Acasă / Primele de asigurare / O singură rețea pentru trei birouri. Conectarea a două sau mai multe rețele locale
23.06.2021

O singură rețea pentru trei birouri. Conectarea a două sau mai multe rețele locale

În multe organizații cu mai multe ramuri, este nevoie de combinare rețele locale birouri într-o singură rețea corporativă. Conectarea rețelelor va crește eficiența afacerii și va reduce costurile asociate cu birourile la distanță. Consolidarea rețelelor de birouri ale companiei la distanță permite rezolvarea următoarelor probleme:

  • Munca angajaților din toate birourile într-o singură bază de date (de exemplu, 1C)
  • Furnizarea accesului angajaților de la distanță la resursele corporative partajate ale companiei prin Internet (acces la rețea de la distanță)
  • Schimb de date rapid și convenabil între angajații birourilor de la distanță

Conectarea rețelelor se realizează prin intermediul rețelelor publice de internet prin urmare, se pune problema securității rețelelor de conectare și a confidențialității informațiilor transmise. Tehnologia VPN (Virtual Private Network) este utilizată pentru a conecta în siguranță și în siguranță două rețele prin canale de comunicații publice.

Configurarea VPN (rețele private virtuale)

Configurarea VPN (Virtual Private Networks) între sediile companiei (conectarea rețelelor) asigură criptarea datelor transmise. În funcție de nevoile clientului și de infrastructura IT existentă, o rețea VPN poate fi creată pe baza unui complex software sau hardware. O modalitate destul de comună de a crea o rețea VPN este configurarea unei rețele VPN pe baza pachet software, care, pe lângă implementarea unei rețele VPN, poate servi ca firewall și poate filtra traficul de rețea.

Acces la computer de la distanță

Există o serie de soluții care sunt acum deosebit de solicitate de clienți. Una dintre ele lucrează în 1C sau alte aplicații de la distanță pe un server de întreprindere. Să ne imaginăm că aveți un server și trebuie să oferiți posibilitatea de a lucra cu date și aplicații unui director care călătorește mereu sau unui contabil care lucrează de acasă.

Mai jos vom descrie un proiect pe care l-am finalizat pentru un client cu sediul central la Moscova și trei divizii în Yaroslal (birou, producție și depozit). Ni s-a dat sarcina de a uni birourile și departamentele în așa fel încât munca să se desfășoare de la distanță în 1C instalat pe un server din Moscova și, de asemenea, a fost posibil să lucrăm cu documente și un server de e-mail situat în biroul central. De asemenea, trebuie să întreținem servere și computere în locații îndepărtate. Cu alte cuvinte, este necesar să se creeze un mediu unificat în care utilizatorii să poată lucra cu documente comune (certificate, comenzi, facturi), să țină evidențe online și să lucreze cu e-mailul.

Lucrează în 1C de la distanță

Un router VPN hardware este instalat în fiecare birou și departament în care lucrează mai mult de 1 persoană. Acesta este un dispozitiv care permite, pe de o parte, să permită utilizatorilor să navigheze pe Internet și, pe de altă parte, să creeze canale VPN. Un canal VPN este o conexiune criptată securizată, un tunel care permite utilizatorilor tăi să schimbe liber date și, în același timp, este inaccesibil din exterior. Pentru a construi astfel de canale, se utilizează protocolul ipsec, furnizând nivel înalt puterea criptografică.

Figura prezintă o diagramă a conexiunii a două birouri.

Astfel, cu ajutorul a două routere putem asigura comunicarea între birouri.

S-ar părea că puteți lansa 1C de la distanță și puteți lucra. Vai! Trebuie amintit că acest canal este transmis prin Internet și, prin urmare, are o serie de limitări:

  • De regulă, trebuie să plătiți pentru trafic;
  • Viteza internetului și, prin urmare, lățimea de bandă a unui astfel de canal, este relativ scăzută.

Lansând o astfel de distanță 1C, obținem o situație „totul se blochează”.

Problema este rezolvată prin utilizarea accesului la terminal. Configuram unul dintre serverele din biroul central, care are capacitati de calcul semnificative, ca server terminal. Pentru a face acest lucru, utilizați sistemul încorporat serviciu Windows Servicii terminale. Trebuie să instalați și să configurați această componentă, să activați serverul de licențiere Terminal Services și să instalați licențe. După aceea trebuie să îl instalați pe serverul 1C, iar după aceea puteți lucra în 1C de la distanță în terminal.

Tehnologia de acces la terminal este că toate sarcinile pe care le rulați în terminal sunt efectuate fizic pe un server la distanță și doar imaginea vă este transmisă pe ecran. Un utilizator care a lansat 1C într-un terminal din Yaroslavl poate să nu știe că 1C rulează de la distanță pe un server din Moscova.

Ce dă asta? Trafic redus. Creșterea vitezei de procesare a procedurilor într-o bază de date 1C la distanță. Capacitatea oamenilor de a lucra de oriunde de pe planetă cu o bază de date 1C de la distanță sau cu aceleași fișiere.

Dar fiecare butoi de miere trebuie să-și aibă musca în unguent. În acest caz, constă în faptul că calitatea și însăși posibilitatea de a lucra în terminal depind de fiabilitatea conexiunii la Internet. Adesea canalul este suficient pentru a naviga pe internet, dar pentru a lucra în terminal ai nevoie destul de mult internet de încredere. Prin fiabilitate înțelegem nu atât viteza, cât absența pierderii de pachete în rețea. Astfel, canalele radio utilizate de mulți furnizori oferă adesea viteze de vârf foarte mari, dar procentul de pierderi de pachete poate ajunge la 10%. În această situație, conexiunea la terminal va fi întreruptă tot timpul și va fi dificil de lucrat.

Dar, în majoritatea cazurilor, reușim să stabilim capacitatea de a lucra în terminal atât cu telecomandă 1C, cât și cu alte aplicații. Acest lucru permite clienților noștri să se dezvolte dinamic, să minimizeze costurile și să asigure funcționarea durabilă a proceselor de afaceri.

