VPN

Z początkiem lipca pracownicy Zakładu Sterowania uzyskali możliwość łączenia się z siecią wydziałową z zewnętrznych komputerów za pośrednictwem szyfrowanego połączenia VPN. Zastosowane rozwiązania opierają się na technologii SSLVPN. Po skonfigurowaniu takiego połączenia użytkownik otrzymuje dostęp do usług sieciowych dostępnych w sieci wydziałowej na takich samych zasadach jak gdyby łączył się z komputera znajdującego się wewnątrz sieci. Dostępne usługi to m.in.:
  1. Możliwość wysyłania poczty ze swojego wydziałowego konta z wykorzystaniem klienta pocztowego zainstalowanego na komputerze zewnętrznym. Obecnie korespondencję skierowaną na adresy poza wydziałem można wysyłać tylko z komputerów znajdujących się wewnątrz sieci.
  2. Możliwość zmapowania swojego wydziałowego katalogu domowego. Jest to katalog do którego trafiamy po zalogowaniu się na swoje konto na maszynie login.ee.pw.edu.pl.
  3. Możliwość wykorzystania oprogramowania MATLAB w wersji 7 dostępnego bezpłatnie dla pracowników i studentów wydziału. Dotychczas oprogramowanie to pracowało poprawnie tylko w momencie gdy było zainstalowane na komputerze należącym do sieci wydziałowej.
Procedura konfiguracji wymienionych usług znajduje się tutaj.
Funkcjonalność połączenia VPN będzie rozwijana o dodatkowe usługi jeśli użytkownicy wyrażą takie zapotrzebowanie.

Konfiguracja połączenia polega na zainstalowaniu odpowiedniego oprogramowania na komputerze z którego ma być realizowany zdalny dostęp (Procedura instalacji znajduje się poniżej). Dodatkowo do poprawnego funkcjonowania połączenia niezbędny jest cyfrowy certyfikat. Certyfikat taki pracownicy Zakładu Sterowania mogą otrzymać od administratora sieci. Zapotrzebowanie na certyfikat należy zgłaszać pod adresem wlan[wytnij_to]@ee.pw.edu.pl w temacie wpisując "Certyfikat VPN".

UWAGA!!! Przed wysłaniem należy wyciąć wstawkę antyspamową "[wytnij_to]" z powyższego adresu mailowego.


Instalacja oprogramowania

Poprawne funkcjonowanie połączenia gwarantowane jest na komputerach z zainstalowanym systemem operacyjnym Windows XP z dodatkiem SP2. Istnieje możliwość skonfigurowania połączenia również z komputerów z zainstalowanym systemem Linux, Solaris i innych. Poniższa procedura dotyczy instalacji i konfiguracji połączenia na komputerze z systemem operacyjnym Windows XP. Szczegóły instalacji na innych systemach oraz odpowiednie pakiety instalacyjne można znaleźć na stronie www.openvpn.net. Niezależnie od wykorzystywanego systemu operacyjnego plik konfiguracyjny powinien zawierać odpowiednie wpisy dotyczące routingu, serwerów dns, certyfikatów itp. Osoby chcące skonfigurować połaczenie na systemach innych niż Windows XP mogą skorzystać z pliku znajdującego się tutaj.

Instalacja na komputerze z systemem operacyjnym Windows XP

Instalację wykonujemy z konta posiadającego uprawnienia administratora w systemie. Oprogramowanie niezbędne do skonfigurowania połączenia VPN na komputerze z systemem operacyjnym WindowsXP znajduje się tutaj. Po pobraniu pliku z oprogramowaniem należy go rozpakować, a następnie przejść do katalogu do którego wypakowaliśmy pliki. Powinny się w nim znajdować następujące pliki:
  • openvpn-2.0.1ms1-gui-1.0.3-nonadmin-install.exe
  • ca.crt
  • client.ovpn
  • subinacl.msi
  • XP_Pro_PlainPassword.reg
Klikamy dwukrotnie plik o nazwie openvpn-2.0.1ms1-gui-1.0.3-nonadmin-install.exe. Spowoduje to uruchomienie programu instalacyjnego i pojawienie się na ekranie następującego okienka,


w którym klikamy przycisk "Uruchom".


Następnie klikamy "Next".


Kolejne okienko pozwala na się zapoznać ze szczegółami licencji. Jeżeli zależy nam na poprawnym skonfigurowaniu połączenia powinniśmy kliknąć przycisk "I Agree". CZyli akceptuję warunki licencji.


Powyższe okienko pozwala nam wybrać elementy które chcemy zainstalować oraz określić pewne opcje konfiguracyjne. Do poprawnego funkcjonowania nie są potrzebne wszystkie zaznaczone elementy, ale w celu ułatwienia procesu instalacji i uniknięcia możliwych błędów zalecam pozostawienie domyślnych ustawień i kliknięcie przycisku "Next".


Następnie określamy katalog w którym ma zostać zainstalowane oprogramowanie. Pozostanie przy domyślnym ustawieniu jest dobrym pomysłem. Czyli klikamy "Install".Powoduje to rozpoczęcie procesu instalowania plików na komputerze.


Po kilku sekundach na ekranie pojawi się powyższa informacja. Dotyczy ona instalacji sterowników wirtualnego interfejsu sieciowego TAP. Klikamy przycisk "Mimo to kontynuuj", aby zainstalować sterowniki.


Po upływie kilku następnych sekund i pojawieniu się w okienku słowa "Completed", klikamy przycisk "Next".


Pierwszy etap instalacji kończymy klikając "Finish".

Konfiguracja oprogramowania

Konfigurację rozpoczynamy od skopiowania plików client.ovpn oraz ca.crt do katalogu "config" znajdującego sie w katalogu w którym zainstalowaliśmy oprogramowanie OpenVPN. Jeśli postępowaliśmy zgodnie z powyższą procedurą, to katalogiem docelowym jest katalog "C:\Program Files\OpenVPN\config. Do tego samego katalogu musimy również skopiować certyfikaty, które otrzymaliśmy od administratora. Przykładowo dla użytkownika Jan Kowalski będą to pliki kowalskj.crt oraz kowalskj.key
Następnie klikamy dwukrotnie skopiowany plik client.ovpn w celu jego wyedytowania. Domyślnie powinien zostać otwarty za pomocą programu Notatnik. Odnajdujemy wiersz zawierający tekst:

ca.crt

i zastępujemy wpisy w kolejnych dwóch wierszach wpisami odpowiednimi dla posiadanych przez nas plików. Przykładowo dla użytkownika Jan Kowalski posiadającego pliki kowalskj.crt i kowalskj.key wpis będzie wyglądał następująco:

cert kowaslkj.crt
key kowalskj.key

Zamykamy plik zapisując wprowadzone zmiany.

Ostatnią czynnością kończącą konfigurację jest dodanie odpowiedniego wpisu do rejestru. Nie jest to czynność bezpośrednio wpływająca na funkcjonowanie oprogramowania OpenVPN, ale jest to niezbędne jeśli będziemy chcieli po skonfigurowaniu połączenia zmapować swój dysk sieciowy na serwerze wydziałowym. Jeśli nie planujemy mapowania dysku, możemy pominąć tą czynność. Dodanie wpisu do rejestru sprowadza się do dwukrotnego kliknięcia pliku o nazwie "XP_Pro_PlainPassword.reg" i wyrażenia zgody na dodanie wpisu do rejestru.

W tym momencie mamy już zainstalowane i skonfigurowane odpowiednie oprogramowanie. Możemy więc spróbować nawiązac połączenie z serwerem VPN. Procedura ustanawiania połączenia znajduje się tutaj. Czynności wykonane do tej pory pozwalają jednak na uruchomienie oprogramowania OpenVPN tylko przez użytkownika posiadającego prawa administratora. Procedura pozwalająca na uruchomienie aplikacji OpenVPN przez innych użytkowników komputera nie posiadających praw administratora znajduje się tutaj

Uruchamianie klienta OpenVPN przez użytkownika nie posiadającego praw administratora

W celu umożliwienia uruchamiania połączenia VPN przez użytkownika nie posiadającego praw administratora konieczne jest wykonanie kilku dodatkowych czynności konfiguracyjnych.
W pierwszej kolejności należy zainstalować program subinacl pozwalający na manipulowanie prawami dostępu do usług, plików itp. w systemie Windows XP. Aplikację tę można pobrać bezpłatnie ze strony firmy Microsoft. Znajduje się ona również wśród pobranych wcześniej plików.
Instalację wykonujemy z konta posiadającego uprawnienia administratora w systemie. Uruchamiamy program instalacyjny przez dwukrotne kliknięcie pliku subinacl.msi. Spowoduje to pojawienie się na ekranie następującego okienka.


Klikamy przycisk "Uruchom".


Następnie klikamy przycisk "Next"


W kolejnym okienku zapoznajemy się z warunkami licencji. Czasem pomocny może być słownik. Zaznaczamy opcję "I accept the terms in the license agreement", oczywiście pod warunkiem, że się zgadzamy. I klikamy "Next".


Teraz musimy podać katalog docelowy. Najlepiej zaufać twórcom oprogramowania i kliknąć "Install Now". Jeżeli jednak zmienimy domyślny katalog, proponuję zapamiętać bądź zapisać katalog w którym instalujemy program , gdyż ta informacja będzie nam potrzebna w kolejnym etapie.


Kończymy instalację klikając "Finish".


Teraz Otwieramy Menu Start i klikamy "Uruchom"


Wpisujemy "cmd" i klikamy Enter na klawiaturze. Spowoduje to uruchomienie interpretera poleceń. Poniżej przedstawiony jest zestaw poleceń koniecznych do wykonania oraz ich omówienie.

Najpierw przechodzimy do katalogu w którym zainstalowaliśmy program subinacl.

cd "C:\Program Files\Windows Resource Kits\Tools"

Teraz nadamy użytkownikowi prawa do uruchamiania usługi OpenVPN. W miejsce słowa "uzytkownik" należy wpisać nazwę użytkownika, któremu chcemy przyznać prawa do uruchamiania połaczenia VPN.

subinacl /SERVICE "OpenVPNService" /GRANT=uzytkownik=TO

Powyższą komendą możemy analogicznie nadać prawa dla kolejnych użytkowników. Poleceniem "exit" zamykamy Interpreter Poleceń.

Nastęnie musimy skopiować odpowiednie skróty z Manu Start, tak aby były one widoczne dla użytkownika który ma uruchamiać połączenie VPN. Należy przejść do katalogu "C:\Documents and Settings\Administrator\Menu Start\Programy", przy czym zamiast "Administrator" podajemy nazwę użytkownika, którego używaliśmy do instalcaji oprogramowania OpenVPN, i skopiować katalog "OpenVPN" do katalogu "C:\Documents and Settings\All Users\Menu Start\Programy".
Tym samym zakończyliśmy proces konfiguracji konta nowego użytkownika. Po przelogowaniu się możemy ustanowić połączenie z konta użytkownika nie posiadającego uprawnień administratora.

Uruchamianie połączenia VPN

Po zainstalowaniu niezbędnego oprogramowania i przeprowadzeniu jego konfiguracji możemy przystąpić do uruchomienia połączenia. Domyślnie aplikacja jest uruchamiana automatycznie po zalogowaniu do systemu. Jeśli jednak to nie nastąpi lub jeśli zamkniemy aplikację, a następnie będziemy chcieli ją ponownie uruchomić możemy skorzystać ze skrótów znajdujących się w "Menu Start". Aplikację uruchamiamy wybierając "OpenVPN GUI". Gdy aplikacja jest uruchomiona, w prawym dolnym rogu obok zegara pojawia się dodatkowa ikonka (dwa monitory o czerwonym zabarwieniu).


