Создать pptp соединение. Соединение PPTP — что это такое? Условия корректного соединения
Нажмите кнопку Пуск, выберите Панель Управления
Выберите Центр управления сетями и общим доступом
Выберите Создание нового подключения или сети
Выберите вариант подключения Подключение к рабочему месту
На вопрос системы "Использовать существующее подключение?" ответьте Нет, создать новое подключение
В следующем окне выберите Использовать мое подключение к Интернету (VPN)
Введите адрес VPN-сервера (172.17.0.1) и название для подключения (например, Конкорт-1)
Вспоминаем и вводим Ваш логин\пароль на статистику. Ставим галочку "Запомнить этот пароль".
Примечание
:
на текущий момент логин\пароль на VPN совпадает с Вашим логином\паролем на статистику. Если Вы измените пароль на странице абонента, то к изменению пароля на соединение VPN это не приведет!
Жмем "Пропустить"
Откройте свойства созданного подключения (в примере Конкорт-1), нажав правой кнопкой мыши по соединению.
Установите параметры соответственно рисунку
Виртуальные частные сети снискали заслуженную популярность. Это надежное и
безопасное средство, предназначенное для организации межсайтовой сетевой
инфраструктуры и подключений удаленного доступа. В последние годы среди
существующих VPN-протоколов особое место занимает PPTP. Решения на его базе
распространены, легко внедряются и обеспечивают уровень защиты, достаточный для
большинства компаний.
Почему именно PPTP?
Туннельный протокол PPTP позволяет зашифровать мультипротокольный трафик, а
затем инкапсулировать (упаковать) его в IP-заголовок, который будет отправлен по
локальной или глобальной сети. PPTP использует:
- TCP-подключение для управления туннелем;
- модифицированную версию GRE (общая инкапсуляция маршрутов) для
инкапсулирования PPP-фреймов туннелированных данных.
Полезная нагрузка передаваемых пакетов может быть зашифрована (с помощью
протокола шифрования данных MPPE), сжата (используя алгоритм MPPC) или
зашифрована и сжата.
PPTP легок в развертывании, не требует инфраструктуры сертификатов и
совместим с подавляющим большинством NAT-устройств. Все версии Microsoft Windows,
начиная с Windows 95 OSR2, включают в свой состав PPTP-клиент. Также клиенты для
подключения по PPTP есть в Linux, xBSD и Mac OS X. Провайдеры знают об этих
преимуществах, и именно поэтому для организации подключения к интернету часто
используют PPTP, даже несмотря на то, что изначально у него защищенность ниже,
чем у L2TP, IPSec и SSTP (PPTP чувствителен к словарным атакам, кроме того,
VPN-подключение, основанное на протоколе PPTP, обеспечивает конфиденциальность,
но не целостность передаваемых данных, так как отсутствуют проверки, что данные
не были изменены при пересылке).
Стоит отметить: в больших сетях PPTP предпочтительнее PPPoE
. Ведь при
использовании последнего поиск сервера производится путем рассылки
широковещательных пакетов, которые могут потеряться на свичах, да и сеть такие
пакеты "наводняют" весьма прилично.
Аутентификация и шифрование
В Vista и Win2k8 список опознавательных протоколов PPP заметно сокращен.
Исключены SPAP, EAP-MD5-CHAP и MS-CHAP, которые давно признаны небезопасными (в
них используются алгоритмы хеширования MD4 и шифрования DES). Список доступных
протоколов теперь выглядит так: PAP, CHAP, MSCHAP-v2 и EAP-TLS (требует наличия
пользовательских сертификатов или смарт-карт). Настоятельно рекомендуется
использовать MSCHAP-v2
, поскольку он надежнее и обеспечивает взаимную
аутентификацию клиента и сервера. Также посредством групповой политики предпиши
обязательное применение сильных паролей.
Для шифрования VPN-соединения при помощи MPPE используются 40, 56 и
128-битные RSA RC4 ключи. В первых версиях Windows из-за ограничений на экспорт
военных технологий был доступен только 40-битный ключ и с некоторыми оговорками
– 56-битный. Они уже давно признаны недостаточными, и, начиная с Vista,
поддерживается исключительно 128-битная длина ключа. Может возникнуть ситуация,
что у клиента поддержки такой возможности нет, поэтому для старых версий Windows
надо накатить все сервис-паки или обновления безопасности. Например, WinXP SP2
без проблем подключится к серверу Win2k8.
