Объединение двух офисов через VPN. Часть 1 – обходимся средствами Windows


Хотя тема и избита, но тем не менее, часто многие испытывают затруднения – будь то начинающий системный администратор или же просто продвинутый пользователь, которого начальство заставило выполнять функции эникейщика. Парадоксально, но несмотря на обилие информации по VPN, найти внятный вариант  — целая проблема. Более того, даже складывается впечатление, что один написал – другие же нагло скопировали текст. В итоге, поисковая выдача буквально захламлена обилием ненужной информации, из которой стоящее редко можно вычленить. Поэтому я решил в своей манере разжевать все нюансы (может, кому и пригодится).

Итак, что такое VPN? VPNVirtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (в том числе и интернет). В зависимости от применяемых протоколов и назначений, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть. Как говорится, без комментариев.

VPN позволяет легко объединить удаленный хост с локальной сеткой фирмы или другого хоста, а также объединить сети в одну. Выгода вполне очевидна – мы легко с клиента VPN получаем доступ к сети предприятия. Кроме того, VPN еще и защищает ваши данные посредством шифрования.

Я не претендую на то, чтобы вам описать все принципы работы VPN, так как есть масса специальной литературы, да и если честно, я и сам много чего не знаю. Тем не менее, если у вас стоит задача «Сделай!», нужно срочно вливаться в тему.

Давайте рассмотрим задачу из моей личной практики, когда нужно было объединить по VPN два офиса –головной и филиал. Ситуацию еще и осложнял тот факт, что в головном офисе стоял видео-сервер, который должен принимать видео с IP камеры филиала.  Вот вам вкратце задача.

Способов решения много. Все зависит от того, что у вас есть под рукой. Вообще, VPN легко построить с помощью железного решения на базе различных роутеров Zyxel. В идеале, может случиться и то, что интернет обоим офисам раздает один провайдер и тогда у вас вообще проблем не возникнет (достаточно просто обратиться к прову). Если фирма богата, то может себе позволить и CISCO. Но обычно все решается программными средствами.

А тут выбор велик – Open VPN, WinRoute (учтите, что он платный), средства операционной системы, программы типа Hamanchi (честно говоря, в редких случаях она может и выручит, но полагаться на нее не  рекомендую – бесплатная версия имеет ограничение в 5 хостов и еще один существенный минус заключается в том, что  все ваше соединение зависит хоста Hamanchi, что не всегда гуд). В моем случае идеально было бы воспользоваться OpenVPN – бесплатной программой, способной незатейливо создать надежное VPN-соединение. Но мы, как всегда, пойдем по пути наименьшего сопротивления.

У меня в филиале интернет раздает шлюз на базе клиентской Windows. Согласен, не самое лучшее решение, но для тройки клиентских компьютеров хватит с головой. Мне нужно сделать VPN-сервер из этого шлюза. Так как вы читаете эту статью, то наверняка уверен, что являетесь новичком в VPN. Поэтому для вас я привожу самый простой пример, который, в принципе, устраивает и меня.

В Windows семейства NT уже вшиты зачаточные возможности серверов. Поднять VPN-сервер на одной из машин не составит труда. В качестве сервера я буду приводить примеры скриншотов Windows 7, но общие принципы будут теми же самыми, что и для старушки XP.

Учтите, что для соединения двух сетей, нужно чтобы они имели разный диапазон! Например, в головном офисе диапазон может быть 192.168.0.x, а в филиале – 192.168.20.x (или любой диапазон серых ip). Это очень важно, так что будьте внимательны. Теперь, можно приступать к настройке.

Зайдите на сервере VPN в Панель управления -> Центр управления сетями и общим доступом ->изменение параметров адаптера.

Теперь нажмите клавишу Alt, вызвав меню. Там в пункте Файл нужно выбрать «Новое входящее подключение».

Поставьте галочки тем пользователям, которые могут входить в систему по VPN. Я настоятельно рекомендую Добавить нового пользователя, назвать его понятным именем и назначить пароль.

