Windows - Virtual Private Network kiszolgáló konfigurálása

VPN lépésről-lépésre 1. rész

A virtuális magánhálózati kapcsolatok (Virtual Private Network) lehetővé teszik egy biztonságos kapcsolat létrehozását a kiszolgáló és a kliensek között az Interneten keresztül, vagy közvetlen betárcsázással.
Cikksorozatunkban lépésről-lépésre bemutatjuk a kiszolgáló és a kliensek konfigurálásának mikéntjét. A VPN (Virtual Private Network) kapcsolatok lehetővé teszik, hogy két távoli gép biztonságosan kommunikáljon egymással. A gépek nincsenek közvetlenül összekötve, hanem egy köztes rétegen - leggyakrabban az Interneten - keresztül tartják a kapcsolatot. Különböző titkosítási protokollok egymásra épülésével, mintegy alagutat képeznek ebben a rétegben más számára láthatatlanná téve magukat. Elszigeteltek, mint ha egy magánhálózatot alkotnának. Leggyakrabban vállalatoknál szokták alkalmazni, ahol a kiszolgálók tárolják a munkavégzéshez szükséges adatokat lehetővé téve, hogy az engedéllyel rendelkező dolgozók otthonról hozzáférhessenek és/vagy a cég telephelyei is becsatlakozhatnak a központba. Mindezt úgy, hogy illetéktelenek ne férhessenek hozzá kommunikáció közben az adatokhoz. A módszernek a biztonságon túl vannak még járulékos előnyös tulajdonságai: például két távoli céges telephely összekapcsolásakor nem távolsági hívás telefondíját, hanem a helyi díjazású Internet szolgáltató hívását kell fizetni. A VPN hálózaton belüli IP cím kiosztást a kiszolgáló hajtja végre, nem szükséges minden géphez külön az Interneten is érvényes címet igényelni.

A Windows Server (Advanced Server, Datacenter Server) beépített lehetőségei alkalmasak egy VPN kiszolgáló üzemeltetésére. Az IPSec (IP Security - IP biztonság) protokoll és a PPTP (Point-to-Point Tunneling Protocol) vagy L2TP (Layer Two Tunneling Protocol) összekapcsolásával valósítja meg. Az IPSec egy titkosítási algoritmussal kódolja az IP csomagokat, átküldi a hálózaton garantálva, hogy nem változtathatók meg, a fogadó gép visszafejti és feldolgozza őket. A titkosításon kívül hitelesítési eljárásokat is tartalmaz.
A PPTP protokoll az Internet ma egyik legelterjedtebb PPP (Point-to-Ponint) protokolljának továbbfejlesztése. Az IP, IPX vagy NetBEUI csomagokat PPP datagrammokba, majd ezeket saját csomagjába bújtatja és engedélyezi rajtuk a titkosítás (IPSec) használatát. Többszörös biztonságot és a hálózati alkalmazások működőképességét garantálja. Az L2TP és a PPTP lényegét tekintve ilyen szempontból nincs különbség. A Windows 2000 ezeket a protokollokat automatikusan alkalmazza.

A Windows 2000 Server beállítása VPN kiszolgálóvá:

Nyissuk meg a Felügyeleti eszközök > Útválasztás és távelérés (Administrative Tools > Routing and Remote Access) MMC konzolt. Kattintsunk a gép nevére a jobb oldali egérgombbal és válasszuk az "Útválasztás és távelérés konfigurálása és engedélyezése" ("Configure and Enable Routing and Remote Access") sort.
Ha nem kiválasztható, akkor már fut valamilyen formában egy szolgáltatás (lehet útválasztó, Internet kapcsolatot megosztó, távelérési kiszolgáló), ekkor töröljük a meglévő beállításokat az "Útválasztás és távelérés letiltása" ("Disable Routing and Remote Access"). Figyelem ezek a VPN konfigurálása után nem lesznek eredeti formájukban elérhetők! Kapunk is egy erre vonatkozó figyelmeztetést, ahol erősítsük meg, hogy valóban törölni kívánjuk a meglévő beállításokat. Most már aktív az első menüsor - kattintsunk rá.

Egy varázsló vezet végig a beállításokon. Igaz, hogy rejtve marad előttünk sok lehetőség, de annyival mindenképpen találkozunk, amennyi a kiszolgáló üzembe helyezéséhez kell. Az első oldalon lépjünk túl a "Tovább" ("Next") gombbal. A következőkben az oldalak címe szerint folytassuk a konfigurálást.

"Gyakran használt konfigurációk" ("Common Configurations"):
A "Virtuális privát hálózat (VPN) kiszolgálója" ("Virtual Private Network (VPN) Server") rádiógombot kell kijelölnünk.

"Távoli ügyfelek protokolljai" ("Remote Client Protocols"):
Gyakorlatilag a TCP/IP protokoll elég a legtöbb hálózatban. Ez pedig az operációs rendszerrel együtt feltelepül a gépünkre és megjelenik a listában. Ezért hagyjuk megjelölve az "Igen, minden rendelkezésre álló protokoll a listán van" ("Yes, all of the available protocol are on the list") gombot.

