درس دویست و دهم: پیاده سازی S2S VPN

پیاده سازی S2S VPN

پیش نیازها

S2S VPN برای اتصال دو site فیزیکی شبکه از طریق بستر اینترنت بکار میرود. در هر سایت یک روتر ( کامپیوتری از نوع Windows Server 2016 که Routing and remote Access Role و Direct Access and VPN Role Service روی آن نصب است) باید قرار داشته باشد. مانند شکل ذیل:

210-1 s2s vpn

پس از پیاده سازی S2S VPN یکی از روترها تقاضای برقراری ارتباط میکند. این روتر را اصطلاحا VPN Client می نامند. به روتر سایت مقصد که به درخواست فوق پاسخ میدهد نیز اصطلاحا VPN Server گفته میشود. اتصال میتواند یکطرفه یا دو طرفه باشد.

اتصال یکطرفه: همواره فقط یکی از دو روتر ( مثلا VPN Gateway 1 ) میتواند درخواست برقراری اتصال را بدهد.

اتصال دو طرفه: هر کدام ار دو روتر بنا به نیازش میتواند درخواست برقراری ارتباط را بدهد.

بهرحال آن روتری که درخواست برقراری ارتباط را میدهد VPN Client در آن اتصال خواهد بود و شروع کننده اتصال شناخته میشود.  چون این ارتباط دارای یک شروع کننده است ( حال چه یکطرفه و چه دو طرفه) پس ارتباطی از نوع demand-dial میباشد. اینترفیس مربوط به روتر شروع کننده را demand-dial interface می نامند.

هر دو روتر ( VPN Server ) باید در اتصال بین خود از پروتکل و نحوه احراز هویت یکسانی استفاده کنند.

در پیاده سازی S2S VPN باید موارد ذیل مشخص باشد:

1- یک نام برای demand-dial interface

2- اتصال یکطرفه باشد یا دو طرفه؟

3- User Account جهت عملیات احراز هویت:  نکته مهم اینست که روی هر روتر باید یک user account تعریف کنیم که مشابه نام demand-dial interface روتر سایت مقابل باشد. شکل ذیل را ملاحظه کنید:

210-2 user account in S2S VPN Connection

در شکل فوق VPN Server موجود در سایت سمت راست ( Site B ) درخواست برقراری اتصال را ارائه میکند. روی این روتر یک user account وجود دارد به نام SiteB_Router  و به همین دلیل روی روتر مقابل  demand-dial interface نامی مشابه با آن یعنی SiteB_Router دارد. پس بطور خلاصه میتوان گفت که هر روتر دارای demand-dial interface است که نامی دقیقا شبیه نام user account روتر سایت مقابل دارد ( و بالعکس) :

Site A VPN Server

User Account: SiteA_Router

Demand Dial Interface Name: SiteB-Router

و همچنین

Site B VPN Server

User Account: SiteB_Router

Demand Dial Interface Name: SiteA-Router

در واقع نوعی تناظر ضربدری بین نامهای user Account ها و demand-dial interface های دو روتر باید برقرار باشد.

4- ترافیک مجاز جهت عبور از تونل: بعنوان مثال شاید قصد داشته باشید که فقط عبور ترافیک پروتکل HTTS را از طریق این تونل مجاز بشمارید.

5- زمان مجاز برای برقراری اتصال: باید توسط خصوصیت dial-Out Hours مشخص شود که در چه ساعاتی از شبانه روز برقراری اتصال روی demand-dial interface مجاز میباشد.

6- دائمی ( Persistent ) یا غیر دائمی ( Non-Persistent ) بودن اتصال: اگر اتصال از نوع Persistent تعریف شود چنانچه مدتی بلااستفاده بماند نیز Disconnect نخواهد شد و اگر حتی به دلیل دیگری نیز قطع شود بصورت خودکار مجددا برقرار خواهد شد. اما اگر غیر دائمی باشد پس از مدتی که مورد استفاده نباشد بصورت خودکار Disconnect خواهد شد.

