Введение Как известно, технология VPN используется для организации прямого защищенного соединения между клиентами (конечным пользователем и корпоративным офисом) или двумя локальными сетями через общедоступный интернет-канал.
С помощью VPN удаленные пользователи могут получить доступ к серверам предприятия и общаться с различными офисами своей компании.
VPN не требует выделенных линий, поэтому его может использовать любой, у кого есть доступ в Интернет. После установления соединения сотрудник может работать со всеми ресурсами сети, как если бы он находился в офисе.
Но, пожалуй, самым главным преимуществом этой технологии является то, что, несмотря на общедоступную инфраструктуру, прямое VPN-соединение (так называемый VPN-туннель) защищено настолько надежно, что украсть данные или получить несанкционированный доступ к географически распределенной сети практически невозможно.
.
В этой статье мы рассмотрим, как использовать Инспектор дорожного движения контролировать VPN-сотрудничество в корпоративной сети и отслеживать сетевую активность.
Конфигурация
Пусть у нашей компании будет головной офис в Москве и филиал в Санкт-Петербурге.Допустим, нам необходимо объединить питерский офис с московским в единую корпоративную сеть через VPN, а также организовать доступ в Интернет через московский офис и контролировать сетевую активность в обоих офисах.
Предположим также, что VPN создается программно и каждый клиентский компьютер подключается индивидуально.
Основной принцип
В самом общем виде алгоритм настройки будет следующим:- Создайте и настройте VPN-сервер в головном офисе.
- Создайте и настройте VPN-подключения к головному офису со стороны филиала.
- Проверьте работу VPN.
- Установите и активируйте Traffic Inspector на шлюзе в головном офисе.
- Создайте разрешения на внешнем брандмауэре для VPN в инспекторе трафика.
- Добавьте пользователей из ветки в Traffic Inspector.
- Назначайте правила отдельным пользователям и их группам (например, запрещать доступ к определенным ресурсам, настраивать учет и тарификацию ежедневного трафика и т. д.).
- Убедитесь, что правила работают и настройки верны.
Настройка VPN-сервера
Итак, теперь мы знаем общую процедуру настройки и можем перейти к описанию конкретных действий.Для примера мы взяли Windows Server 2012, но то же самое относится и к более ранним версиям (Windows 2003 и 2008).
В сервисе Маршрутизация и удаленный доступ щелкните правой кнопкой мыши на своем сервере и выберите Настройте и включите маршрутизацию и удаленный доступ.
- В открывшемся мастере установки сервера маршрутизации и удаленного доступа нажмите кнопку Дальше и выберите вариант Специальная конфигурация.
- В следующем окне выберите Доступ к виртуальной частной сети (VPN), преобразование сетевых адресов (NAT), маршрутизация локальной сети и нажмите Дальше.
- В последнем окне мастера нажмите кнопку Готовый и запустите службу.
- Теперь заходим в свойства сервера:
и на вкладке Общие установите следующие параметры:
Перейти на вкладку IPv4 и выберите пул статических адресов: 4
Нажмите кнопку Добавлять и назначаем пул адресов (в данном случае выбирается подсеть 192.168.200.1—192.168.200.10 , состоящий из 10 адресов, при этом сервер получает адрес 192.168.200.1):
Перейти на вкладку Ведение журнала и поставь галочку Ведите журнал ошибок и предупреждений.
Щелкните правой кнопкой мыши Порты и выберите Характеристики: 
Для стабильной работы сервера рекомендуется удалить ненужные порты (SSTP, PPOE, L2TP, IKEv2) и создать необходимое количество портов PPTP (в нашем случае нам понадобится 10 таких портов): 
Перейти к элементу Трансляция сетевых адресов (NAT) и добавьте новый интерфейс: 
Выберите подключение к Интернету и установите флажки общий интерфейс, подключенный к Интернету И Включите NAT на этом интерфейсе.
Затем отметьте интерфейс LAN как « Частный интерфейс, подключенный к частной сети ", а внутренний интерфейс похож на Частный интерфейс подключен к частной сети.
Вы получите что-то вроде этого: 
На этом настройка VPN-сервера в головном офисе завершена, и можно переходить к настройке VPN-клиентов в филиале.
Настройка VPN-клиентов
На стороне сервера запустите управление компьютером:
и в разделе Локальные пользователи и группы — Пользователи добавьте нового пользователя и укажите его учетные данные:
Перейдите на вкладку свойств пользователя Входящие звонки и укажите настройки как показано на рисунке (можно также назначить пользователю статический IP):
Теперь на стороне клиента создайте VPN-соединение с использованием операционной системы (в качестве примера возьмем Windows 8).
Для этого в Центре управления сетями и общим доступом выберите опцию Настройка нового соединения или сети и в открывшемся мастере настройки выберите Подключение к рабочему месту: 
Выбирать Использовать мое подключение к Интернету (VPN) и нажмите Дальше : 
Затем введите URL или IP-адрес VPN-сервера, укажите название его местоположения и нажмите кнопку Создавать : 
Настройка Traffic Inspector на VPN-сервере
После настройки VPN-сервера и клиентов можно переходить к установке и настройке самого Traffic Inspector. Обратите внимание, что Traffic Inspector устанавливается только на этом этапе, поэтому работоспособность VPN необходимо заранее проверить стандартными средствами Windows (ping, netstat, Tracert и т. д.).
В конфигураторе Инспектор дорожного движения в настройках сервисов поставьте галочку «Используется» RAS-сервер : 
В главе Правила внешнего брандмауэра в Traffic Inspector создайте два правила - в одном правиле разрешите соединения по TCP на порт 1723 для внешних клиентов, а во втором правиле разрешите соединения по протоколу GRE (опция Указанный тип IP , число 47 ): 
Остальные параметры можно оставить без изменений и оставить значения по умолчанию.
Добавьте в программу новый клиент и укажите способ подключения Подключение через RAS-сервер Windows : 
Остальные настройки аналогичны настройкам клиентов программы.
В данном случае используется авторизация по IP: 
При необходимости вы можете настроить автоматическое отключение клиента при превышении разрешенного баланса или запретить доступ к серверу в определенные дни: 
Traffic Inspector предоставляет пользователям 4 уровня фильтрации трафика – только баннеры, мультимедиа, графика и текст. Чтобы выбрать один из них, установите флажок Установите индивидуальный минимальный уровень фильтрации для пользователя: 
Кроме того, пользователю может быть выделена определенная квота трафика (например, 100 МБ): 
После завершения настройки в главном окне Traffic Inspector появится новая сеть RAS-сервера (dial-in): 
Заключение
Установление VPN-туннеля позволяет обеспечить высокую скорость и безопасность подключения в корпоративной сети, гарантированную пропускную способность, а также экономию средств на сетевой инфраструктуре.При этом проблема сетевой безопасности остается актуальной для VPN. Traffic Inspector восполняет этот пробел, позволяя оперативно отслеживать активность пользователей в Интернете и подключения к корпоративному серверу, включая настройку квоты на трафик , ограничивать доступ к определенным ресурсам, настраивать разные уровни фильтрации для пользователей и многое другое.
При этом от системного администратора не требуется никаких специальных знаний – вся настройка выполняется в Консоли управления Windows (MMC) с помощью удобных пошаговых мастеров.
Теги: #Инспектор ГИБДД #VPN организация #Системное администрирование #информационная безопасность
-
Метеоритный Дождь?
19 Oct, 24 -
Первый Нетбук На Базе Google Android
19 Oct, 24 -
Похвалить Бота?
19 Oct, 24 -
Opensource От Adobe — Css-Библиотека Topcoat
19 Oct, 24
