Konfiguracija VPN konekcije

Kroz ovu lekciju ćete steći znanja i veštine koja su Vam potrebna da na pravi način
konfigurišešteVPN konekciju.

Kako radi VPN konekcija

Routing and Remote Access service nudi VPN servise tako da korisnici mogu da pristupe
mreži organizacije na siguran način šifrovanjem podataka izmeñu dva kompjutera kroz
deljenu javnu mrežu. Paketi koji budu uhvaćeni na deljenoj ili javnoj mreži ne mogu se
pročitati bez Encryption Keys (ključeva za šifrovanje). Link u kojem su privatni podaci
kapsulirani i šifrovani je VPN konekcija. VPN konekcija se takoñe naziva i VPN tunel.

Proces VPN konekcije je opisan u sledećin koracima:

1. VPN klijent pokušava da uspostavi VPN konekciju ka Remote Access Serveru-VPN

serveru koji je konektovan na Internet. VPN server se ponaša kao Gateway i
normalno je konfigurisan da nudi pristup ka celoj mreži na kojoj je VPN server
povezan.

2. VPN server odgovara na virtualni poziv.

3. VPN server autentifikuje subjekta koji je napravio poziv i proverava njegovu

autorizaciju da bi dopustio korisniku da se konektuje na mrežu.

4. VPN server izvršava transfer podataka izmeñu VPN klijenta i mrežne organizacije.

Prednosti VPN: VPN dozvoljava korisnicima ili organizacijama da se konektuju na udaljene

servere, manje kancelarije i na mreže drugih organizacija preko javne mreže (Interneta) i to
sve preko veoma sigurne konekcije. U svim ovim slučajevima, sigurna konekcija se
pojavljuje korisniku kao Private Network Communication – uprkos činjenici da komunikacija
ide preko javne mreže (Interneta). Ostale prednosti su:

• Prednosti u ceni: VPN ne koristi telefonsku liniju i zahteva manje hardvera (Internet
Service Provider ISP održava sav komunikacioni hardver).

• Povećana sigurnost: Osetljivi podaci su sakriveni od neautorizovanih korisnika, ali

su pristupaćni za korisnike koji su prošli proces autorizacije. VPN server prisiljava na
autentifikaciju i šifrovanje.

• Podrška za mrežne protokole: Možemo udaljeno da startujemo bilo koju aplikaciju

koja zavisi od najčešćih mrežnih protokola, kao što je TCP-IP protokol.

Copyright © Link group

 • Sigurnost IP adresa: Iz razloga što su informacije koje se šalju preko VPN
šifrovane, adresa koju smo odredili je zaštićena i saobraćaj koji se šalje preko
interneta će imati vidiljivu samo eksternu IP adresu.

Komponente VPN konekcije

VPN konekcija uključuje sledeće komponente:

• VPN Server: Kompjuter koji prihvata VPN konekcije od VPN klijenata, kao što je na
primer server konfigurisan sa Routing and Remote Access servisom.

• VPN klijent: Kompjuter koji inicira VPN konekciju ka VPN serveru.

• Tranzit mreža: Deljena ili javna mreža kroz koju prolaze kapsulirani podaci.

• VPN konekcija ili VPN tunel: Deo konekcije u kojoj su naši podaci šifrovani i
kapsulirani.

• Tunneling Protokoli: Protokoli koji se koriste za upravljanje tunelima i za

kapsuliranje privatnih podataka (na primer, Point-to-Point Tunneling Protocol PPTP).

• Podaci koji se šalju kroz Tunel: Podaci koji se obično šalju kroz privatni Point-to-
Point link.

• Autentifikacija: Identitet klijenta i servera u VPN konekciji se autentifikuju. Da bi se

osiguralo da primljeni podaci predstavljaju podatke koje je stvarno poslao član
konekcije (VPN klijent) i da podaci nisu prestretnuti i modifikovani, VPN takoñe
autentifikuje podatke koje su poslati.

• Adrese i lociranje Name servera: VPN server je odgovoran za dodeljivanje IP

adresa koje dodeljuje preko defoltnog protokola, DHCP ili iz skupa statičkih IP adresa
koji je kreirao administrator. VPN server takoñe locira i daje adrese DNS i WINS
servera VPN klijentima.

Encryption protokoli za VPN konekcije

Postoje dva tipa Tunneling protokola koje koristi Windows Server 2003 familija kad želi da
zaštiti komunikaciju:

• Point-to-Point Tunneling Protocol (PPTP): Koristi User-Level PPP autentifikacione

motode i Microsoft Point-to-Point Ecryption (MPPE) za šifrovanje podataka.

• Layer Two Tunneling Protocol with Internet Protocol Security (L2TP-IPSec):

Koristi User-Level PPP autentifikacione metode preko konekcije koja je šifrovana
koristeći IPSec. IPSec zahteva autentifikaciju hosta koristeći Kerberos protokol,
Preshared Keys ili sertifikate na nivou kompjutera (Computer-level).

