Varno povezovanje v Windows 7

Objavljeno: 27.9.2011 | Avtor: Marko Hölbl | Kategorija: Nasveti | Revija: September 2011

Dostop do domačega omrežja od zunaj je preprostejši, kot si morda mislimo. Tehnologija navideznih zasebnih omrežij ali VPN (ang. Virtual private networks) omogoča varno povezavo z domačim omrežjem prek javnega omrežja, kot je internet. Čeprav je razširjeno prepričanje, da je za vzpostavitev delujoče VPN povezave treba imeti strežnik in je postopek zapleten, že Windows 7 in nekaj ročnega dela zadostuje.

Windows in navidezna zasebna omrežja

Navidezna zasebna omrežja so v osnovi nastala iz potrebe povezovanja krajevnih omrežij prek javne infrastrukture. Tako je mogoče vzpostaviti varno povezavo med več omrežji ali omrežjem in računalnikom prek javno dostopne infrastrukture, danes je to praviloma internet. Tako je mogoče uporabljati vire v lastnem omrežju ali storitve, ki so vezane na IP naslov znotraj določenega omrežja, medtem ko nas ni doma. Seveda je treba preprečiti, da bi do našega navideznega zasebnega omrežje prišel kdo drug. VPN zato omogoča overjanja uporabnikov (ang. User Authentication). Prav tako so podatki, ki se prenašajo po VPN povezavi, šifrirani, saj ne želimo, da so dostopni vsakomur (ne pozabimo, uporabljamo internet, ki je javno omrežje). Microsoft je za potrebe navideznih zasebnih omrežij razvil protokol PPTP (ang. Point-to-point tunneling protocol), ki je zelo razširjen, programska oprema, ki omogoča dostop, pa je integrirana v operacijski sistem Windows že od različice 95 naprej. Manj znano pa je, da omogoča Windows 7 tudi vzpostavitev lastnega VPN strežnika. Seveda je predpogoj za tak strežnik dosegljivost računalnika, to pa v praksi pomeni, da ga je treba imeti priklopljenega in dosegljivega v internetu. Alternativa so namenski usmerjevalniki, vendar je izbira manjša in cene višje. Zato je lasten VPN strežnik na Windows 7 tako mamljiva reč, saj ga je preprosto vzpostaviti in upravljati.

Priprave na vzpostavitev

Predpostavljamo, da bo vaš VPN strežnik za usmerjevalnikom. Da bo lahko VPN strežnik, ki teče na vašem Windows 7 računalniku, prevzel povezavo VPN, je pomembno, da usmerjevalnik zahteve ustrezno usmeri, da torej vse zahteve na vratih 1723 in protokol GRE preusmeri k VPN strežniku. Določeni usmerjevalniki imajo možnost prepoznavanja VPN povezav in ustreznega preusmerjanja (bodite pozorni na oznako "VPN-Passthrough" ali podobno). Sodobni usmerjevalniki podjetij Linksys, AVM, Draytek ali Netgear omogočajo možnost preusmerjanja povezav VPN.

Zgled nastavitev usmerjevalnika Linksys za potrebe VPN strežnika

Če vaš usmerjevalnik te možnosti nima (predvsem starejši modeli), je še vedno mogoče strežniku VPN dodeliti status "exposed host", ki ga pogosto najdemo v nastavitvah usmerjevalnika pod oznako DMZ. V tem načinu usmerjevalnik vse zunanje povezave preusmerja k računalniku, ki je v področju DMZ. Vendar je v tem primeru računalnik tudi izpostavljen kot tarča za morebitne napadalce. Zato je vsekakor priporočljivo imeti usmerjevalnik z ustrezno podporo. Če nam je ponudnik interneta dodelil dinamičen IP naslov, je treba še ob pomoči ustreznega ponudnika (npr. DynDNS) poskrbeti, da je VPN strežnika vedno dostopen. Nekateri usmerjevalniki že sami omogočajo omenjeno funkcionalnost v nastavitvah. Prav tako večina ponudnikov interneta na zahtevo dodeli statični IP naslov (tak, ki se ne spreminja). Nastavitve preusmerjanja in DynDNS so za vsak usmerjevalnik različne, zato svetujemo, da preverite navodila vašega usmerjevalnika.

