По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Привет мир! Вы наверняка слышали аббревиатуру - VPN, и возможно даже пользовались этим. А знаете ли что это вообще такое и как это работает? Ну да, как то так... Но лучше - давайте разбираться!
Видеопособие
VPN расшифровывается как Virtual Private Network, или по русски Виртуальная частная сеть. В названии отражена суть этой технологии - она позволяет установить виртуальное соединение, которое называют туннелем, между вашим устройством, или даже целой сетью и другим удаленным устройством, или же - другой удаленной сетью.
Что значит виртуальное? Это значит что несмотря на то, что ваши данные будут также передаваться в публичную сеть, как правило Интернет, между вами и второй стороной будет образован защищенный виртуальный туннель, и вы окажетесь в одной сети, даже несмотря на то, что вас могут разделять тысячи километров.
VPN часто спасает, например, в случае удаленной работы, когда сотрудник, находясь вне офиса может подключаться к необходимым ресурсам в офисной сети, как если бы он находился там и сидел бы за своим рабочим местом. Или когда необходимо объединить сети, которые территориально располагаются в разных городах в одну большую сеть с единым адресным пространством!
Типы VPN
Глобально, не обращая внимания на различные протоколы, можно обозначить два типа VPN соединения: Site-to-Site и Remote Access.
Соединение Site-to-Site - это когда с пограничного маршрутизатора или межсетевого экрана, которые называют VPN шлюзом, строится туннель до такого же оборудования, стоящего в другом месте. Таким образом, сотрудники в сети, находящейся за одним VPN-шлюзом получают доступ к ресурсам, находящимся в сети за другим шлюзом через тот самый туннель и в этом случае по туннелю гоняет трафик всех и всего, что находится в этих сетях.
Remote Access, в свою очередь, это построение туннеля только с вашего индивидуального устройства, компьютера, ноутбука, айфона, планшета, например, до определенного VPN-сервера, и как раз такой способ чаще всего и используется для обхода блокировок и каких-нибудь темных дел. Ведь при таком подключении - реальный IP-адрес Вашего устройства будет изменен, а вместо него Вы получите адрес от VPN-сервера. И если Вы находясь где нибудь под Смоленском построите туннель с сервером, который живет на Сейшелах, то в Интернете Ваша геолокация молниеносно изменится. Именно поэтому так сложно определить реальное местоположение из которого осуществлялась кибератака. Злоумышленники никогда не светят свой реальный IP, чтобы к ним раньше времени не пришли из правоохранительных органов. Но не обольщайтесь - сегодня способов определения даже "заVPNненного" девайса более чем достаточно.
Отличаются эти два типа тем, что для Remote Access VPN требуется клиент или расширение для веб-браузера, чтобы можно было на чем-то приземлить туннель, а в случае site-to-site, всё происходит на уровне маршрутизации и все компьютеры, телефоны и прочая инфраструктура могут слать трафик в туннель без всяких дополнительных ухищрений.
Как VPN защищает подключение?
Защита заключается в том, что вся передаваемая информация по VPN туннелю шифруется тем или иным алгоритмом шифрования, и за счет этого, злоумышленники или другие неавторизованные личности не могут получить доступ к информации для ее прочтения или модификации.
Существует множество алгоритмов шифрования, но все они делятся на симметричные и асиметричные. Симметричное шифрование использует один и тот же ключ и для зашифровывания, и для расшифровывания. Пример такого алгоритма - AES (Advanced Encryption Standard).
Асимметричное шифрование использует два разных ключа: один для зашифровывания, который также называется открытым, другой для расшифровывания - он называется закрытым. Пример такого алгоритма шифрования - RSA.
Кстати, оба типа алгоритмов могут быть криптостойкими, то есть устойчивыми ко взлому и некриптостойкими. Как пример некриптостойкого алгоритма можно привести DES (Data Encryption Standard), длина ключа которого составляет всего 56 бит, за счет этого сегодня его можно взломать с использованием ну оооочень простых современных компьютеров. И противоположный ему - AES256, у которого длина ключа составляет, как можно догадаться, 256 бит. Перебор всех возможных комбинаций для такой длинны ключа занимает астрономически долгое время, поэтому AES не взломан и по сей день.
Как VPN помогает обходить блокировки?
Что если нужно добавить партнера по бизнесу из другой страны в LinkedIn, но он заблокирован у Вас? Тут поможет VPN, который создает защищенное соединение с VPN сервером, который может находится в другой стране, в которой доступ до нужного ресурса не ограничен, а затем оттуда к самому ресурсу. Погодите, а тогда в чем отличие VPN от прокси?
В зависимости от выполняемой задачи, существует много прокси-серверов, но в контексте этой статьи, прокси сервер - это посредник между пользователем и целевым ресурсом, который может быть заблокирован. Этот сервер тоже может находиться на другом континенте и соответственно иметь доступ туда, куда не имеем мы.
В случае с прокси - Вы просто указываете в своём браузере или другом клиенте адрес прокси сервера, порой с логином и паролем.
При этом виртуальный шифрованный туннель, как в случае с VPN, между Вами не строится, прокси сервер просто передаёт запросы от вас к другим ресурсам и пересылает ответы от них вам.
