Routery

Dostęp zdalny

Wirtualne sieci prywatne stanowią jeden z najbezpieczniejszych mechanizmów łączności zdalnej w sieci internet. Są to mechanizmy oparte o szyfrowane tunele, które transmitują pakiety poprzez sieć internetową do określonych hostów, serwerów lub pomiędzy serwerami. W przypadku Vigora 2960 mamy do dyspozycji dwa typy połączeń:

  • LAN-to-LAN - czyli zestawienie tunelu VPN pomiędzy dwoma odległymi lokalizacjami w celu ich połączenia w jedną sieć LAN. Połączenie może być również trunkowane.
  • Remote dial-in (client-to-site) - czyli zestawienie tunelu pomiędzy zdalnym klientem VPN a serwerem VPN. Dzięki temu klient uzyskuje dostęp do zasobów sieci lokalnej poprzez szyfrowany dostęp z sieci internet.

Vigor pozwala na utworzenie do 200 profili VPN przy pomocy wszystkich popularnych protokołów:

  • IPSec - zabezpieczenia AH lub ESP (szyfrowanie DES, 3DES, AES) z funkcjami haszującymi MD5 lub SHA1. Uwierzytelnianie IKE odbywa się przy pomocy klucza PSK lub podpisu cyfrowego (X.509).
  • PPTP - szyfrowanie MPPE 40/128 bitów oraz uwierzytelnianie PAP, CHAP, MS-CHAPv1/2.
  • L2TP Host-LAN - uwierzytelnianie PAP, CHAP, MS-CHAPv1/2.
  • GRE over IPSec LAN-LAN

Konfiguracja ustawień serwera jak i klientów odbywa się w zakładce VPN and Remote Access. W zależności od typu konfiguracji ustawiamy w nim profile klienta i/lub serwera, wybieram tryb autoryzacji, a także przydzielamy dostęp dla określonych użytkowników oraz lokalną adresację IP.

DrayTek Vigor2960 admin

DrayTek Vigor2960 admin

Połączenie Client-to-site możemy wykorzystać na kilka sposobów i są one uzależnione jedynie od potrzeb użytkowników czy specyfiki pracy. Jednym z nich jest typowy tunel VPN - klient-serwer. Jego konfigurację na kliencie najprościej wykonać przy użyciu dołączonego do routera narzędzia Smart VPN Client.

DrayTek Vigor2960 admin

Dużo prościej można zestawić połączenie przy wykorzystaniu mechanizmów Web Proxy i SSL VPN. Takie rozwiązanie ma podstawową zaletę - nie musimy instalować na komputerach klienckich dodatkowego oprogramowania i konfigurować profili. Wystarczy, że ustawimy odpowiednią konfigurację w interfejsie routera w zakładce - SSL VPN - SSL Web Proxy. Utworzony profil podłączamy następnie do kont użytkowników, którzy powinni mieć dostęp zdalny do sieci lokalnej poprzez VPN.

DrayTek Vigor2960 admin

DrayTek Vigor2960 admin

Należy dodatkowo skonfigurować serwer w zakładce VPN and Remote Access - VPN Server Wizard - wskazujemy tu typ połączenia oraz profil LAN do którego będzie zestawione połączenie. Po stronie klienta pozostaje uruchomić przeglądarkę internetową i wpisać adres serwera VPN. Nastąpi szyfrowane połączenie z serwerem Web Proxy gdzie należy dokonać uwierzytelnienia i doinstalować kontrolkę ActiveX.

Niemal dokładnie w taki sam sposób możemy skonfigurować dostęp zdalny przy użyciu protokołów RDP oraz VNC. Te dwa typy połączeń pozwalają na komunikację z pulpitami systemów zdalnych lub dostęp np. do wspólnego systemu informatycznego działającego na serwerze terminali. W przypadku RDP i VNC również nie musimy konfigurować klientów zdalnych. Wystarczy, że w zakładce SSL VPN - SSL Application w sekcjach VNC oraz RDP skonfigurujemy połączenie do określonego hosta w sieci LAN. Host ten powinien posiadać zainstalowany serwer VNC lub włączoną funkcję pulpitu zdalnego lub być serwerem terminali RDP.

DrayTek Vigor2960 admin

Po stronie klienta wystarczy wpisać adres serwera VPN by móc uzyskać połączenie szyfrowane z Web Proxy, uwierzytelnić się i połączyć z pulpitem zdalnym lub VNC. Draytek potrafi obsłużyć do 100 SSL VPN Web Proxy.

Vigor 2960 może być nie tylko serwerem VPN, do którego będą podłączać się użytkownicy zdalni. Urządzenie DrayTeka pozwala również na zestawienie tuneli VPN pomiędzy dwoma routerami (LAN-to-LAN). To bardzo dobre narzędzie umożliwiające połączenie ze sobą w szybki i bezpieczny sposób np. dwóch oddziałów firmy czy dwóch odległych lokalizacji.

DrayTek Vigor2960 schemat serwer VNC

W takiej konfiguracji jeden z routerów pełni rolę serwera VPN. Z kolei drugi router będzie łączył się do zdalnego routera jako klient. Konfigurację routera-klienta przeprowadzamy w zakładce VPN Client Wizard. W zakładce VPN Profiles możemy podejrzeć utworzone profile a w Connection Management sprawdzić status określonego profilu połączenia.

DrayTek Vigor2960  admin

DrayTek Vigor2960 admin

DrayTek Vigor2960 admin

Router posiada jeszcze dwie ciekawe funkcjonalności VPN, które mogą być przydatne w przypadku posiadania dwóch łącz WAN i zestawienia tuneli VPN pomiędzy lokalizacjami. Mowa tu o trunkach VPN w dwóch trybach: trunk VPN failover i trunk VPN load balance. Ich konfigurację przeprowadzamy w zakładce VPN Trunk Management.

DrayTek Vigor2960 admin

W pierwszym przypadku łącze VPN zestawiane jest do zdalnego serwera poprzez dwa niezależne tunele VPN. Połączenie może być zestawione nawet jeśli serwer dysponuje tyko jednym łączem WAN. Kiedy jedno z połączeń klienckich zaniknie router zdalny przełącza się na łącze zapasowe. Trunk backup może być również zestawiony do dwóch niezależnych serwerów VPN, które po swojej stronie będą posiadały skonfigurowany routing i dostęp zdalny.

DrayTek Vigor2960 schemat

W przypadku trunka VPN load balance komunikacja pomiędzy odległymi lokalizacjami VPN będzie odbywała się jednocześnie na dwóch linkach VPN.

DrayTek Vigor2960 balance trunk