Rețineți că lucru la distanțăîn 1C a devenit acum o tehnologie destul de răspândită, suficient de dovedită și, dacă este configurată corect, destul de sigură și poate fi implementată cu succes în cadru.

Să presupunem că avem 2 birouri în diferite părți ale orașului, sau în diferite orașe sau țări, și fiecare dintre ele este conectat la Internet printr-un canal destul de bun. Trebuie să le conectăm într-o singură rețea locală. În acest caz, niciunul dintre utilizatori nu va trebui să ghicească unde se află acest sau acel computer sau imprimantă în rețeaua locală, să folosească imprimante, foldere partajate și toate avantajele unei rețele fizice. Angajații de la distanță conectați prin OpenVPN vor putea, de asemenea, să lucreze în rețea ca și cum computerele lor s-ar afla în rețeaua fizică a unuia dintre birouri.

O vom instala în sistem de operare Debian Squeeze, dar instrucțiunile sunt pe deplin aplicabile oricărei distribuții bazate pe Debian și cu modificări minore în comenzile pentru instalarea și configurarea bridge-ului și OpenVPN vor fi aplicabile oricărei distribuții Linux sau FreeBSD.

Să presupunem că distribuția Debian sau Ubuntu este instalată conform uneia dintre instrucțiuni:

Să instalăm și să configurăm o rețea VPN bazată pe OpenVPN folosind o punte atinge 0

Creăm o punte de rețea între rețeaua fizică et1și interfață virtuală atinge 0

Instala programele necesare acceptând solicitarea managerului de pachete:

Configuram reteaua de server pe baza faptului ca avem 2 placi de retea: retea eth0 et1 br0

Editarea fișierului de configurare /etc/network/interfaces:

Auto lo iface lo inet loopback # furnizor de internet auto eth0 iface eth0 inet adresa statica 192.168.50.2 netmask 255.255.255.0 gateway 192.168.50.1 # local network auto eth1 iface eth1 inet static adresa netmask1 10.15.25.255.

Auto lo iface lo inet loopback # Înregistrăm un bridge, includem interfața tap0 VPN și placa de rețea eth1 în ea auto br0 iface br0 inet static # Adăugăm interfața openvpn la bridge-ul tap0 bridge_ports eth1 tap0 adresa 10.10.10.1 netmask 255.255 .255.0 # Internet auto eth0 iface eth0 inet adresa statica 192.168.50.2 netmask 255.255.255.0 gateway 192.168.50.1

După aceasta, când rulați comanda ifconfig, ar trebui să apară o punte br0 cu IP 10.10.10.1, interfata eth0 cu adresa IP 192.168.50.2 și interfață et1 fără o adresă IP, deoarece este într-un bridge br0

Configurarea OPENVPN:
Copiem scripturile pentru a configura serverul nostru openvpn cu comanda:

Cp -Rp /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /etc/openvpn/easy-rsa

Efectuarea de modificări la fișier /etc/openvpn/easy-rsa/vars pentru a defini variabile globale și a introduce mai puține date la crearea cheilor:

Pe /etc/openvpn/easy-rsa/vars

Export KEY_COUNTRY="US" export KEY_PROVINCE="CA" export KEY_CITY="SanFrancisco" export KEY_ORG="Fort-Funston" export KEY_EMAIL=" "

Export KEY_COUNTRY="UA" export KEY_PROVINCE="11" export KEY_CITY="Kiev" export KEY_ORG="NameFirm" export KEY_EMAIL=" "

Accesați folderul cu scripturi pentru crearea de certificate și chei cu comanda:

Cd /etc/openvpn/easy-rsa/

Inițializam PKI (Public Key Infrastructure) cu comenzile:

. ./vars ./clean-all

Atenţie. La executarea comenzii ./curat-toate Toate certificatele și cheile existente atât ale serverului, cât și ale clienților vor fi șterse, așa că nu le rulați pe un server de producție sau le rulați după salvarea folderului /etc/openvpn/ la arhiva cu comanda:

Tar cf - /etc/openvpn/ | gzip -c -9 > /home/openvpn_backup.tgz

Generăm un certificat de autoritate de certificare (CA) și o cheie cu comanda:

./build-ca

Majoritatea parametrilor vor fi preluați din fișierul vars. Doar parametrul Nume trebuie specificat explicit:

Nume: vpn

În general, puteți completa toate câmpurile de fiecare dată, după cum aveți nevoie.

Generam parametri Diffie-Hellman cu comanda:

./build-dh

Generăm un certificat și o cheie secretă de server, nu introducem nimic atunci când vi se solicită o parolă și când vi se solicită Semnează certificatul?: intra yși apăsați Intră rulând comanda:

./build-key-server server

Toți parametrii sunt acceptați implicit. La cerere Nume comun intra server

Nume comun (de exemplu, numele dvs. sau numele de gazdă al serverului dvs.): server

Pentru intrebari Semnează certificatul?Şi 1 din 1 solicită certificat certificat, comite? Raspundem pozitiv:

Semnează certificatul? :y 1 din 1 solicită certificat certificat, comite? y

Tot ce rămâne este să creați certificate și chei pentru clienți. Mai întâi inițializam parametrii:

Cd /etc/openvpn/easy-rsa/ . ./vars

Crearea cheilor pentru utilizator server1. De exemplu, adăugăm cât mai mulți utilizatori este necesar:

./build-key server1 ./build-key client1 ./build-key client2

Pe baza faptului că avem o rețea 10.10.10.0/24 alocam imediat un grup de adrese pentru computerele din biroul 1 - 10.10.10.40-149 , pentru biroul 2 alocam un pool de adrese 10.10.10.150-254 și alocați un grup de adrese pentru angajații de la distanță 10.10.10.21-39.
Creați un folder /etc/openvpn/ccd/ unde indicăm ce client cu ce IP folosind comanda:

Mkdir -p /etc/openvpn/ccd/

Atribuim fiecărui client propriul IP în rețea folosind comenzile::

