Авторизация

ОБЩЕЕ ПРО VPN

vpnki remote accessVPN – название набора технологий, позволяющих установить виртуальное сетевое соединение между клиентским и серверным программным обеспечением удаленного доступа поверх существующего соединения.

В общем случае, при установлении соединения на сервере и на клиентском оборудовании появляются новые виртуальные интерфейсы и им назначаются IP адреса.

Таким образом, обмен трафиком между клиентом и сервером происходит с использованием новых адресов VPN соединения. Появление нового сетевого соединения позволяет обеим сторонам применять к нему новые правила маршрутизации и межсетевого экранирования.

Ниже мы остановимся лишь на тех аспектах VPN соединений, которые важны при использовании нашей службы VPNKI.

Начнем с некоторых общих фаз в использовании VPN соединений, а затем перейдем к особенностям протоколов. Мы не стремимся создать описание протоколов - их можно найти в Интернет, мы лишь остановимся на важном для вас и нас при использовании VPNKI.

 

Установление VPN соединения

При установлении VPN соединения сервер и клиент могут проверять подлинность друг друга, а могут обойтись и без этого. Обычно, конечно, проверка подлинности осуществляется и лишь после успеха такой проверки пользовательское соединение считается установленным, а виртуальные сетевые интерфейсы с обеих сторон созданными.

Проверка подлинности (аутентификация) может осуществляться как путем привычной проверки имени пользователя и пароля, а также проверкой сертификатов обеих сторон. В различных VPN протоколах используются весьма разнообразные механизмы  аутентификации среди которых: PAP, CHAP, MS-CHAPv1, MS-CHAPv2, EAP, EAP-TLS, PEAP, NTLMv2, EAP-MSCHAPv2 и другие.

В системе VPNKI мы используем протоколы CHAP и MS-CHAPv2 как наиболее распространенные.

Стоит отметить, что различные VPN протоколы могут осуществлять соединения поверх протоколов TCP или UDP. Из-за этого, в общем случае, может зависеть способность протокола проходить корпоративные межсетевые экраны, так как часто администраторами блокируются только исходящие TCP соединения, но исходящие UDP соединения устанавливать разрешается.

Также, важным моментом является способность программного обеспечения клиента устанавливать VPN соединения при старте программы или компьютера/маршрутизатора.

 

Шифрование данных внутри VPN туннеля

VPN соединения могут использовать шифрование потока, а могут и не использовать. Шифрование, в свою очередь, может осуществляться различными протоколами и характеризоваться различной длиной используемого ключа.

В различных протоколах VPN используются различные механизмы шифрования, поэтому криптостойкость их существенно отличается.

Стоит отметить, что шифрование данных может наступать как после проверки пользовательского логина/пароля (или ключа), так и до этой проверки. В последнем случае, аутентификация осуществляется внутри зашифрованного потока.

 

Компрессия данных внутри VPN

Данные, передаваемые по VPN туннелю, могут подвергаться компрессии для более эффективного использования полосы пропускания. Для включения компрессии ее методы должны поддерживать обе стороны соединения – клиент и сервер. Методы компрессии согласуются при установлении соединения и остаются неизменными всю сессию.

Если методы компрессии не были успешно согласованы сторонами при установлении соединения, то соединение или не будет успешно установлено или будет установлено без использования компрессии. Это будет происходить в соответствии с параметрами, установленными в настройках VPN соединения сервера и клиента.

 

Автоматическая проверка работоспособности VPN соединения

Внутри некоторых VPN протоколов встроены механизмы проверки работоспособности VPN соединения. Так, например, протокол OpenVPN обладает встроенной возможностью проверки наличия VPN соединения, используя периодическую посылку пакетов icmp (командой ping)

 

Разрыв VPN соединения

Для качественной работы VPN соединений немаловажную роль играет особенность различных протоколов обрывать действующее соединение, ведь инициатором разрыва соединения может выступать как сервер, так и клиент.

Важным моментом является способность VPN протокола уведомить одну из сторон взаимодействия о желании другой стороны разорвать соединение. При корректном разрыве сессии обе стороны получают возможность освободить свои ресурсы (память, процессорное время) для новых задач или соединений.

 

Автоматическое установление разорванного VPN соединения

Для автоматического установления разорванного соединения часто используются внутренние механизмы контроля за состоянием соединения и его перезапуском. Так, например, протокол OpenVPN может перезапускать соединение при отсутствии ответов на отосланные пакеты icmp не используя для этого какие-либо внешние средства.

Далее:

PPTP

L2TP

IPsec

OpenVPN

ДОПОЛНИТЕЛЬНО

Кроме базового функционала по объединению VPN туннелей с различными протоколами, в системе VPNKI вы можете воспользоваться удаленным доступом к компьютеру или камере, используя: