Свобода передвижения без внешних накопителей
Если раньше носить с собой повсюду огромные объёмы информации можно было только в книгах таких писателей-фантастов, как Уильям Гибсон, то сегодня это уже стало реальностью. В отличие от Джонни Мнемоника, главного героя одного из рассказов Гибсона и одноимённого фильма, мы не переносим данные на имплантированном в мозг чипе, а используем такие мобильные устройства хранения данных, как внешние дисковые накопители и USB-брелоки. Эти накопители позволяют нам удобно переносить важную информацию и получать к ней доступ, когда и где мы захотим.
Но как бы ни был удобен этот метод транспортировки данных, ничего хорошего не получится, если вы забудете скопировать нужные файлы на внешний накопитель или USB-брелок, прежде чем покинуть своё рабочее место. Когда такое происходит, мобильный накопитель становится бесполезным. Помимо человеческого фактора, есть и другие обстоятельства, при которых мобильный накопитель не сможет помочь, когда нам необходимо получить доступ к определённым данным, где бы мы ни находились. Так может случиться, например, когда нужно получить данные, хранящиеся на сервере баз данных, или когда пользователь заранее не знает, какие именно файлы ему понадобятся в какой-то конкретной ситуации.
Что может быть лучше, чем возможность получить доступ к своим собственным данным через Интернет? Эта идея лежит в основе телекомпьютинга, когда некоторые сотрудники имеют возможность работать, не выходя из дома, связываясь с офисом по компьютерной сети.
В результате продолжающейся глобализации компаний значение обмена данными через Интернет возросло. В данной статье мы хотим рассказать о том, как обычный пользователь может легко получить доступ к своим данным (в первую очередь, благодаря быстрому интернет-подключению), и что удалённый доступ к данным больше не является прерогативой компаний с выделенными каналами связи.
Безопасная передача данных с помощью виртуальных частных сетей
Для безопасной передачи данных через небезопасное интернет-соединение компании используют решения на основе виртуальных частных сетей (Virtual Private Network, VPN). Виртуальная частная сеть представляет собой объединение двух отдельных сетей, образовывающих закрытую логическую сеть. Данная технология позволяет дочерним компаниям поддерживать связь с головным офисом, а сотрудникам работать удалённо, в так называемом “домашнем офисе”. Кроме того, у сотрудников, которые находятся в командировке, появляется возможность установить безопасное соединение с компанией для обмена данными.
VPN основывается чисто на программном решении: для создания такой сети не требуется никакого специального сетевого аппаратного обеспечения. Например, чтобы с помощью такой сети общего пользования, как Интернет, установить VPN-соединение между домашним компьютером и корпоративной сетью, клиентское программное обеспечение VPN копирует конфигурацию корпоративной сети виртуально на домашний компьютер. Клиентское ПО через Интернет подключается к VPN-узлу и после успешного прохождения процесса аутентификации разрешает передачу данных между устройствами по таким защищённым VPN-протоколам, как IPsec, TLS/SSL или PPTP. Таким образом, домашняя рабочая станция становится компонентом частной корпоративной сети. Безопасное соединение, установленное между VPN-узлом и удалённой машиной через сеть общего пользования называется VPN-туннелем.
Простая схема VPN-туннеля.
VPN-туннель используется не только для установления соединения отдельных компьютеров с сетью (site-to-end), но и, например, для соединения локальных сетей нескольких дочерних компаний (site-to-site). Возможно также использование VPN для установления безопасного соединения с сервером без получения доступа ко всей сети компании (end-to-end).
Клиентская программа VPN под названием Hamachi работает по сходным принципам и уже обсуждалась нами ранее в статье “Hamachi: копируем и резервируем файлы через Интернет“. Соединения, инициируемые с помощью Hamachi, не сразу устанавливаются напрямую между клиентами, а сначала проводятся через так называемый промежуточный сервер, ответственный за аутентификацию клиента. Этот факт, вместе с тем, что исходный код Hamachi нельзя просмотреть открыто, может представлять собой определённый риск в отношении безопасности при передаче незащищённых данных.
