Меню

Настройки доступа к интернету клиент сервер



Как настроить общий доступ к подключению Интернета в Windows

Еще с 90ых годов, в операционных системах Windows присутствует возможность предоставления доступа к интернету другим компьютерам. Называется данное решение «Возможность совместного подключения к Интернету» (англ. Internet Connection Sharing или ICS), и было введено в Windows 98 SE. В данной статье мы не будем рассматривать столь старую операционную систему, и попробуем изучить её использование на более современных вариантах Windows — а именно Windows Vista, Windows 7, Windows 8 и Windows 10 — которые в этом плане имеют абсолютно одинаковые настройки.

Настройка шлюза

В данном разделе мы рассмотрим настройку компьютера, который будет выступать в роли шлюза «раздачи интернета». Единственное требование к этому компьютеру — наличие двух и более сетевых интерфейсов, один из которых должен быть иметь доступ к интернету, а другой — к локальной сети. Например:

  • Первый интерфейс — VPN соединение, обеспечивающее доступ к интернету, второй интерфейс — подключение к локальной сети, без доступа к интернету;
  • Первый интерфейс — Ethernet подключение к сети, с доступом в интернет, второй интерфейс — Ethernet подключение к локальной сети, без доступа к интернету.

Как видно из примеров выше, использовать одно и то же Ethernet подключение для получения и раздачи интернета не получится. Если в компьютере отсутствует вторая сетевая карта, то придется её купить, благо стоят они не дорого.

Давайте рассмотрим самый минимум настроек, который необходимо сделать для предоставления интернет-соединения компьютером-шлюзом.

  1. Для включения раздачи интернета, нужно открыть список сетевых подключений — нажимаем поочередно клавиши Win + R и набираем там команду ncpa.cpl после чего нажимаем кнопку «ОК».
  2. Откроются сетевые подключения, среди которых нужно найти то, которое имеет доступ к интернету — вычислив такое подключение, нажимаем на нем правой кнопкой мыши, и выбираем пункт контекстного меню «Свойства».
  3. В окне свойств необходимо перейти на вкладку «Доступ» и отметить галочкой пункт «Разрешить другим пользователям сети управление общим доступом к подключению к Интернету». В поле «Подключение к домашней сети» нужно выбрать подключение к локальной сети, из которой планируется открыть доступ к интернету.

На этом базовая настройка компьютера-шлюза закончена. Дальше нужно перейти к компьютеру, которому нужен доступ в интернет, и настроить его.

Настройка клиента

Фактически, в роли клиента может выступить любое устройство, подключенное к локальной сети — но в данном примере мы рассмотрим компьютер под управлением операционной системы Windows. Для настройки возможности подключения к интернету со стороны компьютера-клиента, на нем необходимо выполнить следующие действия:

  1. Открываем сетевые подключения, нажав поочередно клавиши Win + R , и введя там команду ncpa.cpl . Нажимаем ОК, после чего откроются Сетевые подключения.
  2. Находим подключение к локальной сети, нажимаем на нем правой кнопкой мыши и выбираем пункт «Свойства».
  3. В свойствах сети ищем пункт «IP версии 4 (TCP/IPv4), выбираем его, после чего нажимаем на кнопку «Свойства».
  4. В свойствах данного протокола убеждаемся, что выбраны пункты «Получать IP-адрес автоматически» и «Получить адрес DNS-сервера автоматически».
      После этого, на данном компьютере должно появится соединение с интернетом, что легко проверить, к примеру через браузер.

    Дополнительная настройка

    Проброс портов

    В Windows так же можно реализовать проброс портов, с интерфейса, который «смотрит в мир» на компьютеры внутри локальной сети — делается это в настройках сетевого интерфейса, с доступом в интернет. Для этого, открываем свойства данного подключения, и переходим на вкладку «Доступ». Там в самом низу будет находится кнопка «Настройка», которую необходимо нажать.

    Откроется окно с настройками проброса портов. В нем будет присутствовать уже некоторое количество готовых вариантов, имена которых по каким-то причинам отображается в виде цифровых значений. Посмотреть, что за службы/порты скрываются за этими цифрами, можно открыв каждую из них, или же посмотреть на готовый список ниже:

    • 1700 — FTP — порт TCP 21
    • 1701 — Telnet — порт TCP 23
    • 1702 — SMTP — порт TCP 25
    • 1703 — POP3 — порт TCP 110
    • 1704 — IMAP3 — порт 220
    • 1705 — IMAP — порт 143
    • 1706 — HTTP — порт 80
    • 1707 — HTTPS — порт 443
    • 1708 — RDP — порт 3389

    Для добавления своего варианта нужно нажать кнопку «Добавить».

