VPN虚拟专网

一、概念

虚拟专网（VPN-Virtual Private Network)指的是在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台（如Internet,ATM,Frame Relay等）之上的逻辑网络，用户数据在逻辑链路中传输。

 二、用途

1）用于政府、企事业单位总部与分支机构内部联网(Intranet-VPN)

2）适用于商业合作伙伴之间的网络互联（Extranet-VPN) VPN的功能。

3）跨区域公司内部需要交流，例如公司总部在北京，上海有分公司，北京和上海公司内网需要交互消息，  就需要使用VPN技术。

 

三、工作原理

通常情况下，VPN网关采取双网卡结构，外网卡使用公网IP接入Internet。

网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B，其发出的访问数据包的目标地址为终端B的内部IP地址。

网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查，如果目标地址属于网络二的地址，则将该数据包进行封装，封装的方式根据所采用的VPN技术不同而不同，同时VPN网关会构造一个新VPN数据包，并将封装后的原数据包作为VPN数据包的负载，VPN数据包的目标地址为网络二的VPN网关的外部地址。

网络一的VPN网关将VPN数据包发送到Internet，由于VPN数据包的目标地址是网络二的VPN网关的外部地址，所以该数据包将被Internet中的路由正确地发送到网络二的VPN网关。

网络二的VPN网关对接收到的数据包进行检查，如果发现该数据包是从网络一的VPN网关发出的，即可判定该数据包为VPN数据包，并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离，再将数据包反向处理还原成原始的数据包。

网络二的VPN网关将还原后的原始数据包发送至目标终端B，由于原始数据包的目标地址是终端B的IP，所以该数据包能够被正确地发送到终端B。在终端B看来，它收到的数据包就和从终端A直接发过来的一样。

从终端B返回终端A的数据包处理过程和上述过程一样，这样两个网络内的终端就可以相互通讯了。[1] 

通过上述说明可以发现，在VPN网关对数据包进行处理时，有两个参数对于VPN通讯十分重要：原始数据包的目标地址（VPN目标地址）和远程VPN网关地址。根据VPN目标地址，VPN网关能够判断对哪些数据包进行VPN处理，对于不需要处理的数据包通常情况下可直接转发到上级路由；远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址，即VPN隧道的另一端VPN网关地址。由于网络通讯是双向的，在进行VPN通讯时，隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。

 

 

四、特点

1）建网快速方便用户只需将各网络节点采用专线方式本地接入公用网络，并对网络进行相关配置即可

2）降低建网投资由于VPN是利用公用网络为基础而建立的虚拟专网，因而可以避免建设传统专用网络所需的高额软硬件投资

3）节约使用成本用户采用VPN组网，可以大大节约链路租用费及网络维护费用，从而减少企业的运营成本 4）网络安全可靠实现VPN主要采用国际标准的网络安全技术，通过在公用网络上建立逻辑隧道及网络层的加密，避免网络数据被修改和盗用，保证了用户数据的安全性及完整性

5）简化用户对网络的维护及管理工作大量的网络管理及维护工作由公用网络服务提供商来完成

 

 

 

五、业务优势

VPN不但是一种产品，更是一种服务。 VPN通过公众网络建立私有数据传输通道，将远程的分支办公室、商业伙伴、移动办公人员等连接起来。可减轻企业的远程访问费用负担，节省开支，并且可提供安全的端到端的数据通讯方式。 VPN兼备了公众网和专用网的许多特点，将公众网可靠的性能、扩展性、丰富的功能与专用网的安全、灵活、高效结合在一起，可以为企业和服务提供商带来以下益处：

（1） 显著降低了用户在网络设备的接入及线路的投资；

（2） 采用远程访问的公司提前支付了购买和支持整个企业远程访问基础结构的全部费用；

（3） 减小用户网络运维和人员管理的成本；

（4） 网络使用简便，具有可管理性、可扩展性；

（5） 公司能利用无处不在的 INTERNET 通过单一网络结构为分支机构提供无缝和安全的连接；

（6） 能加强与用户、商业伙伴和供应商的联系；运营商、 ISP 和企业用户都可从中获益。

 

 

六、VPN虚拟专网的安全

取决于渗透测试期间所检查的VPN的类型，有不同的流程可以遵循。不管使用哪种VPN类型，基本的测试步骤包括：

侦查：决定使用的VPN类型和VPN进程监听的端口。这可以通过端口扫描工具如Nmap做到。根据不同的VPN类型，服务有时候监听在UDP端口500上（IPSec），TCP端口1723，TCP端口443（SSL VPN），UDP端口1194（OpenVPN）或者其他非默认的端口上。

溢出：在成功的识别出VPN关联哪个端口后，可以通过Ike扫描工具确定具体的厂商和守护进程的版本。然后检查该厂商是否包含任何已有的CVE漏洞，可以被Metasploit框架中的已有exploit或者新写的exploit利用。

认证：监听传入连接的守护进程必须正确检查客户递交的口令。不要只是依赖于用户名、密码和使用安全证书来提高VPN服务的整体安全。应该有恰当的密码政策确保强密码和证书一起使用来限制暴力攻击。[3] 

 

 

 

七、常用VPN技术

1．MPLS VPN是一种基于MPLS技术的IP VPN，是在网络路由和交换设备上应用MPLS（Multiprotocol Label Switching，多协议标记交换）技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN）。MPLS优势在于将二层交换和三层路由技术结合起来，在解决VPN、服务分类和流量工程这些IP网络的重大问题时具有很优异的表现。因此，MPLS VPN在解决企业互连、提供各种新业务方面也越来越被运营商看好，成为在IP网络运营商提供增值业务的重要手段。MPLS VPN又可分为二层MPLS VPN（即MPLS L2 VPN）和三层MPLS VPN（即MPLS L3 VPN）。

