VPN сервер за роутером
Давно хотелось иметь возможность попадать в свою домашнюю сеть из любой точки интернета. В большинстве случаев описанных в примерах роутер и VPN сервер являлись одной и тоже физической машиной, а в моем случае VPN сервер будет внутри сети за роутером и клиент, подключающийся по VPN должен будет попадать в мою сеть в том же диапазоне адресов что и локальные участники, чтоб максимально упростить совместную работу.
Все это мне удалось сделать из интернета от стрим, роутера D-link DSL-2640u/BRU/D и сервера на основе Ubuntu 9.10 и выглядит это примерно так:
Благо стим выдает реальные адреса при подключении и нет необходимости в подключении каких-либо услуг с его стороны за дополнительные деньги.
Настраиваем роутер
Для начала идем на роутер и настраиваем проброс VPN: Advanced Setup → NAT → Virtual Servers → Add. Выбираем PPTP в списке, вводим IP сервера и жмем «Save/Apply». Отдельно разрешать протокол GRE нигде не нужно. Потом сужаем диапазон адресов, выдаваемых по DHCP: Advanced Setup → LAN, там меняем End IP Address, я поставил себе 192.168.1.99 для того чтобы они не пересекались с выдаваемыми VPN сервером.
Мой роутер поддерживает Dynamc DNS, это очень удобно чтоб при подключении к VPN не вводить IP, который у стрима меняется каждые 24 часа, а вместо него удобное DNS имя. Идем в Advanced Setup → DNS → Dynamic DNS, жмем Add и вводим параметры.
Устанавливаем VPN сервер
Теперь переходим к серверу. Для начала нам понадобится сам VPN сервер (в linux он называется pptpd). Устанавливаем:
sudo apt-get install pptpd
Демон запущен и слушает порт tcp/1723, если на сервере используется firewall, то в нем нужно разрешить входящие соединения по протоколу GRE, а так же входящие соединения на tcp порт 1723:
$IPTABLES -A INPUT -p gre -s 0/0 -j ACCEPT
$IPTABLES -A OUTPUT -p gre -m state —state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 0/0 —dport 1723 j ACCEPT
Если все прошло успешно, переходим к настройке. Первым делом крутим /etc/pptpd.conf
#убеждаемся что закомментировано, чтоб клиенту вбрасывались адреса
#noipparam
# включим передачу VPN-клиентам широковещательных пакетов с внутреннего интерфейса
bcrelay eth0
#настроим IP сервера
localip 192.168.1.10
#и диапазон адресов для клиентов
remoteip 192.168.1.234-245
Теперь настраиваем /etc/ppp/pptpd-options
# Требовать от клиента обязательное аутентификации
auth
#требуем авторизации только через MS-CHAPv2
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
#включаем шифрование
require-mppe-128
#поскольку VPN-клиентам выделяются адреса из реальной Ethernet-сети
#то чтобы все видели друг друга
proxyarp
#мы не хотим становиться маршрутом по умолчанию
#но под виндой все равно потребуется настройка*
nodefaultroute
* не смотря на на nodefaultroute, под Windows при установке VPN все равно маршрут по-умолчанию вставал на VPN, чтобы этого не происходило идем в свойства VPN соединения → Сеть → Протокол TCP/IP → Свойства → Дополнительно, там снимаем галку «Использовать основной шлюз в удаленной сети».
Добавляем пользователей в /etc/ppp/chap-secrets
# client server secret IP addresses
user * password *
Здесь можно жестко задать IP для определенных пользователей.
Перезапускаем демона pptpd
sudo /etc/init.d/pptpd restart
Важно!
