Межсетевые VPN: типы, требования и как подключить

Что такое VPN “сеть-сеть”

VPN “сеть-сеть” – это тип виртуальной частной сети (VPN), обеспечивающий защищенное VPN-соединение между двумя или более отдельными сетями. В данном случае VPN защищает не отдельные устройства, а связь между целыми локальными сетями, такими как корпоративные сети различных офисов и филиалов компании.

Этот тип VPN действует как глобальная сеть, позволяя сотрудникам филиалов, расположенным в разных местах, иметь доступ к общим ресурсам, как если бы они находились в одной локальной сети. Однако, в отличие от других типов глобальных сетей, VPN “сеть-сеть” создает безопасный VPN-туннель между несколькими локальными сетями. Применяется такая VPN сеть обычно для:

• Соединения географически удаленных офисов одной компании в одну корпоративную сеть.
• Установления защищенного соединения между локальной инфраструктурой и удаленными центрами обработки данных.
• Обеспечения безопасной коммуникации между компаниями-партнерами.

Удаленный доступ VPN используется для установления соединения между отдельным пользователем и центральной сетью (например, сотрудник получает доступ к ресурсам компании из дома). А VPN типа "сеть-сеть" обеспечивает зашифрованное соединение между целыми сетями. Обычный VPN обеспечивает соединение устройства с сетью, а межсетевой VPN строит мост между сетями.

Как работает межсетевое VPN-соединение

VPN "сеть-сеть" надежно соединяет сети, создавая туннель с использованием протоколов VPN, таких как IPSec (Internet Protocol Security). Туннель шифрует весь трафик между сетями, делая его нечитаемым для посторонних.

В каждой сети находится шлюз (обычно маршрутизатор или брандмауэр с поддержкой VPN), который отвечает за шифрование и дешифрование трафика. Шлюзы передают данные между сетями по заданным правилам, позволяя устройствам в одной сети взаимодействовать с устройствами в другой, как если бы они находились в одном здании.

IPSec – наиболее распространенный протокол, используемый для межсетевых VPN. Он отвечает за шифрование и аутентификацию, часто в паре с L2TP или GRE для туннелирования. GRE сам по себе ничего не шифрует, он просто создает туннель, поэтому обычно используется вместе с IPSec. В некоторых сетях, особенно где нужны специальные настройки, может использоваться протокол OpenVPN.

Приведем пример из реальной жизни. Допустим, у компании есть офисы в Берлине и Нью-Йорке. Каждый офис имеет собственную сеть ноутбуков, серверов, принтеров и других устройств. В интересах компании, чтобы эти сети функционировали как единое целое, при этом не рискуя утечкой данных в общедоступный интернет. Обеспечивается общая сеть так:

1. 1.В обоих офисах установлены VPN-шлюзы, действующие как защищенные трансляторы между офисной сетью и VPN-туннелем.
2. 2.Между шлюзами создается туннель с использованием протокола IPSec.
3. 3.Весь трафик между двумя офисами шифруется при входе в туннель и расшифровывается при выходе из него.

Таким образом, если Николай из офиса в Берлине запросит базу данных из офиса в Нью-Йорке, его запрос проходит через берлинский шлюз, шифруется, безопасно перемещается по туннелю, расшифровывается нью-йоркским шлюзом и передается в базу данных. Ответ возвращается по тому же зашифрованному пути. Причем весь процесс занимает всего несколько секунд.

Требования к межсетевым VPN

Для настройки VPN “сеть-сеть” необходимо:

• VPN-совместимые маршрутизаторы или брандмауэры в каждом месте. Оборудование должно поддерживать протокол IPSec или аналогичные.
• Общедоступные IP-адреса для каждого шлюза, чтобы находить друг друга в интернете.
• Общий протокол VPN. Большинство сетей используют IPSec для шифрования и аутентификации.
• Планирование сетевых адресов. Избегайте перекрывающихся подсетей между локациями, чтобы упростить маршрутизацию.
• Административный доступ к маршрутизатору и брандмауэру каждой сети. Вам нужно будет настроить параметры туннеля с обеих сторон.
• Надежное подключение к Интернету на каждой локации. Работа всей сети требует стабильного интернета.