    Заполняется окно с пробросом порта следующим образом:

    • Описание службы — любое имя, которое поможет идентифицировать в дальнейшем, что за порт и зачем он был проброшен.
    • Имя или IP-адрес компьютера вашей сети, на котором располагается эта служба — IP адрес компьютера, на который нужно пробросить порт.
    • Номер внешнего порта службы — порт, который доступен извне.
    • Номер внутреннего порта службы — порт, на который нужно выполнить проброс — может отличаться от внешнего.
    • Так же рядом присутствует выбор протокола — TCP или UDP.

    Пример настройки проброса для игрового сервера Quake 3 можно увидеть на картинке ниже.

    После нажатия на кнопку «ОК», данный порт появится в списке служб локальной сети, которым предоставлен доступ из интернета.

    Использование статических адресов

    Если Вам не по душе использование встроенного в Windows DHCP сервера, то Вы можете задать свои собственные уникальные сетевые адреса из диапазона 192.168.0.2 – 192.168.0.254 — к сожалению, сам DHCP сервер не отключить, и диапазон адресов не поменять. Сетевой маской будет 255.255.255.0, а сетевым шлюзом — 192.168.0.1. В качестве DNS сервера так же следует прописать 192.168.0.1. Пример таких сетевых настроек можно увидеть на скриншоте ниже.

    Возможные проблемы

    В ряде случаев, возможно, что интернет не появится на стороне компьютера-клиента, не смотря на то, что все выше перечисленные настройки были сделаны правильно. В таком случае, следует проверить ряд настроек.

    Источник

    Записки IT специалиста

    Технический блог специалистов ООО»Интерфейс»

    • Главная
    • Настройка OpenVPN-сервера для доступа в интернет

    Настройка OpenVPN-сервера для доступа в интернет

    В наших прошлых материалах мы рассматривали применение OpenVPN исключительно для организации каналов связи между подразделениями организации. Но современный мир приносит новые вызовы, на которые следует реагировать. Один из них — общественные сети с низкой безопасностью, для работы в которых желательно иметь защищенный канал, препятствующий доступу третьих лиц к вашему трафику. Традиционно эта задача решается использованием VPN-сервисов и в данной статье мы расскажем, как организовать собственный сервис на базе OpenVPN.

    Кроме общественных сетей в последние годы стала приобретать повышенную актуальность проблема ограничения доступа к некоторым ресурсам исходя из географического расположения клиента. Это могут быть как ограничения регионального характера, например, популярный поставщик видеоконтента Netflix, так и блокировки со стороны органов власти, как яркий пример которых «ковровые блокировки» РКН в его борьбе с Телеграм, когда под ограничения попало большое количество совершенно легальных ресурсов.

    Исходя из вышесказанного можно сделать вывод, что наличие VPN-сервиса для доступа в интернет в современных условиях — это не роскошь, а насущная необходимость, особенно если ваша деятельность завязана на работу в сети. Да, существуют многочисленные VPN-провайдеры, но их услуги являются платными и снова встает вопрос доверия, особенно если вы используете канал для обмена конфиденциальной или финансовой информацией.

    Что нужно для создания собственного VPN-сервиса? Прежде всего потребуется VPS (виртуальный выделенный сервер) расположенный в регионе, из которого возможен неограниченный доступ к требуемым ресурсам. В большинстве случаев можно выбирать Европу или Штаты, но во втором случае задержки будут выше. На наш взгляд, выбирать Штаты имеет смысл, если вам требуется доступ к американским ресурсам, тому же Netflix или покупкам у американских продавцов на Amazon и Ebay.

    Для поиска недорогих VPS можно воспользоваться специальными сайтами, такими как Low End Box или бесплатными предложениями от облачных провайдеров. Так у Amazon и Microsoft можно бесплатно получить виртуальную машину на год, а Oracle предлагает две VPS бесплатно и навсегда.

    В нашем примере мы будем использовать бесплатный VPS от Oracle с Ubuntu 18.04, но данная инструкция подойдет для любых deb-based систем и с некоторыми поправками для любого другого Linux-дистрибутива.

