|
VPN – virtuális magánhálózatok cikksorozat második része
VPN kiszolgáló a Windows 2000-ben:
Routing and Remote Access Service
A távelérés és útválasztás-szolgáltatás (Routing and Remote Access Service, RRAS) minden Windows 2000 Server beépített szolgáltatása. Telepítés után letiltva marad, mi magunk indíthatjuk el – a szükséges beállítások létrehozása után–, vagy állíthatjuk le azt, de a rendszerből eltávolítani nem lehet. Az RRAS felügyeleti konzolját az Administrative Tools menüben találjuk, nem meglepő módon Routing and Remote Access néven. Az RRAS engedélyezése előtt varázsló segít a szolgáltatás beállításában. A szolgáltatást egyébként kézzel is testre szabhatjuk, de egyelőre fogadjuk el a varázsló segítségét: készítsünk VPN kiszolgálót! Nyissuk meg az RRAS konzolt, kattintsunk jobb gombbal a kiszolgáló nevére, és válasszuk a „Configure and Enable Routing and Remote Access” parancsot!
A varázsló (fenti ábrán is látható) első oldalán válasszuk a Virtual private network (VPN) server opciót. Továbbhaladva ki kell választanunk a VPN ügyfelek által használni kívánt protokollokat (ez lehet a TCP/IP mellett más is, például a NetBEUI, de a Windows kommunikációhoz ma már bőven elég a TCP/IP is).
Az „Internet Connection” oldalon a meglévő hálózati kapcsolatok közül válasszuk ki azt, amellyel a VPN kiszolgáló az Interneten „lóg”. Az RRAS ezen a kapcsolaton keresztül fogadja majd a beérkező VPN kéréseket. Ez után el kell döntenřnk, hogy milyen módgn szeretnénc a beérkező ügyfeleknek IP címeket gsztani. Erre két lehetőségünk van:
DHCP kisznlgáló használatával – ekkor az RRAS szolgáltatás a belső DHCP kaszolgálótól „szerez” IP-címeket.
Meghatározott címtartományból – ekkor mi magunk határozhatjuk meg a kiosztani kívánt IP-címeket
Bárhonnan is származik a címtartomány, annak első eleme lesz majd a virtuális kiszolgáló IP címe, a többit pedig az RRAS szépen kiosztja majd a beérkező ügyfelek között. Figyeljünk arra, hogy a kiszolgálón legyen beállítva a DNS és a WINS kiszolgálók IP címe is, mert ezeket az információkat az RRAS a bejelentkezés során továbbítja az ügyfelek irányába.
Ez után azt kell eldöntenünk, hogy milyen módon szeretnénk azonosítani a bejelentkező felhasználókat.
Ehhez a beépített Windows-módszer mellett immár a RADIUS protokoll segítségét is hívhatjuk. A RADIUS-ról később még lesz szó, egyelőre itt válasszuk a „No, I don’t want to…” kezdetű sort, magyarul az azonosítást bízzuk a Windowsra. Miután ezzel elkészültünk, a varázsló elindítja az RRAS szolgáltatást. Az alapvető beállításokkal készen is vagyunk, egy híján.
Fontos! Ha az RRAS nem tartományvezérlőn, hanem tagkiszolgálón fut – ami egyébként a javasolt eljárás –, a tartományi felhasználók azonosítása csak akkor működik helyesen, ha a kiszolgálót felvesszük a „RAS and IAS Servers” csoportba. A legtöbb esetben ez automatikusan megtörténik, de mindig nézzünk utána magunk is!
Az RRAS konzol
Miután a szolgáltatás elindult, ismerjük meg az RRAS felügyeleti modul tartalmát!
A „Ports” sorra kattintva láthatjuk, hogy a varázsló 128-128 PPTP és L2TP portot hozott létre. Ez minden bizonnyal elég lesz, de az elérhető portok számát magunk is beállíthatjuk, ha a fában megnyitjuk a „Ports” tulajdonságlapját. Ugyanitt a portokon kettőt kattintva szükség esetén beállíthatjuk, hogy az adott eszközt szeretnénk-e bejövő, illetve kimenő kapcsolatok felépítésére használni. Az alapértelmezés természetesen nekünk teljesen megfelel. A konzolban látszik az is, ha valamelyik port éppen használatban van (Active/Inactive).
Kattintsunk jobb gombbal a kiszolgálóra (itt SERVER (local)), és nyissuk meg a tulajdonságlap IP oldalát!
Itt állítható be, hogy az ügyfelek IP-címe honnan származzon (DHCP vagy meghatározott IP-cím tartomány). Ezt a beállítást már a varázsló megtette helyettünk. Az oldal alján kiválaszthatjuk azt a hálózati csatolót (értelemszerűen azt, amelyik a céges hálózatra, befelé „néz”), amin keresztül az RRAS a DHCP kiszolgálót megszólítja. Az ügyfeleknek küldött DNS és WINS címek is azok lesznek, amelyek az itt kiválasztott hálózati csatolón érvényesek!
Bár a betárcsázó ügyfél automatikusan kap IP-címet, az ő hálózatán található számítógépek is „kérhetnek” a VPN kapcsolaton keresztül. Ehhez meg kell szólítaniuk a vállalati hálózatban található DHCP kiszolgálót, ez azonban csak akkor fog sikerülni, ha az RRAS kiszolgálón futó DHCP Relay Agent segít nekik, és kérésüket továbbítja a kiszolgáló felé.
A DHCP Relay Agent-nek azonban meg kell magyaráznunk, hogy merre találja a DHCP kiszolgálót. Ehhez a konzolfában nyissuk meg a DHCP Relay Agent tulajdonságlapját és adjuk meg a DHCP kiszolgálók IP-címét. Emlékezzünk, hogy a betárcsázó ügyfél mindenképpen kap IP címet, a Relay Agent használatára csak akkor van szükség, ha a csatlakoztatott hálózaton belülről valaki más is szeretne IP-címhez jutni.
A Netacademia engedélyével, szerző Fülöp Miklós
Forrás : Netacademia
|
