VPN w Windows

Internet w coraz większym stopniu sprawdza się jako sieć transportowa. Od dawna już oferuje znacznie więcej, niż tylko dostęp do witryn i pocztę elektroniczną. Niewielkim nakładem pracy można nawet połączyć dwa komputery, które stoją na różnych kontynentach. Oba komputery mają przy tym "wrażenie", jakby pracowały w tej samej sieci LAN. W ten sposób obaj użytkownicy unikają kłopotliwej wymiany danych za pomocą poczty elektronicznej lub drogich połączeń modemowych z komputerem docelowym.

Internet w coraz większym stopniu sprawdza się jako sieć transportowa. Od dawna już oferuje znacznie więcej, niż tylko dostęp do witryn i pocztę elektroniczną. Niewielkim nakładem pracy można nawet połączyć dwa komputery, które stoją na różnych kontynentach. Oba komputery mają przy tym "wrażenie", jakby pracowały w tej samej sieci LAN. W ten sposób obaj użytkownicy unikają kłopotliwej wymiany danych za pomocą poczty elektronicznej lub drogich połączeń modemowych z komputerem docelowym.

Zasadniczym minusem tego rozwiązania jest to, że oba komputery są wydane na łaskę i niełaskę hakerów, czy w celu przeprowadzenia ataku, czy w celu podsłuchu komunikacji. Wirtualne sieci prywatne (VPN) oferują cały szereg zabezpieczeń przed atakiem hakerów. O podstawach funkcjonowania sieci VPN możesz przeczytać w poprzednim artykule. Teraz opiszemy, jak w łatwy sposób uruchomić własną sieć VPN w środowisku Windows. Nie potrzeba do tego nawet specjalnego oprogramowania, gdyż Microsoft dostarcza niezbędne sterowniki wraz z systemami operacyjnymi lub udostępnia je do ściągnięcia na swojej stronie internetowej.

Wymagania

Pierwszy etap - Point-to-Point Tunneling Protocol to podstawa funkcjonowania serwera VPN.

Pierwszy etap - Point-to-Point Tunneling Protocol to podstawa funkcjonowania serwera VPN.

Aby dwa komputery mogły łączyć się przez VPN, jeden z nich musi pracować pod kontrolą Windows NT lub 2000. Jest on wówczas serwerem VPN; komputer działający pod Windows 9x/Me może być tylko klientem VPN.

Ponadto serwer VPN musi mieć statyczny adres IP. W rozdziale "Rozwiązywanie problemów" powiemy też, jak postawić serwer VPN bez statycznego adresu IP.

Oczywiście oba komputery muszą być połączone z Internetem - jest przy tym obojętne, czy jest to połączenie wdzwaniane, czy poprzez sieć LAN połączoną z Internetem. Serwer VPN musi w każdym razie być dostępny pod publicznym adresem IP, by klient mógł nawiązać z nim połączenie również z zewnątrz. W sieciach lokalnych korzysta się najczęściej z prywatnych adresów IP (np. 192.168.X.X). W takim przypadku można utworzyć sieć VPN jedynie w obrębie sieci LAN, jakkolwiek w określonych przypadkach również i to ma sens - można choćby zabezpieczyć połączenia między określonymi komputerami zapobiegając w ten sposób podsłuchiwaniu przez współpracowników.

Jeżeli klient VPN ma pracować pod kontrolą Windows 95, należy najpierw pobrać i zainstalować uaktualnienie 1.3 Dial-Up Networking - ( http://www.microsoft.com/windows95/downloads/contents/WURecommended/S_WUNetworking/dun13win95/Default.asp ) Zawiera ono sterowniki, które są niezbędne do funkcjonowania VPN. Dochodzi do tego jeszcze uaktualnienie związane z problemem roku 2000 ( http://www.microsoft.com/windows95/downloads/contents/WURecommended/S_WUNetworking/dunwinsky2k/Default.asp ) oraz dodatkowe uaktualnienie VPN - http://www.microsoft.com/windows95/downloads/contents/WURecommended/S_WUNetworking/vpn/Default.asp , które zdanie Microsoftu zwiększa stabilność i szybkość działania połączeń VPN.

