راه*اندازي VPN Server در ويندوز 2003 (بخش اول )

[jamy]

اشاره :
در اين مقاله قصد داريم مرحله به مرحله و بصورت ساده و مختصر ، مراحل نصب و راه اندازي VPN در ويندوز Windows Server 2003 را آموزش دهيم. هدف از راه اندازي شبکه خصوصي مجازي اين است که بستري را فراهم سازيم تا کلاينت ها و کاربران شبکه شما بتوانند از راه دور ، و از طريق اينترنت به سرور يا به عبارتي ديگر به شبکه شما متصل و از منابع آن استفاده نمايند. ممکن است فکر کنيد که چرا اين شبکه را به اين نام يعني VPN ، ناميده اند. و هدف از راه اندازي آن چيست؟ در گذشته فعاليت سازمان ها و موسسات ، بسيار محدود بود و تنها در حيطه جغرافيايي خود مي توانستند خدمات خود را ارائه دهند.در دهه اخير و با پيشرفت فناوري ارتباطات و اطلاعات و مطرح شدن خواسته هاي جديدتر وعموميت يافتن اينترنت،نيازمند جهاني شدن بيش از گذشته احساس شد.لذا مديران سازمان ها و موسسات به دنبال راهي ايمن و قابل اعتماد بودند تا بتوانند علاوه بر داير کردن دفاتري در اقصي نقاط کشور و حتي جهان،اين دفاتر را به هم نزديک تر کنند و تحت مديريت واحدي کنترل کنند.براي دست يابي به اين اهداف،مديران اقدام به ايجاد و راه اندازي شبکه هاي خصوصي مجازي،Virtual Private Network،يا بطور خلاصه VPN کردند تا با پياده سازي اين سيستم کاربران و کارمندان راه دور خود را تحت پوشش قرار دهند.



يك شبکه VPN ، به معناي شبکه خصوصي مجازي مي باشد كه از يك شبكه عمومي يعني اينترنت به عنوان کانال ارتباطي براي ارتباط با سايت هاي راه دور و همچنين ارتباط كاربران با يكديگر جهت استفاده از منابع شبکه محلي شرکت خود استفاده مي کند. اين نوع شبكه ها بجاي استفاده از خطوط واقعي مثل خطوط Leased ، که نيازمند صرف هزينه هاي زيادي مي باشد با كمك اينترنت از يك ارتباط مجازي استفاده مي کنند تا کاربران را به شبكه اختصاصي خود مرتبط کنند.
بهتر است که مثال ساده اي براي درک بهتر مفهوم VPN بياوريم: فرض کنيد که شما سوار هواپيما شده ايد و به جاي خيلي دوري سفر کرده ايد ، يک دفعه به ذهنتان مي رسد که قرار بود يک فايل بسيار ضروري را براي يکي از دوستان تان خود ارسال کنيد. در اين شرايط شما فقط يک لپ تاپ همراه خود برده ايد وفايل مورد نظر را در يکي از کامپيوترهاي شبکه تان جا گذاشته ايد. و از طرف ديگر نمي خواهيد کلمه عبور خود را به کسي بدهيد تا وارد رايانه شما شده و فايل را براي شما ارسال کند. پس چاره چيست؟ دو راه داريد: يکي اينکه تمام راهي که آمده ايد را برگرديد تا فايل را براي دوستتان بفرستيد. دوم اينکه مي توانيد با برقراري يک اتصال ساده و کوچک و کم خرج اينترنت در همان جايي که هستيد ، به شبکه خصوصي خود وصل شده ، فايل مورد نظر را دريافت و براي دوست خود ارسال کنيد. راه دوم در صورتي انجام پذير خواهد شد که دور انديشي کرده يکServer VPN در شبکه تان نصب و راه اندازي کرده باشيد. به علت کم هزينه بودن VPN ، اين تکنولوژي داغ ترين تکنولوژي دسترسي از راه دور مي باشد. مثال ذکر شده در بالا يک مثال ساده بود. کاربرد استفاده از شبکه VPN به مراتب بيتشتر از اين مثال ساده مي باشد.
استفاده از VPN براي يك سازمان داراي مزاياي متعددي مي باشد از جمله :
• گسترش محدوه ارتباطي از لحاظ جغرافيائي
• كاهش هزينه هاي عملياتي در مقايسه با روش هاي قديمي WAN.
• كاهش زمان ارسال و حمل اطلاعات براي كاربران از راه دور
• توپولوژي ساده و نصب آسان
• عملکرد امنيتي مناسبتر

جالب است بدانيد که VPN با استفاده از سه تکنولوژي ، اين اتصالات را فراهم مي آورد:
• اعتبار سنجي ( Authentication )
• ايجاد تونل ( Tunneling )
• رمزگزاري ( Encryption ).

