Пошук та усунення несправностей в віртуальних приватних мережах (VPN) вимагає систематичної діагностики. Брайен Пози (Brien Posey) пояснює, як з'ясувати причину проблеми.
Робота віртуальної приватної мережі, як правило, залежить відразу від декількох систем, тому виявити джерело проблем буває нелегко. В такому випадку найлегше знайти причину методом виключення. У цій статті я перерахую десять аспектів, на які варто звернути увагу при діагностиці проблем VPN. Це, звичайно, не вичерпне керівництво, але для початку напевно стане в нагоді.
1. Визначте коло потерпілих користувачів
Якщо виникли проблеми з віртуальної приватної мережі потрібно насамперед визначити, кого ці неполадки зачіпають. Це допоможе зрозуміти, де шукати їх джерело. Наприклад, якщо з проблемою стикаються всі співробітники компанії, швидше за все, винувато апаратне забезпечення VPN-сервера, неправильна серверна конфігурація або некоректні налаштування брандмауера.
З іншого боку, якщо труднощі відчуває, припустимо, тільки співробітник з відділу маркетингу, який вічно забуває свій пароль, або дама з бухгалтерії, яка вважає за краще підключатися до мережі з домашнього комп'ютера, причину проблеми потрібно шукати зовсім в іншому місці.
2. Переконайтеся, що користувачі можуть підключитися до VPN-мережі
Приступаючи до діагностики, варто в першу чергу з'ясувати, чи можуть постраждалі користувачі підключитися до мережі. Далеко не завжди неполадки в VPN викликані проблемами за допомогою мережі. Інший раз з'єднання встановити вдається, а от доступ до мережевих ресурсів користувачі отримати не можуть. Визначивши стан підключення, буде легше зрозуміти, де шукати причину неполадок.
3. Перевірте, чи перешкоджають підключенню настройки політики
4. Переконайтеся, що клієнтське ПЗ працює коректно
Якщо труднощі відчуває тільки один користувач, і з іншого комп'ютера він підключається до мережі без проблем, швидше за все, джерелом неполадок є система, в якій він працює.
Якось раз один з користувачів, яких я обслуговую, не зміг підключитися до VPN з домашнього комп'ютера. У спробі визначити причину я попросив його виконати певні дії у своїй клієнтській програмі, але він у відповідь заявив, що не бачить тих опцій і кнопок, про які я говорю. З'ясувалося, що незадовго до цього він, за порадою друга, встановила безкоштовний VPN-клієнт, який нібито набагато зручніше стандартного.
Іншим разом один з моїх клієнтів не міг підключитися до VPN, оскільки вірус знищив стек протоколів TCP / IP на його комп'ютері. Коротше кажучи, якщо користувачі підключаються зі своїх власних ПК, не можна виключати, що джерело проблеми знаходиться на їхньому боці.
Це може здатися дурістю, але коли користувачі скаржаться мені на проблеми з підключенням до віртуальної приватної мережі, я першим ділом перевіряю, чи можуть вони увійти в систему локально.
6. З'ясуйте, не перешкоджає чи підключенню користувачів міжмережевий екран NAT
При діагностиці проблем в віртуальної приватної мережі я завжди перевіряю, не захищені чи комп'ютери користувачів фаєрволом NAT. Як правило, це не повинно створювати ніяких труднощів, але деякі застарілі брандмауери працюють з VPN-підключеннями некоректно.
7. Перевірте, чи не викликані проблеми системою захисту доступу до мережі (NAP)
За задумом Microsoft, технологія захисту доступу до мережі (Network Access Protection, NAP) допомагає адміністратору убезпечити системні ресурси від підключень з незахищених комп'ютерів. В цілому, механізм працює справно, але іноді створює труднощі для кінцевих користувачів.
Одна з проблем полягає в тому, що захист доступу мережі базується на груповій політиці, тому при спробі підключитися з комп'ютера, який не входить в домен, NAP спрацьовує некоректно. Залежно від конфігурації віртуальної приватної мережі, захист або проігнорує невідповідність користувальницької системи встановленим вимогам безпеки, або зовсім заборонить користувачеві доступ.
Відповідно до розповсюдженого варіантом настройки NAP, комп'ютер, який не відповідає вимогам безпеки, підключається до ізольованого сегменту VPN, який містить ресурси, необхідні для усунення виявлених невідповідностей, причому часом - в автоматичному режимі. У такій ситуації користувачі найчастіше не розуміють, що відбувається, і думають, що мережа не працює.
8. Перевірте підключення до різних мережевих ресурсів
Якщо користувачі можуть підключитися, але цим все і обмежується, слід систематично перевірити підключення до різних мережевих ресурсів. При цьому може виявитися, що деякі з них недоступні.
10. Перевірте, чи не викликана проблема низькою продуктивністю серверів
Іноді користувачам вдається підключитися до віртуальної приватної мережі, але на дуже низькій швидкості. В такому випадку необхідно перевірити стан інфраструктурних серверів, щоб з'ясувати, чи не викликано зниження швидкості уповільненням їх роботи.
Якщо сервери працюють повільно, проблеми з мережею виникають, як правило, відразу у всіх користувачів. Якщо ж труднощі відчуває тільки один співробітник, швидше за все, це пов'язано з його інтернет-з'єднанням. Нещодавно мені довелося пожити в готелі, де підключення до Інтернету було настільки повільне, що навіть пошту перевірити було неможливо. Якби в такій ситуації опинився кінцевий користувач, він напевно б припустив, що з готельним Інтернетом все в порядку, а винен VPN-сервер.