10 نکته درباره رفع ايرادهاي اتصالات VPN
5 – كاربران از طريق PPTP متصل ميشوند، اما امکان اتصال از طريق L2TP/IPSec وجود ندارد
PPTP پروتكل سادهاي براي پيكربندي و تنظيم روي سرور و كلاينت VPN است. فقط كافي است كه كاربر از نرمافزار كلاينت توكار VPN كه بههمراه تمام نسخههاي سيستمعامل ويندوز ارائه ميشود استفاده کرده و نام كاربري و كلمه عبور معتبر اكانتي را كه مجوز دسترسي از راه دور را دارد، در اختيار داشته باشد.
اگر كامپوننت سرور VPN براساس مسيريابي ويندوز و Remote Access Service باشد، بهسادگي تنظيم شده و پس از اجراي يك راهنماي پيكربندي كوتاه بهطور خودكار اجرا خواهد شد. L2TP/IPSec قدري پيچيدهتر است. اعتبار كاربر و ماشين وي بايد توسط سرور VPN تأييد شوند.
تأييد اعتبار ماشين ميتواند از طريق يك كليد مشترك (Pre-shared Key) يا ماشين ثبتشده صورت گيرد. اگر از كليد مشترك استفاده ميكنيد (كه معمولاً به دلايل امنيتي توصيه نميشود)، بررسي كنيد كه آيا كلاينت VPN براي استفاده از همان كليد مشترك پيكربندي شده يا خير؟ اگر از روش ثبت ماشين استفاده ميكنيد نيز مطمئن شويد كه كلاينت VPN مجوز مربوطه را دارد يا خير؟
6 – اتصال VPN سايتبهسايت برقرار ميشود، اما هيچ ترافيكي بين گيتويهاي VPN جابهجا نميشود
هنگامي كه يك ارتباط VPN سايتبهسايت بين سرورهاي RRAS ويندوزي ايجاد ميكنيد، اين امكان وجود دارد كه اتصال VPN درظاهر برقرار نشان داده شود، اما ترافيكي ميان شبكههاي متصلشده رد و بدل نشود. اشكال در شناسايي نام سرورها ايجاد شده وهاستها حتي قادر به پينگ كردن به شبكه راه دور نيز نيستند.
عمدهترين دليل براي بروز اين مشكل اين است كه هر دو طرف اتصال سايت به سايت روي يك ID شبكه يکسان هستند. راهحل آن نيز تغيير الگوي آدرسدهي IP روي يك يا هر دو شبكه بوده تا بهاين ترتيب، تمام شبكههاي متصلشده بهصورت سايت به سايت روي IDهاي شبكه متفاوتي قرار داشته باشند.
7 – كاربران نميتوانند از پشت فايروال به ارتباط در مُد تونل IPSec اقدام کنند
بهطور معمول سرور VPN و کلاينتها بهطور صحيح پيکربندي ميشوند تا بتوانند از مُد تونل IPSec يا ارتباط L2tp/IP Sec NAT-T براي ارتباط با يک سرور VPN استفاده کنند و در نتيجه ارتباط با شکست مواجه ميشود. در برخي مواقع اين اتفاق را بعد از برقراري اتصال موفق اولين كلاينت مشاهده ميكنيد، اما كلاينتهاي بعدي كه در پشت همان ابزار NAT قرار دارند، با شكست در ارتباط روبهرو ميشوند.
دليل بروز اين مشكل اين است كه تمام سرورهاي IPSec NAT-T VPN با RFC سازگار نيستند. سازگاري با RFC نيازمند اين است كه سرور مقصد NAT-T VPN از تماسهاي IKE روي پورت منبع UDP 500 پشتيباني كرده تا آنهابتوانند ارتباطات چندگانه را از چندين كلاينت در پشت يك گيتوي VPN واحد مالتيپلكس كنند.
حل اين مشكل از طريق تماس با فروشنده سرور VPN و حصول اطمينان از اينكه پيادهسازي VPN IPSec NAT-T با RFC سازگاري دارد يا خير، امكانپذير خواهد بود. اگر اينگونه نبود، از فروشنده درباره وجود Firmware براي بهروز رساني سؤال كنيد.