Чтобы самостоятельно просмотреть список поддерживаемых системой алгоритмов и
длин ключей, обратись к ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL.
В частности, настройки алгоритмов шифрования находятся в ветке Ciphers\RC4.
Принудительно активировать нужную опцию можно, создав параметр dword "Enabled" и
установив его значение в "ffffffff". Есть и другой способ, который Microsoft не
рекомендует, – активировать поддержку 40/56-битных RC4 ключей на сервере Win2k8.
Для этого необходимо установить в "1" параметр реестра HKLM\System\CurrentControlSet\Services\Rasman\Parameters\AllowPPTPWeakCrypto
и перезапустить систему.
Настройка сервера PPTP в Win2k8
Типичная конфигурация для работы VPN состоит из контроллера домена
, серверов
RRAS (Routing and Remote Access)
и NPS (Network Policy Server)
. В процессе
настройки этих ролей дополнительно будут активированы сервисы DHCP и DNS.
Сервер, которому предстоит выполнять роль VPN, перед установкой роли RRAS должен
быть присоединен к домену. В отличие от L2TP и SSTP, сертификаты при работе PPTP
не нужны, поэтому сервер сертификатов (Certificate Services) не потребуется.
Сетевые устройства, которые будут участвовать в построении VPN (в том числе,
ADSL и подобные модемы), должны быть подсоединены и настроены соответствующим
образом (Пуск –> Панель управления –> Диспетчер устройств). Для некоторых схем
VPN (с использованием NAT и при соединении двух сетей) потребуется, как минимум,
два сетевых устройства.
Используя мастер установки ролей (Диспетчер сервера –> Роли –> Установить
роль), устанавливаем роль "Службы политики сети и доступа" (Network Access
Services) и переходим к выбору служб ролей, где отмечаем все компоненты "Службы
маршрутизации и удаленного доступа" (Routing and Remote Access Services).
Нажимаем "Далее" и в следующем окне подтверждаем настройки щелчком по "Установить".
Служба удаленного доступа и маршрутизации установлена, но еще не настроена и
не запущена. Для настройки параметров работы переходим в "Диспетчере сервера" во
вкладку "Роли –> Службы политики сети и доступа -> Службы маршрутизации и
удаленного доступа"; как вариант, можно использовать консоль "Маршрутизация и
удаленный доступ", вызываемую из вкладки "Администрирование" меню "Пуск".
Отмечаем наш сервер в списке (консоль может быть подключена к нескольким
системам) и в контекстном меню щелкаем "Настроить и включить маршрутизацию и
удаленный доступ" (Configure and Enable Routing and Remote Access). Если до
этого предпринимались попытки настроить службу, то для повторной установки
некоторых параметров придется ее остановить, выбрав пункт "Отключить
маршрутизацию и удаленный доступ". При этом все настройки будут сброшены.
Появившийся мастер установки предложит выбрать типичную конфигурацию сервера,
которая наиболее точно соответствует предполагаемым задачам. В меню выбора –
пять пунктов, четыре из них предоставляют готовые установки:
- Удаленный доступ (VPN или модем) – позволяет пользователям подключаться
через удаленное (коммутируемое) или безопасное (VPN) подключение; - Преобразование сетевых адресов (NAT) – предназначено для подключения к
интернету нескольких клиентов через один IP-адрес; - Доступ к удаленной сети (VPN) и NAT – является миксом предыдущих
пунктов, предоставляет возможность выхода в интернет с одного IP-адреса и
удаленного подключения; - Безопасное соединение между двумя сетями – подключение одной сети к
другой, удаленной.
Следующий шаг для каждого из этих пунктов будет индивидуальным. Например, при
настройке SSTP (см. статью " ") мы выбирали третий
сценарий. Для PPTP подойдет любой из предложенных вариантов, хотя рекомендуемым
считается пункт "Удаленный доступ", установленный по умолчанию. Если есть
затруднения при выборе схемы, выбери пятый пункт "Особая конфигурация", либо по
окончании работы мастера продолжи настройку в ручном режиме. Кроме того, можно
обратиться к документации, нажав ссылку "Подробнее", расположенную внизу окна.
На следующем шаге отмечаем список служб, которые следует включить на сервере.
