В одном из прошлых видео я уже рассказывал про межсетевой экран Интернет Контроль Сервер. Если кратко, то его основной функцией является контроль над действиями пользователей в глобальной сети, а также организация защиты вашей локальной сети от различных интернет угроз.

Так вот, ранее мы рассмотрели его базовые настройки в локальной сети, чтобы вы могли подключить пользователей через ИКС к интернету и мониторить их взаимодействие с сетью Интернет.

Сегодня давайте разберемся в настройках VPN, так как сейчас практически каждая компания так или иначе переводит сотрудников на удаленную работу и поэтому стоит учесть все нюансы по реализации как удобного, так и безопасного способа работы сотрудников с ресурсами компании.

Официальный сайт ИКС: https://xserver.a-real.ru//?utm_source=ITskills_vpn

Протестировать ИКС: https://xserver.a-real.ru/#download/?utm_source=ITskills_vpn

Другие видео по настройке ИКС: https://www.youtube.com/c/iksareal/videos

Прошлое видео «Базовая установка и настройка ИКС» - https://www.youtube.com/watch?v=oTIxjfaxHX8

В данном видео мы создадим тестовый полигон для тестирования и настройки ИКСа таким образом, что это позволит вам тестировать любые подобные технологии без необходимости иметь удаленный сервер. Все это мы сделаем в домашних условиях, а принцип работы будет аналогичен взаимодействию через сеть Интернет.

В прошлом видео мы выполнили установку и базовую настройку программы Интернет Контроль Сервер. Если вкратце, то мы:

• - скачали ISO дистрибутив программы (кстати, ссылки на скачивание вы также сможете найти в описании к данному видео)
• - создали виртуальный сервер для тестирования
• - установили на него ИКС
• - настроили внешнее и внутреннее сетевое подключение
• - настроили клиентскую станцию для выхода в интернет через шлюз безопасности Интернет Контроль Сервер

Что мы будем делать в данном видео:

• - разберем схему сети, которая позволит в домашних условиях тестировать интернет технологии, в частности VPN
• - перенастроим сервер и клиентскую машину под нужную схему сети
• - настроим VPN на сервере ИКС
• - создадим VPN подключение на удаленной машине
• - настроим RDP доступ к клиентской рабочей станции
• - и протестируем RDP подключение с удаленной машины к клиентскому компьютеру через VPN подключение.

И тут самое главное, чтобы вы поняли принцип работы подобного полигона, так что попытайтесь внимательно вникнуть в логику построения подобной тестовой сети.

Описание схемы тестовой сети и логики работы сети.

В боевых условиях Интернет Контроль Сервер настраивается следующим образом. Есть два сетевых подключения, одно из которых имеет доступ к внешней сети, т.е. к сети интернет, а второе внутреннее и смотрит в локальную сеть. Таким образом все взаимодействие рабочих компьютеров с внешней сетью выполняется через Интернет Контроль Сервер.

В данном случае, чтобы удаленному сотруднику получить доступ к ресурсам локальной сети из сети Интернет, нам необходимо поднять и настроить на ИКС службу VPN. Создать VPN подключение на удаленном клиентском компьютере, через которое он будет подключаться к изолированной офисной сети.

В домашней сети, тестовая схема будет выглядеть следующим образом.

Предполагается, что у нас есть домашний роутер, который раздает сеть как физически подключенным устройствам, так и через сеть Wi-Fi.

На компьютере, на котором будем выполнять тестирование, мы создаем виртуальную изолированную сеть, в рамках которой, виртуальные машины обмениваются информацией друг с другом. Второе сетевое подключение ИКСа, будет подключаться также к нашему роутеру. Конечно физически мы её не сможем подключить к нашей сети, так как это виртуальная сетевая карта, но с точки зрения работы сети, все будет выглядеть аналогично, как если бы мы подключили её физически к роутеру. Не смотря на то, что проброс пакетов идет через HOST систему.

Так вот, в данном случае наша домашняя сеть для ИКСа будет как сеть интернет, а виртуальная, как офисная сеть. И получается, для того, чтобы нам протестировать доступ через VPN, нам нужно с любого из компьютеров нашей физической сети, получить доступ к виртуальной изолированной сети через внешнее сетевое подключение Интернет Контроль Сервера.

И такая схема абсолютно аналогична логике работы в боевых условиях, так что так можно тестировать различные технологии, требующие подключения из внешней сети. Но в данном случае, внешней сетью будет являться наша физическая сеть.

Ну, надеюсь, что логику вы уловили, так что перейдем к практике.

Выбрал я именно такие настройки внешней сети, так как скорее всего ваш домашний роутер выдает IP адреса, начинающиеся на 192.168.0.х, таким образом у нас настройки будут максимально приближены к вашим условиям.

Поэтому, чтобы сервер ИКС начал работать корректно, а клиентская машина, к которой мы будем подключаться через RDP, получала доступ к сети интернет, нужно будет выполнить следующие настройки.

Настройка сетевых подключений

Подключаемся к веб-консоли управления Интернет Контроль Сервера (Браузер \ https://192.168.1.50:81/ \ логин:root \ Пароль: {пароль})

Проверим, соответствуют ли сетевые настройки ИКС и клиентской машины тем, которые я указал ранее.

