Skip navigation.
Početna stranica

Stvaranje virtualne privatne mreže

Sažetak

U ovom članku je opisano stvaranje virtualne privatne mreže (VPN) u operativnom sustavu Microsoft Windows.

Virtualna privatna mreža (VPN) se koristi za povezivanje udaljenih računala u jednu (lokalnu) mrežu, pomoć druge nesigurne mreže, najčešće interneta. Virtualna privatna mreža radi na principu "tuneliranja" podataka putem interneta, naime promet između računala koja nisu fizički spojena u lokalnu mrežu se kriptiraju, te se kriptirani šalju putem interneta do drugog računala u virtualnoj mreži koje ih tada dekriptira.

Napomena: u ovom članku su korištene slike dijaloških okvira operativnog sustava Windows XP, dijaloški okviri u drugim operativnim sustavima (Windows 2000/2003/Vista/7) mogu imati nešto drugačiji izgled.

Detaljni opis

Postoje razna VPN rješenja (usluge telefonskih operatera, softverska rješenja kao što je OpenVPN), a u ovom članku je opisano stvaranje VPN-a pomoću servisa ugrađenog u Microsoft Windows operativne sustave.

Premda ovaj članak na prvi pogled izgleda velik, a stvaranje virtualne mreže presloženo, opis je vrlo detaljan, tako da i korisnik s relativno malo znanja i iskustva može stvoriti virtualnu mrežu za oko 1 do 2 sata.

Proceduru stvaranje virtualne privatne mreže smo razdvojili na tri dijela:

  • Konfiguriranje routera - potrebno je konfigurirati router mreže na koji se spajamo (iza kojeg se nalazi server). Nije potrebno konfigurirati router (ako postoji) s kojeg se spajamo na virtualnu privatnu mrežu, osim ako želimo da to računalo(a) budu dostupna i s drug strane (računala u uredu).
  • Konfiguriranje poslužitelja (servera) - potrebno je konfigurirati server (računalo na kojem se nalazi baza podataka programa Odvjetnički ured).
  • Konfiguriranje klijenata - konfiguriranje udaljenih računala s kojih se želimo spajati u ured.

Konfiguriranje routera

Tipična lokalna mreža se sastoji od nekoliko računala spojenih kabelima, povezanih putem routera koji je u manjim mrežama ujedno i DSL modem. Jedno od tih računala u mreži treba vršiti funkciju poslužitelja, to može biti bilo koje računalo, a jedini uvjet je da bude stalno uključeno i da mu operativni sustav bude barem Windows XP Professional (Windows Vista Business), a na njemu se obično nalazi baza podataka Odvjetničkog ureda i dijeljeni dokumenti.

Dinamička IP adresa

Ukoliko vaš ured ima statičku javnu IP adresu, preskočite ovo poglavlje.

Manje lokalne mreže i kućni korisnici obično nemaju statičnu javnu IP adresu, već im adresu dodjeljuje davatelj usluga prilikom spajanja na Internet (a koja je svaki put različita). Ukoliko je router stalno spojen na internet, vijek trajanja dodijeljene javne IP adrese je obično 24 sata (davatelji usluga obično oko ponoći dodjeljuju novu adresu).

Kako ne želimo svaki put prije spajanja u VPN mrežu prizvati telefonom da nam se kaže koja je trenutna javna IP adresa udaljene lokalne mreže, koristiti ćemo besplatne usluge internetskog servisa www.dyndns.org, koji će nam javiti trenutnu IP adresu udaljene lokalne mreže. Ovaj servis je podržan od strane praktično svakog routera, a radi na način da router prilikom svake promjene javne IP adrese istu dostavi dydns.org servisu, a mi routeru odnosno udaljenoj lokalnoj mreži ne pristupamo pomoću javne IP adrese, već domene (na primjer moja_mreza.dyndns.org).