Типы VPN “сеть-сеть”

Существуют два основных типа межсетевых VPN:

• VPN “сеть-сеть” на базе интрасети соединяют несколько офисов или филиалов одной организации. Например, торговый бренд связывает все свои магазины с главным офисом, чтобы создать единую внутреннюю сеть. Все работает через общедоступный интернет, но соединение является приватным и защищенным.
• VPN “сеть-сеть” на базе экстрасети используются между отдельными организациями, такими как поставщики, партнеры и клиенты. VPN на базе экстрасети обеспечивает контролируемый доступ к определенным частям сети, не открывая ее полностью.

Для больших сетей некоторые компании выбирают MPLS VPN – частную управляемую альтернативу, способную обеспечить более сложную маршрутизацию.

В чем разница между VPN "сеть-сеть" и VPN с удаленным доступом?

VPN “сеть-сеть“ отличается от виртуальной частной сети удаленного доступа. VPN с удаленным доступом – это наиболее распространенный тип потребительской виртуальной частной сети, которую можно использовать на телефоне или ноутбуке для обеспечения повседневной конфиденциальности.

VPN с удаленным доступом использует модель клиент-сервер. Клиент – это приложение, установленное на устройстве пользователя, которое перенаправляет зашифрованный трафик через сервер. Это эффективный способ обеспечить себе конфиденциальность в Интернете, защитить IP-адреса своих устройств и ограничить угрозу атак типа "человек посередине".

VPN типа "сеть-сеть" не использует модель "клиент-сервер". Туннель шифрования проходит между шлюзами в каждой сети, то есть пользователь отправляет и получает информацию через местный VPN-шлюз, ему не нужно для этого иметь клиента на своем устройстве.

Конечно, VPN с удаленным доступом можно использовать и для компаний, и для крупных организаций. Сотрудники могут использовать клиента на своем устройстве для доступа к корпоративному серверу, например, где хранятся файлы и другие сетевые ресурсы. Многие компании используют как VPN удаленного доступа, так и межсетевой VPN.

В чем разница между VPN "сеть-сеть" и VPN "точка-сеть"?

VPN-сервисы типа "сеть-сеть" соединяют целые сети и подходят для компаний с несколькими офисами, которым требуется постоянная безопасная связь между локациями. Межсетевые VPN служат связующим звеном между локальными сетями, благодаря чему все сотрудники могут совместно использовать ресурсы, как будто они находятся в одной локальной сети.

А вот VPN типа "точка-сеть" предназначены для индивидуальных пользователей. Они позволяют удаленным сотрудникам безопасно подключаться к офисной сети, где бы они ни находились: дома, в кафе или в дороге. VPN “точка-сеть” более вариативны в конфигурации, ориентированы на пользователя и подходят для компаний с распределенной рабочей силой.

Как создать VPN-туннель между сетями

VPN-туннель между сетями создается следующим образом:

1. 1.Выберите маршрутизаторы или брандмауэры с поддержкой VPN для каждой сети.
2. 2.Присвойте каждому устройству:
   • Статический общедоступный IP-адрес, чтобы они могли находить друг друга.
   • Соответствующий протокол VPN (обычно используется IPSec).
   • Соответствующие настройки шифрования.
3. 3.Определите локальную и удаленную подсети, чтобы указать каждому шлюзу, какой трафик следует туннелировать.
4. 4.Настройте аутентификацию (предварительный общий ключ или цифровой сертификат).
5. 5.Откройте необходимые порты брандмауэра (обычно UDP 500 и 4500 для IPSec).
6. 6.Протестируйте туннель, чтобы убедиться в шифровании трафика и правильной маршрутизации.

