一聽說VPN,可能大多數(shù)人的反應(yīng)是如何去訪問網(wǎng)絡(luò)中花花世界的技術(shù)(只可意會(huì)~),但今天我所說的是在我們實(shí)際企業(yè)組網(wǎng)工作中用到的便于異地化辦公的技術(shù),尤其是跨國公司,或者是銀行,國家電網(wǎng),中石化,中石油,這樣分支機(jī)構(gòu)眾多,經(jīng)常需要把各地的內(nèi)網(wǎng)聯(lián)通起來進(jìn)行協(xié)同辦公,例如像視頻會(huì)議,語音電話,內(nèi)部郵件,OA辦公系統(tǒng)等等都需要底層網(wǎng)絡(luò)互通才可實(shí)現(xiàn),那么把這樣的若干個(gè)異地化的私網(wǎng),通過運(yùn)營商(電信、聯(lián)通、移動(dòng)……)聯(lián)通起來,依然保持利用私網(wǎng)地址進(jìn)行通信,這樣的技術(shù)即稱為VPN技術(shù),像經(jīng)常聽到的IPsec VPN 只是其中之一。
先上一張圖:
某公司的北京總部有一臺(tái)服務(wù)器,地址為192.168.3.2 /24,因業(yè)務(wù)需求,該服務(wù)器同樣給天津公司提供服務(wù)(假設(shè)北京公司出口路由器擁有公網(wǎng)IP10.1.1.2;天津分公司擁有公網(wǎng)IP20.1.1.2),但出于安全考慮,要求天津分公司只能以192.168.3.2這個(gè)地址來訪問,而不是用諸如NAT技術(shù)將服務(wù)器發(fā)布到公網(wǎng)。眾所周知,由于運(yùn)營商并不會(huì)有私網(wǎng)地址的路由,所以上圖要求無法實(shí)現(xiàn)。別急,接著往下看:
假如北京和天津的兩個(gè)公司出口路由器之間能接上一根網(wǎng)線就完美了!就好像兩個(gè)公司的私有網(wǎng)絡(luò)連在一起一樣,可是這也不太現(xiàn)實(shí)啊,北就和天津這么遠(yuǎn),怎么可能有這樣的網(wǎng)線存在?!!!不過各位看官也不要灰心,辦法總比困難多,我們試著能不能用技術(shù)方法來解決這個(gè)問題,既然真正的拉一條線不現(xiàn)實(shí),那就虛擬一條這樣的線路出來,感覺真的把兩個(gè)私有網(wǎng)絡(luò)連接一起一樣,而這個(gè)技術(shù)就是VPN(Virtual Private Network)!即虛擬私有網(wǎng)絡(luò)。
而這個(gè)技術(shù)和核心就是在于如構(gòu)建這線路,這條線路被形象地稱為隧道(Tunnel)技術(shù),就像在錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)中打了一條隧道一樣,把兩個(gè)公司連接在一起,隧道的出口,就是兩個(gè)公司出口路由器的公網(wǎng)IP地址(因?yàn)閮蛇叾际枪W(wǎng)IP,所以它們是互相可達(dá)的,這是構(gòu)建隧道的前提)。經(jīng)過以上分析我們可以得出,隧道就是好比是一條直連的網(wǎng)線,把路由器連接了起來,所以路由器上還要有兩個(gè)虛擬的接口(tunnel接口),然后再在這兩個(gè)虛擬接口上配置同網(wǎng)段的IP地址
北京公司:
啟用隧道接口并設(shè)置隧道的源和目的
天津公司:
兩地公司其它的接口按照正常配置即可,下面測試一下,隧道接口能不能通
從測試得知,隧道已經(jīng)可以通信了。我們接下來看看兩地的私網(wǎng)地址能不能通?
由此可見,天津的PC還是ping不通北京的服務(wù)器,我們分析一下,看看路由器上的路由表情況:
通過分析路由表我們得知,出口路由器上并沒有去往北京的路由,只有一條去公網(wǎng)的默認(rèn),也就是說,隧道雖然已經(jīng)打通,具備了通車條件,但是路由器并不知道去往北京的話要走隧道,同理我們也可以得出,北京的路由器也不知道去天津的話要走隧道,怎么辦?當(dāng)然是添加相應(yīng)路由了!
