СЕТИ VPN и их характеристики

СЕТИ VPN и их характеристики

Удаленный доступ и VPN

Операционная система Windows XP Professional предоставляет ряд способов для создания удаленного соединения с компьютером. На предыдущем уроке говорилось о том, как использовать переносной или стационарный компьютер для прямого доступа и управления другим компьютером. Remote Desktop и Remote Assistance являются полезными инструментами, но вам может и не потребоваться дистанционно использовать другой компьютер. Вам просто нужно установить доступ к нему или к локальной компьютерной сети (LAN).

В этом разделе рассматриваются инструменты, которыми вы, скорее всего, воспользуетесь в подобных случаях. С помощью первого инструмента вы получаете удаленный доступ к компьютеру или своей локальной сети с помощью dial-in-соединения. Вторым инструментом является VPN (Виртуальная частная сеть), которая для безопасной сетевой связи использует не dial-in-соединение, а инфраструктуру интернета.

Удаленный доступ

Первым делом мы обсудим механизм удаленного доступа. С его помощью Windows XP Professional может послать вызов в сеть (или локальный компьютер) и получить к ним доступ, как если бы она была клиентом локальной сети. В этом разделе мы будем говорить об основах установления удаленного доступа с помощью Windows XP Professional, а затем покажем, как конфигурировать сервер удаленного доступа или клиент удаленного доступа.

Что такое удаленный доступ

Термин "удаленный доступ" звучит достаточно понятно и означает, что некто получает доступ к компьютеру или локальной сети из отдаленного места. Это можно осуществить несколькими способами. Скорее всего, вы воспользуетесь dial-in-технологиями.

Как и в отношении других аспектов сетевой работы компьютера, и здесь нельзя забывать об обеспечении безопасности. К нему следует отнести меры по пресечению доступа к удаленному ресурсу неавторизованных пользователей и защиту соединений от проникновения хакеров.

Соединение наборного доступа

Одним из простейших способов установить связь с удаленным компьютером является использование dial-in-модема. Так как большинство людей используют свои модемы для исходящих звонков (dial out), вы можете изумиться, узнав, что модем может принимать и входящие вызовы (incoming calls). Система Windows XP Professional облегчает прием входящих сигналов в ваш компьютер.

Dial-in-модемы имеют один недостаток. Они создают очень медленные соединения, скорость которых значительно ниже обычной скорости локальных сетей. С другой стороны, повсеместное наличие телефонов делает это способ соединения чрезвычайно полезным.

ISDN

ISDN является еще одной технологией, используемой для удаленного доступа. В этом способе также используется dial-up-соединение, но клиенту удаленного доступа и серверу требуется специальное ISDN-оборудование. Также и линия связи устанавливается специально для ISDN. В связи с ограниченным применением линий ISDN этот способ плохо подходит для тех, кто работает в пути.

Хотя ISDN-соединение является более скоростным, чем dial-up-модем (128 Кбит/c против 56 Кбит/с), доступность ISDN-линии связи и ее оборудования могут быть проблематичны. Использовать такую линию лучше всего в филиале офиса, где можно установить выделенную ISDN-линию, закупив необходимое оборудование.

Безопасность

Вы проделали большую работу для создания надежной политики безопасности своей сети. Настройка и выдача разрешений пользователям, наряду с политикой применения паролей, "одевают" на вашу сеть прочный "бронежилет". Соединения удаленного доступа создают, однако, новую лазейку для злоумышленников. Точки входа dial-in часто называют черным ходом в сеть, и они представляют собой постоянную проблему для персонала по безопасности. В системе Windows XP Professional для dial-in-соединений и каналов VPN можно настроить усиленную аутентификацию.

• Интерактивно. Процедура интерактивного входа в систему гарантирует идентичность пользователя и для учетной записи домена, и для локального компьютера. В зависимости от того места, с которого пользователь осуществляет вход в систему, будут присутствовать различные уровни доступа.
• Домен. Когда пользователь входит в сеть, используя удостоверения личности, которые хранятся в Active Directory, то это называется учетной записью домена. Регистрация с доменной учетной записью позволяет пользователю иметь доступ (в рамках разрешений пользователя) к ресурсам всего данного домена, а также домена, с которым установлены доверительные отношения.
• Локальная учетная запись. Когда пользователь регистрируется на локальном компьютере, то он имеет доступ (опять же, в рамках своих пользовательских разрешений) только к ресурсам данного компьютера. Вход в систему с локальной учетной записью не позволяет пользователю получать доступ к LAN и другим доверенным сетям.
• Контроль сетевого доступа. Контроль сетевого доступа применяется для подтверждения идентичности пользователя, когда он пытается получить доступ к сетевому сервису или ресурсу. Этот вид контроля работает преимущественно тогда, когда доступ осуществляется с вышеупомянутыми локальными учетными записями. При любой попытке установить связь с сетевым ресурсом пользователь будет получать напоминание о необходимом удостоверении личности.

Данными типами разрешений и учетных записей можно управлять с помощью оснастки Group Policy (Групповая политика) консоли ММС. Более подробную информацию по этому вопросу можно найти на уроке 9.

Настройка сервера

Процесс настройки удаленного клиента достаточно прост, так как это задание сводится, по большому счету, к созданию конфигурации "клиент-сервер". Создание конфигурации удаленного сервера, напротив, несколько сложнее. К счастью, Windows XP Professional в значительной степени упрощает этот процесс, используя мастер новых подключений (New Connection Wizard).

По существу, на удаленном сервере надо сконфигурировать входящее dial-in-соединение. Когда такое соединение имеется, то оно дает команду Windows XP Professional отвечать на телефонные звонки и устанавливает соединение клиента с компьютером. Для настройки удаленного сервера проделайте следующие шаги.

1. Щелкните на Start\Connect To\Show all connections (Пуск\Подключение\Отобразить все подключения).

2. Щелкните на Create a New Connection (Создание нового подключения) для активизации мастера новых подключений (New Connection Wizard).

3. Щелкните на Next (Далее).

4. Выберите Set up an advanced connection (Установить прямое подключение к другому компьютеру) и щелкните на Next.

5. Выберите Accept incoming connections (Принимать входящие подключения) и щелкните на Next.

6. В появившемся диалоговом окне (рис. 14.1) показан список устройств для входящих соединений.

Рис. 14.1. Выберите dial-in-модем в диалоговом окне Devices for Incoming Connections (Устройства для входящих подключений)

7. Выберите в этом списке модем. Если на компьютере установлено более одного модема, то можно выбрать несколько устройств из списка.

8. Затем появится окно Virtual Private Network (VPN) Connection (Подключение к виртуальной частной сети). Независимо от того, выберете ли вы VPN, нажмите на Next.

9. В следующем окне (рис. 14.2) выберите пользователей, которым разрешается удаленно соединяться с этим сервером. Нажмите на Next.

10. Далее вам представляется список рекомендованных компанией Microsoft сетевых компонентов. Очистите флажки рядом с теми компонентами, которыми вы не будете пользоваться. Следует сказать, что лучше ничего не убирать из этого списка.

11. Закройте New Connection Wizard, щелкнув на Finish (Готово).

Рис. 14.2. Выберите пользователей, которым разрешается использовать удаленный доступ на этом компьютере

После выполнения всех этих шагов в окне Network Connections (Сетевые подключения) появится новый значок Incoming Connections (Входящие подключения).

Примечание. Если значок Incoming Connections уже есть (или вы пытаетесь добавить еще один), то свойства этого значка изменяются, объединяя старый и новый.