اولين دليل براي اعتبار سنجي در شبکه VPN ، اطمينان از هويت کلاينت و سرور مي باشد ، که قبل از برقراري اتصال VPN و قبل از برقراري تونل و امکان تبادل داده ها اين مرحله بايد با موفقيت انجام گيرد. نوع اعتبار سنجي که مورد استفاده قرار مي گيرد به نوع سرويس گيرنده هاي موجود در شبکه و نيز روشهايي مانند EAP يا MS-CHAPV2 ، MS-CHAP ، SPAP ، PAP بستگي دارد.
ايجاد تونل ارتباطي بين کلاينت و سرور مانند راهي است که موش کور در زير زمين براي اتصال از نقطه به نقطه ديگر ايجاد مي کنند. Tunneling در مرحله اي مورد استفاده واقع مي شود که قرار است پروتکل هاي شبکه مانندTCP/IPيا IPX/SPXيا AppleTalk ويا NetBIOS از اينترنت عبور کنند. همچنين اطلاعات انتقال يافته در اين كانال به صورت كد شده رد و بدل مي شوند. بنابراين چنانچه مورد حمله هكرهاي قرار گيريد و اطلاعات شما را به دست آورند ، نمي*توانند از اطلاعات رد و بدل شده استفاده کنند. براي ايجاد تونل ، ابتدا بايد هويت دو انتهاي آن تاييد شود. بعد از اعتبار سنجي آنها ، تونل ارتباطي ايجاد واطلاعات بين دو نقطه ارسال خواهد شد.
براي راه *اندازي سرور VPN نصب دو كارت شبكه بر روي سيستم مورد نياز مي باشد. از يك كارت شبكه براي ارتباط سرور با اينترنت و از كارت ديگر جهت برقراري ارتباط با شبكه محلي استفاده مي شود. ( با اعمال تنظيماتي از مودم بجاي يکي از کارت هاي شبکه استفاده کرد.)
با هم نصب و راه اندازي VPN را در Windows Server 2003 آغاز مي کنيم.

تنظيم نقش Remote Access / VPN Server در ويندوز Server 2003


براي اعطاي نقش Remote Access/VPN Server به ويندوز سرور 2003 يا به عبارت ديگر براي نصب و راه اندازي VPN Server بايد ويزارد Configure Your Server Wizard را از مسير زير احظار کنيم:
Start > All Programs > Administrative Tools > Configure Your Server Wizard

اولين پنجره اي که ظاهر مي شود ، اطلاعات اوليه اي در مورد اين ويزارد را نشان مي دهد. دکمه Next را بزنيد.
پنجره Preliminary Steps مواردي که لازم است قبل از شروع ويزارد انجام دهيد را باز گو مي کند مثلا:
• اطمينال از نصب مودم ها و کارت هاي شبکه
• اگر ويزارد را براي اتصال به اينترنت مي خواهيد ، از اتصال خود به اينترنت اطمينان حاصل کنيد.
• ويا اينکه CD نصب ويندوز را آماده داشته باشيد و غيره ....
دکمه Next را بزنيد.

پنجره Server Role سومين پنجره*اي است که ظاهرا مي*شود.همانطور که در شکل 1مشاهده مي کنيد ليستي از نقش هايي که روي سيستم مي توانيد اعمال کنيد نشان داده شده است که در ستون مقابل هرکدام ، وضعيت آن Role را از لحاظ اينکه اين نقش اعطا شده است يا نه نشان داده شده است.

شكل 1

براي اعطاي نقش Remote Access / VPN به ويندوز ، اين مورد را از ليست انتخاب کرده و دکمه Next را بزنيد. پنجره بعدي ويزارد توضيح مختصري درباره اين نقش ميدهد. ( در صورت نياز ) پس از مطالعه آن دکمه Next را بزنيد.
ويزاردي با نام Routing and Remote Access Wizard ظاهر مي شود ( ويزارد RRAS ) که در ادامه به آن اشاره مي شود.