北京也一樣:
告訴路由器去往對(duì)端的私網(wǎng)地址,走隧道接口就行了!接下來我們再測試一下:
可見,天津PC已經(jīng)能夠訪問北京的服務(wù)器了,以上即為VPN的雛形,因?yàn)槲覀冎罃?shù)據(jù)物理上依然還是走的公網(wǎng),我們耳熟能詳?shù)腎Psec VPN,其中一中形式就是基于以上的隧道,對(duì)數(shù)據(jù)進(jìn)行加密保護(hù)的一種VPN。而我們通常把這種通過兩邊的路由器建立隧道然后實(shí)現(xiàn)兩個(gè)私網(wǎng)網(wǎng)段互通的VPN的形態(tài)稱為端到端(site-to-site)VPN。
現(xiàn)在一句話總結(jié)VPN實(shí)現(xiàn)過程,即是打隧道,做路由的過程!
接下來,我們看一下另外一種VPN形態(tài),就是比如說出差員工用的筆記本電腦,想在酒店接到北京公司內(nèi)部的服務(wù)器上,我們就不可能在酒店路由器上再去配置VPN了,還有出差員工地點(diǎn)也不固定,而不變的是筆記本電腦,我們可不可以用筆記本電腦和北京的路由器建立隧道呢?答案當(dāng)然是肯定的,這種形態(tài)我們稱為遠(yuǎn)程接入(Remote Access)VPN,下面,我們就以一個(gè)最簡單的PPTPVPN加以說明:
首先建立VPN的條件依然是筆記本可以ping通北京公司的公網(wǎng)IP
建立隧道的方式如上圖所示
筆記本電腦已經(jīng)能夠ping通北京公司的公網(wǎng)IP地址(實(shí)驗(yàn)?zāi)M可以在原來的天津公司的路由器上開啟NAT,把隧道接口刪除掉)。
接下來我們在北京公司路由器上開啟PPTP VPN的服務(wù),使得筆記本可以連接過來:
首先,建立一個(gè)地址池,這個(gè)地址池用來給筆記本隧道接口下發(fā)地址,值得注意的是,PPTPVPN在建立的時(shí)候,遠(yuǎn)端隧道接口的地址必須和需要訪問的服務(wù)器在同一網(wǎng)段,不然無法訪問。
定義一個(gè)虛擬撥號(hào)模塊,該模塊借用物理接口的IP地址,指定對(duì)端IP地址獲得方式為從本地地址池獲得,定義認(rèn)證類型 pap chap ms-chap,然后開啟遠(yuǎn)端撥入功能,撥入?yún)f(xié)議為pptp,并與虛擬模塊1相關(guān)聯(lián)。
最終定義一個(gè)用于遠(yuǎn)端撥入的用戶名和密碼。
接下來,我們看筆記本上的配置,由于PPTP是Windows默認(rèn)就支持的功能,所以并不虛擬安裝任何軟件:
右鍵選擇網(wǎng)上鄰居,點(diǎn)擊屬性。
點(diǎn)擊創(chuàng)建一個(gè)新的連接,按提示點(diǎn)下一步
選擇連接到我的工作場所的網(wǎng)絡(luò),點(diǎn)擊下一步
連接方式為虛擬專用網(wǎng)絡(luò)連接,然后點(diǎn)擊下一步
公司名稱隨意定義自己認(rèn)識(shí)就好,點(diǎn)擊下一步
IP 地址為北京公司公網(wǎng)IP地址,然后點(diǎn)擊一下步
為了后期使用方便,可以勾選在桌面上添加快捷方式,然后點(diǎn)完成。
注意,輸入完用戶名和密碼后先不要著急連接,不然后會(huì)報(bào)錯(cuò)連接不上,這是由于XP系統(tǒng)支持的加密方式版本問題,先點(diǎn)屬性做一下修改
在安全選項(xiàng)卡點(diǎn)高級(jí)選項(xiàng),然后點(diǎn)設(shè)置
數(shù)據(jù)加密選擇可選加密即可。
此外,還要做一下隧道分離,如果不做,當(dāng)筆記本連接到VPN后,將不能上網(wǎng),因?yàn)樗袛?shù)據(jù)都走了隧道,隧道分離方式如下:
在網(wǎng)絡(luò)選項(xiàng)卡點(diǎn)TCP/IP協(xié)議屬性,然后點(diǎn)高級(jí):
把"在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)"前而的鉤去掉即可
連接成功后我們發(fā)現(xiàn),電腦上多了一塊虛擬網(wǎng)卡
該網(wǎng)卡已經(jīng)按照我們的設(shè)置獲取到了正確地址。
至此,VPN連接成功,出差員工的筆記本電腦已經(jīng)能夠訪問公司內(nèi)部的服務(wù)器了!
