23.1  Konfigurace VPN serveru
Předchozí Kapitola 23  Kerio VPN Další

23.1  Konfigurace VPN serveru

VPN server slouží pro připojování vzdálených konců VPN tunelů a vzdálených klientů pomocí aplikace Kerio VPN Client.

Poznámka: Připojení k VPN serveru z Internetu musí být povoleno komunikačními pravidly. Podrobné informace naleznete v kapitolách 23.2  Nastavení pro VPN klienty a 23.3  Propojení dvou privátních sítí přes Internet (VPN tunel).

VPN server se zobrazuje jako speciální rozhraní v sekci Konfigurace → Rozhraní, záložka Rozhraní.

Zobrazení VPN serveru v tabulce rozhraní

Obrázek 23.1. Zobrazení VPN serveru v tabulce rozhraní


Dvojitým kliknutím na rozhraní VPN server (resp. stisknutím tlačítka Změnit) se otevře dialog pro nastavení parametrů VPN serveru.

Záložka Obecné

Nastavení VPN serveru — základní parametry

Obrázek 23.2. Nastavení VPN serveru — základní parametry


Povolit VPN server

Tato volba spouští / zastavuje VPN server. VPN server používá protokoly TCP a UDP, standardní port je 4090 (tento port lze změnit v upřesňujících nastaveních, výchozí hodnotu však zpravidla není třeba měnit). Nebude-li VPN server používán, doporučujeme jej vypnout.

Ke spuštění, resp. zastavení VPN serveru dojde až po stisknutí tlačítka Použít v záložce Rozhraní.

Přiřazování IP adres

Nastavení subsítě (tj. adresy sítě s příslušnou maskou), ze které budou přidělovány IP adresy VPN klientům a vzdáleným koncům VPN tunelů připojujícím se k tomuto serveru (všichni klienti budou připojeni do této subsítě).

Ve výchozím nastavení (tzn. při prvním spuštění po instalaci) WinRoute vybere vhodnou volnou subsíť pro VPN. Za normálních okolností není třeba automaticky nastavenou subsíť měnit. Po provedení první změny v nastavení VPN serveru je již vždy používána naposledy zadaná subsíť (automatická detekce se již znovu neprovádí).

Upozornění

Subsíť pro VPN klienty nesmí kolidovat s žádnou lokální subsítí!

WinRoute dokáže detekovat kolizi VPN subsítě s lokálními subsítěmi. Ke kolizi může dojít při změně konfigurace lokální sítě (změna IP adres, přidání nové subsítě apod.), případně při nastavení nevhodně zvolené subsítě VPN. Překrývá-li se zadaná VPN subsíť s lokální sítí, pak se po uložení nastavení (stisknutím tlačítka Použít v dolní části záložky Rozhraní) zobrazí varovné hlášení. V takovém případě je třeba nastavit jinou VPN subsíť.

VPN server — detekce kolize IP adres

Obrázek 23.3. VPN server — detekce kolize IP adres


Po každé změně konfigurace lokální sítě nebo VPN doporučujeme pečlivě zkontrolovat, zda není hlášena kolize IP adres!

Upozornění

  1. Ke kolizi s lokální sítí může za určitých okolností dojít i při automatickém nastavení VPN subsítě (pokud bude později změněna konfigurace lokální sítě).

  2. V případě VPN tunelu se při navazování spojení také kontroluje, zda použitá VPN subsíť nekoliduje s rozsahy IP adres na vzdáleném konci tunelu.

    Je-li po spuštění VPN serveru (tzn. po stisknutí tlačítka Použít v sekci Rozhraní) hlášena kolize rozsahu adres pro VPN s lokální sítí, pak je třeba nastavit VPN subsíť ručně. Zvolte subsíť, která není použita v žádné z propojovaných lokálních sítí. VPN subsítě na každém konci tunelu musí být různé (bude tedy třeba vybrat dvě volné subsítě).

  3. VPN klientům lze přidělovat statické IP adresy na základě uživatelského jména, kterým se klient přihlašuje. Podrobnosti viz kapitola 15.1  Zobrazení a definice uživatelských účtů.

SSL certifikát

Informace o aktuálním certifikátu VPN serveru. Tento certifikát slouží k ověření identity serveru při vytváření VPN tunelu (podrobnosti viz kapitola 23.3  Propojení dvou privátních sítí přes Internet (VPN tunel)). VPN server ve WinRoute používá standardní SSL certifikát (podobně jako např. zabezpečené WWW rozhraní).

Při definici VPN tunelu je třeba předat otisk certifikátu lokálního konce tunelu vzdálenému konci a naopak (pro vzájemné ověření identity — viz kapitola 23.3  Propojení dvou privátních sítí přes Internet (VPN tunel)).

Tip

Otisk certifikátu lze označit myší, zkopírovat do schránky a vložit do textového souboru, e-mailové zprávy apod.

Tlačítko Změnit SSL certifikát otevírá dialog pro nastavení certifikátu VPN serveru. Pro VPN server můžete vytvořit vlastní certifikát (podepsaný sám sebou) nebo importovat certifikát vydaný důvěryhodnou certifikační autoritou. Vytvořený certifikát se uloží do podadresáře sslcert instalačního adresáře WinRoute pod názvem vpn.crt a příslušný privátní klíč pod názvem vpn.key.

Postupy vytvoření a importu SSL certifikátu jsou podrobně popsány v kapitole 11.1  Nastavení parametrů WWW rozhraní.

Poznámka: Pokud již máte certifikát vystavený certifikační autoritou pro váš server (např. pro zabezpečené WWW rozhraní), můžete jej rovněž použít pro VPN server — není třeba žádat o vystavení nového certifikátu.

Záložka DNS

Nastavení VPN serveru — specifikace DNS serverů

Obrázek 23.4. Nastavení VPN serveru — specifikace DNS serverů


Tato záložka umožňuje specifikovat, jaké DNS servery budou používat klienti připojující se k tomuto VPN serveru:

  • Použít DNS server ve WinRoute (výchozí volba) — VPN klientům bude jako primární DNS server nastavena IP adresa příslušného rozhraní počítače s WinRoute (VPN klienti budou používat DNS forwarder).

    Pokud je DNS forwarder používán jako DNS server pro počítače v lokální síti, doporučujeme jej používat i pro VPN klienty. DNS forwarder zajišťuje nejrychlejší možnou odezvu na DNS dotazy klientů a zároveň je vyloučena případná nekonzistence v DNS záznamech.

    Poznámka: Pokud je DNS forwarder vypnut (viz kapitola 8.1  DNS forwarder), pak není tato volba dostupná.

  • Použít specifické DNS servery — VPN klientům bude nastaven primární a sekundární DNS server zadaný v tomto dialogu.

    Nastavte tuto volbu, pokud je v lokální síti používán jiný DNS server než DNS forwarder ve WinRoute.

Záložka Upřesnění

Nastavení VPN serveru — port serveru a vlastní cesty pro VPN klienty

Obrázek 23.5. Nastavení VPN serveru — port serveru a vlastní cesty pro VPN klienty


Port serveru

Port, na kterém VPN server čeká na příchozí spojení (používá se protokol TCP i UDP). Výchozí port je 4090 (za normálních okolností není třeba číslo portu měnit).

Poznámka:

  1. Pokud je již VPN server spuštěn, pak při změně portu dojde k odpojení všech připojených VPN klientů.

  2. Nelze-li spustit VPN server na zadaném portu (port je využíván jinou službou), pak se po stisknutí tlačítka Použít zapíše do záznamu Error (viz kapitola 22.8  Záznam Error) následující chybové hlášení:

    (4103:10048) Socket error: Unable to bind socket for service to port 4090.

    (5002) Failed to start service "VPN" bound to address 192.168.1.1.

    Pokud si nejste zcela jisti, zda je zadaný port skutečně volný, zkontrolujte po spuštění VPN serveru záznam Error, zda se v něm takovéto hlášení neobjevilo.

Vlastní cesty

Tato sekce dialogu umožňuje specifikovat další sítě, do kterých bude VPN klientovi nastavena cesta (standardně jsou klientům nastaveny cesty do všech subsítí lokálních na straně VPN serveru— viz kapitola 23.4  Výměna směrovacích informací).

Tip

Použitím masky subsítě 255.255.255.255 definujeme cestu ke konkrétnímu počítači. Toho lze využít např. pro přidání cesty k počítači umístěnému v demilitarizované zóně na straně VPN serveru.

Předchozí Nahoru Další
Kapitola 23  Kerio VPN Obsah 23.2  Nastavení pro VPN klienty