Расширенные настройки

Конфигурирование удаленного сервера и клиента достаточно просто. Компания Microsoft включила в этот процесс несколько дополнительных свойств, которые могут оказаться полезными для вашей организации. Эти настройки обеспечивают добавочные уровни безопасности и функциональности. Они находятся в папке Network Connections (Сетевые подключения). Щелкните на Dial-up Preferences (Настройка удаленного доступа) в меню Advanced (Дополнительно) (см. рис. 14.4).

Рис. 14.4. Диалоговое окно Dial-up Preferences (Настройка удаленного доступа)

Примечание. Настройку удаленного доступа можно включать и отключать на клиентских компьютерах в оснастке Group Policy (Групповая политика) консоли ММС. Это делается с помощью отметки флажка Enable the Dial-up Preferences в меню Advanced.

Автонабор. Вкладка Autodial (Автонабор) используется для создания возможности автонабора номера соединения. Она содержит список сетевых адресов и соответствующих им соединений, что позволяет автоматически набирать номер выбранного соединения, когда оно появляется в поле зрения.

Например, если приложение содержит сетевые ссылки, при щелчке на одной из ссылок вам приходится входить в интернет. Система Windows XP Professional задаст вопрос, какое соединение использовать для связи с ISP. В следующий раз при щелчке на этой ссылке Windows XP Professional вспомнит ваш выбор и автоматически наберет номер.

Включить или отключить автонабор не труднее, чем отметить или убрать флажок рядом с соединением. Автонабором можно пользоваться только при наличии включенного Диспетчера автоматических подключений удаленного доступа (Remote Access Auto Connection Manager). По умолчанию эта функция включена на клиентских компьютерах, работающих в среде Windows XP Professional и не являющихся частью домена. Для активизации диспетчера проделайте следующие шаги.

1. Щелкните правой кнопкой мыши на My Computer (Мой компьютер) и щелкните на Manage (Управление) в появляющемся меню.

2. Щелкните дважды на Services and Applications (Службы и приложения) и затем щелкните на Services (Службы) (рис. 14.5).

Рис. 14.5. Активизация Диспетчера автоматических подключений удаленного доступа

3. Щелкните правой кнопкой мыши на Remote Access Auto Connection Manager (Диспетчер автоматических подключений удаленного доступа) и нажмите на Start (Пуск).

Обратный вызов (Callback). Если вы когда-нибудь дозванивались из номера отеля, то знаете, что эти звонки преступно дороги. Одним из способов для человека в поездке дозвониться до удаленного сервера, ничем при этом не рискуя, является создание возможности для ответного звонка на удаленном сервере. В этом случае звонящий регистрируется на удаленном сервере и, если его логин принят, сервер разрывает соединение и сам дозванивается до удаленного клиента.

Обратный вызов реализуется при помощи следующих действий.

1. Щелкните на Start\Connect To\Show all connections (Пуск\Подключение\Отобразить все подключения).

2. Дважды щелкните на значке Incoming Connections (Входящие подключения), чтобы открыть окно свойств подключений.

3. Щелкните на вкладке Users (Пользователи).

4. Выберите пользователя, для которого нужно реализовать эту функцию.

5. Щелкните на Properties (Свойства).

6. Щелкните на вкладке Callback (Обратный вызов) (рис. 14.6).

Рис. 14.6. Реализация обратного вызова

7. Выберите либо Allow the caller to set the callback number (Звонящий может выбрать номер ответного вызова) либо Always use the following callback number (Только этот номер для ответного вызова), а затем не забудьте ввести нужный телефонный номер.

8. Щелкните на ОК.

Реализация обратного вызова зависит от настроек клиента удаленного доступа и сервера удаленного доступа. В таблице 14.1 показаны различные виды поведения при обратном вызове.

