Die Installierung eines Virtuellen privaten Netzwerkes ermöglicht es entfernte Computer in sicherer Weise über eine nicht sichere Verbindung (Internet) miteinander zu verbinden, als ob sie im gleichen lokalen Netzwerk wären.
Diese Vorgehensweise wird von zahlreichen Unternehmen benutzt, um ihren Benutzern die Möglichkeit zu geben, sich außerhalb ihres Arbeitsplatzes an das Unternehmensnetz anzuschließen. Man kann sich schwerlos eine große Zahl möglicher Anwendungen vorstellen :
Mit Windows XP können virtuelle private Netzwerke von geringem Umfang verwaltet werden, wie sie für familiäre Netzwerke und solche kleiner Unternehmen in Frage kommen ( SOHOgenannt für Small Office/Home Office ). Um also ein virtuelles privates Netzwerk aufzubauen, müssen Sie nur in dem lokalen Netzwerk einen Server für Zugriff aus Distanz (VPN Server) installieren, der über Internet zugänglich ist und jeden Client parametrieren um ihnen den Anschluss zu ermöglichen.
In unserem Beispiel gehen wir davon aus, dass der Rechner der als VPN Server in dem lokalen Netzwerk dienen soll, zwei Schnittstellen besitzt; eine in das lokale Netzwerk (zum Beispiel eine Netzkarte) und eine ins Internet (einen DSL Anschluss oder einen Anschluss über Kabel zum Beispiel). Über diese an Internet angeschlossene Schnittstelle, gelangen die VPN Clients in das lokale Netzwerk.
Um dieser Maschinen zu gestatten virtuelle private Netzwerke zu verwalten, muss nur das Element Netzwerkverbindungen (Network Connection) in der Stystemsteuerunggeöffnet werden. In dem so geöffneten Fenster, doppelklicken sie auf Assistent für neuen Anschluss (New connection wizard) :
Drücken Sie dann auf die Taste Weiter :
Von den drei im Fenster angebotenen Möglichkeiten, wählen Sie "eine erweiterte Verbindung konfigurieren" :
In der folgenden Anzeige, wählen Sie"eingehende Verbindungen akzeptieren" :
Die folgende Anzeige bietet Peripheriegeräte zur Wahl für einen direkten Anschluss. Es ist möglich das kein Peripheriegeräte angeboten wird. Von Sonderfällen abgesehen, brauchen sie keines zu wählen :
In dem folgenden Fenster, wählen Sie "die virtuellen privaten Verbindungen genehmigen" :
Eine Liste der Benutzer des Systems erscheint. Man braucht nur die Benutzer zu wählen oder hinzuzufügen, die befugt sind sich an den VPN Server anzuschließen :
Wählen Sie dann die Liste der Protokolle die über das VPN genehmigt sind :
Ein Klick auf den Button Eigenschaften der dem TCP/IP Protokoll zugeordnet ist ermöglicht es die IP Adressen definieren, die der Server dem Client für die ganze Dauer der Sitzung zuordnet. Wenn das lokale Netzwerk auf dem sich der Server befindet keine spezifische Adressierung besitzt können Sie den Server automatisch eine IP Adresse definieren lassen. Wenn das Netzwerk allerdings einen spezifischen Adressierungsplan besitzt können Sie den Adressenbereich definieren der zugeordnet werden soll :
Die Konfiguration des VPN-Servers ist jetzt abgeschlossen, Sie können auf den Button Beendenklicken :
Um es einem Client zu ermöglichen sich an ihren VPN-Server anzuschließen, ist es notwendig alle Anschlussparameter (Adresse des Servers, zu verwendende Protokolle,...) zu definieren. Der Assistent für einen neuen Anschluss, der über das Symbol Netzwerkverbindungen der Systemsteuerung erreichbar ist, erlaubt diese Konfiguration :
Drücken Sie dann auf die Taste Weiter :
Von den drei im Fenster angebotenen Möglichkeiten, wählen Sie "Anschluss an ein Unternehmensnetzwerk" :
In dem folgenden Fenster, wählen Sie "Anschluss virtuelles privates Netzwerk" :
Geben Sie dann einen Namen ein, der so gut wie möglich den Namen des virtuellen privaten Netzwerkes an das Sie sich anschließen wollen, umschreibt :
Folgende Anzeige gibt an ob, vor dem Anschluss an das virtuelle private Netzwerk, eine Verbindung hergestellt werden muss. In den meisten Fällen (wenn Sie über einen permanenten Anschluss verfügen, DSL Anschluss oder Kabel) wird es nicht nötig sein die Verbindung herzustellen da der Computer schon an Internet angeschlossen ist, anderenfalls wählen Sie die herzustellenden Verbindung in der Liste :
Um auf den RAS-Server (VPN Server oder Host) zugreifen zu können, ist es notwendig dessen Adresse anzugeben (IP Adresse oder Hostname). Wenn dieser keine feste IP Adresse besitzt, muss er mit einer dynamischen Benennungsvorrichtung ausgestattet werden (DynDNS) die in der Lage ist ihm einen Domainname zuzuordnen. Dieser Name muss in folgendem Feld angegeben werden :
Wenn die Definition der VPN Verbindung abgeschlossen ist, öffnet sich ein Verbindungsfenster, welches nach dem Benutzernamen (login) und dem Passwort fragt :
Bevor sie sich verbinden, müssen sie ein paar Einstellungen vornehmen indem sie auf den Button Eigenschaften unten im Fenster klicken. Ein Fenster enthält eine gewisse Anzahl an Tabs, mit denen die Verbindung feiner parametrieren werden kann. In dem Tab Netzwerkverwaltung wählen Sie das Protokoll PPTP in der Abrollliste, wählen Sie das Internetprotokoll (TCP/IP) und klicken auf Eigenschaften :
Mit dem Fenster welches angezeigt wird, kann die IP Adresse definiert werden, die der Client Rechner bei der Verbindung mit dem RAS Server hat. Dadurch kann eine kohärente Adressierung erzielt werden. So ist der der VPN Server in der Lage, die Rolle eines DHCP Serverszu übernehmen, d.h. dem VPN Client automatisch eine valide Adresse zu liefern. Dafür muss nur die Option gewählt werden"Eine Adresse automatisch erhalten" :
Falls der Client das DHCP benutzt und der Server eine interne IP Adresse zugeordnet, so ist der Client an das Unternehmensnetzwerk angebunden und hat Zugriff auf dessen Dienste, hat allerdings keinen Zugang mehr zu Internet über die verwendete Schnittstelle, da es nicht möglich ist die IP Adresse zu routen. Um es dem Client zu ermöglichen mit dem VPN verbunden zu sein und gleichzeitig über diese Verbindung Zugang zum Internet zu haben, muss der VPN Server so konfiguriert sein, dass er seinen Internetzugang teilt! So erlaubt der Button Erweitert eine Einstellung mit der der Client den Netzkoppler des VPN-Servers benutzt, falls dieser einen Anschluss teilt :
Um die VPN Verbindung aufzubauen, ist es notwendig dass die zwischengeschalteten
Firewalls, insbesondere der ursprüngliche Firewall von XP, so konfiguriert sind, dass sie die Verbindung gestatten. So ist es notwendig den ursprünglichen Firewall von Windows XP auf folgende
Weise zu deaktivieren :
Für weitere Informationen über Firewalls, besuchen Sie die Webseite die diesem Thema gewidmeten ist . Wenn Sie Fragen haben, können sie diese im Kioskea Forumstellen.
Artikel verfasst von Jean-François PILLOU