تنظيمات Routing and Remote Access ( ويزارد RRAS )
مانند تمام ويزاردها ، اولين پنجره اين ويزارد ، توضيح و نکات مختصري راجع به آن مي باشد که ما با مطالعه آن و زدن دکمه Next از آن مي گذريم.
در پنجره بعدي يعني پنجره Configuration ، گزينه هاي مختلفي وجود دارد که با توجه به نوع اتصال از راه دور ( remote access connection ) يکي از گزينه ها را انتخاب مي کنيم. وچون قصد ما در اينجا راه اندازي VPN بر اساس PPTP مي باشد ما گزينه Virtual Private Network VPN and NAT را انتخاب کرده و Next مي زنيم.
مطابق شکل 2 و در پنجره VPN Connection بايد آداپتور يا device اي که با آن به اينترنت وصل مي شويد را تعيين کنيد. نکته اي که در اينجا قابل توجه مي باشد اين است که براي برقراري امنيت بيشتر و در واقع براي کنترل دقيق تر ، بهتر است که کارت شبکه مستقلي را براي VPNserver در نظر بگيريد. که در اينجا ما کارتي غير از کارت شبکه اي که براي اتصال کاربران محلي ، انتخاب مي کنيم.
گزينه Enable security on the selected interface by setting up Basic Firewall را تيک بزنيد. اين گزينه بعنوان يک Firewall نرم افزاري فعال شده و سرور شما از نفوذ خرابکاران و حملات مخرب آنها از راه اينترنت در امان نگه مي دارد. هر چند ، نصب فايروال هاي پيشرفته و مستقل و يا يک فايروال سخت افزاري براي شبکه هاي محرمانه ضروري مي باشد. ( و اين بستگي به درجه اهميت شبکه و اطلاعات موجود در آن دارد )

شكل 2

مطابق شکل 3 بايد تنظيم نماييد که از کدام کارت شبکه براي کاربران محلي شبکه استفاده مي کنيد.

شكل 3

همانطور که يک کاربر محلي براي برقراري اتصال با سرور و ساير کلاينت هاي موجود در شبکه نياز به داشتن يک IP Address در همان Range دارد ، VPN کلاينت ها نيز در هنگام برقراري اتصال به VPN سرور ، نياز به يک IP Address دارند که بتوانند به منابع مجاز در سرور دسترسي داشته باشند. در اينجا شما به عنوان مدير شبکه با انتخاب يک روش از دو راه موجود ، نحوه واگذاري آيپي آدرس را به کلاينت هاي VPN تعريف مي کنيد.


1- با نصب و تعريف DHCP (* که در شماه 13 ماهنامه بطور کامل توضيح داده شده است ) و اعمال تنظيمات لازم ، سرور خود را بعنوان DHCP server تعريف مي کنيد طوريکه کاربران در هنگام برقراري اتصال به سرور شما از محدوده IP هايي که در سرور تعريف کرده ايد ، يکي را به خود اختصاص مي دهند. با انتخاب گزينه Automatically روند واگذاري IP آدرس از روي تنظيمات DHCP server انجام مي گيرد.

2- تعيين محدوده خاصي از IP آدرس هايي که به کاربران واگذار شود.
ما در اينجا گزينه دوم را انتخاب مي کنيم. به اين دليل که مي خواهيم با استفاده از محدوده خاصي از IP آدرس ها که انتخاب مي کنيم ، کاربران شبکه محلي که به سرور وصل مي شوند را از کاربراني که از اينترنت ( VPN Client ) وصل مي شوند تشخيص دهيم.
پس از انتخاب گزينه دوم ( يعني From a specified range of addresses ) ، دقيقا تعريف مي کنيد که چه آيپي آدرس هايي را به VPNServer اختصاص مي دهيد که به clientVPN ها واگذار نمايد.
براي اينکار دکمه New را در پنجرهAddress Range Assignment را بزنيد ومحدوده اولين و آخرين آيپي آدرس را تعيين کنيد.
فيلد Number of addresses بصورت اتوماتيک با توجه به محدوده انتخابي شما تعيين مي شود. مي توانيد فقط اولين آيپي آدرس را بنويسيد و تعداد آيپي آدرس ها را مشخص کنيد وويزارد محاسبات را انجام داده و آيپي آدرس پاياني را وارد مي کند. دکمه OK را بزنيد تا تنظيمات شما ثبت شود. ( به شکل 4 توجه نماييد )

شكل 4

در پنجره بعدي ( که دقيقا مانند شکل 3 ) کارت شبکه اي که براي اتصال سرور شما به اينترنت از آن استفاده مي کنيد را مشخص کنيد( همان کارت شبکه اي که در شکل 3 معرفي کرده بوديد ).
اعتبار سنجي ( Authentication ) يا بازرسي کاربران VPN اي که به سرور شما وصل مي شوند بسيار مهم است. براي اين اعتبار سنجي و برقراري امنيت دو گزينه را مي توانيد انتخاب نماييد:


1- اگر در شبکه سرويس دهنده RADIUS داشته باشيد، مي توانيد تنظيم کنيد که VPN سرور شما ، براي اعتبار سنجي کاربران خود از RADIUS استفاده کند. بدين معني که اگر يک RADIUS سرور مرکزي در شبکه تان داشته باشيد ، اعتبار سنجي تمام کاربران شبکه براي بررسي به اين سرور فرستاده تا براي ورود به ServerVPN ، تاييد صلاحيت و يا رد صلاحيت شوند.با اين روش كاربران در بين تمام سرورهاي VPN به اشتراك گذاشته شده و نيازي به تعريف كاربران در تمامي سرورها نمي باشد.

2- اما گزينه دوم ، تمام تقاضاها براي اتصال به VPN Server ، از طريق خود سرور و تنظيماتي که در آن نظر گرفته است ، مورد بررسي قرار گيرند.
که مطابق شکل 5 ، ما اولين گزينه را انتخاب کرده و دکمه Next را مي زنيم.

شكل 5

در انتها ممکن است که پنجره اي ظاهر گردد که فقط کافي است دکمه OK را بزنيد.


تا اين مرحله تنظيمات مربوط به ويزارد نصب RRAS به پايان رسيده و نقش Remote Access / VPN Server به ويندوز 2003 اعطا شده است. اما براي ديدن نتيجه کار پنجره Routing and Remote Access را از مسير زير باز کنيد و آدرس سرور را مطابق شکل 6 اضافه کنيد. انجام اين تنظيم بسيار مهم مي باشد.

Start > All Programs > Administrative Tools > Routing and Remote Access

شكل 6

تنظيمات کاربران
در ويندوز 2003 بطور پيش فرض ، به کاربران اجازه دسترسي به سرور از راه VPN داده نشده است. شما بايد بصورت تک به تک ، براي هر يک از کاربراني که مي خواهيد از راه اينترنت به سرور شما وصل شوند اين اجازه را بدهيد. براي اين کار مراحل زير را انجام دهيد:


اگر در سرور Domain Controller تعريف کرده باشيد (نصب و راه اندازي كامل Domain Controller در شماره 14 بطور مفصل توضيح داده شده است ) ، پنجره Active Directory Users and Computers را از مسير زير باز کنيد.
Start > All Programs > Administrative Tools > Active Directory Users ...

در غير اينصورت و اگر سرور شما در هيج Domain اي تعريف نشده باشد ( و بصورت سرور Standalone باشد)، پنجره Computer Management را از مسير زير :

Start > All Programs > Administrative Tools > Computer Management

باز کنيد و صفحه properties مربوط به کاربري که مي خواهيد اجازه اتصال به VPN سرور خود را به آن بدهيد ، را باز کنيد و مطابق شکل 7 به قسمت Dial-In برويد و گزينه "Allow access" را انتخاب نماييد.

شكل 7

به خاطر بسپاريد كه پياده سازي VPN بار زيادي را روي پردازنده سرور مي*گذارد و هر چقدر تعداد ارتباطات VPN بيشتر باشد بار زيادتري بر روي سرور خواهد گذاشت. مي*توانيد از يك وسيله سخت*افزاري مانند روتر جهت پياده*سازي VPN كمك بگيرد.
شماره بعد درباره VPN Client صحبت خواهيم نمود.