Таблица 14.1. Действия при обратном вызове, основанные на настройках клиента и сервера
Настройки удаленного клиента	Настройки удаленного сервера	Действие обратного вызова
Do not allow callback (Не разрешать обратного вызова	No callback (Нет обратного вызова)	Соединение сохраняется.
Do not allow callback (Не разрешать обратного вызова	Set by caller (Устанавливается вызывающим)	Сервер предлагает сделать обратный вызов, клиент отклоняет это предложение, и соединение сохраняется.
Do not allow callback (Не разрешать обратного вызова	Always callback to (Всегда делать обратный вызов)	Сервер предлагает сделать обратный вызов, клиент отклоняет это предложение и соединение разрывается.
Ask me during dialing when server offers (Выдавать запрос при подключении к серверу)	No callback (Нет обратного вызова)	Соединение сохраняется.
Ask me during dialing when server offers (Выдавать запрос при подключении к серверу)	Set by caller (Устанавливается вызывающим)	Появляется диалоговое окно для ввода номера обратного вызова. Введите номер и подождите, пока соединение прервется, и сервер сделает обратный вызов. Для сохранения соединения нажмите клавишу ESC. Процедура обратного вызова будет отменена.
Ask me during dialing when server offers (Выдавать запрос при подключении к серверу)	Always callback to (Всегда по этому номеру)	Удаленный сервер прервет соединение и сделает обратный вызов по номеру, указанному в сетевых подключениях.
Always call me back at the number(s) below (Всегда делать обратный вызов по указанным номерам	No callback (Нет обратного вызова)	Соединение сохраняется.
Always call me back at the number(s) below (Всегда делать обратный вызов по указанным номерам)	Set by caller (Устанавливается вызывающим)	Сервер прерывает соединение и делает обратный вызов номеров, указанных в сетевых подключениях.
Always call me back at the number(s) below (Всегда делать обратный вызов по указанным номерам)	Always callback to (Всегда по этому номеру)	Сервер прерывает соединение и делает обратный вызов номеров, указанных в сетевых подключениях.

Хотя обратный вызов удобен не только для снижения оплаты за пользование телефоном, но в еще большей степени он полезен как мера обеспечения безопасности. При требовании от клиентов делать ответный звонок по определенному номеру в сеть входят только пользователи, знающие правильный номер телефона. При разрыве соединения и обратном звонке с сервера до клиента обмануть сервер становится гораздо труднее.

VPN-соединения

Если вам надо дистанционно устанавливать связь с офисом или любым другим компьютером, то однажды обнаружится, что сеансы dial-up-соединений вредны для вашего кошелька. В связи с тем, что dial-up-соединения устанавливаются по каналам обычной телефонной связи, оплата счетов за междугородные телефонные разговоры становится суровой правдой жизни. Эту неприятность можно легко обойти, воспользовавшись уже существующей инфраструктурой - интернетом. Используя виртуальную частную сеть (VPN), можно установить через интернет связь компьютера-клиента с локальной сетью (LAN). Для формирования безопасного соединения VPN прокладывает туннель в интернете к вашей LAN.

В этом разделе рассматривается процесс конфигурирования VPN и способ соединения клиентов с локальной сетью через интернет. Первое, о чем стоит подумать при установлении связи с локальной сетью, защищенной межсетевым экраном, что межсетевой экран организации должен поддерживать протокол PPTP. Протокол PPTP позволяет VPN устанавливать соединение с локальной сетью через межсетевой экран. Кроме того, VPN-сервер должен быть сконфигурирован для работы с входящими соединениями. VPN-сервер - это приложение, предоставляющее протокол PPTP. Как VPN-сервер, так и VPN-клиент должны иметь действующее интернет-соединение.

Если в организации уже установлен VPN-сервер, то для обустройства Windows XP Professional-клиентов не надо создавать никакой дополнительной конфигурации. Вам требуется только сообщить IP-адрес VPN-сервера своим VPN-клиентам. Если VPN-серверу и VPN-клиенту требуется настройка, то об этом речь пойдет ниже.