Na stranicama www.dyndns.org je potrebno kreirati besplatan korisnički račun koji se sastoji od korisničkog imena, lozinke i proizvoljnog imena poddomene, a zatim te podatke upisati i u konfiguracijske postavke routera.

Da biste upisali sve potrebne postavke na routeru, pokrenite web preglednik i pristupite konfiguracijskom sučelju routera, a koje se najčešće nalazi na adresi http://192.168.2.1 (http://192.168.100.1, http://192.168.0.1, http://192.168.1.1) i upišite korisničko ime (uobičajeno admin ili Administrator), te pristupnu lozinku (obično prazno, admin ili 0000). Točne podatke o konfiguracijskoj adresi routera, korisničkom imenu i lozinki možete potražiti u uputama ili internet stranicama davatelja usluga.

Kako je korisničko sučelje svakog routera različito, ovdje ćemo opisati detaljnu proceduru za u Republici Hrvatskoj dva najčešća routera: Siemens Gigaset i Thompson SpeedTouch.

Za konfiguriranje Siemens Gigaset SE5xx routera:

  1. Kliknite na karticu Advanced Settings i iz izbornika na lijevoj strani odaberite Internet.
  2. Odaberite Dynamic DNS, te je postavite na On.
  3. Za Service provider odaberite dyndns.org, upišite naziv izabrane domene, korisničko ime i lozinku za dyndns.org servis.
  4. Kliknite OK.

Za konfiguriranje Thompson SpeedTouch routera:

  1. Kliknite na Toolbox, a zatim na Dynamic DNS.
  2. Kliknite na Configure koji se obično nalazi u gornjem desnom dijelu prozora.
  3. Uključite ociju Enabled, za Interface izaberite Internet, upišite korisničko ime i lozinku za dyndns.org servis, za Service izaberite dyndns, te upišite naziv izabrane domene (na primjer moja_mreza.dyndns.org).
  4. Kliknite Apply.

Preusmjeravanje portova

Podaci koji se šalju s udaljenog računala na server ili neko drugo računalo u uredu i obrnuto, se kriptiraju, dodaju se nova zaglavlja paketima podataka, te se šalju routeru udaljene mreže (ureda) na točno određeni port (1723 kod PPTP protokola). Podaci se moraju slati routeru, jer je jedini on vidljiv s interneta. Kad router primi podatke na taj port (1723) on će ih jednostavno odbaciti, osim ako mu ne kažemo da sav promet koji je došao na taj port ne proslijedi na server. Kad router proslijedi podatke na server, server ih dekriptira, rekonstruiraju se originalna zaglavlja (koja sadrže lokalnu IP adresu računala), te se dalje dekriptirani šalju ciljnom računalu (kao da nisu ni prošli kroz internet tunel).

Kako je korisničko sučelje svakog routera različito, ovdje ćemo opisati detaljnu proceduru za u Republici Hrvatskoj dva najčešća routera: Siemens Gigaset i Thompson SpeedTouch.

Za konfiguriranje Siemens Gigaset SE5xx routera:

  1. Pokrenite korisničko sučelje routera (obično se nalazi na http://192.168.2.1, http://192.168.100.1 ili http://192.168.0.254).
  2. Upišite korisničko ime (uobičajeno admin ili Administrator), te lozinku (obično prazno, admin ili 0000) za pristup korisničkom sučelju routera.
  3. U kartici Advanced Settings kliknite na Internet, pa na Address Translation (NAT), te konačno na opciju Port Forwarding.
  4. Za Protocol odaberite TCP, u Public port i Local port poljima upišite 1723, a za Local IP address upišite lokalnu IP adresu servera. Kako saznati lokalnu IP adresu računala možete pročitati ovdje.
  5. Upišite proizvoljni komentar.
  6. Kliknite prvo na Add, a zatim na OK

Za konfiguriranje Thompson SpeedTouch routera:

  1. Pokrenite korisničko sučelje routera (obično se nalazi na http://192.168.2.1, http://192.168.100.1 ili http://192.168.0.254).
  2. Upišite korisničko ime (uobičajeno admin ili Administrator), te lozinku (obično prazno, admin ili 0000) za pristup korisničkom sučelju routera.
  3. Izaberite Game & Application Sharing, kao na sljedećoj slici.
  4. Izaberite Create a new game or application, upišite proizvoljni naziv aplikacije, označite Manual entry of port maps i kliknite Next.
  5. Za Protocol izaberite TCP, a za Port Range upišite 1723 i kliknite na Add kao na sljedećoj slici.
  6. Za Protocol izaberite TCP, a za Port Range upišite 1723 i kliknite na Add kao na sljedećoj slici.
  7. Izaberite Assign a game or application to a local network device.
  8. Za Game or Application izaberite upravo kreiranu aplikaciju, a za Device naziv vašeg servera, te kliknite na Add kao na sljedećoj slici.

Konfiguriranje poslužitelja (servera)

Da bi mogli uspostaviti VPN konekciju, potrebno je omogućiti primanje dolaznih veza na serveru, odnosno računalu u uredu kojem ćete pristupati preko Interneta.

Stvaranje VPN mrežne veze

  1. Iz Windows Start izbornika izaberite Contol Panel (Upravljačka ploča).
  2. U Windowsima XP u Control Panelu (upravljačkoj ploči) kliknite na Network and Internet Connections (Mreža i internetske veze), pa na ikonu Network Connections (Mrežne veze). U starijim Windowsima u Upravljačkoj ploči (Contol panel) kliknite dvostruko mišem na ikonu Network Connections (Mrežne veze).
  3. U Welcome to the new Connection Wizard čarobnjaku kliknite Next (Dalje).
  4. Za vrstu veze izaberite Set up advanced connection (Instaliraj proširenu mrežu) kao na sljedećom slici i kliknite Next (Dalje).
  5. U sljedećem koraku izaberite Accept Incoming Connections (Prihvati dolazne veze) i kliknite Next (Dalje).
  6. Za Devices for Incoming Connections (Uređaji za dolazne veze) nemojte označiti ništa, samo kliknite na Next (Dalje).
  7. U sljedećem koraku izaberite Allow virtual private connections (Dozvoli virtualne privatne veze) i kliknite Next (Dalje).
  8. Izaberite koji korisnici će se moći spojiti na ovo računalo putem VPN-a. U ovom koraku je preporučljivo stvoriti novog korisnika za svaku udaljenu lokaciju sa limitiranim pravima. Postojećim korisnicima možete dopustiti pristup putem VPN-a samo ukoliko imaju dovoljno složene lozinke (što u pravili nije slučaj). Lozinke moraju biti izuzetno složene, sastavljene od brojeva, velikih i malih slova (npr. Bxb53Aou3SgIIhc76aOP45FGaZ), imena djece, godine rođenja, riječi iz rječnika i slične stvari su ovdje apsolutno neprihvatljive. Lozinku ćete ionako upisati samo jednom na udaljenom računalu.
  9. U koraku Networking Software (Programi za umrežavanje), obvezno izaberite Internet Protocol (TCP/IP), te File and Printer Sharing for Microsoft Networks ukoliko želite dopustiti pristup dokumentima. U ovom koraku možete odrediti i koju će IP adresu korisnik dobiti prilikom spajanja na lokalnu mrežu, ako kliknete na Internet Protocol (TCP/IP) te Properties. Ukoliko ne dirate ništa, udaljenom će računalu IP adresu dodijeliti DHCP server (a ukoliko on ne postoji IP adresa će mu biti 169.254.xxx.xxx, gdje je x slučajni broj). Kliknite na Next (Dalje).
  10. Kliknite Finish.

Vatrozid (Firewall)

Ukoliko se server nalazi iza vatrozida (firewalla), a obično se nalazi, potrebno je otvoriti port 1723 koji koristi Windows tzv. 'point-to-point-tunneling' protokol (PPTP). U ovom poglavlju je opisana procedura za dva najčešća vartrozida Windows Firewall i ZoneAlarm. U drugim vatrozidima je procedura slična, a sve što treba napraviti je dodati izuzetak odnosno omogućiti port 1723.

Windows Firewall

  1. U Kontrolnoj ploči (Control Panel) kliknite na Security Center, pa na Windows Firewall kao na sljedećoj slici.
  2. U Windows Firewall prozoru kliknite na Exceptions, pa zatim na Add port kao na sljedećoj slici.
  3. U Add a Port prozoru u polje Name (naziv porta) upišite za naziv porta (na primjer VPN), a u polje Port number upišite 1723. Na ovaj način ste otvorili pristup VPN-u svim računalima iz lokalne mreže i sa Interneta. Ukoliko želite dopustiti pristup samo određenim računalima pritisnite Change scope.

ZoneAlarm

  1. Dvostruko kliknite na ZoneAlarm ikonu u donjem desnom kutu zaslona.
  2. U ZoneAlarm prozoru, kliknite na Firewall, Main i na kraju Advanced kao na sljedećoj slici.
  3. U Advanced settings dijaloškom okviru uključite Allow VPN protocols.
  4. U ZoneAlarm prozoru, kliknite na Custom u Internet Zone Security okviru.
  5. U Custom Firewall Settings dijaloškom okviru, kliknite na Internet Zone, a zatim omogućite Allow incoming TCP ports, a za portove upišite 1723 kao na sljedećoj slici. Isto napravite i za Allow outgoing TPC ports.

Konfiguriranje klijenta

Na kraju nam je ostao najjednostavniji zadatak, konfiguriranje udaljenih računala koje se spajaju u udaljenu lokalnu mrežu (poslužitelj).

  1. Iz Windows Start izbornika izaberite Contol Panel (Upravljačka ploča).
  2. U Windowsima XP u Upravljačkoj ploči (Control Panel) pritisnite na Network and Internet Connections (Mreža i internetske veze), pa na ikonu Network Connections (Mrežne veze). U starijim Windowsima u Upravljačkoj ploči (Contol panel) kliknite dvostruko mišem na ikonu Network Connections (Mrežne veze).
  3. U Welcome to the new Connection Wizard čarobnjaku kliknite Next (Dalje).
  4. Za vrstu veze izaberite Connect to my network at my workplace (Poveži se s mrežom na mom radnom mjestu) kao na sljedećom slici i kliknite Next (Dalje).
  5. U sljedećem koraku izaberite Virtual Private Network connection (Veza do privatne virtualne mreže) i kliknite Next (Dalje).
  6. U sljedećem koraku upišite naziv veze (na primjer naziv lokacije-računala na koji se ova mrežna veza spaja).
  7. U sljedećem koraku izaberite Do not dial initial connection (Ne nazivaj početnu vezu) i kliknite Next (Dalje).
  8. Upišite IP adresu (ukoliko imate statička IP adresu) ili dyndns.org adresu koju ste kreirali prilikom konfiguracije routera.
  9. U završnom koraku možete označiti Add a shortcut to this connection to my desktop, kako bi stvorili ikonu na vašoj radnoj površini.

Za spajanje:

  1. Nakon stvaranja veze, kliknite dvostruko na novu VPN konekciju.
  2. Upišite korisničko ime, lozinku i kliknite na Connect. Ukoliko nam je lozinka presložena da bi je zapamtili, a sigurni ste da računalu s kojeg se spajate imate samo vi pristup, u ovom dijaloškom okviru možete spremiti tu lozinku.

Reference

Povezivanje udaljenih lokacija (ureda)

Odnosi se na

Windows XP (u novijim verzijama su moguće izmjene).