Echo "ifconfig-push 10.10.10.150 255.255.255.0" > /etc/openvpn/ccd/server1 echo "ifconfig-push 10.10.10.21 255.255.255.0" > /etc/openvpn/ccd/ccdpen 10.22 255.255.255.0" > /etc/openvpn/ccd/client2

Creați un fișier de configurare a serverului:

Vi /etc/openvpn/server.conf ################################ port 1195 proto udp dev tap0 ca easy-rsa/keys/ca.crt cert easy-rsa/keys/server.crt cheie easy-rsa/keys/server.key # Acest fișier trebuie păstrat secret dh easy-rsa/keys/dh1024.pem mode server tls- daemon server ifconfig 10.10.10.1 255.255.255.0 client-config-dir /etc/openvpn/ccd keepalive 10 20 client-la-client comp-lzo persist-key persist-tun verb 3 log-append /var/log/openvpn.log #script-security 2 # anulați comentariile când lucrați cu OpenVPN versiunea 2.4 în sus /etc/openvpn/up.sh ############################ ######

În /etc/default/openvpn

OPTARGS=""

OPTARGS="--script-security 2"

Crearea unui script /etc/openvpn/up.sh lansat când pornește serverul OpenVPN:

Vi /etc/openvpn/up.sh #!/bin/sh brctl addif br0 tap0 brctl addif br0 eth1 ifconfig tap0 0.0.0.0

Oferim drepturi pentru a executa scriptul /etc/openvpn/up.sh comanda:

Chmod +x /etc/openvpn/up.sh

După aceasta, reporniți serverul OpenVPN cu comanda:

Executați comanda ifconfig, ar trebui să apară interfața atinge 0 fără o adresă IP.

Colectăm o arhivă cu chei pentru distribuire către angajații de la distanță și trimitere la biroul 2

Creăm foldere cu nume de utilizator folosind comenzile:

Mkdir -p /etc/openvpn/users/server1 mkdir -p /etc/openvpn/users/client1 mkdir -p /etc/openvpn/users/client2

Creați un folder cu chei arhivate cu comanda:

Mkdir -p /etc/openvpn/users_tgz

Colectăm chei și certificate din folderele utilizatorilor folosind comenzile:

Cp /etc/openvpn/server/easy-rsa/keys/server1.key /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/server1.crt /etc/openvpn/users/ server1/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/client1.key /etc/openvpn/ users/client1/ cp /etc/openvpn/server/easy-rsa/keys/client1.crt /etc/openvpn/users/client1/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/ openvpn/users/client1/ cp /etc/openvpn/server/easy-rsa/keys/client2.key /etc/openvpn/users/client2/ cp /etc/openvpn/server/easy-rsa/keys/client2.crt / etc/openvpn/users/client2/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/client2/

Creăm fișiere de configurare pe baza faptului că server1 este serverul de birou la distanță 2 și client1Şi client2 Aceștia sunt angajați la distanță care se conectează la o rețea VPN din exterior din Windows.

În loc de IP-SERVER-VPN, setăm adresa IP externă a serverului OpenVPN.

Creați un fișier de configurare OpenVPN pentru server1:

Echo " la distanță IP-SERVER-VPN 1195 client dev tap0 proto udp rezolv-retry infinit nobind persist-key persist-tun ca ca.crt cert server1.crt cheie server1.key comp-lzo verb 4 mute 20 verb 3 log-append / var/log/openvpn.log up /etc/openvpn/up.sh " > /etc/openvpn/users/server1/server1.conf

Arhivarea cheilor pentru server1 comanda:

Tar cf - /etc/openvpn/users/server1 | gzip -c -9 > /etc/openvpn/users_tgz/server1.tgz

client1:

Echo " la distanță IP-SERVER-VPN 1195 client dev tap0 proto udp rezolv-retry infinit nobind persist-key persist-tun ca ca.crt cert client1.crt cheie client1.key comp-lzo verb 4 mute 20 verb 3 " > /etc /openvpn/users/client1/client1.ovpn

Arhivați cheile pentru client1 cu comanda:

Tar cf - /etc/openvpn/users/client1 | gzip -c -9 > /etc/openvpn/users_tgz/client1.tgz

Creați un fișier de configurare pentru client2 comanda:

Echo " la distanță IP-SERVER-VPN 1195 client dev tap0 proto udp rezolv-retry infinit nobind persist-key persist-tun ca ca.crt cert client2.crt cheie client2.key comp-lzo verb 4 mute 20 verb 3 " > /etc /openvpn/users/client1/client2.ovpn

Arhivarea cheilor pentru client2 comanda:

Tar cf - /etc/openvpn/users/client2 | gzip -c -9 > /etc/openvpn/users_tgz/client2.tgz

Configurarea unui server VPN pentru birou 2

În instrucțiunile de mai sus, am instalat și configurat serverul VPN Debian GNU/Linux folosind OpenVPN, am creat chei cu certificate pentru serverul de la distanță al biroului 2 și angajații de la distanță. Acum trebuie să conectăm biroul 1 cu biroul 2 într-o singură rețea locală prin VPN.

Să presupunem că în office 2 am instalat și configurat un server Linux (gateway), care distribuie canalul de Internet pentru angajații office 2. Acest server are 2 plăci de rețea: eth0 - furnizor de internet și et1- retea locala, va fi inclusa in pod si va avea un pool de adrese 10.10.10.100-254

Trebuie să instalăm software-ul cu comanda:

Aptitude instalează bridge-utils openvpn

Configurarea rețelei de servere

Configuram reteaua pe baza faptului ca avem 2 placi de retea eth0- primeste internetul de la furnizor si prin acesta biroul 1 acceseaza internetul, precum si reteaua et1- inclus în comutatorul de rețea locală al biroului 1, va fi inclus în bridge-ul cu interfața br0

Editați fișierul de configurare /etc/network/interfaces:

Vi /etc/network/interfaces

Auto lo iface lo inet loopback # furnizor de internet auto eth0 iface eth0 inet adresa statica 192.168.60.2 masca de retea 255.255.255.0 gateway 192.168.60.1 # retea locala auto eth0 iface eth0 inet adresa statica 192.168.60.258k.