Те пользователи, у кого есть ноутбук и настольный компьютер, и кто желает получить доступ к файлам на своём домашнем ПК из любого места мира (не пользуясь при этом программой Hamachi по вышеназванным причинам), могут быстро и легко установить end-to-end VPN-соединение с помощью Windows Vista и предоставляемых ею стандартных средств. Необходимым условием для удобной работы и быстрой передачи данных является наличие скоростного интернет-подключения: как минимум, быстрая линия DSL с соответствующей скоростью исходящего потока данных.
End-to-end VPN-соединения с помощью Windows Vista
Кроме наличия скоростного интернет-соединения в качестве необходимого условия для быстрой и удобной передачи данных, нужно иметь в виду и ряд других факторов, чтобы обеспечить успешную установку VPN-соединения. Если сеть домашнего офиса соединяется с Интернетом с помощью маршрутизатора, его нужно настроить так, чтобы он позволял принимать входящие запросы на установление VPN-соединения и направлял их настольному компьютеру.
Маршрутизатор должен быть доступен в Интернете под именем хоста. Это необходимо, поскольку каждый раз во время подключения DSL-провайдер выдаёт ему новый IP-адрес, кроме того, новый адрес выдаётся через каждые 24 часа. Если, когда вы находитесь в командировке, маршрутизатор дома переустановил подключение и получил новый IP-адрес, то вам не удастся установить соединение, потому что вы не знаете нового IP-адреса. Такие сервисы, как DynDNS.org и no-ip.org, позволяют присваивать статические имена хостов динамическим IP-адресам.
У многих маршрутизаторов уже есть утилиты для обновления динамических DNS-записей; выбор провайдера DNS для регистрации будет зависеть от поддержки, предоставляемой вашим маршрутизатором. Если ваш настольный компьютер устанавливает соединение прямо с Интернетом, без маршрутизатора, то нужно воспользоваться небольшой утилитой, которая информирует DNS-провайдера об изменениях вашего внешнего IP-адреса и обновит его. Загляните в раздел скачивания программ DNS-провайдера, которые обновляют IP-адрес в DNS-сервере.
Центр управления сетью и общими ресурсами (Network and Sharing Center).
Чтобы принимать входящие запросы на установку VPN-соединения, прежде всего, нужно настроить настольный компьютер с ОС Windows Vista, Это возможно в следующих версиях: Windows Vista Home Basic, Home Premium, Business, Enterprise и Ultimate. Откройте окно “Центр управления сетями и общим доступом/Network and Sharing Center” через “Пуск/Start” -> “Панель управления/Control Panel” -> “Сеть и Интернет/Networks and Internet”. Слева выберите опцию “Управление сетевыми подключениями/Manage network connections”, которая открывает новое окно. В зависимости от конфигурации вашей Windows Vista, вам нужно будет нажать клавишу “ALT”, чтобы отобразилась строка меню, содержащая пункты ” Файл/File”, “Правка/Edit”, “Вид/View”, “Сервис/Extras” и “Дополнительно/Extended”. В строке меню выберите “Файл/File” и опцию “Новое входящее подключение/New incoming connection”.
Если не отображается строка меню, нажмите клавишу “ALT”.
В открывшемся окне вы увидите список всех учётных записей пользователей на вашем компьютере. Выберите тех пользователей, которым вы разрешаете подключаться к вашему компьютеру; если вы хотите ограничить доступ для всех, кроме себя, то выберите только своё собственное имя пользователя. Щёлкните по кнопке “Далее/Next”. В следующем диалоговом окне выберите опцию “Через Интернет/Via the Internet” и подтвердите клавишей “Далее/Next”. Затем нужно выбрать сетевые протоколы, которые будут поддерживаться VPN-соединением. “Протокол Интернета версии 6/Internet Protocol Version 6” и “Планировщик пакетов QoS/QoS Packet Scheduler” можно не выбирать.
Выбор пользователей.
Выбор поддерживаемых протоколов.
Выберите “Протокол Интернета версии 4/Internet Protocol Version 4” и щёлкните по кнопке “Свойства/Properties”. Если вы хотите получать доступ не только к своему настольному компьютеру через VPN-соединение, но и к другим устройствам домашней сети (например, к сетевым принтерам или маршрутизаторам), то выберите опцию “Разрешить звонящим доступ к локальной сети/Allow Callers to Access My Local Area Network”. Чтобы задать IP-адрес, выберите “Указать IP-адреса явным образом/Specify IP addresses”. Здесь нужно ввести два последовательных IP-адреса, которые будут использоваться для VPN-соединения между вашим настольным компьютером и ноутбуком. Убедитесь, что диапазон IP-адреса относится к той же подсети, что и ваша локальная домашняя сеть. Указывать диапазон IP-адресов не имеет смысла, поскольку Windows Vista одновременно разрешает только одно VPN-соединение, множественные соединения невозможны.
Выбор IP-адресов и разрешение доступа к локальной сети.
Если у вашего маршрутизатора IP-адрес 192.168.1.1, а у вашего настольного компьютера IP-адрес 192.168.1.2, то вы должны ввести IP-адрес, начинающийся с 192.168.1. Последняя цифра может быть любой, единственно только, она не должна уже быть назначена другим объектам сети. Так, в нашем примере не могут использоваться IP-адреса 192.168.1.1 и 192.168.1.2.
IP-адрес в поле “С/From” назначается вашему настольному компьютеру при установке VPN-соединения, а IP-адрес в поле “По/To” назначается вашему ноутбуку. Нажмите кнопку “OK” и подтвердите сделанные настройки, выбрав “Разрешить доступ/Allow access”. Затем Windows Vista изменяет настройки брандмауэра Windows Firewall, чтобы разрешить входящие соединения через порт 1723. Если вы захотите изменить настройки, то можно открыть диалоговое окно с настройками через пункт меню “Управление сетевыми подключениями/Manage network connections” в “Центре управления сетью и общим доступом/Network and Sharing Center”.
Создание входящего соединения.
Перенаправление портов, DynDNS и настройка удалённого Object
Если вы входите в Интернет через маршрутизатор, то вам нужно будет внести изменения, чтобы направить входящие VPN-запросы на порт 1723 настольному компьютеру с помощью переадресации портов. Поскольку данная процедура у разных маршрутизаторов разная, мы не можем дать вам универсальные инструкции. То же самое касается и перенаправления TCP/IP-протокола 47, протокола туннелирования Generic Route Encapsulation (GRE). Некоторые производители маршрутизаторов называют протокол GRE “PPTP Pass-Through” или “VPN Pass-Through”. Посмотрите в руководстве пользователя маршрутизатора, как осуществить переадресацию портов и настроить PPTP Pass Through.
Правила перенаправления для PPTP, а также…
…настройки легко найти в меню тестового маршрутизатора.
То же самое касается и настройки динамического DNS-адреса. Как уже говорилось, поддержка маршрутизаторами провайдеров динамических DNS-серверов отличается у разных производителей. Чтобы не усложнять статью, допустим, что переадресация портов и PPTP Pass Through, а также регистрация у провайдера DNS-сервисов была успешно завершена.
Список поддерживаемых DNS-провайдеров отличается у разных производителей маршрутизаторов.
Настройка VPN-соединения на ноутбуке
Сейчас, когда наш настольный компьютер настроен, т.е. доступен через Интернет по имени хоста и может принимать и перенаправлять входящие VPN-соединения, необходимо настроить VPN-клиента (ноутбук). В качестве операционной системы клиента могут использоваться как Windows XP, так и Windows Vista.
В нашем примере мы опишем, как настроить VPN-клиента под Windows Vista. На ноутбуке с операционной системой Windows Vista откройте “Центр управления сетями и общими ресурсами/Network and Sharing Center” и выберите опцию “Установка подключения или сети/Set up a connection or network”. Далее из списка выберите опцию “Подключение к рабочему месту/Connect to a workplace” и подтвердите свой выбор кнопкой “Далее/Next”.
“Мастер” шаг за шагом проведёт вас…
…через весть процесс настройки VPN-соединения.