Таких пунктов пять, их названия говорят сами за себя:
- Доступ к виртуальной частной сети (VPN);
- Удаленный доступ (через телефонную сеть);
- Подключение по требованию (для маршрутизации отделений организации);
- Преобразование сетевых адресов (NAT);
- Маршрутизация локальной сети.
Собственно, все предустановки, о которых говорилось выше, сводятся к
активации этих служб в разной комбинации. В большинстве случаев следует выбрать
"Удаленный доступ (VPN или модем)", а затем – "Доступ к виртуальной частной сети
(VPN)". Далее просто нужно указать на сетевой интерфейс, который подключен к
интернету (отметив его мышкой). Если мастер обнаружит только одно активное
соединение, то он закончит работу с предупреждением, что для данного режима
требуется еще одна сетевая карта, либо предложит перейти к настройкам в режиме "Особая конфигурация".
Флажок "Безопасность с использованием фильтра статических пакетов"
рекомендуется оставить взведенным. Такие фильтры пропускают VPN-трафик только с
указанного интерфейса, а исключения для разрешенных VPN-портов придется
настраивать вручную. При этом можно настраивать статические фильтры и брандмауэр
Windows на одном интерфейсе, но не рекомендуется, так как это снизит
производительность.
На шаге "Назначение IP-адресов" выбери способ получения IP-адреса клиентами
при подключении к VPN-серверу: "Автоматически" либо "Из заданного диапазона
адресов". Проверка подлинности учетной записи может быть произведена как
сервером RRAS, так и любым другим сервером, поддерживающим протокол RADIUS. По
умолчанию предлагается первый вариант, но в большой сети с несколькими серверами
RRAS лучше использовать RADIUS. На этом работа мастера заканчивается. Нажимаем
кнопку "Готово", и появившееся окно сообщает, что необходимо настроить "Агент
ретрансляции DHCP". Если RRAS и DHCP-сервер находятся в одном сегменте, и нет
проблем с обменом служебных пакетов, тогда Relay agent настраивать необязательно
(кстати, на внутреннем интерфейсе он активируется по умолчанию).
Настройки в консоли
В окне консоли теперь будет доступно дерево установок. Желательно пройтись по
всем пунктам, чтобы разобраться, что где находится. Так, в пункте "Интерфейсы
сети" будут показаны все настроенные ранее сетевые интерфейсы. Выбрав в меню
пункт "Создать новый интерфейс вызова по требованию", можно добавить подключение
к VPN или PPPoE-серверам. Для просмотра списка протоколов, используемых портов и
их состояния переходим в "Порты". Кнопка "Настроить" в окне "Свойства" позволяет
изменить параметры работы выбранного протокола. Например, по умолчанию
количество PPTP-, L2TP- и SSTP-подключений (портов) ограничено 128, а также
разрешены все подключения (удаленного доступа и по требованию). В качестве
(необязательного) идентификатора сервера используется телефон, введенный в поле
"Номер телефона для этого устройства".
В пункте "Клиенты удаленного доступа" отображается список подключенных
клиентов. Цифра рядом с названием пункта подскажет их количество. При помощи
контекстного меню можно проверить состояние клиента и при необходимости его
отключить. Два пункта IPv4 и IPv6 позволяют настроить IP-фильтры, статические
маршруты, агент DHCP ретрансляции и некоторые другие параметры.
Работа со вкусом
Нельзя не рассказать о еще одной возможности, которая заметно упростит жизнь
администраторам — пакет администрирования диспетчера подключений CMAK (Connection
Manager Administration Kit)
. Мастер CMAK создает профиль, который позволит
пользователям входить в сеть только с теми свойствами подключения, которые
определит для них админ. Это не новинка Win2k8 – CMAK был доступен еще для Win2k
и поддерживает клиентов вплоть до Win95. Тем не менее, провайдеры до сих пор
снабжают пользователя мудреными инструкциями вместо того, чтобы предоставить ему
готовые файлы с настройками.
CMAK является компонентом Win2k8, но по умолчанию не инсталлируется. Сам
процесс установки при помощи "Диспетчера сервера" стандартен. Выбираем "Компоненты – Добавить компоненты" и в появившемся мастере отмечаем
"Пакет
администрирования диспетчера подключений". По окончании установки одноименный
ярлык появится в меню "Администрирование".