После того, как вы это сделали, нужно в следующем окне выбрать как будут подключаться пользователи. Ставьте галку  «Через интернет».  Теперь вам остается назначить диапазон адресов виртуальной сети. Причем, можно выбрать сколько всего компьютеров может участвовать в обмене данных. В следующем окне выберите протокол TCP/IP  версии 4 нажмите «Свойства»:

У вас появится то, что у меня на скриншоте. Если вы хотите, чтобы клиент получил доступ к локальной сети, в которой находится сервер, просто ставьте галку «Разрешить звонящим доступ к локальной сети». В пункте «Назначение IP адресов»  я рекомендую указать адреса вручную по принципу, который я выше описал. В моем примере я дал диапазону всего двадцать пять адресов, хотя мог указать просто и два и 255.

После этого жмем на кнопку «Разрешить доступ».

Система автоматически создаст VPN-сервер, который будет сиротливо ожидать, когда к нему кто-либо присоединится.

Теперь остается дело за малым – настроить VPN-клиента. На клиентской машине также идете в Центр управления сетями и общим доступом и выбираете Настройка нового подключения или сети.  Теперь вам нужно будет выбрать пункт «Подключение к рабочему месту»

Жмете на «Использовать мое подключение к Интернету и теперь вас выбросит в окно, где нужно будет ввести адрес нашего интернет-шлюза в филиале. У меня он имеет вид 95.2.x.x

Теперь можно вызывать подключение, вводить то имя пользователя и пароль, который вы ввели на сервере и пытаться подключиться. Если все правильно, то вы подключитесь. В моем случае, я могу уже посылать пинг любому компьютеру филиала и запрашивать камеру. Теперь ее моно легко цеплять к видеосерверу. У вас же может быть что-то другое.

Как вариант, при подключении может выскочить ошибка 800, сигнализируящая о том, что с подключением что-то не то. Это проблема брэндмауэра либо клиента, либо сервера. Конкретно я сказать вам не могу – все определяется экспериментально.

Вот так незатейливо мы создали VPN между двумя офисами. Таким же образом можно объединить и игроков. Однако не стоит забывать, что это будет все-таки не полноценный сервер и лучше использовать более продвинутые средства, о которых я расскажу в следующих частях.

В частности, в части 2 мы с вами рассмотрим настройку OPenVPN под Windows и Linux.

Комментарии

18 комментариев на “Объединение двух офисов через VPN. Часть 1 – обходимся средствами Windows”
  1. kostya:

    когда часть 2??))

  2. Сергей:

    Приветствую, у меня схема организации точь в точь как на первой картинке, четвертый месяц бьюсь с сис.админами что бы сделали что то подобное, одни сказали что нужно купить железо, типо с ним надежнее и стоит около 3000руб, другие говорят что не нужно заморачиваться и сделать на программном уровне, на тебя друг надежда, там где сервер белый ip и скорость 25000 м.с а остальные 3 офиса Ip черные и скорость 512 м.с. т.е. стандартные Ростелеком. подскажи дружище схемку, что бы носом тыкнуть как нужно сделать.

    • admin:

      На железках действительно будет в данном случае надежнее и проще. Программно же придется повозиться с Open VPN

  3. Сергей:

    Здравствуйте! Сделал всё по вашей статье, всё соединяется и работает RDP. Но. Интернет на клиентском ПК через USB-модем с серым IP и после подключения к VPN-серверу с белым IP, на клиенте пропадает интернет. Подскажите, пожалуйста, как это исправить.

  4. Сергей:

    Чтобы VPN-клиент использовал свой шлюз интернета, нужно: в свойствах соединения VPN-клиента есть закладка Сеть, там выбрать протокол TCP/IP, потом нажать Свойства, там нажать Дополнительно, и убрать галочку «Использовать основной шлюз в удаленной сети» (она по умолчанию включена).

    • admin:

      Сергей, вы уже и сами решили ответить на свой вопрос? 🙂 Молодец, что разобрался сам. Я просто не сижу сутками на блоге и не могу отследить все комментарии, что приходят. Поэтому ответ и будет не сразу.

      • Сергей:

        Я написал, чтобы другим людям не пришлось искать решение этой проблемы 😉
        А ещё, если сервер за роутером, то нужно пробросить порт 1723.