Теперь наш сервер будет работать роутером, поэтому для нормальной работы он должен уметь форвардить пакеты, иначе клиенты и локальные пользователи просто не увидят друг друга. Убеждаемся что
выдает 1 (0=disabled, 1=enabled). Если это не так, то нужно включить ip forwarding в ядре. Для этого открываем /etc/sysctl.conf находим и меняем
Все готово
Просим друзей создать VPN соединение к нашему серверу и проверить работоспособность, у меня все получилось с первого раза, чего и Вам желаю 🙂
А если все подключается, но ничего не работает
И роутер не DSL, а устанавливает VPN-соединение с провайдером для доступа в интернет, то вполне возможно нужно изменить размер MTU, таким образом, чтобы он был меньше MTU соединения с провайдером. Например, вы подключаетесь к провайдеру с MTU=1400 (см. в настройках роутера), тогда для своего VPN сервера нужно задать меньшее значение, например 1300. Для этого идем в /etc/ppp/pptpd-options и дописываем
При написании были использованы следующие материалы:
ADSL-маршрутизаторы с поддержкой VPN
ADSL-маршрутизатор представляет собой простой и экономически выгодный способ подключения к сети Интернет для пользователей домашних компьютеров. Когда к функциям такого маршрутизатора добавляются встроенный межсетевой экран, поддержка нескольких VPN-соединений, он может стать мостом в Интернет и для локальной сети небольшой или средней организации, объединяя в себе преимущества высокоскоростной ADSL-технологии и безопасное управление потоками информации.
Беспроводной маршрутизатор (в терминологии ZyXEL -Интернет-центр) ADSL2+ с четырьмя портами 10/100 Мбит/с и автоопределением типа кабеля по всем портам обладает усиленными функциями безопасности: организация VPN-соединения, межсетевой экран, антивирус. Антивирусная защита устройства способна, анализируя входящий и исходящий трафик, определять и уничтожать вирусы и червей в Web-контенте, содержимом электронной почты и при передаче по FTP (рис. 1). Встроенный антивирус основан на автоматическом обновлении сигнатур. Межсетевой экран, обеспечивающий непрерывный контроль соединения (Stateful Packet Inspection), наряду с VPN позволяет предотвратить сетевые вторжения, атаки типа DoS, DDoS. SPI проверяет содержимое заголовков всех входящих пакетов, прежде чем принять решение о передаче пакета во внутреннюю сеть (рис. 2). При этом в МСЭ реализуется контроль доступа, основанный на политике.
P-662HW позволяет осуществлять трансляцию сетевых адресов (конусный NAT), ограничивать доступ к ресурсам, управлять полосой пропускания. В случае разрыва DSL-соедине-ния трафик автоматически перенаправляется или на резервное коммутируемое соединение (например, аналоговый или сотовый модем), или на IP-адрес резервного шлюза. Среди дополнительных опций фильтрация URL по содержанию и антивирусная фильтрация.
Маршрутизатор позволяет создавать виртуальные частные соединения по протоколу IPSec, поддерживается как туннельный (до 20 туннелей), так и транспортный режимы. Соединения можно устанавливать и между одиночными узлами, и между подсетями. В качестве алгоритмов шифрования реализованы DES, 3DES и AES (ASIC DES), аутентификации -SHA1 и MD5. Позволяет организовать до 20 VPN-туннелей по протоколу IPSec.
Беспроводная точка доступа стандарта 802.11g+ до 125 Мбит/с совместима с устройствами стандарта 802.11b. Авторизация производится централизованно или локально по протоколу 802.1x с поддержкой WPA и динамической генерацией ключей длиной до 256 бит. При необходимости можно подключить внешнюю антенну.
Устройство предлагает несколько вариантов настройки: при помощи Web-интерфейса, Telnet, SNMP или управляющей консоли (порт RS-232). Для централизованной диагностики и мониторинга может быть использована программа Vantage Report.
Беспроводной ADSL-маршрутизатор D-Link DSL-G804V предназначен для использования в сетях малых офисов. Благодаря встроенному интерфейсу ADSL2/2+, поддерживающему скорость исходящего потока данных до 24 Мбит/с, возможности создания VPN-соединения, функциям QoS (Quality of Service), межсетевому экрану, встроенной точке доступа 802.11g и 4-портовому коммутатору Fast Ethernet, устройство обеспечивает функциональность, необходимую для создания надежного и защищенного подключения к Интернету.
