У багатьох організаціях, які мають кілька філій, виникає потреба об'єднання локальних мережофісів у єдину корпоративну мережу. З'єднання мережпідвищить ефективність бізнесу та дозволить знизити витрати, пов'язані з віддаленістю офісів. Об'єднання мережвіддалених офісів компанії дозволяє вирішити такі завдання:

• Робота співробітників усіх офісів у єдиній базі даних (наприклад, 1С)
• Забезпечення доступу віддалених співробітників до загальних корпоративних ресурсів компанії через Інтернет (віддалений доступ до мережі)
• Швидкий та зручний обмін даними між співробітниками віддалених офісів

З'єднання мережздійснюється через публічні мережі Інтернет, тому гостро постає питання безпеки об'єднання мереж і конфіденційності переданої інформації. Для безпечного та захищеного з'єднання двох мереж по публічних каналах зв'язку використовується технологія VPN (Віртуальні приватні мережі).

Налаштування VPN (Віртуальні приватні мережі)

Налаштування VPN(Віртуальні приватні мережі) між офісами компанії (з'єднання мереж) забезпечують шифрування даних, що передаються. Залежно від потреб замовника і вже наявної ІТ-інфраструктури, мережа VPN може бути створена на основі програмного або апаратного комплексу. Досить поширеним способом створення VPN мережі є налаштування VPN на основі програмного комплексу, який, крім реалізації VPN мережі, може бути мережевим екраном і забезпечувати фільтрацію мережного трафіку.

Віддалений доступ до комп'ютера

Є низка рішень, які зараз особливо потрібні клієнтам. Одним із них є робота в 1С або інших додатках віддалено на сервері підприємства. Уявимо, у Вас є сервер, і Вам потрібно надати можливість працювати з даними та додатками директору, який завжди у роз'їздах, або бухгалтеру, який працює з дому.

Нижче ми опишемо проект, виконаний нами для клієнта, який має головний офіс у Москві та три підрозділи у м. Ярослаль (офіс, виробництво та склад). Нам було поставлено завдання об'єднати офіси та підрозділи таким чином, щоб робота велася віддалено в 1С, встановленій на сервері в Москві, а також була можливість працювати з документами та сервером електронної пошти, розташованим у центральному офісі. Також ми повинні обслуговувати сервери та комп'ютери у віддалених підрозділах. Іншими словами, необхідно створити єдине середовище, в якому користувачі можуть працювати із загальними документами (сертифікати, наряди, накладні), вести облік у режимі он-лайн та працювати з електронною поштою.

Робота в 1С віддалено

У кожному офісі та підрозділі, де працює понад 1 особа, ставиться апаратний VPN-роутер. Це пристрій, що дозволяє, з одного боку, дозволяти користувачам ходити в інтернет, а з іншого, створювати VPN-канали. VPN-канал - це захищене зашифроване з'єднання, тунель, який дозволяє вашим користувачам вільно обмінюватися даними і водночас недоступне ззовні. Для побудови таких каналів використовується протокол ipsec, що забезпечує високий рівенькриптографічної стійкості.

На малюнку наведено схему з'єднання двох офісів.

Таким чином за допомогою двох роутерів ми можемо забезпечити зв'язок між офісами.

Здавалося б, запускай 1С віддалено та працюй. На жаль! Слід пам'ятати, що цей канал прокинутий через інтернет, а отже, має низку обмежень:

• за трафік, зазвичай, доводиться платити;
• швидкість інтернету, а отже пропускна спроможність такого каналу відносно невелика.

Запустивши такий віддалений 1С, ми отримаємо ситуацію "все висить".

Проблема вирішується використанням термінального доступу. Один із серверів у центральному офісі, що має помітні обчислювальні здібності, ми налаштовуємо як термінальний сервер. Для цього використовується вбудована в Windows служба Terminal Services. Необхідно встановити та налаштувати цей компонент, активувати сервер ліцензування Служб терміналів та встановити ліцензії. Після цього потрібно встановити на сервер 1С, і після цього можна працювати в 1С віддалено в терміналі.

Технологія термінального доступу полягає в тому, що всі завдання, які ви запускаєте в терміналі, фізично виконуються на віддаленому сервері, а вам передається лише зображення на екран. Користувач, який запустив у терміналі 1С з Ярославля, може і не знати, що 1С працює на сервері в Москві.

Що дає? Зниження трафіку. Збільшення швидкості обробки процедур у віддаленій базі 1С. Можливість людям працювати з будь-якого місця планети з однією базою 1С віддалено, або одними й тими самими файлами.

Але у будь-якої бочки меду має бути своя ложка дьогтю. В даному випадку, вона полягає в тому, що якість і можливість роботи в терміналі залежать від надійності підключення до інтернет. Часто каналу цілком достатньо для ходіння інтернетом, проте для роботи в терміналі потрібен досить надійний інтернет. Під надійністю ми розуміємо не стільки швидкість, скільки відсутність втрат пакетів у мережі. Так, радіоканали, що використовуються багатьма провайдерами, часто забезпечують дуже високі пікові швидкості, але відсоток втрат пакетів може досягати 10%. У цій ситуації термінальне з'єднання постійно рватиметься, і працювати буде важко.

Але в більшості випадків нам вдається налагодити можливість роботи в терміналі як з віддаленим 1С, так і з іншими програмами. Це дозволяє нашим клієнтам динамічно розвиватися, мінімізувати витрати та забезпечувати стійку роботу бізнес-процесів.