При вызове СМАК запустится мастер, который поможет создать профиль диспетчера
подключений. На первом шаге выбери ОС, для которой предназначен профиль.
Доступны два варианта: Vista и Windows 2000/2003/XP. Основное их отличие состоит
в том, что Vista поддерживает SSTP. Далее выбираем "Новый профиль". Есть
возможность использовать в качестве шаблона уже имеющийся профиль; последующие
шаги предлагают объединить нескольких профилей. Указываем название службы
(пользователи его увидят после установки пакета) и имя файла, куда будет
сохранен профиль. При создании профиля службы мастер CMAK копирует все входящие
в этот профиль файлы в Program Files\CMAK\Profiles. В некоторых сетях при
проверке подлинности используется имя области (Realm name), например, в Windows
это имя AD домена ([email protected]). Мастер позволяет задать такое имя области,
которое будет автоматически добавлено к логину. И, наконец, добавляем поддержку
VPN-подключений. Активируем флажок "Телефонная книга из этого профиля" и затем
выбираем "Всегда использовать один VPN-сервер" или "Разрешить пользователю
выбирать VPN-сервер перед соединением". Во втором случае требуется заранее
подготовить txt-файл со списком серверов (формат файла).
На этапе "Создать или изменить" выбираем "Изменить", чтобы появилось окно "Правка VPN". Здесь три вкладки (при активном IPv6 – четыре). В
"Общие" отмечаем "Отключить общий доступ к файлам и принтерам" (в большинстве случаев такая
функциональность не требуется). В IPv4 указываются адреса основного и
дополнительного DNS и WINS серверов. Установкой соответствующих флажков можно
указать на использование PPTP-подключения как шлюза по умолчанию и активировать
сжатие IP-заголовков. Настройки безопасности производятся в одноименной вкладке.
Здесь указываем, обязательно ли использовать шифрование, и отмечаем необходимые
методы аутентификации. Список "Стратегия VPN" позволяет указать, какой метод
будет использован при подключении к VPN-серверу. Возможно два варианта: только
один протокол или перебор протоколов до успешной активации соединения. В
контексте статьи нас интересует "Использовать только PPTP" или "Сначала PPTP".
Здесь все, закрываем окно и двигаемся дальше.
Страница "Добавить телефонную книгу" позволяет задать номера, используемые
для подключения к dial-up серверу. При необходимости можно также настроить
автоматическое обновление списка номеров. Страница "Настроить записи удаленного
доступа к сети", а также окно, появляющееся при нажатии "Изменить", сходны по
содержанию с "Создать или изменить". Следующий шаг позволяет модифицировать
таблицы маршрутизации на подключившихся клиентах: в большинстве случаев лучше
оставить "Не изменять таблицы маршрутизации". Если нужно, указываем параметры
прокси для IE. Кроме стандартных установок, мастер позволяет установить
действия, которые могут быть выполнены на разных этапах подключения клиента
(например, запустить программу). Далее задаем значки для разных ситуаций (окна
подключения, телефонной книги и так далее), выбираем файл справки, сведения о
поддержке. При необходимости включаем в профиль диспетчер подключений. Это может
быть полезно для клиентских систем, на которых установлена ОС, не содержащая
диспетчер. Сюда же можно добавить текстовый файл с лицензионным соглашением и
дополнительные файлы, которые будут поставляться с профилем. На этом работа
мастера окончена – в резюме будет показан путь к установочному файлу. Копируем
его в общедоступную папку, чтобы пользователи могли свободно скачать.
Теперь юзерам достаточно запустить исполняемый файл и ответить на
один-единственный вопрос: сделать это подключение доступным для "Всех
пользователей" или "Только мне". После чего значок нового соединения будет
добавлен в "Сетевых подключениях", и появится окно регистрации, в котором
необходимо ввести свой логин и пароль. Очень удобно!
Управление RRAS при помощи Netsh
Некоторыми настройками RRAS-сервера можно управлять при помощи утилиты Netsh
(network shell). Добавить тип проверки подлинности учетной записи можно при
помощи команды:
> Netsh ras add authtype PAP|MD5CHAP|MSCHAPv2|EAP
Для ранних версий Windows еще и MSCHAP|SPAP. Режим проверки:
> Netsh ras set authmode STANDARD|NODCC|BYPASS
Зарегистрировать компьютер как RRAS-сервер в AD:
> Netsh ras add registeredserver
Добавить расширение PPP:
> Netsh ras add link SWC|LCP
Расширение SWC обеспечивает программное сжатие, а LCP активирует одноименное
расширение протокола PPP. Типы многоканальной связи поддерживаемых PPP:
> Netsh ras add multilink MULTI|BACP
Свойства учетной записи задаются следующим образом:
> Netsh ras set user
При помощи "set client" можно просмотреть статистику или отключить клиента.
Сохранить и восстановить конфигурацию RRAS при помощи Netsh также просто:
> Netsh ras dump > "filename"
> Netsh exec "filename"
Кроме этого, очень много настроек содержит контекст "ras aaaa".
Подробно о Netsh смотри в статье "Командный забег в лагерь Лонгхорна" в
.
INFO
PPTP был разработан еще до создания стандартов IPsec и PKI и в настоящее
время является самым популярным VPN-протоколом.
- Шаг 1. Щелкните по иконке сети на панеле задач и откройте Центр управления сетями и общим доступом .
Шаг 2. Выберите Настройка нового подключения или сети .
Шаг 3. Выберите Подключение к рабочему месту и создать новое подключение (если отобразится новое окно) и щелкните Далее .
Шаг 4. Выберите Использовать мое подключение к Интернету (VPN) .
Шаг 5. Введите Hostname (из текстового файла PPTP в панели пользователя) в качестве Интернет-адреса и дайте название подключению в поле Имя местоназначения . Укажите Не подключаться сейчас и щелкните Далее .
Шаг 6. Введите авторизационную информацию (из текстового файла PPTP в панели пользователя). Укажите Запомнить этот пароль и щелкните Создать . Закройте следующее окно.
Шаг 7. Щелкните по иконке сети на панеле задач. Щелкните правой кнопкой мыши по только что созданному подключению и войдите в Свойства .
Шаг 8. Выберите вкладку Безопасность и измените тип VPN на Туннельный протокол точка-точка (PPTP) и шифрование данных на Самое стойкое . Щелкните по кнопке ОК .
Шаг 9. VPN подключение готово. Теперь щелкните по иконке сети на панеле задач, выберите ваше новое VPN подключение и нажмите Подключение .
Шаг 10. Щелкните Подключение .NB! Никогда не используйте функцию сохранения пароля на компьютерах общего пользования! Если кто-либо подключится по сохраненным данным, ваше соединение будет разорвано!
Шаг 11. Щелкните по иконке сети на панеле задач и нажмите Отключение чтобы разорвать соединение.
Шаг 12. Если вы увидите окно Настройки сетевого размещения , выберите Общественная сеть .
Удаление VPN подключения
Многие пользователи наверняка слышали о таком термине, как «соединение PPTP». Некоторые даже отдаленно не представляют себе, что это такое. Однако если простым языком описывать принципы установки соединения на основе данного протокола, то понять их совсем нетрудно.
Что такое соединение PPTP?
Подключение данного типа строится на основе одноименного протокола, название которого происходит от английского point-to-pointtunnelingprotocol. Дословно это можно перевести как «туннельный протокол типа «точка-точка». Иначе говоря, это соединение между двумя абонентом посредством передачи в зашифрованном виде пакетов данных через незащищенные сети на основе TCP/IP.Тип соединения PPTP дает возможность осуществлять преобразование так называемых кадров PPP в стандартные пакеты IP, которые передаются посредством того же интернета. Считается, что сам протокол PPTP по уровню безопасности уступает другим вариантам типа IPSec. Однако, несмотря на это он имеет довольно широкое распространение. По сути, пользователь имеет дело с одной из разновидностей подключений VPN (беспроводное подключение).
Для чего нужно использовать соединение PPTP?
Сфера использования протокола PPTP довольно обширна. Прежде всего, стоит отметить, что такой вид соединения между двумя пользователями позволяет защитить информацию, а также значительно сэкономить на дальних звонках. Протокол PPTP довольно часто бывает незаменим при обеспечении связи между двумя локальными сетями посредством передачи в интернете по туннелю или защищенной линии без использования прямого соединения между ними. Это значит, что непосредственного контакта две локальные сети не имеют и в качестве посредника они используют туннель. С другой стороны туннелирование на основе протокола PPTP может использоваться при создании соединения типа клиент-сервер. При таком соединении пользовательский терминал подключается к серверу по защищенному каналу.
Реализация PPTP в различных операционных системах
Отвлечемся немного и взглянем на соединение PPTP с другой стороны. Мало кто понимал, что это такое с момента разработки данного протокола корпорацией Microsoft.В полноценном варианте впервые данный протокол был реализован компанией Cisco, но и специалисты компании Microsoft не отставали. Начиная с версии операционной системы Windows 95 OSR2, возможности создания подключения на основе протокола PPTP появились в более поздних программных продуктах, при этом они имели даже средства настройки сервера PPTP.В качестве примера далее будет рассмотрено соединение PPTP в операционной системе Windows 7.Стоит отметить, что на сегодняшний день данная операционная система считается наиболее популярной. В Linux-системах до недавнего времени полная поддержка протокола PPTP не была предусмотрена. Она появилась только в модификации 2.6.13.Официально поддержка данного протокола была заявлена в версии ядра 2.6.14. Операционные системы MacOSX и Free BSD поставляются со встроенными клиентами PPTP. КПК Palm, которые имеют поддержку беспроводного соединения Wi-Fi, оборудованы специальным клиентом Mergic.
Условия корректного соединения
Процесс использования туннелирования является довольно специфичным. Настройка соединения PPTP предполагает использование порта TCP 1723, а также в обязательном порядке протокола IPGRE с номером 47. Следовательно, настройка межсетевого экрана, если такой есть, и встроенного брэндмауэра операционной системы Windows должна быть такой, чтобы пакеты IP могли свободно проходить без ограничений. Это касается не только машин пользователей, но и локальных сетей. Такая свободная передача туннелированных данных в равной степени должна обеспечиваться на уровне провайдера. При использовании NAT на промежуточной стадии передачи данных должна быть настроена соответствующим образом обработка VPN.
PPTP: общие принципы подключения и работы
Мы рассмотрели соединение PPTP достаточно кратко. Многим, наверное, уже хоть немного понятно, что это такое. Чтобы внести полную ясность в этот вопрос, рассмотрим основные принципы функционирования протокола и связи на его основе. Также подробно рассмотрим процесс установки соединения PPTPGRE.Соединение между двумя точками устанавливается на основе обычной сессии PPP на базе протокола GRE (инкапсуляция). Второе подключение осуществляется непосредственно на порте TCP, который отвечает за инициацию и управление GRE.Сам по себе передаваемый пакет IPX состоит непосредственно из данных, которые иногда называют полезной нагрузкой, и дополнительной управляющей информации. Что же происходит на другом конце линии при получении пакета? Соответствующая программа для соединения PPTP как бы извлекает информацию, содержащуюся в пакете IPX,и отправляет ее на обработку с помощью средств, которые соответствуют собственному протоколу системы. Помимо этого, одним из важных компонентов туннельной передачи и приема основной информации является обязательное условие использования доступа с помощью комбинации «логин-пароль». Если взломать пароли и логины на стадии получения еще можно, то в процессе передачи информации по защищенному коридору или туннелю это сделать невозможно.
Средства защиты соединения
Как уже было сказано ранее, туннелирование на основе протокола PPTP не является защищенным абсолютно во всех аспектах. Если учитывать, что при шифровании данных используются такие средства, как MSCHAP-v2, EAP-TLS или даже MPEE,то можно говорить о довольно высокой степени защиты. В некоторых случаях для увеличения уровня безопасности могут быть использованы ответные звонки, при которых принимающая или передающая сторона осуществляет подключение и передачу информации программным способом.
Как настроить PPTP собственными средствами операционной системы Windows 7: параметры сетевого адаптера
В любой операционной системе семейства Windows настроить соединение PPTP достаточно просто. Как уже было сказано ранее, в качестве примера мы рассмотрим Windows 7.Прежде всего, необходимо зайти в «Центр управления сетями и общим доступом». Это можно сделать при помощи «Панели управления», или при помощи меню, вызываемого путем правого клика мыши на значке сетевого или интернет-подключения. Слева в меню находится строка для изменения параметров сетевого адаптера. Необходимо задействовать ее, а после этого путем правого клика мыши на подключении по локальной сети вызвать контекстное меню и выбрать строку свойств. В открывшемся окне необходимо использовать свойства протокола TCP/IPv4.В окне настроек необходимо прописать параметры, которые предоставлены провайдером при подключении. Как правило, устанавливается автоматическое получение адресов для DNS и IP-серверов. Необходимо сохранить выполненные изменения и вернуться к подключению по локальной сети, где необходимо проверить, активно ли оно в данный момент времени. Для этого необходимо использовать правый клик мыши. Если в верхней строке будет указано «Отключить», то значит соединение активно. В противном случае необходимо включить его.