    Настройка сервера OpenVPN

    Прежде всего установим OpenVPN и Easy-RSA для управления ключами:

    Скопируем файлы easy-rsa в конфигурационную директорию OpenVPN и создадим символическую ссылку на файл настроек OpenSSL:

    Затем откроем файл /etc/openvpn/easy-rsa/vars и изменим в нем следующие строки, указав собственные данные для сертификатов, например, так:

    Сохраним файл и перейдем к созданию собственного центра сертификации (CA). Для этого перейдем в директорию нашего CA и загрузим переменные:

    Очистим любые имеющиеся данные и инициализируем центр сертификации:

    В процессе создания ключей вам будут задаваться вопросы, ответы по умолчанию на которые берутся из файла vars и помещены в квадратных скобках, поэтому можно просто подтверждать их нажатием Enter.

    После чего в директории /etc/openvpn/easy-rsa/keys появится сертификат CA, содержащий публичный ключ, ca.crt, который должен присутствовать на каждом VPN-клиенте, и закрытый ключ центра сертификации ca.key, этот файл является секретным и не должен покидать пределы сервера.

    Затем создадим файл параметров Диффи-Хеллмана, который нужен для формирования уникального сеансового ключа и обеспечения режима совершенной прямой секретности:

    Данная операция, в зависимости от производительности вашего VPS, может занять достаточно много времени.

    И, наконец, создадим ключевую пару для сервера:

    где server — имя вашего сервера, мы рекомендуем давать осмысленные названия, чтобы потом не пришлось гадать, что именно это за ключевая пара и для чего она нужна.

    На этом формирование необходимых ключей и сертификатов закончено, перейдем к настройке OpenVPN, прежде всего создадим директорию для хранения ключей. Можно, конечно, использовать ключи прямо из директории easy-rsa, но лучше отделить CA от остальных служб.

    Теперь скопируем туда необходимые серверу ключи и сертификаты:

    Распакуем и скопируем в директорию /etc/openvpn шаблон серверной конфигурации:

    Откроем файл /etc/openvpn/server.conf и внесем в него необходимые изменения, в большинстве случаев вам придется раскомментировать нужны строки или убедиться в их наличии. Опции указаны в порядке их следования в файле:

    Данные опции указывают порт, протокол и тип туннеля, менять их не следует, однако в ряде случаев может потребоваться использовать протокол tcp, но в силу более высоких накладных расходов этой ситуации желательно избегать.

    Затем зададим топологию сети:

    Укажем пути к ключам и сертификатам, допускаются относительные пути, в этом случае корнем будет считаться директория /etc/openvpn:

    Зададим диапазон OpenVPN-сети:

    И укажем файл для хранения адресов клиентов, которые будут автоматически выдаваться сервером:

    Автоматически сконфигурируем клиентов на доступ в интернет через OpenVPN-подключение:

    И передадим им собственные DNS-сервера:

    Укажем параметры проверки активности:

    Сервер будет проверять клиента каждые 10 секунд и при отсутствии ответа через 120 секунд клиент будет считаться неактивным.

    Обязательно закомментируйте строку:

    Для сценария доступа в интернет дополнительная TLS-аутентификация будет излишней.

    В последних версиях OpenVPN включен механизм автоматического согласования протоколов шифрования между клиентом и сервером, по умолчанию будет выбран шифр AES-256-GCM, но так как вычислительные возможности VPS обычно ограничены и большого смысла шифровать канал доступа в интернет сложными шифрами нет, то отключим соглассование и укажем достаточно простой AES-шифр:

    Также в новых версиях доступен новый механизм компрессии, для его включения укажем:

    Данная опция будет автоматически отправлена на клиент, что облегчает его конфигурирование.

    Если у вас есть старые версии клиентов (ниже 2.4), то можно использовать простое lzo-сжатие, для этого закомментируйте вышеприведенные строки и добавьте:

    Эту опцию также потребуется добавить в конфигурационные файлы клиентов.

    В целях безопасности понизим права запущенного сервера:

    После чего проконтролируем наличие опций, отвечающих за правильные права к некоторым ресурсам после их понижения:

    Укажем путь к файлам логов:

    И укажем его подробность:

    Во время отладки можно поднять уровень логов до 5-6.

    Настройка брандмауэра и маршрутизации

    Основной задачей нашего сервера является обеспечение выхода в интернет и будет разумно обеспечить минимальный набор правил безопасности, во многом они будут повторять те правила, которые мы использовали для наших роутеров на базе Linux.

