Аппаратный VPN — Активное оборудование Ethernet, IP, MPLS, SDH/PDH… — Форумы NAG.RU

VPN на базе аппаратных средств

VPN на базе автономного программного обеспечения

 

К средствам VPN, выполненным в виде автономного ПО относятся и VPN-шлюзы и VPN-клиенты. Многие компании-производители аппаратных шлюзов дополняют линейку своих продуктов чисто программной реализацией VPN-клиента, который рассчитан на работу в среде стандартной ОС. Что касается программных шлюзов (иногда они называются также «сервера защищенных каналов»), то производители как правило нагружают их некоторыми дополнительными функциями по защите данных, например: функциями по фильтрации траффика и контролю доступа, свойственными брандмауэру. Поэтому граница между брандмауэрами со встроенными функциями VPN и программными VPN-шлюзами очень размыта. Например, таким продуктом является RRAS (Routing and Remote Access Service).RRAS включает в себя усовершенствованный программный многопротокольный маршрутизатор, который поддерживает протоколы маршрутизации RIP и OSPF из TCP/IP. RRAS может быть использован как VPN-шлюз при взаимодействии «сеть-сеть».

VPN на базе аппаратных средств

 

Выделенные аппаратные шлюзы реализованы в виде отдельного аппаратного устройства. Основная функция которого – высокопроизводительное шифрование траффика. VPN-устройствами являются фактическими лидерами практически по всем показателям, кроме одного – стоимости. Аппаратные шлюзы высшего класса обязательно поддерживают IPsec, причем со многими расширениями в виде новых и мощных в криптографическом отношении алгоритмов. Обладают высокой производительностью за счет аппаратной поддержки операций шифрования. По удобству и простоте инсталляции, аппаратные шлюзы обычно намного превосходят программные шлюзы и такие комбинированные решения, как шлюзы на основе брандмауэров и маршрутизаторов. Аппаратное устройство уже при включении готово работать, ему не надо проходить громоздкий процесс инсталляции в среде какой-либо ОС, как это требуется для большинства программных или комбинированных продуктов, а для работы необходимо только задать значения конкретных адресов и, может быть, ключей для установления тоннелей. Многие специалисты считают, что специализированное аппаратное VPN-оборудование является наилучшим решением для ответственных применений. Пример: Permit Enterprise (PE) – IPsec-совместимый комплект VPN-продуктов, разработанный для организации информационного взаимодействия предприятий. PE легко развертывается в уже существующих сетях, не оказывая существенного влияния на производительность сети и конечных пользователей. Его масштабируемая архитектура дает возможность создавать и управлять несколькими VPN. PE является полным решением для построением корпоративных интросетей, экстрасетей и организации удаленного доступа через интернет. Компания «Time step» предлагает 4 различных модификации шлюза: Permit/Gate 1520, 2520, 4520, 7520, которые соответствуют различным размерам проектируемых VPN:

· Permit/Gate 1520 – недорогое автономное устройство для установки в сети предприятия, кроссплатформенна. Эта модель позиционируется компанией «Time step» для связи с другим высокопроизводительным шлюзом этой серии «Time step» Permit/Gate, размещаемом в центральном офисе компании.

· Permit/Gate 2520 и Permit/Gate 4520 – позиционируется для офисов, отделений и малых корпоративных LAN (локальных сетей). Эти устройства больше всего подходят для обеспечения безопасной связи по технологии VPN между несколькими филиалами предприятия.

· Permit/Gate 7520 – прекрасно подходит для приложений, использующих Fast Ethernet, а также имеют возможность поддерживать тысячи удаленных пользователей. В широкомасштабных проектах этот шлюз является очень хорошим средством для построения VPN, связывающей защищенными туннелями сеть центрального офиса предприятия с сетями его филиалов и отделений с сетями его партнеров, а также большим количеством удаленных пользователей, рабочие места которых оснащены другими продуктами линейки Permit Enterprise.

Каждый из шлюзов Permit/Gate поставляется с программной утилитой Permit/Config, которая позволяет удаленно конфигурировать, управлять и модифицировать ПО нескольких шлюзов из любой точки VPN.