Pred namestitvijo VPN strežnika je treba preveriti, ali imate ustrezne pravice, oziroma se prijavite kot skrbnik (administrator). Nato na Nadzorni plošči (Control Panel) odprite Upravitelja naprav (Device Manager). Z menija pod izbiro Pogled (View) izberite Prikaži skrite naprave (Show Hidden Devices). V razdelku Omrežne kartice (Network Adapters) naj bi bila videna naprava Wan Miniport (PPTP). Če ta morda manjka, jo namestite tako, da odprete pozivno okno (ang. Command Prompt) in izvedete naslednje ukaze:
netcfg -u ms_l2tp
netcfg -u ms_pptp
netcfg -l %windir%\inf\netrast.inf -c p -i ms_pptp
netcfg -l %windir%\inf\netrast.inf -c p -i ms_l2tp
Po izvedbi zgornjih ukazov bi morala biti v vidna naprava Wan Miniport (PPTP).

V Upravitelju naprav (Device Manager) mora biti vidna naprava Wan Miniport (PPTP).

Vzpostavitev VPN strežnika

Naslednje, kar nas čaka, je vzpostavitev strežnika VPN. Na menuju Start vnesite iskalni niz Središče za omrežje in skupno rabo (Network and Sharing Center) in nato v odprtem oknu kliknite možnost Spreminjanje nastavitve kartice (Change Adapter Settings). Ko se znajdemo na seznamu omrežnih naprav, je treba najprej pritisniti tipko Alt, ki nam prikaže vrhnji menu, z njega pa nato izberemo možnost Datoteka (File) ->Nova dohodna povezava (New Incoming connection). V naslednjem oknu, ki se imenuje Dovoljenje uporabnika (Who may connect to this computer?), lahko nastavimo pravice dostopa do VPN strežnika trenutnim uporabnikom ali ustvarimo nove uporabnike samo za namene VPN povezave. Priporočeno je, da za VPN strežnik ustvarimo novega uporabnika. Nikakor se ne priporoča uporabiti t. i. sistemskih uporabnikov, kot sta gost (guest) in skrbnik (administrator). Novega uporabnika dodamo z možnostjo Dodaj... (Add Someone). Priporočeno je, da je geslo za VPN uporabnika dolgo vsaj 14 znakov in da ima vsak uporabnik svoj uporabniški račun za dostop do VPN strežnika. Tako precej zmanjšamo možnosti zlorabe ali vdora. Na naslednjem zaslonu nato odkljukamo možnost Prek interneta (Through the Internet) in nadaljujemo z nastavitvami transportnih protokolov (TCP/IPv4 in TCP/IPv6). Izbrati je treba vsaj možnost Internet Protocol Version 4 TCP/IPv4. Če želite dostop tudi do deljenih datotek in tiskalnikov, izberite tudi možnost Deljenje datotek in tiskalnikov za Microsoftova omrežja (File and Printer Sharing for Microsoft Networks). Če vaše omrežje podpira tudi IPv6, lahko označite tudi možnost Internet Protocol Version 6 TCP/IPv6. Nato še pritisnemo Dovoli dostop (Allow Access) in nato končamo s pritiskom na Zapri (Close).

Nastavitev uporabnikov, ki imajo dostop do VPN strežnika in s tem do našega krajevnega omrežja

Po končanih korakih bi se morala v oknu Mrežne povezave (Network Connection) pokazati nova povezava Dohodne povezave (Incoming Connections). Odslej Windows že sprejema dohodne povezane, saj je tudi ustrezno nastavil požarni zid. Kljub temu pa je treba še nekaj reči postoriti, preden lahko začnemo uporabljati lasten VPN strežnik.

Težava tiči še v strežniku Windows DHCP (ang. Dynamic Host Configuration Protocol) , ki privzeto dodeljuje IP naslove VPN odjemalcem. Ker ima večina usmerjevalnikov tudi lasten strežnik DHCP, lahko pride do podvajanja IP naslovov, da torej dva različna računalnika prejmeta isti IP naslov. Da bi to preprečili, je treba nastaviti različne nabore IP naslovov na usmerjevalniku (npr. 192.168.1.100 do 192.168.1.150) in v Windowsu (npr. 192.168.1.100 do 192.168.1.150). Nastavitev je različna od usmerjevalnika do usmerjevalnika. V Windowsu nastavimo nabor IP naslovov tako, da dvakrat poklikamo prej ustvarjeno povezavo Dohodne povezave (Incoming Connections) in izberemo razdelek Omrežje (Networking) ter nato označimo Internet Protocol Version 4 TCP/IPv4 in izberemo Lastnosti (Properties). V oknu, ki se nam odpre, označimo Navedite naslove TCP/IP (Specify IP adresses) in izberemo ustrezen nabor IP naslovov, ki je različen od tistega, ki smo ga nastavili na usmerjevalniku. Nabor mora biti v enakem podomrežju; če ima torej naš usmerjevalnik IP naslov 192.168.1.1 in naš računalnik 192.168.1.5, mora biti nabor IP naslovov oblike 192.168.1.xxx.

