راه اندازی VPN در ویندوز Windows Server 2003

ویندوز سرور 2003

در این مقاله قصد داریم مرحله به مرحله و بصورت ساده و مختصر ، مراحل نصب و راه اندازی VPN در ویندوز Windows Server 2003  را آموزش دهیم

 هدف از راه اندازی شبکه خصوصی مجازی این است که بستری را فراهم سازیم تا کلاینت ها و کاربران شبکه شما بتوانند از راه دور ، و از طریق اینترنت به سرور یا به عبارتی دیگر به شبکه شما متصل و از منابع آن استفاده نمایند.

اولین دلیل برای اعتبار سنجی در شبکه VPN ، اطمینان از هویت کلاینت و سرور می باشد ، که قبل از برقراری اتصال VPN و قبل از برقراری تونل و امکان تبادل داده ها این مرحله باید با موفقیت انجام گیرد. نوع اعتبار سنجی که مورد استفاده قرار می گیرد به نوع سرویس گیرنده های موجود در شبکه و نیز روشهایی مانند EAP یا MS-CHAPV2 ، MS-CHAP ، SPAP ،  PAP بستگی دارد.

ایجاد تونل ارتباطی بین کلاینت و سرور مانند راهی است که موش کور در زیر زمین برای اتصال از نقطه به نقطه دیگر ایجاد می کنند. Tunneling در مرحله ای مورد استفاده واقع می شود که قرار است پروتکل های شبکه مانندTCP/IPیا  IPX/SPXیا AppleTalk ویا NetBIOS از اینترنت عبور کنند. همچنین اطلاعات انتقال یافته در این کانال به صورت کد شده رد و بدل می شوند. بنابراین چنانچه مورد حمله هکرهای قرار گیرید و اطلاعات شما را به دست آورند ، نمی‌توانند از اطلاعات رد و بدل شده استفاده کنند. برای ایجاد تونل ، ابتدا باید هویت دو انتهای آن تایید شود. بعد از اعتبار سنجی آنها ، تونل ارتباطی ایجاد واطلاعات بین دو نقطه ارسال خواهد شد.

برای راه ‌اندازی سرور VPN نصب دو کارت شبکه بر روی سیستم مورد نیاز می باشد. از یک کارت شبکه برای ارتباط سرور با اینترنت و از کارت دیگر جهت برقراری ارتباط با شبکه محلی استفاده می شود. ( با اعمال تنظیماتی از مودم بجای یکی از کارت های شبکه استفاده کرد.)

حال نصب و راه اندازی VPN را در Windows Server 2003 آغاز می کنیم.

تنظیم نقش Remote Access / VPN Server در ویندوز   Server 2003

برای اعطای نقش Remote Access/VPN Server به ویندوز سرور ۲۰۰۳  یا به عبارت دیگر برای نصب و راه اندازی VPN Server باید ویزارد Configure Your Server Wizard را از مسیر زیر احظار کنیم:

Start  > All Programs  > Administrative Tools > Configure Your Server Wizard

اولین پنجره ای که ظاهر می شود ، اطلاعات اولیه ای در مورد این ویزارد را نشان می دهد. دکمه Next را بزنید.
پنجره Preliminary Steps مواردی که لازم است قبل از شروع ویزارد انجام دهید را باز گو می کند مثلا:

• اطمینال از نصب مودم ها و کارت های شبکه

• اگر ویزارد را برای اتصال به اینترنت می خواهید ، از اتصال خود به اینترنت اطمینان حاصل کنید.

• ویا اینکه CD نصب ویندوز را آماده داشته باشید و غیره ….

دکمه Next را بزنید.

پنجره Server Role سومین پنجره‌ای است که ظاهرا می‌شود.همانطور که مشاهده می کنید لیستی از نقش هایی که روی سیستم می توانید اعمال کنید نشان داده شده است که در ستون مقابل هرکدام ، وضعیت آن Role را از لحاظ اینکه این نقش اعطا شده است یا نه نشان داده شده است.

برای اعطای نقش Remote Access / VPN به ویندوز ، این مورد را از لیست انتخاب کرده و دکمه Next را بزنید. پنجره بعدی ویزارد توضیح مختصری درباره این نقش میدهد. ( در صورت نیاز ) پس از مطالعه آن دکمه Next را بزنید.

ویزاردی با نام  Routing and Remote Access Wizard ظاهر می شود ( ویزارد RRAS ) که در ادامه به آن اشاره می شود.

تنظیمات Routing and Remote Access ( ویزارد RRAS )

مانند تمام ویزاردها ، اولین پنجره این ویزارد ، توضیح و نکات مختصری راجع به آن می باشد که ما با مطالعه آن و زدن دکمه Next از آن می گذریم.

در پنجره بعدی یعنی پنجره Configuration ، گزینه های مختلفی وجود دارد که با توجه به نوع اتصال از راه دور ( remote access connection ) یکی از گزینه ها را انتخاب می کنیم. وچون قصد ما در اینجا راه اندازی VPN بر اساس PPTP می باشد ما گزینه Virtual Private Network VPN and NAT را انتخاب کرده و Next می زنیم.

در پنجره VPN Connection  باید آداپتور یا device ای که با آن به اینترنت وصل می شوید را تعیین کنید. نکته ای که در اینجا قابل توجه می باشد این است که برای برقراری امنیت بیشتر و در واقع برای کنترل دقیق تر ، بهتر است که  کارت شبکه مستقلی را برای VPN server در نظر بگیرید. که در اینجا ما کارتی غیر از کارت شبکه ای که برای اتصال کاربران محلی  ، انتخاب می کنیم.

همچنین:  پروتکلهای ایمیل Email Protocols

گزینه Enable security on the selected interface by setting up Basic Firewall را تیک بزنید. این گزینه بعنوان یک Firewall نرم افزاری فعال شده و سرور شما از نفوذ خرابکاران و حملات مخرب آنها از راه اینترنت در امان نگه می دارد. هر چند ، نصب فایروال های پیشرفته و مستقل و یا یک فایروال سخت افزاری برای شبکه های محرمانه ضروری می باشد. ( و این بستگی به درجه اهمیت شبکه و اطلاعات موجود در آن دارد )

همانطور که یک کاربر محلی برای برقراری اتصال با سرور و سایر کلاینت های موجود در شبکه نیاز به داشتن یک IP Address در همان Range دارد ، VPN کلاینت ها نیز در هنگام برقراری اتصال به VPN سرور ، نیاز به یک IP Address دارند که بتوانند به منابع مجاز در سرور دسترسی داشته باشند. در اینجا شما به عنوان مدیر شبکه با انتخاب یک روش از دو راه موجود ، نحوه واگذاری آیپی آدرس را به کلاینت های VPN  تعریف می کنید.

۱- با نصب و تعریف DHCP (‌ که در شماه ۱۳ ماهنامه بطور کامل توضیح داده شده است ) و اعمال تنظیمات لازم ، سرور خود را بعنوان DHCP server تعریف می کنید طوریکه کاربران در هنگام برقراری اتصال به سرور شما از محدوده IP هایی که در سرور تعریف کرده اید ، یکی را به خود اختصاص می دهند. با انتخاب گزینه Automatically روند واگذاری IP  آدرس از روی تنظیمات DHCP server انجام می گیرد.

۲- تعیین محدوده خاصی از IP آدرس هایی که به کاربران واگذار شود.

ما در اینجا گزینه دوم را انتخاب می کنیم. به این دلیل که می خواهیم با استفاده از محدوده خاصی از IP آدرس ها که انتخاب می کنیم ، کاربران شبکه محلی که به سرور وصل می شوند را از کاربرانی که از اینترنت ( VPN Client  ) وصل می شوند تشخیص دهیم.

پس از انتخاب گزینه دوم ( یعنی From a specified range of addresses ) ، دقیقا تعریف می کنید که چه آیپی آدرس هایی را به VPN Server اختصاص می دهید که به client VPN ها واگذار نماید.

برای اینکار دکمه New را در پنجرهAddress Range Assignment را بزنید ومحدوده اولین و آخرین آیپی آدرس را تعیین کنید.

فیلد Number of addresses بصورت اتوماتیک با توجه به محدوده انتخابی شما تعیین می شود. می توانید فقط اولین آیپی آدرس را بنویسید و تعداد آیپی آدرس ها را مشخص کنید وویزارد محاسبات را انجام داده و آیپی آدرس پایانی را وارد می کند. دکمه OK را بزنید تا تنظیمات شما ثبت شود.

در پنجره بعد کارت شبکه ای که برای اتصال سرور شما به اینترنت از آن استفاده می کنید را مشخص کنید.

