12.1.1. Топология

Подсистема OpenVPN представляет собой концентратор виртуальной частной сети, которая никаким образом не зависит от внешней сети. Подключения клиентов принимаются на сетевом интерфейсе IP-ATC TBE по стандартному для OpenVPN порту TCP 1194.

При подключении клиенты OpenVPN получают выделенные IP адреса из сегмента 172.16.10.0/24. Для доступа во внешние сети на IP-ATC TBE автоматически организуется трансляция адресов (NAT), таким образом все подключения изолированы от внешнего мира как туннелем VPN, так и NAT.

Пример топологии сети:

В этом примере на предприятии установлена IP-ATC TBE c адресом в локальной сети 192.168.0.5, периметр сети защищает маршрутизатор с внутренним адресом 192.168.0.1 и внешним 62.11.144.9. Для того, чтобы клиенты из сети из сети Интернет могли подключиться, необходимо на маршрутизаторе пробросить порт ТСР 1194 с внешнего адреса на адрес IP-ATC TBE.

Часто гостевые сети (например, публичные Wi-Fi) имеют запрет на поддержку обычных VPN туннелей, вроде IPSec, PPTP или L2TP так как эти протоколы требуют поддержи со стороны маршрутизатора гостевой сети. Однако для передачи данных по протоколу OpenVPN требуется всего лишь одно соединение по TCP порту, что позволяет просто преодолевать запреты гостевых сетей подключаясь, например, по порту TCP 443, который всегда открыт так как используется протоколом HTTPS.

Пример настройки маршрутизатора Mirkotik для проброса портов:

/ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.0.5 \
dst-port=1194 protocol=tcp to-addresses=62.11.144.9 to-ports=443