2．SSL VPN是以HTTPS（Secure HTTP，安全的HTTP，即支持SSL的HTTP协议）为基础的VPN技术，工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，可以为应用层之间的通信建立安全连接。SSL VPN广泛应用于基于Web的远程安全接入，为用户远程访问公司内部网络提供了安全保证。

3．IPSec VPN是基于IPSec协议的VPN技术，由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。

 

 

八、常见问题

错误691：提示“由于域上的用户名和/或密码无效而拒绝访问”

一般的原因是VPN连接时输入的账户和/或密码不正确，或是没有使用VPN服务的权限。

VPN一个账号默认仅限一台电脑使用，检查您的用户名有无登录重复。

若您是在使用的途中掉线了，不要急着再次连接，请耐心等待几分钟。

若还是提示错误，请联系网络管理员。

错误691：提示“端口已断开连接”

市面上有一小部分的路由器对VPN支持不好，从而引起错误691、只能连接几台机、经常掉线等多种问题，有时候还会出现错误800。原因是路由器采用NAT方式，不能让VPN协议穿透。

如果计算机中开启了系统防火墙，可以先关闭后再重试。

如果偶尔出现，重拨几次，或者重新启动计算机及路由器后再重试。

如果是通过局域网或者通过路由器上网的用户，请网络管理员在服务器或者路由器上打开UDP端口1701~1704。

如果路由器中不能设置，可以尝试将计算机直接连到外网，用单机拨号方式连接互联网，再重试VPN拨号。

部分网络如校园网、广电网、长城宽带、宽带通，容易出现691错误，需要与网络接入部门联系。

安装了简化版的操作系统容易缺少相关组件，可以下载安装错误691注册表文件。

错误721：提示“远程计算机没反应”

这种情况可能是网络延迟造成的，可以多连几次试试，如果还是不行，可以尝试以下解决方法：

单击“开始”，然后单击“运行”。

在“运行”中，键入regedit.exe，然后单击“确定”。

在注册表编辑器中，找到以下子项：HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CE-BFC1-08002bE10318}/<000x>，其中<000x>是WAN微型端口（PPTP）驱动程序的网络适配器。

在“编辑”菜单上，指向“新建”，然后单击“DWORD 值”。

键入ValidateAddress，然后按 Enter。该值的默认设置为“1”（打开）；因此，您可以通过将其设置为“0”将其关闭。

退出注册表编辑器。

重新启动计算机。

错误742/741：提示“远程服务器不支持加密”

选择VPN连接，右键属性，点击安全。

在数据加密项选择“没有加密也可以连接”（Win7下点击网络共享中心—更改适配器—点击VPN连接图标—查看属性—安全数据加密—选择“没有加密也可以连接”）。

错误800：提示是“不能建立VPN连接，VPN服务器不能到达”

如果计算机中开启了系统防火墙，可以先关闭后再重试。

如果有安装路由器的用户，建议重启一下路由器。

部分网络如校园网、广电网、长城宽带、宽带通，容易出现800错误，需要与网络接入部门联系。

桌面右键单击“我的电脑”或“计算机”，打开“管理”，在“服务和应用程序”中，点击“服务”，找到“IPsec Policy Agent”服务，检查有没有禁用该服务。如果为禁用状态则改为自动状态，启动该服务。

错误619

如果打开了防火墙（包括系统自带的）：关闭防火墙，或者设置防火墙允许UDP 1701端口。

使用路由器上网：不使用路由器，或者映射UDP 1701端口。

如果无以上两种现象存在，但是还出现619错误：关闭所有正在使用网络的软件，重新启动计算机然后重新进行连接。

连上国外VPN后打开国内网页速度很慢

因为连接上了VPN的国外线路，本地网络出口已经变更为了国家带宽出口，因此在连接VPN的状态下访问国内的网页速度是比较慢的，可简单理解成：因为线路的传输需要从国内到国外，再从国外返回国内。而如果是访问国外网页的话，此时线路方式从国内直接传输到国外是相对最快的。而且还取决于您所选的线路距离，如果您选择的是美国的线路，那么访问国内的网页肯定较慢。

移动终端连接不上

当前网络是3G网络：3G网络通常都不稳定，不保证每次都可以连接上。

如果正在办公室使用公司的无线网络但连不上VPN或发生无法响应PPTP服务器错误：请详细咨询相关人员所处的网络宽带服务商是否支持VPN，其次看所处的网络路由器是否禁止了VPN端口。

电脑上可以连接VPN，但手机就不行：请确认电脑中的VPN是否处于“正在连接”的状态，如果是，请先断开电脑中的，再次连接手机试试。请注意一个账号不能同时登录在两个设备中。

错误789

连接尝试失败，因为安全层在初始化与远程计算机的协商时遇到一个处理错误

1. 单击“开始”，单击“运行”，键入“regedit”，然后单击“确定”

2. 找到下面的注册表子项，然后单击它：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

3. 在“编辑”菜单上，单击“新建”->“DWORD值”

4. 在“名称”框中，键入“ProhibitIpSec”

5. 在“数值数据”框中，键入“1”，然后单击“确定”

6. 退出注册表编辑器，然后重新启动计算机