Как соединить несколько офисов организации в единую сеть? 

Большинству организаций по мере роста и по мере появления филиалов требуется простое , надежное и недорогое в обслуживании средство позволяющее соединить несколько географически разнесенных офисов в единую локальную. Как правило требуется топология «звезда» с главным офисом в центре и несколькими филиалами. Естественно и желание не вкладываться в дорогостоящее специализированное оборудование представленное на рынке в широком ассортименте. Об одном из способов организации такой сети и будет рассказано в этой статье 

Виртуальные частные сети (VPN) расширяют сеть предприятия, размыкая пределы локальных сетей. С помощью VPN сотрудники, находящиеся вне предприятия, могут безопасно подключиться к корпоративной локальной сети из любой точки Internet. Аутентифицированный и зашифрованный туннель VPN прокладывается через Internet, поэтому затраты на его организацию гораздо ниже, чем на дорогостоящие двухточечные специальные сетевые каналы. Многие администраторы знакомы с решениями RRAS VPN компании Microsoft и с коммерческими VPN таких поставщиков, как Cisco Systems и Nortel Networks, но не всем известно об открытой программе OpenVPN, которая отличается высокой гибкостью и располагает функциями VPN. При значительно меньших затратах, основные функции OpenVPN такие же, как у коммерческих конкурентов. OpenVPN распространяется бесплатно, и администратору приходится тратить время лишь на настройку конфигурации.
Предприятиям, которые уже располагают коммерческой VPN, нет смысла менять ее на OpenVPN. Но если нужно организовать новую VPN для офиса филиала или лаборатории, либо требуется недорогое, безопасное решение для связи с удаленными сетями, то OpenVPN заслуживает внимания. Программа совместима со многими операционными системами, поэтому может стать альтернативой VPN-функциональности RRAS или Microsoft Internet Security and Acceleration (ISA) Server для предприятий, использующих платформу Windows. В данной статье рассматриваются основные этапы развертывания клиентского решения OpenVPN и важнейшие характеристики продукта.


Основы OpenVPN
В OpenVPN ряд основных функций защиты VPN реализован на базе протокола Secure Sockets Layer (SSL)/Transport Layer Security (TLS), а в других сетевых VPN для этого используются протоколы IP Security (IPsec) или PPTP. В отличие от других SSL VPN, достоинством которых считается бесклиентская установка (соединение SSL VPN устанавливается через браузер), для OpenVPN необходим специальный клиент. Кроме того, OpenVPN представляет собой одноранговое (P2P) приложение, поэтому одну программу можно выполнять по обеим сторонам туннеля VPN.
 В OpenVPN предусмотрены режимы моста (bridged) и маршрутизации (routing), в которых сетевой трафик можно направлять через единственный порт UDP или TCP по выбору администратора. По умолчанию OpenVPN использует протокол UDP и порт 1194. Любой сетевой трафик, посылаемый или принимаемый для сетевого адаптера, инкапсулируется в зашифрованный пакет и доставляется в другой конечный пункт туннеля OpenVPN, где данные расшифровываются и попадают в удаленную сеть.

Базовая процедура конфигурирования очень проста. Однако развернуть продукт в более сложных условиях труднее. От администратора требуется больше знаний и, потенциально, усилий для настройки существующей сетевой топологии, чем в коммерческих продуктах VPN. Продукт необходимо сначала протестировать и освоить в лаборатории, а затем принять решение о его пригодности для конкретного предприятия.
Продукт предоставляется в соответствии с условиями лицензии Open Source GNU General Public License (GPL) и работает с Windows 2000 и более новыми версиями, Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X и Solaris. Выбрав платформу, можно загрузить новейшую версию OpenVPN с Web-узла http://openvpn.net. Сторонники графического интерфейса могут загрузить необязательный графический интерфейс с Web-узла OpenVPN (http://www.nilings.se/openvpn) и установить его, следуя простым инструкциям.
По сути OpenVPN представляет собой приложение командной строки, которое можно настроить на работу в качестве службы. Приложение можно запускать с огромным числом параметров настройки, сочетая ключи командной строки и элементы файла конфигурации. Полный список всех параметров опубликован на странице OpenVPN Man Page по адресу http://openvpn.net/man.html. Кроме того, для управления несколькими конечными точками туннелей на одном сервере можно использовать несколько файлов конфигурации.

