هدف اصلی برای ایجاد یک شبکه خصوصی مجازی یا VPN برقرار کردن ارتباط بین کلاینت ها و سرور به صورتی که کلاینت ها بتوانند از راه دور به سرور متصل شده و از امکانات آن سرور بهره مند شوند می باشد.
برای راه اندازی VPN سرور در اینجا از ویندوز سرور 2003 استفاده شده است. یک شبکه VPN، به معنای یک شبکه خصوصی است که از یک شبمه عمومی مانند اینترنت به عنوان کانال ارتباطی استفاده می نماید.
جالب است بدانيد که VPN با استفاده از سه تکنولوژي ، اين اتصالات را فراهم مي آورد:
• اعتبار سنجي ( Authentication )
• ايجاد تونل ( Tunneling )
• رمزگزاري ( Encryption ).
اعتبار سنجی برای اطمینان از هویت کلاینت ها و سرور می باشد که قبل از برقراری تونل و ارسال داده ها انجام می گیرد.
ایجاد تونل ارتباط بین کلاینت و سرور را برقرار میکند.
در بخش رمزگزاری نیز اطلاعات به شکل خاصی رمزگزاری می گردد تا امنیت کامل در رد و بدل شدن اطلاعات در شبکه عمومی مانند اینترنت ایجاد شود.
براي راه اندازي سرور VPN نصب دو كارت شبكه بر روي سيستم مورد نياز مي باشد. از يك كارت شبكه براي ارتباط سرور با اينترنت و از كارت ديگر جهت برقراري ارتباط با شبكه محلي استفاده مي شود. ( با اعمال تنظيماتي از مودم بجاي يکي از کارت هاي شبکه استفاده کرد.)
با هم نصب و راه اندازي VPN را در Windows Server 2003 آغاز مي کنيم.
از مسیر Start > All Programs > Administrative Tools > Configure Your Server Wizard برنامه را اجرا نمایید.
اولين پنجره اي که ظاهر مي شود ، اطلاعات اوليه اي در مورد اين ويزارد را نشان مي دهد. دکمه Next را بزنيد.
پنجره Preliminary Steps مواردي که لازم است قبل از شروع ويزارد انجام دهيد را باز گو مي کند مثلا:
• اطمينال از نصب مودم ها و کارت هاي شبکه
• اگر ويزارد را براي اتصال به اينترنت مي خواهيد ، از اتصال خود به اينترنت اطمينان حاصل کنيد.
• ويا اينکه CD نصب ويندوز را آماده داشته باشيد و غيره ….
دکمه Next را بزنيد.
براي اعطاي نقش Remote Access / VPN به ويندوز ، اين مورد را از ليست انتخاب کرده و دکمه Next را بزنيد. پنجره بعدي ويزارد توضيح مختصري درباره اين نقش ميدهد. ( در صورت نياز ) پس از مطالعه آن دکمه Next را بزنيد.
ويزاردي با نام Routing and Remote Access Wizard ظاهر مي شود ( ويزارد RRAS ) که در ادامه به آن اشاره مي شود.
در این مرحله تنظیمات Routing and Remote Access را باید انجام دهیم.
در مرحله اول اطلاعاتی در مورد این بخش می دهد، کلید Next را بزنید.
در این مرحله برای اتصل از راه دور با پروتکل PPP گزینه سوم را انخاب می کنیم. برای نصب VPN استاندارد نیاز به دو کارت شبکه داریم. در غیر اینصورت نمی توانید به مرحله بعدی بروید. در این مثال یک LoopBack روی کامپیوتر برای عبور از این مرحله ایجاد شده است.
در این مرحله لیستی از کارتهای شبکه نصب شده بر روی کامپیوتر را مشاهده می کنید. در این مرحله باید مشخص کنید از کدام کارت شبکه برای برقراری ارتباط با کاربران محلی استفاده می کنید.
گزينه Enable security on the selected interface by setting up Basic Firewall را تيک بزنيد. اين گزينه بعنوان يک Firewall نرم افزاري فعال شده و سرور شما از نفوذ خرابکاران و حملات مخرب آنها از راه اينترنت در امان نگه مي دارد.
در این قسمت باید مشخص نمایید که کاربران با چه بازه IP می توانند به VPN سرور متصل شده و از امکانات آن استفاده نمایند.
در این پنجره بازه شروع و خاتمه IP را وارد میکنید. تعداد IP های مجاز به صورت خودکار محاسبه و در قسمت سوم قرار می گیرد.
اعتبار سنجي ( Authentication ) يا بازرسي کاربران VPN اي که به سرور شما وصل مي شوند بسيار مهم است. براي اين اعتبار سنجي و برقراري امنيت دو گزينه را مي توانيد انتخاب نماييد:
1- اگر در شبکه سرويس دهنده RADIUS داشته باشيد، مي توانيد تنظيم کنيد که VPN سرور شما ، براي اعتبار سنجي کاربران خود از RADIUS استفاده کند. بدين معني که اگر يک RADIUS سرور مرکزي در شبکه تان داشته باشيد ، اعتبار سنجي تمام کاربران شبکه براي بررسي به اين سرور فرستاده تا براي ورود به Server VPN ، تاييد صلاحيت و يا رد صلاحيت شوند.با اين روش كاربران در بين تمام سرورهاي VPN به اشتراك گذاشته شده و نيازي به تعريف كاربران در تمامي سرورها نمي باشد.
2- اما گزينه دوم ، تمام تقاضاها براي اتصال به VPN Server ، از طريق خود سرور و تنظيماتي که در آن نظر گرفته است ، مورد بررسي قرار گيرند.
که مطابق شکل 5 ، ما اولين گزينه را انتخاب کرده و دکمه Next را مي زنيم.
در این بخش باید تنظیمات مربوط به کاربران را انجام دهید. در صورتی که شما از Domain Controller استفاده میکنید باید با مراجعه به Active Directory این تنظیمات را انجام دهید. در غیر اینصورت از طریق Computer Management باید تنظیمات زیر را انجام دهید. با کلیک سمت راست بر روی My Computer و انتخاب گزینه Mange این بخش برای شما باز خواهد شد.
از این قسمت کاربر مورد نظر را انتخاب کرده و با کلیک سمت راست روی نام آن و انتخاب گزینه Properties به پجره زیر رفته و برگه Dial In را انتخاب نمایید.
در این صفحه گزینه Allow access را انتخاب نمایید تا این کاربر بتواند از محیط خارج به این سرور متصل گردد. بعد از اتصال به کاربر یک IP از بازه ای که در مراحل قبل مشخص کرده ایم داده خواهد شد تا کلاینت در این بازه IP بتواند از امکانات سرور استفاده نماید.