8 – كاربران نميتوانند به برخي از IDهاي شبكه سازماني دسترسي پيدا كنند
برخي از اوقات كاربران مواردي را گزارش ميكنند كه در آن ذكر شده، ميتوانند بعد از برقراري ارتباط VPN به برخي از سرورها دسترسي پيدا كنند، اما بقيه سرورها قابل دسترسي نيستند. آنان وقتي ارتباط خود را آزمايش ميكنند، مشاهده ميكنند كه نميتوانند با استفاده از نام يا آدرس IP به سرور مورد نظر خود پينگ كنند.
دليل عمده براي اين مشكل اين است كه سرور VPN وروديهاي جدول روزمره را براي تمام IDهاي شبكههايي كه كاربر نميتواند به آنان متصل شود، در اختيار ندارد. كاربران فقط قادر به اتصال به سرورهايي هستند كه روي زيرشبكه سرور VPN باشند، اما از طريق سرور VPN قادر به ارتباط با IDهاي شبكه راهدور نيستند.
راهحل اين مشكل پركردن جدول مسيريابي روي سرورVPN بهگونهاي است كه آدرس گيتوي تمام IDهاي شبكههايي را كه VPN بايد به آنان متصل شود، در آن وجود داشته باشد.
9 – كاربران هنگام اتصال به سرور VPN قادر به اتصال به اينترنت نيستند
در برخي مواقع كاربران نميتوانند پس از اينكه اتصال VPN برقرار شد، به اينترنت متصل شوند. در اينحالت همزمان با قطع ارتباط VPN كاربران در اتصال به اينترنت مشكلي نخواهند داشت. اين مشكل زماني مشاهده ميشود كه نرمافزار كلاينت VPN براي استفاده از سرور VPN به عنوان گيتوي پيشفرض خود پيكربندي شدهباشد. اين تنظيم، تنظيم پيشفرض نرمافزار كلاينت VPN مايكروسافت است.
از آنجا كه همه هاستها دور از محل كلاينت VPN مستقر هستند، ارتباطات اينترنت بهسمت سرور VPN مسيردهي خواهند شد. اگر سرور VPN بهگونهاي پيكربندي نشده باشد كه ارتباط با اينترنت را از طريق كلاينتهاي VPN ميسر سازد، هرگونه تلاشي براي اتصال به اينترنت با شكست روبهرو خواهد شد.
راهحل اين مشكل پيكربندي سرور VPN بهگونهاي است تا به كلاينتها اجازه دسترسي به اينترنت را بدهد. سرور RRAS ويندوز و بسياري از فايروالها از چنين پيكربندي پشتيباني ميكنند. در برابر اصرار براي غيرفعال کردن تنظيمات پيكربندي كلاينت VPN جهت استفاده سرور VPN از گيتوي پيشفرض خود مقاومت كنيد. زيرا اين كار ويژگي Split Tunneling را كه يكي از تهديدات شناختهشده و خطرناك امنيتي محسوب ميشود، فعال خواهد کرد.
10 – چندين كاربر با استفاده از يك مجوز اعتبار PPP به سرور VPN متصل ميشوند
يكي از خطراتي كه تمام سازمانهايي را كه اقدام به پيادهسازي امكانات دسترسي راهدور به سرور VPN ميکنند، تهديد ميكند، ايناست كه كاربران اطلاعات مربوط به نام كاربري و كلمه عبور را با يكديگر به اشتراک ميگذارند. در بسياري از پيادهسازيهاي سرور VPN شما قادر خواهيد بود نهتنها پيش از برقراري ارتباط VPN نسبت به بررسي اعتبار و مجوز كاربر اقدام كنيد، بلكه اگر آن كاربر به دسترسي به شبكه از طريق VPN مجاز نبود، درخواست لغو ارتباط به سرور صادر شود.
اگر كاربران به استفاده اشتراكي از مجوزها اقدام کنند، اين عمل وضعيتي را ايجاد خواهد کرد تا كاربران غيرمجاز بتوانند با استفاده از مجوز كاربران مجاز به شبكه متصل شوند. يك راهحل براي اين مشكل استفاده از الگوهاي اضافي بررسي اعتبار است.
PPTP پروتكل سادهاي براي پيكربندي و تنظيم روي سرور و كلاينت VPN است. فقط كافي است كه كاربر از نرمافزار كلاينت توكار VPN كه بههمراه تمام نسخههاي سيستمعامل ويندوز ارائه ميشود استفاده کرده و نام كاربري و كلمه عبور معتبر اكانتي را كه مجوز دسترسي از راه دور را دارد، در اختيار داشته باشد.
اگر كامپوننت سرور VPN براساس مسيريابي ويندوز و Remote Access Service باشد، بهسادگي تنظيم شده و پس از اجراي يك راهنماي پيكربندي كوتاه بهطور خودكار اجرا خواهد شد. L2TP/IPSec قدري پيچيدهتر است. اعتبار كاربر و ماشين وي بايد توسط سرور VPN تأييد شوند.
تأييد اعتبار ماشين ميتواند از طريق يك كليد مشترك (Pre-shared Key) يا ماشين ثبتشده صورت گيرد. اگر از كليد مشترك استفاده ميكنيد (كه معمولاً به دلايل امنيتي توصيه نميشود)، بررسي كنيد كه آيا كلاينت VPN براي استفاده از همان كليد مشترك پيكربندي شده يا خير؟ اگر از روش ثبت ماشين استفاده ميكنيد نيز مطمئن شويد كه كلاينت VPN مجوز مربوطه را دارد يا خير؟
6 – اتصال VPN سايتبهسايت برقرار ميشود، اما هيچ ترافيكي بين گيتويهاي VPN جابهجا نميشود
هنگامي كه يك ارتباط VPN سايتبهسايت بين سرورهاي RRAS ويندوزي ايجاد ميكنيد، اين امكان وجود دارد كه اتصال VPN درظاهر برقرار نشان داده شود، اما ترافيكي ميان شبكههاي متصلشده رد و بدل نشود. اشكال در شناسايي نام سرورها ايجاد شده وهاستها حتي قادر به پينگ كردن به شبكه راه دور نيز نيستند.
عمدهترين دليل براي بروز اين مشكل اين است كه هر دو طرف اتصال سايت به سايت روي يك ID شبكه يکسان هستند. راهحل آن نيز تغيير الگوي آدرسدهي IP روي يك يا هر دو شبكه بوده تا بهاين ترتيب، تمام شبكههاي متصلشده بهصورت سايت به سايت روي IDهاي شبكه متفاوتي قرار داشته باشند.
7 – كاربران نميتوانند از پشت فايروال به ارتباط در مُد تونل IPSec اقدام کنند
بهطور معمول سرور VPN و کلاينتها بهطور صحيح پيکربندي ميشوند تا بتوانند از مُد تونل IPSec يا ارتباط L2tp/IP Sec NAT-T براي ارتباط با يک سرور VPN استفاده کنند و در نتيجه ارتباط با شکست مواجه ميشود. در برخي مواقع اين اتفاق را بعد از برقراري اتصال موفق اولين كلاينت مشاهده ميكنيد، اما كلاينتهاي بعدي كه در پشت همان ابزار NAT قرار دارند، با شكست در ارتباط روبهرو ميشوند.
دليل بروز اين مشكل اين است كه تمام سرورهاي IPSec NAT-T VPN با RFC سازگار نيستند. سازگاري با RFC نيازمند اين است كه سرور مقصد NAT-T VPN از تماسهاي IKE روي پورت منبع UDP 500 پشتيباني كرده تا آنهابتوانند ارتباطات چندگانه را از چندين كلاينت در پشت يك گيتوي VPN واحد مالتيپلكس كنند.
حل اين مشكل از طريق تماس با فروشنده سرور VPN و حصول اطمينان از اينكه پيادهسازي VPN IPSec NAT-T با RFC سازگاري دارد يا خير، امكانپذير خواهد بود. اگر اينگونه نبود، از فروشنده درباره وجود Firmware براي بهروز رساني سؤال كنيد.
8 – كاربران نميتوانند به برخي از IDهاي شبكه سازماني دسترسي پيدا كنند
برخي از اوقات كاربران مواردي را گزارش ميكنند كه در آن ذكر شده، ميتوانند بعد از برقراري ارتباط VPN به برخي از سرورها دسترسي پيدا كنند، اما بقيه سرورها قابل دسترسي نيستند. آنان وقتي ارتباط خود را آزمايش ميكنند، مشاهده ميكنند كه نميتوانند با استفاده از نام يا آدرس IP به سرور مورد نظر خود پينگ كنند.