Создание и настройка VPN
Следующим этапом является создание VPN-подключения. Для этого необходимо в разделе «Центр управления» в правой части окна использовать строку создания нового подключения. После этого необходимо выбрать подключение к рабочему месту, а после этого – использование существующего подключения к интернету.Затем необходимо отложить настройку интернет-соединения. В следующем окне необходимо указать интернет-адрес оператора VPN и указать произвольное имя. Снизу обязательно нужно поставить галочку напротив строки «Не подключаться сейчас». Поле этого снова необходимо снова ввести логин и пароль, если они предусмотрены договором на предоставление услуг, а после этого нажать на кнопку «Создать». После этого нужно выбрать в списке доступных подключений, только что созданное и нажать на кнопку свойств в новом окне. Далее необходимо действовать предельно аккуратно. В обязательном порядке на вкладке безопасности необходимо установить следующие параметры:
— тип VPN – автоматический;
— шифрование данных – необязательно;
— разрешение протоколов: CHAP и CHAP версии 2.
Теперь необходимо подтвердить выполненные изменения и перейти к окну установки соединения, где нужно нажать на кнопку подключения. Если настройки выполнены должным образом, будет выполнено подключение к интернету. Стоит ли использовать для этой цели сторонние утилиты? Пользователи по-разному реагируют на вопрос установки дополнительных PPTP серверов или клиентов. Однако большинство из них сходятся во мнении, что настройка и использование встроенного модуля Windows выглядит в плане простоты намного предпочтительнее. Конечно, можно установить что-то вроде пакета pfSense, который представляет собой межсетевой экран-маршрутизатор. Однако его «родной» клиент Multilink PPP Daemon имеет множество проблем, связанных с использованием Windows-серверов на основе PPTP в плане распределения использования протокола аутентификации между сервером и клиентом в корпоративных системах. Стоит отметить, что в домашних пользовательских терминалах таких проблем отмечено не было. Данная утилита в настройке гораздо сложнее, без использования специальных знаний указать правильные параметры или исправить регулярный «слет» пользовательского IP, невозможно. Можно попробовать некоторые другие серверные или клиентские утилиты, которые предназначены для установки соединения PPTP. Но есть ли смысл загружать систему ненужными программами, поскольку в любой операционной системе семейства Windows имеются собственные средства для этой цели? Кроме того, некоторые программные продукты в этом плане настолько сложны в настройке, что могут вызвать конфликты на физическом и программном уровне, так что лучше будет ограничиться тем, что есть.
Заключение
Это собственно все, что касается протокола PPTP, создания, настройки и использования туннельного соединения на его основе. Использование данного протокола для рядового пользователя не оправдано. Возникают законные сомнения в том, что каким-то пользователям может потребоваться защищенный канал связи. Если требуется защитить свой IP-адрес, то лучше использовать для данной цели анонимные прокси-серверы в интернете или анонимайзеры. Для обеспечения взаимодействия между локальными сетями коммерческих предприятий и других структур, то установка соединения PPTP может стать простым выходом. Такое подключение, конечно, не обеспечит на все сто безопасность, однако доля здравого смысла в его использовании есть.
В данной статье мы ознакомимся с тем, как можно организовать собственный VPN сервер на Windows 7 без использования стороннего софта
Напомню, что VPN (Virtual Private Network) этотехнология, используемая для доступа к защищенным сетям через общую сеть Internet. VPN позволяет обеспечить защиту информации и данных, передаваемой по общедоступной сети, путем их шифрования. Тем самым злоумышленник не сможет получить доступ к данным, передаваемым внутри VPN сессии, даже если он получить доступ к передаваемым по сети пакетам. Для расшифровки трафика ему необходимо иметь специальный ключ, либо пытаться расшифровать сессию при помощи грубого брутфорса. Кроме того, это дешевое решение для построения сети предприятия по каналам WAN, без необходимости аренды выделенного дорогостоящего канала связи.