Важнейшим достоинством шлюзов Permit/Gate является аппаратная реализация шифрования, что обеспечивает высокую производительность обработки траффика. Permit/Gate 7520 оснащен аппаратными средствами реализации IPsec, которая позволяет поддерживать тысячи VPN-соединений без уменьшения производительности. Это дает возможность относительно легко расширять корпоративную сеть по мере потребности в этом.

12


Дата добавления: 2015-08-11; просмотров: 860;


ПОСМОТРЕТЬ ЕЩЕ:

VPN на базе аппаратных средств

VPN на базе автономного программного обеспечения

 

К средствам VPN, выполненным в виде автономного ПО относятся и VPN-шлюзы и VPN-клиенты. Многие компании-производители аппаратных шлюзов дополняют линейку своих продуктов чисто программной реализацией VPN-клиента, который рассчитан на работу в среде стандартной ОС. Что касается программных шлюзов (иногда они называются также «сервера защищенных каналов»), то производители как правило нагружают их некоторыми дополнительными функциями по защите данных, например: функциями по фильтрации траффика и контролю доступа, свойственными брандмауэру. Поэтому граница между брандмауэрами со встроенными функциями VPN и программными VPN-шлюзами очень размыта. Например, таким продуктом является RRAS (Routing and Remote Access Service).RRAS включает в себя усовершенствованный программный многопротокольный маршрутизатор, который поддерживает протоколы маршрутизации RIP и OSPF из TCP/IP. RRAS может быть использован как VPN-шлюз при взаимодействии «сеть-сеть».

VPN на базе аппаратных средств

 

Выделенные аппаратные шлюзы реализованы в виде отдельного аппаратного устройства. Основная функция которого – высокопроизводительное шифрование траффика. VPN-устройствами являются фактическими лидерами практически по всем показателям, кроме одного – стоимости. Аппаратные шлюзы высшего класса обязательно поддерживают IPsec, причем со многими расширениями в виде новых и мощных в криптографическом отношении алгоритмов. Обладают высокой производительностью за счет аппаратной поддержки операций шифрования.

VPN на базе аппаратных средств

По удобству и простоте инсталляции, аппаратные шлюзы обычно намного превосходят программные шлюзы и такие комбинированные решения, как шлюзы на основе брандмауэров и маршрутизаторов. Аппаратное устройство уже при включении готово работать, ему не надо проходить громоздкий процесс инсталляции в среде какой-либо ОС, как это требуется для большинства программных или комбинированных продуктов, а для работы необходимо только задать значения конкретных адресов и, может быть, ключей для установления тоннелей.

Многие специалисты считают, что специализированное аппаратное VPN-оборудование является наилучшим решением для ответственных применений. Пример: Permit Enterprise (PE) – IPsec-совместимый комплект VPN-продуктов, разработанный для организации информационного взаимодействия предприятий. PE легко развертывается в уже существующих сетях, не оказывая существенного влияния на производительность сети и конечных пользователей. Его масштабируемая архитектура дает возможность создавать и управлять несколькими VPN. PE является полным решением для построением корпоративных интросетей, экстрасетей и организации удаленного доступа через интернет. Компания «Time step» предлагает 4 различных модификации шлюза: Permit/Gate 1520, 2520, 4520, 7520, которые соответствуют различным размерам проектируемых VPN:

· Permit/Gate 1520 – недорогое автономное устройство для установки в сети предприятия, кроссплатформенна. Эта модель позиционируется компанией «Time step» для связи с другим высокопроизводительным шлюзом этой серии «Time step» Permit/Gate, размещаемом в центральном офисе компании.

· Permit/Gate 2520 и Permit/Gate 4520 – позиционируется для офисов, отделений и малых корпоративных LAN (локальных сетей). Эти устройства больше всего подходят для обеспечения безопасной связи по технологии VPN между несколькими филиалами предприятия.

· Permit/Gate 7520 – прекрасно подходит для приложений, использующих Fast Ethernet, а также имеют возможность поддерживать тысячи удаленных пользователей. В широкомасштабных проектах этот шлюз является очень хорошим средством для построения VPN, связывающей защищенными туннелями сеть центрального офиса предприятия с сетями его филиалов и отделений с сетями его партнеров, а также большим количеством удаленных пользователей, рабочие места которых оснащены другими продуктами линейки Permit Enterprise.

Каждый из шлюзов Permit/Gate поставляется с программной утилитой Permit/Config, которая позволяет удаленно конфигурировать, управлять и модифицировать ПО нескольких шлюзов из любой точки VPN.

Важнейшим достоинством шлюзов Permit/Gate является аппаратная реализация шифрования, что обеспечивает высокую производительность обработки траффика. Permit/Gate 7520 оснащен аппаратными средствами реализации IPsec, которая позволяет поддерживать тысячи VPN-соединений без уменьшения производительности. Это дает возможность относительно легко расширять корпоративную сеть по мере потребности в этом.

12


Дата добавления: 2015-08-11; просмотров: 861;


ПОСМОТРЕТЬ ЕЩЕ:

Строим туннели. Разбираемся с новинками VPN

Краткий функционал pfSense 2.0.x 

Программный маршрутизатор на основе ОС FreeBSD с самым большим набором сетевых функций. Первая версия вышла 4 октября 2006 года, разработка новых версий ведется по сей день. Распространяется бесплатно по лицензии BSD License и является общественным достоянием.

Минимальные системные требования выглядят следующим образом:

Процессор — 100 MHz CPU

Оперативная память — 128 MB

Основные функции:

  • Firewall
  • State Table
  • NAT — Network Address Translation
  • Redundancy — два или более файрвола могут быть объединены в отказоустойчивую группу, также поддерживается синхронизация настроек между нимиOutbound and Inbound Load Balancing
    • CARP — CARP из OpenBSD позволяет создать аппаратную защиту от сбоев. Два или более межсетевых экрана могут быть объединены в отказоустойчивую группу. В случае отказа сетевого интерфейса на главном межсетевом экране, активным становится другой. Так же pfSense предоставляет возможность синхронизации настроек: если изменены настройки на одном фаерволле, то они автоматически будут синхронизированы на другом.
    • pfsync — pfsync обеспечивает репликацию состояния фаерволлов. Это означает, что все существующие сетевые соединения сохранятся при выходе из строя одного из фаерволлов, что очень важно для обеспечения отказоустойчивости сети.
  • VPN cервер — IPsec, OpenVPN, PPTP
  • PPPoE сервер
  • Динамический DNS
  • DHCP сервер и шлюз
  • Прокси сервер
  • Captive portal — перенаправление на специальную веб-страницу для авторизации для доступа в Интернет
  • Мониторинг и графические отчеты с использованием RRD
  • Работа в режиме LiveCD
  • Поддержка программных модулей.

 

 

Наиболее значимые расширения:

  • Squid — прокси-сервер
  • Snort — система обнаружения/нейтрализации вторжений.

 

Скриншоты веб-интерфейса pfSense версии 2.0.1:

 

Главная страница веб-интерфейса

Страница настроек Firewall

 

Продолжим настраивать pfSense. На данном этапе стОит немного времени уделить настройкам сетевых интерфейсов. Если вы руководствовались нашим предыдущим обзором по установке pfSense, то в вашей системе уже должно быть как минимум два сетевых адаптера — LAN и WAN.
Заходим на web-морду и направляемся в меню InterfacesПри наведении курсора на меню появится список, в котором первый пункт будет называться (assign), а другие пункты будут называться по именам сетевых интерфейсов. Раздел assign предназначен для добавления, редактирования и удаления всевозможных сетевых интерфейсов (подробнее об этом в конце статьи). Если у вас простая локальная сеть, для которой нужно сделать выход в интернет, то двух интерфейсов LAN и WAN вам должно хватить за глаза.

Чем больше ваша сеть, тем больше вероятность того, что двух стандартных сетевых интерфейсов будет не достаточно. В некоторых ситуациях имеет смысл вывести все сервера в отдельный сегмент, создать гостевую сеть и/или DMZ.

Какие существуют разновидности VPN и чем они отличаются

Как видите, вариантов может быть достаточно много. Помимо этого подключение к интернету может осуществляться через двух провайдеров. Эта схема подключения называется Multi-WAN, мы обязательно рассмотрим настройку Multi-WAN в pfSense в следующих обзорах.

Настройка LAN

Идем в меню Interfaces\LAN, где наблюдаем окно следующего содержания:

  • Галка Enable Interface включает и выключает интерфейс в глобальном смысле этого понятия.
  • Description — описание. Здесь я обычно пишу что-нибудь короткое и подходящее по смыслу, например, в какую подсеть смотрит сетевуха.
  • Type — тип интерфейса и способ получения IP-адреса. static — адрес прописываете сами, DHCP — выдается автоматически. Варианты PPTP, PPPoE — для подключения к интернет-провайдерам. Эти варианты мы рассмотрим чуть позже при настройке WAN-интерфейса.
  • В соответсвующем поле при необходимости можно выставить нужный MAC-адрес. Чаще всего это бывает нужно у некоторых провайдеров. Тоже самое относится к MTU и MSS.
  • Настройка Speed and duplex скорей всего заинтересует только маньяков, ибо в нормальных условиях там никто ничего не меняет.
  • Для интерфейса LAN выбран тип static, поэтому в графе IP address вы вписываете нужный адрес самостоятельно.
  • Gateway — добавлять шлюзы нужно только на интерфейсах «смотрящих» в интернет.
  • Последние две галки отвечают за безопасность, если можно так выразиться. Они блокируют прохождения трафика с частных IP-адресов. По хорошему эти галки нужно ставить только на интернет-подключения.

Скорее всего в интерфейсе LAN уже все будет настроено так как надо еще с момента установки pfSense, когда мы вводили параметры в консоль. Но если вы вдруг чего-либо измените, то после выставления всех настроек не забывайте нажать кнопку Save внизу.

Сразу за этим в верхней части экрана появится предупреждение:
Здесь говорится о том, что настройки были изменены и для того чтобы они вступили в силу нажмите кнопку Apply Changes. Что нужно сделать, думаю понятно 🙂

Настройка WAN

Идем в меню Interfaces\WAN, где наблюдаем уже знакомое окно.
Дома и в небольших конторах подключение к интернету осуществляется через PPPoE или PPTP соединение в сети провайдера. Например, если мы укажем тип PPPoE, то у нас появятся следующие поля:

  • Username, Password, Service name — это вам должен дать провайдер.
  • Галка Dial on demand означает, что подключение будет происходить только тогда, когда это нужно. Если галку не ставить, то соединение будет функционировать постоянно.
  • Idle timeout — время ожидания перед разъединением. Работает только при установленной галке Dial on demand.
  • Опция Periodic reset  — это для тех, кто слышал прикол «не было ни единого разрыва с ноября прошлого года…». Можно задать интервалы времени когда подключение будет пересоздаваться принудительно, чтобы не расстраивать вас разрывами в самый неподходящий момент.
  • Как уже говорилось выше, по необходимости выставляется MTU и MSS. Если рекомендаций провайдера никаких нет, то поля оставляем пустыми. если ваш провайдер делает привязку по MAC-адресу своих абонентов, то нужный MAC введите в поле MAC-address.

Если подключение к интернету осуществляется без создания каких-либо подключений, то Type выбираете static, настраиваете IP-адрес и добавляете Gateway. Если у вас провайдер один, то не забудте поставить галку Default gateway (шлюз по умолчанию), тот который выдал вам провайдер.
Все шлюзы, которые вы добавите будут доступны в специальном разделе, куда можно попасть через меню System\Routing.

Что касается двух последних галок, то на WAN интерфейсе pfSense сам обе галки.

Не забываем нажать кнопку Save внизу и Apply Changes вверху страницы.

Что еще необходимо?

После настройки сетевых интерфейсов вам понадобится еще две вещи — это DNS форвардинг и DHCP-сервер. Первый преобразует имена в IP-адреса, второй — раздает адреса компьютерам вашей локальной сети.
DNS форвардинг по умолчанию включен, и все что нужно сделать — добавить адреса DNS серверов (которые вам должен был выдать провайдер) и вписать их в соответствующий раздел в меню System\General Setup.
Если у вас несколько подключений к интернету, то для каждого DNS-сервера необходимо будет указать, через какой шлюз к нему обращаться (ниспадающий список Use gateway).