معرفی سناریو

در این سناریو چهار کامپیوتر وجود دارد:

1- کامپیوتر DC.ITPerfection.local که DC و DNS Server و DHCP Server شبکه است. این کامپیوتر در سایت A مستقر است و یک NIC دارد با تنظیمات ذیل:

IP address: 192.168.0.10

Subnet Mask: 255.255.255.0

Default Gateway: 192.168.0.6

DNS Server: 127.0.0.1

2- کامپیوتری به نام Vserver002.ITPerfection.local که نقش روتر سایت A را دارد. این کامپیوتر دارای دو NIC است. یکی بنام Internal با تنظیمات ذیل جهت اتصال به سایت A

IP address: 192.168.0.6

Subnet Mask: 255.255.255.0

DNS Server: 192.168.0.10

و دیگری به نام S2S با تنظیمات ذیل جهت اتصال به روتر سایت B

IP address: 172.16.20.1

Subnet Mask: 255.255.255.0

در سایت B نیز یک کامپیوتر وجود دارد که باید تنظیمات IP را پس از اتصال به سایت A از DHCP Server شبکه دریافت کند. DHCP Server در سایت A قرار دارد.

و کامپیوتری نیز به نام VServer003 که نقش روتر را دارد و به روتر سایت مقابل متصل است. این روتر نیز دارای دو NIC است. یکی با نام internal جهت اتصال به سایت B با تنظیمات ذیل:

IP address: 192.168.1.8

Subnet Mask: 255.255.255.0

DNS Server: 192.168.0.10

و دیگری به نام S2S جهت اتصال به روتر سایت A و با تنظیمات ذیل:

IP address: 172.16.20.2

Subnet Mask: 255.255.255.0

اکنون در روتر سایت A یک user account تعریف میکنیم به نام SiteA_Router و همچنین در روتر سایت B نیز یک User Account تعریف میکنیم به نام SiteB_Router . واضح است که اکانتهای فوق از نوع Local Users هستند.

اگر قصد استفاده از DHCP  را داشته باشیم باید برای اسکوپ سایت A آدرس Internal NIC کامپیوتر روتر یعنی 192.168.0.6 را بعنوان Default Router تعریف کنیم. همچنین برای اسکوپ سایت B نیز باید آدرس Internal NIC روتر سایت فوق یعنی 192.168.1.8 را وارد کنیم.

ایجاد S2S VPN Connection

به کامپیوتر VServer002.ITperfection.local که همان روتر سایت A میباشد، لاگین کرده و مراحل ذیل را انجام میدهیم:

1- نصب Routing and Remote access Role و Direct Access and VPN (RAS) Role Service

2- اجرای کنسول Routing and Remote Access و کلیک راست روی نام کامپیوتر و انتخاب گزینه Configure and Enable Routing and Remote Access

3- انتخاب گزینه Secure connection between two private networks در صفحه Configuration

210-3 configuration page

4- در صفحه Demand-Dial Connection پرسیده میشود که آیا قصد استفاده از اتصال Demand-Dial برای دسترسی به شبکه راه دور را داریم؟ پاسخ ما مثبت ( yes ) میباشد.

210-4 demand-dial connection page

5- در صفحه IP Address Assignment نیز باید یکی از دو گزینه موجود را انتخاب کنیم که در مورد این صفحه و گزینه هایش در درس پیاده سازی Remote Access VPN توضیح کافی داده شده است. ما در این صفحه دکمه رادیویی نخست یعنی Automatically را انتخاب میکنیم تا کامپیوترهای هر دو سایت تنظیمات IP را از DHCP Server شبکه دریافت کنند.

6- در صفحه پایانی ویزارد روی دکمه finish کلیک میکنیم.

7- بلافاصله ویزارد demand-dial interface ظاهر میشود. در صفحه نخستش روی دکمه next کلیک میکنیم.

8- صفحه Interface Name یک نام برای demand-dial interface وارد میکنیم. به یاد داشته باشید که باید نامی مشابه user account ایجاد شده روی روتر سایت B یعنی SiteB_Router تعریف کنیم.

210-5 interface Name Page

9- در صفحه Connection Type نیز دکمه رادیویی connect using virtual private network(VPN) را انتخاب میکنیم.

10- در صفحه VPN Type نیز یکی از پروتکل های موجود را انتخاب میکنیم. روی روتر مقابل نیز باید دقیقا همین پروتکل انتخاب شود. انتخاب ما در این سناریو، پروتکل PPTP است.

210-6 VPN Type

11- در صفحه Destination Address نیز آدرس روتر سایت B یعنی 172.16.20.2 را وارد میکنیم.

12- در صفحه Protocols and Security نیز بهتر است دو چکباکس نخست را تیک بزنیم. انتخاب چکباکس دوم اختیاری است ولی باعث ایجاد اتصال دوطرفه میشود.

210-7 protocols and security page

13- در صفحه Static routes for remote networks میتوان یک مسیریابی استاتیک به سایت مقصد انجام داد. ما روی دکمه next کلیک میکنیم. با کلیک روی دکمه مسیر استاتیک را تعریف کرده و پس از پایان کار روی دکمه OK و سپس next کلیک میکنیم. شبکه مقصد هست 192.168.1.0

14- صفحه Dial-in Credentials ظاهر میشود. در این صفحه باید دو بار پسورد مربوط به user account روتر مقابل را وارد کرده و روی دکمه next کلیک کنیم.

210-8 dial-in credential page

15- سپس صفحه Dial-Out credentials ظاهر میشود. در این صفحه باید مشخصات مربوط به user account همین روتر یعنی روتر سایت A را تعریف کنیم.

210-9 dial-out credential page

16- در صفحه بعد روی دکمه finish کلیک میکنیم.

اکنون همین پیکربندی را روی روتر سایت مقابل یعنی VServer003 نیز انجام میدهیم.

توجه کنید که شاید بسته به پیاده سازی های مختلف نیاز به استفاده از DHCP Relay Agent باشد.

 

نحوه استفاده از S2S VPN

در هر کدام از دو روتر ( در پیاده سازی های دو طرفه) در کنسول Routing and Remote Access روی گزینه Network Interfaces کلیک کنید. لیست اینترفیس ها ظاهر میشود. شکل ذیل از روی روتر سایت A تهیه شده است.

210-10 connect another site

ملاحظه میکنید Dial-Demand Interface ظاهر شده است بنام SiteB_Router . کافیست روی آن راست کلیک کرده و روی Connect کلیک کنیم.

میتوان در منوی کلیک راست روی گزینه Dial-Out Hours کلیک کرد و مطابق شکل ذیل ساعات مجاز برای اتصال S2S VPN را تعیین کرد. ما در شکل ذیل ساعات هشت صبح تا هشت شب در همه روزهای هفته ( غیر از یکشنبه) را مجاز تعیین کرده ایم.

210-11 dial hours

در ابتدای درس گفته شد که باید تعیین کنیم که آیا اتصال از نوع Persistent باشد یا Non-Persistent . برای این کار روی demand-dial interface راست کلیک کرده، گزینه Properties را انتخاب کرده و در پنجره Properties به تب Options می رویم:

210-12 s2s persistent

ملاحظه میکنید که اتصال S2S بصورت پیشفرض در مد Non-Persistent است و از همین رو میتوان تعیین کرد که پس از چه مدت بیکار بودن ( idle time ) اتصال، عمل Disconnect رخ دهد. واضح است که با انتخاب دکمه رادیویی Persistent connection میتوان این اتصال را دائمی کرد.

نیز میتوان در تب security نوع VPN را در صورت نیاز تغییر داد.

210-13 s2s persistent-security

ملاحظه میکنید که در کادر Type of VPN میتوان این تغییر را انجام داد.

مشاهده همه افزودن یک یادداشت
شما
دیدگاه خود را وارد کنید
رفتن به نوار ابزار