В любом случае, VPN-сервер должен иметь маршрутизируемый (routable) IP-адрес. Это значит, что IP-адрес должен находиться в интернете. Если VPN-сервер входит в интернет по коллективному каналу или находится за межсетевым экраном, то у такого сервера нет маршрутизируемого IP-адреса. Однако выйти из этого положения можно, сконфигурировав межсетевой экран с маршрутизируемым адресом. Межсетевой экран затем получает указание направлять VPN-трафик на сервер.

IPSec

IPSec - это набор протоколов, с помощью которого поддерживается безопасный обмен информационными пакетами на IP-уровне. Так как IPSec работает на сетевом уровне, то он предоставляет безопасное средство передачи данных, способное поддерживать любое приложение, использующее IP.

IPSec предоставляет три способа обеспечения безопасности при передаче информации в сети.

• Аутентификация пакетов между отправляющим и принимающим устройствами.
• Сохранение целостности данных при транспортировке.
• Сохранение секретности данных при транспортировке.

IPSec работает в двух режимах: транспортировочном и в режиме туннелирования.

В транспортировочном режиме ESP (Encapsulation Security Protocol) и AHs (Authentication Headers) находятся в исходном IP-пакете между IP заголовком и расширенной информацией заголовка верхнего уровня. Например, в Windows XP IPSec использует режим транспортировки для обеспечения безопасности двухточечного соединения, такого как соединение между Windows XP Professional-клиентом и Windows 2000-сервером.

В режиме туннелирования IPSec помещает исходный IP-пакет в новый IP-пакет и вставляет AH и ESP между IP-заголовком нового пакета и исходным IP-пакетом. Новый IP-пакет указывает направление к конечной точке туннеля, а исходный IP-пакет указывает пункт назначения пакета. Вы можете использовать режим туннелирования между двумя безопасными шлюзами, такими как серверы туннелирования, маршрутизаторы или межсетевые экраны.

IPSec-туннелирование является распространенным режимом. Оно работает следующим образом.

1. Стандартный IP-пакет посылается на IPSec-устройство, где он должен быть зашифрован и направлен в конечную систему по локальной сети.

2. Первое IPSec-устройство, которым в данном случае оказывается межсетевой экран или маршрутизатор, проводит аутентификацию принимающего устройства.

3. Два IPSec-устройства договариваются о шифре и алгоритме аутентификации, которыми будут пользоваться.

4. Отправляющее IPSec-устройство шифрует IP-пакет с информацией и помещает его в другой пакет с AH.

5. Пакет пересылается по TCP/IP-сети.

6. Принимающее IPSec-устройство читает IP-пакет, проверяет его подлинность и извлекает зашифрованное вложение для расшифровки.

7. Принимающее устройство отправляет исходный пакет в пункт его назначения.

Протокол PPTP

Протокол туннелирования от точки к точке (Point-to-Point Tunneling Protocol, PPTP) осуществляет безопасную пересылку данных от удаленного клиента на сервер организации. PPTP поддерживает многочисленные сетевые протоколы, включая IP, IPX и NetBEUI. Вы можете использовать протокол PPTP для создания безопасной виртуальной сети, в которой применяются dial-up-соединения, в рамках локальной сети LAN, WAN или в интернете и других сетях, в основе которых лежит протокол TCP/IP. Для создания PPTP-VPN необходим PPTP-сервер и PPTP-клиент. Пакет программ Windows XP Professional включает в себя необходимые параметры для конфигурирования PPTP-соединений.

Безопасность

Размещая свои сетевые ресурсы в интернете, вы, возможно, переживаете из-за того, что хакер может взломать вашу сеть и получить информацию, защищенную правом собственности, не говоря уже о распространении разрушительного вируса. Но понятие безопасности относится не только к интернет-мародерам. Политика безопасности должна быть на должном уровне и внутри организации. Разумеется, при настройке удаленного доступа следует убедиться, что VPN- или dial-in соединения максимально безопасны.

При конфигурировании VPN-или dial-in-сервера для приема входящих соединений вы распахиваете двери не только авторизованным пользователям, но и неавторизованным тоже. Что можно предпринять в этой ситуации?

