11.7. Konfigurace VPN v systému Windows

VPN (virtual private network) je prostředek pro propojení počítačů na různých místech Internetu do jedné virtuální počítačové sítě. I když počítače mohou být ve fyzicky nezávislých sítích na různých místech světa, prostřednictvím virtuální privátní sítě spolu mohou komunikovat, jako by byly v jediném síťovém segmentu.

Prostřednictvím VPN lze zajistit například připojení notebooků kdekoliv na internetu do vnitřní firemní sítě (intranetu). K propojení slouží VPN server, který má přístup do Internetu i intranetu a může sloužit buď jen pro jednoho klienta nebo jako rozbočovač přijímající spojení od více klientů. Na druhé straně spojení je VPN klient, který se přes Internet připojí k serveru a prostřednictvím něj pak do intranetu. VPN server pak plní v podstatě funkci síťové brány.

VPN funguje na principu síťového tunelování, kdy se prostřednictvím standardního síťového spojení vytvoří virtuální linka mezi dvěma počítači, v rámci které pak lze navazovat další síťová spojení. V systému Windows jako vhodný software ke zprovoznění takových virtuálních spojení doporučujeme OpenVPN, který je jako instalační balíček k dispozici zdarma na serveru openvpn.se. Součástí tohoto balíčku je také pomocná aplikace s uživatelským rozhraním OpenVPN GUI, která usnadňuje a zpřehledňuje práci, ale k samotnému navazování VPN spojení není nezbytná. Při instalaci se spustí standardní průvodce. Jednotlivé součásti balíku jsou nastaveny tak, že je není nutné při instalaci nic měnit (snad s výjimkou volby Autostart OpenVPN GUI, pokud nechcete, aby se aplikace automaticky spouštěla).

Potom se do systému přidá virtuální ethernetové síťové rozhraní (TAP-Win32 Adapter V8), na což systém Windows reaguje hlášením, že neexistuje ověření hardwaru od Microsoftu. Zadejte, že chcete v instalaci pokračovat. Virtuální adaptér pro komunikaci využívá skutečnou síťovou kartu a není potřeba jej konfigurovat. Všechny potřebné parametry nastavení obdrží od VPN serveru, ke kterému se připojí pomocí certifikátu, viz níže. Samotné spojení se realizuje buď programem openvpn.exe nebo prostřednictvím ikony OpenVPN GUI v nástrojové liště Windows, která zobrazí menu po kliknutí na pravé tlačítko myši. Tato ikona představuje program openvpn-gui.exe. Oba jsou typicky umístěny v adresáři C:\Program Files\OpenVPN\bin .

VPN spojení můžete v jednu chvíli otevřeno více, pro každé však musí existovat vlastní virtuální adaptér. To lze přidat přímo z programové nabídky OpenVPN v hlavním menu systému položkou Add a new TAP-Win32 virtual ethernet adapter. Stav spojení můžete kontrolovat ve výpisu konzole se systémovým hlášením prostřednictvím položky Show Status aplikace OpenVPN GUI.

VPN spojení lze zprovoznit dvěma způsoby. V obou případech je potřeba kontaktovat linku technické podpory vašeho integrátora WebISu a vyžádat si certifikát spolu s klíči pro připojení na server.

• VPN spojení může běžet jako služba na pozadí, která se spustí při startu systému ještě před přihlášením, ovšem, ač s minimální režií, zatěžuje síťovou linku. Pokud je pro vás takové řešení vyhovující, obdržíte spolu s certifikátem také instalační balíček, který nainstaluje všechny potřebné součásti pro provoz OpenVPN a nakonfiguruje spouštění zmíněné služby na pozadí. Tuto službu smí běžně používat jen administrátor – jiným uživatelům to lze povolit programem subinacl.exe. Tento program sm9 rovněž spouštět jen administrátor nebo jiný uživatel s příslušným oprávněním. Pokud máme například uživatele test, příkazem subinacl /SERVICE "OpenVPNService" /GRANT=test=TO mu udělíme oprávnění spouštět OpenVPN jako službu.

  K tomu je ale ještě potřebné nebo užitečné modifikovat některé klíče v registru systému pomocí příkazu regedit. Jedná se o klíče v cestě HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI\:

  • allow_service – při hodnotě 1 bude možné spouštět OpenVPN jako službu,

  • service_only – při hodnotě 1 zapne režim pro OpenVPN GUI, aby běželo pouze v režimu služby (vypne nastavení proxy a zakáže odpojování spojení, místo toho nabízí pozastavení běhu služby),

  • allow_edit – při hodnotě 0 zakáže editovat konfigurační soubor VPN spojení,

  • allow_password – při hodnotě 0 zakáže editovat heslo k soukromému klíči pro spojení.

  Poznámka: Nevýhodou tohoto přístupu je, že u této metody není možné službě OpenVPN předat heslo, kterým šifrujete svůj soukromý klíč. Proto je nutné používat nešifrovaný soukromý klíč, volně ložený na disku. Tento problém lze obejít tím, že svůj klíč vložíte do úložiště certifikátů prostřednictvím konzole MMC s parametrem --cryptoapicert pro jeho nahrání.

• Pokud budete spouštět VPN spojení manuálně a máte již nainstalován OpenVPN, obdržíte pouze certifikát a klíče, které je potřeba nakopírovat typicky do adresáře C:\Program Files\OpenVPN\config . Teprve potom umožní aplikace OpenVPN GUI navázat spojení. Pokud je povolena volba registru allow_password (viz výše), můžete nastavit heslo pro soukromý klíč spojení, které se při každém manuálním spojení bude kontrolovat. Heslo musí mít alespoň osm znaků.