Auto lo iface lo inet loopback # Înregistrăm un bridge, includem interfața tap0 VPN și placa de rețea eth1 în ea auto br0 iface br0 inet static # Adăugăm interfața openvpn la bridge-ul tap0 bridge_ports eth1 tap0 adresa 10.10.10.150 netmask 255.255 .255.0 # Internet auto eth0 iface eth0 inet adresa statica 192.168.60.2 netmask 255.255.255.0 gateway 192.168.60.1

Salvați modificările și reporniți rețeaua cu comanda:

/etc/init.d/networking restart

După aceasta, la executarea comenzii ifconfig ar trebui să apară un pod br0 cu IP 10.10.10.150 , interfata eth0 cu adresa IP 192.168.60.2 și interfață et1 fără o adresă IP, deoarece este într-un bridge br0

Pentru computerele Office 2, emitem adrese IP computerelor fără a merge mai departe 10.10.10.150-254 , Unde 10.10.10.150 - aceasta este adresa IP a serverului Office 2.

Încărcăm arhiva chei OpenVPN colectată de pe serverul VPN de birou 1 pe serverul de birou 2 cu comanda:

Ssh -P22 /etc/openvpn/users_tgz/server1.tgz :/root/

Sau, dacă serverul 1 al biroului 2 nu are un IP permanent sau dinamic, vom îmbina cheile de pe serverul VPN al biroului 2 cu comanda:

Ssh -P22 :/etc/openvpn/users_tgz/server1.tgz /root/

Când vi se solicită o parolă, introduceți parola de utilizator rădăcină, după introducerea parolei corecte, arhiva cu cheile este descărcată în folder /root/server1.tgz

Despachetați conținutul arhivei ( numai fișiere cheie fără foldere) /root/server1.tgzîntr-un folder /etc/openvpn/

Permiteți OpenVPN să ruleze scripturi:

În /etc/default/openvpn

OPTARGS=""

OPTARGS="--script-security 2"

Crearea unui script /etc/openvpn/up.sh lansat când clientul VPN se conectează la serverul VPN:

Vi /etc/openvpn/up.sh #!/bin/sh brctl addif br0 tap0 brctl addif br0 eth1 ifconfig tap0 0.0.0.0 chmod +x /etc/openvpn/up.sh

Reporniți serverul OpenVPN cu comanda:

/etc/init.d/openvpn reporniți

La executarea comenzii ifconfig ar trebui să apară interfața atinge 0 fără o adresă IP.

Acum poți să dai ping la computerele altui birou din ambele birouri, să folosești foldere partajate, imprimante, resurse ale altui birou și, de asemenea, să organizezi bătălii de jocuri între biroul 1 și biroul 2 :)

Pentru a verifica interfețele conectate la punte, rulați comanda:

Spectacol BRCTl

Răspunsul sistemului:

Nume pod ID pod Interfețe activate STP br0 7000.003ds4sDsf6 nu eth1 tap0

Vedem placa noastră de rețea locală et1și interfața virtuală OpenVPN atinge 0

Sarcina este finalizată, două birouri la distanță sunt conectate într-o singură rețea locală.

Dacă ați găsit acest articol util, vă rugăm să-l distribuiți prietenilor tăi făcând clic pe pictograma ta. retea socialaîn partea de jos a acestui articol. Vă rugăm să comentați aceste instrucțiuni, ți-a plăcut, ți s-a părut util? De asemenea, vă puteți abona pentru a primi notificări despre articole noi pe e-mailul dvs. de pe pagină

Acum să luăm o scurtă pauză și să ne odihnim o jumătate de minut, ridicându-ne moralul pentru mai mult munca productiva, urmărește videoclipul și zâmbește:

Cum se creează o singură rețea privată pentru toți angajații mobili și sucursalele de la distanță Ce este un VPN?

Să presupunem că avem două birouri în zone diferite ale orașului, sau în orașe sau țări diferite și fiecare dintre ele este conectat la Internet. Pentru muncă, să zicem, 1C sub formă de single sistem corporativ trebuie să le integrăm într-o singură rețea locală. (În ciuda faptului că oferim soluții pentru 1C sub formă de baze de date distribuite. Uneori este mai ușor să creați o singură rețea și să vă conectați direct la serverul 1C ca și cum serverul ar fi amplasat în sediul dumneavoastră)

Puteți, desigur, să cumpărați o linie personală între două orașe, dar această decizie cel mai probabil va fi super scump.
Soluția care utilizează o rețea privată virtuală (VPN - Virtual Private Network) ne invită să organizăm această linie dedicată prin crearea unui tunel criptat prin Internet. Principalul avantaj al unui VPN față de liniile de comunicare dedicate este economisirea banilor companiei în timp ce canalul este complet închis.
Din punct de vedere al consumatorului, VPN este o tehnologie care vă permite să organizați accesul securizat de la distanță prin canale de internet deschise la servere, baze de date și orice resurse ale rețelei dvs. corporative. Să presupunem că un contabil din orașul A poate tipări cu ușurință o factură pe imprimanta unei secretare din orașul B la care a venit clientul. Angajații de la distanță care se conectează prin VPN de pe laptopurile lor vor putea, de asemenea, să lucreze în rețea ca și cum s-ar afla în rețeaua fizică a birourilor lor.

Foarte des, clienții întâlnesc *frâne* case de marcat Când utilizați Desktop la distanță, ajungeți la necesitatea de a instala un VPN. Acest lucru vă va permite să scăpați de trimiterea de date pentru casa de marcat înainte și înapoi către server prin COM virtual prin Internet și va permite instalarea unui client subțire în orice moment care comunică direct cu casa de marcat, trimițând doar necesarul. informații către server printr-un canal închis. Iar difuzarea interfeței RDP direct pe Internet expune compania dumneavoastră la riscuri foarte mari.

