Avainsana-arkisto: vpn

IPsec XAuth (IKEv1) VPN:n käyttöönotto DrayTek Vigor 2960 reitittimessä

Esimerkin kuvat on otettu DrayTek Vigor 2960 firmware versio 1.4.4:n käyttöliittymästä.

  1. Jotta voit käyttää VPN:ää, tarvitset kiinteän IP-osoitteen tai voit käyttää Dynaamista DNS:ää, esimerkiksi DrayDDNS.
  2. Aktivoidaan IPsec palvelu: Remote Access => Remote Access Control, täppä kohtaan Enable IPsec Service
  1. Luodaan IPsec VPN profiili: VPN and Remote Access => VPN Profiles => IPsec, Paina +Add
  2. Annetaan profiilille nimi, enabloidaan profiili, sallitaan yhteys etäkäyttäjälle (täppä kohtaan For Remote Dial-In User: Enable), sekä määritetään paikallisen verkon IP / aliverkonpeite, johon yhteyttä ollaan luomassa.
  1. Määritetään PSK-avain (PreShared Key): VPN and Remote Access => IPsec General Setup, syötä haluamasi avain kohtaan ’IPsec User Preshared Key’. Vahvan avaimen voit halutessasi generoida esimerkiksi RandomKeygenin sivuilla (esimerkiksi kohdasta CodeIgniter Encryption Keys).
  1. Luodaan käyttäjäprofiili, eli käyttäjätunnus ja salasana: User Management => User Profile. Määritellään käyttäjänimi, aktivoidaan tili (Enable), salasana, sekä aktivoidaan XAuth käyttö IPsec User Settings:in alta ko. käyttäjälle.

Reitittimen pään asetukset ovat tässä.

Päätelaitteella, esimerkiksi matkapuhelimessa tulee enää määritellä VPN palvelimen osoite, käyttäjätunnus, salasana, IKE sekä yhteyden tyyppi (IPsec XAuth).

Pääteohjelmia eri alustoille löytyy DtayTekin sivuilta.

SSL VPN:n käyttöönotto DrayTek Vigor 2960 reitittimessä

Esimerkin kuvat on otettu DrayTek Vigor 2960 firmware versio 1.4.4:n käyttöliittymästä.

  1. Jotta voit käyttää VPN:ää, tarvitset kiinteän IP-osoitteen tai voit käyttää Dynaamista DNS:ää, esimerkiksi DrayDDNS.
  2. Aktivoidaan SSL palvelu: Remote Access => Remote Access Control, täppä kohtaan Enable SSL Tunnel Service
  1. Aktivoidaan reititin kuuntelemaan SSL porttia WAN:in puolelta: System Maintenance => Access Control => Access Control, täppä kohtaan HTTPS Allow: Enable. SSL VPN:n lisäksi tästä muutoksesta seuraa reitittimen hallintasivulle pääsy internetin puolelta.

    Vaikka portin vaihtaminen ei pääsyä hallintasivulle estä ja porttiskannauksen tekeminen on helppoa avoimen portin löytämiseksi, HTTPS portin vaihtaminen 443 => esim. 4430 voi parantaa hieman turvallisuutta (DrayTek:in suositus).

    Access List:in käyttö estää hallintasivulle pääsyn, mutta se estää myös SSL VPN yhteydet. Tästä ominaisuudesta on hyötyä vain, jos päätelaitteella on käytössä kiinteä julkinen IP (matkaava WLAN:ien käyttäjä ei tällaista päivää näe).

