совершенно секретно

РОМАН ЛУКОВНИКОВ (LRB@SANDY.RU)

Спецвыпуск: Хакер, номер #072, стр. 072-010-11

Далее нужно получить сертификат для IPSec из удостоверяющего центра, который есть в списке доверенных центров учетной записи компьютера.

Настройка клиента:

1 МЕНЮ START– CONTROL PANEL– NETWORK CONNECTIONS.

2 ЗАПУСКАЕШЬ МАСТЕР СОЗДАНИЯ ПОДКЛЮЧЕНИЙ, НАЖИМАЯ CREATE A NEW CONNECTIONS.

3 НАЖИМАЕШЬ NEXT...

4 ВЫБИРАЕШЬ CONNECT TO THE NETWORK AT MY WORKPLACE И НАЖИМАЕШЬ NEXT.

5 ВЫБИРАЕШЬ VIRTUAL PRIVATE NETWORK CONNECTION И НАЖИМАЕШЬ NEXT.

6 ДАЛЕЕ ПИШЕШЬ НАЗВАНИЕ ПОДКЛЮЧЕНИЯ, НАПРИМЕР, OFFICE_NET_VPN.

7 УКАЗЫВАЕШЬ, НУЖНО ЛИ ПЕРЕД СОЗДАНИЕМ VPN УСТАНАВЛИВАТЬ DIAL-UP СОЕДИНЕНИЕ. И, ЕСЛИ НУЖНО, ТО КАКОЕ (НАПРИМЕР, ЕСЛИ У СОТРУДНИКА ДОМА НЕ ВЫДЕЛЕННАЯ ЛИНИЯ, А МОДЕМНЫЙ ДОСТУП), НАЖИМАЕШЬ NEXT.

8 УКАЗЫВАЕШЬ IP_G_ВНЕШ, НАЖИМАЕШЬ NEXT И FINISH.

Соединение создано. Теперь нужно указать учетную запись, имеющую право установки входящего соединения через RRAS. В простейшем случае дать такие права можно, кликнув в оснастке Local Users and Computers (если домен Active Directory Users and Computers) учетную запись пользователя и выбрав на закладке Dial-in опцию Allow Access.

Вводишь учетную запись и пароль, нажимаешь на Connect. Если все прошло удачно, в правом нижнем углу рядом с часами появится значок нового подключения. Щелкнув по нему два раза и перейдя на закладку Details, можно проконтролировать параметры соединения.

Лишний шлюз

Чтобы не добавлять в таблицу маршрутизации на компьютере, получающем удаленный доступ, лишний шлюз по умолчанию, нужно произвести следующие манипуляции: правый клик на значке подключения, на закладке Networking выбрать Internet Protocol (TCP/IP), далее Properties, далее Advanced и убрать опцию Use Default Gateway on Remote Network.

[настройка NetGear ProSafe FVS114.]

IPSec — это промышленный стандарт. Значит, реализации этого стандарта разными производителями должны успешно взаимодействовать между собой. Проверим это, «подружив» для начала Windows 2000 Server и маршрутизатор с поддержкой VPN – ProSafe VPN Firewall FVS114 от Netgear.

Свяжем их с помощью IPSec в режиме туннеля и аутентификацией с помощью предопределенного ключа.

Настраиваешь Windows 2000 server точно так же, как ранее, не задумываясь, что с другой стороны IPSec-туннеля. То есть сначала создаешь политику IPSec с двумя правилами для каждого из направлений трафика, назначаешь эту политику и затем либо добавляешь статический маршрут и производишь правку реестра, либо через RRAS настраиваешь роутинг до сети «Б».

Настраивается через web-интерфейс. По умолчанию ip-адрес локального интерфейса — 192.168.0.1, учетная запись для администрирования — admin с паролем password (первым делом пароль по умолчанию необходимо поменять).

1 МЕНЮ START–> RUN И ПИШЕШЬ HTTP://192.168.0.1/BASICSETTING.HTM (ЧТОБЫ ЗАЙТИ НА ЭТОТ ИНТЕРФЕЙС, ТЫ ДОЛЖЕН ПРИНАДЛЕЖАТЬ СЕТИ 192.168.0.0/24).

2 В ОКНЕ BASIC SETTINGS ВВОДИШЬ IP-АДРЕС (IP_FVS_ВНЕШ), МАСКУ, ШЛЮЗ И DNS СЕРВЕРА ДЛЯ ВНЕШНЕГО ИНТЕРФЕЙСА, НАЖИМАЕШЬ НА APPLY.

3 СЛЕВА ВЫБИРАЕШЬ LAN IP SETUP И НАСТРАИВАЕШЬ IP-АДРЕС (IP_FVS_ВНУТ) И МАСКУ НА ЛОКАЛЬНОМ ИНТЕРФЕЙСЕ. ЕСЛИ ИЗМЕНИШЬ ЛОКАЛЬНЫЙ АДРЕС, ТО ДОСТУП К WEB-ИНТЕРФЕЙСУ, ЕСТЕСТВЕННО, ПРОПАДЕТ, И НУЖНО БУДЕТ ИЗМЕНИТЬ URL НА НОВЫЙ (HTTP://IP_FVS_ВНУТ/BASICSETTING.HTM). ПРИ ЭТОМ У ТЕБЯ ДОЛЖЕН БЫТЬ НАСТРОЕН IP-АДРЕС, ВХОДЯЩИЙ В НОВУЮ ЛОГИЧЕСКУЮ СЕТЬ.