Відмітимо, що віддалена роботав 1Св даний час стала досить поширеною технологією, досить відпрацьованою і при правильному налаштуванні цілком безпечною, і може успішно виконуватися в рамках .

Припустимо, що у нас є 2 офіси в різних точках міста, або ж у різних містах або країнах і кожен з них підключений до інтернету досить гарним каналом. Нам треба зв'язати їх у єдину локальну мережу. У такому разі ніхто з користувачів не здогадується, де знаходиться той чи інший комп'ютер або принтер у локальній мережі, користуються принтерами, розшарованими папками та всіма перевагами фізичної мережі. Віддалені співробітники підключившись по OpenVPN зможуть також працювати в мережі, ніби їхні комп'ютери знаходяться у фізичній мережі одного з офісів.

Налаштовуватимемо в операційній системі Debian Squeeze, але інструкція повністю припустима до будь-якого дистрибутива заснованого на Debian, і з невеликими змінами в командах установки та налаштування мосту та OpenVPN буде застосована до будь-якого дистрибутиву Linux або FreeBSD.

Припустимо, що дистрибутив Debian або Ubuntu встановлений за однією з інструкцій: ,

Встановимо та налаштуємо VPN мережу на основі OpenVPN використовуючи міст tap0

Створюємо мережевий міст між фізичною мережевою eth1та віртуальним інтерфейсом tap0

Встановлюємо потрібні програмипогодившись на запит менеджера пакетів:

Налаштовуємо мережу сервера виходячи з того, що у нас 2 мережні карти: мережна eth0 eth1 br0

Редагуємо конфігураційний файл /etc/network/interfaces:

192.168.50.2 netmask 255.255.255.0 gateway 192.168.50.1 # local network auto e11 i0 e2.

Auto lo iface lo inet loopback # Дописуємо міст, до нього включаємо VPN інтерфейс tap0 і мережну карту eth1 auto br0 iface br0 inet static # Додаємо в міст tap0 інтерфейс openvpn bridge_ports inet static address 192.168.50.2 netmask 255.255.255.0 gateway 192.168.50.1

Після цього при виконанні команди ifconfig має з'явитися міст br0з IP 10.10.10.1, інтерфейс eth0 c IP адресою 192.168.50.2 та інтерфейс eth1без IP адреси, тому що він у мості br0

Налаштовуємо OPENVPN:
Копіюємо скрипти для конфігурування нашого openvpn сервера командою:

Cp -Rp /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /etc/openvpn/easy-rsa

Вносимо зміни до файлу /etc/openvpn/easy-rsa/vars, щоб визначити глобальні змінні і при створенні менше вводити даних:

Vi /etc/openvpn/easy-rsa/vars

Export KEY_COUNTRY="US" export KEY_PROVINCE="CA" export KEY_CITY="SanFrancisco" export KEY_ORG="Fort-Funston" export KEY_EMAIL=" "

Export KEY_COUNTRY="UA" export KEY_PROVINCE="11" export KEY_CITY="Kiev" export KEY_ORG="NameFirm" export KEY_EMAIL=" "

Переходимо до папки зі скриптами для створення сертифікатів та ключів командою:

Cd /etc/openvpn/easy-rsa/

Ініціалізуємо PKI (Public Key Infrastructure) командами:

. ./vars ./clean-all

Увага. За виконання команди ./clean-allвидаляться всі існуючі сертифікати та ключі як сервера так і клієнтів, тому не виконуйте на бойовому сервері, або виконуйте попередньо зберігши папку /etc/openvpn/в архів командою:

Tar cf – /etc/openvpn/ | gzip -c -9 > /home/openvpn_backup.tgz

Генеруємо Certificate Authority (CA) сертифікат та ключ командою:

./build-ca

Більшість параметрів підхопиться із файлу vars. Тільки параметр Name треба вказати явно:

Name :vpn

Взагалі, можете всі поля заповнювати щоразу так, як Вам потрібно.

Генеруємо параметри Діффі – Хеллмана командою:

./build-dh

Генеруємо сертифікат та секретний ключ сервера, на запит введення пароля нічого не вводимо, і при запиті Sign the certificate?: вводимо yта натискаємо Enterвиконавши команду:

./build-key-server server

Усі параметри приймаємо за умовчанням. На запит Common Nameвводимо server

Common Name (eg, ваш name or your server"s hostname) :server

На запитання Sign the certificate?і 1 out of 1 certificate requests certified, commit?відповідаємо позитивно:

Sign the certificate? :y 1 out of 1 certificate requests certified, commit? y

Залишилося створити сертифікати та ключі для клієнтів. Спочатку ініціалізуємо параметри:

Cd /etc/openvpn/easy-rsa/ . ./vars

Створюємо ключі для користувача server1. За прикладом, користувачів додаємо стільки, скільки потрібно:

./build-key server1 ./build-key client1 ./build-key client2

Виходячи з того, що мережа у нас 10.10.10.0/24 ми відразу виділяємо пул адрес для комп'ютерів офісу 1 - 10.10.10.40-149 для офісу 2 виділяємо пул адрес 10.10.10.150-254 та виділяємо пул адрес для віддалених співробітників 10.10.10.21-39.
Створюємо папку /etc/openvpn/ccd/де вказуємо якомусь клієнту якою айпі командою:

Mkdir -p /etc/openvpn/ccd/

Прописуємо кожному клієнту свій IP у мережі командами:

