Настройка и создание VPN для корпоративной сети

Настройка и создание VPN для корпоративной сети

Дали рекомендации по настройке корпоративного VPN-сервера для безопасного доступа сотрудников к корпоративной сети, включая выбор подходящих протоколов и оборудования. Описание вариантов VPN, которые подойдут как для небольших компаний, так и для крупных организаций.

VPN (Virtual Private Network) можно представить как невидимый экран, который защищает данные, пока они передаются между устройством и корпоративной сетью или сервером. 

Разновидности VPN

  • Site-to-Site VPN используется для соединения офисов компании, независимо от географического расположения филиалов.
  • Remote Access VPN обеспечивает сотрудникам доступ к корпоративным ресурсам из любой точки мира. 

Как работает шифрование данных

Информация перед отправкой зашифровывается с использованием специальных алгоритмов (например, AES-256). Только отправитель и получатель могут видеть их содержание — для всех остальных это просто «цифровая абракадабра».

Основные протоколы VPN 

Иллюстрация к теме VPN

Протоколы VPN — это правила и методы создания и защиты подключений. Выбор протокола определяет баланс между безопасностью, скоростью и совместимостью устройств.

OpenVPN. Похож на многофункциональный швейцарский нож. Настраивается под любые корпоративные задачи. Подойдёт тем, кто хочет максимального контроля над безопасностью, но для настройки нужен специалист.

L2TP/IPsec. Двойная защита в одном комплекте. L2TP (протокол туннелирования) создаёт соединение, а IPsec добавляет шифрование. Это решение работает «из коробки» на большинстве устройств и упрощает подключение сотрудников.

IKEv2. Обеспечивает баланс скорости и стабильности. Отлично подходит, если ваши сотрудники активно перемещаются между сетями (например, с Wi-Fi на мобильный интернет). Соединение быстро восстанавливается даже при разрыве связи, что особенно важно в дороге.

Правовые аспекты использования VPN в России с учётом изменений законодательства

С 1 декабря 2024 года в России действуют более строгие правила в отношении использования и популяризации VPN. Это связано с усилением контроля за обходом блокировок и защитой от противоправной деятельности.

Запрет VPN в России: законы и их практическое применение

Использование VPN разрешено для обеспечения безопасности корпоративной информации, для шифрования каналов связи внутри компании, для удалённого доступа сотрудников к внутренним ресурсам, для создания единой корпоративной сети.

Использование VPN запрещено для доступа к ресурсам, заблокированным на территории России. С 2024 года VPN-провайдеры обязаны фильтровать подобные запросы. VPN запрещён для скрытия следов противоправных действий, включая киберпреступления.

Внимание!

Пользуйтесь услугами только тех компаний, которые не включены в реестр запрещённых ресурсов от Роскомнадзора. Обратите внимание, что часть указанных в материале VPN может быть заблокирована на дату прочтения статьи, проверяйте источник в реестре на дату принятия решения.

Облачные решения

NordLayer, Perimeter 81. Подойдут небольшим компаниям или стартапам, где нет ИТ-команды. Легко подключиться и сразу работать.

Собственные серверы

OpenVPN, WireGuard. Для средних и крупных предприятий с опытной ИТ-командой.

VPN создаётся на своём сервере (физическом, виртуальном или облачном). Нужна команда для установки и поддержки сервера.


Аренда VPS/VDS виртуального сервера от AdminVPS — это мощное, надёжное решение для обеспечения корпоративной безопасности по доступной цене, также:

  • бесплатное администрирование,
  • только быстрые NVMe-диски,
  • быстрая техподдержка,
  • защита от DDoS-атак.

Готовые устройства

Cisco, MikroTik. Подойдут тем, кто хочет использовать готовое оборудование для настройки под свои задачи. В этом случае приобретается устройство с предустановленным VPN-программным обеспечением. Это иногда дороже, чем другие решения.

Создание корпоративной VPN

Осуществляется в несколько этапов, от подготовки до тестирования.

Ваш маршрутизатор (роутер) должен поддерживать работу с VPN. Эта информация указана в технических характеристиках устройства.

Настройка на основе OpenVPN

Скачивание серверного ПО:

  1. Зайдите на официальный сайт OpenVPN.
  2. Скачайте версию для вашей системы (Windows, Linux или macOS).
  3. Установите программу, следуя инструкциям установщика.

Генерация ключей шифрования. После установки найдите в папке OpenVPN утилиту (приложение) для генерации ключей (EasyRSA).

Установите EasyRSA. Утилита EasyRSA обычно поставляется с OpenVPN или доступна для скачивания с GitHub проекта EasyRSA.

Для инициализации среды откройте терминал или командную строку и перейдите в папку EasyRSA.

Команда:

./easyrsa init-pki

Так создаётся структура для хранения ключей и сертификатов.

Для создания корневого сертификата:

./easyrsa build-ca

Затем введите название компании, местоположение и пароль.

Генерация мастер-ключа. Серверный ключ:

./easyrsa gen-req server nopass

Так формируется ключ и файл запроса сертификата.

Подпишите серверный запрос сертификатом центра сертификации (CA):

./easyrsa sign-req server server

Сохраните сгенерированные файлы (ключи и сертификаты) в защищённой директории. Желательно, чтобы доступ к ним имел только администратор системы.

Настройка конфигурации сервера. Откройте файл server.conf. Найдите папку с OpenVPN, на Windows обычно это:

C:\Program Files\OpenVPN\config

И файл server.conf (или .ovpn). Если он отсутствует, создайте, копируя стандартный пример из папки sample-config.

Для работы с этим файлом используйте текстовый редактор Notepad++. Скачать можно на официальном сайте Notepad++.

Задайте настройки:

  • Порт подключения. В строке port укажите, какой порт использовать. По умолчанию это 1194. Если он занят, можно выбрать другой, согласовав это с администратором сети.
  • Протокол. Убедитесь, что используется протокол udp, так как он быстрее. Это указано в строке proto udp.
  • Тип шифрования. Настройте шифрование, добавив строку cipher AES-256-CBC (современный стандарт для максимальной безопасности).
  • После внесения изменений сохраните файл (Ctrl+S).
  • Перейдите в приложение OpenVPN и выберите команду «Перезагрузить сервер» для применения новых параметров.

Настройка устройств сотрудников. На оборудовании пользователей (компьютеры или смартфоны) нужно установить приложение OpenVPN, для:

Подготовьте файл client.ovpn для подключения к серверу. Генерируется на сервере во время настройки. Скопируйте его из папки:

C:\Program Files\OpenVPN\config

Передайте файл сотрудникам.

Импортируйте файл:

  • откройте приложение OpenVPN на устройствах; 
  • нажмите «Импортировать» и выберите файл client.ovpn.

Нажмите «Подключиться». Если всё настроено правильно, приложение покажет успешное соединение.

Проверить соответствие адресов IP и VPN-сервера можно на сайте whatismyip.com.

А для теста скорости используйте сервис Speedtest.

Настройка VPN через MikroTik

MikroTik — это популярный производитель маршрутизаторов с поддержкой VPN.

Установка MikroTik на виртуальную машину

Откройте интерфейс управления MikroTik через браузер. Для этого введите IP-адрес устройства (например, 192.168.88.1) в адресной строке.

Войдите в систему, используя логин и пароль.

Создание профиля VPN (IPsec). В интерфейсе MikroTik перейдите в IP IPsec.

В меню выберите вкладку Peers и создайте новую запись (нажмите +).

Выбор алгоритма шифрования. В новом окне заполните настройки:

  • Address: IP-адрес другого офиса (для Site-to-Site) или 0.0.0.0/0 (для Remote Access);
  • Authentication Method: выберите, как аутентифицироваться (например, с использованием предварительно заданного ключа или сертификатов);
  • Secret: если выбран ключ, укажите сложный пароль;
  • Exchange Mode: выберите ike2 для более современной и быстрой настройки.

Сохраните изменения.

Настройка алгоритмов шифрования. Перейдите во вкладку Proposals.

Добавьте новый профиль (нажмите +) и задайте параметры шифрования:

  • Enc. Algorithm: AES-256,
  • Hash Algorithm: SHA256,
  • DH Group: modp2048.

VPN-соединение. Для соединения офисов (Site-to-Site) создайте профиль на обоих маршрутизаторах, где в Address указывайте IP-адрес второго офиса.

Для удалённых сотрудников (Remote Access) установите адрес 0.0.0.0/0 в разделе Peers и активируйте сервер PPP (Point-to-Point Protocol).

Для настройки перейдите в раздел PPP. Создайте новый профиль (+) для VPN, задав имя, диапазон IP-адресов и алгоритмы шифрования.

Если соединение установлено ― в разделе IPsec Installed SAs должен появиться активный туннель.

Подключение сотрудников. Создайте учётные данные, добавив в разделе PPP Secrets нового пользователя:

  • Name: имя сотрудника,
  • Password: пароль,
  • Service: выберите l2tp или pptp (в зависимости от настроек).

На Windows, macOS настройка оборудования производится через стандартные VPN-клиенты.

Для Windows откройте «Сетевые подключения» Новый VPN. 

Введите адрес MikroTik, логин и пароль.

Для проверки подключения зайдите на сайт whatismyip.com с устройства сотрудника. Адрес должен совпадать с адресом офиса.

Установка завершена.

Читайте в блоге:

Что будем искать? Например,VPS-сервер

Мы в социальных сетях