Copyright © Link group

Preporučuje se da koristimo L2TP-IPSec sa sertifikatima za sigurnu VPN autentifikaciju.
Koristeći Internet Protocol Security (IPSec) autentifikaciju i šifrovanje, transfer podataka
kroz L2TP-enabled VPN je sigurna unutar jednog LAN-a u mreži organizacije.

VPN klijent i VPN server moraju da podržavaju i L2TP i IPSec. Klijentska podrška za L2TP je
ugrañena u Windows XP Remote Access Client, a VPN server podrška za L2TP je ugrañena u
sve Windows Server 2003 verzije operativnog sistema.

Podrška na serveru za L2TP je instalirana kada instaliramo Routing and Remote Access
servis. U zavisnosti od naših odluka, kada startujemo Routing and Remote Access Server
Setup Wizard, L2TP je konfigurisan da ima 5 ili 128 L2TP portova.

Konfiguracioni zahtevi za VPN Server

Pre nego što budemo mogli da konfigurišemo VPN konekciju, moramo da omogućimo
Routing and Remote Access servis. Omgućavanjem Routing and Remote Access servisa
startujemo Routing and Remote Access Setup Wizard uz čiju pomoć možemo da
konfigurišemo naš VPN server. Ako smo na serveru još ranije omogućili Routing and Remote
Access servis, možemo da konfigurišemo VPN Network Access sa Remote Access Server
Properties-a.

Sledeća tabela izlistava informacije koje je potrebno da znamo pre konfiguracije Remote
Access-VPN servera.

Before Adding a VPN Server Role Comments

Identifikovati koji je mrežni interfejs
konektovan na Internet, a koji je
mrežni interfejs konektovan na
privatnu mrežu.
Identifikovati da li će udaljeni klijenti
dobijati IP adrese od DHCP servera
na našoj privatnoj mreži ili od VPN
servera koji želimo da konfigurišemo.
Identifikovati da li želimo da zahtevi
od VPN klijenata budu autentifikovani
koristeći RADIUS server ili će taj
proces odrañivati VPN server koji
želimo da konfigurišemo
U toku konfiguracije od nas će biti
zahtevano da izaberemo interfejs koji je
povezan na Internet. Ako odredimo
pogrešan interfejs, naš Remote Access-VPN
server neće raditi kako treba.
Ako imamo DHCP server na našoj privatnoj
mreži, VPN server može da iznajmi 10
adresa odjednom sa DHCP servera i te
adrese dodeli VPN klijentima. Ako nemamo
DHCP server na našoj privatnoj mreži, VPN
server može automatski da dodeljuje IP
adrese udaljenim klijentima. Ako želimo da
VPN server dodeljuje IP adrese iz skupa koji
smo mi konfigurisali, moramo prethodno da
konfigurišemo skup tih IP adresa (Scope).
Dodavanje RADIUS servera je veoma
korisno ako planiramo da instaliramo i
konfigurišemo više VPN servera, Wireless
Access Point-a ili drugih RADIUS klijenata
na našoj privatnoj mreži. Dodavanje
RADIUS servera će biti detaljnije
objašnjeno u sledećim lekcijama u ovom
modulu.

Copyright © Link group

Konfiguracija Remote Access servera za VPN konekcije

Pre same konfiguracije VPN servera, prvo moramo da dodamo Remote Access-VPN ulogu
servera. Moramo da budemo članovi Administrators grupe na loklanom kompjuteru da bismo
mogli da dodajemo uloge serveru.

Nakon dodavanja uloge VPN server Role, moramo da koristimo Configure Your Server
Wizard da bismo konfigurisali server za VPN konekcije. Iz Manage Your Server, kliknemo na
Add or Remove Role i nakon toga kliknemo na Remote Access-VPN Server.

Registrovanje Remote Access servera u aktivnom direktorijumu: Ako nismo

domenski administrator (Domain Administrstor), potrebno je da tražimo od administratora
domena da doda nalog kompjutera odgovarajućeg servera u RAS and IAS servera
sigurnosnu grupu u domen kojem pripada server. Domenski administrator može da doda
kompjuterski nalog u RAS and IAS Servers Security grupu koristeći Active Directory Users
and Computers alatkicu.

Konfiguracija Remote Access servera za VPN konekcije:

1. Klik na Start pa Control Panel.

2. U Control Panelu otvorimo Administrative Tools i nakon toga kliknemo Manage Your
Server.
3. U Manage your Server prozoru kliknemo na Add or Remove a Role da bi pristupli
Configure Your Server čarobnjaku.
4. Na Preliminary Steps stranici kliknemo na Next.
5. Na Server Role stranici kliknemo na Remote Access-VPN server i nakon toga
kliknemo na Next.
6. Na Summary Selection stranici kliknemo na Next.
7. Na Wellcome to the Routing and Remote Access Setup Wizard stranici kliknemo na
Next.
8. Na Configuration stranici selektujemo Remote Access (dial-up or VPN) i kliknemo na
next.
9. Na Remote Access stranici proverimo da li je postavljena opcija VPN i kliknemo na
Next.
10. Na VPN Connection stranici kliknemo na mrežni interfejs dok se kompjuter konektuje
na Internet. Mrežni interfejs, koji izaberemo, biće konfigurisan da prima konekcije od
VPN klijenata. Svaki interfejs koji nismo izabrali biće konfigurisan kao konekcija ka
privatnoj mreži.
11. Na IP Address Asigment stranici, potrebno je selektujemo ili Automatically ili From a
Specified Range of Addresses opciju. Defoltna opcija koja je postavljena je
Automatically. Ova sekcija konfiguriše naš server da generiše i dodeljuje IP adrese
udaljenim klijentima. Kliknemo na Next.
12. Na Managing Multiple Remote Access Servers stranici automatski je selektovana
opcija No, use Routing and Remote Access to Authenticate Connection Requests.
Nemojte menjati ovu opciju. Ova opcija konfiguriše naš server da autentifikuje
zahteve za konekcijama lokalno koristeći Windows autentifikaciju, Windows
Accounting i lokalno smeštene Remote Access Polises. Kliknemo na Next.
13. Na Completing the Routing and Remote Access Server Setup Wizard stranici
pregledamo konačne informacije. Proverimo da sve sto smo postavili...
14. U slučaju da smo napravili odreñenu grešku, potrebno je da kliknemo na Back i
nakon toga promenimo informaciju. Nakon što je kompletna informacija tačna,
kliknemo na Finish.

Copyright © Link group

 15. Routing and Remote Access Message boks prikazuje poruku u kojoj se navodi da:
Windows nije u mogućnosti da doda ovaj kompjuter u listu validnih Remote Access
servera u aktivnom direktorijumu. Pre početka korišćenja kompjutera kao Remote
Access servera, domenski administrator mora da završi ovaj zadatak. Kliknemo na
OK.
16. Routing and Remote Access Message boks prikazuje poruku u kojoj se navodi da: Da
bismo podržali DHCP poruke od udaljenih klijenata, moramo da konfigurišemo
Properties DHCP Relay Agenta sa IP adresom našeg DHCP servera.
17. Routing and Remote Access servis će biti automatski startovan, i pojaviće se
Configure Your Server čarobnjak. Na This Server is Now a Remote Access-VPN Server
stranici, kliknemo na Finish.

Konfiguracija broja portova odzvoljenih na serveru:

1. Otvorimo Routing and Remote Access konzolu.

2. U Routing and Remote Access konzoli proširimo ime kompjutera, kliknemo na Ports
zatim u Action meniju, kliknemo na Properties.
3. U Ports Properties dijalog boksu, selektujemo odgovarajući port i zatim kliknemo na
Configure.
4. U Configure Device – Device Name dijalog boksu, upišemo maksimalni broj portova u
Maximum Ports polju.
5. Kliknemo na OK da zatvorimo Configure Devices – DeviceName dijalog boksu i nakon
toga kliknemo na OK da zatvorimo Ports Properties dijalog boks.

Konfiguracija Remote Access klijenta za VPN konekciju

Koristimo Network Connection da konfigurišemo klijenta za VPN konekciju. Nakon što smo
kreirali novu konekciju, možemo da je iskopiramo u Network Connections folder i nakon toga
konekciji promenimo ime i modifikujemo postavke. Kopiranje nove konekcije u Network
Connection folder je brz način da kreiramo različite konekcije koje se odnose na više
modema, ISP-ova, itd.

Konfiguracija Remote Access klijenta za VPN konekciju:

1. Kliknemo na Start i zatim otvorimo Control Panel.

2. U Control Panelu kliknemo na Network Connections.
3. U Network Connections dupli klik na New Connection Wizard.
4. Na Welcome to the New Connection Wizard stranici kliknemo na Next.
5. Na Network Connection Type stranici selektujemo Connect to the Network at my
Work place i kliknemo na Next.
6. Na Network Connection stranici selektujemo Virtual Private Network Connection i
kliknemo an Next.
7. Na Connection Name stranici upišemo odgovarajuće ime konekcije i kliknemo na
Next.
8. Na VPN Server Selection stranici upišemo host ime VPN servera na koji će se klijent
konektovati ili IP adresu VPN servera na kome će se klijent biti konektovan i kliknemo
na Next.

Copyright © Link group

9. Na Connection Availability stranici, ako imamo privilegije administratora na lokalnom
kompjuteru, možemo da selektujemo Anyone Use ili For My Use Only. Kliknemo na
Next.
10. Na Completing the New Wizard stranici kliknemo na Finish

Copyright © Link group