Rozdział 12
Dostęp do Internetu przy użyciu RAS
i PPTP
Windows NT Server i Workstation zawierają oprogramowanie RAS (Re-
mote Access Services), które używane jest do łączenia komputera ze zdalną
siecią Windows NT. Możliwość ta przydaje się szczególnie użytkowni-
kom przenośnych komputerów, którzy muszą łączyć się zdalnie z siecią
w swoim przedsiębiorstwie. Użytkownicy sieci lokalnych również mogą
korzystać z RAS w celu dostępu do usług oferowanych przez inne sieci.
Od niedawna RAS jest szeroko używane przez dostawców Internetu do
obsługi połączeń PPP. Niniejszy rozdział omawia usługi RAS
w
Windows NT i
przedstawia procedury ich instalowania
i konfigurowania. Omówione zostaną także możliwości trasowania IP
przez serwery RAS oraz sieci VPN (Virtual Private Network).
Przegląd usług RAS
RAS umożliwia zdalnym użytkownikom połączenie się z komputerem
Windows NT za pomocą linii telefonicznych, łącza WAN (Wide Area
Network) lub protokołu typu ISDN. Rysunek 12.1 ilustruje sposób
korzystania z RAS. Klientami zdalnego dostępu mogą być komputery
pracujące pod Windows, Windows for Workgroups, Windows 9x, MS-
DOS lub Lan Manager. Chociaż można używać Windows NT
Workstation jako serwera RAS, zazwyczaj w tej funkcji występuje
Windows NT Server, który może obsłużyć do 256 zdalnych klientów
RAS. Windows NT Workstation może obsłużyć tylko jednego zdalnego
klienta RAS.
Rozdział 12
400
Rysunek 12.1
Przykładowe
usługi zdalnego
dostępu RAS.
Oprogramowanie klienta i serwera RAS wchodzi w skład dystrybucji
Windows NT. Nie jest jednak automatycznie instalowane wraz
z systemem operacyjnym; trzeba je zainstalować oddzielnie (patrz dalszy
podrozdział, "Instalowanie serwera RAS").
Aby stacje robocze DOS mogły skontaktować się z serwerem RAS, musi
w nich pracować program Microsoft Network Client for Microsoft-DOS
w trybie pełnego readresowania.
Klient RAS w
Windows NT korzysta z
normalnych procedur
uwierzytelniania i bezpieczeństwa, aby zalogować się do sieci Windows
NT. Użytkownicy klientów RAS logują się w ten sam sposób, co w sieci
lokalnej. W celu zwiększenia bezpieczeństwa, klienci Windows NT mogą
używać szyfrowania danych RSA.
Rodzaje fizycznych połączeń i
protokołów używanych pomiędzy
klientami i serwerami RAS są omówione w następnych podrozdziałach.
Rodzaje fizycznych połączeń RAS
Klient RAS może połączyć się z serwerem na jeden z następujących
sposobów:
�
poprzez linię telefoniczną
�
poprzez ISDN
�
poprzez X.25
�
poprzez modem zerowy - RS232C null modem
Dostęp do Internetu przy użyciu RAS i PPTP
401
�
Możliwości te są omówione w kolejnych podrozdziałach.
Windows NT Server w wersji 5 udostępnia także nową opcję, zwaną
multiłączem (multilink). Opcja ta oparta jest na standardzie IETF (zdefi-
niowanym w RFC 1717) i pozwala zwiększyć przepustowość dzięki moż-
liwości scalania różnych kanałów komunikacyjnych w jedno połączenie.
Multiłącze może zawierać zarówno analogowe, jak i cyfrowe kanały ko-
munikacyjne (takie jak ISDN).
Linie telefoniczne
Linie telefoniczne są wciąż najpowszechniejszym fizycznym medium
pomiędzy klientem i serwerem RAS. Większość z nich jest analogowa;
z tego względu klienci i serwery muszą być wyposażeni w modemy,
konwertujące sygnały cyfrowe RAS na sygnały analogowe.
Windows NT jest kompatybilne z ponad 200 typami modemów. Aby
modemy używane przez serwer i klienta były kompatybilne, powinny
obsługiwać ten sam standardowy protokół - najlepiej, gdyby były to
identyczne modele tego samego producenta. Szeroko używanymi
standardami modemów są: V.34 (pracujący z szybkością 28.8 Kb/s),
V.34bis (pracujący z
szybkością 36.6 Kb/s) oraz V90 (pracujący
z szybkością 56 Kb/s).
Microsoft publikuje listę zgodności sprzętowej, na której umieszczone są
przetestowane modemy. Jeśli nie ma na niej używanego przez nas mo-
demu, możemy skonfigurować Windows NT do jego obsługi, edytując
plik MODEMS.INF. Można także wybrać z listy model, który nasz mo-
dem potrafi emulować (lub z którym jest kompatybilny). Szczegóły doty-
czące konfigurowania pliku MODEMS.INF można znaleźć w dodatku
"Appendix E" wydanego przez Microsoft podręcznika "Microsoft Win-
dows NT: Remote Access Services".
ISDN
Z wielu części świata można połączyć się ze zdalnymi sieciami za pomo-
cą ISDN (Integrated Services Digital Network). Linia ISDN jest instalowana
zazwyczaj przez firmę telefoniczną. Komputer Windows NT, który ma
się łączyć z linią ISDN, musi być wyposażony w kartę ISDN. Rysunek
12.2 przedstawia przykładowy zakres usług udostępnianych przez ISDN.
Usługi ISDN są różnie klasyfikowane; najczęściej oferowane typy dostę-
pu to BRI (Basic Rate Interface) oraz PRI (Primary Rate Interface) . BRI udo-
stępnia użytkownikowi dwa cyfrowe kanały o przepustowości 64 Kb/s
każdy oraz jeden kanał sterujący sygnałem. Kanały 64 Kb/s nazywane są
kanałami B (Bearer, nośnymi), a kanał sterujący nazywany jest kanałem D.
Mówimy więc, że BRI udostępnia 2B+D kanałów; w przypadku BRI ka-
Rozdział 12
402
nał D pracuje z prędkością 16 Kb/s. BRI jest zazwyczaj używany w celu
zapewnienia dostępu do centrali ISDN dla użytkowników prywatnych.
PRI udostępnia 23 kanały B o przepustowości 64 Kb/s oraz jeden kanał D
pracujący z prędkością 64 Kb/s (23B+D kanałów).
Przy dostępie typu BRI można transmitować dane z prędkością do 128
Kb/s; w przypadku PRI - 1,544 Mb/s poprzez linię T1. Ponieważ jeden
kanał w PRI używany jest jako kanał D, zostawia to 23 kanały B na
transmisję danych z prędkością do 1472 Kb/s (64 x 23). Są to prędkości
dużo większe niż oferowane przez większość zwykłych modemów, co
stanowi o atrakcyjności usług ISDN.
Rysunek
12.2
Przykładowe
usługi ISDN
X.25
Protokoły X.25 są używane w sieciach typu PSN (Packet-Switched Ne-
tworks). Protokoły te implementują pierwsze trzy warstwy modelu OSI,
chociaż przy zastosowaniu pewnych opcji realizują również niektóre
funkcje warstwy czwartej (transportu).
Klienci i serwery X.25 łączą się z siecią przy pomocy urządzenia PAD
(Packet Assembler-Disassembler, patrz rysunek 12.3). Urządzenie to jest
Dostęp do Internetu przy użyciu RAS i PPTP
403
dostarczane przez dostawców X.25 (Sprintnet, Infonet, PSS itp.). Niektóre
firmy, jak Hewlett-Packard czy IBM, utrzymują własne, prywatne sieci
X.25. Komputer Windows NT musi mieć zainstalowaną kartę X.25 (nie
może łączyć się z urządzeniem PAD bezpośrednio przez złącze szerego-
we).
Połączenia z PAD mogą być połączeniami typu dial-up, trwającymi tylko
przez czas połączenia telefonicznego. Połączenia dial-up nadają się więc
do okazjonalnego dostępu do zdalnych komputerów. Jeśli potrzebny jest
stały dostęp, lepiej jest zainstalować bezpośrednie połączenie X.25. Jak
łatwo się domyślić, jest to odpowiednik dzierżawionej linii telefonicznej,
a więc rozwiązanie droższe niż usługa dial-up. Urządzenia X.25 mogą
obsługiwać oba typy połączeń.
Rysunek 12.3
Używanie RAS
w sieci X.25.
RAS obsługuje także tzw. karty smart X.25. Funkcjonują one podobnie do
kart modemowych i posiadają wbudowane urządzenie PAD. Karta smart
X.25 jest widziana przez komputer Windows NT jako kilka portów ko-
munikacyjnych podłączonych do urządzenia PAD. Rysunek 12.4 przed-
stawia przykład zdalnego dostępu z wykorzystaniem kart smart X.25.
Tabela 12.1 wyszczególnia ustawienia parametrów X.3 dla urządzenia
PAD oraz interfejsu karty X.25, konieczne do prawidłowego funkcjono-
wania RAS poprzez X.25.
Rozdział 12
404
Modem zerowy - RS232C null modem
Jeśli między dwoma komputerami nie ma połączenia sieciowego, można
połączyć je ze sobą fizycznie przy pomocy kabla modemu zerowego
RS232C.
Modem zerowy RS232C umożliwia bezpośrednie, międzypunktowe po-
łączenie dwóch komputerów poprzez specjalnie przygotowany kabel
(patrz rysunek 12.5). Kabel przyłącza się do portów szeregowych obu
komputerów. Przy tym rodzaju połączenia niepotrzebne są modemy,
stąd nazwa - kabel modemu zerowego.
Kabel modemu zerowego można kupić bądź przygotować
własnoręcznie. Jeśli zamierzamy samodzielnie wykonać kabel, możemy
skorzystać z
tabel 12.2 i
12.3, w
których umieszczono właściwe
połączenia dla kabla 9 i 25-stykowego.
Rysunek 12.4
Karty smart X.25
używane do zdalnego
dostępu.
Tabela 12.1 Parametry konfiguracyjne X.3 urządzeń PAD X.25 dla usług
RAS w Windows NT
Numer parametru
Parametr X.3
Wartość
1 PAD
Recall
0
2 Echo
0
3
Dara Forward Char.
0
4 Idle
Timer
1
5 Device
Control
0
6
PAD Service Signals
1
7 Break
Signals
0
8 Discard
Output
0
9
Padding after CR
0
Dostęp do Internetu przy użyciu RAS i PPTP
405
10 Line
Folding
0
11 (Not
set)
nieosi¹galny
12 Flow
Control
0
13 Linefeed
Insertion
0
14
Passing after LF
0
15 Editing
0
16 Character
Delete
0
17 Line
Delete
0
18 Line
Display
0
19
Editing PAD Srv Signal
0
20 Echo
Mask
0
21 Parity
Treatment
0
22 Page
Wait
0
Rysunek 12.5
Połączenie RAS przy
użyciu kabla
modemu zerowego.
Tabela 12.2 Połączenia 9-stykowego kabla modemu zerowego dla połączeń
RAS
Styk po stronie
wywoływanego
komputera
Styk po stronie
wywołującego komputera
Sygnał
3 2 Transmit
data
2 3 Receive
data
7
8
Request to Send
8
7
Clear to Send
6, 1
4
Data Set Ready and Carrier
Detect
5 5 Signal
Ground
4 6,
1
Data Terminal Ready
Tabela 12.3 Połączenia 25-stykowego kabla modemu zerowego dla połączeń
RAS
Styk po stronie
wywoływanego
Styk po stronie
wywołującego komputera
Sygnał
Rozdział 12
406
komputera wywołującego komputera
3 2 Transmit
data
2 3 Receive
data
4
5
Request to Send
5
4
Clear to Send
6, 8
20
Data Set Ready and Carrier
Detect
7 7 Signal
Ground
20
6, 8
Data Terminal Ready
Protokoły używane z RAS
Protokołami używanymi ponad fizycznymi połączeniami, omówionymi
w poprzednich podrozdziałach, są: SLIP (Serial Line Interface Protocol),
PPP (Point-to-Point Protocol) oraz Microsoft RAS.
Protokół SLIP
SLIP (Serial Line Interface Protocol) jest jednym z najprostszych protoko-
łów, używanych do łączenia dwóch urządzeń. Strumień oktetów danych
jest przesyłany bez żadnych nagłówków, a pewne wartości oktetów
używane są do transmisji sygnałów sterujących. Jeśli wartości te pojawią
się jako część danych, wówczas są kodowane za pomocą dwóch oktetów.
Protokół SLIP został stworzony przez Ricka Adamsona dla systemu BSD-
UNIX i wszedł do powszechnego użycia, zanim pojawił się opisujący go
dokument RFC. Kiedy napisano wreszcie RFC 1055, oparto go na istnieją-
cych implementacjach UNIX, dlatego nosi nazwę "A Nonstandard for
Transmission of IP Datagrams for Low-Speed Serial Links".
Pierwotny protokół SLIP nie obsługiwał kompresji nagłówka TCP/IP.
Umożliwia to stworzony później protokół CSLIP (Compressed SLIP),
opisany w RFC 1144 "Compressing TCP/IP Header for Low-Speed
Links".
SLIP nie obsługuje multipleksowania i demultipleksowania. Oznacza to,
że nie można go używać do transmisji danych pochodzących z wielu
sesji.
SLIP jest szeroko używany do nawiązywania połączeń typu dial-up
z internetowymi hostami. Rysunek 12.6 przedstawia połączenia TCP/IP
ponad protokołem SLIP, używane przez klientów RAS.
Dostęp do Internetu przy użyciu RAS i PPTP
407
Protokół PPP
Protokół PPP (Point-to-Point Protocol) nie ma ograniczeń obecnych
w SLIP. Obsługuje multipleksowanie i demultipleksowanie. Podobnie jak
SLIP, używany jest do nawiązywania połączeń typu dial-up
z internetowymi hostami. Używany jest również do tworzenia między-
punktowych połączeń pomiędzy routerami. Zastosowania protokołu PPP
przedstawia rysunek 12.7.
Rysunek 12.6
Połączenia TCP/IP przy użyciu SLIP.
Rozdział 12
408
Rysunek 1.7
Zastosowania protokołu PPP.
W przeciwieństwie do SLIP, PPP obsługuje ramkowanie danych, oparte
na protokole HDLC (High Level Data Link Control), i umożliwia kompresję
danych i uwierzytelnianie. Istnieje wiele dokumentów RFC opisujących
PPP, co świadczy o ważności protokołu. Odsyłamy czytelnika do dalszej
lektury niżej wymienionych dokumentów:
�
RFC 1598, "PPP in X.25"
�
RFC 1549, "PPP in HDLC Framing"
�
RFC 1570, "PPP LCP Extensions" (Uaktualnia RFC 1548)
�
RFC 1552, "The PPP Internetwork Packet Exchange Control Protocol
(IPXCP)
�
RFC 1548, "The Point-to-Point Protocol (PPP)"
�
RFC 1547, "Requirements for an Internet Standard Point-to-Point
Protocol"
�
RFC 1378, "The PPP AppleTalk Control Protocol (ATCP)"
�
RFC 1377, "The PPP OSIN Network Layer Control Protocol
(OSINLCP)"
�
RFC 1376, "The PPP DecNET Phase IV Control Protocol (DNCP)"
�
RFC 1334, "PPP Authentication Protocols"
�
RFC 1333, "PPP Link Quality Monitoring"
�
RFC 1332, "The PPP Internet Control Protocol (IPCP)"
�
Zarówno SLIP, jak i PPP są szeroko stosowane; prawdopodobnie
z czasem PPP wyprze protokół SLIP.
Protokół Microsoft RAS
Microsoft RAS jest firmowym protokołem, używającym NetBIOS dla
połączeń RAS. Protokół wymaga, aby klienci RAS obsługiwali NetBEUI.
Serwer RAS funkcjonuje tu jako bramka dla innych protokołów, np.
TCP/IP lub IPX. Protokół Microsoft RAS jest obsługiwany tylko przez
klientów Windows 3.1, Windows for Workgroups, MS-DOS i Lan Mana-
ger.
Instalowanie serwera RAS
Począwszy od wersji 5 Windows NT, usługi RAS nazywane są serwerem
Dial-Up. Instalacja serwera RAS przebiega w różny sposób, zależnie od
Dostęp do Internetu przy użyciu RAS i PPTP
409
zainstalowanych wcześniej protokołów sieciowych. Jeśli usługa RAS ma
być używana poprzez IPX lub TCP/IP, należy zainstalować te protokoły
przed instalacją RAS. Poniższe omówienie instalacji RAS zakłada, że
zainstalowano i skonfigurowano już protokół TCP/IP. Następnie skupio-
no się na konfiguracji protokołu TCP/IP - konfigurowanie IPX, chociaż
proste, pozostaje poza zakresem tej książki.
Przed zainstalowaniem RAS należy upewnić się, że komputer jest
wyposażony w modem, kartę smart X.25 lub kartę ISDN.
Chociaż zamieszczona niżej procedura opisuje tworzenie serwera RAS,
można w niej również znaleźć wskazówki dotyczące konfigurowania
klientów. Aby zainstalować oprogramowanie RAS, należy:
1. Zalogować się na serwer Windows NT jako administrator.
2. Kliknąć podwójnie Network w Control Panel. Powinno pojawić się okno
dialogowe Network. Wybrać zakładkę Services.
W zakładce Services kliknąć przycisk Add, aby wywołać okno dialogowe
Select Network Service
(patrz rysunek 12.8).
W oknie Select Network Service wybrać Dial-Up Server i kliknąć przycisk OK.
Wprowadzić ścieżkę do plików instalacyjnych serwera i kliknąć przycisk
Continue
. Powinno ukazać się okno obrazujące postępy w kopiowaniu
plików.
Rysunek 12.8
Okno dialogowe Select
Network Service.
W zakładce Services powinna się pojawić usługa Dial-Up. Kliknąć OK
i zamknąć wszystkie otwarte podczas instalacji okna.
Konfigurowanie używanych przez RAS protokołów sieciowych
Jeśli na serwerze zostaną wcześniej zainstalowane protokoły sieciowe,
takie jak NetBEUI lub TCP/IP, wówczas po instalacji usługi RAS mogą
być przez nią automatycznie wykorzystywane. Jeśli jednak protokoły
zostaną dodane już po instalacji RAS, wówczas trzeba je samodzielnie
skonfigurować.
Rozdział 12
410
Poniższe podrozdziały opisują procedurę konfigurowania protokołów
sieciowych.
Konfigurowanie RAS
Poniżej podano procedurę konfigurowania serwera RAS:
1. Zalogować się na serwer Windows NT jako administrator i kliknąć
podwójnie Network w Control Panel.
2. Wybrać zakładkę Services w oknie dialogowym Network i podświetlić
Dial-Up Server
. Kliknąć przycisk Properties. Powinno ukazać się okno
dialogowe Dial-Up Server Properties (patrz rysunek 12.9).
3. Wybrać zakładkę Security, o
ile nie jest widoczna. W
ramce
Authentication
and Encryption wybrać żądaną metodę szyfrowania
hasła:
�
Wybrać opcję Allow Any Authentication Including Clear Text, aby klienci RAS
mogli używać dowolnego sposobu uwierzytelniania. Opcja ta jest uży-
teczna, jeśli posiadamy wiele różnych typów klientów RAS. Jest to naj-
mniej bezpieczna z opcji, ponieważ umożliwia ona korzystanie z proto-
kołu uwierzytelniającego PAP (Password Authentication Protocol), który
przesyła hasło w postaci czytelnego tekstu. Chociaż poziom bezpieczeń-
stwa oferowany przez PAP jest niezadowalający, protokół ten może zna-
leźć zastosowanie w przypadku, kiedy trzeba obsłużyć wiele typów klien-
tów RAS, bądź też klientów napisanych przez niezależne firmy, udostęp-
niających tylko protokół PAP.
Rysunek 12.9
Okno dialogowe Dial-Up
Server Properties.
Inne protokoły uwierzytelniające, na użycie których zezwala opcja Allow
Any Authentication Including Clear Text, to CHAP, MD5-CHAP, DES i SPAP
.
W skrócie: CHAP (Challenge Handshake Authentication Protocol) używany
jest przez klientów RAS ze względu na prędkość, prostotę oraz niewielkie
rozmiary kodu. Implementacja CHAP firmy Microsoft oparta jest na szy-
Dostęp do Internetu przy użyciu RAS i PPTP
411
frowaniu MD5 (Message Digest 5). DES (Data Encryption Standard) jest
standardem szyfrowania zaprojektowanym przez NBS (National Bureau of
Standards). SPAP (Shiva Password Authentication Protocol) jest protokołem
zaprojektowanym przez firmę Shiva, Inc., używanym dla zapewnienia
kompatybilności z klientami firmy Shiva. SPAP nie przesyła hasła
w postaci czytelnego tekstu, jest więc bezpieczniejszy od PAP.
�Opcja Require Encrypted Authentication zezwala na użycie przez klientów RAS
dowolnego protokołu uwierzytelniającego, z wyjątkiem PAP.
�
Opcja
Require Microsoft Encrypted Authentication
zezwala na uwierzytelnia-
nie tylko przez protokół MD5-CHAP firmy Microsoft.
�
Zaznaczenie opcji Require Data Encryption sprawia, że wszystkie dane
przesyłane przez połączenie RAS są szyfrowane. Jeśli potrzebny jest wyż-
szy poziom szyfrowania, należy również zaznaczyć pole wyboru Require
Stronger Data Encryption
.
4. Zaznaczyć pole wyboru Enable Multilink, aby Windows NT mogło
używać multiłączy. Pozwalają one na zwiększenie przepustowości
dzięki scalaniu dwóch lub większej liczby linii komunikacyjnych
w jedno połączenie.
5. W ramce Authentication Provider można wybrać uwierzytelnianie przez
Windows NT, bądź też przez internetową usługę RADIUS (Remote
Authentication Dial-In User Service). Jeśli wybrane zostanie uwierzytel-
nianie przez RADIUS, wówczas można kliknąć przycisk Configure,
aby określić serwery RADIUS (patrz rysunek 12.10). W oknie RADIUS
Configuration
można wpisać serwery RADIUS w kolejności, w której
będą używane.
Rysunek 12.10
Okno dialogowe RADIUS
Configuration.
6. Wybrać zakładkę TCP/IP, aby skonfigurować ustawienia TCP/IP dla
serwera Dial-Up (patrz rysunek 12.11). Jeśli klienci RAS korzystają
z aplikacji TCP/IP, które używają interfejsu Windows Sockets, wów-
czas konieczne jest skonfigurowanie ustawień TCP/IP serwera Dial-
Up. Na serwerze musi być zainstalowany i skonfigurowany protokół
Rozdział 12
412
TCP/IP, aby pracował on w lokalnej sieci jako host TCP/IP. Należy
również skonfigurować go tak, aby dostarczał adresy IP klientom
RAS. Klienci używający TCP/IP muszą mieć unikalne adresy IP; jeśli
nie posiadają adresu IP w momencie łączenia się z serwerem RAS,
wówczas serwer im go przydziela. Można również skonfigurować
serwer RAS tak, aby do przydzielania adresów klientom wykorzy-
stywał DHCP. Adresy przydzielane klientom RAS muszą umożliwić
połączenie się z lokalną siecią, w której rezyduje serwer RAS.
7. Wybrać opcję My entire network, jeśli klienci RAS używający TCP/IP
mają mieć dostęp do całej sieci. Jest to domyślne ustawienie.
8. Wybrać opcję This Computer Only, jeśli klienci RAS używający TCP/IP
mają mieć dostęp tylko do serwera RAS. Opcja ta przydaje się, gdy
konieczne jest ograniczenie dostępu do sieci.
9. Wybrać opcję automatycznego przyznawania adresów IP zdalnym
klientom RAS (Allocate Network Address Automatically), jeśli w sieci ist-
nieje wykorzystywany do tego celu serwer DHCP.
10. Jeśli nie korzystamy z serwera DHCP, można wybrać opcję Use Static
Address Pool
, aby określić zakres adresów przyznawanych klientom
RAS. Dane wprowadza się w polach Address i Mask; pola Range
i Number of Addresses for Clients są obliczane automatycznie.
Rysunek 12.11
Konfigurowanie protokołu
TCP/IP dla serwera RAS.
11. Jeśli klienci RAS posiadają wstępnie skonfigurowane adresy IP, moż-
na zaznaczyć opcję Allow Remote Clients to Request a Predetermined IP
Address
. Adresy te muszą być zgodne z podsiecią, w której znajduje
się serwer RAS; w
innym przypadku mogą wystąpić błędy
w trasowaniu IP.
Dostęp do Internetu przy użyciu RAS i PPTP
413
12.
Po ustawieniu wszystkich parametrów kliknąć przycisk OK
w zakładce TCP/IP i w następnych oknach dialogowych. Ponownie
uruchomić komputer, aby zmiany zostały uwzględnione.
Uruchamianie usług RAS
Po ponownym uruchomieniu komputera trzeba sprawdzić, czy usługa
RAS pracuje. Można to sprawdzić wywołując program System Service
Management z grupy Administrative Tools. Jeśli usługa Dial-Up Server
Service jest oznaczona jako Manual, wówczas trzeba ją uruchamiać ręcz-
nie po każdym restarcie komputera.
Aby usługa Dial-Up uruchamiała się automatycznie po restarcie kompu-
tera, należy kliknąć podwójnie Dial-Up Server Service na liście usług
i zmienić Startup Type na Automatic (patrz rysunek 12.12).
Zarządzanie usługami RAS
Następujące cztery programy służą do konfigurowania, sterowania, mo-
nitorowania i uaktualniania usług Dial-Up w Windows NT:
�Remote
Access Admin (umieszczony w grupie Administrative Tools).
Używany do zarządzania zdalnym dostępem.
�Dial-Up Monitor (
umieszczony w Control Panel). Używany do ustawia-
nia preferencji usług dial-up, przeglądania aktywnych połączeń dial-
up oraz monitorowania sygnałów nadawania, odbioru, błędu i wykry-
wania nośnej.
�Dial-Up Networking
(umieszczony w grupie Accessories). Służy do do-
dawania numerów telefonów, za pośrednictwem których korzysta się
z usług RAS.
�Directory management
(NT wersja 5 lub późniejsza) lub User Manager for
Domain
(NT wersja 4 i poprzednie). Służy do ustawiania zezwoleń na
dostęp dial-up oraz opcji oddzwaniania dla każdego użytkownika.
Rozdział 12
414
Rysunek 12.12
Konfiguracja usługi serwera
Dial-Up
Obs³uga programu Remote Access Admin
Poniżej opisano cechy i możliwości programu Remote Access Admin.
1. Zalogować się na serwer RAS jako administrator.
2. Wybrać z menu Start grupę Administrative Tools. Wybrać opcję Routing
and Remote Access Administrator
. Powinno ukazać się okno Routing and
RAS Admin
(patrz rysunek 12.13).
3. Aby zarządzać serwerami RAS w innej domenie, wybrać z menu
Server/View Domain
. Można także bezpośrednio wprowadzić nazwę
żądanego serwera w notacji UNC (\\nazwa komputera). Wprowa-
dzając nazwę domeny uzyskamy listę wszystkich serwerów RAS
w domenie.
Dostęp do Internetu przy użyciu RAS i PPTP
415
Rysunek 12.13
Okno Routing and
RAS Admin.
4. W oknie Routing and RAS Admin kliknąć Active Connections and Ports.
Prawy panel pokaże klientów RAS podłączonych do serwera oraz
liczbę dostępnych linii RAS.
5. Kliknąć prawym klawiszem myszy na użytkowniku, aby obejrzeć
status połączenia, albo rozwinąć wpis dotyczący użytkownika
i kliknąć prawym klawiszem myszy na urządzeniu, aby obejrzeć jego
status. Powinno ukazać się okno dialogowe Communication Ports. Jeśli
port jest używany, wyświetlona zostanie nazwa użytkownika i czas
korzystania z połączenia.
6. Można przesyłać komunikaty do użytkowników, klikając prawym
klawiszem myszy na użytkowniku i wybierając opcję Send Message lub
Send to All
(wysyła komunikat wszystkim użytkownikom). Można
przerwać sesję użytkownika, wybierając opcję Disconnect User.
7. Aby sprawdzić status linii RAS, kliknąć na niej prawym klawiszem
myszy i wybrać opcję Status (patrz rysunek 12.14).
8. Informacje zawarta w oknie Status mogą okazać się pomocne przy
usuwaniu usterek. Aby wyzerować statystyki, nacisnąć przycisk Reset.
Ustawienie zezwoleń na zdalny dostęp
Zezwolenia na zdalny dostęp można ustawić przy pomocy programu
Directory Management. Poniżej podano sposób wykonania tej czynności:
1. Zalogować się jako administrator.
Rozdział 12
416
2. Wybrać Start/Programs/Administrative Tools/Directory management.
3. Kliknąć podwójnie na Microsoft Directory Service Manager.
4. Kliknąć podwójnie na nazwie domeny kont użytkowników, których
zezwolenia na dostęp należy skonfigurować.
5. Kliknąć podwójnie na folderze Users, aby w panelu po prawej stronie
pojawiła się lista użytkowników.
Rysunek 12.14
Przykładowy status linii
RAS.
6. Kliknąć prawym klawiszem myszy na nazwie użytkownika, którego
parametry należy zmienić.
7. Wybrać Properties. Powinno ukazać się okno User Properties dla wy-
branego użytkownika (patrz rysunek 12.15).
8. Wybrać zakładkę Dial-in (patrz rysunek 12.16).
Dostęp do Internetu przy użyciu RAS i PPTP
417
Rysunek 12.15
Okno User Properties.
Rysunek 12.16
Zakładka Dial-in w oknie User Properties.
9. Zaznaczyć pole wyboru Grant dialin permission to user.
10. Wybrać którąś z opcji oddzwaniania. Włączenie oddzwaniania po-
woduje, że po nawiązaniu połączenia przez zdalnego klienta, serwer
RAS przerywa połączenie i oddzwania pod podany numer; zmniejsza
to ryzyko włamań do systemu. Domyślną opcją jest No Call Back, któ-
ra wyłącza oddzwanianie do wybranego użytkownika. Jeśli ustawio-
na jest opcja Set by Caller, wówczas serwer zapyta użytkownika
o numer, pod który należy oddzwonić. Jeśli ustawiona jest opcja
Preset
To, wówczas serwer oddzwoni do zdalnego użytkownika pod
numer wpisany w pobliskim polu.
11. Po ustawieniu zezwoleń kliknąć OK.
12. Zamknąć program Directory Management.
Korzystanie z programu Dial-Up Networking
Poniżej opisano cechy i możliwości programu Dial-Up Networking.
1. Zalogować się jako administrator na serwer Windows NT pracujący
jako serwer RAS.
2. Uruchomić program Dial-Up Networking z folderu Accessories. Jeśli
książka telefoniczna jest pusta, ukaże się informujący o tym komuni-
kat. Kliknąć OK, aby dodać nową pozycję. Powinno ukazać się okno
New Phonebook Entry Wizard
.
Rozdział 12
418
3. W polu Name the new phonebook entry wpisać nazwę serwera, hosta lub
organizacji, która będzie odbierała połączenie. Nazwa ta ułatwia iden-
tyfikację połączeń. Kliknąć Next.
4. W następnym oknie (patrz rysunek 12.17) wybrać opcje odpowiednie
dla konfigurowanego połączenia i kliknąć Next. Jeśli komputer ma łą-
czyć się z Internetem (opcja I am calling the Internet), należy przeczytać
dalszy rozdział "Konfigurowanie zdalnego dostępu do Internetu".
Zaznaczenie trzeciej opcji, The Non-Windows NT Server... powoduje, że
w dalszej części procedury New Phonebook Entry Wizard zapyta nas
o proces logowania i informacje związane z TCP/IP.
5. W następnym oknie (patrz rysunek 12.18) wybrać modem lub kartę
sieciową.
6. W następnym oknie (patrz rysunek 12.19) wprowadzić numer, pod
który należy dzwonić. Kliknąć przycisk Alternates, aby wprowadzić al-
ternatywne numery telefoniczne. Jeśli nie uda się dodzwonić pod
pierwszy numer, komputer będzie próbował połączyć się z innymi
numerami w kolejności, w jakiej umieszczone są na liście.
Zaznaczyć pole wyboru Use Telephony Dialing Properties, jeśli połączenie
ma korzystać z
ustawień zdefiniowanych w
aplikacji Telephony
z Control Panel.
Po wprowadzeniu numerów telefonów kliknąć Next.
7. Jeśli zaznaczono trzecią opcję w punkcie czwartym (The Non-Windows
NT Server...
), wówczas ukażą się cztery kolejne okna, pytające
o protokół linii szeregowej, proces logowania, adres IP oraz adresy
serwerów WINS i DNS. Jeśli nie zaznaczono tej opcji, należy przejść
do punktu 10.
8. W następnym oknie wprowadzić adres IP zdalnej sieci. Należy naj-
pierw upewnić się, czy jest to konieczne - serwery internetowe są za-
zwyczaj skonfigurowane tak, że dostarczają adresy IP łączącym się
z nimi klientom. Jeśli serwer dostarcza adresów IP, wówczas należy
pozostawić domyślną wartość 0.0.0.0. Jak zaznaczono w oknie, nie na-
leży tu podawać adresu karty sieciowej w komputerze. Kliknąć Next.
9. W następnym oknie wprowadzić adresy IP serwera DNS i/lub serwe-
ra WINS (patrz rysunek 12.20). Adresy te przekaże nam dostawca
usług zdalnego dostępu. Jeśli serwer dostarczy adresy IP serwerów
DNS i WINS, wówczas należy pozostawić domyślne wartości 0.0.0.0
w obu polach. Kliknąć Next.
Dostęp do Internetu przy użyciu RAS i PPTP
419
Rysunek 12.17
Opcje konfigurowanego połączenia.
Rysunek 12.18
Okno umożliwiające wybór modemu lub karty
sieciowej.
Rysunek 12.19
Okno umożliwiające wpisanie numeru telefo-
nicznego.
Rysunek 12.20
Okno umożliwiające wprowadzenie adresów
serwerów DNS i WINS.
10. W następnym oknie kliknąć Finish, aby zakończyć konfigurowanie
nowej pozycji książki telefonicznej.
11. Po dodaniu pierwszej pozycji ukaże się okno Dial-Up Networking
(patrz rysunek 12.21). Będzie się ono pojawiać przy kolejnych uru-
chomieniach programu.
Kliknąć na strzałce obok listy Phonebook entry to dial, aby zobaczyć pozy-
cje książki telefonicznej.
12. Aby dodać kolejne pozycje do książki telefonicznej, należy kliknąć
przycisk New i skorzystać z opisanej wyżej procedury.
13. Lista Dialing from określa lokalizację, z której wybierany jest numer.
Definiuje ona właściwości wybierania numeru podczas telefonowania
z danej lokalizacji. Informacje te można zmienić w oknie dialogowym
Location Settings
, wywoływanym przez kliknięcie przycisku Location.
Rozdział 12
420
Aby dodać lub usunąć lokalizację, należy kliknąć na liście Location
w oknie dialogowym Location Settings (patrz rysunek 12.22). Można
tu także określić przedrostki i przyrostki dodawane do numeru.
Można także edytować i dodawać lokalizacje przy pomocy aplikacji
Telephony
z Control Panel. Oferuje ona dodatkowe opcje konfiguracyj-
ne i bardziej przejrzysty interfejs użytkownika.
14. Aby zadzwonić pod którąś z pozycji książki, kliknąć podwójnie na jej
nazwie w liście Location, albo podświetlić ją i kliknąć przycisk Dial
(patrz rysunek 12.21).
Aby zakończyć połączenie, kliknąć przycisk Close.
Dodatkowe opcje są dostępne po kliknięciu przycisku More (patrz rysu-
nek 12.23).
15. Wybrać opcję Edit entry and modem properties, aby wywołać okno edy-
cyjne Edit Phonebook Entry (patrz rysunek 12.24).
Pięć zakładek okna Edit Phonebook Entry służy do konfigurowania róż-
nych parametrów pozycji książki telefonicznej:
Rysunek 12.21
Okno dialogowe Dial-Up Networking.
Rysunek 12.22
Okno dialogowe Location Settings.
Rysunek 12.23
Dodatkowe opcje w oknie Dial-Up Networking.
Rysunek 12.24
Okno dialogowe Edit Phonebook Entry.
Dostęp do Internetu przy użyciu RAS i PPTP
421
�
Zakładka Basic określa podstawowe parametry pozycji, jak nazwa, numer
telefonu oraz używany modem. Można tu także włączyć lub wyłączyć ko-
rzystanie z właściwości wybierania z aplikacji Telephony oraz wprowadzić
opcjonalny komentarz.
�
Zakładka Server włącza i wyłącza protokoły sieciowe i programową kom-
presję. Przycisk TCP/IP Settings wywołuje okno dialogowe PPP TCP/IP
Settings
(patrz rysunek 12.25).
�
Zakładka Scripts pozwala na zdefiniowanie skryptu, który będzie wyko-
nywany po wybraniu numeru (patrz rysunek 12.26). Jeśli zaznaczona zo-
stanie opcja Pop-up a terminal window, wówczas po wybraniu numeru wy-
woływane będzie okno terminala. Po kliknięciu przycisku Before dialing
można określić, czy należy uruchomić skrypt lub wywołać okno terminala
przed wybraniem numeru.
�
Zakładka Security pozwala zdefiniować opcje uwierzytelniania
i szyfrowania dla danego połączenia. Są one podobne do opcji oferowa-
nych przez okno Network Configuration.
�
Zakładka X.25 umożliwia wpisanie parametrów dla połączenia X.25
(patrz rysunek 12.27).
Rysunek 12.25
Okno dialogowe PPP TCP/IP Settings.
Rysunek 12.26
Zakładka Script w oknie dialogowym Edit
Phonebook Entry.
16. Opcja Clone Entry and Modem Properties (patrz rysunek 12.23) przydaje
się wówczas, gdy chcemy skopiować pozycję książki telefonicznej,
dokonać w niej niewielkich zmian i zachować pod nową nazwą.
Opcja Monitor Status (patrz rysunek 12.23) wywołuje okno programu
Dial-Up Networking Monitor
(opisanego w następnym podrozdziale).
Opcje User Preferences i Logon Preferences (patrz rysunek 12.23) umoż-
liwiają wprowadzenie preferencji dla sesji zdalnego dostępu. Wywo-
Rozdział 12
422
ływane przez nie okna dialogowe User Preferences i Logon Preferences
są bardzo podobne. Okno Logon Preferences zawiera ustawienia, które
używane są po zaznaczeniu pola wyboru Logon Using Dial-Up
Networking
w oknie logowania Windows NT, pojawiającym się po na-
ciśnięciu klawiszy CTRL+ALT+DELETE. Opcja Logon Preferences po-
jawia się tylko wtedy, jeśli użytkownik jest zalogowany jako admini-
strator. Okno User Preferences pozwala na zdefiniowanie ustawień
specyficznych dla bieżąco zalogowanego użytkownika. Oba okna po-
siadają cztery zakładki:
�
Zakładka Dialing określa liczbę ponownych prób uzyskania połączenia,
liczbę sekund pomiędzy kolejnymi próbami oraz liczbę jałowych se-
kund przed zakończeniem połączenia. Okno User Preferences zawiera
także dodatkową opcję, Enable Auto-Dial by Location. Po jej zaznaczeniu
Windows NT będzie sprawdzać zależność pomiędzy pozycją książki te-
lefonicznej i adresem sieciowym - innymi słowy, jeśli Windows NT na-
potka odniesienie do pliku, który można odczytać tylko poprzez połą-
czenie Dial-Up (np. skrót do pliku znajdującego się na innym kompute-
rze), wówczas automatycznie spróbuje nawiązać połączenie. Na rysun-
ku 12.28 opcja Auto-dial jest włączona dla bieżącej lokalizacji.
Opcja auto-dial a usługa
Remote Access Auto-dial Manager
Aby można było używać opcji auto-dial, musi być włączona usługa Remote
Access Auto-dial Manager
. Można to sprawdzić w programie System Service
Management
, znajdującym się w grupie Administrative Tools.
Rysunek 12.27
Zakładka X.25 w oknie dialogowym Edit
Phonebook Entry.
Rysunek 12.28
Zakładka Dialing w oknie dialogowym User
Preferences.
Dostęp do Internetu przy użyciu RAS i PPTP
423
�
Zakładka Callback definiuje dla danego połączenia właściwości od-
dzwaniania (patrz rysunek 12.29). Jeśli uaktywni się tę opcję, wówczas
po odebraniu zgłoszenia serwer natychmiast oddzwania, aby nawiązać
połączenie. Redukuje to koszty ponoszone przez zdalnego klienta. Za-
kładka Callback określa sposób odpowiedzi serwera na telefon użyt-
kownika.
�
Zakładka Appearance określa sposób wyświetlania parametrów dla da-
nej pozycji książki telefonicznej (patrz rysunek 12.30). Okno Logon
Preferences
zawiera dodatkowe opcje, umożliwiające edytowanie książki
telefonicznej i lokalizacji podczas logowania.
�
Zakładka Phonebook określa aktywną książkę telefoniczną (patrz rysu-
nek 12.31). Poszczególne pozycje programu Dial-Up Networking są prze-
chowywane w książce telefonicznej (pliku
*.pbk
). Domyślną książką
telefoniczną jest książka systemowa, ale można stworzyć własną książ-
kę z pozycjami Dial-Up, innymi niż dla całego systemu. Przy pierw-
szym zaznaczeniu opcji My personal phonebook, Windows NT tworzy
osobisty plik książki telefonicznej, o nazwie składającej się z pierwszych
ośmiu liter nazwy użytkownika i rozszerzenia
.pbk
. Jeśli klikniemy
OK
, wówczas osobista książka telefoniczna stanie się książką aktywną.
Nazwa aktywnej książki (o ile nie jest nią książka systemowa) pojawia
się na pasku tytułowym głównego okna programu Dial-Up Networking.
Można także zaznaczyć opcję This alternate phonebook i kliknąć przycisk
Browse
, aby przejrzeć dysk w poszukiwaniu innego pliku książki telefo-
nicznej (zakładka Phonebook w oknie Logon Preferences nie pozwala na
określenie osobistej książki telefonicznej).
17. Po dodaniu i zmodyfikowaniu pozycji książki telefonicznej można
zamknąć program Dial-Up Networking.
Rysunek 12.29
Zakładka Callback w oknie dialogowym User
Preferences.
Rysunek 12.30
Zakładka Appearance w oknie dialogowym User
Preferences.
Rozdział 12
424
Konfigurowanie zdalnego dostępu do Internetu
Zanim będzie można użyć usług RAS w celu połączenia się z Internetem
(poprzez serwer dostawcy Internetu), należy utworzyć i skonfigurować
pozycję książki telefonicznej w programie Dial-Up Networking, za po-
mocą której będziemy dzwonić do dostawcy Internetu.
Ustawienia internetowego połączenia Dial-Up zależą od konfiguracji
serwera u dostawcy Internetu i powinny zostać dostarczone przez do-
stawcę. Dostawca może nie mieć gotowej recepty na połączenie
z serwerem poprzez usługę RAS w Windows NT; w takim przypadku
należy dostosować ustawienia na podstawie dokładnie sprecyzowanych
przez niego wymagań. Jeśli dostawca nie dostarczy nam informacji doty-
czących bezpośrednio Windows NT, wówczas można ustalić wszystkie
kluczowe parametry na podstawie instrukcji konfiguracyjnych dla Win-
dows 9x.
Przed utworzeniem połączenia Dial-Up z Internetem, należy uzyskać od
dostawcy następujące informacje:
�
Czy serwer wymaga logowania po nawiązaniu połączenia?
�
Czy serwer przydziela adres IP, czy też należy go wstępnie ustalić?
�
Jakie są adresy IP serwerów DNS lub WINS używanych przez konta
internetowe?
�
Jakie metody uwierzytelniania hasła obsługuje serwer dostawcy?
�
Jakie metody kompresji danych obsługuje serwer dostawcy?
Konfigurowanie serwera RAS jako routera
Serwer RAS obsługujący protokoły IPX lub IP może zostać skonfiguro-
wany jako statyczny router. Statyczne routery w przeciwieństwie do
zwykłych routerów nie uczestniczą w wymianach uaktualniających in-
formacje o trasowaniu i mogą przekazywać pakiety tylko pomiędzy sie-
ciami, do których są bezpośrednio podłączone. Niniejszy podrozdział
omawia serwery RAS pracujące jako routery IP.
Router RAS TCP/IP
Opcja statycznego trasowania umożliwia serwerowi RAS przekazywanie
pakietów TCP/IP pomiędzy klientami RAS i hostami TCP/IP znajdują-
cymi się w sieci. Trasowanie IP jest ograniczone do sieci, do których ser-
wer RAS jest bezpośrednio podłączony.
Dostęp do Internetu przy użyciu RAS i PPTP
425
Rysunek 12.32 przedstawia przykład statycznego trasowania, w którym
klient RAS używa aplikacji Windows Sockets, np. FTP, aby uzyskać do-
stęp do serwerów FTP znajdujących się w sieci.
Serwer RAS pracujący jako router IP nie przekazuje żądań w trybie b-
węzła, wysyłanych przez klienta RAS pod adres 255.255.255.255.
Rysunek 12.31
Okno zakładki User Prefe-
rences książki adresowej
Konfigurowanie routera RAS IP dla uzyskania dostępu
do Internetu
Router RAS IP może przekazywać pakiety pomiędzy prostą siecią lokal-
ną a Internetem poprzez dedykowane połączenie PPP, zapewnione przez
dostawcę Internetu.
Rysunek 12.33 przedstawia niewielką sieć lokalną, używającą serwera
RAS jako routera IP. Adres domyślnej bramki musi być ustawiony
w klientach TCP/IP na adres routera RAS IP.
Konieczne jest również ustawienie wartości dwóch wpisów w Rejestrze
serwera RAS. Pierwszym z
nich jest DisableOtherSrcPackets, typu
REG_DWORD
, który należy utworzyć pod kluczem:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasArp\Parameters
Jeśli wpis ten nie istnieje, wówczas przyjmowana jest jego domyślna war-
tość 0. W takim przypadku pakiety IP wysyłane przez serwer RAS zawie-
rają w polu adresu źródłowego adres serwera RAS. Aby serwer RAS
mógł pracować jako router, musi umieszczać w nagłówku przekazywa-
nych pakietów adres źródłowy węzła lokalnej sieci, będącego nadawcą
pakietu. Należy więc utworzyć wpis DisableOtherSrcPackets i ustawić jego
wartość na 1.
Rozdział 12
426
Jeśli nasza podsieć jest tej samej klasy, co sieć dostawcy Internetu, należy
utworzyć wpis PriorityBasedOnSubnetwork, typu REG_DWORD, pod na-
stępującym kluczem:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\IPCP
Jeśli wpis ten nie istnieje, wówczas przyjmowana jest jego domyślna war-
tość 0. Należy utworzyć wpis PriorityBasedOnSubnetwork i ustawić jego
wartość na 1.
Rysunek 12.32
Trasowanie IP
Serwera RAS
Zazwyczaj, jeśli połączenie RAS i karta sieciowa posiadają ten sam numer
sieci w swoich adresach IP i zaznaczona jest opcja Use default gateway on
remote network
w oknie dialogowym PPP TCP/IP Settings (patrz rysunek
12.25), wówczas wszystkie pakiety IP są wysyłane do połączenia RAS.
Oznacza to, że jeśli np. karta sieciowa ma adres IP 132.156.190.12,
a połączenie RAS 132.156.195.2, serwer RAS wysyła wszystkie pakiety
przeznaczone dla adresów 132.156.*.* do połączenia RAS, ponieważ nu-
mer sieci (132.156.0.0) jest taki sam dla połączenia i karty sieciowej. Jeśli
wpis PriorityBasedOnSubnetwork ma wartość 1, wówczas serwer RAS wy-
śle pakiety przeznaczone dla adresów 132.156.190.* do karty sieciowej,
a przeznaczone dla 132.156.195.* do połączenia RAS, ponieważ zakłada,
że używana jest maska podsieci 255.255.255.0.
Oprócz tego konieczne jest skonfigurowanie pewnych parametrów przez
dostawcę Internetu. Musi on np. przydzielić numer podsieci i zdefinio-
wać wpisy dotyczące trasowania w swojej sieci.
Przegląd cech protokołu PPTP
Protokół PPTP (Point-to-Point Tunelling Protocol) umożliwia klientom
łączenie się z prywatnymi serwerami poprzez sieci oparte na TCP/IP.
Zapewnia on bezpieczny kanał komunikacyjny pomiędzy klientem
Dostęp do Internetu przy użyciu RAS i PPTP
427
i serwerem PPTP, zarówno w sieciach prywatnych, jak i publicznych,
włączając w to Internet. Dzięki PPTP zdalni użytkownicy mogą połączyć
się telefonicznie z lokalnym dostawcą Internetu, a następnie poprzez
Internet ze zdalnym serwerem.
Chociaż PPTP pracuje w sieciach TCP/IP, obsługuje takie protokoły sie-
ciowe jak IP, IPX i NetBEUI. Ponieważ PPTP obudowuje pakiety IP, IPX
lub NetBEUI, zdalni użytkownicy mogą uzyskać dostęp do systemów
używających tych protokołów lub też uruchamiać aplikacje zależne od
protokołu.
Sieci VPN
PPTP korzysta z sieci VPN (Virtual Private Networks), które umożliwiają
nawiązanie połączenia pomiędzy dwoma komputerami, znajdującymi się
w różnych lokalizacjach. Połączenie to, nazywane tunelem, musi zapew-
niać bezpieczeństwo i prywatność; łączy ono dwa urządzenia PPTP po-
przez publiczne lub prywatne sieci. Chociaż termin VPN odnosi się do
wirtualnego połączenia pomiędzy komputerami, Microsoft używa go na
oznaczenie urządzenia tworzącego to połączenie. Podczas instalowania
i konfigurowania protokołu PPTP konfigurujemy więc urządzenia VPN.
Instalowanie protokołu PPTP
Instalacja usług PPTP składa się z zainstalowania protokołu PPTP
i skonfigurowania urządzeń VPN. Instalacja i konfiguracja przebiegają
podobnie jak w przypadku usług RAS omówionych wcześniej w tym
rozdziale.
W Windows NT 5 PPTP jest instalowane automatycznie wraz z proto-
kołem TCP/IP. Jeśli z jakiegoś powodu nie zainstalowano PPTP, należy:
1. Zalogować się na serwer Windows NT jako administrator.
2. Uruchomić aplikację Network z Control Panel. Powinno ukazać się okno
dialogowe Network; wybrać w nim zakładkę Protocols.
Rozdział 12
428
Rysunek 12.33
Niewielka sieć lokalna, połączona z Internetem poprzez router RAS IP.
3. W zakładce Protocols kliknąć przycisk Add, aby wywołać okno dialo-
gowe Select Network Protocol.
4. W oknie dialogowym Select Network Protocol wybrać Point-to-Point
Tunelling Protocol
.
5. W razie potrzeby podać ścieżkę do plików instalacyjnych serwera
i kliknąć przycisk Continue.
6. Powinno ukazać się okno, obrazujące postępy w kopiowaniu plików.
Po skopiowaniu plików podświetlić opcję Point-to-Point Tunelling
Protocol
w zakładce Protocols i kliknąć przycisk Properties (patrz rysu-
nek 12.34).
7. Przy pomocy strzałek wybrać liczbę urządzeń VPN (Number of Virtual
Private Networks). Jest to liczba jednoczesnych połączeń VPN obsługi-
wanych przez serwer. Serwer Windows NT może obsłużyć do 255
jednoczesnych połączeń. W oknie tym można również zarezerwować
liczbę urządzeń VPN używanych wyłącznie do dzwonienia na ze-
wnątrz (Reserve exclusively for dial-out), przyjmowania połączeń (...dial-
in) oraz trasowania (...routing).
Instalowanie i konfigurowanie klientów PPTP
Windows NT Server, Windows NT Workstation oraz Windows 9x mogą
być klientami PPTP. Każdy z tych systemów wykorzystuje urządzenie
Dostęp do Internetu przy użyciu RAS i PPTP
429
VPN do łączenia się z serwerem PPTP. Procedura instalacji jest we
wszystkich przypadkach zbliżona do instalacji oprogramowania klienta
Dial-Up Networking. Poniższe podrozdziały omawiają instalację klien-
tów PPTP w systemach Windows NT Server, Windows NT Workstation
oraz Windows 9x.
Instalowanie PPTP w systemie Windows NT
Instalacja PPTP w Windows NT składa się z zainstalowania protokołu
sieciowego PPTP i skonfigurowania urządzeń VPN. Procedura instalacji
i konfiguracji jest podobna do opisanej we wcześniejszym podrozdziale,
dotyczącym usług RAS.
Rysunek 12.34
Konfiguracja PPTP.
Sposób instalacji oprogramowania PPTP i konfiguracji urządzeń VPN
opisano we wcześniejszym rozdziale, "Instalowanie protokołu PPTP"
Konfigurowanie PPTP w systemie Windows NT
Do łączenia się z prywatną siecią poprzez PPTP najczęściej wykorzysty-
wany jest Internet. Aby można było skorzystać z tej metody, klient PPTP
musi posiadać dwie pozycje w książce telefonicznej: jedną dla połączenia
z Internetem poprzez serwer dostawcy Internetu, a drugą dla serwera
PPTP, z którym należy połączyć się poprzez Internet. Procedura tworze-
nia pozycji książki telefonicznej i konfigurowania połączenia z Inter-
netem została omówiona we wcześniejszej części rozdziału.
Aby skonfigurować pozycję książki telefonicznej dla połączenia PPTP,
należy:
1. Zalogować się do systemu Windows NT.
Rozdział 12
430
2. Uruchomić program Dial-Up Networking z foldera Accessories. Jeśli
książka telefoniczna jest pusta, ukaże się informujący o tym komuni-
kat. Kliknąć OK, aby dodać nową pozycję do książki.
3. Powinno ukazać się okno New Phonebook Entry Wizard.
W polu Name the New Phonebook Entry wpisać nazwę serwera, do którego
należy zadzwonić. Kliknąć Next.
4. W następnym oknie zaznaczyć opcję I am calling the Internet.
5. W następnym oknie wpisać adres serwera, z którym należy nawiązać
połączenie. W przypadku konfigurowania i nawiązywania połączeń
z serwerem PPTP podaje się adres serwera, a nie numer telefonu.
6. Po wpisaniu adresu TCP/IP serwera PPTP kliknąć Next.
7. Po skonfigurowaniu połączenia z dostawcą Internetu oraz połączenia
z serwerem PPTP można spróbować połączyć się serwerem PPTP.
Używając programu Dial-Up Networking należy wykręcić numer, aby
połączyć się z Internetem poprzez serwer dostawcy, a następnie po-
przez Internet z serwerem PPTP. Powinny być widoczne dwa okna
Dial-Up Networking
dla każdego z połączeń.
Po połączeniu się z serwerem PPTP nie można już korzystać z Internetu
poprzez serwer dostawcy. Dostęp do Internetu podczas sesji PPTP jest
możliwy jedynie wtedy, gdy pozwala na to zdalna sieć.
Instalacja w
Windows NT Workstation przebiega identycznie jak
w Windows NT Server.
Instalowanie PPTP w systemie Windows 95
Windows 95 również może pracować jako klient PPTP. Nowsze wersje
Dial-Up Networking pozwalają na użycie PPTP do zdalnego dostępu.
Aby zainstalować i skonfigurować PPTP w Windows 95, należy wcze-
śniej ściągnąć z sieci wersję 1.2 (lub nowszą) programu Dial-Up Networ-
king.
Poniższa procedura zakłada, że zainstalowano już w systemie Dial-Up
Networking w wersji 1.2 lub nowszej oraz skonfigurowano połączenie
z dostawcą Internetu.
Aby skonfigurować urządzenie VPN i używać PPTP w systemie Win-
dows 9x, należy:
1. Z menu Start wybrać Programs/Accessories/Dial-Up Networking.
2. Kliknąć Make New Connection. Pojawi się okno Make New Connection
Wizard
.
Dostęp do Internetu przy użyciu RAS i PPTP
431
3. Wpisać nazwę serwera w polu Type a Name for the Computer You Are
Dialing
.
4. Wybrać Microsoft VPN Adapter w polu Select a Modem. Kliknąć Next.
5. Wpisać nazwę lub adres IP serwera PPTP w polu Host Name or IP
Address
. Kliknąć Next, a
następnie Finish. W
folderze Dial-Up
Networking
pojawi się nowa ikona, służąca do nawiązywania połącze-
nia z serwerem.
6. Podwójnie kliknąć na ikonie Dial-Up Networking, która służy do łącze-
nia się z dostawcą Internetu.
7. Podwójnie kliknąć na ikonie Dial-Up Networking, która służy do łącze-
nia się z serwerem PPTP. Wprowadzić nazwę użytkownika i hasło do
zdalnego serwera. Będą teraz aktywne dwa połączenia, jedno
z dostawcą Internetu, a drugie z serwerem PPTP.
Po połączeniu się z serwerem PPTP nie można już korzystać z Internetu
poprzez serwer dostawcy. Dostęp do Internetu podczas sesji PPTP będzie
możliwy tylko wówczas, jeśli pozwala na to zdalna sieć.
Podobnie jak w przypadku zdalnego dostępu poprzez inne urządzenia
komunikacyjne, do monitorowania połączeń PPTP używa się programu
Remote Access Admin, omówionego we wcześniejszych podrozdziałach.
Instalowanie i konfigurowanie L2TP
Wraz z pojawieniem się na rynku wersji 5 Windows NT, dostępny stał się
nowy protokół służący do tworzenia sieci VPN, nazywany L2TP (Layer 2
Tunneling Protocol). Został on zgłoszony jako propozycja internetowego
standardu i z czasem zapewne zastąpi PPTP.
Instalacja i konfiguracja L2TP jest zbliżona do PPTP. Poniżej podano od-
powiednią procedurę:
1. Zalogować się na serwer Windows NT jako administrator.
2. Uruchomić aplikację Network z Control Panel. Powinno ukazać się okno
dialogowe Network; wybrać w nim zakładkę Protocols.
3. W zakładce Protocols kliknąć przycisk Add, aby wywołać okno dialo-
gowe Select Network Protocol.
4. W oknie dialogowym Select Network Protocol wybrać Layer 2 Tunelling
Protocol
.
5. W razie potrzeby podać ścieżkę do plików instalacyjnych serwera
i kliknąć przycisk Continue.
Rozdział 12
432
6. Protokół Layer 2 Tunelling Protocol powinien pojawić się na liście
w zakładce Protocols. Kliknąć przycisk Properties, aby wywołać okno
dialogowe Layer 2 Tunelling Protocol Properties (patrz rysunek 12.35).
7. Przy pomocy strzałek wybrać liczbę urządzeń VPN (Number of Virtual
Private Networks). Jest to liczba jednoczesnych połączeń VPN obsługi-
wanych przez serwer. Serwer Windows NT może obsłużyć do 255
jednoczesnych połączeń. W oknie tym można również zarezerwować
liczbę urządzeń VPN używanych wyłącznie do dzwonienia na ze-
wnątrz (Reserve exclusively for dial-out), przyjmowania połączeń (...dial-
in
) oraz trasowania (...routing).
Rysunek 12.35
Konfiguracja L2TP.