Echo "ifconfig-push 10.10.10.150 255.255.255.0" > /etc/openvpn/ccd/server1 echo "ifconfig-push 10.10.10.21 255.255.255.0" > /etc/open2 255.255.255.0" > /etc/openvpn/ccd/client2

Створюємо конфігураційний файл сервера:

Vi /etc/openvpn/server.conf ################################# port 1195 proto udp dev tap0 ca easy-rsa/keys/ca.crt cert easy-rsa/keys/server.crt key easy-rsa/keys/server.key # Цей файл повинен бути kept secret dh easy-rsa/keys/dh1024.pem mode server tls- server daemon ifconfig 10.10.10.1 255.255.255.0 client-config-dir /etc/openvpn/ccd keepalive 10 20 client-to-client comp-lzo persist-key persist-tun verb 3 log-append /var/log/open #script-security 2 # розкоментувати під час роботи на OpenVPN версії від 2.4 up /etc/openvpn/up.sh ########################### ######

Vi /etc/default/openvpn

OPTARGS=""

OPTARGS="--script-security 2"

Створюємо скрипт /etc/openvpn/up.shсервер, що запускається при запуску OpenVPN:

Vi /etc/openvpn/up.sh #!/bin/sh brctl addif br0 tap0 brctl addif br0 eth1 ifconfig tap0 0.0.0.0

Даємо права на виконання скрипту /etc/openvpn/up.shкомандою:

Chmod +x /etc/openvpn/up.sh

Після цього перезавантажуємо OpenVPN сервер командою:

Виконуємо команду ifconfig, повинен з'явиться інтерфейс tap0без IP-адреси.

Збираємо архів з ключами для роздачі віддаленим співробітникам та відправки на офіс 2

Створюємо папки з іменами користувачів командами:

Mkdir -p /etc/openvpn/users/server1 mkdir -p /etc/openvpn/users/client1 mkdir -p /etc/openvpn/users/client2

Створюємо папку з архівованими ключами командою:

Mkdir -p /etc/openvpn/users_tgz

Збираємо ключі та сертифікати за папками користувачів командами:

Cp /etc/openvpn/server/easy-rsa/keys/server1.key /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/server1.crt /etc/openvpn/users/ server1/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/server1/ cp /etc/openvpn/server/easy-rsa/keys/client1.key /etc/openvpn/ users/client1/ cp /etc/openvpn/server/easy-rsa/keys/client1.crt /etc/openvpn/users/client1/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/ openvpn/users/client1/ cp /etc/openvpn/server/easy-rsa/keys/client2.key /etc/openvpn/users/client2/ cp /etc/openvpn/server/easy-rsa/keys/client2.crt / etc/openvpn/users/client2/ cp /etc/openvpn/server/easy-rsa/keys/ca.crt /etc/openvpn/users/client2/

Створюємо конфігураційні файли з розрахунку, що server1- це сервер віддаленого офісу 2, а client1і client2це віддалені співробітники, що підключаються до VPN мережі зовні з Windows.

Замість IP-SERVER-VPN ставимо зовнішній IP адресу OpenVPN сервера.

Створюємо конфігураційний файл OpenVPN для server1:

Echo " remote IP-SERVER-VPN 1195 client dev tap0 udp resolv-retry infinite nobind persist-key persist-tun ca.crt cert server1.crt key server1.key comp-lzo verb 4 mute 20 verb 3 log-append / var/log/openvpn.log up /etc/openvpn/up.sh " > /etc/openvpn/users/server1/server1.conf

Архівуємо ключі для server1командою:

Tar cf - /etc/openvpn/users/server1 | gzip -c -9 > /etc/openvpn/users_tgz/server1.tgz

client1:

Echo " remote IP-SERVER-VPN 1195 client dev tap0 proto udp resolv-retry infinite nobind persist-key persist-tun ca.crt cert client1.crt key client1.key comp-lzo verb 4 mute 20 verb 3 " > /etc /openvpn/users/client1/client1.ovpn

Архівуємо ключі для client1 командою:

Tar cf - /etc/openvpn/users/client1 | gzip -c -9 > /etc/openvpn/users_tgz/client1.tgz

Створюємо конфігураційний файл для client2командою:

Echo " remote IP-SERVER-VPN 1195 client dev tap0 udp resolv-retry infinite nobind persist-key persist-tun ca.crt cert client2.crt key client2.key comp-lzo verb 4 mute 20 verb 3 " > /etc /openvpn/users/client1/client2.ovpn

Архівуємо ключі для client2командою:

Tar cf - /etc/openvpn/users/client2 | gzip -c -9 > /etc/openvpn/users_tgz/client2.tgz

Налаштовуємо VPN сервер офісу 2

В інструкції вище ми встановили та налаштували VPN сервер на Debian GNU/Linuxвикористовуючи OpenVPN, створили ключі із сертифікатами для віддаленого сервера офісу 2 та віддалених співробітників. Тепер нам необхідно з'єднати офіс 1 з офісом 2 в єдину локальну мережу через VPN.