دليل عمده براي اين مشكل اين است كه سرور VPN وروديهاي جدول روزمره را براي تمام IDهاي شبكههايي كه كاربر نميتواند به آنان متصل شود، در اختيار ندارد. كاربران فقط قادر به اتصال به سرورهايي هستند كه روي زيرشبكه سرور VPN باشند، اما از طريق سرور VPN قادر به ارتباط با IDهاي شبكه راهدور نيستند.
راهحل اين مشكل پركردن جدول مسيريابي روي سرورVPN بهگونهاي است كه آدرس گيتوي تمام IDهاي شبكههايي را كه VPN بايد به آنان متصل شود، در آن وجود داشته باشد.
9 – كاربران هنگام اتصال به سرور VPN قادر به اتصال به اينترنت نيستند
در برخي مواقع كاربران نميتوانند پس از اينكه اتصال VPN برقرار شد، به اينترنت متصل شوند. در اينحالت همزمان با قطع ارتباط VPN كاربران در اتصال به اينترنت مشكلي نخواهند داشت. اين مشكل زماني مشاهده ميشود كه نرمافزار كلاينت VPN براي استفاده از سرور VPN به عنوان گيتوي پيشفرض خود پيكربندي شدهباشد. اين تنظيم، تنظيم پيشفرض نرمافزار كلاينت VPN مايكروسافت است.
از آنجا كه همه هاستها دور از محل كلاينت VPN مستقر هستند، ارتباطات اينترنت بهسمت سرور VPN مسيردهي خواهند شد. اگر سرور VPN بهگونهاي پيكربندي نشده باشد كه ارتباط با اينترنت را از طريق كلاينتهاي VPN ميسر سازد، هرگونه تلاشي براي اتصال به اينترنت با شكست روبهرو خواهد شد.
راهحل اين مشكل پيكربندي سرور VPN بهگونهاي است تا به كلاينتها اجازه دسترسي به اينترنت را بدهد. سرور RRAS ويندوز و بسياري از فايروالها از چنين پيكربندي پشتيباني ميكنند. در برابر اصرار براي غيرفعال کردن تنظيمات پيكربندي كلاينت VPN جهت استفاده سرور VPN از گيتوي پيشفرض خود مقاومت كنيد. زيرا اين كار ويژگي Split Tunneling را كه يكي از تهديدات شناختهشده و خطرناك امنيتي محسوب ميشود، فعال خواهد کرد.
10 – چندين كاربر با استفاده از يك مجوز اعتبار PPP به سرور VPN متصل ميشوند
يكي از خطراتي كه تمام سازمانهايي را كه اقدام به پيادهسازي امكانات دسترسي راهدور به سرور VPN ميکنند، تهديد ميكند، ايناست كه كاربران اطلاعات مربوط به نام كاربري و كلمه عبور را با يكديگر به اشتراک ميگذارند. در بسياري از پيادهسازيهاي سرور VPN شما قادر خواهيد بود نهتنها پيش از برقراري ارتباط VPN نسبت به بررسي اعتبار و مجوز كاربر اقدام كنيد، بلكه اگر آن كاربر به دسترسي به شبكه از طريق VPN مجاز نبود، درخواست لغو ارتباط به سرور صادر شود.
اگر كاربران به استفاده اشتراكي از مجوزها اقدام کنند، اين عمل وضعيتي را ايجاد خواهد کرد تا كاربران غيرمجاز بتوانند با استفاده از مجوز كاربران مجاز به شبكه متصل شوند. يك راهحل براي اين مشكل استفاده از الگوهاي اضافي بررسي اعتبار است.
بهعنوان مثال، شما ميتوانيد مجوز كلاينت كاربر را نيز بررسي كنيد. بهاين ترتيب، هيچ كاربر ديگري نميتواند با مجوز يك كاربر مجاز وارد شبكه شود. انتخاب ديگر استفاده از كارتهاي هوشمند، ابزارهاي بيومتريك و ديگر روشهاي دو فاكتوري تعيين هويت است.
+ نوشته شده در ساعت توسط مرتضی اکرمی
|