Nastavitev vseh potrebnih parametrov za delujoč strežnik VPN

Ob namestitvi dohodnih VPN povezav Windows samodejnost poskrbi za ustrezno preusmerjanje podatkov VPN odjemalca na ustrezen računalnik, tiskalnike ali druge vire v krajevnem omrežju VPN strežnika. Če dovolimo samo dostop do VPN strežnika (in ne tudi drugih virov v omrežju), je treba še odoznačiti možnost Dovoli klicalcem dostop do mojega lokalnega omrežja (Allow callers to access my local area network). S tem je postopke nastavitev končan in lahko začnemo uporabljati lasten VPN strežnik.

Upravljanje VPN strežnika

Če želite preveriti, kdo je prijavljen v VPN strežnik, lahko to storite s pomočjo Središča za omrežje in skupno rabo (Network and Sharing Center) -> Spreminjanje nastavitve kartice (Change Adapter Settings). V oknu Omrežne povezave (Network Connection) Windows samodejno prikaže uporabnike, ki so povezani na naš računalnik prek VPN. Spremljamo lahko tudi količino prenesenih podatkov na VPN povezavi in po potrebi celo prekinemo povezavo VPN.

Pregled in upravljanje VPN povezav

Seveda je mogoče tudi dodeliti ali zbrisati posamezne uporabnike VPN strežnika. To storimo tako, da uporabimo Središče za omrežje in skupno rabo (Network and Sharing Center) -> Spreminjanje nastavitve kartice (Change Adapter Settings), dvakrat poklikamo Dohodne povezave (Incoming Connections) in pod razdelkom Uporabniki (Users) odoznačimo ali dodamo uporabnike.

Dostop do VPN strežnika

Dostop do VPN strežnika je sicer še preprostejši od vzpostavitve strežnika VPN, saj ima Windows že od različice 95 odjemalca VPN, potrebnega za dostop prek povezave VPN. V okolju Windows 7 uporabimo Središče za omrežje in skupno rabo (Network and Sharing Center) in nato izberemo možnost Namestitev nove povezave ali omrežja (Set up a new connection or network), nato izberemo možnost Vzpostavitev povezave z delovnim mestom (Connect to a work place) ter na naslednjem zaslonu izberemo Uporabi mojo internetno povezavo (VPN) (Use my Internet Connection (VPN)). Nato vpišemo IP naslov svojega VPN strežnika (polje Internetni naslov (Internet address) in povezavo VPN poimenujemo po želji (polje Ime cilja (Host name)). Sledi samo še zaslon, pri katerem je treba vpisati Uporabniško ime (Username) in Geslo (password). Polje Do mena (Domain) pa lahko pustimo prazno. Preostane nam le še pritisk na gumb Vzpostavi povezavo (Connect) in že se povezujemo na VPN strežnik.

Povezovanje v VPN omrežje je v okolju Windows preprosto

Povezava, skupaj z uporabniškim imenom in geslom, se samodejno shrani in je na voljo tudi naslednjič, ko se želimo povezati. Omenjeni postopek deluje tudi, ko se povezujemo na katerikoli VPN strežnik, ki temelji na operacijskem sistemu Windows (strežniške različice ali Windows 7).

S tem smo omogočili varen in preprost dostop do svojega domačega omrežja, brez potrebe po dodatnih programih, saj ima Windows 7 že vse zajeto v sam operacijski sistem.

Koristne povezave:

  • DynDNS, www.dyndns.com/¸
  • TZO Dynamic DNS, www.tzo.com/
  • Kaj je VPN?, en.wikipedia.org/wiki/Virtual_private_network
  • Tabela z rezultati

    Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
    Prijava

    ph

    Komentirajo lahko le prijavljeni uporabniki