Если вы не ждете входящих вызовов на своем VPN- или dial-in-сервере, то лучше отключить соединение. Для этого проделайте следующие шаги.

1. Щелкните на Start\Connect To\Show all connections (Пуск\Подключение\Отобразить все подключения).

2. Щелкните дважды на значке Incoming Connections (Входящие подключения), чтобы открыть окно свойств входящих подключений.

3. Для отключения dial-in-соединений отмените выбор модема, очистив флажок Device (Устройство). Для отключения VPN-соединения отмените выбор опции Virtual Private Network.

4. Щелкните на ОК.

Чтобы снова подключить модем или VPN, проделайте эти же шаги, но выберите модем или VPN-соединение.

Естественно, что при использовании dial-in или VPN-соединений их приходится держать в рабочем состоянии. Примите меры, повышающие безопасность сети. Например, не размещайте телефонный номер модема на своем корпоративном веб-сайте или в списке телефонов компании. Храните его в секрете. Чаще меняйте пароли. И, наконец, пользуйтесь обратным вызовом.

Создание VPN-соединения

Для создания конфигурации VPN-клиента используется мастер нового подключения (New Connection Wizard). Конфигурация создается с помощью следующих шагов.

1. Убедитесь в наличии связи с интернетом.

2. Щелкните на Start\Connect To\Show all connections (Пуск\Подключение\Отобразить все подключения).

3. Щелкните на Create a New Connection (Создание нового подключения). Запустится мастер создания нового подключения (New Connection Wizard).

4. Щелкните на Next (Далее).

5. Выберите Virtual Private Network Connection (Подключение к виртуальной частной сети).

6. Щелкните на Next.

7. Дайте соединению уникальное имя, чтобы его легче было найти.

8. Щелкните на Next.

9. В окне Public Network (Публичная сеть) (рис. 14.8) укажите соединение, которое следует использовать для входа в интернет. Windows XP Professional позволяет устанавливать связь автоматически или вручную. Если вы предпочитаете делать это вручную, то выберите Do not dial the initial connection (Не набирать номер для предварительного подключения.).

10. Щелкните на Next.

11. В окне VPN Server Selection (Выбор VPN-сервера) (рис. 14.9) введите имя или IP-адрес VPN-сервера (например, pptp.widgetech.com).

12. Щелкните на Next.

13. Можно разместить ярлык этого соединения на своем рабочем столе. Сделайте выбор и затем щелкните на Finish (Готово).

Рис. 14.8. Выбор интернет-соединения, которым будет пользоваться VPN-клиент

Рис. 14.9. Введите имя или IP-адрес VPN-сервера

14. В окне Network Connections (Сетевые подключения) появилась новая секция - Virtual Private Network (Виртуальная частная сеть). В этой секции размещается VPN-соединение, которое вы только что сконфигурировали.

15. Если потребуется установить соединение посредством VPN, то нужно дважды щелкнуть на ярлыке, и система Windows XP professional войдет в интернет и установит связь с VPN-сервером. При установке связи с интернетом вручную сначала надо войти в интернет, а затем щелкнуть на ярлыке VPN.

Примечание. Если VPN-сервер устанавливает с интернетом соединение удаленного доступа и имеет IP-адрес, динамически выдаваемый службой ISP, то нужно изменить IP-адрес в диалоговом окне свойств VPN-клиента до того, как предпринять попытку соединения.

Прием VPN-соединения

VPN-соединения можно устанавливать с серверами различного типа. Например, в крупной корпорации может возникнуть потребность в увеличении количества VPN-серверов. Эти серверы будут заниматься только обработкой входящего VPN-трафика и, возможно, будут использовать систему Windows 2000 или.NET Server. С другой стороны, в маленькой организации может быть один VPN-сервер для периодической связи с VPN-клиентом.