Проверим связь ИКС с внешней сетью (Сеть \ Сетевые утилиты \ Пинг \ Запустить)

Настройка VPN на сервере ИКС

Добавим пользователя, который будет авторизоваться на VPN сервере (Пользователи и статистика \ Пользователи \ Добавить \ Пользователь \ VPN_Anton_Sev \ Логин: VPN_Anton_Sev \ Пароль: {пароль})

Добавим VPN сеть (Сеть \ Провайдеры и сети \ Добавить \ Сети \ VPN-сеть \ Название: Office-VPN \ IP-адрес: 192.168.2.1/24, из данной подсети у нас будут получать IP адреса VPN соединения. Я указал сеть отличную от локальной, чтобы не было конфликтов адресов, далее ИКС будет их маршрутизировать в нашу локальную сеть \ Оставляем протокол L2TP \ L2TP IPSec \ Ключ: {сложный ключ} \ Добавить)

Разрешаем созданному пользователю подключаться к VPN серверу (Сеть \ VPN \ Пользователи \ VPN_Anton_Sev \ Галочка VPN-доступ \ Сохранить)

Настройка VPN-подключения на клиентской машине

Сейчас мы перейдем на мою физическую машину и по сути, мне нужно создать VPN соединение, через которое я смогу из своей физической сети получить доступ к виртуальной, точно так же, если бы вы пытались получить доступ из своей домашней сети в сеть компании (Пуск \ Параметры ПК \ Сеть и Интернет \ VPN \ Добавить VPN подключение \ Поставщик услуг VPN: Windows (встроенные) \ Имя подключения: Office-VPN \ Имя или адрес сервера: 192.168.0.5 \ Тип VPN: L2TP/IPsec с общим ключом \ Общий ключ: {сложный ключ} \ Тип данных для входа: Имя пользователя и пароль \ Имя пользователя: VPN_Anton_Sev \ Пароль: {пароль})

Подключаемся к VPN-сети (Пуск \ Параметры ПК \ Сеть и Интернет \ VPN \ Office-VPN \ Подключиться \ Подключено)

Проверяем текущее соединение в (Сеть \ VPN \ Текущие сеансы \ VPN подключение VPN_Anton_Sev и тут же отображается какой IP адрес был назначен этому подключению. Как вы видите, этот адрес из той же подсети, которую мы указали для VPN соединений)

Настройка RDP на удаленном клиентском компьютере

Настраиваем удаленный рабочий стол, для подключения через VPN к рабочему месту через RDP (Этот компьютер \ Свойства \ Настройка удаленного доступа \ Разрешить удаленные подключения к этому компьютеру \ Электропитание \ Настройка схемы электропитания \ Переходить в спящий режим: Никогда \ ОК \ ОК)

Настройка пользователей имеющий удаленный доступ к компьютеру (Выбрать пользователей \ Добавить, если вы хотите добавить какого-то другого пользователя, если пользователь один user1, то он уже имеет удаленный доступ, о чем говорится в сообщение над кнопкой «Добавить»)

Так же, для подключения через RDP к рабочей станции, для учетной записи, под которой мы будем подключаться обязательно должен быть указан пароль, иначе подключиться не получится (Этот компьютер \ ПКМ \ Управление \ Локальные пользователи \ Пользователи \ user1 \ ПКМ \ Задать пароль: {пароль})

Подключение к удаленному рабочему столу через VPN

Выполняем подключение через ранее созданное VPN-соединение (Пуск \ Параметры ПК \ Сеть и Интернет \ VPN \ Office-VPN \ Подключиться \ Подключено)

Подключаемся через RDP к удаленному рабочему столу (Пуск \ Программы \ Стандартные \ Подключение к удаленному рабочему столу \ Компьютер: 192.168.1.10 \ Пользователь: user1 \ Пароль: {пароль} \ ОК)

Ну вот и все, теперь мы подключились к удаленному рабочему столу сотрудника через защищённое VPN подключение. Если попробуем отключить VPN-соединение, то RDP соединение тоже пропадет.

И таким образом можно тестировать различные интернет технологии, так как логика работы будет такая же, вам просто нужно будет из физической сети получить доступ к виртуальной!

При таком соединение, весь трафик будет идти через VPN подключение. Т.е. если вы параллельно на своем домашнем компьютере пользуетесь социальными сетями, то весь трафик будет идти через VPN и если там настроены определенные правила, запрещающие работу в социальных сетях, то вы ими пользоваться не сможете.

Чтобы это отключить, можно сделать следующее (Параметры сети и Интернет \ Центр управления сетями и общим доступом \ Изменение параметров адаптера \ Office-VPN \ ПКМ \ Свойства \ Сеть \ IP версии 4 \ Свойства \ Дополнительно \ Убираем галочку «Использовать основной шлюз в удаленной сети»)

В итоге, мы настроили межсетевой экран Интернет Контроль Сервер и подняли на нем службу VPN, благодаря чему, сотрудники компании теперь могут безопасно подключаться к вашей офисной сети из любой точки мира!

Также в ИКСе предусмотрены различные предустановленные службы для обеспечения безопасности, такие как:

- защита от проникновения вредоносных программ

- блокировка вредоносных сайтов до их открытия

- антивирусная проверка интернет трафика и электронной почты

- блокировка IP-адресов ведущих себя подозрительно и многое другое

Более подробную информацию о возможностях Интернет Контроль Сервера вы сможете найти на официальном сайте. Кстати, совсем скоро состоится релиз новой версии ИКСа, в которой разработчики анонсировали ряд новых фишек в модуле VPN. Так что, следите за новостями и будьте в числе первых, кто протестирует 9 версию Интернет Контроль Сервера.