Главная > Kerio WinRoute Firewall > Объединяем офисы, Kerio VPN

Объединяем офисы, Kerio VPN

Привет !
Сегодня, я вам расскажу как можно объединить офисные сети между собой через интернет.

В дистрибутив Керио входить встроенный VPN-сервер на базе технологии SSL, он может  функционировать в режимах клиент-сервер и сервер-сервер, обеспечивая защищенное соединение с локальной сетью как для филиалов, так и для мобильных пользователей.

Для начала рассмотрим структуру  соединения Сервер-Сервер

Схема подключения:
Сервер №1 → Роутер (ADSL-модем ) →  Интернет  →  Роутер (ADSL-модем) → Сервер №2

Для начала пробросим порты в ADSL-модемах, в моём случае модемы zyxel 660 htw
Вот ссылка  http://zyxel.kz/content/support/knowledgebase/KB-1461 пример как пробросить порты если кто не знает, в нашем случае порт пробросить нужно TCP/UDP 4090.

На серверах должен стоять Kerio

Настройка главного офиса (сервер №1)

Самым первым делом создаём правила

1) Разрешаю коннект в обоих направлениях для blogdns.com к порту TCP/UDP 4090 (Kerio VPN). blogdns.com это доменное имя сервера №2. ( в место  blogdns.com можете в писать ip адрес если он у вас белый)
О регистрации доменных имён на динамический адрес я расскажу чуть позже в конце статьи.
2) разрешаем любой трафик между данными интерфейсами в обоих направлениях.

212

Создаём туннель

Заходим на вкладку интерфейсы нажимаем добавить vpn туннель, пишем имя,

ставим галочку на против активное подключение к удалённому конечному пользователю.

Вбиваем ip адрес либо доменное имя сервера №2 нажимаем найти удалённый сертификат, сертификат должен быть найден и принят. Далее заново открываем туннель переставляем галочку на только подключения с пассивным доступом ( чтобы к этому серверу коннектились все а не он к ним)

Включаем туннель и сохраняем настройки.

Теперь берёмся за настройку сервера №2

Создаём правила

Правила идентичны правилам которые выше только место blogdns.com пишем ip адрес либо доменное имя сервера №1

Создаём туннель

Всё также ставим галочку на против активное подключение к удалённому конечному пользователю и в таком режиме оставляем.

Вбиваем ip адрес либо доменное имя сервера №1 нажимаем найти удалённый сертификат, сертификат должен быть найден и принят.

Остаётся только нажать кнопку включить туннель и применить.

После всего проделанного можно подкорректировать правило №1 на сервере №1 оставить запись только на вход а на сервере №2 оставить запись только на выход.

Подсети у серверов vpn должны быть разные, как и у локальных сетей.

Не забываем в локальных сетях Hат настроить.

Установки DNS

С обоих сторон туннеля необходимо настроить DNS, чтобы можно было соединяться с узлами удаленной сети, используя DNS имена. Одним из способов является добавить с каждой стороны туннеля записи DNS узлов (host файлу). Хотя, этот метод негибок.

При использовании с обоих концов туннеля в качестве DNS сервера DNS Форвардера, запросы DNS могут пересылаться именам узлов в соответствующем домене DNS форвардера с другого конца туннеля.

Меня в полне устраивает бегать по сетям и по ip адресам.

Соединение клиент сервер

Тут уж совсем легко, стоит ли описывать ?

На сервере №1 к которому вы думаете коннектица пишем правила:

1) Открываем доступ на вход для клиента clients.blogdns.com
2) Разрешаем любой трафик между данными интерфейсами в обоих направлениях.

222

Добавляем пользователя, имя пароль ставим галочку пользователь имеет собственную конфигурацию, на странице с правами ставим галочку пользователь может использовать vpn, можете ещё какие права дать пользователю на ваше усмотрение.

Клиент устанавливает себе клиентскую версию kerio, вбивает ip адрес сервера №1, вводит логин и пароль от kerio да и всё готово.

Если у вас нет белых ip адресов то это не беда на помощь приходит сервис dyndns.com

Можно зарегистрировать доменное имя на ваш динамический ip адрес.

1) Заходим на сайт dyndns.com регистрируем аккаунт
2) Заполняем форму
3) Соглашаемся на создание только одного бесплатного аккаунта
4) Mailing Lists — выбираем нужную вам рассылку
5) Кликаем на Create Account
6) Через несколько минут получаем письмо, подтверждаем регистрацию

Создание доменного имени:

1) Входим в свой личный кабинет
2) Кликаем на My Services
3) Кликаем на Add Hostname
4) Заполняем поля формы для создания нового доменного имени (Hostname — вводим желаемое доменное имя, Wildcard — ассоциируем также со всеми именами нижнего уровня*, Service Type — Host with IP address, IP Address — прописываем текущий IP-адрес хоста или кликаем автомат, TTL — оставляем как есть, т.е. 60 сек, Mail Routing — не включаем)
5) Кликаем на Create Host

Скачиваем и устанавливаем себе на компьютер клиент версию для синхронизации вашего динамического ip адреса с сервисом dyndns , ссылка https://www.dyndns.com/support/clients/

На этом всё всем удачи.

  1. Юрий
    Июль 3, 2009 в 11:28

    Спасибо за статью. Помогли:-)

  2. Dimka
    Январь 17, 2010 в 03:54

    А у меня не получается😦
    Сделал как написано, соединяю Сервер (провайдер Интерсвязь) и Клиент (Через Мобильный интернет (МТС)).
    У меня почему-то Пинг не проходит, протроссировал, вот что получилось.
    Если от Клиента на сервер, то пакеты перестают проходит на 10.100.3.122 (внутренний адрес Интерсвязи, что на этом адресе может находится не знаю)
    Если от сервера к Клиенту, то на 213.87.72.9, при этом адрес Клиента 213.87.76.238.
    Есть идеи как наладить?

  3. срууд
    Июнь 7, 2010 в 21:27

    Большое спасибо!!! Без вашей статьи никак не мог настроить VPN тунель))))

  1. No trackbacks yet.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: