Távoli munkavégzés támogatása

A Covid19 óta különösen megnőtt az igény a távoli munkavégzés lehetőségére, melyet csak erős informatikai támogatással lehet megvalósítani. Egy zárt rendszer „kinyitása” az internet felé meglehetősen veszélyes vállalkozás, melyre a már bemutatott port forward eljárás azonosítási eljárások hiányában nem alkalmas. A megoldást a VPN kapcsolatok jelentik. A VPN (Virtual Private Network) virtuális magánhálózatot jelent, melynek leegyszerűsített lényege egy olyan másodlagos kapcsolat kialakítása a belső hálózat felé, melynek kialakításához azonosítás szükséges, és működése során az átvitt adatforgalom erősen titkosított. Egy, a belső hálózathoz VPN kapcsolattal rendelkező számítógép a hálózat szempontjából úgy viselkedik, mint ha ott helyezkedne el. A VPN kapcsolathoz VPN szerver és kliens is szükséges. A szerver szolgáltatást a routerünk nyújtja majd, a klienst pedig a Windows beépített szoftvere tartalmazza, így nem kell telepítenünk semmit.

Megjegyzés

Számos gyártó fejlesztett ki különböző VPN szolgáltatásokat. Ingyenes változat az OpenVPN, de népszerűek a fizetős termékek is. Utóbbi hátránya, hogy az árképzés általában a munkatársak számától függ, így az komoly költséget jelenthet.

A RouterOS a DHCP szerver beállításához hasonlóan nagyban leegyszerűsíti a VPN szerverszolgáltatás üzembe helyezését. A gyorsbeállítások lap alján levő VPN blokkban egyszerűen be kell kapcsolni a VPN Access checkboxot, és beállítani egy jelszót az alapértelmezett VPN felhasználónak. (Utóbbit azért érdemes törölni, számos kibertámadás ismert felhasználónevekhez tartozó jelszó próbálgatásával indul, így a vpn usertől inkább célszerű megválni.)

Az alábbi ábra képernyőképe egy fizikai routerről készült azért, mert az egy további szolgáltatást is kínál a VPN támogatására: a routerünket elérhetővé teszi egy mynetname.net domain név alatt. A konkrét név a VPN Address mezőben olvasható le. Virtuális router esetében ez a szolgáltatás csak licensz vásárlásával érhető el, így ott a router külső lábának IP címe látható.

A VPN gyorsbeállítása RouterOS-ben

A VPN gyorsbeállítása RouterOS-ben

A VPN szerver működtetése során a munkatársak mindegyikének önálló hozzáférést kell adni. Vállalati környezetben nem használhatók közös hozzáférések, a távozó dolgozók VPN és egyéb hozzáféréseit azonnal le kell kapcsolni, számukra a szolgáltatásokat elérhetetlenné kell tenni.

Új VPN felhasználót a WebFig PPP meüjében, a Secrets fülre kattintva lehet felvenni. Az itt megjelenő listában láthatók az aktuális VPN felhasználók, a művelet indításához az Add New gombot kell megnyomni. A megjelenő panelen legalább a felhasználó bejelentkezési nevét és jelszavát kell megadni. A Service listában kiválasztható, hogy a felhasználó számára mely szolgáltatásokat akarjuk biztosítani, ennek any értéke mellett nem lép életbe semmilyen korlátozás.

Az alábbi ábrán Szabó László számára állítjuk be a VPN hozzáférés elérhetőségét.

Felhasználó felvétele a VPN szerverbe

Felhasználó felvétele a VPN szerverbe

A VPN felhasználók listája ezzel kibővül, az eredeti vpn user mellett most már szabo.laszlo is megjelent abban. Az egyes felhasználók adatai mellett leolvasható az utolsó bejelentkezés ideje is (az ábra ezt nem tartalmazza).

A VPN felhasználók listája

A VPN felhasználók listája

VPN kapcsolat létrehozása

A VPN kapcsolat létrehozása hasonlóan egyszerű a modern Windows operációs rendszerű gépek esetén. A Gépházban a VPN kapcsolat létrehozásának kiválasztásakor megjelenő panelben kell megadni az ehhez szükséges adatokat.

VPN szolgáltató:

a Windows beépített szoftvere, a legtöbb esetben csak ezt lehet kiválasztani.

Kapcsolat neve:

mivel egy kliens gép több szerver felé is rendelkezhet ilyen kapcsolattal, azokat el kell nevezni. A névbe érdemes beírni a VPN szót azért, hogy a felhasználók számára később, a számos hálózati kapcsolat mellett is egyértelmű legyen, mit kell kiválasztaniuk.

Szerver neve vagy címe:

a VPN szerver kifelé néző lábának IP címe vagy neve.

VPN típusa:

ahogyan már említettük, számos, különböző típusú VPN megvalósítás létezik, így ebben a listában kijelölhető a konkrét változat. Az Automatikus érték beállítása esetén a kliens végig próbálja az általa ismert protokollokat.

Típus:

egyes VPN kapcsolatok felhasználó nevet és jelszót, mások tanúsítványt igényelnek. Itt választható ki a szükséges változat. Mi nevet és jelszót adtunk a felhasználóinknak.

VPN kapcsolat létrehozása Windows-on

VPN kapcsolat létrehozása Windows-on

A kapcsolat felvétele után a Gépházban és a tálca hálózatok ikonjára kattintva is megjelenik a kapcsolódás lehetősége. A kapcsolat felépítéséhez ezt kell kiválasztani.

A VPN kapcsolat sikeresen felépült

A VPN kapcsolat sikeresen felépült

A routerben lekérdezhető az éppen bejelentkezett felhasználók listája és az utolsó bejelentkezések időpontjai is.

A bejelentkezett felhasználók listája

A bejelentkezett felhasználók listája

A munkaállomás a VPN kapcsolat felépítését követően képes a belső web elérésére és a fájlszerverhez történő csatlakozásra annak belső IP címével.

VPN kapcsolattal a belső webszerver is elérhető.

VPN kapcsolattal a belső webszerver is elérhető.