Если коммутируемые соединения уже существуют, то ответьте на следующий вопрос отрицательно и нажмите кнопку “Далее/Next”, чтобы перейти к следующему шагу. На вопрос “Мастера” о том, каким способом вы хотите установить соединение, выберите опцию “Использовать моё подключение к Интернету (VPN)/Use my Internet connection (VPN)”. Далее вас попросят ввести интернет-адрес. Введите имя хоста, которое вы зарегистрировали у DNS-провайдера и указали для своего маршрутизатора; имя может быть любым. Отметьте галочкой “Не подключаться сейчас/Don’t connect now”. На следующем шаге при желании можно ввести имя пользователя и пароль; они должны соответствовать тем, что вы указали для учётной записи. Подтвердите этот шаг кнопкой “Подключить/Create” и закройте следующее окно.
Установка VPN-соединения
После такой подготовки ничто не мешает успешной установке VPN-соединения. Сейчас, если вы захотите получить доступ к своему настольному компьютеру, будучи вне дома, вам понадобится только подключение к Интернету. Когда вы подключитесь к Интернету, нужно будет установить VPN-соединение, открыв “Центр управления сетями и общим доступом/Network and Sharing Center” и выбрав опцию “Подключиться к сети/Connect to a network”. В открывшемся окне выберите только что созданное вами подключение и щелкните “Подключиться/Connect”. В следующем диалоговом окне, если нужно, введите имя пользователя и пароль. Вот и всё!
Когда соединение установится, вы сможете воспользоваться Windows Explorer для доступа к совместно используемым папкам на вашем настольном компьютере, указав IP-адрес (192.168.1.x) или имя UNC (Universal Naming Convention) в поле адреса. IP-адрес нужен только тогда, когда разрешение имён работает некорректно.
Не вполне элегантное, но рабочее решение: использование IP-адреса вместо UNC.
Более элегантным методом, чем ввод IP-адреса в качестве UNC, является изменение файла lmhosts.sam на клиентском VPN-компьютере (на ноутбуке). Этот файл управляет назначением имён хостов и IP-адресов вручную, и его можно найти в папке C:WindowsSystem32driversetc. В данном файле нужно ввести IP-адрес, который ваш настольный ПК использует для VPN-соединений, а затем Windows-имя вашего компьютера, например “HomePC”. После внесённых изменений файл нужно сохранить. Сейчас, когда VPN-соединение установлено, вы можете получить доступ к своему компьютеру в Windows Explorer, указав путь HomePC в качестве UNC. Если в вашей домашней сети есть другие устройства, то нужно будет соответственно изменить файл lmhosts.sam.
Заключение: быстрая и лёгкая установка VPN-соединения
В Windows Vista без проблем можно установить VPN-соединение для частного использования. Процедура установки простая, быстрая и даёт пользователям возможность безопасно обмениваться данными с удалённым компьютером по незащищённой сети (Интернету).
Небольшая проблема заключается только в том, что одновременно можно установить не более одного VPN-соединения. Если несколько пользователей желают получить доступ к компьютеру с помощью Windows VPN, то им придётся делать это по очереди. Чтобы обойти это ограничение, можно воспользоваться таким альтернативным решением, как OpenVPN>. В отличие от VPN-решения, которое предлагает Windows, OpenVPN гораздо сложнее устанавливать и настраивать, и потраченные на этот процесс усилия, возможно, для многих пользователей перевесят пользу от самого решения. Если целью является только обмен данными с другими пользователями, то можно обратить внимание на такое решение, как TeamDrive.
Установка FTP-сервера на домашний компьютер также гарантирует быстрый и несложный доступ к совместно используемым данным, но здесь есть проблемы безопасности, поскольку FTP-протокол почти никогда не шифруется. Ещё одним преимуществом VPN-соединения является то, что вы можете использовать клиентский компьютер для доступа к своей сети, которая в свою очередь предоставляет доступ к другим компьютерам и службам. Нет необходимости настраивать маршрутизатор для таких дополнительных служб, как подключение к удалённому рабочему столу или подключение к VNC, потому что вы уже в своей сети.