    Reitittimen hallintasivun salasana on syytä olla vahva, vaihtoehtoisesti voi käyttää mOTP (mobile One-Time-Password) ominaisuutta, jossa salasana vaihtuu minuutin välein.
  1. Koska IP osoitteiden rajoittaminen ei ole mahdollista, voi reitittimen määritellä pistämään IP osoitteet jäähylle määräajaksi, jotka ovat syöttäneet salasanan väärin x kertaa peräkkäin. System Maintenance => Access Control => Fail to Ban, täppä Enable Fail to Ban:iin, sekä muihin Enableihin.
  1. Luodaan käyttäjäprofiili, eli käyttäjätunnus ja salasana: User Management => User Profile. Määritellään käyttäjänimi, aktivoidaan tili (Enable), salasana, sekä sallitaan SSL tunnelin käyttö ko. käyttäjälle.

Reitittimen pään asetukset ovat tässä.

Päätelaitteella, esimerkiksi matkapuhelimessa tulee enää määritellä VPN palvelimen osoite, portti (443), käyttäjätunnus, salasana sekä yhteyden tyyppi (SSL).

Pääteohjelmia eri alustoille löytyy DtayTekin sivuilta.

Captive portal ja VPN

Ulkomailla työreissulla tai lomalla ollessaan saa hotellilla usein käyttöönsä ilmaisen netin. Nettiyhteydessä saattaa olla sisältörajoituksia ja palveluntarjoajilla alueellisia sisältörajoituksia. Täten esimerkiksi suomen tv-kanavien nettisivujen videoitarjontaa ei pääse hyödyntämään kokonaisvaltaisesti.

Tähän löytyy sopiva kiertotie, VPN – Virtual Private Network. Lyhykäisyydessään VPN tarkoittaa virtuaalista lähiverkkoa, jossa esimerkiksi kaksi verkkoa tai tietokonetta voidaan yhdistää toisiinsa julkisen internetin kautta siten, että ne vaikuttavat olevan samassa fyysisessä verkossa kiinni. Toisinsanoen voit käyttää samoja lähiverkon resursseja, olitpa sitten fyysisesti työpaikalla (esimerkiksi tulostin, tiedostopalvelin) tai vaikka maapallon toisella puolen. Myös internet liikenne (nettisivu surffailu) on mahdollista reitittää tämän tunnelin kautta.

Koska kaikki liikenne kulkee kiertotietä suomen kautta, tarkoittaa tämä yhteysnopeuden hidastumista ja viiveiden lisääntymistä. Tähän vaikuttaa mm. VPN palvelimen nettiyhteyden nopeus. Parhaimmillaan eroa ei välttmättä edes huomaa. Parasta tässä kaikessa kuitenkin on, että nyt pystyt käyttämään esimerkiksi Kiinassa ”suomen” internetiä, ilman Kiina rajoituksia.

Jotta internet yhteyden saa kohteessa käyttöönsä, täytyy sisään kirjautua erillisen kirjautumissivun (captive portal) kautta. Jotta netti toimisi, kyseistä kirjautumissivua ei saa sulkea. Kun VPN yhdeyden avaa, kaikki nettiliikenne kiertää tämän jälkeen tämän tunnelin kautta suomeen. Käytännössä tämä tarkoittaa sitä, että kirjautumissivukin lakkaa juttelemasta palvelimen kanssa. Kommunikaatiokatkosta käsitellään eritavalla kun selaimen sulkemista, käytännössä siis aikakatkaisun avulla. Monesti tämä aika saattaa olla esimerkiksi 10 minuuttia. 10 min välein uudelleen kirjautuminen ja VPN yhteyden uudelleenavaus on puuduttavaa. Onneksi tähän on pieni kikka olemassa, käyttöjärjestelmän reititystaulu.

Tässä esimerkissä käyn läpi kuinka reititystiedot muutetaan Windows 7 -käyttöjärjestelmässä.

Aloitetaan kirjautumalla captive portalin kautta netin käyttäjäksi. Alla esimerkki yhdestä tallaisesta kirjautumissivusta.

captive_portal

Tämän jälkeen käynnistetään käynnistä-valikon kautta komentokehote / command prompt (cmd.exe) ja  avautuneeseen ikkunaan kirjoitetaan ipconfig

Etsi sen lähiverkkosovittimen tiedot, jolla olet yhteydessä verkkoon. Yleensä yhteys on langaton. Ja mikäli koneessasi ei ole monia verkkoja tai muita virittelyitä, niin listalla on vain pari kohtaa, joissa yhdessä kohtaa pitäisi olla muita kohtia enemmän tekstiä.

network

Kun löydät oikean kohdan, ota talteen gateway osoite sekä subnet mask. Katso myös kirjautumissivulta mikä sen osoite on. Tässä esimerkissä kirjautumissivun osoite on 192.168.0.3, gateway 192.168.2.254 ja subnet mask 255.255.255.0.

Seuraavaksi kirjoitetaan komentokehotteeseen route print -4. Alimmilla riveillä näkyy listaus lisätyistä reitityksistä. Tämä kohta on mitä todennäköisimmin tyhjänä (None).

route_print4_before

Tämän jälkeen voidaankin tehdä tarvittavat muutokset asetuksiin. Tämä tapahtuu kätevästi yhdellä komennolla parametrein höystettynä komentokehotteen kautta. Käytä keräämiäsi arvoja esittämieni arvojen tilalla, muutoin homma voi mennä pahastikin pieleen.

Kirjoita komentokehotteeseen route add -p 192.168.0.0 mask 255.255.255.0 192.168.2.254, tämä komento lisää reitityksen pysyväti koneeseen, eli asetukset säilyvät koneen buuttauksen yli. Mikäli haluat että muutokset poistuvat koneen uudelleenkäynnistyksen yhteydessä, jätä -p parametri pois.

Huomasithan, että en kirjoittanut kirjautumissivun osoitetta sellaisenaan kun se esitettiin, vaan korvasin viimeisen numeron n0llalla. Nolla tarkoittaa, että kaikki kyseisen verkkosegmentin osoitteet (1-254) ohjataan osoitetulle gatewaylle. Toki mikäli aliverkon peite, eli subnet mask on jotain muuta kuin esitetty, osoitealue on jotakin muuta, eli voi olla merkittävästi pienempi, tai suurempi kuin tuo 254 osoitteen blokki.

1.errori

Todennäköisesti homma ei kuitenkaan onnistunut, sillä sait eteesi ilmoituksen ”The requested operation requires elevation.”. Käytännössä ei ole mistään muusta kyse kuin käyttöoikeuksien puutteesta. Tämä hoituu siten, että avaat uuden komentokehotteen, mutta siten että painat kuvakkeen päällä oikeanpuoleista hiiren painiketta ja valitset run as administrator / käynnistä järjestelmänvalvojana. Tämän jälkeen syötä komento rimpsu uudelleen ja tämän jälkeen pitäisi lopussa näkyä OK!. Homma pulkassa.

2.ok

Tarkistetaan vielä lopuksi, että asetukset menivät oikein perille. Kirjoita jälleen komentokehotteeseen route print -4. Loppuun on ilmestynyt rivi, jossa näkyy annetut tiedot. Mikäli rivi on väärin tai muuten vain haluat poistaa muutoksen, tapahtuu se komennolla route delete 192.168.0.0 mask 255.255.255.0 192.168.2.254

route_print4_after

Lopuksi voidaankin kokeilla kuinka homma pelaa. Avaa VPN yhteys ja kokeile tämän jälkeen pingata VPN palvelimen osoitetta, sekä kirjautumissivun osoitetta komentokehotteesta käsin (ping 192.168.0.3). Pingin pitäisi mennä kumpaankin osoitteeseen läpi. Ilman aiemmin tehtyä muutosta ping menee läpi vain siihen verkon osoitteeseen, jossa kulloinkin ollaan kiinni.

Tämän jälkeen voitkin nauttia rajoittamattomasta nettisisällöstä ilman kirjautumissivun aiheuttamaa jatkuvaa pätkimistä.