新盟教育-胡巴老師
原文來自公眾號(hào)“思科CCIE訓(xùn)練營”定期分享技術(shù)干貨
歡迎點(diǎn)擊“了解更多”獲取更多學(xué)習(xí)資料
VPN代表虛擬私人網(wǎng)絡(luò)(Virtual Private Network)。它是一種通過公共網(wǎng)絡(luò)(例如互聯(lián)網(wǎng))在遠(yuǎn)程地點(diǎn)之間創(chuàng)建安全連接的技術(shù)。使用VPN可以在您的設(shè)備和目標(biāo)服務(wù)器之間建立加密通道,確保您的在線活動(dòng)和數(shù)據(jù)傳輸?shù)玫奖Wo(hù)和隱私保密。
VPN的工作原理是通過在您的設(shè)備和VPN服務(wù)器之間建立加密的隧道來保護(hù)數(shù)據(jù)的安全性。當(dāng)您連接到VPN時(shí),您的數(shù)據(jù)流量將被加密,這意味著任何試圖截取或監(jiān)視您的數(shù)據(jù)的第三方都無法讀取其內(nèi)容。
此外,VPN還可以隱藏您的真實(shí)IP地址,并使您的網(wǎng)絡(luò)活動(dòng)似乎來自VPN服務(wù)器所在的位置。這種匿名性可以幫助您繞過地理限制和訪問受限制的內(nèi)容,同時(shí)增強(qiáng)您的在線隱私和安全性。
1.在公共無線網(wǎng)絡(luò)上:當(dāng)您連接到公共Wi-Fi時(shí),您的數(shù)據(jù)可能會(huì)被黑客和其他惡意用戶竊取。使用VPN可以保護(hù)您的數(shù)據(jù)不被竊取或監(jiān)控。
2.訪問受限制的內(nèi)容:某些網(wǎng)站、服務(wù)和應(yīng)用程序可能因地理位置限制、政策限制或其他原因而無法訪問。使用VPN可以繞過這些限制,讓您訪問受限制的內(nèi)容。
3.保護(hù)隱私:當(dāng)您瀏覽網(wǎng)頁、發(fā)送電子郵件或使用其他在線服務(wù)時(shí),您的網(wǎng)絡(luò)運(yùn)營商、廣告商和其他第三方可能會(huì)收集并跟蹤您的在線活動(dòng)。使用VPN可以幫助您保護(hù)在線隱私。
4.在公司遠(yuǎn)程工作:當(dāng)您遠(yuǎn)程連接到公司服務(wù)器時(shí),使用VPN可以保護(hù)數(shù)據(jù)的安全性并幫助公司保護(hù)其網(wǎng)絡(luò)免受惡意攻擊。
總之,當(dāng)您需要在公共網(wǎng)絡(luò)上瀏覽、訪問受限制的內(nèi)容、保護(hù)隱私、遠(yuǎn)程工作或分享文件時(shí),使用VPN可以幫助您保護(hù)您的數(shù)據(jù)和在線隱私,并提高在線安全性。
在中國,政府限制訪問一些境外網(wǎng)站,而使用VPN繞過這些限制被視為觸犯了相關(guān)法律規(guī)定是會(huì)受到警告與處罰的。但是,在其他國家或地區(qū),使用VPN可能完全合法。因此,是否違法取決于當(dāng)?shù)氐姆煞ㄒ?guī)。
首先在中國使用vpn就是不合法的。其次還有數(shù)據(jù)泄露風(fēng)險(xiǎn):使用不受信任或不安全的VPN服務(wù)可能會(huì)導(dǎo)致個(gè)人數(shù)據(jù)泄露,因?yàn)閂PN提供商可以訪問被傳輸?shù)臄?shù)據(jù)甚至對(duì)其進(jìn)行監(jiān)控或竊取。安全漏洞:安全性差的VPN連接可能會(huì)存在漏洞,黑客可以利用這些漏洞入侵用戶計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)。
遵守法律法規(guī),別抱有僥幸心理,你的每次使用vpn都是有痕跡的。以前現(xiàn)在沒事不代表以后沒事。
、windows客戶端連接VPN,報(bào)錯(cuò)如下:
二、解決辦法:
1、windows+r 打開運(yùn)行,輸入 services.msc,查找 ipsec policy agent,啟用服務(wù)
2、修改注冊表,輸入命令regedit
路徑HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters 添加QWORD值(64位)值,名稱 ProhibitIpSec,值為 1 由于缺省的 Windows XP L2TP 傳輸策略不允許不使用 IPSec 加密的 L2TP 傳輸,修改 AllowL2TPWeakCrypto 的值為 1 注意:QWORD64位,根據(jù)當(dāng)前系統(tǒng)進(jìn)行選擇, 如果32位,就是DWORD
3、VPN連接屬性修改
4、重啟動(dòng)機(jī)器