اعتبار سنجی ( Authentication ) یا بازرسی کاربران VPN ای که به سرور شما وصل می شوند بسیار مهم است. برای این اعتبار سنجی و برقراری امنیت دو گزینه را می توانید انتخاب نمایید:

۱- اگر در شبکه سرویس دهنده RADIUS داشته باشید، می توانید تنظیم کنید که VPN سرور شما ، برای اعتبار سنجی کاربران خود از RADIUS استفاده کند. بدین معنی که اگر یک RADIUS  سرور مرکزی در شبکه تان داشته باشید ، اعتبار سنجی تمام کاربران شبکه برای بررسی به این سرور فرستاده تا برای ورود به Server VPN ، تایید صلاحیت و یا رد صلاحیت شوند.با این روش کاربران در بین تمام سرورهای VPN به اشتراک گذاشته شده و نیازی به تعریف کاربران در تمامی سرورها نمی باشد.

۲- اما گزینه دوم ، تمام تقاضاها برای اتصال به VPN Server ، از طریق خود سرور و تنظیماتی که در آن نظر گرفته است ، مورد بررسی قرار گیرند.

ما اولین گزینه را انتخاب کرده و دکمه Next را می زنیم.

در انتها ممکن است که پنجره ای ظاهر گردد که فقط کافی است دکمه OK را بزنید.

تا این مرحله تنظیمات مربوط به ویزارد نصب RRAS به پایان رسیده و نقش Remote Access / VPN Server به ویندوز ۲۰۰۳ اعطا شده است. اما برای دیدن نتیجه کار پنجره Routing and Remote Access را از مسیر زیر باز کنید و آدرس سرور را اضافه کنید. انجام این تنظیم بسیار مهم می باشد.
Start > All Programs > Administrative Tools > Routing and Remote Access

تنظیمات کاربران

در ویندوز ۲۰۰۳ بطور پیش فرض ، به کاربران اجازه دسترسی به سرور از راه VPN داده نشده است. شما باید بصورت تک به تک ، برای هر یک از کاربرانی که می خواهید از راه اینترنت به سرور شما وصل شوند این اجازه را بدهید. برای این کار مراحل زیر را انجام دهید:

همچنین:  کلیدهای ترکیبی کیبورد با Alt - کاراکترهای مخفی

اگر در سرور Domain Controller تعریف کرده باشید ، پنجره Active Directory Users and Computers  را از مسیر زیر باز کنید.

Start > All Programs > Administrative Tools > Active Directory Users …

در غیر اینصورت و اگر سرور شما در هیج Domain ای تعریف نشده باشد ( و بصورت سرور Standalone باشد ) ، پنجره Computer Management را از مسیر زیر :

Start > All Programs > Administrative Tools > Computer Management

باز کنید و صفحه properties  مربوط به کاربری که می خواهید اجازه اتصال به VPN سرور خود را به آن بدهید ، را باز کنید و به قسمت Dial-In  بروید و گزینه “Allow access” را انتخاب نمایید.

به خاطر بسپارید که پیاده سازی VPN بار زیادی را روی پردازنده سرور می‌گذارد و هر چقدر تعداد ارتباطات VPN بیشتر باشد بار زیادتری بر روی سرور خواهد گذاشت. می‌توانید از یک وسیله سخت‌افزاری مانند روتر جهت پیاده‌سازی VPN کمک بگیرد.

شماره بعد درباره VPN Client صحبت خواهیم نمود.

اشاره :
بعد از نصب ‌و راه‌اندازی VPN Server در ویندوز سرور ۲۰۰۳ که در شماره قبل ماهنامه حضورتان تقدیم گردید، در این قسمت قصد داریم نحوه اتصال کاربران به شبکه VPN را آموزش دهیم. این اتصال از دو راه صورت می‌گیرد: • اتصال به شبکه VPN از طریق راه دور ، با استفاده از مودم (اتصال به اینترنت تحت پروتکل PPTP) • ‌اتصال به شبکه VPN ، با استفاده از کارت شبکه (ارتباط کاربران داخل شبکه با یکدیگر) حتما به یاد دارید که در هنگام راه‌اندازی VPN Server ، در ویندوز سرور ۲۰۰۳ ، امکان Remote Access را به ویندوز سرور ۲۰۰۳ می‌توان داد، ضمن اینکه به کاربران مورد نظر، مجوز اتصال از راه دور را اعطا کردیم. تنظیماتی که در این مقاله برای برقراری ارتباط VPN Client به VPN Server تشریح می شود، برای کاربران ویندوز XP Pro ارائه داده شده است. این تنظیمات با کمی اختلاف ، برای کاربران ویندوز Windows 2000 Professional نیز قابل انجام است.
برقراری کانال ارتباطی

۱- برای برقراری کانال ارتباطی پنجره Network Connections را از مسیر زیر باز کنید:

Start > Control Panel  > Network Connections

در اینجا لازم است یک آیکن اتصال جدید به شبکه مجازی بسازید برای این کار از منوی File گزینه New Connection را انتخاب کنید. و یا گزینه  Create a new connection را از پانل سمت چپ انتخاب نمایید.
۲- اولین پنجره اطلاعات اولیه‌ای در مورد خود ویزارد به شما می‌دهد. فقط دکمه Next را بزنید.