Так как мы имеем дело с системой Windows XP Professional, давайте поговорим о том, как конфигурируются эти типы серверов для работы с удаленными пользователями.

Конфигурация VPN-соединения

Со временем вы поймете, что настройки VPN нужно уточнить или изменить. Например, если IP-адрес VPN-сервера приписывается динамически, то придется менять эту настройку VPN-клиента всякий раз, когда VPN-сервер устанавливает связь с интернетом.

Для внесения изменений в VPN-соединения перейдите в окно Network Connections (Сетевые подключения), щелкните правой кнопкой мыши на VPN или на значке Incoming Connections (Входящие подключения) и выберите в ниспадающем меню Properties (Свойства). В зависимости от того, является ли компьютер сервером или клиентом, там будут представлены различные опции.

Диалоговое окно свойств для VPN-клиента показано на рис. 14.10. Диалоговое окно свойств для VPN-сервера показано на рис. 14.11.

В VPN-клиенте опции на вкладке General (Общие) применяются для управления именем хоста или IP-адресом VPN-сервера или интернет-соединения, которое будет использоваться. Опции на вкладке Advanced (Дополнительно) применяются для управления Internet Connection Firewall и для совместного использования VPN-соединения.

В VPN-сервере можно изменять настройки, установленные во время работы мастера нового подключения: включать или отключать VPN, размещать значок в панели заданий во время соединения или указывать пользователей, которые имеют право использовать VPN-соединение.

Рис. 14.10. Диалоговое окно свойств VPN-клиента

Рис. 14.11. Диалоговое окно свойств VPN-сервера

Несколько слов о сервере

Хотя это выходит за рамки вопросов, рассматривающихся в этом курсе, но есть несколько моментов, касающихся сервера, о которых следует помнить при построении VPN-сети.

• Пользуйтесь сервером, на котором установлено минимальное количество сервисов. Ограничьтесь использованием протоколов TCP/IP и PPTP.
• Если сервер расположен в зоне действия межсетевого экрана или в DMZ, то необходимо переадресовывать трафик с внешнего маршрутизируемого IP-адреса сервера на внутренний адрес VPN. Это выполняется с помощью специальной конфигурации межсетевого экрана, которая называется Network Address Translation (Преобразование сетевых адресов), или с помощью канала (говоря на языке Cisco).
• Если нужно разместить VPN-сервер за межсетевым экраном, убедитесь в том, что программа межсетевого экрана пропускает PPTP-пакеты. Некоторые программы этого не делают, и если у вас установлена одна из них, то вы не сможете пользоваться VPN.

Проблемы клиента

Другим местом возникновения проблемы является VPN-клиент. Процесс соединения VPN-клиента с VPN-сервером проходит в несколько этапов. Сначала в VPN-клиенте надо создать два набора настроек TCP/IP для его правильного функционирования. Один набор используется для установки связи с ISP и интернетом, а другой - в VPN-соединении. Кроме того, в таблице маршрутизации VPN-клиента должны быть записаны два маршрута: один направляет пакеты из локальной сети к ISP для дальнейшей отправки в интернет, а другой посылает пакеты на VPN-сервер для использования в локальной сети.

Наиболее распространенные проблемы VPN соединений, связанные с клиентами, перечислены ниже.

Невозможно установить связь с сервером. Если VPN-клиент не может установить связь с VPN-сервером, следует проверить ряд настроек. Убедитесь в том, что сервер подключен к интернету. Для этого с компьютера-клиента выполните пингование (ping) сервера по его IP-адресу. Межсетевой экран может блокировать пинг, но если вы получите сообщение "request timed out", то можете быть уверены в том, что сервер работает некорректно. Если сервер получает свой IP-адрес динамически (при использовании соединения удаленного доступа), убедитесь, что вы изменили IP-адрес VPN-сервера в ярлыке VPN в окне Network Connections (Сетевые подклюяения).