"Internet-kapcsolat" ("Internet Connection"):
Ha több hálózati kártyával rendelkezünk, válasszuk ki azt, amelyik az Internet kapcsolatot szolgáltatja, ha csak egy van válasszuk a "<Nincs Internet-kapcsolat>" ("<No Internet Connection>") sort, a betárcsázás ettől még fog működni.

"IP-címhozzárendelés ("IP Address Assignment"):
Lehet "Automatikus" ha működő DHCP kiszolgálónk van. Mi azonban a későbbiekben biztonsági szempontból kizárjuk az illetéktelen helyekről való próbálkozás lehetőségét is, ezért válasszuk az "Egy megadott címtartományból" ("From a specified range of addresses") rádiógombot.

"Címtartomány kiosztása" ("Address Range Assingnment"):
Meg kell adni legalább egy a működéshez szükséges IP címtartományt, ehhez kattintsunk az "Új" ("New") gombra. Adjuk meg kezdő címnek a 192.168.0.10, záró címnek a 192.168.0.14 címeket (ez 5 db kliensgép becsatlakozását jelenti). Természetesen ezektől a beállításoktól el lehet térni. Minimum 2 címet tartalmaznia kell a tartománynak, mert az elsőt a kiszolgáló a másodikat az ügyfél kapja meg. Ebből következik, hogy a fenti tartomány szerint a 192.168.0.10 cím lesz a VPN kapcsolat kiszolgáló oldali címe. Megmarad a helyi kapcsolat IP címe is, így minimum 2 db címmel lehet majd elérni a szervert. Nagyon fontos odafigyelni, hogy melyiken keresztül hozzuk létre a további kapcsolatot - melyiken keresztül fordulunk a kiszolgáló erőforrásaihoz a kezdeti kapcsolat felépítése után, mert a helyi elérési címen nem fog VPN forgalom zajlani.

"Több távelérési kiszolgáló kezelése" ("Managing Multiple Remote Access Servers"):
Ha egy hálózatban több távelérési kiszolgáló van, ezek hitelesítési szolgáltatását egy központi RADIUS kiszolgálóra lehet bízni. Előnye, hogy egy helyen adminisztrálható az összes bejövő kapcsolat. Példánkban feltételezzük, hogy nem áll rendelkezésre ilyen kiszolgáló, ezért hagyjuk aktívan a "Nem, most nem szeretném beállítani a RADIUS használatát" ("No, I don't want to set up this server to use RADIUS now").

Elérkeztünk a varázsló utolsó oldalára, lépjünk ki belőle a "Befejezés" ("Finish") gombra kattintva. Kapunk egy információs ablakot, hogy a DHCP továbbítást be kell állítani, de mivel mi nem használtuk a DHCP-t, ezért ezzel nem kell foglalkozni. Ezt követően rövid várakozás után elindul a VPN szerver szolgáltatás.

A varázsló elvégzett minden beállítást, de van a konzolon egy mappa, amely nem kifejezetten a konfiguráláshoz tartozik, hanem inkább egy figyelőeszköz - a "Távelérésű ügyfelek" ("Remote Access Clients") mappáról van szó. Itt jelennek meg ugyanis az aktuálisan csatlakozott felhasználók, zárójelben látjuk, hogy hányan vannak. Ha rákattintunk a jobb oldali egérgombbal a névre, megjelenik egy menü, ahol az alábbiakat tehetjük:

"Állapot" ("Status"): Általános információt szolgáltat a kapcsolatról, megkapjuk a távoli gép VPN IP címét és statisztikát a forgalomról.
"Kapcsolat bontása" ("Disconnect"): Kilépteti a felhasználót, bontva a kapcsolatot.
"Üzenet küldése" ("Send Message"): A Windows Messenger szolgáltatásán keresztül pár soros üzenet jeleníthető meg a felhasználó képernyőjén.
"Küldés mindenkinek" ("Send to All"): Ugyanaz, mint az előző csak minden bejelentkezetthez eljut. Általában kiszolgálók kikapcsolása előtt szokták alkalmazni, figyelmeztetve a klienseket a leállásra.

Következő lépés, hogy lehetővé kell tenni a felhasználói fiókok betárcsázását:
Nyissuk meg a Felügyeleti eszközök > Active Directory - felhasználók és számítógépek (Administrative Tools > Active Directory Users and Computers) konzolt. Tegyük fel, hogy csak a rendszergazdának adjuk meg a VPN használati lehetőséget: a "Users" tárolóban keressük meg a "Rendszergazda" ("Administrator") elemet, kattintsunk rá a jobb oldali egérgombbal és válasszuk a "Tulajdonságok" ("Properties") sort, utána a "Behívás" ("Dial-in") fület. Aktivizáljuk a "Távelérési engedély (behívás vagy VPN)" ("Remote Access Permission (Dial-in or VPN)") alatti "Elérés engedélyezése" ("Allow Access") rádiógombot és kattintsunk az "OK" gombra.





VPN lépésről-lépésre cikksorozat

Virtual Private Network kiszolgáló konfigurálása - VPN lépésről-lépésre 1. rész

VPN ügyfelek konfigurálása - VPN lépésről-lépésre 2. rész