Подключение ADSL2 или ADSL2+ и схема модуляции выбирается маршрутизатором автоматически. Маршрутизатор полностью совместим с устройствами стандарта 802.11b. Шифрование Wi-Fi производится на 64/128-битном ключе WEP или с поддержкой WPA.
Используя туннелирование IPSec VPN, DSL-G804V создает закрытые соединения через сеть передачи данных. Поддерживаемые методы инкапсуляции данных, шифрования и аутентификации включают DES, 3DES, AES.
Кроме возможности создания VPN-соединения устройство имеет встроенный межсетевой экран с функцией SPI и защитой от атак типа DoS. Фильтрация пакетов на основе МАС/IP-адресов отправителя и получателя позволяет организовать управление доступом. Контроль доступа к сайтам осуществляется при помощи проверки текстовых строк или доменных имен, определенных в строке URL. Один из портов LAN встроенного коммутатора можно настроить в качестве порта DMZ. Настроить DMZ можно для одного клиента, находящегося за маршрутизатором для обеспечения к нему доступа из глобальной сети Интернета с гарантией полной совместимости приложений Интернет, даже не зная конкретного порта. При помощи функции Virtual Server Mapping маршрутизатор позволяет отдельным FTP, Web- и игровым серверам совместно использовать один глобальный IP-адрес, защищая при этом серверы и рабочие станции внутренней сети от атак.
Управление производится локально или удаленно через Web-интерфейс, SNMP v.3, встроенные MIB-I, MIB-II.
Предназначенный для малого бизнеса и удаленных офисов, маршрутизатор обеспечивает безопасное WAN-соединение с интегрированной возможностью WiFi-соединения по стандарту 802.11b/g. Web-интерфейс средства конфигурации облегчит задачу настройки и управления устройства. Компания Cisco в своем маршрутизаторе предлагает широкий набор опций, а именно: встроенный межсетевой экран с контролем соединения SPI, поддержку IPSec VPN, QoS, коммутатор на четыре порта 10/100 Мбит/с, возможность настройки и удаленного управления при помощи программного обеспечения Cisco IOS (рис. 4).
ПО Cisco SDM (Security Device Manager) позволяет быстро и легко устанавливать, конфигурировать и осуществлять мониторинг передачи данных через маршрутизатор вместо использования интерфейса командной строки. Кроме того, управление возможно по протоколам SNMP и Telnet.
Среди протоколов маршрутизации можно отметить следующие: RIPv1, RIPv2, L2TP, PPPoA, DHCP. Также в Cisco 857W поддерживаются Dynamic DNS (для Cisco IOS) и NAT/PAT.
Для IPSec выполняется аппа-ратно-ускоренное шифрование 3DES, AES. При передаче данных создается до пяти VPN-туннелей с обработкой данных IPSec, PPTP и L2TP, осуществляется проверка содержимого электронной почты и HTTP-трафика. Шифрование Wi-Fi производится на WEP, WPA и WPA2.
В связи со своей доступностью ADSL-маршрутизаторы со встроенным межсетевым экраном стали выгодным решением вопроса защищенного выхода в Интернет. Поддержка VPN является немаловажным фактором в случае работы с удаленными пользователями компании, а также при передаче конфиденциальной информации. Интегрированная точка доступа Wi-Fi повышает мобильность и продуктивность пользователей. С помощью рассмотренных в обзоре устройств Вы без труда защитите информацию, передающуюся в сети Вашей организации, оптимизируете сетевые операции и будете готовы к безболезненному дальнейшему расширению как самой сети, так и приложений, работающих в ней.
Опубликовано: Журнал «Information Security/ Информационная безопасность» #2, 2008