Organizarea canalelor VPN între filialele companiei are o importanță deosebită în activitatea oricărui specialist IT. Acest articol ia în considerare una dintre modalitățile de a implementa această sarcină pe baza produsului software OpenVPN.
Topologia de rețea pe care am folosit-o este standard. Există o rețea de birouri centrale (să o numim CSC) și rețeaua de filiale (să o numim SF). Sarcina este de a conecta birourile în așa fel încât computerul utilizatorului final (în continuare PC1) al biroului CES să aibă acces la resursele comune ale calculatorului utilizatorului (în continuare PC2) al SF.
CCC are în componența sa:
SF are în componența sa:
Configurarea serverului OpenVPN.
Acum, să trecem la programul propriu-zis, la elementele de bază și la specificul configurației sale. OpenVPN este disponibil pentru Linux și Windows. Puteți descărca pachetul de instalare pe site-ul dezvoltatorului.
Procesul de instalare nu va cauza probleme. Singurul lucru este să dezactivați antivirusul în momentul instalării, pentru a evita problemele suplimentare. La momentul acestei scrieri, de exemplu, produsele Kaspersky Lab nu au blocat instalarea, ci au ridicat doar suspiciunea că unele componente instalate.
În mod implicit, programul este instalat în C: \ ProgramFiles \ OpenVPN. În acest director, trebuie să creați imediat un director de chei suplimentar (aici vom stoca cheile de autentificare) folderul ccd (aici veți găsi configurațiile setărilor serverului pentru client).
Directorul C: \ ProgramFiles \ OpenVPN \ sample-config conține configurații standard. Configurațiile pe care le vom crea trebuie să fie localizate în directorul C: \ Program Files \ OpenVPN \ config.
Configurarea OpenVPN începe cu generarea de chei. Cheile generate sunt împărțite în:
- certificatul principal CertificateAuthority (CA) și cheia folosită pentru a semna fiecare certificat de server și client.
- chei publice și private pentru server și fiecare (acesta este important) clientul separat.
Secvența de creare a cheilor este după cum urmează (numele fișierelor de certificate și cheile sunt indicate în paranteze):
- Generați certificatul principal CA (ca.crt) și cheia CA (ca.key).
- Generează certificatul (server.crt) și cheia serverului (server.key).
- Generați certificatul (office1.crt) și cheia (office1.key) pentru client.
- Generați parametrii DiffieHellman (dh1024.pem).
- Generați cheia tls-auth (ta.key) pentru autentificarea pachetelor.
Să analizăm fiecare punct în detaliu.