VPN VIRTUALNA PRIVATNA MREŽA

OBJAŠNJENJE I KONFIGURACIJA VPN VEZE

(korak po korak)

VPN VIRTUALNA PRIVATNA MREŽA

Virtualna privatna mreža (VPN) se koristi za povezivanje udaljenih računala u jednu (lokalnu) mrežu, pomoću druge nesigurne mreže, a to je najčešće internet.

Virtualna privatna mreža radi na principu "tuneliranja" podataka putem interneta, promet između računala koja nisu fizički spojena u lokalnu mrežu se kriptiraju, te se kriptirani šalju putem interneta do drugog računala u virtualnoj mreži koje ih tada dekriptira.

Što je VPN ?

Vrste VPN-a po načinu ostvarivanja veze

Postoje tri osnovne mogućnosti za ostvarivanje VPN veze:

1. Korištenjem usluga telefonskih operatera2. Korištenjem softverskih rješenja kao što je npr.

“OpenVPN”3. Korištenjem Microsoft Windows operativnih

sustava

Usluga telefonskih operateraKoristi posebnu vezu, bez opterećivanja postojeće.Visoka kvaliteta u prenosu podataka.Komercijalno rješenje

Softverska rješenja “OpenVPN”Jednostavan za instalaciju i upotrebuBesplatan , trenutno ima preko 5 miliona korisnikaKoristi mogućnosti postojeće veze (internet,ADSL)

VPN u OSI referentnom modelu

VPN veza može biti ostvarena u sljedećim slojevima OSI referentnog modela.

Na podatkovnom sloju (layer 2) sa protokolima:

1. Point-to-Point Tunneling Protocol (PPTP) 2. Layer 2 Tunneling Protocol (L2TP).Na mrežnom sloju (layer 3)koristi se IPSec

protokol IPSec vrši osiguravanje aktualnih paketa

podataka i ne koristi vezu za prenos podataka.

. Point to point tuneling protokol (PPTP)Point to point tunelling protokol (PPTP) je

nastavak od Point to point protokola(PPP),to su enkapsulirani (PPP) okviri u IP datagrame da bi se izvršio prenos podataka preko IP međumreže.

Da bi stvorio i održavao tunel PPTP protokol koristi TCP vezu.

U primjeni PPTP-a podržana je i 40-bitna i 128-bitna enkripcija podataka.

PPTP koristi MPPE(Microsoft Point-to-Point Encryption) za enkripciju VPN podataka u PPTP VPN, a MPPE treba EAP-TLS ili MS-CHAP generirane enkripcijske ključeve.

Layer 2 tunneling protokol (L2TP)Layer 2 tunneling protokol (L2TP) je

kombinacija prednosti i značajki od PPTP i Layer 2 Forwarding(L2F) protokola

L2TP koristi UDP pakete i brojne L2TP poruke za održavanje tunela.

UDP se koristi za slanje L2TP enkapsuliranih PPP okvira kao tuneliranih podataka.

Kada se L2TP koristi sa IPSec tada je osiguran najveći nivo sigurnosti u prenosu podataka. To uključuje povjerljivost i integritet podataka, autentičnost, kao i ponavljanje zaštite.

IP Security (sigurnosni protokol)IPSec štiti paketske podatke i tako omogućava

sigurnost unutar nesigurne mreže kao što je internet.IPSec koristi enkripciju, digitalno označavanje i

algoritam nasumičnog označavaja (raspršeno indeksiranje) da bi osigurao podatke.

Postoje dva IPSec protokola a to su: Autentication header(AH) omogućava provjeru

autentičnosti podataka , integritet podataka i „ponovljenu zaštitu“ podataka

Encapssulating security payload (ESP) omogućava provjeru autentičnosti podataka , „ponovljenu zaštitu“ podataka, i povjerljivost podataka.

Osnovni preduvjeti za VPN vezuNekoliko glavnih komponenti je potrebno napraviti (kreirati)

da bi se uspostavila VPN veza, a to su:1. VPN servis treba biti omogućen od strane servera.2. VPN klijent treba imati instaliran VPN klijentski softver i

VPN klijent mora koristiti internet, tuneliranje i TCP/IP protokol da uspostavi mrežno spajanje.

3. Server i klijent moraju biti na istoj mreži4. Mora postojati „Public key“ infrastruktura (mogućnost

enkripcije podataka kroz javnu mrežu interneta)5. Server i klinent moraju koristiti iste: Protokole za tuneliranje Metode provjeravanja autentičnosti Enkripcijske podatke6. Centraliziran „accounting“

Dio 2.

Praktični dio ostvarivanja VPN veze

(korak po korak)

UvodProceduru stvaranje virtualne privatne mreže se može

razdvojiti na tri dijela:Konfiguriranje routera- potrebno je konfigurirati

router mreže na koji se spajamo (iza kojeg se nalazi server). Nije potrebno konfigurirati router (ako postoji) s kojeg se spajamo na virtualnu privatnu mrežu, osim ako želimo da to računalo(a) budu dostupna i s drug strane (računala u uredu).

Konfiguriranje poslužitelja (servera)- potrebno je konfigurirati server (računalo na kojem se nalazi baza podataka programa).

Konfiguriranje klijenata- konfiguriranje udaljenih računala s kojih se želimo spajati u ured.

Konfiguriranje routera Thompson SpeedTouch

router

1. Pokrenite korisničko sučelje routera (obično se nalazi na http://192.168.2.1, http://192.168.100.1 ili http://192.168.0.254).

2. Upišite korisničko ime (uobičajeno admin ili Administrator), te lozinku (obično prazno, admin ili 0000) za pristup korisničkom sučelju routera.

3. Izaberite Game & Application Sharing, kao na sljedećoj slici.

Konfiguriranje routera4. Izaberite

Create a new game or application, upišite proizvoljni naziv aplikacije, označite Manual entry of port maps i kliknite Next.

Konfiguriranje routera5. Za Protocol

izaberite TCP, a za Port Range upišite 1723 i kliknite na Add kao na slici.

Konfiguriranje routera6. Izaberite Assign

a game or application to a local network device.

7. Za Game or Application izaberite upravo kreiranu aplikaciju, a za Device naziv vašeg servera, te kliknite na Add kao na slici.

Konfiguriranje poslužitelja (servera)

1. Iz Windows Start izbornika izaberite Contol Panel.

2. U Windowsima XP u Control Panelu kliknite na Network and Internet Connections pa na ikonu Network Connections. U starijim Windowsima u Contol panel-u kliknite dvostruko mišem na ikonu Network Connections

Konfiguriranje poslužitelja (servera)3. U Welcome to the

new Connection Wizard čarobnjaku kliknite Next .

4. Za vrstu veze izaberite Set up advanced connection (Instaliraj proširenu mrežu) kao na sljedećom slici i kliknite Next .

Konfiguriranje poslužitelja (servera)5. U sljedećem koraku

izaberite Accept Incoming Connections i kliknite Next.

6. Za Devices for Incoming Connections (Uređaji za dolazne veze) nemojte označiti ništa, samo kliknite na Next.

7. U sljedećem koraku izaberite Allow virtual private connections i kliknite Next.

Konfiguriranje poslužitelja (servera)8. Izaberite koji korisnici će

se moći spojiti na ovo računalo putem VPN-a. U ovom koraku je preporučljivo stvoriti novog korisnika za svaku udaljenu lokaciju sa limitiranim pravima

9. U koraku Networking Software, obvezno izaberite Internet Protocol (TCP/IP), te File and Printer Sharing for Microsoft Networks ukoliko želite dopustiti pristup dokumentima.

Konfiguriranje poslužitelja (servera)10. U koraku

Networking Software, obvezno izaberite Internet Protocol (TCP/IP), te File and Printer Sharing for Microsoft Networks ukoliko želite dopustiti pristup dokumentima.

11.Kliknite Finish

Konfiguriranje poslužitelja (servera)12.Ukoliko se server

nalazi iza vatrozida (firewalla), a obično se nalazi, potrebno je otvoriti port 1723 koji koristi Windows tzv. 'point-to-point-tunneling' protokol (PPTP)

13.U Kontrolnoj ploči Control Panel kliknite na Security Center, pa na Windows Firewall kao na slici.

Konfiguriranje poslužitelja (servera)14.U Windows Firewall

prozoru kliknite na Exceptions, pa zatim na Add port kao na slici.

15.U Add a Port prozoru u polje Name (naziv porta) upišite za naziv porta (na primjer VPN), a u polje Port number upišite 1723. Na ovaj način ste otvorili pristup VPN-u svim računalima iz lokalne mreže i sa Interneta.

Konfiguriranje klijentaNa kraju nam je ostao

najjednostavniji zadatak, konfiguriranje udaljenih računala koje se spajaju na server.

Iz Windows Start izbornika izaberite Contol Panel

U Windowsima XP (Control Panel) pritisnite na Network and Internet Connections, pa na ikonu Network Connections.

Konfiguriranje klijentaU Welcome to the

new Connection Wizard čarobnjaku kliknite Next

Za vrstu veze izaberite Connect to my network at my workplace kao na slici i kliknite Next.

•U sljedećem koraku izaberite Virtual Private Network connection (Veza do privatne virtualne mreže) i kliknite Next (Dalje).

Konfiguriranje klijentaIzaberite Virtual

Private Network connection i kliknite Next.

Upišite naziv veze (na primjer naziv lokacije-računala na koji se ova mrežna veza spaja).

U sljedećem koraku izaberite Do not dial initial connection a zatim Next

Konfiguriranje klijentaUpišite IP adresu

(ukoliko imate statičku IP adresu) ili dyndns adresu koju ste kreirali ukoliko server ima dinamičku IP adresu

U završnom koraku možete označiti Add a shortcut to this connection to my desktop, kako bi stvorili ikonu na vašoj radnoj površini.

KrajJoško Smolčić 15.01.2011

SVEUČILIŠNI STUDIJSKI CENTAR ZA STRUČNE STUDIJE U SPLITU