Jak zestawić połączenie VPN z internetu do serwera znajdującego się w sieci domowej?

Używam w domu serwera z zainstalowanym systemem Windows 2000 Server. Połączenie z internetem uzyskuję przez sieć kablową. Łącze jest współdzielone przez wspomniany serwer oraz kilka komputerów w sieci, przy wykorzystaniu prostego rutera DSL. Ruter otrzymuje dynamiczny adres IP od dostawcy usług. Chciałbym zrealizować połączenie VPN z Internetu do serwera znajdującego się w sieci domowej. Jak to zrobić od strony programowej i sprzętowej?

Pierwszą kwestią do załatwienia będzie rozmowa z dostawcą usługi dostępu do internetu, w celu uzyskania stałego adresu IP. Ułatwi to proces konfiguracji połączenia VPN do domowej sieci. Alternatywą dla tego rozwiązania będzie wykorzystanie usługi dynamicznego DNS (DynamicDNS), w której zmiana adresu IP jest okresowo odwzorowywana na ustaloną nazwę hosta. Warto sprawdzić, czy zaistnieje konieczność aktualizacji poziomu usługi dostępu do internetu na wyższy. Niektórzy dostawcy blokują pakiety związane z ruchem IPSec (VPN).

Na stronach Microsoft można odnaleźć informacje, które okażą się niezbędne do rozpoczęcia przygody z konfiguracją VPN przy wykorzystaniu Windows 2000 Server. Sugerujemy jednak zastosowanie sprzętowego rozwiązania do utworzenia połączenia VPN. Praktycznie każdy producent sprzętu sieciowego posiada w ofercie sprzętowe zapory ogniowe, które oferują rozwiązanie VPN, realizowane przez różne technologie.

Sprzętowe rozwiązania VPN to także mniej usług uruchomionych na serwerze oraz mniej problemów konfiguracyjnych do rozwiązania. Zapora ogniowa zapewni także większą ochronę przed przeciążeniem serwera funkcjami VPN oraz redukuje potencjalne zagrożenie serwera włamaniem, jeżeli usługa VPN została "przechwycona". Stosując sprzętową zaporę ogniową, zwiększamy bezpieczeństwo serwera przez wprowadzenie dodatkowej warstwy ochronnej. Do omawianych rozwiązań VPN konieczne będzie przeważnie zainstalowanie oprogramowania klienta na maszynie wykorzystywanej do zdalnego dostępu do sieci domowej. Dobrze jest sprawdzić, czy sieć, z której łączymy się w celu uzyskania do zasobów sieci domowej, pozwala na przekazywanie ruchu VPN - nie każda zapora chroniąca sieć lokalną, umożliwi przekazywanie takich pakietów.

Jeżeli decydujemy się na zdalny dostęp VPN, warto zastanowić się, jak wybrać typ protokołu lub technologię połączenia. Czy powinien to być IPSec? A może L2TP/IPSec lub SSL/TLS? A co będzie w przypadku, gdy wykorzystamy PPPTP lub L2F? Najważniejszym kryterium w wyborze technologii VPN jest poziom bezpieczeństwa zapewniany pomiędzy zdalnym klientem VPN sprzętowym lub programowym, a centralnie umieszczoną bramą zdalnego dostępu VPN. Poprawnie zaimplementowany i skonfigurowany IPSec jest bardzo bezpieczny. SSL/TLS może być równie bezpieczny pod warunkiem zastosowania odpowiedniej wersji technologii oraz odpowiednich algorytmów kryptograficznych. L2TP (bez ochrony IPSec) oraz PPTP trudno uważać za bezpieczne. Jeżeli zamierzamy zabezpieczyć zdalny dostęp VPN, powinniśmy wykorzystać protokół IPSec, SSL/TLS lub L2TP over IPSec (L2TP/IPSec). Jeżeli użytkownicy zdalni łączą się z niezaufanych sieci (kawiarenki internetowe, kioski internetowe na lotniskach) dobrym rozwiązaniem będzie wykorzystanie SSL VPN. Warto jednak pamiętać, że stosując zdalny dostęp SSL VPN nie otrzymamy takiej samej funkcjonalności, jak w przypadku zastosowania IPSec lub L2TP/IPSec. Jeżeli zdalni użytkownicy potrzebują pełnego dostępu do zasobów sieci, rozwiązanie SSL VPN nie będzie najlepszym wyborem. Do tego celu warto wykorzystać IPSec, L2TP/IPSec lub SSL bazujący na pełnym kliencie programowym.

***

Artykuł powstał na podstawie materiałów IDG.


TOP 200