пятница, 12 июня 2015 г.

Домашняя VPN – настройка роутера

В предыдущей статье цикла (как звучит-то, а?) я рассказал про свое желание "одомашнить" сервис VPN и попытался описать как свое понимание этой технологии, так и чего, собственно, собирался достичь, затевая всю эту авантюру. Еще раз хочу отметить, что основную цель для себя я обозначил так - максимально быстро получить результат. Это я написал для тех, кто захочет поругать принятые мною решения, да и для самого себя, чтобы хоть как-то оправдаться перед своим внутренним критиком. Сегодня же я попробую переключить свое внимание с красивых теоретических высот на грешное "железо" и рассказать хоть что-то полезное на практике...


Итак, роутер - Asus RT-N56U. На нем установлена прошивка от Padavan-а версии 3.4.3.9-094. В этой прошивке (как и во многих других) имеется возможность настроить роутер для работы с VPN. Причем роутер может выступать как в качестве VPN сервера, так и в качестве VPN клиента. Нам нужен сервер, его и будем настраивать.


Как видно, в интерфейсе настроек роутера есть специальный пункт меню для перехода к настройкам VPN сервера. И первым делом, попав на нужную закладку, надо включить переключатель использования сервера.


После включения режима сервера на страничке отобразятся параметры по умолчанию. Забегая вперед скажу, что практически все они для простейшего случая не требуют никаких изменений. Но я все же пройдусь по всем.

 

Первое - необходимо выбрать протокол работы сервера - в нашем случае из трех альтернатив (PPTP, L2TP w/o IPSec и OpenVPN) выбран PPTP.


Не скрою, на выбор протокола повлиял тот факт, что мне нужен был быстрый результат, и не только в плане настройки роутера, но и в получении работающей VPN сети. Быстрота настройки роутера обеспечивалась наличием какой-никакой инструкции, а быстрота получения работающей сети обеспечивалась тем фактом, что все интересующие меня устройства имеют предустановленных клиентов для этого протокола. Поэтому я отбросил сомнения, связанные со слабой безопасностью протокола PPTP, и выбрал именно его.

Хочу отметить, что в зависимости от того, какой выбран протокол, количество параметров, да и сами параметры, которые надо настроить, могут сильно отличаться. Тут перечислены настройки для протокола PPTP. Если вы сильно озабочены вопросами безопасности, лучше выбрать протокол OpenVPN. Но учтите, что настройки сервера будут куда сложнее, да и с клиентами придется повозиться. Кроме того, надо будет генерировать ключи, подписывать сертификаты... В общем, процесс описан тут.

Но, вернемся к нашему случаю. Нужно задать алгоритмы проверки подлинности и шифрования данных - их значения также указаны на скриншотах.



Отмечу, что на картинках выбраны наиболее сильные, с криптографической точки зрения, значения из тех, которые реализованы в программном обеспечении роутера для протокола PPTP. Но именно MS-CHAPv2 и ругают за недостаточную безопасность.

Значения параметров MTU и MRU оставлены без изменения - я вообще рекомендую никогда не менять значения этих параметров, за исключением случаев, когда у вас какие-либо проблемы, и вы точно знаете, ну, или кто-то знающий вам подсказал, что изменение параметров вам поможет.

С параметрами сервера разобрались, ниже в интерфейсе роутера представлена группа параметров VPN туннеля.


Опять же, эти параметры могут отличаться при использовании протокола, отличного от PPTP. Но мы же настраиваем именно соединение по PPTP. Поэтому, для начала, предоставляется возможность определиться, хочется или нет иметь выделенную подсеть для туннеля.


Есть три варианта:

  • нет (LAN подсеть) - подсеть для туннеля не будет выделяться, подключаемые клиенты просто становятся членами локальной сети и получают точно такие же IP адреса, как и локальные клиенты;
  • да - будет выделена отдельная подсеть, и для этой подсети можно будет настроить базовый адрес;
  • да, NAT трансляция в LAN - тоже выделяется отдельная подсеть, назначение базового адреса, все дела, но роутер настраивается на трансляцию адресов (NAT).

Для того, чтобы понять разницу между этими вариантами, надо попробовать их установить и посмотреть, что из этого получится. Если честно, я этого не делал, интересно было побыстрей получить работающую сеть. Но могу предположить, что, в зависимости от выбора, будет получен весьма различный результат в плане доступа удаленных клиентов сети к локальным ресурсам, и наоборот. Если подсеть не использовать, локальные и удаленные клиенты полностью равноправны и имеют полный доступ друг к другу, ограниченный лишь локальными настройками на каждом конкретном устройстве. Именно такой режим работы я хотел получить, и, в результате, получил, выбрав соответствующий вариант.

В этой группе параметров можно также установить режим ретрансляции широковещательного трафика.


На форумах советуют отключать ретрансляцию широковещательного трафика, так как, если режим включен, это ведет к серьезной деградации скорости передачи данных в виртуальной сети.

Что касается доступа к ресурсам, можно, например, запретить удаленным клиентам выход в интернет. Но я не собирался никак ограничивать удаленных клиентов - подключаться я собирался собственной персоной, зачем же себя ограничивать?!


Ну и завершающая группа параметров сервера называется "Адресация VPN клиентов". Тут надо установить, какие адреса будут выделяться удаленным клиентам при их подключении к виртуальной сети. Надо сказать, что эти параметры зависят от того, что вы настроили раньше, например, от значения параметра "Выделить подсеть для VPN-туннеля". Вид, изображенный на рисунке, получается, если вы отказались от выделенной подсети.


Для справки даны локальный адрес VPN сервера и пул адресов, выделенный для локального DHCP - из этого пула назначаются адреса для локальных клиентов, использующих динамическую адресацию. Надо задать пул адресов, из которого будет производиться назначение адреса для удаленных клиентов. Основным условием является то, что эти пулы - для локальных и удаленных клиентов - не должны пересекаться.

Как видно, для настройки VPN сервера с использованием протокола PPTP не требуется много времени. Для большинства случаев подойдут предлагаемые настройки по умолчанию. Но очень важно после настройки не забыть нажать кнопку "Применить"


Конечно, одних настроек мало. Для того, чтобы можно было к уже настроенному серверу подключиться какому-нибудь внешнему пользователю, необходимо для этого пользователя создать учетную запись на сервере. Тут тоже не должно возникнуть больших проблем. Надо придумать имя и пароль и вбить на соответствующей закладке WEB интерфейса.


Статический IP адрес я, по рекомендации, не назначал, а соединение "сеть-сеть" мне просто не на чем проверить (пока), так что поле "LAN подсеть за VPN-клиентом" тоже оставил пустым.

И вот тут все настройки сервера для случая с PPTP протоколом заканчиваются. Далее следует возиться с клиентами. Продолжение следует...

Комментариев нет:

Отправить комментарий