Klikamy prawym klawiszem na ikonkę i wybieramy z menu "Connect".


Na ekranie pojawi się informacja o wystartowaniu usługi VPN, a ikonka zmienia barwę na zieloną. Jest to trochę myląca informacja, gdyż nie oznacza, że udało się nawiązać połączenie. Po kilku sekundach połączenie powinno już być jednak ustanowione. Poprawność nawiązanego połączenia możemy sprawdzić klikając kolejny raz prawym klawiszem myszki w ikonkę i wybierając "View Log". Na końcu otwartego pliku powinny znajdować się wiersze podobne do przedstawionych poniżej:

Thu Jun 29 23:51:49 2006 route ADD 194.29.144.0 MASK 255.255.255.0 10.40.192.5
Thu Jun 29 23:51:49 2006 Route addition via IPAPI succeeded
Thu Jun 29 23:51:49 2006 route ADD 10.40.192.1 MASK 255.255.255.255 10.40.192.5
Thu Jun 29 23:51:49 2006 Route addition via IPAPI succeeded
Thu Jun 29 23:51:49 2006 Initialization Sequence Completed


Połączenie kończymy klikając ponownie prawym klawiszem w ikonkę obok zegara i wybierając z menu "Disconnect".


Aplikację wyłączamy wybierając z menu "Exit". Należy zauważyć, że wybranie opcji "Exit" bez wcześniejszego wybrania opcji "Disconnect" nie powoduje zerwania połączenia, a jedynie zamknięcie graficznego interfejsu aplikacji.


Konfiguracja usług

Mapowanie katalogu domowego

Połączenie VPN daje możliwośc zmapowania dysku sieciowego znajdującego się na serwerze wydziałowym. Procedura mapowania dysku przedstawia się następująco.


Po otwarciu okna "Mój Komputer", z menu "Narzędzia" wybieramy "Mapuj dysk sieciowy..."


W nowootwartym okienku podajemy literę pod jaką chcemy aby pojawiał się zmapowany dysk, a w drugim polu tekstowym wpisujemy:

\\home.ee.pw.edu.pl\uzytkownik

Przy czym zamiast "uzytkownik" podajemy swój login na serwerze wydziałowym login.ee.pw.edu.pl, a następnie klikamy zakończ.


Po nawiązaniu połączenia z serwerem proszeni jesteśmy o podanie loginu i hasła. Są to dane, tożsame z tymi, których używamy do logowania się na serwer login.ee.pw.edu.pl. Po porprawnym zweryfikowaniu wpisanych danych powinno otworzyć się okno w którym będzie wyświetlona zawartość naszego katalogu domowego na serwerze wydziałowym. Katalog ten będzie również widoczny w oknie "Mój komputer".

Konfiguracja poczty

Ze względu na mnogość klientów pocztowych nie zostanie tu przedstawiona konkretna procedura konfiguracji, a jedynie kilka niezbędnych danych.

Serwer poczty przychodzącej:

imap.ee.pw.edu.pl

Serwer poczty wychodzącej(wymaga uwierzytelniania):

smtp.ee.pw.edu.pl

MATLAB

Studenci i pracownicy Wydziału Elektrycznego mogą bezpłatnie korzystać z oprogramowania MATLAB zainstalowanego w obrębie sieci wydziałowej. Umożliwia to specjalna licencja. Połączenie VPN pozwala na dostęp do serwera licencji z komputerów nie znajdujących się w sieci wydziałowej. Aby korzystać z oprogramowania w domu wystarczy je pobrać (pliki znajdują się
tutaj) i zainstalować. Należy tylko pamiętać, że w trakcie pracy z pakietem MATLAB należy mieć ustanowione połączenie VPN.

Autor: Grzegorz Plewka