Припустимо, що в офісі 2 у нас встановлений та налаштований Linux сервер (шлюз), який займається розподілом інтернет-каналу для співробітників офісу2. На цьому сервері є 2 мережні карти: eth0 - інтернет провайдер та eth1- локальна мережа, вона буде включена в міст і матиме пул адрес 10.10.10.100-254

Нам необхідно встановити програмне забезпечення командою:

Aptitude install bridge-utils openvpn

Налаштовуємо мережу сервера

Налаштовуємо мережу виходячи з того, що у нас 2 мережні карти мережева eth0- Отримує інтернет від провайдера і через неї офіс 1 виходить в інтернет, а також мережева eth1- включена в свіч локальної мережі офісу 1, вона буде включена в міст з інтерфейсом br0

Редагуємо конфігураційний файл /etc/network/interfaces:

Vi /etc/network/interfaces

192.168.60.2 netmask 255.255.255.0 gateway 192.168.60.1 # local network auto e00 i9 e2.

Auto lo iface lo inet loopback # Прописуємо міст, до нього включаємо VPN інтерфейс tap0 і мережну карту eth1 auto br0 iface br0 inet static # Додаємо в міст tap0 інтерфейс openvpn bridge_ports inet static address 192.168.60.2 netmask 255.255.255.0 gateway 192.168.60.1

Зберігаємо зміни та перезавантажуємо мережу командою:

/etc/init.d/networking restart

Після цього під час виконання команди ifconfig має з'явитися міст br0з IP 10.10.10.150 , інтерфейс eth0з IP адресою 192.168.60.2 та інтерфейс eth1без IP адреси, тому що він знаходиться у мосту br0

Для комп'ютерів офісу 2 видаємо комп'ютерам IP-адреси не виходячи за рамки 10.10.10.150-254 , де 10.10.10.150 - це IP-адреса сервера офісу 2.

Заливаємо з VPN сервера офісу 1 зібраний архів ключів OpenVPN на сервер офісу 2 командою:

Ssh -P22 /etc/openvpn/users_tgz/server1.tgz :/root/

Або ж, якщо server1 офісу 2 не має постійного або динамічного айпі будемо зливати ключі з VPN сервера офісу 2 командою:

Ssh -P22 :/etc/openvpn/users_tgz/server1.tgz /root/

На запит пароля – вводимо пароль користувача root , після введення правильного пароля завантажується архів з ключами до папки /root/server1.tgz

Розпаковуємо вміст архіву ( тільки файли ключів без папок) /root/server1.tgzу папку /etc/openvpn/

Дозволяється OpenVPN запускати скрипти:

Vi /etc/default/openvpn

OPTARGS=""

OPTARGS="--script-security 2"

Створюємо скрипт /etc/openvpn/up.shзапускається при підключенні VPN клієнта до сервера VPN:

Vi /etc/openvpn/up.sh #!/bin/sh brctl addif br0 tap0 brctl addif br0 eth1 ifconfig tap0 0.0.0.0 chmod +x /etc/openvpn/up.sh

Перезавантажуємо OpenVPN сервер командою:

/etc/init.d/openvpn restart

За виконання команди ifconfigповинен з'явиться інтерфейс tap0без IP-адреси.

Тепер можна пінгувати з обох офісів комп'ютери іншого офісу, користуються розшарованими папками, принтерами, ресурсами іншого офісу, а також влаштовувати ігрові баталії офіс 1 на офіс 2:)

Для перевірки інтерфейсів підключених до міст виконуємо команду:

Brctl show

Відповідь системи:

Bridge name bridge id STP enabled interfaces br0 7000.003ds4sDsf6 no eth1 tap0

Бачимо нашу локальну мережеву картку eth1та віртуальний інтерфейс OpenVPN tap0

Завдання виконано, два віддалені офіси з'єднані в одну локальну мережу.

Якщо Вам стаття принесла користь, поділіться з друзями, натиснувши на іконку Вашу соціальної мережівнизу цієї статті. Прокоментуйте будь ласка цю інструкцію, чи сподобалася вона Вам, принесла користь? Ви також можете підписатися на отримання повідомлень про вихід нових статей на свою пошту на сторінці

А тепер зробимо маленький перерва і половину хвилинки відпочинемо піднявши собі настрій для більш продуктивної роботи, переглянемо ролик і посміхнемося:

Як створити єдину приватну мережу для всіх мобільних співробітників та віддалених філій

Що таке VPN?

Припустимо, що у нас є два офіси в різних точках міста, або ж у різних містах чи країнах, і кожен з них підключений до інтернету. Для роботи, припустимо, 1С у вигляді єдиної корпоративної системи нам потрібно інтегрувати їх у єдину локальну мережу. (Не дивлячись на те, що ми пропонуємо рішення для 1С у вигляді розподілених баз даних. Іноді простіше створити єдину мережу та приєднуватися прямо до 1С серверуяк сервер знаходиться у Вашому приміщенні)

Можна звичайно купити персональну лінію між двома містами, але дане рішенняце буде швидше за все наддорогим.
Рішення за допомогою віртуальної приватної мережі (VPN - Virtual Private Network) пропонує нам цю виділену лінію організувати за допомогою створення шифрованого тунелю через інтернет. Основна перевага VPN перед виділеними лініями зв'язку - збереження грошей компанії при повній закритості каналу.
З точки зору споживача, VPN – технологія, за допомогою якої можна організувати віддалений захищений доступ через відкриті канали Інтернету до серверів, баз даних, будь-яких ресурсів вашої корпоративної мережі. Допустимо бухгалтер у місті А може легко роздрукувати рахунок-фактуру на принтері секретаря у місті Б, до якого приїхав клієнт. Віддалені співробітники підключившись по VPN зі своїх ноутбуків зможуть також працювати в мережі, начебто вони знаходяться у фізичній мережі своїх офісів.

Дуже часто, клієнти стикаючись з гальмами касових апаратівВикористовуючи Віддалений робочий стіл, необхідно встановити VPN. Це дозволять позбутися персилки даних для каси туди-назад на сервер за допомогою віртуального COM через інтернет і дозволить усанівку тонкого клієнта в будь-якій точці, який спілкується з касою безпосередньо, відправляючи на сервер тільки необхідну інформацію закритим каналом. Та й трансляція інтерфейсу RDP прямо в мережу Інтернет наражає Вашу компанію на дуже великі ризики.

Способи підключень

Способи організації VPN найбільш доцільно виділити наступні 2 основних способи:

• (Клієнт - Мережа ) Віддалений доступ окремо взятих співробітників до корпоративної мережі організації через модем чи загальнодоступну мережу.
• (Мережа - Мережа) Об'єднання двох і більше офісів в єдину захищену віртуальну мережу через інтернет

Більшість посібників, особливо для віндовс, описують підключення за першою схемою. При цьому потрібно розуміти, що дане підключення не є тунелем, а тільки дозволяє підключатися до ВПН мережі. Для організації даних тунелів нам знадобиться тільки 1 білий IP а не за кількістю віддалених офісів, як багато хто помилково вважає.

На малюнку показано обидва варіанти підключення до основного офісу А.

Між офісами А та В організовано канал, який забезпечує інтеграцію офісів в єдину мережу. Це забезпечує прозорість обох офісів для лубих пристроїв, які знаходяться в одному з них, що вирішує багато проблем. Наприклад організації єдиної номерної ємності у межах однієї АТС має IP телефони.

Мобільним клієнтам доступні всі послуги офісу А, а при знаходженні офісу В в єдиній віртуальній мережі та його послуги.

При цьому спосіб підключення мобільних клієнтів зазвичай реалізується протоколом PPTP (Point-to-Point Tunneling Protocol).

PPTP

(Point-to-Point Tunneling Protocol bumagin-lohg) – тунельний протокол «точка-точка», дітище Microsoft і є розширенням PPP (Point-to-Point Protocol), отже, використовує його механізми справжності, стискування та шифрування. Протокол PPTP є вбудованим у клієнт віддаленого доступу Windows XP. При стандартному виборі цього протоколу компанією Microsoftпропонується використовувати метод шифрування MPPE (Microsoft Point-to-Point Encryption). Можна передавати дані без шифрування у відкритому вигляді. Інкапсуляція даних протоколу PPTP відбувається шляхом додавання заголовка GRE (Generic Routing Encapsulation) і заголовка IP до даних оброблених протоколом PPP.

Через значні проблеми безпеки, немає причин для вибору PPTP замість інших протоколів, крім як через несумісність пристрою з іншими протоколами VPN. Якщо пристрій підтримує L2TP/IPsec або OpenVPN, то краще вибрати один з цих протоколів.

Слід зазначити, що багато пристроїв, у тому числі й мобільні, мають вбудованого в ОС (Windows, iOS, Android) клієнта, що дозволяє миттєво налаштувати підключення.

L2TP

(Layer Two Tunneling Protocol) – більш досконалий протокол, що народився в результаті об'єднання протоколів PPTP (від Microsoft) і L2F (від Cisco), що увібрав у себе найкраще з цих двох протоколів. Надає більш захищене з'єднання, ніж перший варіант, шифрування відбувається засобами протоколу IPSec (IP-security). L2TP є також вбудованим у клієнт віддаленого доступу Windows XP, навіть при автоматичному визначенні типу підключення клієнт спочатку намагається з'єднатися з сервером саме за цим протоколом, як більш кращим у плані безпеки.

При цьому в протоколі IPsec є така проблема, як узгодження необхідних параметрів. даний протоколбудуть несумісними.

OpenVPN

Просунуте відкрите VPN рішення, створене компанією OpenVPN technologies, яке зараз дефакто є стандартом у VPN-технологіях. Рішення використовує протоколи шифрування SSL/TLS. OpenVPN використовує OpenSSL бібліотеку для забезпечення шифрування. OpenSSL підтримує велика кількістьрізних криптографічних алгоритмів, таких як 3DES, AES, RC5, Blowfish. Як у випадку IPSec, CheapVPN включає екстримально високий рівень шифрування - алгоритм AES з ключем довжиною 256 біт.
OpenVPN - Єдине рішеннящо дозволяють обійти тих провайдерів, які ріжуть або стягують плату за відкриття додаткових протоколів, крім WEB. Це дає можливість організувати канали які в принципі неможливо відстежитиі у нас є такі рішення

Тепер Ви маєте деяке уявлення про те, що таке VPN і як це працює. Якщо Ви керівник - подумайте, можливо це саме те, що Ви шукали

Приклад налаштування сервера OpenVPN на платформі pfSense

Створюємо сервер

• Interface: WAN(Мережевий інтерфейс сервера, підключений до Інтернету)
• Protocol: UDP
• Local Port: 1194
• Description: pfSenseOVPN(Будь-яка зручна назва)
• Tunnel Network: 10.0.1.0/24
• Redirect Gateway: увімкнути(Відключіть цю опцію, якщо Ви не бажаєте, щоб весь інтернет-трафік клієнта перенаправлявся через VPN-сервер.)
• Local Network: Залишаємо порожнім(Якщо Ви хочете, щоб локальна мережа, що знаходиться за сервером pfSense, була доступна для віддалених клієнтів VPN, вкажіть адресний простір цієї мережі. Допустимо 192.168.1.0/24)
• Concurrent Connections: 2 (Якщо Ви придбали додаткову ліцензію OpenVPN Remote Access Server, вкажіть кількість, яка відповідає кількості придбаних ліцензій)
• Inter-Client Communications: увімкнути(Якщо Ви не бажаєте, щоб VPN-клієнти бачили один одного, відключіть цю опцію)
• DNS Server 1 (2 і т.д.): вказати DNS-сервери хоста pfSense.(Дізнатися їх адреси можна в розділі System > General Setup > DNS Servers)

далі створюємо клієнтів та для спрощення процедур конфігурації програм-клієнтів, у pfSense передбачений додатковий інструмент – “OpenVPN Client Export Utility”. Цей інструмент автоматично готує інсталяційні пакети та файли для клієнтів, що дозволяє уникнути ручного налаштування OpenVPN-клієнта.

VPN з'єднання між офісами покривають такі вимоги безпеки бізнесу як:

• Можливість централізованого доступу до інформації з офісів, як і з головного офісу
• Єдина корпоративна інформаційна система
• Корпоративні бази даних із єдиною точкою входу
• Корпоративна електронна пошта з єдиною точкою входу
• Конфіденційність інформації, що передається між офісами інформації

Якщо у Вас виникли труднощі при налаштуванні або Ви ще не визначилися з VPN - телефонуйте нам!

Зв'яжіться з фахівцемГоряїнов Денис Технічний директор +79851256588 Поставити питання

Об'єднання двох і більше локальних мереж

Завдання об'єднання в мережу:

1. налагодити швидкий, безпечний та надійний обмін інформацією між кількома віддаленими офісами та філіями;

2. підключити до локальної мережі мобільних співробітників, забезпечивши безпеку з'єднання ;

3. створити єдиний для філій телефонний канал для економії та контролю витрат, зручності перемикання;

4. створити централізований інтернет-канал та розподіл трафіку між філіями;

5. взяти під контроль центру віддалені офіси.

Якщо вам необхідно вирішити ці завдання, послуга від компанії ZSC дозволить вашій компанії зв'язати у єдину мережу всі віддалені філії та співробітників.

Об'єднання локальних мереж

Коли компаніям необхідно об'єднати кілька філій та офісів, сьогодні виконавцю вже недостатньо просто налаштувати централізовану локальну мережу та налагодити обмін інформацією.

Клієнту необхідно комплексне рішення з:

1. єдиним телефонним каналом;
2. керованим інтернет-трафіком;
3. можливістю автоматизованого контролю та віддаленої технічної підтримкикомп'ютерів та серверів філій;
4. вільний доступ для віддалених співробітників до корпоративної інформації.

При цьому має бути забезпечений високий рівень безпеки всіх цих інформаційних потоків.

Сьогодні клієнту послуга об'єднання локальних мережпотрібно «під ключ- кожен етап виконання робіт підрядник повинен здійснити самостійно, за мінімальної участі замовника. В результаті клієнту необхідно надати централізовану системууправління філіями з усіма необхідними IT-компонентами та інструментами контролю та підтримки. Не йдеться про просте VPN – ми говоримо про віртуальне об'єднання віддалених офісів до рівня «фізичного».

При цьому не можна забувати, що проект об'єднання двох і більше локальних мережмає бути економічним, інакше весь його позитивний результат буде нерентабельним.

Якщо вам необхідно здійснити подібне об'єднання філій та віддалених офісів або впровадити якийсь його компонент (єдина телефонна мережа, збалансований інтернет-трафік), ми відкриті для співпраці. Маючи величезний досвід і високі кваліфікації на ринку цифрових технологій, ми готові запропонувати вам найбільш ефективний і економічний варіант, орієнтований на конкретні потреби вашого бізнесу.

Пристрої об'єднання мереж

Спеціалісти нашої компанії ZSC працюють з обладнанням будь-яких виробників. Якщо у вас власні роутери – для об'єднання локальних мереж віддалених офісів ми налаштуємо їх.

Об'єднання мереж Mikrotik

У своїй же практики ми використовуємо професійне обладнаннявід Mikrotik(Економічніше і популярніше рішення) і Cisco (дорожче і функціональне рішення).

На прикладі обладнання Mikrotik розберемо технологію об'єднання локальних мереж. Незважаючи на досить низьку ринкову вартість порівняно з аналогами, програмна платформа Mikrotik дозволяє настроювати гнучкі, безпечні та функціональні канали обміну інформацією. Обладнання цього виробника відмінно зарекомендувало себе на наших численних проектах та в офісахклієнтів. Крім цього, Mikrotik дозволяє серйозно заощаджувати бюджет.

Роутери Mikrotik підтримують до семи протоколів безпечної відправки інформації, яка шифрується у вигляді окремих пакетів із присвоєнням другого IP-заголовка. Цей заголовок включає IP адресу одержувача і IP адресу відправника. При спробі перехопити інформацію шахрай бачить лише цю інформацію, при цьому визначити комп'ютер-джерело та комп'ютер-отримувач неможливо. У разі витоку інформації, знадобиться занадто багато часу, щоб розшифрувати код, і ще не факт, що це вийде. Застосовуються інші варіанти безпечної передачі інформації.

Протоколи безпеки:

Детальніше

PPTP(Тунельний міжточковий протокол) - застосовується для побудови виділених мереж поверх відкритих. Вирізняється високою продуктивністю, різноманітними опціями шифрування та можливістю використання різних програмних платформ.

L2TP- на відміну від PPTP, має більш високу стійкість до збоїв і більш надійну безпеку. Застосовується як для побудови закритих мереж усередині відкритих, так і для доступу в корпоративну мережу з віддалених пристроїв, а також застосування різноманітних схем підключення.

IP2IP- Шифрує інформацію в пакети і привласнює окремий IP для надійної передачі адресату. Застосовується для побудови тунелів між роутерами через Інтернет.

PPPOE- працює за аналогією з протоколом PPTP, але є більш простим і менш ресурсомістким рішенням.

IPSec- один із найбільш надійних варіантів для побудови закритого тунелю. Окрім того, інформація зашифровується, для прочитання необхідно використовувати індивідуальні ключі. Це забезпечує високий, дворівневий ступінь захисту даних.

VLAN- забезпечує створення логічних високошвидкісних захищених тунелів, які з безпеки наближаються до «фізичної» передачі інформації, наприклад, всередині офісу через кабелі.

EoIP- організує прозоре об'єднання віддалених офісів та філій поверх створених віртуальних каналів. Дозволяє гнучко налаштовувати інтернет-трафік, індивідуальні політики безпеки, проводити балансування та налаштування для віддалених філій. Для застосування EoIP необхідний досить широкий пропускний канал, оскільки протокол забирає до 15% трафіку реалізації управління.

Комбінація різних протоколів безпеки дозволяє вибудовувати гнучкі, безпечні та надійні канали обміну інформацією та задовольняти конкретні потреби бізнесу. Якщо потрібна максимальна безпека, підійде протокол IPSec, а якщо потрібний простіший канал передачі зашифрованої інформації - PPTP, L2TP або IP2IP. Для організації прозорої та керованої логістики інформації між філіями та офісами вибором можуть стати VLAN та EoIP.

Ціна об'єднання двох і більше локальних мереж

Подати уніфікований прайс з однозначними цінами на об'єднання двох і більше локальних мереж, який би поширювався на всі проекти, неможливо. При кінцевому розрахунку багато залежить від поставлених завдань, потреб бізнесу, обсягу робіт, кількості Ethernet-розеток, метражу кабелю та багато іншого.

Проте є кілька базових показників, які поширюються окремі види робіт:

Актуально на 16.02.2017 (без урахування ПДВ)

Наші фахівці та проектувальники здатні створити проект об'єднання двох і більше локальних мережбудь-якої складності та масштабу, під конкретні потреби бізнесу, узгодити його із замовником та реалізувати «під ключ».

Об'єднання комп'ютерних мереж - як ми працюємо:

• отримуємо вихідні дані, налаштування та політики безпеки, які працюють усередині вашої компанії;
• інтегруємо їх з налаштуваннями роутера, проводимо налаштування обладнання відповідно до необхідних вам вимог;
• відправляємо у віддалений філіал (офіс) налаштований роутер і підключаємо його;
• проводимо пусконалагодження ;
• надаємо вам готове рішення- об'єднання двох та більше локальних мереж.

Для вас – все просто! А на нашому боці – величезний досвід, висока кваліфікація та десятки реалізованих проектів. І все це дозволяє нам працювати швидко, якісно та із серйозною економією бюджету не на шкоду якості.

А якщо ви є нашим клієнтом комплексного абонентського обслуговування тарифу Premium, то дана послуганадається для вас безкоштовно (оплачується лише обладнання)!

Розберемо докладніше окремі компоненти комплексного рішення «Об'єднання двох і більше локальних мереж».

Телефонія між віддаленими офісами

Завдання : створити єдину телефонну мережу з «короткими» номерами абонентів у віддалених філіях, забезпечити економію коштів під час дзвінків та контроль за використанням телефонних ліній, підключити до телефонної мережі мобільних співробітників, запровадити єдиний номер.

Коли ми об'єднали спільною мережею Ethernetцентральний та віддалені офіси, ми утворили, таким чином, єдиний інформаційний простір. Всередині цього простору можна передавати будь-які дані: файли, відеоконтент, голосовий контент та іншу інформацію. Наймасовіший сегмент інформації, що передається всередині компанії - дані серверів; на другому місці за популярністю - голосовийі відео-контент.

Єдина локальна мережа дозволяє налаштовувати обладнання таким чином, що співробітники, які можуть бути поділені тисячами кілометрів, знаходяться в одному офісі.

Стаціонарні співробітники

Для вибудовування єдиної телефонної мережі між філією та центром необхідна власна цифрова офісна АТС, яка встановлюється у центральному офісі. А у філіях підключаються IP-телефони, для яких налаштовуються IP-адреси так, наче це була б мережа одного офісу. АТС та віддалений телефон ідентифікують один одного, після чого для віддаленого офісу ми присвоюємо «короткий» номер. Все відбувається так, ніби ми просто додали нового співробітника до центрального офісу.

У результаті ваші співробітники починають працювати в єдиному просторі, як би далеко вони не знаходилися один від одного. Коли на АТС приходить вхідний дзвінок, телефонна станція «думає», що ви перебуваєте в одній мережі та переадресує виклик, а він лунає в іншому місті чи навіть країні. У цьому забезпечується високий рівень передачі - зв'язок здійснюється через захищені шифровані тунелі.

Мобільні співробітники

До єдиної телефонної мережі компанії можна підключати мобільних співробітників. Для цього їм необхідно використовувати телефони, які підтримують тунелювання. Усередині смартфона налаштовується шифрований тунель, який піднімається при підключенні телефону до мережі Wi-Fi і авторизується через прописані налаштування з центральної АТС у вашому офісі.

У результаті, ваш мобільний співробітник входить у корпоративну телефонну мережу, може мати «короткий» номер для швидкого перемикання та використовувати вигідні тарифи для здійснення та прийому викликів, які налаштовані на вашій центральній АТС.

Переваги єдиної телефонії між філіями:

• гнучке налаштування внутрішньої маршрутизації дзвінків;
• можливість використання кількох операторів та тарифів;
• можливість застосування єдиного телефонного номера з наступною переадресацією на номери філій;
• суттєва економія витрат на телефонію;
• централізація та здійснення контролю за вхідними та вихідними дзвінками.

Серед цих та інших численних переваг телефонної мережі між віддаленими філіями існують дві основні, які й зробили цю послугу такою затребуваною в наші дні: перше- використання багатоканальних номерів; і, друге- економія витрат на телефонію.

Завдяки багатоканальності дзвінки комфортно розподіляються між віддаленими офісами. Достатньо просто налаштувати голосове меню, щоб клієнт міг дзвонити на єдиний номер та з'єднатися з певним регіоном, містом, офісом чи підрозділом.

Економія витрат забезпечується логічною маршрутизацією між кількома операторами, які підключені до єдиної АТС у центральному офісі. Тобто досить один раз грамотно налаштувати телефонну станцію в головному офісі, підключивши до неї кілька операторів, щоб скоротити витрати на телефонію всієї філіальної мережі офісів. Наприклад, всі дзвінки по Росії здійснюються через одного оператора IP-телефонії. Аналогові виклики по Москві проходять через безлімітні міські лінії, а міжміські через третього оператора SIP-телефонії. І так – для кожного окремого видузв'язки: вхідні/вихідні, дзвінки по Росії, всередині регіону, міста, міжміські та міжнародні виклики, зі стаціонарних та мобільних телефонів.

Наші клієнти у складних конфігураціях мають від 2 до 5 операторів зв'язку, що забезпечує найбільш оптимальне витрачання коштів. Їм необхідно відстежувати коректну роботу лише одного центрального обладнання, щоб фактично обслуговувати десятки офісів та не витрачати десятки тисяч рублів на неписьменне витрачання телефонного трафіку.

Докладніше з цією послугою можна ознайомитись у розділі «Офісна АТС». Тут ви дізнаєтеся, скільки може заощадити компанія при використанні центральної АТС.

Інтернет об'єднання мереж

Завдання : забезпечити стабільний, безперебійний інтернет-трафік у віддаленому офісі чи філії

Коли компанія має невелику філію в іншому місті, її ефективна роботапов'язана з постійним та стабільним підключенням по мережі Інтернет і всі бізнес-процеси зупиняються як тільки обривається зв'язок, необхідно в обов'язковому порядку резервувати інтернет-канали.

Застосовуючи сучасне обладнаннявід MikroTik і Cisco ми здатні зробити так, щоб бізнес-процеси замовника не зупинялися і віддалені філії постійно отримували стабільний інтернет.

Балансування інтернет-каналів віддалених офісів – що це таке?

Для виконання цього завдання ми налаштовуємо канали основного та резервного інтернет-провайдерів. При цьому резервний може бути як додатковим наземним каналом, так і більш економічним каналом мобільних операторів (Білайн, МТС, Мегафон, Yota, Теле2).

У разі відмови основного, як правило, потужнішого, каналу відбувається автоматичне перемикання на резервний канал. За такого перемикання обладнання переавторизується, а резервному каналі піднімається тунель для захищеної шифрованої передачі. Попередньо необхідно виконати авторизацію обладнання таким чином, щоб була можливість балансувати між двома інтернет-каналами залежно від їхньої доступності.

Для кінцевого користувача жодних змін не відбудеться - він просто продовжить користуватися інтернетом, який тимчасово поставлятиметься по резервному каналу. А наша автоматизована системамоніторингу приймає ці дані, фахівці бачать інформацію та надсилають заявку провайдеру основного каналу для усунення проблеми.

Ми закликаємо клієнтів не економити на резервному каналі, оскільки вартість його використання (до 1 тисячі рублів залежно від регіону) буде суттєво нижчою від можливих бізнес-втрат через перебої в єдиному інтернет-каналі.

Існують і складніші схеми балансування інтернет-каналів віддалених офісів. Наприклад, Cisco розроблено та впроваджено GRE-тунелі. Вони є звичні тунелі, але GRE-заголовок накладається «поверх» стандартного IP-пакету. Такі тунелі дозволяють виконувати доменну авторизацію всередині мережі.

Варіант балансування інтернет-каналу залежить від конкретних потреб замовника.

Локальні мережі між віддаленими офісами можна застосовувати і для інших варіантів об'єднання, наприклад, відеоконференцзв'язку, забезпечення єдиної політики безпекиі багато іншого.

Ми ж, зі свого боку, здатні забезпечити таке об'єднання філіальної мережі клієнта, щоб його IT-інфраструктура працювала без збоїв, щоби його бізнес-процеси не зупинялися - ми готові забезпечити для вас безпрецедентну відмовостійкістьвсіх компонентів.