Для чего может понадобиться организация VPN сервера на Windows 7? Наиболее распространенный вариант – необходимость организации удаленного доступа к компьютеру с Windows 7 дома или в малом офисе (SOHO) при нахождении, например, в командировке, в гостях, в общем, не на рабочем месте.
Стоит отметить, что VPN сервер на Windows 7 имеет ряд особенностей и ограничений:
- Вы должны четко понимать и принять все потенциальные риски, связанные с VPN подключением
- Одновременно возможно только одно подключение пользователя и организовать одновременный VPN доступ к компьютеру с Win 7 нескольким пользователям сразу, легально нельзя.
- VPN доступ можно предоставить только локальным учетным записям пользователей, и интеграция с Active Directory невозможна
- Для настройки VPN сервера на машине с Win 7 необходимо иметь права администратора
- Если вы подключаетесь к интернет через роутер, вам необходимо иметь к нему доступ, и нужно уметь настраивать правила для организации проброса портов (port forward) для разрешения входящих VPN подключений (собственно процедура настройки может существенно отличаться в зависимости от модели роутера)
Данная пошаговая инструкции поможет вам организовать собственный VPN сервер на Windows 7, не используя сторонние продукты и дорогостоящие корпоративные решения.
Откройте панель Network Connections (Сетевые подключения), набрав «network connection» в поисковой строке стартового меню, выберете пункт “View network connections”.
Затем зажмите кнопку Alt , щелкните по меню File и выберете пункт New Incoming Connection (Новое входящее подключение), в результате чего запустится мастер создания подключений к компьютеру.
В появившемся окне мастера укажите пользователя, которому будет разрешено подключаться к этому компьютеру с Windows 7 посредством VPN.
Затем укажите тип подключения пользователя (через Интернет или через модем), в данном случае выберите “Thought the Internet”.
Затем укажите типы сетевых протоколов, которые будут использоваться для обслуживания входящего VPN подключения. Должен быть выбран как минимум TCP/IPv4.
Нажмите кнопку Properties и укажите IP адрес, который будет присвоен подключающемуся компьютеру (доступный диапазон можно задать вручную, либо указать что ip адрес выдаст DHCP сервер).
После того, как вы нажмете кнопку Allow access , Windows 7 автоматически настроит VPN сервер и появится окно с именем компьютера, которое нужно будет использоваться для подключения.
Вот и все VPN север настроен, и в окне сетевых подключений появится новое подключение с именем Incoming connections.
Есть еще несколько нюансов при организации домашнего VPN сервера на Windows 7.
Настройка межсетевых экранов
Между Вашим компьютером с Windows 7 и сетью Интернет могут находится файерволы, и для того, чтобы они пропускали входящее VPN соединение, Вам придется осуществить их донастройку. Настройка различных устройств весьма специфична и не может быть описана в рамках одной статьи, но главное уяснить правило – необходимо открыть порт VPN PPTP с номером 1723 и настроить форвард (переадресацию) подключений на машину с Windows 7, на которой поднят VPN сервер.
Нужно не забыть проверить параметры встроенного брандмауэра Windows. Откройте панель управления Advanced Settings в Windows Firewall, перейдите в раздел Inbound Rules (Входящие правила) и проверьте что правило “Routing and Remote Access (PPTP-In)” включено. Данное правило разрешает принимать входящие подключения по порту 1723
Проброс портов
Ниже я выложил скриншот, показывающий организацию проброса (форвардинг) порта на моем роутере от NetGear. На рисунке видно, что все внешние подключения на порт 1723 перенаправляются на машину Windows 7 (адрес которой статический).
Настройка VPN подключения
Чтобы подключиться к VPN серверу с Windows 7, на подключающейся машине-клиенте необходимо настроить VPN подключение
Для этого для нового VPN соединения задайте следующие параметры:
- Щелкните правой кнопкой по VPN подключению и выберите Properties .
- На вкладке Security в поле Type of VPN (тип VPN) выберите опцию Point to Point Tunneling Protocol (PPTP) и в разделе Data encryption выберите Maximum strength encryption (disconnect if server declines) .
- Нажмите OK , чтобы сохранить настройки