vpn с компьютера в корпоративную сеть - mikrotik...cisco: ccna, ccnp...

VPN с компьютера в корпоративную сеть

Алексей Чудин Москва, МУМ 2018

Обо мне

Алексей Чудин

Сертифицированный тренер MikroTik с 2014 г.

Сертификаты:

MikroTik: MTCNA, MTCRE, MTCWE, MTCTCE, MTCUME, MTCINE, MTCIPv6E,

MikroTik Trainer №0246

Microsoft: MCP, MCSA

Cisco: CCNA, CCNP (R&S)

Алексей Чудин

2

www.mikrotik-courses.ru

Алексей Чудин 3

MikroTik-Courses.ru: ведущий тренинг-центр MikroTik в России и СНГ

За 4,5 года работы: - Обучен 1671 специалист - выдано 2549 сертификатов ( MTCNA, MTCRE, MTCWE, MTCTCE, MTCINE, MTCIPv6E )

- в среднем проводится 2 тренинга в неделю - 4 тренера: - Алексей Чудин - Александр Романов - Николай Кузнецов - Максим Бусов

Алексей Чудин

4

MikroTik-Courses.ru: ведущий тренинг-центр MikroTik в России и СНГ

За 4,5 года работы:

- 5 стран ( РФ, РБ, Казахстан, Кыргызстан, Индия )

- 50 городов

- География от Калининграда до Владивостока и от Архангельска до Калькутты

- Тренинги в Риге в собственном тренинг-центре компании MikroTik (октябрь)

Алексей Чудин 5

Постановка задачи

Алексей Чудин 6

Постановка задачи

Алексей Чудин 7

Постановка задачи

Алексей Чудин 8

Постановка задачи

Алексей Чудин 9

• Снимаем галочку

• Теперь все маршруты в рабочую сеть придется писать руками…

• А если сетей много?

• И они постоянно добавляются (сеть растет)?

Постановка задачи

Алексей Чудин 10

• VPN’ы не занимаются передачей маршрутов…

• Как насчет протоколов маршрутизации?

• OSPF, RIP, BGP?

Решение задачи

Алексей Чудин 11

RIP!

Решение задачи

Алексей Чудин 12

Решение задачи

Алексей Чудин 13

Решение задачи

Алексей Чудин 14

1. Включаем PPP-сервер

Решение задачи

Алексей Чудин 15

2. Заводим юзера

Решение задачи

Алексей Чудин 16

Решение задачи

Алексей Чудин 17

3. Создаем server binding

Решение задачи

Алексей Чудин 18

3. Создаем server binding

Решение задачи

Алексей Чудин 19

4. Запускаем протокол RIP на роутере

Решение задачи

Алексей Чудин 20

4. Запускаем протокол RIP на роутере

Решение задачи

Алексей Чудин 21

4. Запускаем протокол RIP на роутере

Remote address – это адрес нашего компьютера

Решение задачи

Алексей Чудин 22

• Если строить сеть на основе протокола RIP, то update’ы будут прилетать на компьютер

• Вроде все работает?

– Компьютер выходит в интернет не через VPN

– а все маршруты из корпоративной сети приходят на компьютер…

Решение задачи

Алексей Чудин 23

• Сеть строить есть смысл на протоколе OSPF

• Осталось только передать маршруты из OSPF в RIP!

• Называется данный процесс Redistribution

Решение задачи

Алексей Чудин 24

Решение задачи

Алексей Чудин 25

• Остался последний шаг: анонсировать наш Remote Address (адрес компьютера на конце туннеля) в OSPF

• Это нужно, чтобы в корпоративной сети появился маршрут /32 до самого компьютера

Решение задачи

Алексей Чудин 26

Промежуточный итог

Алексей Чудин 27

Промежуточный итог

Алексей Чудин 28

Приятные мелочи

Алексей Чудин 29

Приятные мелочи

Алексей Чудин 30

Приятные мелочи

Алексей Чудин 31

Приятные мелочи

Алексей Чудин 32

Приятные мелочи

Алексей Чудин 33

А как насчет IPv6?

Алексей Чудин 34

Алексей Чудин 35

Доступ к IPv6

• Имеем в сети предприятия постоянный пул шире чем /64 (/56, /48)

• Удаленные компьютеры получают доступ к IPv6 только через сеть предприятия

• Поэтому схема упрощается, галку “использовать основной шлюз в удаленной сети” оставляем

Алексей Чудин 36

Доступ к IPv6

Алексей Чудин 37

Доступ к IPv6

Алексей Чудин 38

Доступ к IPv6

Алексей Чудин 39

Доступ к IPv6

Алексей Чудин 40

Доступ к IPv6

Алексей Чудин 41

Доступ к IPv6

Отказоустойчивость VPN-сервера

Алексей Чудин 42

Отказоустойчивость VPN-сервера

Алексей Чудин 43

Отказоустойчивость VPN-сервера

Алексей Чудин 44

Отказоустойчивость VPN-сервера

Алексей Чудин 45

Отказоустойчивость VPN-сервера

Алексей Чудин 46

1. A-запись в DNS с несколькими IP-адресами

2. Костыль в MS Windows (правка реестра)

3. Копирование настроек PPP-secret, PPP-profile, RIP, OSPF на все пограничные маршрутизаторы (они же VPN-концентраторы)

Отказоустойчивость VPN-сервера

Алексей Чудин 47

Техника Apple?..

Алексей Чудин 48

Техника Apple?..

Алексей Чудин 49

Вопросы? Пишите на

training@mikrotik-courses.ru

Алексей Чудин 50

Хорошего дня!

Спасибо за ваше внимание!

Алексей Чудин 51