Instalacja serwera VPN

Na komputerze pracującym pod kontrolą Windows NP należy najpierw zainstalować Point-to-Point Tunneling Protocol (we właściwościach otoczenia sieciowego).

Na kolejnym etapie pojawi się pytanie o liczbę jednocześnie utrzymywanych, możliwych połączeń VPN. W przypadku serwerowej wersji NT może to być maksymalnie 256 połączeń. Stacja robocza obsługuje tylko jedno połączenie, ponieważ stacja robocza NT zezwala na tylko jedno połączenie RAS.

Ponieważ system uznaje połączenie VPN za połączenie typu remote access, Windows NT uruchamia automatycznie okno dialogowe konfiguracji RAS (Remote Access Server). Jeżeli RAS nie jest jeszcze zainstalowany, Windows NT czyni to automatycznie. W oknie konfiguracyjnym należy dodać adapter VPN jako port dostępowy. Jeżeli ma być obsługiwanych więcej połączeń VPN, punkt ten należy powtórzyć dla każdego adaptera VPN.

Konfiguracja serwera RAS

Adapter VPN należy tak skonfigurować, by akceptował połączenia przychodzące. Na następnym etapie na karcie "Konfiguracja sieci" należy zaznaczyć dozwolone protokoły dla połączeń VPN. Należy tutaj również określić rodzaj szyfrowania oraz to, czy klient ma mieć dostęp tylko do komputera NT, czy też do całej sieci LAN, w której ten pracuje. Jeżeli jest to możliwe, serwer VPN działa również jako router.

Dla podwyższenia stopnia bezpieczeństwa można zezwolić wyłącznie na stosowanie protokołu NetBEUI i zabronić odległemu komputerowi dostępu do sieci LAN. W takim układzie klient VPN może odwoływać się wyłącznie do udostępnionych zasobów serwera VPN. Sieć LAN i usługi internetowe są niewidoczne dla klienta. W ten sposób kończy się instalacja i konfiguracja protokołu.

W przypadku VPN opartym na TCP/IP koniecznych jest jeszcze kilka czynności konfiguracyjnych. Jeżeli nie zainstalowałeś serwera DHCP, przypisz statyczny obszar adresowy. Używaj jednak tylko prywatnych, a nie publicznych adresów IP. Obszar adresowy musi zawierać co najmniej dwa adresy serwera VPN oraz dla klienta.

Użytkownik, który chce uzyskać dostęp do serwera za pośrednictwem VPN, musi wykazać się stosownymi uprawnieniami. W tym celu w opcjach Właściwości użytkownika aktywuj w menu Dostęp dostęp zdalny.

Na końcu należy uruchomić Remote Access Server, co spowoduje utworzenie połączeń VPN.

Klient VPN - Windows NT

Instalacja klienta VPN w Windows NT jest identyczna z instalacją serwera VPN. Najpierw należy zrealizować cztery pierwsze etapy, identyczne z opisanymi w instalacji serwera. A więc:

  • zainstalować PPTP,
  • ustalić liczbę połączeń,
  • dodać adapter VPN jako urządzenie RAS,
  • skonfigurować adapter VPN w RAS Jedyna różnica polega na konfiguracji adaptera VPN.
Należy tu zezwolić na połączenia przychodzące, zamiast na wychodzące.

Następnie zapisz ustawienia i poczekaj, aż komputer ponownie się uruchomi. Następnie otwórz Dial Up Networking i utwórz nowe połączenie. Jako urządzenie podaj adapter VPN, jako numer telefonu - adres IP serwera VPN.

W ten sposób konfiguracja klienta VPN w Windows NT została zakończona, a wirtualna sieć prywatna - utworzona.


Zobacz również