نفق VPN موثوق به وقابل للتطوير

نُشرت في 18 آذار / مارس 2020

ملخص

عندما تتصل بالإنترنت من خلال أي مزود إنترنت ، فأنت لا تشك في أن هذا المزود سيأخذ كل شيء في الاعتبار لضمان أن اتصالك آمن ، ولكن ماذا لو كنت تريد الاتصال بخدمة خاصة؟ كيف يمكن التأكد من أن حركة المرور من عميل إلى خادم في البنية التحتية العامة آمنة؟ إنه هنا عندما VPN الخدمات أو شبكة خاصة افتراضية التقنيات المطلوبة. يتم إنشاء اتصال آمن بين العقدتين لضمان عدم اعتراض أي وكيل خارجي لحركة المرور للحصول على معلومات معقولة.

VPN توفر الخدمات العديد من القدرات مثل:

خصوصية: منع أي شخص من قراءة بياناتك. يتم تنفيذ ذلك مع التشفير.
التحقّق من المُستخدم : التحقق من أن الأعضاء الذين ينشئون نقطة إلى نقطة أجهزة شرعية.
النزاهة: التحقق من أن حزمة VPN لم تتغير بطريقة أو بأخرى أثناء النقل.
مكافحة إعادة: منع شخص من التقاط حركة المرور وإعادة إرسالها ، محاولًا الظهور كجهاز / مستخدم شرعي.

هناك أنواع مختلفة من التنفيذ في السوق القائمة على المعايير الخاصة والمفتوحة ، وسنركز هذه المقالة على الحلول المفتوحة ، انظر أدناه الأكثر صلة.

IPsec: لقد أصبح المعيار الفعلي لعمليات تثبيت VPN على الإنترنت ، وهو ينفذ عددًا كبيرًا من خوارزميات التشفير ولم يعرف نقاط الضعف الرئيسية.
المسنجر: تحظى بشعبية كبيرة ولكنها لا تستند إلى المعايير ، فهي تستخدم بروتوكولات أمان مخصصة ، وهي تدعم TLS / SSL مع Openssl وعدد كبير من خوارزميات التشفير.
L2TP: إنه امتداد لـ PPTP ، يمكنه استخدام IPSec كطبقة أمان ، غالبًا ما كان يستخدم في الماضي من قبل ISPs. حاليا ، هناك خيارات أفضل مع أداء أفضل.
Wireguard: إنه VPN سريع للغاية ، وسهل للغاية لتثبيته ، ويستخدم خوارزميات التشفير المضمنة بالفعل في Linux Kernel ، ويستخدم UDP ويمكن تكوينه في أي منفذ.

بيئة VPN قابلة للتطوير

الهدف من هذه المقالة هو وصف كيفية إنشاء خدمة متوازنة مع إعداد التوفر العالي لـ VPN الخدمات مع موازن تحميل ZEVENET. نحن نركز هذه المقالة في Wireguard، الذي يستخدم المنفذ 51820 بروتوكول UDP، ولكن يمكن توسيعه ليشمل حلًا مشابهًا آخر مع بروتوكول (بروتوكولات) ومنفذ (منافذ) أخرى.

في هذه المقالة ، تكوين VPN تم حذف الخادم ولكن يجب مراعاة النقاط التالية في المقياس VPN في التوفر العالي بنجاح:

يجب نسخ ملفات تكوين خادم VPN في كل VPN الخوادم التي ستكون متوازنة.
عملاء VPN يجب أن تكون حركة المرور NATed في خادم VPN فقط للتأكد من أن جميع الاتصالات الواردة والصادرة من عميل APN تمر عبر خادم VPN نفسه في التجمع.

يصف الرسم البياني التالي الهيكل القابل للتوسيع للوصول.

بنية VPN Wireguard

1. المستوى الثاني⁧⁩ Wireguard خوادم تشترك في نفس التكوين.
2. كل Wireguard يقوم الخادم بإنشاء نفس الشبكة الخاصة 192.168.2.0/24 .
3. كل VPN سيكون العميل NATed مع IP من VPN الخادم حيث يكون متصلاً.
4. يتصل العملاء بعنوان IP عمومي واحد vpn.company.com بواسطة 51820 بروتوكول UDP، سيتم إعادة توجيه هذا الاتصال إلى ZEVENET (192.168.100.10).
5. ZEVENET سيحمل موازنة اتصالات العميل إلى المتوفر VPN وأخيرًا ، سيتم إنشاء النفق مقابل أحد الخوادم.

في هذه المقالة ، سنقوم بتفصيل طريقتين مختلفتين لتهيئة خدمة VPN القابلة للتوسع باستخدام ZEVENET: واحد عبر واجهة المستخدم الرسومية الويب وآخر عبر واجهة خط الأوامر.

تكوين خدمة VPN الافتراضية مع ZEVENET

يشرح هذا القسم كيفية الوصول إلى التكوين الصحيح باستخدام واجهة سطر الأوامر.

خذ بعين الاعتبار ذلك بروتوكولات VPN تطلب جلسة المثابرة القدرات من أجل التأكد من أن العميل نفسه متصل بنفسه الخلفية خلال فترة زمنية حتى لو لم يولد هذا العميل أي حركة مرور.

من أجل إنشاء خدمة VPN الافتراضية، مزرعة جديدة تسمى VPNLB دوامة الملف الشخصي l4xnat الاستماع 51820 بروتوكول UDP ملزمة ل VPN الظاهري IP 192.168.100.10 و سنات الوضع ، حيث سيقوم جدار الحماية باتصالات NAT من العملاء بالأمر التالي:

zcli farm create -farmname VPNLB -vip 192.168.100.10 -vport 51820 -profile l4xnat

أو عبر واجهة المستخدم الرسومية على الويب:

تعديل المعلمات العالمية من المزرعة من أجل استخدامها UDP بروتوكول ، ثم تكوين جلسة المثابرة by IP المصدر وبسيطة خوارزمية موازنة التحميل by الوزن.

zcli farm set VPNLB -protocol udp -nattype nat -persistence srcip -ttl 1800 -algorithm weight

أو عبر واجهة المستخدم الرسومية على الويب:

أضف اثنين الخوادم الخلفية 192.168.100.11 و 192.168.100.12 إلى المزرعة التي تم إنشاؤها بالفعل VPN خدمة موازنة التحميل. ميناء ليست هناك حاجة لتكوينها l4xnat سوف تستخدم نفس المستخدمة في ميناء الظاهري تكوين.

zcli farm-service-backend add VPNLB default_service -ip 192.168.100.11
zcli farm-service-backend add VPNLB default_service -ip 192.168.100.12

أو عبر واجهة المستخدم الرسومية على الويب:

من أجل تحديد الخلفيات الصحية فقط ، فلنقم بتكوين فحص صحي بسيط للخلفيات التي تضمن المنفذ 51820 بروتوكول UDP متاح في الجانب الخلفي. قم بعمل نسخة من الفحص الصحي العام الحالي والمحمّل مسبقًا يسمى check_udp وتعديله. نوصي بتغيير الفاصلة الحقل إلى 21 لأن كل فحص صحي يستخدم أ مهلة of 10 ثانية، وبالتالي 10 ثوانٍ * 2 خلفية + 1 ثانية = 21 ثانية.

zcli farmguardian create -copy_from check_udp -name check_udp_vpn
zcli farmguardian set check_udp_vpn -description "VPN check for UDP 51820" -interval 21

أو عبر واجهة المستخدم الرسومية على الويب:

أخيرًا ، أضف الفحص الصحي الذي تم إنشاؤه بالفعل يسمى check_udp_vpn إلى المزرعة الحالية VPNLB.

zcli farm-service-farmguardian add VPNLB default_service -name check_udp_vpn

تخفيف هجوم DDoS مع وحدة IPDS

عادة ما تكون خدمات VPN أهدافًا للهجمات وتهديدات الأمن السيبراني من أجل الاستفادة من الاتصال عن بعد لدخول شبكات المنظمة.

لهذا السبب ، فمن المستحسن أن تكمل لدينا التدرج VPN الخدمة مع نظام أمان لحماية مؤسستنا من الهجمات الخارجية. يشرح القسم الحالي كيفية استخدام ZEVENET وحدة IPDS والتخفيف هجمات DDoS التي خدمات VPN العامة سهل جدا.

تم تفصيل حميتي حماية مختلفتين في هذا القسم ولهما نتائج أفضل مع هذا النوع من الخدمة: حماية IP عبر قوائم بيضاء و حدود الاتصال.

السماح بالوصول إلى خدمة VPN العامة من قائمة بيضاء معينة

استخدام القائمة السوداء/القائمة البيضاء يمكن استخدامها في الخدمات حيث يمكننا التأكد من أن قائمة العملاء معروفة ، على سبيل المثال ، الجمهور خدمة فين للسماح بالعمل عن بعد في منظمة بلد معين.

من أجل تكوين قائمة بيضاء لـ ألمانيا ورفض حركة المرور من الآخرين عناوين الانترنت بروتوكول نطاقات البلدان ، يرجى تطبيق ما يلي:

1. انتقل إلى IPDS> القائمة السوداء وتجد هناك القائمة السوداء geo_ES_Germany. ثم تعديل قاعدة القائمة السوداء وتغيير مجال السياسة إلى السماح لاستخدامها كقائمة بيضاء.
2. في نفس القائمة ، انتقل إلى علامة التبويب المزارع ونقل المزرعة VPNLB من العمود المزارع المتاحة إلى تمكين المزارع.
3. اضغط على بلايستشن تم تضمين الرمز في الإجراءات لتمكين القائمة البيضاء.
4. انتقل إلى (تحديث البرنامج) في MyCAD IPDS> القائمة السوداء وتجد هناك القائمة السوداء جميع ، انتقل إلى علامة التبويب المزارع ونقل المزرعة VPNLB من العمود المزارع المتاحة إلى تمكين المزارع.
5. اضغط على بلايستشن أيقونة الإجراءات لتمكين القائمة السوداء.

باستخدام هذا التكوين ، تمت إضافة قائمة بيضاء واحدة geo_ES_Germany سبق تحميله بالفعل ZEVENET مع جميع نطاقات IP في مثل هذا البلد ، يتم إضافته إلى المزرعة VPNLB وقائمة سوداء إضافية تسمى جميع التي تتم إضافة بقية عناوين IP إلى المزرعة ، لذلك إذا لم يتطابق عنوان IP الخاص بالعميل في أي نطاق في ألمانيا ، فسيتم إسقاطه.

السماح بالوصول إلى خدمة VPN العامة مع حدود الاتصال

من أجل تطبيق هذا النوع من حماية DDoS يُنصح تمامًا بمعرفة كيفية عمل خدمتنا العامة ، على سبيل المثال ، Wireguard يستخدم فقط اتصال UDP واحد لكل عميل. لذا ، إذا تلقينا العديد من الاتصالات المتزامنة من نفس مصدر IP ، فيمكننا أن نصدق أن أكثر من عامل عن بعد يتصل خلف NAT وهو يتنكر في حركة المرور أو قد يكون مرتبطًا بـ هجوم فيضان UDP. على أي حال ، يمكننا أن نفهم أن أكثر من 10 اتصالات لكل مصدر IP ليست حركة مرور مشروعة.

من أجل تكوين حد الاتصالات المتزامنة لكل مصدر IP لدينا خدمة VPN الافتراضية يرجى القيام بما يلي:

1. انتقل إلى (تحديث البرنامج) في MyCAD IPDS> DoS> إنشاء قاعدة DoS، قم بإنشاء قاعدة جديدة بالاسم Limit_per_source_IP وحدد نوع القاعدة حد الاتصال الكلي لكل مصدر IP والصحافة إنشاء.
2. في نموذج إصدار القاعدة ، أدخل حد الاتصالات المتزامنة المطلوب في الحقل مجموع الاتصالات الحد لكل مصدر IP، في حالتنا هذه 10 والصحافة ارسل.
3. انتقل إلى علامة التبويب المزارع ونقل المزرعة VPNLB من العمود المزارع المتاحة إلى تمكين المزارع.

من خلال هذا التكوين ، حددنا عدد الاتصالات المتزامنة لكل IP المصدر بـ 10 ، ولا نثق في أي عنوان IP للعميل يحاول إنشاء أكثر من 10 اتصالات VPN. في حالة أنه يمكنك التأكد من أن أكثر من عميل واحد لن يقوم مطلقًا بتشغيل الاتصالات من خلال أي NAT عام ، ثم ملف Limit_per_source_IP يمكن تكوين 1 فقط.

استمتع بخدمة VPN القابلة للتوسعة والمتوفرة بشكل كبير مع ZEVENET!

مشاركة مع :

وثائق بموجب شروط رخصة جنو للوثائق الحرة.

هل كان المقال مساعدا؟!

مقالات ذات صلة