Читаем Wi-Fi: Все, что Вы хотели знать, но боялись спросить полностью

Прохождение (Pass-Thru). Простейшая форма поддержки VPN — это обеспечение сквозного прохождения туннелей через маршрутизатор. Маршрутизатор, поддерживающий этот режим, пропускает через себя инкапсулированные пакеты данных, не просматривая их содержимое. Остаётся только настроить соответствующее клиентское ПО на компьютерах во внутреннем сегменте, чтобы клиенты из локальной сети могли свободно подключаться к серверу VPN снаружи. Большинство производителей заявляют, что их модели поддерживают прохождение туннелей VPN, однако на самом деле ситуация может оказаться обратной. Иногда проблемы заключаются в ошибках прошивки маршрутизатора, иногда они связаны с невозможностью работы протокола VPN через маршрутизаторы NAT.

Совет: через маршрутизаторы NAT не могут работать подключения VPN, использующие аутентификацию заголовков IPsec (IPsec Header Authentication) или пакеты IPsec с неинкапсулированным шифрованием FMZ.

Также маршрутизаторы различаются по количеству пропускаемых туннелей. Это не так критично для одиночных пользователей, но может играть важную роль для небольших организаций, использующих соединения между несколькими офисами. Одни модели могут поддерживать прохождение только одного туннеля в один момент времени, другие могут пропускать сразу несколько. Третьи могут пропускать несколько туннелей только в том случае, если они направлены на один сервер VPN. То есть два сотрудника из одного офиса не смогут установить подключение к двум различным удалённым VPN-серверам.

Ещё одна необходимая функция, касающаяся VPN, — это возможность использования серверов VPN внутри сети. Естественно, для этого необходимо будет установить перенаправление портов, или поместить сервер в DMZ, но если маршрутизатор не знает, как обращаться со специально построенными пакетами данных VPN, клиенты не смогут подключиться к серверу. Поэтому, если необходимо установить сервер VPN за маршрутизатором внутри сети, то сначала стоит убедиться, что маршрутизатор поддерживает прохождение туннелей PPTP или IPsec внутрь.

Конечная точка (End Point). Второе название этой функции — «VPN Edge». Так называется способность маршрутизатора создавать и разрывать туннельное соединение. Благодаря ей маршрутизатор может устанавливать туннели сам, что позволяет не использовать программное обеспечение для VPN на клиентских компьютерах. Кроме того, используя два одинаковых (или почти одинаковых) маршрутизатора, можно создать туннельное соединение между двумя сетями без использования какого-либо дополнительного программного или аппаратного обеспечения.

Ранее такая возможность была доступна в устройствах стоимостью от $500, однако сегодня появляются все новые модели устройств, которые стоят дешевле $100 и поддерживают конечные точки VPN. К примеру, SMC 7004.

При выборе маршрутизатора с такой возможностью следует убедиться в наличии конечной точки PPTP, если она вам нужна (некоторые модели поддерживают конечную точку только для IPsec, а для PPTP есть лишь возможность прохождения туннелей). Кроме того, если необходима возможность доступа к сети, например, во время поездок, убедитесь в наличии в комплекте поставки клиентского приложения VPN, если оно необходимо.

Журналирование (Logging). Журналирование — это способ маршрутизатора «сказать», что он выполнял и, что более важно, чем занимались пользователи. Большинство моделей потребительского уровня обладают достаточно скромными возможностями журналирования и предоставляют лишь поверхностные возможности (в лучшем случае) для просмотра активности определённого пользователя.

Обычно в журнал заносятся три типа записей: административные, «hack attempts» (попытки взлома) и трафик пользователей. Административные записи включают в себя такие события как включение/выключение и перезагрузку маршрутизатора. Кроме того, здесь же можно встретить и список попыток административных входов. Записи «Попытки взлома» обычно включают попытки любого доступа к маршрутизатору с внешнего сегмента сети (WAN). Эти попытки обычно не направлены именно на ваш маршрутизатор, а являются результатом сканирования портов всей подсети. Модели с брандмауэрами на базе просмотра содержимого (SPI) могут также определять и записывать потенциально опасные атаки, например Denial of Service (DoS) — отказ в обслуживании, fragmented packet — фрагментированные пакеты и другие, не менее опасные атаки. И, наконец, записи трафик пользователей включают запросы HTTP, FTP и других сервисов Интернет.