  5. Сергей:

    Настроить то, я настроил, только вот, через час клиентский ПК не доступен, хотя у всех показывает, что VPN-соединение работает 🙁

  6. Mikhail:

    Это я все настроил, но у меня проблема в другом. Подключаюсь к главному офису через 3g модем со второго офиса, подключается нормально, всю сеть главного офиса я вижу, но мне нужно чтоб и обратно сеть была видима, а обратно виден только один комп с которого подключаюсь, а мне нужно заходить на ip камеру сети vpn клиента. Вот уж весь мозг изломал!

    • admin:

      А что тут голову ломать? В данном руководстве описана топология сервер-клиент. Поэтому с клиентского компьютера видна вся удаленная сеть, а с той стороны — только клиентский хост. Нужно делать сеть сервер-сервер. Самый простой способ поднять OpenVPN.
      Только тут есть маленький нюанс — нужно чтобы на серваках были либо белые ip, либо поднимать сеть на специальных железках, либо на стороне, где используется 3g поднимать DDNS.

      • Mikhail:

        DDNS у меня есть, только тут еще проблема, сейчас сотовые операторы дают не прямой ip адрес а внутренний типа 10.12.xx.xx и плюс к этому перекрыты все порты и ddns не работает, можно конечно оформить сим карту на юр.лицо и за бешеные бабки попросить статический ip, но это у нас не прокатит. Поэтому думаю вот о таком роутере Belkin N300 VPN только не совсем понимаю, сервер на нем поднять можно, а мне нужно наоборот чтоб он подключался и дал видеть всю сеть на клиенте.

        • admin:

          Мда, с серыми айпишниками беда…
          Насчет роутера нужно просто настроить проброс портов.

  7. ФЕДОР:

    Поражаюсь с наглости людей. admin, Вам за статью +5!
    Ментальность получить побольше и нахаляву — явная проблема в нашей стране.
    Все написано для «дураков» — Хотите получить консультацию по Вашему персональному решению — платите деньги..

  8. ШАГАБУТИНОВ МУРТУЗАЛИ:

    СПАСИБО ОГРОМНЕЙШЕЕ АВТОРУ ДАННОЙ ПУБЛИКАЦИИ!!!! Я ОЧЕНЬ БЛАГОДАРЕН. ДАЙ БОГ ВАМ СЧАСТЛИВОЙ ЖИЗНИ. Я ДАВНО ИСКАЛ ОТВЕТ НА ВОПРОС «КАК ОБЪЕДИНИТЬ УДАЛЁННЫЕ КОМПЬЮТЕРЫ ОФИСЫ В 1 СЕТЬ».
    ЭТО ЕДИНСТВЕННАЯ ВНЯТНАЯ СТАТЬЯ БЕЗ ЛИШНЕЙ ВОДЫ, ВСЁ КОНКРЕТНО НАПИСАНО И ПО ПУНКТАМ.

  9. Стекловата:

    СПАСИБО ОГРОМНОЕ АВТОРУ, У МЕНЯ БЫЛА ТАКАЯ ЖЕ ПРОБЛЕМА, ПЕРЕРЫЛ ВЕСЬ ИНТЫРНЭТ И ЭТА СТАТЬЯ РЕАЛЬНО РАБОТАЕТ, БЕЗ РЕГИСТРАЦИИ И СМС!! ВНЯТНО И ПОНЯТНО НАПИСАНО ДЛЯ НОВИЧКОВ, БЕЗ ЛИШНИХ ПЕРЕПЛАТ И УСИЛИЙ! СЧАСТЬЯ АВТОРУ, ЗДОРОВЬЯ, ДЕТЕЙ ЗДОРОВЫХЪ, ЧТОБЫ ИСПОЛНЯЛИСЬ ВСЕ ЕГО МЕЧТЫ, НУ И КОНЕЧНО СЧАСТЬЯ И ЗДОРОВЬЯ! ДЕТЯМ ЕГО И ДЕТЯМ ЕГО ДЕТЕЙ И ДЕТЯМ ДЕТЕЙ ЕГО ДЕТЕЙ!

Добавить комментарий

Внимание! Не будут добавляться комментарии в виде откровенного спама или прямого анкора на свои сайты. Все спамеры будут передаваться в базу Akismet

Подтвердите, что Вы не бот — выберите человечка с поднятой рукой: