Посібник із вирішення проблем: прокладаємо VPN через брандмауери NAT
Популярність телекомунікацій продовжує зростати, при цьому питання захисту не втрачають своєї актуальності. Тому маленькі та великі компанії використовують віртуальні приватні мережі (VPN). На щастя, інформаційні відділи компаній усвідомлюють, що багато співробітників підключені за виділеними лініями та широкосмуговими з'єднаннями з використанням маршрутизаторів споживчого рівня. ІТ-відділи можуть набагато полегшити життя користувачів, застосовуючи "дружні до NAT" шлюзи VPN та клієнтів VPN, які не вимагають внесення змін до конфігурації домашніх маршрутизаторів для встановлення тунелю VPN.
Просто наскрізне проходження
Якщо вам не так пощастило, ви все-таки можете виправити ситуацію. По-перше, слід перевірити, чи ваш маршрутизатор підтримує функцію наскрізного проходження PPTP або IPSEC PPTP/IPsec "pass through." Подібна функція зустрічається в маршрутизаторах Linksys , так що можете пошукати ці моделі. Рис. 1 показано нижню частину екрана фільтрів Linksys BEFSR41, яка містить опції для роздільного включення наскрізного проходження PPTP або IPsec.
Мал. 1. Наскрізне проходження VPN Linksys BEFSR41.
Все, що вам потрібно, - увімкнути підтримку VPN протоколу, перезавантажити маршрутизатор. Якщо все пройде нормально, ваша VPN відразу ж запрацює.
Примітка: На жаль, функція включення наскрізного проходження VPN має невсі маршрутизатори, проте відсутність цих опцій аж ніяк не означає, що все закінчено.
Мал. 2. Перенаправлення портів VPN Linksys BEFSR41.
PPTP також потребує підтримки протоколу IP 47 (Generic Routing Encapsulation) для проходження трафіку VPN. Майте на увазі, що потрібна підтримка протоколу , а не порту. Підтримка цього протоколу має бути вбудована в "движок" NAT, як і зроблено більшості сучасних маршрутизаторів.
Відкриваємо брандмауер, продовження
Для підтримки VPN на базі IPsec VPNs необхідно відкрити порт UDP 500 для переговорів ключа ISAKMP, протокол IP 50 для трафіку Authentication Header (використовується не завжди) і протокол IP 51 для передачі самих даних. І знову єдиний порт, що перенаправляється тут UDP 500, який ми теж запрограмували на Рис. 2 до тієї ж клієнтської машини у локальній мережі; підтримка протоколів 50 і 51 має бути вбудована у ваш маршрутизатор.
Порада: Не всі маршрутизатори однакові! Деякі підтримують відкриття лише одного тунелю VPN та єдиного клієнта. Інші підтримують кілька тунелів, але лише одного клієнта на тунель. На жаль, більшість виробників не надто ясно вказують у документації спосіб підтримки наскрізного проходження VPN своїх продуктів, та й служба технічної підтримки часто не має належної кваліфікації для вирішення цього питання. У більшості випадків вам доведеться протестувати маршрутизатор у вашій мережі та повернути його, якщо він не запрацює.
Змусити деякі маршрутизатори підтримувати VPN на базі IPsec без шаманської танці з бубном практично неможливо. Справа в тому, що виробники люблять реалізовувати власні механізми цієї підтримки. Втім, у міру "дорослішання" технології, підтримкаIPsec стає все ближчою до ідеалу, і ваша компанія може використовувати старі продукти, які створювалися взагалі без урахування існування NAT або які вимагають відкриття додаткових портів у брандмауері.
|
