23.1  Konfigurace VPN serveru

VPN server slouží pro připojování vzdálených konců VPN tunelů a vzdálených klientů pomocí aplikace Kerio VPN Client.

Poznámka: Připojení k VPN serveru z Internetu musí být povoleno komunikačními pravidly. Podrobné informace naleznete v kapitolách 23.2  Nastavení pro VPN klienty a 23.3  Propojení dvou privátních sítí přes Internet (VPN tunel).

VPN server se zobrazuje jako speciální rozhraní v sekci Konfigurace → Rozhraní, záložka Rozhraní.

Zobrazení VPN serveru v tabulce rozhraní

Obrázek 23.1. Zobrazení VPN serveru v tabulce rozhraní


Dvojitým kliknutím na rozhraní VPN server (resp. stisknutím tlačítka Změnit) se otevře dialog pro nastavení parametrů VPN serveru.

VPN subsíť a SSL certifikát

Nastavení VPN serveru — základní parametry

Obrázek 23.2. Nastavení VPN serveru — základní parametry


Povolit VPN server

Tato volba spouští / zastavuje VPN server. VPN server používá protokoly TCP a UDP, standardní port je 4090 (tento port lze změnit v upřesňujících nastaveních, výchozí hodnotu však zpravidla není třeba měnit). Nebude-li VPN server používán, doporučujeme jej vypnout.

Ke spuštění, resp. zastavení VPN serveru dojde až po stisknutí tlačítka Použít v záložce Rozhraní.

Přiřazování IP adres

Nastavení subsítě (tj. adresy sítě s příslušnou maskou), ze které budou přidělovány IP adresy VPN klientům a vzdáleným koncům VPN tunelů připojujícím se k tomuto serveru (všichni klienti budou připojeni do této subsítě).

Ve výchozím nastavení (tzn. při prvním spuštění po instalaci) WinRoute vybere vhodnou volnou subsíť pro VPN. Za normálních okolností není třeba automaticky nastavenou subsíť měnit. Po provedení první změny v nastavení VPN serveru je již vždy používána naposledy zadaná subsíť (automatická detekce se již znovu neprovádí).

Upozornění

Subsíť pro VPN klienty nesmí kolidovat s žádnou lokální subsítí!

WinRoute dokáže detekovat kolizi VPN subsítě s lokálními subsítěmi. Ke kolizi může dojít při změně konfigurace lokální sítě (změna IP adres, přidání nové subsítě apod.), případně při nastavení nevhodně zvolené subsítě VPN. Překrývá-li se zadaná VPN subsíť s lokální sítí, pak se po uložení nastavení (stisknutím tlačítka Použít v dolní části záložky Rozhraní) zobrazí varovné hlášení. V takovém případě je třeba nastavit jinou VPN subsíť.

VPN server — detekce kolize IP adres

Obrázek 23.3. VPN server — detekce kolize IP adres


Po každé změně konfigurace lokální sítě nebo VPN doporučujeme pečlivě zkontrolovat, zda není hlášena kolize IP adres!

Poznámky:

  1. Ke kolizi s lokální sítí může za určitých okolností dojít i při automatickém nastavení VPN subsítě (pokud bude později změněna konfigurace lokální sítě).

  2. V případě VPN tunelu se při navazování spojení také kontroluje, zda použitá VPN subsíť nekoliduje s rozsahy IP adres na vzdáleném konci tunelu.

    Je-li po spuštění VPN serveru (tzn. po stisknutí tlačítka Použít v sekci Rozhraní) hlášena kolize rozsahu adres pro VPN s lokální sítí, pak je třeba nastavit VPN subsíť ručně. Zvolte subsíť, která není použita v žádné z propojovaných lokálních sítí. VPN subsítě na každém konci tunelu musí být různé (bude tedy třeba vybrat dvě volné subsítě).

  3. VPN klientům lze přidělovat statické IP adresy na základě uživatelského jména, kterým se klient přihlašuje. Podrobnosti viz kapitola 15.1  Zobrazení a definice uživatelských účtů.

SSL certifikát

Informace o aktuálním certifikátu VPN serveru. Tento certifikát slouží k ověření identity serveru při vytváření VPN tunelu (podrobnosti viz kapitola 23.3  Propojení dvou privátních sítí přes Internet (VPN tunel)). VPN server ve WinRoute používá standardní SSL certifikát (podobně jako např. zabezpečené WWW rozhraní).

Při definici VPN tunelu je třeba předat otisk certifikátu lokálního konce tunelu vzdálenému konci a naopak (pro vzájemné ověření identity — viz kapitola 23.3  Propojení dvou privátních sítí přes Internet (VPN tunel)).

Tip

Otisk certifikátu lze označit myší, zkopírovat do schránky a vložit do textového souboru, e-mailové zprávy apod.

Tlačítko Změnit SSL certifikát otevírá dialog pro nastavení certifikátu VPN serveru. Pro VPN server můžete vytvořit vlastní certifikát (podepsaný sám sebou) nebo importovat certifikát vydaný důvěryhodnou certifikační autoritou. Vytvořený certifikát se uloží do podadresáře sslcert instalačního adresáře WinRoute pod názvem vpn.crt a příslušný privátní klíč pod názvem vpn.key.

Postupy vytvoření a importu SSL certifikátu jsou podrobně popsány v kapitole 11.1  Volby pro WWW rozhraní.

Poznámka: Pokud již máte certifikát vystavený certifikační autoritou pro váš server (např. pro zabezpečené WWW rozhraní), můžete jej rovněž použít pro VPN server — není třeba žádat o vystavení nového certifikátu.

Konfigurace DNS pro VPN klienty

Aby mohli VPN klienti přistupovat na počítače v lokální síti jejich jmény, musejí mít k dispozici alespoň jeden DNS server z lokální sítě.

Nastavení VPN serveru — specifikace DNS serverů pro VPN klienty

Obrázek 23.4. Nastavení VPN serveru — specifikace DNS serverů pro VPN klienty


VPN server ve WinRoute nabízí tyto možnosti konfigurace DNS serverů:

  • DNS server ve WinRoute — VPN klientům bude jako primární DNS server nastavena IP adresa příslušného rozhraní počítače s WinRoute — VPN klienti budou používat DNS forwarder (viz kapitola 8.1  DNS forwarder). Toto je výchozí volba, pokud je DNS forwarder ve WinRoute povolen.

    Pokud je DNS forwarder používán jako DNS server pro počítače v lokální síti, doporučujeme jej používat i pro VPN klienty. DNS forwarder zajišťuje nejrychlejší možnou odezvu na DNS dotazy klientů a zároveň je vyloučena případná nekonzistence v DNS záznamech.

  • Specifické DNS servery — VPN klientům bude nastaven zadaný primární, případně také sekundární DNS server.

    Tuto volbu použijte, pokud je v lokální síti používán jiný DNS server než DNS forwarder ve WinRoute.

VPN klientům je rovněž přidělována přípona DNS domény. Přípona domény určuje lokální doménu. Má-li VPN klient příponu domény shodnou s lokální doménou v síti, do které se připojuje, může se na počítače v této síti odkazovat jejich jmény (např. server). V opačném případě musí uvádět celé jméno počítače včetně domény (např. server.firma.local).

Přípona DNS může být rovněž zjištěna automaticky nebo nastavena ručně:

  • Automatické nastavení přípony lze použít v případě, pokud je počítač členem domény Active Directory a/nebo pokud jsou uživatelé firewallu ověřováni v této doméně (viz kapitola 15.1  Zobrazení a definice uživatelských účtů).

  • DNS doménu je potřeba specifikovat, pokud se jedná o doménu Windows NT nebo síť bez domény, případně v situaci, kdy chceme VPN klientům nastavit jinou příponu domény (např. v případě mapování více domén Active Directory).

Poznámka: DNS servery přidělené VPN serverem budou na počítači klienta použity jako primární, resp. sekundární DNS server. Z toho vyplývá, že všechny DNS dotazy z počítače klienta budou posílány na tyto servery. Ve většině případů však toto „přesměrování“ nemá žádný vedlejší efekt. Po ukončení VPN spojení bude obnovena původní konfigurace DNS.

Konfigurace WINS pro VPN klienty

Služba WINS zajišťuje převod jmen počítačů na IP adresy v síti Microsoft Windows. Přidělení adresy WINS serveru umožní VPN klientům procházet počítače v lokální síti (Okolní počítače / Místa v síti).

Nastavení VPN serveru — specifikace WINS serverů pro VPN klienty

Obrázek 23.5. Nastavení VPN serveru — specifikace WINS serverů pro VPN klienty


WinRoute může WINS server(y) detekovat automaticky (z konfigurace počítače, na kterém je nainstalován) nebo použít zadané adresy primárního, případně sekundárního WINS serveru. Automatickou konfiguraci lze použít vždy, pokud máme jistotu, že jsou WINS servery na počítači s WinRoute nastaveny správně.

Upřesňující nastavení

Nastavení VPN serveru — port serveru a vlastní cesty pro VPN klienty

Obrázek 23.6. Nastavení VPN serveru — port serveru a vlastní cesty pro VPN klienty


Port serveru

Port, na kterém VPN server čeká na příchozí spojení (používá se protokol TCP i UDP). Výchozí port je 4090 (za normálních okolností není třeba číslo portu měnit).

Poznámka:

  1. Pokud je již VPN server spuštěn, pak při změně portu dojde k odpojení všech připojených VPN klientů.

  2. Nelze-li spustit VPN server na zadaném portu (port je využíván jinou službou), pak se po stisknutí tlačítka Použít zapíše do záznamu Error (viz kapitola 22.8  Záznam Error) následující chybové hlášení:

    (4103:10048) Socket error: Unable to bind socket for service to port 4090.

    (5002) Failed to start service "VPN" bound to address 192.168.1.1.

    Pokud si nejste zcela jisti, zda je zadaný port skutečně volný, zkontrolujte po spuštění VPN serveru záznam Error, zda se v něm takovéto hlášení neobjevilo.

Vlastní cesty

Tato sekce dialogu umožňuje specifikovat další sítě, do kterých bude VPN klientovi nastavena cesta (standardně jsou klientům nastaveny cesty do všech subsítí lokálních na straně VPN serveru— viz kapitola 23.4  Výměna směrovacích informací).

Tip

Použitím masky subsítě 255.255.255.255 definujeme cestu ke konkrétnímu počítači. Toho lze využít např. pro přidání cesty k počítači umístěnému v demilitarizované zóně na straně VPN serveru.