DHCP-сервер настраивается в меню Services\DHCP-server:
Здесь в виде закладок будут перечислены все сетевые интерфейсы со статическими адресами. У нас только одна закладка — LAN. Первая галка отвечает за включение/выключение DHCP-сервера на данном интерфейсе.
Самое интересное для нас — это поля Range. Тут указывается диапазон адресов, которые будут раздаваться компьютерам сети. Есть и другие важные параметры, например, DNS servers, WINS servers и Gateway. В pfSense сделано так, что если поля этих параметров не заполнять, то роутер автоматически подставит туда свой IP-адрес интерфейса.
Если нужно некоторым компьютерам постоянно выдавать одни и те-же адреса, то внизу страницы есть табличка соответствия, здесь можно сделать привязку IP-адреса по МАС-адресу. Над табличкой есть кнопка Save. При внесении изменений на странице DHCP-сервера не забывайте нажимать на нее.

В принципе, при таких настройках, компьютеры сети должны беспрепятственно выходить в интернет. Этому способствуют еще два фактора: NAT (меню Firewall\NAT, закладка Outbound), который после установки работает в автоматическом режиме

и базовое правило на встроенном firewall (меню Firewall\Rules, закладка LAN), которое разрешает прохождение трафика из локальной сети в интернет.

Вместо заключения…… можно почитать немного нудной теории… 🙂Сетевые интерфейсы могут быть как физическими в виде отдельных сетевых карт, так и логическими, например, когда на одну сетевую карту подается сразу несколько подсетей, каждая в отдельном VLAN’е. Другой пример логический сетевых интерфейсов — PPPoE, PPTP, например, для объединения нескольких офисов. Вариант применения VLAN’ов хорош тем, что на роутере физически может быть всего одна сетевая карта и на неё будет привязано несколько логический интерфейсов. Недостатка два: скорости сетевухи может не хватить на передачу данных по всем сетям одновременно, для реализации этой затеи ваши коммутаторы должны поддерживать стандарт 802.1q, что чаще всего недоступно для дешевого сетевого оборудования.
Рассмотрим раздел assign в меню Interfaces:

  • На первой закладке Interface Assignements представлен список всех сетевых интерфейсов. Слева идут названия, в ниспадающих списках по центру можно выбрать к какой физической сетевухе или VLAN’у будет привязан тот или иной интерфейс. Правее кнопки удаления уже созданных интерфейсов и самая нижняя кнопка — добавление интерфейса.
  • Вторая закладка Interface Groups — здесь можно объединить несколько физических сетевых карточек в одну логическую. Делается для увеличения полосы пропускания трафика или для резервирования. Например, если объединить две физических сетевухи в один логический канал, но каждую из них подключить к разным коммутаторам одной сети, то в случае поломки одного из коммутаторов связь у нас не оборвется.
  • Третья закладка Wireless. В комп можно вонткнуть беспроводную сетевую карту и сделать из нее точку доступа. Это магическое превращение как раз настраивается здесь.
  • Четвертая закладка VLANs. Здесь указываются номера VLAN’ов, которые нам необходимо «подтянуть» на определенную физическую сетевуху.
  • Закладка PPPs.

    Здесь мы создаем туннели, например, если нам нужно связать несколько офисов одной сетью.

  • И еще одна интересная закладка — Bridges, тут можно объединить несколько сетевых интерфейсов для сквозного прохождения трафика между ними.

Фух! На этом пока всё, начинаем писать продолжение…

Да, кстати, все остальные обзоры про pfSense вы можете почитать по ссылкам:

  1. Введение в pfSense
  2. Установка pfSense
  3. [этот обзор] Сетевые интерфейсы в pfSense
  4. Прокси-сервер в pfSense
  5. Прокси-сервер в pfSense — Часть 2: антивирус и фильтры доступа
  6. MultiWAN в pfSense — подключение к двум провайдерам
  7. pfSense — настройка удаленного доступа (IPSec VPN) для iPhone, iPad

 


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *