуманного информационного «телепортера» нам понадобится роутер с поддержкой VPN туннелей (VPN Endpoint). Здесь надо быть внимательным. Большинство современных роутеров имеют поддержку VPN pass through. Это прекрасное качество (способность пропускать VPN трафик) совсем не то, что нам надо от роутера. :-) Если в характеристиках роутера указано что он умеет соединяться по протоколам PPTP/L2TP это, хотя и имеет прямое отношение к VPN технологии, говорит только о том, что данный роутер умеет подключаться к VPN сети в качестве клиента.

Поддержка VPN туннелей (VPN Endpoint) предполагает, что роутер сам является «VPN сервером» и к нему, возможно подключение сторонних VPN клиентов. За возможное количество этих клиентов отвечает другая характеристика роутера – число поддерживаемых VPN-туннелей.

Не плохой бюджетный VPN роутер есть в ассортименте компании TP-Link. Называется эта железка (а она действительно железка, корпус выполнен из металла) TL-R600VPN и стоит порядка 60$.


При этом роутер мало того что дешевый, для своего класса устройств, он еще и насквозь гигабитный. И WAN и LAN порты поддерживают скорость соединения 10/100/1000Mbps.

Устройство совсем новое, так что, традиционного для продукции TP-Link, эмулятора WEB интерфейса, позволяющего взглянуть на роутер «изнутри» пока что нет. Отчасти это поправимо. TL-R600VPN у меня под рукой и сделать парочку скриншотов мне совсем не сложно.


День тринадцатый – полет нормальный. :-)

Настройка собственно VPN сервера на роутере, проста до неприличия.

Включаем сам сервер и шифрование трафика. Определяем диапазон локальных IP адресов, которые будут назначаться VPN клиентам при подключении.


Создаем пользователя и придумываем ему пароль (не простой и не короткий, это все-таки публично доступное подключение). Здесь TL-R600VPN конечно не блещет – доступно только 16 VPN туннелей, т.е. 16 одновременных внешних подключений. Для офиса, практикующего удаленную работу, практически неприемлемо, но для дома – за глаза.


Можно подключаться и смотреть, что все получилось. Во вкладке PPTP VPN Server > Connection Status видим подключенных клиентов и их IP.


Кстати, для кого-то это может оказаться важным, локализованного (русского) WEB интерфейса для этого роутера в настоящий момент не существует.

И снова хорошие новости – никаких проблем с удаленным подключением нет, ни в одной из популярных операционных систем. Windows, MacOS, iOS, Android и весь несметный зоопарк Linux-ов изначально имеют в своем составе все необходимое для клиентского подключения к PPTP VPN.


Настройки для Windows (Vista, 7, 8)

  1. Нажмите на «Network and Sharing center» в панели управления;

  2. Нажмите «Set up a new connection or network»;

  3. Выберите «Connect to a workplace» and click «Next»;

  4. Выберите «Use my Internet Connection (VPN)";

  5. В поле «Internet Address» впишите IP адрес своего роутера, в поле «Destination name» укажите «MyVPN»;

  6. Нажмите «Create»;

  7. Нажмите на иконку мониторчика в правом нижнем углу рабочего стола;

  8. Нажмите правой кнопкой на «MyVPN» соединение, и выберите «Properties» из выпадающего меню;

  9. Выберите вкладку «Security» и для поля «Type of VPN» установите значение «Point to Point Tunneling Protocol (PPTP)";

  10. Нажмите «OK»;

  11. Нажмите еще раз на иконку мониторчика, и нажмите «Connect» возле " MyVPN»;

  12. В открывшемся окне введите имя пользователя и пароль и нажмите «OK»;

  13. Когда «MyVPN» соединение, получит статус «Connected» — соединение установлено;


Настройки для Windows XP

  1. Нажмите на «Network and Sharing center» в панели управления;

  2. Нажмите кнопку «Next» для открытия окна «New Connection Wizard»;

  3. Выберите «Connect to the network at my workspace» в окне «Network Connection Type», нажмите «Next»;

  4. Выберите «Virtual Private Network connection» и нажмите «Next»;

  5. Введите " MyVPN» как имя VPN соединения и нажмите «Next»;

  6. В поле «VPN Server» введите IP адрес своего роутера и нажмите «Next»;

  7. Нажмите кнопку «Finish».

  8. Далее в окне VPN соединения, укажите имя пользователя и пароль и нажмите «Connect»;

  9. Когда «MyVPN» сообщит «Connected» — соединение установлено;


Настройки для MacOS X (Tiger, Leopard, Snow Leopard, Lion или Mountain Lion)

  1. Нажмите верхнюю левую иконку Apple, затем нажмите «System Preferences» меню, и в открывшемся окне, нажмите «Network»;

  2. В открывшемся окне Network, нажмите кнопку "+" в нижнем левом углу;

  3. Interface: «VPN»;

  4. VPN Type: «PPTP»;

  5. Service Name: «MyVPN»;

  6. Нажмите кнопку «Create»;

  7. В следующем окне, введите IP адрес своего роутера, установите значение Automatic для параметра Encryption, и нажмите кнопку «Apply»;

  8. Нажмите кнопку «Advanced» и на вкладке Options убедитесь, что установлена галочка возле Send all traffic over VPN Connection, нажмите «OK», затем еще раз кнопку «Apply»;

  9. Теперь нажмите «Connect» и в окне соединения введите имя пользователя и пароль. Нажмите “OK” для установки соединения;


Настройки для iOS (iPhone, iPod touch или iPad)

  1. Перейдите в «Settings -> General -> Network -> VPN»;

  2. Нажмите «Add VPN Configuration»;

  3. Выберите «PPTP», fill following fields;

  4. Введите «MyVPN» как «Description»;

  5. Введите в поле «Server» введите IP адрес своего роутера;

  6. Введите в поле «Account» – имя пользователя;

  7. Установите переключатель «RSA SecurID» в OFF;

  8. Введите пароль в поле «Password»;

  9. Установите «Encryption level» как Auto;

  10. Установите «Send All traffic» в положение ON;

  11. Нажмите «Save»;


Настройки для Android


  1. Перейдите в приложение «Settings» и выберите «Wireless Controls»;

  2. Выберите «VPN settings»;

  3. Выберите «Add VPN»;

  4. Выберите «Add PPTP VPN»;

  5. Введите «VPN name» – «MyVPN»;

  6. Введите «VPN server» – IP адрес своего роутера;

  7. Введите в поля «User name» и «Password», имя пользователя и пароль соответственно;

  8. Нажмите «Connect»;

  9. Когда, маленькая иконка – ключик, появится в области уведомлений – ваш Android, подключен к VPN;


Настройки для Linux (Ubuntu)


  1. Откройте Network Manager через рабочий стол, нажав на иконку «Network Manager» в правом верхнем углу;

  2. Выберите «VPN Connections and Configure VPN»;

  3. Нажмите «Add» для создания нового соединения;

  4. Выберите тип соединения PPTP и нажмите «Create»;

  5. Введите данные нового VPN аккаунта IP адрес своего роутера как имя VPN сервера, и «MyVPN» как имя соединения;

  6. Введите имя пользователя и пароль;

  7. В Advanced Settings, поставьте галочки «MSCHAP» и «MSCHAPv2", а так же «Use Point to Point encryption (MPPE)";

  8. Нажмите «OK» и повторно «OK»;

  9. Запустите VPN, нажав на иконку Network Manager и выбрав «MyVPN» аккаунт;

Ну а теперь – плохие новости. Что бы наш информационный «телепортер» работал, к интернет-подключению предъявляется ряд требований.

Первой и главное – при подключении к провайдеру ваш роутер должен получать Public IP или, говоря по-русски, IP адрес, видимый в сети интернет. Большинство провайдеров предоставляют вам именно такой адрес, но бывают и исключения. Посмотреть, какой же адрес выделил Вам провайдер можно на странице «Status», в разделе «WAN», в строке «IP Address». Если ваш WAN IP (именно его надо указывать в выше приведенных настройках) лежит вне границ нижеприведенных диапазонов – все в порядке.

Диапазоны значений Private IP:

  • 10.0.0.0 – 10.255.255.255

  •  172.16.0.0 – 172.31.255.255

  •  192.168.0.0 – 192.168.255.255

На этом плохие новости, увы, не заканчиваются. Дело в том ваш провайдер может честно выделять вам Public IP, но при каждом новом подключении, отличный от предыдущего. И что тогда указывать в настройках VPN соединения на удаленно подключаемых устройствах?

Для решения это проблемы существует специальный (к сожалению платный) сервис – DynDNS, а внутри роутера – инструмент для работы с этим сервисом «Dynamic DNS». Суть совместной работы сервиса и роутера предельно проста – при регистрации на DynDNS вы придумываете себе некое имя вида myvpn.dyndns.org, сообщаете роутеру ваши регистрационные данные (логин, пароль от сервиса DynDNS и имя myvpn.dyndns.org). После этого роутер, при любой смене WAN IP, немедленно уведомляет об этом сервис DynDNS, а тот в свою очередь сопоставляет полученный от роутера IP адрес с именем myvpn.dyndns.org.

Соответственно, теперь при настройке VPN соединений на удаленно подключаемых устройствах в поле VPN Server мы указываем не IP адрес роутера, который меняется по воле провайдера, а наше имя myvpn.dyndns.org полученное от DynDNS.

Есть и иной способ решения этой проблемы. Многие провайдеры за символическую плату (100-150 рублей в месяц) предоставляют услугу «Статический IP-адрес». Имея постоянный IP, мы, в результате, потратим не больше, чем стоят услуги DynDNS (~35$ в год), зато не будем зависеть от превратностей этого сервиса.

Ну и последняя плохая новость. Если Вы пытаетесь получить удаленный VPN доступ к своей локальной сети, находясь в другой локальной сети с совпадающим диапазоном IP адресов – ничего у вас не получится. По этому для своих локалок я выбираю адресное пространство из диапазона 172.16.0.0 – 172.31.255.255. Дело в том, что традиционно локальные сети используют диапазоны адресов 192.168.0.0 – 192.168.255.255 и 10.0.0.0 – 10.255.255.255. Создавая локальную сеть с адресным пространством, допустим, 172.23.34.1 – 172.23.34.254 у меня практически нет ни единого шанса оказаться в другой локальной сети с такими же адресами. А вот сети с адресами в диапазоне 192.168.0.1 – 192.168.1.254 (настройки по умолчанию для подавляющего большинства роутеров) встречаются на каждом шагу.

И так с настройками и возможными «граблями», в первом приближении, разобрались. VPN соединение установлено. Что нам это дает? Собственно ничего особенного – просто теперь мы можем, практически и любой точки мира получить безопасный доступ к своей локальной сети, всем её данным и сервисами. Можно получить доступ к своему рабочему столу по RDP (Windows), VNC (Linux) или ARD (Mac OS X), подключиться в камере наблюдения, не опасаясь что к ней подключится кто-то еще, получить доступ к приватным ресурсам своего провайдера, недоступным из Интернета, больше не надо таскать с собой флешки и винчестеры, не надо синхронизировать данные и боятся потери важной информации.

Многое выглядит совершенно иначе, когда под рукой есть персональный «телепортер». :-)

Ну и на последок, для тех кто проникся идеями Бесперебойного Интернета, есть у TP-Link и такое решение, совмещающее Dual-WAN и VPN роутер в одном флаконе. Называется – TL-ER6020.


Стоит само собой подороже, но не так что бы слишком – где-то порядка сотни евро.


Источник: VPN – всё своё «ношу» с собой

<< предыдущая заметка следующая заметка >>
Оставить комментарий