۳- پنجره بعدی از شما می‌خواهد که نوع اتصال خود را مشخص کنید. در اینجا گزینه ” Connect to the network at my workplace ”  که مربوط به ایجاد اتصال به شبکه VPN می‌باشد را انتخاب کرده و دکمه Next را بزنید.

۴- از دو راه میتوان به شبکه وصل شد.

• اتصال از طریق اینترنت

• اتصال از طریق مودم و dial-up : با انتخاب این گزینه، در پنجره های بعدی نام مودم، شماره تلفن تماس با سروری که به آن وصل می‌شوید را تعیین خواهید کرد. موقعی که دسترسی به اینترنت ندارید می‌توانید از این روش استفاده نمایید. توجه داشته باشید که این یک اتصال پر خرج می‌باشد مخصوصا مواقعی که VPN Server در مسیر دوری قرار گرفته باشد.

گزینه دوم ( Virtual Private Network ) را انتخاب کرده و Next کنید. یک نام را برای این اتصال در نظر می‌گیریم. بهتر است که نام مناسبی را انتخاب کنید. مخصوصا موقعی که به شبکه‌های مختلف متصل می‌شوید.

۵- در پنجره Public Network، یکی از خطوط ISP خود را برای برقراری اتصال اینترنتی به VPN Server خود انتخاب کرده و دکمه  Next را بزنید. اگر در شبکه داخلی هستید، گزینه اول یعنی Do not dial … را انتخاب نمایید ( شما از این پس از طریق این کانال اینترنتی به VPN وصل خواهید شد ) .

۶- در پنجره Connection Name آیپی آدرس یا Host Name سرور VPN را وارد نموده و دکمه Next را بزنید. بعنوان مثال آیپی آدرس سرور داخلی ما ۱۹۲٫۱۶۸٫۰٫۱ می‌باشد.

۷- در آخرین پنجره، خلاصه تنظیمات نمایش داده می‌شود. با زدن دکمه Finish کار ساخت یک VPN Connection به پایان می‌رسد.

 تنظیمات کانال ارتباطی

بعد از اتمام مراحل فوق یک پنجره ، برای اتصال به VPN Server ، ظاهر خواهد شد. که از شما نام کاربری و کلمه عبور در خواست می‌کند. در واقع تا این مرحله شما فقط یک آیکن اتصال اولیه به شبکه را ساخته‌اید. قبل از اتصال، توضیحاتی در مورد این تنظیمات می دهیم:

دکمه Properties ، را بزنید تا در مورد قسمت‌های مختلف توضیحاتی ارائه دهیم.

قسمت General

در این قسمت نیاز به تنظیمات و تغییرات چندانی ندارد . اگر می‌خواهید نام و یا آیپی آدرس سروری که می‌خواهید به آن وصل شوید را تغییر دهید، در اولین کادر می‌توانید تغییرات را وارد نمایید. توجه نمایید که ما قبلا آیپی آدرس مورد نظر را وارد کرده بودیم. (

همچنین:  ساخت Autorun در ویندوز

همچنین در همین صفحه و در قسمت First Connection می‌توانید تنظیم کنید که کدام یک از خطوط ISP را برای برقراری اتصال اینترنتی به VPN سرور می‌خواهید استفاده نمایید.

توجه: اگر بخواهید به VPN سرور داخل شبکه متصل شوید نیازی به تعریف این گزینه نیست.
در انتها نیز گزینه‌ای مربوط به فعال یا غیر فعال کردن نمایش آیکن آداپتور شبکه در system tray (بعد از برقراری اتصال به شبکه) می‌باشد.

قسمت Options

در این قسمت عملیاتی که در هنگامی برقراری اتصال انجام می‌شود، را می‌توان تنظیم نمود. برخی از این تنظیمات در قالب سوال‌های زیر نشان داده شده است.

• آیا سیستم وضعیت اتصال را به شما نشان دهد یا خیر؟

• نام کاربری، کلمه عبور و نام domain را درخواست کند یا خیر؟

و با گزینه‌هایی که در قسمت Redialing Options وجود دارد، عکس العمل سیستم در مقابل عدم دریافت پاسخ از طرف سرور، را می‌توانید تنظیم نمایید:

• در صورت عدم دریافت پاسخ از سرور، جند بار سعی برای اتصال صورت گیرد؟

• تنظیم فاصله زمانی بین هر سعی با سعی دیگر

• اگر اتصال ناخواسته قطع شد، آیا مجدداً برقرار شود یا خیر؟

در حالت عادی نیازی به تغییر در این برگه نیست.

قسمت Security

در این قسمت می‌توانید امنیت اتصال خود را تنظیم کنید. اگر طبق دستور العمل‌های داده شده در VPN Server تنظیمات را انجام داده باشید نیازی به تغییر در اینجا احساس نمی‌شود مگر اینکه بخواهید امنیت بیشتری را در نظر بگیرید. برای انجام این کار گزینه Advanced را انتخاب نموده و سایر تنظیمات را برحسب نیاز انجام دهید. (توضیحات تک تک گزینه‌های آن خارج ار بحث این مقاله می‌باشد).

توجه: این گزینه زیر را فعال نکنید:

Automatically use my Windows logon name and password

اگر این گزینه در کامپیوتر فعال باشد و این کاربر به قصد استراحت، برای مدت کوتاهی کامپیوتر را رها کرده باشد.
هر کسی می‌تواند از طریق این کامپیوتر به شبکه (VPN Server) وصل شود. زیرا با فعال کردن این گزینه عملاً نیاز به تایپ نام کاربری و کلمه عبور برای ورود به سرور را از بین برده‌اید.

قسمت Networking

در این برگه تنظیمات مختلفی می‌توان انجام داد. همانگونه که می بینید اولین تنظیم مربوط به نوع اتصال VPN شما می‌باشد. بصورت پیش فرض Automatic انتخاب شده است که هر دو حالت  PPTP VPN و L2TP VPN را به ترتیب بررسی می نماید.

PPTP برای کاربردهای عمومی و غیر حرفه‌ای مناسب‌تر می‌باشد. پروتکل L2TP که به وسیله شرکت CISCO ارائه شده است به لحاظ امنیتی بسیار قدرتمندتر است.  پروتکل دیگری را به نام IPSec پایه‌ریزی شده است که که پیچیدگی‌های خاصی دارد. ما در اینجا از پروتکل PPTP استفاده می‌کنیم که تنظیمات راحت‌تری دارد.

یکی دیگر از تنظیمات، تعیین اینکه آیا می‌خواهید برای اتصال به شبکه VPN از Default Gateway استفاده شود یا نه؟ برای این کار می توانید، پس از انتخاب Internet Protocol (TCP/IP) و سپس زدن دکمه Properties از آنجا دکمه Advanced را بزنید

در این گزینه به صورت پیش فرض تیک خورده و فعال است. ممکن است که برایتان این سوال پیش بیاید که چه زمانی این گزینه فعال و چه زمانی غیر فعال کنیم؟

بعضی از کاربران در خانه، ویا بعضی‌ها در کافی نت‌ها و یا هتل و غیره… و از راه اینترنت به VPN وصل می‌شوند. اینگونه افراد برای اتصال به شبکه VPN، در واقع از راه دور (Remote) به VPN Server وصل می‌شوند. بنابرین با فعال کردن این گزینه یک مسیری برای آنها ایجاد کرده‌اید که بتوانند بدون مشکل وصل شوند.

توجه:
برای کاربران داخلی (کاربران داخل شبکه) که از یک محدوده خاصی از IP آدرس استفاده می‌کنند، گزینه “Use default gateway on remote network” را غیر فعال کنید.

 قسمت Advanced

در اتصال معمولی و ساده به شبکه  VPN،  این قسمت نیاز به تنظیمات خاصی ندارد.

بعد از انجام تنظیمات لازم نوبت به برقراری ارتباط می‌رسد. دکمه Connect  در پنجره اصلی را بزنید. چنانچه تنظیمات VPN Server و VPN Client را به درستی انجام داده باشید. اتصال با موفقیت انجام می‌شود و آیکنی مشابه آیکن اتصال به اینترنت در System Tray ظاهر می‌شود. که می‌توانید خصوصیات اتصال خود را با زدن دکمه Properties  مشاهده کنید. با این اتصال مانند آن است که خود در سرور قرار گرفته باشید. واز امکانات آن استفاده نمایید.

اشتراک گذاری این صفحه