Помните, что при подключении к любому ВПН или прокси серверу, его администратор может увидеть к каким сайтам вы пробуете получить доступ и какую информацию передаете даже несмотря на то, что она может быть зашифрована.
Поэтому - просто будьте осторожны. Не подключайтесь к серверам и сервисам, которым не доверяете и не используйте VPN и прокси для противозаконных действий, ведь эти технологии разрабатывались совсем не для этого.
Итак, чтобы корректно настроить QoS (Quality of Service), нам необходимо предварительно произвести небольшие расчеты. Предположим, в нашем офисе находятся 30 телефонных аппаратов, работающих по протоколу SIP под управление IP – АТС Asterisk. Мы предполагаем, что для одного телефонного разговора нужно 100 кбит полосы (с оверхедами). Тем самым, для 30 аппаратов нам потребуется полоса в 3 мбит (up/down). Все наша VoIP – инфраструктура живет в отдельном VLAN`e с подсетью 192.168.3.0/24. Приступаем к настройке.
Всегда рекомендует выносить VoIP инфраструктуру (PBX, телефоны, шлюзы) в отдельную подсеть. Это позволит проще сегментировать трафик обычной сети передачи данных и чувствительный к задержкам VoIP.
Настройка на Mikrotik | Маркировка пакетов
Настройки будем производить через утилиту управления Winbox. Открываем вкладку IP → Firewall и выбираем вкладку Mangle. Нажимаем на синий значок «+»:
Отлично. Далее мы создаем маркировку для соединения, приходящих из подсети 192.168.3.0/24 и отправленных внутрь этой подсети. Начнем с первой задачи. Указываем:
Chain - выбираем здесь prerouting;
Src. Address - указываем нашу подсеть;
Если ваши телефоны и IP – АТС Asterisk «живут» в той же подсети, что и рабочие станции (ПК), то укажите в качестве источника и назначения в маркировках IP – адрес Asterisk
Прыгаем на вкладку Action и указываем следующие параметры:
Action - мы делаем маркировку, поэтому выбираем mark connection;
New Connection Mark - маркируем как VoIP;
Passthrough - отмечаем галочкой;
Сохраняем изменения и нажимаем «ОК». Теперь нам необходимо сделать тоже самое, только на первом этапе, подсеть 192.168.3.0/24 мы укажем не в параметре Src. Address, а в Dst. Address. Все прочие опции делаем идентично проделанным шагам. В итоге у вас должно получиться вот так:
И добавляем финальный штрих к нашей конструкции – промаркируем пакеты, которые попадают под ранее созданные правила маркировки коннекций (соединений). Нажимаем на «+» и во вкладке General:
Chain - указываем prerouting;
Connection Mark - выбираем VoIP;
А во вкладке Action:
Action - делаем mark packet;
New Packet Mark - выбираем VoIP;
Passthrough - снимаем галочку с чекбокса;
Нажимаем «ОК» и сохраняем. Итого у нас получается:
Приоритеты и выделение полосы пропускания
На текущем этапе мы достаточно точно можем отделить VoIP – трафик от любого другого. Поэтому, создадим очередь обслуживания. Для этого, переходим в раздел Queues и нажимаем «+»:
Работаем со следующими параметрами:
Name - даем имя очереди - VoIP queue;
Target - укажите 0.0.0.0/0. Мы парсим данные на Mikrotik по маркированным пакета;
Max Limit - снимаем галочку с чекбокса;
Target Upload - 3M, как и говорили в начале статье;
Target Download - 3M, как и говорили в начале статье :);
Двигаем во вкладку Advanced:
Marks - выбираем из выпадающего списка VoIP;
Priority - выбираем для UP/DOWN 1 приоритет;
Теперь необходимо сделать очередь для остального трафика:
Name - даем имя очереди - Other traffic;
Target - указываем сеть, в которой живут наши рабочие станции (ПК) - в нашем случае 192.168.2.0/24;
Max Limit
Target Upload - 30M в нашем случае;
Target Download - 30M;
Прыгаем на вкладку Advanced:
Marks - выбираем no-mark, так как нас интересуют пакеты без маркировки;
Priority - выбираем 8 приоритет;
Тестирование
Проверяем. В очереди, переходим во вкладку Traffic в настройках VoIP очереди, делаем звонок и видим его график:
Эту статью нам прислал один из наших читателей – речь пойдет о настройке SIP – транка в от IP – АТС Asterisk к провайдеру Ростелеком. Инструкция подойдет для связки с в рамках услуги «Новая телефония».
Настройка
Подключаемся к консоли сервера по SSH и в файле /etc/asterisk/sip.conf указываем следующие параметры:
register => (логин:пароль@имя домена/логин)
[rtk]
dtmfmode = rfc2833
type = friend
trunkname = rtk
disallow = all
allow = alaw:20
allow = ulaw:20
host = имя домена
nat = force_rport,comedia
insecure = invite,port (данный параметр необходим для входящих вызовов)
defaultuser =логин
fromuser =логин
username =логин
secret =пароль
fromdomain=имя домена
canreinvite=no
context = контекст в extensions.conf
qualify = 300
registersip=yes
В более старших версиях параметр nat нужно указывать следующим образом:
nat=no или nat=yes