    Создадим файл правил:

    и внесем в него следующие строки, обратите внимание на имя сетевого интерфейса вашего VPS, в нашем случае это ens3:

    Не забудем сделать файл исполняемым:

    Данный файл требуется запускать после создания туннельного интерфейса tun0, поэтому откроем конфигурационный файл сервера OpenVPN /etc/openvpn/server.conf и в его конце добавим опцию:

    Перезагрузим сервер и убедимся, что OpenVPN сервер автоматически запустился и создал туннельный интерфейс, это можно сделать командой:

    Также проверим применение правил брандмауэра:

    Следующий шаг касается только виртуальных машин в облаке Oracle Cloud, вам потребуется дополнительно разрешить входящий трафик на порт OpenVPN. Для этого перейдите в Сети » Виртуальные облачные сети » VirtualCloudNetwork-20191008-0144 » Сведения о списках безопасности, где вместо VirtualCloudNetwork-20191008-0144 будет имя вашей виртуальной сети. Затем добавьте новое правило для входящего трафика:

    Укажите: Тип источника — CIDR, Исходный CIDR — 0.0.0.0/0, IP-протокол — UDP, Диапазон исходных портов — Все, Диапазон конечных портов — 1194.

    Настройка клиентов OpenVPN

    Настройка клиента начинается на сервере с получения ключей и сертификатов клиента, для этого перейдем в директорию центра сертификации и загрузим переменные:

    Затем создадим ключевую пару клиента командой:

    где client -имя клиента, мы также рекомендуем давать им осмысленные имена.

    Теперь скопируем файлы, которые необходимо передать на компьютер клиента в домашнюю директорию и изменим их владельца (по умолчанию владелец — root), чтобы вы смогли их скопировать с помощью любого FTP или SFTP клиента. В нашем случае имя пользователя ubuntu:

    Помните, что закрытый ключ клиента client.key является секретным и следует избегать его передачи по открытым каналам связи.

    Также не будет лишним сразу скопировать шаблон клиентской конфигурации:

    После чего скопируйте все эти файлы на клиент и установите на нем OpenVPN, в Windows системах советуем изменить путь установки OpenVPN на более короткий и без пробелов, скажем, C:\OpenVPN.

    Затем откроем файл client.ovpn, который в Windows системах должен быть расположен в C:\OpenVPN\config, а в Linux в /etc/openvpn, и внесем в него следующие изменения:

    Данные опции задают клиентский режим работы, тип туннеля и используемый протокол UDP.

    Затем укажем адрес сервера:

    Следующая опция предписывает клиенту постоянно разрешать имя OpenVPN-сервера, имеет смысл если мы указываем сервер по FQDN-имени, а не IP-адресу.

    Для Linux систем обязательно укажите:

    В Windows данные опции следует обязательно закомментировать.

    Проконтролируем наличие следующих опций:

    Укажем пути к ключам и сертификатам, для Linux систем подразумеваем их нахождение в /etc/openvpn/keys:

    Для Windows систем предположим их нахождение в C:\OpenVPN\keys:

    Также обязательно закомментируем опцию:

    Включим защиту от атак типа «человек посередине»:

    И укажем используемый шифр, он должен совпадать с указанным на сервере:

    Остальные опции можно оставить без изменений. Сохраним файл и запустим OpenVPN-клиент.

    Убедиться, что вы выходите в интернет через VPN-канал можно при помощи любого сервиса, показывающего ваш IP-адрес, например, 2ip.ru:

    Обращаем внимание на национальную принадлежность адреса, в данном случае мы выходим в интернет из Штатов.

    Самое время провести замер скорости доступа, мы будем использовать для этого популярный сервис SpeedTest. Первый замер без VPN:

    Второй через OpenVPN-канал:

    Сразу обращаем внимание на выросший пинг — это последствия размещения сервера в Штатах, а также скорость скачивания не выше 10 Мбит/с — ограничение бесплатного тарифа Oracle, хотя в большинстве случаев этого вполне достаточно для комфортного серфинга.

    Напоследок затронем еще один момент. Мы настроили сервер таким образом, что он автоматически конфигурирует клиента на доступ в интернет через OpenVPN-подключение, но бывают случаи, когда это не нужно. Допустим вы хотите пустить через VPN только некоторые ресурсы, а остальной доступ должен осуществляться через локального провайдера. В таком случае добавьте в конфигурационный файл клиента опцию:

    После чего клиент будет игнорировать передаваемые с сервера опции маршрутизации и DHCP-опции, такие как DNS-сервера и т.п.

    Источник

Читайте также:  Точка доступа мтс интернет настройки для планшета

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector