Sedaha's page

Příspěvek popisuje 2 způsoby – pomocí vícenásobných rozhraní a pomocí vpnc alternativy.

Jak je vidět, tak neustále se najdou takoví, co pořád „hází klacky“ pod nohy. Tentokrát mám na mysli Cisco VPN klienta pro Windows (a nejen), který umožňuje serveru (VPN koncentrátoru) zakázat přístup do místní sítě (LAN), potažmo i do internetu (resp. umožňuje serveru, aby se sám stal ISP a kontroloval tok dat). Nicméně najdou se takoví, co tento přístup budou obhajovat z následujícího důvodu:

• split tunneling (rozdělené tunelování) umožňuje narušit bezpečnost sítě tak, že klient může otevřít cestu do privátní sítě útočníkovi z LAN nebo internetu.

Stejně dobře lze argumentovat proti:

• již zmíněné neumožnění přístupu na místní síť (např. nemůžu tisknout na sdílené tiskárně),
• omezení nebo znemožnění přístupu na internet,
• pokud je přesto připojení na internet povoleno přes koncentrátor, v okamžiku připojení se stejně všechna právě vedená spojení rozpadnou, což někdy může být na závadu,
• kdo chce zaútočit, ten si stejně způsob najde, zavirovaný počítač se může připojit do privátní sítě tak jako tak,
• už existují způsoby, jak „zabezpečení“ v podobě znemožnění rozděleného tunelování obejít, tak proč to klientovi vlastně zakazovat,
• tento způsob „utajeného řešení klienta“ je podlý, protože uživatel nemá prakticky žádnou kontrolu nad tím, co mu v systému provede.

První způsob řešení

Je nutné mít v PC dodatečnou síťovou kartu. Pomocí první síťové karty se provede připojení k VPN koncentrátoru. Druhá karta směřuje do LAN. U tohoto síťového rozhraní v „Ovládací panely/Síťová připojení/Vlastnosti připojení“ zrušte zaškrtnutí služby „Deterministic Network Enhancer“.

Druhý způsob řešení

Toto řešení nahrazuje Cisco VPN klienta klientem vpnc. Nejprve nainstalujte Cygwin. Při instalaci musí být zvoleny standardní nástroje pro kompilování (GCC) a taky libgcrypt. Nainstalujte OpenVPN. Stáhněte zdrojové kódy vpnc. Ty rozbalte do „/usr/src“. Zkompilujte a nainstalujte „make install“. Konfigurace vpnc se provede editací „/etc/vpnc/default.conf“. Je také vhodné upravit skript „/etc/vpnc/vpnc-script-win.js“ na několika místech:

function getDefaultGateway() {
    /*if (run("route print").match(/Default Gateway: *(.*)/)) {
        return (RegExp.$1);
    }
    return ("");*/
    return "192.168.1.1"; // nastavit manuálně výchozí bránu
}

Pro spuštění vpnc se ve stejném adresáři jako „vpnc.exe“, vytvoří skript „vpnc-connect.bat“:

@echo off
set CYGWIN=binmode tty ntsec
set path=C:\WINDOWS\system32;cesta_k_cygwin\bin
vpnc --no-detach --ifmode tap

Tím je nastavení hotovo a nezbývá, než otestovat.