====== VPN ====== ===== Описание ===== **VPN** - виртуальная частная сеть, позволяющая объединить в единую сеть пользователей, физически находящихся в различных местах. Кроме того, с помощью VPN можно организовать выход компьютеров локальной сети к интернету по логину/паролю. Обычно VPN используется для организации удалённого доступа к локальной сети: например, в тех случаях, когда пользователю требуется получить доступ к внутренним ресурсам сети предприятия пока он находится в командировке или отпуске. ===== Создание VPN-сети ===== Для того, чтобы начать работу с VPN, необходимо создать виртуальную подсеть, в которой будут появляться VPN-пользователи после подключения. Для этого необходимо перейти в раздел "Провайдеры и сети" и выбрать пункт "Добавить" -> "VPN-сеть". {{:ics-int-vpn.png|Создание VPN-сети}} Необходимо указать диапазон адресов для VPN-сети в формате ip-адрес VPN-интерфейса/маска. Адреса из этого диапазона будут выдаваться пользователям, подключающимся через VPN. Затем выбрать доступные для подключение протоколы - PPTP, L2TP или L2TP+ipsec. Для предоставления пользователям доступа в интернет посредством PPPoE, необходимо выбрать опцию "PPPoE" и указать сетевой интерфейс, который подключен к сети с пользовательскими компьютерами. В том случае, если в вашей сети находятся несколько PPPoE-серверов, вы можете идентифицировать сервер ИКС при помощи поля "Имя сервиса", задав в нем произвольное имя. {{:ics-vpn-show.png|VPN-сеть}} Чтобы сразу перейти к списку пользователей, разрешенных для подключения, нажмите кнопку "Настройки авторизации" на панели созданной VPN-сети. ===== Настройка пользователя ===== Для того, чтобы пользователь мог подключиться к серверу по VPN, необходимо отметить его флажком в списке пользователей в меню VPN - Пользователи. Также нужно указать ему логин и пароль для подключения. {{::ics-vpn-users-list.png|Список пользователей::}} Если пользователь всегда должен получать один и тот же ip-адрес, можно присвоить ему адрес из диапазона VPN-сети во вкладке пользователя "IP-адреса". Этот адрес будет назначаться пользователю при подключении, в противном случае пользователю будет выдаваться первый свободный адрес из VPN-диапазона. Назначение адреса вручную удобно в том случае, если пользователь при подключении не использует ИКС как удаленный шлюз. В таком случае клиенту можно прописать статический маршрут до сетей ИКС. Это делается следующим образом (на примере Windows XP): {{::ics-vpn-client-setup.png|Настройка клиентского подключения::}} В свойствах созданного VPN-подключения во вкладке "Сеть" необходимо выбрать пункт "Протокол интернета TCP/IP", нажать кнопку "Свойства", в открывшемся окне нажать кнопку "Дополнительно" и снять флажок "Использовать основной шлюз в удаленной сети". {{::ics-vpn-console.png|Настройка клиентского подключения::}} После этого пользователю в настройка системы необходимо прописать маршрут вида "Удаленная сеть" -> "Выданный VPN-адрес". ===== Настройка межсетевого экрана ===== Для того, чтобы удалённый пользователи могли подключаться к ИКС через PPTP VPN, необходимо чтобы в [[межсетевой экран|межсетевом экране]] были разрешены правила "Доступ к VPN-серверу" (разрешены входящие соединения на порт 1723) и "Доступ к серверу через GRE-туннели" (разрешен GRE-трафик). ===== Мониторинг подключений ===== Во вкладке модуля [[vpn модуль|VPN]] "Текущие сеансы" можно просмотреть список активных VPN-сессий, именя подключённых пользователей, их ip-адреса и т.д. Любое подключение можно разорвать. ===== Использование ARP-прокси ===== Обычно, если при настройке PPTP-подключения не был указана опция "использовать шлюз в удалённой сети", пользователю необходимо вручную указывать маршрут до компьютеров локальной сети. Для того, чтобы обойти это ограничение, используется технология ARP proxy. В этом случае, при подключении по VPN пользователю выдаётся свободный ip-адрес из общей локальной сети и он может обращаться к ресурсам локальной сети так, как будто он физически находится в ней. Для того, чтобы использовать ARP-proxy, необходимо в свойствах VPN-сети указать диапазон адресов из локальной сети, например если используется локальная сеть 192.168.1.0/24, то для VPN можно выделить диапазон 192.168.1.129/28, таким образом VPN-пользователям можно выдать адреса 192.168.1.130-192.168.1.144.