Metode de conectare

Metodele de organizare a unui VPN sunt cele mai potrivite pentru a evidenția următoarele 2 metode principale:

  • (Client - Rețea) Accesul de la distanță al angajaților individuali la rețeaua corporativă a organizației printr-un modem sau o rețea publică.
  • (Rețea - Rețea) Consolidarea a două sau mai multe birouri într-o singură rețea virtuală securizată prin Internet

Majoritatea manualelor, în special pentru Windows, descriu conexiunea conform primei scheme. În același timp, trebuie să înțelegeți că această conexiune nu este un tunel, ci vă permite doar să vă conectați la o rețea VPN. Pentru a organiza aceste tuneluri, avem nevoie doar de 1 IP alb și nu în funcție de numărul de birouri la distanță mulți cred în mod eronat.

Figura prezintă ambele opțiuni pentru conectarea la biroul principal A.

A fost stabilit un canal între birourile A și B pentru a asigura integrarea birourilor într-o singură rețea. Acest lucru asigură transparența ambelor birouri pentru orice dispozitive aflate într-unul dintre ele, ceea ce rezolvă multe probleme. De exemplu, organizarea unui singur număr de capacitate într-un singur PBX cu telefoane IP.

Toate serviciile biroului A sunt disponibile pentru clienții mobili, iar dacă biroul B este situat într-o singură rețea virtuală, serviciile sale sunt și ele disponibile.

În acest caz, metoda de conectare a clienților mobili este de obicei implementată de protocolul PPTP (Point-to-Point Tunneling Protocol) protocolul de tunelizare punct-la-punct și al doilea IPsec sau OpenVPN

PPTP

(Point-to-Point Tunneling Protocol bumagin-lohg) este un protocol de tunel punct-la-punct, creat de Microsoft, și este o extensie a PPP (Point-to-Point Protocol), prin urmare, folosind autentificarea, compresia și mecanisme de criptare. Protocolul PPTP este încorporat în Windows XP Remote Access Client. Cu selecția standard a acestui protocol de către Microsoft Se propune utilizarea metodei de criptare MPPE (Microsoft Point-to-Point Encryption). Puteți transfera date fără criptare în text clar. Încapsularea datelor folosind protocolul PPTP are loc prin adăugarea unui antet GRE (Generic Routing Encapsulation) și a unui antet IP la datele procesate de protocolul PPP.

Din cauza unor preocupări semnificative de securitate, nu există niciun motiv să alegeți PPTP față de alte protocoale, altele decât incompatibilitatea dispozitivului cu alte protocoale VPN. Dacă dispozitivul dvs. acceptă L2TP/IPsec sau OpenVPN, atunci este mai bine să alegeți unul dintre aceste protocoale.

Trebuie remarcat faptul că aproape toate dispozitivele, inclusiv cele mobile, au un client încorporat în sistemul de operare (Windows, iOS, Android) care vă permite să configurați instantaneu o conexiune.

L2TP

(Layer Two Tunneling Protocol) este un protocol mai avansat, născut din combinația dintre protocoalele PPTP (de la Microsoft) și L2F (de la Cisco), încorporând tot ce este mai bun dintre aceste două protocoale. Oferă o conexiune mai sigură decât prima opțiune; criptarea are loc folosind protocolul IPSec (securitate IP). L2TP este, de asemenea, încorporat în clientul de acces la distanță Windows XP, în plus, atunci când determină automat tipul de conexiune, clientul încearcă mai întâi să se conecteze la server folosind acest protocol, ceea ce este mai de preferat în ceea ce privește securitatea.

În același timp, protocolul IPsec are o problemă precum negocierea parametrilor necesari, în ciuda faptului că mulți producători își stabilesc parametrii în mod implicit, fără posibilitatea de a configura hardware-ul acest protocol vor fi incompatibile.

OpenVPN

O soluție VPN deschisă avansată creată de tehnologiile OpenVPN, care este acum standardul de facto în tehnologiile VPN. Soluția folosește protocoale de criptare SSL/TLS. OpenVPN folosește biblioteca OpenSSL pentru a oferi criptare. OpenSSL acceptă număr mare diverși algoritmi criptografici precum 3DES, AES, RC5, Blowfish. Ca și în cazul IPSec, CheapVPN include un nivel extrem de ridicat de criptare - algoritm AES cu o lungime a cheii de 256 de biți.
OpenVPN - Singura solutie permițându-vă să ocoliți acei furnizori care reduc sau percep taxe pentru deschiderea de protocoale suplimentare, altele decât WEB. Acest lucru face posibilă organizarea de canale care sunt practic imposibil de urmărit și avem astfel de soluții

Acum aveți o idee despre ce este un VPN și cum funcționează. Dacă ești manager, gândește-te bine, poate că asta este exact ceea ce căutai

Un exemplu de configurare a unui server OpenVPN pe platforma pfSense

Crearea unui server

  • Interfață: WAN (interfață de rețea server conectată la Internet)
  • Protocol: UDP
  • Port local: 1194
  • Descriere: pfSenseOVPN (orice nume convenabil)
  • Rețea de tunel: 10.0.1.0/24
  • Redirecționare Gateway: Activare (Dezactivați această opțiune dacă nu doriți ca tot traficul de internet al clientului să fie redirecționat prin serverul VPN.)
  • Rețea locală: lăsați necompletat (Dacă doriți ca rețeaua locală din spatele serverului pfSense să fie accesibilă clienților VPN la distanță, introduceți spațiul de adrese al acestei rețele aici. Să spunem 192.168.1.0/24)
  • Conexiuni simultane: 2 (Dacă ați achiziționat o licență suplimentară OpenVPN Remote Access Server, introduceți numărul corespunzător numărului de licențe achiziționate)
  • Comunicații între clienți: Activați (Dacă nu doriți ca clienții VPN să se vadă, dezactivați această opțiune)
  • Server DNS 1 (2, etc.): Specificați serverele DNS ale gazdei pfSense.