Если VPN-сервер отвечает на пинг своего IP-адреса, то проверьте пингом имя сервера. Если имя не прозванивается, то, возможно, имя сервера не зарегистрировано в домене, или DNS-сервер интернет-провайдера не в порядке.

Проверьте PPTP-фильтрацию. Если на сервере активизирована PPTP-фильтрация, то вы можете увидеть сообщение об ошибке с указанием, что сервер не отвечает. Отключите PPTP-фильтрацию на сервере и попробуйте создать нефильтруемое соединение.

Если удается установить связь при отключенном фильтровании, проверьте, включены ли на сервере UDР-порты 137 и 138, а также TCP-порт 139. Если они не работают, то подключите их, так как NetBIOS-пакеты не могут пересылаться по сети без этих портов. Эти порты следует активизировать на всех маршрутизаторах и межсетевых экранах, находящихся между VPN-сервером и клиентом.

Если вы проделали все указанные шаги, но все равно не можете установить связь с сервером, то проверьте все промежуточные маршрутизаторы на предмет задержки ими GRE (generic routing encapsulating) пакетов. Эту проверку полезно провести вместе с ISP, так как они зачастую используют GRE непосредственно для управления маршрутизацией.

Клиент устанавливает связь, но не может войти в сеть. Другой проблемой является возможность клиента установить связь с сервером, но невозможность войти в сеть. Если VPN-сервер сконфигурирован как контроллер домена, убедитесь в наличии у пользователя учетной записи, которая разрешает удаленный доступ. Если сервер не является контроллером домена, убедитесь в наличии у пользователя соответствующих прав на доступ к серверу.

Winsock прокси-клиент. Если Winsock прокси-клиент активен, то VPN-соединение не может быть установлено. Winsock-прокси переадресовывает пакеты на прокси-сервер до того, как они могут быть инкапсулированы для отправки по каналу VPN. Убедитесь в том, что Winsock прокси-клиент отключен.

Разрешение имени. Если вы подозреваете, что проблема связана с разрешением имени, то пользуйтесь полными именами доменов и IP-адресами при установке связи.

СЕТИ VPN и их характеристики

Удаленный доступ и VPN

Операционная система Windows XP Professional предоставляет ряд способов для создания удаленного соединения с компьютером. На предыдущем уроке говорилось о том, как использовать переносной или стационарный компьютер для прямого доступа и управления другим компьютером. Remote Desktop и Remote Assistance являются полезными инструментами, но вам может и не потребоваться дистанционно использовать другой компьютер. Вам просто нужно установить доступ к нему или к локальной компьютерной сети (LAN).

В этом разделе рассматриваются инструменты, которыми вы, скорее всего, воспользуетесь в подобных случаях. С помощью первого инструмента вы получаете удаленный доступ к компьютеру или своей локальной сети с помощью dial-in-соединения. Вторым инструментом является VPN (Виртуальная частная сеть), которая для безопасной сетевой связи использует не dial-in-соединение, а инфраструктуру интернета.

Удаленный доступ

Первым делом мы обсудим механизм удаленного доступа. С его помощью Windows XP Professional может послать вызов в сеть (или локальный компьютер) и получить к ним доступ, как если бы она была клиентом локальной сети. В этом разделе мы будем говорить об основах установления удаленного доступа с помощью Windows XP Professional, а затем покажем, как конфигурировать сервер удаленного доступа или клиент удаленного доступа.

Что такое удаленный доступ

Термин "удаленный доступ" звучит достаточно понятно и означает, что некто получает доступ к компьютеру или локальной сети из отдаленного места. Это можно осуществить несколькими способами. Скорее всего, вы воспользуетесь dial-in-технологиями.

Как и в отношении других аспектов сетевой работы компьютера, и здесь нельзя забывать об обеспечении безопасности. К нему следует отнести меры по пресечению доступа к удаленному ресурсу неавторизованных пользователей и защиту соединений от проникновения хакеров.