Как настроить VPN-соединение “сеть-сеть”

Для настройки VPN “сеть-сеть” потребуется доступ к маршрутизатору или брандмауэру с поддержкой VPN в каждой сети. Выполните следующие действия:

1. 1.Войдите в интерфейс администратора своего маршрутизатора или брандмауэра.
2. 2.Перейдите в раздел VPN и выберите «VPN сеть-сеть» или «IPSec».
3. 3.Установите локальную подсеть (свою внутреннюю сеть) и общедоступный IP-адрес удаленного узла.
4. 4.Введите удаленную подсеть (внутреннюю сеть другой локации).
5. 5.Выберите параметры шифрования и аутентификации (например, AES или SHA).
6. 6.Введите предварительно предоставленный ключ или загрузите цифровые сертификаты.
7. 7.При необходимости включите обход NAT (зависит от настроек вашей сети).
8. 8.Сохраните и примените настройки.
9. 9.Повторите настройку на удаленном устройстве.
10. 10.Проверьте подключение, чтобы убедиться, что туннель работает.

Рекомендации по настройке межсетевых VPN

Создать туннель – это полдела, намного важнее поддерживать его безопасность и стабильность работы. Приведем на этот счет полезные рекомендации:

• Используйте надежное шифрование, такое как AES-256, с поддержкой IPSec.
• Регулярно обновляйте прошивку на всех VPN-устройствах.
• Ограничьте доступ с помощью правил брандмауэра.
• Регулярно проверяйте журналы и настраивайте оповещения о необычном трафике.
• Включите конфигурации отработки отказа, если важна высокая доступность.

Какое оборудование требуется для VPN “сеть-сеть”

Для установки межсетевого VPN сложного корпоративного оборудования не требуется, однако нужно следующее:

• Маршрутизатор или брандмауэр, поддерживающий протоколы VPN “сеть-сеть” (например, IPSec).
• Маршрутизаторы с двумя WAN-портами, если требуется резервирование интернета или балансировка нагрузки.
• Концентраторы VPN для управления несколькими тоннелями в крупномасштабных сетях.
• Модем для стабильного подключения к интернету в каждой локации.

Также стоит отметить, что оборудование должно обладать достаточной вычислительной мощностью для обработки шифрования без ущерба для производительности сети.

Преимущества межсетевых VPN

Преимущества VPN “сеть-сеть” для компании любого размера следующие:

• Повышенная безопасность данных. VPN "сеть-сеть" шифрует данные, передаваемые между пользователями, находящимися в разных локациях (создавая зашифрованный VPN-туннель, о котором упоминалось ранее). То есть, если злоумышленники перехватят данные при их передаче между локациями, это будет неразборчивый набор символов без соответствующего ключа расшифровки.
• Упрощенное распределение ресурсов. Хотя это преимущество большинства глобальных сетей, его стоит упомянуть. Межсетевое VPN-соединение позволяет всем сотрудникам компании, расположенным в разных офисах по всему миру, общаться, совместно использовать ресурсы и безопасно получать доступ к конфиденциальным данным. Межсетевой VPN объединяет разрозненных сотрудников при условии, что у каждого есть доступ к сетям с установленными шлюзами.
• Упрощенный доступ к сети. Одним из преимуществ межсетевой связи VPN является то, что она не основана на модели клиент-сервер. От пользователей такой корпоративной сети не требуется устанавливать себе на устройство никакое клиентское приложение, они могут просто подключиться к VPN-шлюзу и войти в защищенную сеть. Использование неклиентской модели также полезно в тех редких случаях, когда определенные операционные системы и устройства несовместимы с программным обеспечением VPN.

Ограничения межсетевых VPN

Межсетевые VPN имеют свои ограничения, о которых следует помнить:

• Не подходят для удаленной работы. С 2020 года удаленная работа стала особенно популярной. Сегодня многие сотрудники работают дома или в коворкингах, где у них нет доступа к специальному VPN-шлюзу. То же самое касается любой компании, сотрудничающей с фрилансерами, которые редко могут физически получить доступ к локациям, подключенным через VPN.
• Ограниченная безопасность и конфиденциальность. Независимо от надежности протоколов VPN, межсетевой VPN защищает данные только при их перемещении между шлюзами. Локальные сети по обе стороны от этих шлюзов автоматически не защищены от киберпреступников и шпионов. Поэтому, как только информация будет расшифрована и отправлена на локальное устройство, она становится подверженной риску. Вот как раз здесь, на локальных устройствах, клиент-серверные VPN имеют преимущество, поскольку обмен данными между устройствами с установленным клиентом VPN обычно шифруется.
• Децентрализованное развертывание и управление. Большинство компаний, внедряющих VPN-решения для повышения сетевой безопасности, предпочитают системы, которые можно развертывать и которыми можно управлять из центрального пункта. Централизованное управление повышает эффективность устранения технических неполадок и безопасность. При настройке межсетевой VPN задействованы разные группы сотрудников на разных локациях, что усложняет централизованное управление.

Преимущества межсетевого VPN для B2B-коммуникации

Межсетевой VPN для B2B-коммуникации имеет множество преимуществ:

• Безопасность. Весь трафик между сетями шифруется, что снижает подверженность угрозам.
• Контроль. Вы сами решаете, к какой именно части сети могут получить доступ партнеры и подрядчики.
• Экономическая эффективность. Межсетевой VPN устраняет необходимость в дорогостоящих арендованных линиях или выделенных каналах связи.
• Удобство. Внешние контакты осуществляются по знакомому и привычному интерфейсу внутри собственной сети.

Чем межсетевые VPN полезны для корпоративных сетей

VPN типа “сеть-сеть” позволяют компаниям работать как единое целое, независимо от того, сколько у них филиалов. Приведем некоторые преимущества использования межсетевых VPN в бизнесе:

• Безопасный обмен данными между офисами, расположенными в разных точках мира.
• Централизованное резервное копирование из филиалов.
• Включение внутренних приложений (таких как CRM или ERP) на всех локациях.
• Предоставление доступа к общим базам данных и инструментам.
• Создание единой политики безопасности для разных локаций.
• Возможность гибридной настройки, сочетающей VPN “сеть-сеть” для офисных сетей с удаленным доступом VPN для сотрудников, работающих дома или на объектах.

Лучше ли VPN “сеть-сеть”, чем веб-VPN?

Это зависит от конкретной ситуации применения:

• VPN "сеть-сеть" предназначен для соединения целых сетей в единую. Такой тип лучше всего подходит для внутренних бизнес-операций и доступа к партнерам.
• Веб-VPN (например, SSL VPN) подходит для людей, которым нужен быстрый доступ к определенным приложениям или сервисам через браузер. Он хорош для периодического удаленного использования, но не предназначен для полной сетевой интеграции.

Нужен ли VPN для вашего бизнеса?

VPN повышает конфиденциальность в Интернете и безопасность данных большинства компаний. NordLayer, одно из самых эффективных доступных B2B-VPN-решений, предлагает множество вариантов для предприятий любого размера. Выбрав услугу NordLayer VPN “сеть-сеть”, вы сможете воспользоваться выделенными шлюзами для всех своих локальных сетей.

Даже если у вас уже есть сетевое решение, например, MPLS, NordLayer может сыграть ключевую роль в общей стратегии кибербезопасности вашей компании. NordLayer также предлагает модель клиент-сервер, позволяющую компаниям безопасно обмениваться данными и ресурсами с сотрудниками как в офисе, так и за его пределами.

NordVPN: альтернативное программное решение для межсетевых VPN

NordVPN предлагает более простую и доступную альтернативу традиционным межсетевым VPN, особенно для малого бизнеса, которому необходим безопасный удаленный доступ. Несмотря на то, что это не VPN-соединение "сеть-сеть", предприятия могут использовать выделенный IP-адрес, чтобы предоставить удаленным сотрудникам безопасный и контролируемый доступ к своей сети без сложностей традиционной настройки.

Благодаря таким функциям, как шифрование AES-256, глобальная сеть серверов и дополнительные опции безопасности, такие как Double VPN, NordVPN обеспечивает быстрое и безопасное подключение. Кроме того, его простой в использовании интерфейс и круглосуточная поддержка клиентов делают его отличным выбором для компаний, которым требуется надежный удаленный доступ без сложной настройки.