(puteți afla adresele acestora în secțiunea Sistem > Configurare generală > Servere DNS) Apoi, creăm clienți și pentru a simplifica procedurile de configurare pentru programele client, pfSense oferă un instrument suplimentar - „OpenVPN Client Export Utility”. Acest instrument pregătește automat pachetele și fișierele de instalare pentru clienți, evitând setări manuale

Client OpenVPN.
  • Conexiunile VPN între birouri acoperă astfel de cerințe de securitate comercială precum:
  • Posibilitatea de acces centralizat la informații din birouri, precum și din sediul principal Corporație unificată
  • sistem informatic
  • Baze de date pentru întreprinderi cu un singur punct de intrare
  • E-mail de afaceri cu conectare unică

Confidențialitatea informațiilor transferate între birouri

Dacă întâmpinați dificultăți de configurare sau nu v-ați decis încă asupra tehnologiei VPN, sunați-ne! Contactați un specialist Denis Goryainov Director Tehnic

+79851256588 Pune o întrebare

Conectarea a două sau mai multe rețele locale Sarcini de rețea:

2. conectați angajații mobili la rețeaua locală, asigurând securitatea conexiuni ;

3. crearea unui canal telefonic unic pentru sucursale pentru a economisi și controla costurile și ușurința comutării;

4. crearea unui canal de internet centralizat și distribuirea traficului între filiale;

5. luați birouri la distanță sub controlul „centrului”.

Dacă trebuie să rezolvați aceste probleme, serviciul de la ZSC va permite companiei dumneavoastră să conecteze toate sucursalele și angajații la distanță într-o singură rețea.

Consolidarea rețelelor locale

Atunci când companiile trebuie să unească mai multe sucursale și birouri, astăzi nu mai este suficient ca antreprenorul să înființeze pur și simplu o rețea locală centralizată și să stabilească schimbul de informații.

Clientul are nevoie soluție cuprinzătoare Cu:

  • un singur canal telefonic;
  • trafic de internet gestionat;
  • posibilitate de control automat si de la distanta suport tehnic calculatoare și servere de filială;
  • acces gratuit pentru angajații de la distanță la informațiile corporative.

    • În același timp, trebuie asigurat un grad ridicat de securitate pentru toate aceste fluxuri de informații.

    Astăzi, clientul necesită serviciul de combinare a rețelelor locale „sub cheie» - antreprenorul trebuie să efectueze fiecare etapă a lucrării în mod independent, cu participare minimă client. Ca urmare, clientul trebuie să furnizeze sistem centralizat managementul sucursalei cu toate componentele IT necesare și instrumentele de control și suport. Nu vorbim despre un simplu VPN - vorbim despre conectarea virtuală a birourilor de la distanță la nivelul „fizic”.

    În același timp, nu trebuie să uităm că proiectul de combinare a două sau mai multe rețele locale trebuie să fie economic, altfel întregul său rezultat pozitiv va fi neprofitabil.

    Dacă aveți nevoie să finalizați o fuziune similară de sucursale și birouri la distanță sau să implementați oricare dintre componentele acesteia (rețea telefonică unificată, trafic de internet echilibrat), suntem deschiși cooperării. Având o experiență vastă și calificări înalte pe piața tehnologiei digitale, suntem gata să vă oferim cea mai eficientă și mai rentabilă opțiune, adaptată nevoilor specifice ale afacerii dumneavoastră.

    Dispozitive de agregare a rețelei

    Specialiștii noștri ZSC lucrează cu echipamente de la orice producător. Dacă aveți propriile routere, le vom configura pentru a uni rețelele locale de birouri la distanță.

    Fuzionarea rețelelor Mikrotik

    În practica noastră folosim echipament profesional de la Mikrotik (soluție mai economică și mai populară) și Cisco (soluție mai scumpă și mai funcțională).

    Folosind echipamentele Mikrotik ca exemplu, vom analiza tehnologiile de conectare a rețelelor locale. În ciuda prețului de piață destul de scăzut în comparație cu analogii, platforma software Mikrotik vă permite să configurați canale de schimb de informații flexibile, sigure și funcționale. Echipamentul acestui producător s-a dovedit în numeroasele noastre proiecte și în birouri clientii. În plus, Mikrotik vă permite să economisiți serios bugetul.

    Routerele Mikrotik acceptă până la șapte protocoale pentru trimiterea în siguranță a informațiilor, care sunt criptate sub formă de pachete separate cu un al doilea antet IP. Acest antet include adresa IP a destinatarului și adresa IP a expeditorului. Când încearcă să intercepteze informații, fraudatorul vede doar aceste informații și este imposibil să se determine computerul sursă și computerul destinatar. În cazul unei scurgeri de informații, va dura prea mult timp pentru a descifra codul și nu este încă un fapt că va funcționa. Sunt utilizate și alte opțiuni pentru transferul securizat de informații.

    Protocoale de securitate:

    mai multe detalii

    PPTP (protocol de tunel punct la punct) - folosit pentru a construi rețele dedicate peste cele deschise. Dispune de performanță ridicată, o varietate de opțiuni de criptare și capacitatea de a utiliza diverse platforme software.

    L2TP - spre deosebire de PPTP, are o toleranță mai mare la erori și o securitate mai fiabilă. Este folosit atât pentru construirea de rețele închise în cadrul celor deschise, cât și pentru accesarea unei rețele corporative de la dispozitive la distanță, precum și pentru utilizarea unei varietăți de scheme de conexiune.

    IP2IP - criptează informațiile în pachete și îi atribuie un IP separat pentru o transmitere fiabilă către destinatar. Folosit pentru a construi tuneluri între routere prin Internet.

    PPPOE - funcționează similar cu protocolul PPTP, dar este o soluție mai simplă și mai puțin consumatoare de resurse.

    IPSec este una dintre cele mai fiabile opțiuni pentru construirea unui tunel închis. În plus, informațiile sunt criptate și trebuie folosite chei individuale pentru a le citi. Acest lucru oferă un grad înalt, cu două niveluri de protecție a transmisiei datelor.

    VLAN - asigură crearea de tuneluri securizate logice de mare viteză, care din punct de vedere al securității sunt apropiate de transmiterea „fizică” a informațiilor, de exemplu, în interiorul unui birou prin cabluri.

    EoIP - organizează o asociere transparentă de birouri și sucursale la distanță pe canale virtuale create. Vă permite să configurați în mod flexibil traficul pe Internet, politicile individuale de securitate, efectuați echilibrarea și setările pentru sucursalele de la distanță. Pentru a utiliza EoIP, aveți nevoie de o lățime de bandă destul de largă, deoarece protocolul ocupă până la 15% din trafic pentru gestionare.

    Combinația de diferite protocoale de securitate vă permite să construiți canale de schimb de informații flexibile, sigure și fiabile și să răspundeți nevoilor specifice ale afacerii. Dacă este necesară securitate maximă, protocolul IPSec este potrivit, iar dacă este necesar un canal mai simplu pentru transmiterea informațiilor criptate - PPTP, L2TP sau IP2IP. Pentru a organiza o logistică transparentă și controlată a informațiilor între sucursale și birouri, VLAN și EoIP pot fi alegerea.

    Prețul combinării a două sau mai multe rețele locale

    Este imposibil să se prezinte o listă unificată de prețuri cu prețuri de o singură cifră pentru combinarea a două sau mai multe rețele locale care s-ar aplica tuturor proiectelor. În calculul final, mult depinde de sarcinile stabilite, nevoile afacerii, domeniul de activitate, numărul de prize Ethernet, filmarea cablului și multe altele.

    Cu toate acestea, există câțiva indicatori de bază care se aplică anumitor tipuri de muncă:

    Tipul muncii

    Unități de măsură

    Preț (RUB)*

    Instalarea canalului de cablu

    m.

    120

    Instalarea cablului UTP (cat 5 e) ținând cont de instalarea în grup

    m.

    44,48

    Instalarea ondulației ținând cont de prindere

    m.

    Instalarea unei prize RJ-45

    buc.

    200

    Marcarea cablului ținând cont de marcat materiale

    buc.

    Instalare camere CCTV, puncte Wi-Fi etc.

    buc.

    1500

    Testarea liniei pentru contact („continuitate”)

    buc.

    Lucrări de proiectare a sistemului structurat

    mp m.

    Instalarea echipamentelor de retea

    buc.

    400

    Actual din 16.02.2017 (fără TVA)

    Specialiștii și designerii noștri sunt capabili să creeze un proiect pentru conectarea a două sau mai multe rețele locale de orice complexitate și scară, adaptat nevoilor specifice ale afacerii, să îl coordoneze cu clientul și să îl implementeze la cheie.

    Consolidarea rețelelor de calculatoare - cum lucrăm:
    • primim datele inițiale, setările și politicile de securitate care funcționează în cadrul companiei dumneavoastră;
    • le integrăm cu setările routerului, configuram echipamentele în funcție de cerințele dumneavoastră;
    • trimitem routerul configurat la sucursala (birou) la distanță și îl conectăm;
    • executa punerea în funcţiune ;
    • să vă ofere soluție gata făcută- combinarea a două sau mai multe rețele locale.

    Pentru tine - totul este elementar simplu! Și de partea noastră avem experiență vastă, calificări înalte și zeci de proiecte finalizate. Și toate acestea ne permit să lucrăm rapid, eficient și cu economii serioase de buget, fără a sacrifica calitatea.

    Și dacă sunteți clientul nostru al unui serviciu cuprinzător de abonament al tarifului Premium, atunci acest serviciu vă este oferit gratuit (platiți doar pentru echipament)!

    Să examinăm mai detaliat componentele individuale ale soluției complexe „Combinarea a două sau mai multe rețele locale”.

    Telefonie între birouri la distanță

    Sarcină: creați o rețea telefonică unificată cu numere „scurte” pentru abonații din sucursalele îndepărtate, asigurați economii de costuri la apeluri și control asupra utilizării linii telefonice, conectați angajații mobili la rețeaua de telefonie, implementați un singur număr.

    Când ne unim printr-o rețea comună Ethernet birouri centrale și îndepărtate, am format astfel un singur spațiu informațional. În acest spațiu, puteți transfera orice date: fișiere, conținut video, conținut vocal și alte informații. Cel mai răspândit segment de informații care se transmite în cadrul companiei este datele serverului; pe locul doi în popularitate - voceŞi conținut video.

    O singură rețea locală vă permite să configurați echipamentele în așa fel încât angajații care pot fi despărțiți de mii de kilometri să fie localizați în același birou.

    Angajații staționari

    Pentru a construi o rețea telefonică unificată între filiale și „centru”, aveți nevoie de propriul dvs. PBX digital de birou, care este instalat în biroul central. Iar în filiale sunt conectate telefoane IP, pentru care adresele IP sunt configurate ca și cum ar fi o rețea a unui singur birou. PBX-ul și telefonul la distanță se identifică reciproc, după care atribuim un număr „scurt” pentru biroul de la distanță. Totul se întâmplă ca și cum tocmai am adăugat un nou angajat în biroul central.

    Drept urmare, angajații tăi încep să lucreze într-un singur spațiu, indiferent cât de departe sunt unul de celălalt. Când un apel de intrare vine la PBX, centrala telefonică „crede” că sunteți în aceeași rețea și redirecționează apelul, dar este auzit în alt oraș sau chiar țară. În același timp, este asigurat un nivel ridicat de transfer de date - comunicarea se realizează prin tuneluri criptate securizate.

    Angajații mobili

    Angajații mobili pot fi, de asemenea, conectați la rețeaua telefonică unificată a companiei. Pentru a face acest lucru, trebuie să folosească telefoane care acceptă tunelul. În interiorul smartphone-ului este configurat un tunel criptat, care „se ridică” atunci când telefonul este conectat Rețele Wi-Fiși este autorizat prin setările prescrise de la centrala centrală din biroul dumneavoastră.

    Drept urmare, angajatul dumneavoastră mobil face parte din rețeaua telefonică corporativă, poate avea un număr „scurt” pentru comutare rapidă și poate utiliza tarife favorabile pentru efectuarea și primirea apelurilor care sunt configurate pe centrala dumneavoastră centrală.

    Avantajele telefoniei unificate între filiale:
    • configurație flexibilă a direcționării interne a apelurilor;
    • capacitatea de a utiliza mai mulți operatori și tarife;
    • capacitatea de a utiliza un singur număr de telefon cu redirecționare ulterioară către numere de filială;
    • economii semnificative la costurile de telefonie;
    • centralizarea și controlul apelurilor de intrare și de ieșire.

    Printre acestea și alte numeroase avantaje ale unei rețele de telefonie între filiale la distanță, există două principale care au făcut ca acest serviciu să fie atât de solicitat astăzi: primul- utilizarea numerelor multicanal; Şi, doilea- economisirea costurilor de telefonie.

    Datorită multicanalului, apelurile sunt distribuite confortabil între birourile aflate la distanță. Este suficient să configurați pur și simplu un meniu vocal, astfel încât clientul să poată apela un singur număr și să se conecteze la o anumită regiune, oraș, birou sau divizie.

    Economiile de costuri sunt asigurate de rutarea logică între mai mulți operatori care sunt conectați la un singur PBX într-o locație centrală. birou. Adică este suficient să configurați corect o singură centrală telefonică la sediul central, conectând mai mulți operatori la acesta pentru a reduce costurile de telefonie pentru întreaga rețea de sucursale. De exemplu, toate apelurile din Rusia sunt efectuate printr-un singur operator de telefonie IP. Apelurile analogice din Moscova trec prin linii de oraș nelimitate, iar apelurile la distanță lungă printr-un al treilea operator de telefonie SIP. Și așa - pentru toată lumea un tip separat comunicații: apeluri de intrare/ieșire în interiorul Rusiei, în regiune, oraș, apeluri interurbane și internaționale, de la telefoane fixe și mobile.

    Clienții noștri, în configurații complexe, au de la 2 până la 5 operatori telecom, ceea ce asigură cea mai optimă utilizare a fondurilor. Ei trebuie să monitorizeze funcționarea corectă a unui singur echipament central pentru a deservi efectiv zeci de birouri și pentru a nu pierde zeci de mii de ruble cu utilizarea analfabetă a traficului telefonic.

    Puteți afla mai multe despre acest serviciu în secțiunea „Office PBX”. Aici veți afla exact cât poate economisi o companie utilizând un PBX central.

    Rețele de internet

    Sarcină: asigurați trafic de internet stabil și neîntrerupt într-un birou sau sucursală aflată la distanță

    Când o companie are o sucursală mică în alt oraș, aceasta munca eficienta este asociat cu o conexiune permanentă și stabilă prin Internet și toate procesele de afaceri se opresc de îndată ce conexiunea este pierdută, este necesar să obligatoriu rezerva canale de internet.

    Aplicarea echipamente moderne de la MikroTik și Cisco, ne putem asigura că procesele de afaceri ale clientului nu se opresc și că sucursalele aflate la distanță primesc în mod constant internet stabil.

    Echilibrarea canalelor de internet ale birourilor la distanță - ce este?

    Pentru a îndeplini această sarcină, configurăm canalele furnizorilor de internet principal și de rezervă. În acest caz, backup-ul poate fi fie un canal suplimentar terestru, fie un canal mai economic al operatorilor de telefonie mobilă (Beeline, MTS, Megafon, Yota, Tele2).

    În cazul unei defecțiuni a canalului principal, de obicei mai puternic, are loc o trecere automată la canalul de rezervă. Cu un astfel de comutator, echipamentul este reautorizat, iar un tunel este ridicat în canalul de rezervă pentru transmiterea securizată a datelor criptate. Este necesar mai întâi să autorizați echipamentul în așa fel încât să fie posibilă echilibrarea între două canale de internet în funcție de disponibilitatea acestora.

    Pentru utilizatorul final, nu vor avea loc modificări - pur și simplu va continua să utilizeze Internetul, care va fi furnizat temporar printr-un canal de rezervă. Și ale noastre sistem automatizat monitorizarea primește aceste date, specialiștii văd informațiile și trimit o solicitare furnizorului principal de canal pentru a remedia problema.

    Îndemnăm clienții să nu economisească pe un canal de rezervă, deoarece costul utilizării acestuia (până la 1 mie de ruble în funcție de regiune) va fi semnificativ mai mic decât posibilele pierderi de afaceri din cauza întreruperilor singurului canal de internet.

    Există, de asemenea, scheme mai complexe pentru echilibrarea canalelor de internet ale birourilor la distanță. De exemplu, Cisco a dezvoltat și implementat tuneluri GRE. Sunt tunelurile obișnuite, dar antetul GRE este plasat „pe deasupra” pachetului IP standard. Astfel de tuneluri vă permit să efectuați autorizarea domeniului în cadrul rețelei.

    Opțiunea de echilibrare a canalului de internet depinde de nevoile specifice ale clientului.

    Rețelele locale dintre birourile de la distanță pot fi utilizate pentru alte opțiuni de unificare, de exemplu, pentru conferințe video, asigurarea unei politici de securitate unificate și multe altele.

    Noi, la rândul nostru, suntem capabili să asigurăm o astfel de unificare a rețelei de sucursale a clientului, astfel încât infrastructura sa IT să funcționeze fără eșecuri, astfel încât procesele sale de afaceri să nu se oprească - suntem gata să vă oferim o toleranță la erori fără precedent a tuturor componentelor.

    Popular
    Categorii

    2024
    newmagazineroom.ru - Declarații contabile. UNVD. Salariul si personalul. Tranzacții valutare. Plata taxelor. CUVĂ. Primele de asigurare