Pasākuma ieviešana notika uz Windows vidē. Klienta pieslēgumam vajadzētu strādāt arī no Linux un citām operētājsistēmām, taču tas nav pārbaudīts.
1. VPN konfigurēšana uz Windows Server 2003
Jāpievērš uzmanība:
- nepieciešamas divas tīkla kartes
- Routing And Remote Access vednis
- lietotājam iespējots Remote Access Permission Dial-in tabā
Idejiski viss ir ļoti vienkārši: tikai jāieslēdz Routing And Remote Access serviss un, izmantojot vedni, jāieķeksē VPN atbalsts. Jāņem gan vērā, ka atšķirībā no Linux serveriem VPN var nokonfigurēt tikai tad, ja ir vismaz divi fiziski tīkla interfeisi. Virtuālu tīkla kartes draiveri neizdevās atrast, tāpēc nācās serveros ielikt faktiski nevajadzīgu papildu tīkla karti.
IPSEC savienojumu veidojot, biju slinks un nemēģināju to nokonfigurēt, izmantojot drošības sertifikātus, tā vietā uzstādīju koplietošanas atslēgu (pre-shared key) Routing And Remote Access servisa uzstādījumos Security tabā, kas jāizmanto, pieslēdzoties no klienta.
2. Izmantoto tīkla protokolu un portu atvēršana
Nepieciešami:
- UDP 500 (pamata) un UDP 4500 (ja tiek izmantots NAT) porti
- IP protokols 50
Ar šo pirmā daļa ir pabeigta un brīnumi tikai sākas. Nākošais grūtais uzdevums ir iestāstīt tīkla administratoriem, kādi caurumi jāattaisa vaļā ugunsmūrī, lai VPN varētu arī pieslēgties no ārpuses un pēc tam diagnosticēt problēmas, kad tomēr nestrādā kā gaidīts.
IPSEC savienojumam nepieciešams atvērt UDP portu 500 un IP protokolu 50, 99% gadījumu klienti slēdzas klāt no iekšējām tīkla adresēm, kas atrodas aiz NAT rūtera, tāpēc nepieciešams atvērt arī UDP 4500 portu.
3. Atvērto portu pārbaude
Lai pārbaudītu, vai tiešām porti atvērti, izmantoju UDP klausīšanās serveri un klientu, jo citādi UDP portu vaļā esamību pārbaudīt ir diezgan grūti. Lai varētu testa UDP klausīšanos palaist uz 500 un 4500 portiem, vispirms jāapstādina tos izmantojošais Local Security Authority serviss. Konkrētajā gadījumā lietoju PCATTCP, bet vēl drošvien var arī izmantot kādu Netcat rīka Windows versiju. Šoreiz administratori bija pamanījušies aizmirst atvērt 4500 portu un gluži dabiski pieslēgties no datoriem aiz NAT tīkla neizdevās.
Cits veids, kā diagnosticēt iespējamās problēmas, ir izmantot Wireshark tīkla pakešu analizatoru. Viegli pamanīt atšķirību starp strādājošu un nestrādājošu VPN pieslēgumu un redzēt, kurā vietā kaut kas nenotiek kā vajadzētu.
4. Ja serveris pats ir aiz NAT un klients ir Windows XP
Otrā uzstādīšanas reizē aiz NAT atradās pats Windows serveris, tāpēc lai no Windows klientiem varētu pieslēgtiem bija nepieciešama neliela konfigurācijas izmaiņa reģistrā.
Windows XP SP2+ gadījumā nepieciešams reģistra atslēgā HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec pievienot DWORD ierakstu AssumeUDPEncapsulationContextOnSendRule ar vērtību 2.
5. Papildus
Noderīga informācija par LT2P/IPSEC protokolu atrodama tā Linux implementācijas aprakstošā mājaslapā.