Определение сетевой топологии
С помощью OpenVPN можно организовать VPN между сайтами или клиентские туннели. Пакет OpenVPN отличается гибкостью, и этапы настройки VPN между сайтами и типа клиент-сервер похожи. В действительности, одно приложение OpenVPN устанавливается в обоих конечных пунктах VPN. Как уже отмечалось, установить VPN в базовой конфигурации просто, но программа усложняется при активизации дополнительных функций. Например, чтобы запустить и настроить некоторые функции безопасности, необходимы познания в шифровании и управлении ключами. OpenVPN поддерживает несколько механизмов аутентификации, в том числе сертификаты, смарт-карты и учетные данные пользователя, имя пользователя/пароль. Однако чтобы применить такие меры безопасности, нужно задействовать сложные компоненты программы, и для их реализации администратор должен хорошо знать основы PKI. На Web-узле OpenVPN опубликованы полезные документы и примеры, которые могут пригодиться при настройке этих параметров.

По умолчанию применяется протокол UDP, но можно использовать и TCP. UDP более эффективен, и TCP рекомендуется применять только в случаях, когда UDP не работает, например, если брандмауэр блокирует весь трафик UDP. UDP не требует дополнительных затрат ресурсов, свойственных TCP, поэтому его производительность несколько выше, благодаря меньшему размеру заголовков и отсутствию встроенной функции подтверждения доставки пакетов, как в TCP. Однако OpenVPN шифрует исходные пакеты, обеспечивая проверку ошибок и повторную передачу, поэтому общая надежность не снижается.

Какая VPN нужна предприятию?
OpenVPN надежна и устойчива к отказам сети. Если сетевое соединение прервано при активной сети VPN, то OpenVPN автоматически восстанавливает соединение после восстановления сетевого канала связи. Для простых случаев, таких как описано в данной статье, OpenVPN позволяет быстро организовать туннель OpenVPN, без серьезных дополнительных затрат. Труднее освоить продукт при использовании более сложных конфигураций - например, если требуется пользовательская аутентификация, выделение пула адресов VPN, либо прокладка нескольких туннелей за брандмауэром с помощью NAT (Network Address Translation). OpenVPN поддерживает эти режимы, но требует знания технических тонкостей. В таких случаях проще развернуть коммерческие VPN, так как у них, как правило, есть графический интерфейс и предоставляются технические консультации.
Цена коммерческих VPN также снизилась: всего за несколько тысяч долларов можно приобрести коммерческий концентратор VPN для обслуживания сотен пользователей. Кроме того, в VPN на базе UDP или TCP устранены многие несогласованности брандмауэра VPN, которые мешали работе туннелей IPsec. OpenVPN - не для всех; средним и крупным компаниям лучше по-прежнему работать с коммерческими продуктами VPN. Но в лабораториях и малых офисах, для которых имеет большое значение стоимость решения и не требуется сложной конфигурации, OpenVPN будет незаменим.

Режимы шифрования
OpenVPN поддерживает два типа шифрования: статический ключ и Transport Layer Security (TLS). В Windows статический ключ настроить легко. После установки OpenVPN на одной из сторон VPN следует запустить генератор ключей OpenVPN и скопировать новый ключ (на защищенном носителе) в папку \OpenVPN всех других компьютеров с OpenVPN, которым необходимо подсоединение к этой конечной точке OpenVPN. В файле настройки для всех конечных точек просто укажите имя файла ключа. По умолчанию OpenVPN использует для шифрования режим Blowfish Cipher Block chaining (BF-CBC), но можно выбрать и Advanced Encryption Standard (AES), Data Encryption Standard (DES), International Data Encryption Algorithm (IDEA), или какой-то иной, указав параметр шифрования в файле настройки. Приложение использует функции шифрования, аутентификации и проверки сертификатов из библиотеки OpenSSL, поэтому необходимо отслеживать обновления для OpenSSL.
OpenVPN также поддерживает TLS с использованием обмена ключами алгоритма Diffie-Hellman и ключи и сертификаты RSA. Установка сертификатов и ключей в этом случае подобна настройке других инфраструктур PKI, поддерживающих X.509 PKI для аутентификации сессии. При отсутствии опыта такой настройки следует просмотреть материалы по ссылкам на Web-сайте OpenVPN. Версии OpenVPN для Linux и UNIX имеют большее количество справочных материалов и программ для настройки TLS, чем версия для Windows.

Аппаратное обеспечение 
В общем случае для организации туннеля достаточно двух компьютеров не самой последней конфигурации (мы рекомендуем не использовать Microsoft Windows ,а обратить взор на Linux)и выделенного ip адреса для сервера OpenVPN . Конечно если вам нужна надежность, то экономить на качестве «железа» не стоит.