چگونه يک ارتباط VPN براي دورکاري کارمندان ايجاد کنيم
امروزه ديگر حمل حجم عظيمي از داده ها توسط کاربران سوژه فيلمهاي علمي- تخيلي نيست، بلکه مدتهاست که تحقق پيدا کرده است. ما بطور روزمره از قطعات ذخيره سازي موبايل، نظير درايو ديسک سخت خارجي و حافظه هايUSB Flash استفاده مي نماييم. اين واحدهاي ذخيره سازي به ما امکان مي دهند تا داده ها را براحتي انتقال داده و در هر مکان و زماني که به آنها نياز پيدا مي کنيم، آنها را در اختيار داشته باشيم.
با اينحال، صرفنظر از اينکه شيوه مذکور براي حمل ونقل داده ها تا چه اندازه مي تواند راحت باشد، وقتي فراموش مي کنيم که پيش از ترک محل کارمان از داده هاي مورد نيازمان کپي تهيه کنيم ديگر اين قابليت چندان مفيد فايده نخواهد بود. وقتي چنين اتفاقي مي افتد ،داده هاي موبايل ما بطور ناگهاني بلااستفاده مي شوند. علاوه بر خطاهاي انساني، سناريوهاي ديگري نيز وجود دارند که تحت آنها يک مجموعه از داده هاي موبايل مي توانند با نياز به دسترسي به مجموعه معيني از داده ها از هر مکان دلخواه انطباق نداشته باشند. براي مثال، اين وضعيت زماني پيش مي آيد که شما مي خواهيد به داده هاي ذخيره شده در يک سرور بانک اطلاعاتي دسترسي پيدا کنيد و يا زماني که کاربر از پيش نمي داند در يک وضعيت خاص، نيازمند دسترسي به چه داده هايي خواهد بود.
دراين شرايط ،چه چيزي مي تواند منطقي تر ادسترسي به داده هايتان از طريق اينترنت باشد؟ اين ايده، مبنايTelecommutingاست که درآن بعضي از کارکنان مي توانند کارهايشان را بدون نياز به يک محل کار ثابت در داخل شرکت، انجام دهند. اين وضعيت معمولابه معناي انجام کارها از داخل منزل است اما درعين حال ،کارکناني که در خارج از شرکت کار مي کنند را نيز در برمي گيرد.
تبادل داده ها از طريق اينترنت، بطور چشمگيري در نتيجه تداوم «جهاني شدن» شرکتها افزايش يافته است. ما در اين مقاله به شما نشان خواهيم داده که کاربران خانگي چگونه مي توانند به آساني از خانه به داده هاي خود دسترسي پيدا کنند(تا حدود زيادي، به لطف استفاده از اتصالات سريع تر اينترنت) و چگونه دسترسي خارجي به داده ها از انحصار شرکتهايي با خطوط مخابراتي اختصاصي خارج شده است.
يکVPN، يک راه حل کاملا مبتني بر نرم افزار است: براي ايجاد يک VPN، به هيچ سخت افزار شبکه ويژه اي نياز نخواهد بود. براي استفاده از يک شبکه عمومي نظير اينترنت براي برقراي يک ارتباطVPN مابين کامپيوتري در يک دفترکار خانگي و شبکه شرکت ،نرم افزار کلاينتVPN، پيکربندي شبکه شرکت ،را بطور مجازي بر روي کامپيوتر دفتر خانگي بازسازي مي کند. نرم افزار کلاينت از طريق اينترنت بهVPN Dial-in node متصل مي شود و پس از تاييد موفقيت آميز هويت خود، ارتباط مابين ابزارها را با استفاده از يک پروتکل امنVPNنظيرIPsec,TLS/SSLو ياPPTPبرقرار مي کند .به اين ترتيب ،ايستگاه کاري دفتر خانگي به يک مولفه از شبکه خصوصي شرکت تبديل مي شود. يک ارتباط امن که از طريق يک شبکه عمومي نظير امنيت مابين VPN Dial-in nodeو يک ابزار راه دور برقرار شده است ،تحت عنوان يک تونلVPNشناخته مي شود.
شکل(1): دياگرام ساده اي از يک تونلVPN
يک تونلVPNصرفاًً براي اتصال کامپيوترهاي شخصي به يک شبکه(Site-to-End) مورد استفاده قرار نمي گيرد، بلکه مي تواند (براي مثال)براي اتصال شبکه هاي محلي(LAN) شعبات مختلف به يکديگر(Site-to-Site) نيزبکار گرفته شود. همچنين اين امکان وجود دارد که از VPN براي برقراري ارتباط امن با يک سرور، بدون دسترسي به کل شبکه شرکت(End-to-End) استفاده کرد.
Hamachiکه يک نرم افزار کلاينتVPN است، با استفاده از قواعد مشابهي کار مي کند. ارتباطاتي که از طريق Hamachi راه اندازي مي شوند، از آغاز مستقيما ما بين کلانيت برقرار نخواهد شد ،بلکه از طريق يک سرور يک سرور واسطه هدايت مي کردند که مسئوليت تائيد اعتبار کلاينت را برعهده دارد.
موضوع فوق در کنار اين واقعيت که متن مرجعHamachiبصورت عمومي قابل مشاهده نمي باشد، مي تواند يک ريسک امنيتي را در هنگام انتقال داده هاي حساس بوجود آورد.
کاربراني که يک لپ تاپ و همچنين يک کامپيوتر دسک تاپ در اختيار دارند و مي خواهند توانايي دسترسي به داده هاي موجود برروي PC خانگي اشاره کرديم) تمايلي به استفاده ازHamachi ندارند مي تواند به آساني و سريعا يک ارتباطVPN End-to-End را با استفاده از ويندوز7 و ابزارهاي استانداردي که توسط آن فراهم مي شود برقرار نمايند. تدارکات لازم براي عملکرد راحت و انتقال سريع داده ها، به يک ارتباط اينترنت با سرعت مناسب محدود مي شود. بطور ايده آل، شما حداقل به يک ارتباط DSL سريع با سرعتUpstreamمناسب نياز خواهيد داشت.
روتر درعين حال بايد تحت يک نام ميزبان بر روي اينترنت قابل دسترسي باشد. اين موضوع الزامي است زيرا هر بار که با اينترنت ارتباط برقرار مي کند، تامين کنندهDSL يک آدرسIP جديد را به آن اختصاص مي دهد و اين موضوع معمولا پس از هر دوره زماني 24ساعته نيز روي مي دهد. اگر زماني که از هر دوره زماني 24ساعته نيز روي ميدهد اگر زمانيکه خارج از منزل هستيد روتر خانگي شما مجددا با اينترنت ارتباط برقرار نموده وآدرسIPجديدي را دريافت کرده باشد، قادر به برقراري تماس با آن نخواهيد بود زيرا از آدرسIP جديد آگاهي نداريد. شما مي توانيد از ابزارهايي نظير DynDNS.org وno-ip.org براي تخصيص يک نام ميزبان ثابت به آدرسهاي IP ديناميک استفاده کنيد.
بسياري از روترها به همراه مجموعه اي از يوتيليتي ها براي بروزرساني وروديهاي DNS ديناميک ارائه مي شوند. تامين کننده اي که براي ثبت نام انتخاب مي کنيد، به پشتيباني تامين شده توسط روتر شما بستگي خواهد داشت. اگر کامپيوتر دسک تاپ شما مستقيما با اينترنت ارتباط برقرار مي کند(بدون عبور از يک روتر)،بايد از يک يوتيليتي کوچک استفاده کنيد که تغييرات آدرسIP عمومي شما را به تامين کنندهDNS اطلاع مي دهد وآن را بروزرساني مي نمايد.
در بخشDownload سايت تامين کننده DNS مربوطه برنامه اي را جستجو کنيد که آدرسIPرا در سرورDNS بروزرساني مي نمايد.
پيش از هرچيز، بايد کامپيوتر دسک تاپ مبتني بر ويندوز7 را بصورتي پيکربندي کنيم تا درخواستهاي دريافتي براي برقراري يک ارتباطVPN را بپذيرد.
Network and Sharingرا از مسيرControl panel>Networks and Internet>Start باز کنيد.
گزينه Manage network connections را از بخش سمت چپ پنجرهNetwork and Sharing Center انتخاب نماييد که باعث باز شدن پنجره جديدي مي گردد. بر حسب پيکربندي نصب ويندوز 7 شما، احتمالاًً بايد کليدALT را براي مشاهد نوار منوي حاوي وروديهاي،Extended,View,Extras,File,Edit فشار دهيد. در نوار منو بر روي گزينه Fileکليک نموده و سپس گزينهNew incoming connectionرا انتخاب کنيد.
در پنجره اي که باز مي شود، مي توانيد فهرستي از تمام حسابهاي کاربري موجود بر روي کامپيوتر خود را مشاهده نماييد. کاربراني که اجازه خواهند داشت با کامپيوتر شما ارتباط برقرار نمايند را انتخاب کنيد. اگر مي خواهيد دسترسي به کامپيوترتان را صرفاً به خودتان محدود کنيد ،فقط نام کاربري خودتان را فعال نماييد. حالا بر روي Nextکليک کنيد. در جعبه محاوره اي بعدي،گزينهVia the Internetرا انتخاب نموده و اين تنظيم را با کليک بر روي Next تاييد کنيد. حالا بايد پروتکلهاي شبکه اي که مي خواهيد توسط ارتباطVPN پشتيباني شوند را انتخاب نماييد. شما مي توانيد هردو گزينهInternet protocol version6وQos packet schedulerرا غير فعال نماييد.
شکل (2): Network and Sharing Centerدر ويندوز7
شکل(3): اگر نوار منوي پنجره ديده نمي شود، کليدALT را فشار دهيد.
شکل(4): انتخاب کاربران
شکل(5): انتخاب پروتکلهاي پشتيباني شده
گزينهInternet protocol version4 را انتخاب کرده وسپس بر رويPropertiesکليک نماييد. اگر نه تنها مايل به دسترسي به کامپيوتر دسک تاپ خود از طريق ارتباطVPN هستيد ،بلکه مي خواهيد به ساير ابزارها در شبکه خانگي خود(نظير چاپگرها يا روترهاي شبکه) نيز دسترسي داشته باشيد، گزينهAllow callers to Access My local Area Networkرا انتخاب نماييد. گزينهEnter IP addressرا براي تخصيص آدرسIP انتخاب کنيد. دراينجا بايد دو آدرسIPمتوالي را وارد کنيد که براي برقراري ارتباطVPN مابين کامپيوتر دسک تاپ و لپ تاپ شما مورد استفاده قرار خواهندگرفت. مشخصات يک دامنهIPکامل در اينجا کارآيي نخواهد داشت زيرا ويندوز7 در هر زمان معين تنها يک ارتباط VPN منفرد را مي پذيرد و برقراري ارتباطات متعددVPN با آن امکان پذير نخواهد بود.
اگر آدرسIP روتر شما1, 1, 168, 192 وآدرسIP کامپيوتر دسک تاپتان 2, 1, 168, 192 است بايد يک دامنه آدرسIP را وارد کنيد که با1, 168, 192 آغاز شود. شما مي توانيد آخرين شماره را آزادانه انتخاب کنيد، البته با يک محدوديت: اين شماره نبايد قبلا به آبجکتي در داخل شبکه اختصاص يافته باشد. بنابراين ،در مثال ما امکان استفاده از دو آدرسIP فوق الذکر يعني1, 1, 168, 192و 2, 168, 192 وجود نخواهد داشت.
آدرس IPداخل فيلدFrom در هنگام برقراري يک ارتباطVPN کامپيوتر دسک تاپ شما تخصيص خواهد يافت.
آدرسIP داخل فيلدTo نيز به لپ تاپ شما اختصاص مي يابد. حالا بر رويOK کليک نموده و تنظيماتي که انجام داده ايد را انتخاب Allow Access تائيد کنيد. ويندوز ويستا متعاقباً تنظيمات فايروال ويندوز را ويرايش خواهد کرد تا ارتباطات با درگاه1723 مجاز شناخته شوند. آيا مايل هستيد تغييرات بيشتري را در تنظيماتي که وارد کرده ايد اعمال نماييد، مي توانيد جعبه محاوره اي Settingsرا از طريق منويManage network cinnectionsدر Network and Sharing Center باز کنيد.
شکل(6): انتخاب آدرسهايIPو تاييد اجازه دسترسي به شبکه محلي
شکل(7): ايجاد ارتباط ورودي
همين وضعيت در مورد ارسال(Forwarding) پروتکلRCP/IP47 يعني (GRE(Generic Riute Encapsulation نيز صادق است.
بعضي از توليد کنندگان روتر، نقل وانتقال پروتکلGRE را تحت عنوان «PPTP Pass-Trough» يا«VPN Pass-Through» مي شناسند. براي آگاهي از جزييات خاص مرتبط با راه اندازيPort Forwardingو PPTP Pass-Through، به مستندات روتر خود مراجعه کنيد.
شکل(8): قواعد Forwarding براي PPTP
شکل(9): تنظيمات Pass-Throughبه آساني در منوي روتر آزمايشي ما قابل يافتن بود
يکبار ديگر، همين وضعيت در مورد راه اندازي يک آدرسDNS ديناميک نيز صادق است. همانطور که قبلا نيز اشاره کرديم، پشتيباني روتر شما از سرورهايDNS ديناميک برحسب توليد کننده آن متفاوت خواهد بود. براي آنکه از پيچيده و يا طولاني شدن بي دليل اين مقاله جلوگيري نموده باشيم، فرض خواهيم کرد که هر دو فرآيندPort Forwarding و PPTP Pass-Through و همچنين ثبت نام در يک تامين کننده سرويسهاي DNSبا موفقيت انجام شده اند.
شکل(10): انتخاب و دامنه تامين کننده هايDNS پشتيباني شده بر حسب توليد کننده روتر شما متغير خواهد بود.
ما در مثال خود نحوه راه اندازي کلاينت VPNتحت ويندوز7 را تشريح خواهيم کرد. بر روي لپ تاپي که ويندوز7 را بعنوان سيستم عامل اجرا مي کند،Network and Sharing Center را باز کرده و سپس گزينهSet up a connection or network را انتخاب نمائيد. از فهرست بعدي ،گزينه Connect to a workplace را انتخاب کرده و تنظيمات خود را با کليک بر روي Next تاييد نماييد.
اگر ارتباطات Dial-up از قبل قابل دسترسي هستند، پرسش بعدي را باNo پاسخ داده و سپس بر رويNextکليک نماييد تا به مرحله بعدي برويد. وقتي ويزارد راه اندازي از شما درباره نحوه برقراري ارتباط مورد نظرتان سوال کرد، گزينهUse the internet(VPN)connection را انتخاب نماييد. حالا از شما خواسته مي شود تا يک آدرس اينترنتي را وارد کنيد. نام ميزباني که در تامين کنندهDNS ثبت نام نموده و در روتر خود وارد کرده ايد را وارد نماييد. شما مي توانيد نام هدف را به دلخواه انتخاب کنيد. گزينهDo not connect now را فعال نماييد. در صورت تمايل، نام کاربري و کلمه عبور خود را در مرحله بعد وارد کنيد. اين نام کاربري و کلمه عبور بايد با داده هاي دسترسي حساب کاربري که جهت مقاصد ارتباطات VPN بر روي دسک تاپ خود به اشتراک گذاشته ايد، مطابقت داشته باشند. اين مرحله را با کليک بر رويCreateتاييد نموده و پنجره بعدي را ببنديد.
شکل(11): ويزاردset up a connoceion or networkقدم به قدم شما را راهنمايي خواهد کرد
شکل(12): ادامه فرايندراه اندازي ارتباط VPN
شکل(13): تنظيمات آدرس اينترنتي و نام مقصد
شکل(14): اطلاعات Log-inبر روي کامپيوتر دسک تاپ
پس از برقراري ارتباط ،مي توانيد از مرورگر ويندوز براي دسترسي به فولدرهاي به اشتراک گذاشته شده بر روي کامپيوتر دسک تاپ خود استفاده کنيد. براي اين منظور، آدرسIP(\\1, 168, 192.x) را بعنوان مسير (UNC(universal naming convention در نوار آدرس وارد نماييد. اينکار تنها زماني ضرورت خواهد داشت که تجزيه نام(Name Resolution) بطور صحيح در شبکه ويندوز عمل نمي کند.
يک شيوه آراسته تر در مقايسه با وارد کردن آدرسIP بعنوان يک مسير UNS، ويرايش قابلImhosts.samبر روي کامپيوتر کلاينت VPN(لپ تاپ شما) است.
اين فايل تخصيص دستي نامهاي ميزبان و آدرسهاي IP را مديريت مي نمايد و مي توانيد آن را در فولدرC:\Windows\drivers\etc\System32 پيدا کنيد.
شما بايد آدرسIP که کامپيوتر دسک تاپ شما از آن براي ارتباطات VPN استفاده مي کند وسپس نام ويندوز کامپيوترتان(نظيرHome PC) را در اين فايل وارد نماييد. پس از اعمال تغييرات مورد نظرتان، فايل را ذخيره کنيد. حالا وقتي ارتباط VPN برقرار مي شود، مي توانيد با وارد کردنHome PC\\ بعنوان مسيرUNCدر مرورگر ويندوز، به کامپيوترتان دسترسي پيدا کنيد. اگر ابزارهاي ديگري در شبکه خانگي شما وجود دارند ،بايد فايل مذکور را مطابق با مشخصات آنها ويرايش نماييد.
شکل(15)
شکل(16)
شکل(17):شايد استفاده از آدرسIP بعنوان يک مسيرUNC چندان برازنده نباشد، اما عملي خواهد بود.
تنها مشکل کوچکي که دراين مسير وجود دارد، محدود بودن ويندوز7 به تنها يک ارتباط VPNدر هر زمان معين است. اگر کاربران متعددي بخواهندبا استفاده از VPNويندوز به يک کامپيوتر دسترسي پيدا کنند، بايد اينکار را به نوبت انجام دهند براي برطرف نمودن اين محدوديت، شما بايد از يک محصول جايگزين نظيرOpen VPN استفاده کنيد.
برخلاف راه حل VPNارائه شده توسط ويندوز ،پيکربندي و راه اندازي Open VPN بسيار پيچيده تر بوده و دشواريهاي انجام آن احتمالاً بر مزاياي اين شيوه براي بسياري از کاربران غلبه خواهد نمود. اگر مقصود شما صرفاً تبادل داده ها با ساير کاربران است، مي توانيد بجاي اين شيوه از راه حلي نظيرTeamDriveاستفاده کنيد.
نصب يک سرورFTP بر روي يک کامپيوتر خانگي نيز دسترسي سريع و ساده به داده هاي اشتراکي(Shared) را تضمين مي کند، اما مشکل امنيت در اين وضعيت به قوت خود باقي خواهد ماند، زيرا پروتکلFTPتقريبا هيچگاه رمزگذاري نمي شود. مزيت ديگر ارتباط VPN اين است که شما مي توانيد از کامپيوتر کلاينت خود براي دسترسي به شبکه تان استفاده کنيد و اين وضعيت، دسترسي به ساير کامپيوترها و سرويسهاي شبکه را نيزدر اختيار شما قرار مي دهد .پيکر بندي روتر براي سرويسهاي اضافي نظير ارتباطات دسک تاپ از راه دور و يا يک ارتباط با VNC نيز ضروري نخواهد بود زيرا شما از قبل در داخل شبکه خودتان قرار گرفته ايد.
منبع:نشريه بزرگراه رايانه- ش133
با اينحال، صرفنظر از اينکه شيوه مذکور براي حمل ونقل داده ها تا چه اندازه مي تواند راحت باشد، وقتي فراموش مي کنيم که پيش از ترک محل کارمان از داده هاي مورد نيازمان کپي تهيه کنيم ديگر اين قابليت چندان مفيد فايده نخواهد بود. وقتي چنين اتفاقي مي افتد ،داده هاي موبايل ما بطور ناگهاني بلااستفاده مي شوند. علاوه بر خطاهاي انساني، سناريوهاي ديگري نيز وجود دارند که تحت آنها يک مجموعه از داده هاي موبايل مي توانند با نياز به دسترسي به مجموعه معيني از داده ها از هر مکان دلخواه انطباق نداشته باشند. براي مثال، اين وضعيت زماني پيش مي آيد که شما مي خواهيد به داده هاي ذخيره شده در يک سرور بانک اطلاعاتي دسترسي پيدا کنيد و يا زماني که کاربر از پيش نمي داند در يک وضعيت خاص، نيازمند دسترسي به چه داده هايي خواهد بود.
دراين شرايط ،چه چيزي مي تواند منطقي تر ادسترسي به داده هايتان از طريق اينترنت باشد؟ اين ايده، مبنايTelecommutingاست که درآن بعضي از کارکنان مي توانند کارهايشان را بدون نياز به يک محل کار ثابت در داخل شرکت، انجام دهند. اين وضعيت معمولابه معناي انجام کارها از داخل منزل است اما درعين حال ،کارکناني که در خارج از شرکت کار مي کنند را نيز در برمي گيرد.
تبادل داده ها از طريق اينترنت، بطور چشمگيري در نتيجه تداوم «جهاني شدن» شرکتها افزايش يافته است. ما در اين مقاله به شما نشان خواهيم داده که کاربران خانگي چگونه مي توانند به آساني از خانه به داده هاي خود دسترسي پيدا کنند(تا حدود زيادي، به لطف استفاده از اتصالات سريع تر اينترنت) و چگونه دسترسي خارجي به داده ها از انحصار شرکتهايي با خطوط مخابراتي اختصاصي خارج شده است.
انتقال امن داده ها با شبکه هاي خصوصي مجازي(VPN)
يکVPN، يک راه حل کاملا مبتني بر نرم افزار است: براي ايجاد يک VPN، به هيچ سخت افزار شبکه ويژه اي نياز نخواهد بود. براي استفاده از يک شبکه عمومي نظير اينترنت براي برقراي يک ارتباطVPN مابين کامپيوتري در يک دفترکار خانگي و شبکه شرکت ،نرم افزار کلاينتVPN، پيکربندي شبکه شرکت ،را بطور مجازي بر روي کامپيوتر دفتر خانگي بازسازي مي کند. نرم افزار کلاينت از طريق اينترنت بهVPN Dial-in node متصل مي شود و پس از تاييد موفقيت آميز هويت خود، ارتباط مابين ابزارها را با استفاده از يک پروتکل امنVPNنظيرIPsec,TLS/SSLو ياPPTPبرقرار مي کند .به اين ترتيب ،ايستگاه کاري دفتر خانگي به يک مولفه از شبکه خصوصي شرکت تبديل مي شود. يک ارتباط امن که از طريق يک شبکه عمومي نظير امنيت مابين VPN Dial-in nodeو يک ابزار راه دور برقرار شده است ،تحت عنوان يک تونلVPNشناخته مي شود.
شکل(1): دياگرام ساده اي از يک تونلVPN
يک تونلVPNصرفاًً براي اتصال کامپيوترهاي شخصي به يک شبکه(Site-to-End) مورد استفاده قرار نمي گيرد، بلکه مي تواند (براي مثال)براي اتصال شبکه هاي محلي(LAN) شعبات مختلف به يکديگر(Site-to-Site) نيزبکار گرفته شود. همچنين اين امکان وجود دارد که از VPN براي برقراري ارتباط امن با يک سرور، بدون دسترسي به کل شبکه شرکت(End-to-End) استفاده کرد.
Hamachiکه يک نرم افزار کلاينتVPN است، با استفاده از قواعد مشابهي کار مي کند. ارتباطاتي که از طريق Hamachi راه اندازي مي شوند، از آغاز مستقيما ما بين کلانيت برقرار نخواهد شد ،بلکه از طريق يک سرور يک سرور واسطه هدايت مي کردند که مسئوليت تائيد اعتبار کلاينت را برعهده دارد.
موضوع فوق در کنار اين واقعيت که متن مرجعHamachiبصورت عمومي قابل مشاهده نمي باشد، مي تواند يک ريسک امنيتي را در هنگام انتقال داده هاي حساس بوجود آورد.
کاربراني که يک لپ تاپ و همچنين يک کامپيوتر دسک تاپ در اختيار دارند و مي خواهند توانايي دسترسي به داده هاي موجود برروي PC خانگي اشاره کرديم) تمايلي به استفاده ازHamachi ندارند مي تواند به آساني و سريعا يک ارتباطVPN End-to-End را با استفاده از ويندوز7 و ابزارهاي استانداردي که توسط آن فراهم مي شود برقرار نمايند. تدارکات لازم براي عملکرد راحت و انتقال سريع داده ها، به يک ارتباط اينترنت با سرعت مناسب محدود مي شود. بطور ايده آل، شما حداقل به يک ارتباط DSL سريع با سرعتUpstreamمناسب نياز خواهيد داشت.
برقراري VPN End-to-End با استفاده از ويندوز 7
روتر درعين حال بايد تحت يک نام ميزبان بر روي اينترنت قابل دسترسي باشد. اين موضوع الزامي است زيرا هر بار که با اينترنت ارتباط برقرار مي کند، تامين کنندهDSL يک آدرسIP جديد را به آن اختصاص مي دهد و اين موضوع معمولا پس از هر دوره زماني 24ساعته نيز روي مي دهد. اگر زماني که از هر دوره زماني 24ساعته نيز روي ميدهد اگر زمانيکه خارج از منزل هستيد روتر خانگي شما مجددا با اينترنت ارتباط برقرار نموده وآدرسIPجديدي را دريافت کرده باشد، قادر به برقراري تماس با آن نخواهيد بود زيرا از آدرسIP جديد آگاهي نداريد. شما مي توانيد از ابزارهايي نظير DynDNS.org وno-ip.org براي تخصيص يک نام ميزبان ثابت به آدرسهاي IP ديناميک استفاده کنيد.
بسياري از روترها به همراه مجموعه اي از يوتيليتي ها براي بروزرساني وروديهاي DNS ديناميک ارائه مي شوند. تامين کننده اي که براي ثبت نام انتخاب مي کنيد، به پشتيباني تامين شده توسط روتر شما بستگي خواهد داشت. اگر کامپيوتر دسک تاپ شما مستقيما با اينترنت ارتباط برقرار مي کند(بدون عبور از يک روتر)،بايد از يک يوتيليتي کوچک استفاده کنيد که تغييرات آدرسIP عمومي شما را به تامين کنندهDNS اطلاع مي دهد وآن را بروزرساني مي نمايد.
در بخشDownload سايت تامين کننده DNS مربوطه برنامه اي را جستجو کنيد که آدرسIPرا در سرورDNS بروزرساني مي نمايد.
پيش از هرچيز، بايد کامپيوتر دسک تاپ مبتني بر ويندوز7 را بصورتي پيکربندي کنيم تا درخواستهاي دريافتي براي برقراري يک ارتباطVPN را بپذيرد.
Network and Sharingرا از مسيرControl panel>Networks and Internet>Start باز کنيد.
گزينه Manage network connections را از بخش سمت چپ پنجرهNetwork and Sharing Center انتخاب نماييد که باعث باز شدن پنجره جديدي مي گردد. بر حسب پيکربندي نصب ويندوز 7 شما، احتمالاًً بايد کليدALT را براي مشاهد نوار منوي حاوي وروديهاي،Extended,View,Extras,File,Edit فشار دهيد. در نوار منو بر روي گزينه Fileکليک نموده و سپس گزينهNew incoming connectionرا انتخاب کنيد.
در پنجره اي که باز مي شود، مي توانيد فهرستي از تمام حسابهاي کاربري موجود بر روي کامپيوتر خود را مشاهده نماييد. کاربراني که اجازه خواهند داشت با کامپيوتر شما ارتباط برقرار نمايند را انتخاب کنيد. اگر مي خواهيد دسترسي به کامپيوترتان را صرفاً به خودتان محدود کنيد ،فقط نام کاربري خودتان را فعال نماييد. حالا بر روي Nextکليک کنيد. در جعبه محاوره اي بعدي،گزينهVia the Internetرا انتخاب نموده و اين تنظيم را با کليک بر روي Next تاييد کنيد. حالا بايد پروتکلهاي شبکه اي که مي خواهيد توسط ارتباطVPN پشتيباني شوند را انتخاب نماييد. شما مي توانيد هردو گزينهInternet protocol version6وQos packet schedulerرا غير فعال نماييد.
شکل (2): Network and Sharing Centerدر ويندوز7
شکل(3): اگر نوار منوي پنجره ديده نمي شود، کليدALT را فشار دهيد.
شکل(4): انتخاب کاربران
شکل(5): انتخاب پروتکلهاي پشتيباني شده
گزينهInternet protocol version4 را انتخاب کرده وسپس بر رويPropertiesکليک نماييد. اگر نه تنها مايل به دسترسي به کامپيوتر دسک تاپ خود از طريق ارتباطVPN هستيد ،بلکه مي خواهيد به ساير ابزارها در شبکه خانگي خود(نظير چاپگرها يا روترهاي شبکه) نيز دسترسي داشته باشيد، گزينهAllow callers to Access My local Area Networkرا انتخاب نماييد. گزينهEnter IP addressرا براي تخصيص آدرسIP انتخاب کنيد. دراينجا بايد دو آدرسIPمتوالي را وارد کنيد که براي برقراري ارتباطVPN مابين کامپيوتر دسک تاپ و لپ تاپ شما مورد استفاده قرار خواهندگرفت. مشخصات يک دامنهIPکامل در اينجا کارآيي نخواهد داشت زيرا ويندوز7 در هر زمان معين تنها يک ارتباط VPN منفرد را مي پذيرد و برقراري ارتباطات متعددVPN با آن امکان پذير نخواهد بود.
اگر آدرسIP روتر شما1, 1, 168, 192 وآدرسIP کامپيوتر دسک تاپتان 2, 1, 168, 192 است بايد يک دامنه آدرسIP را وارد کنيد که با1, 168, 192 آغاز شود. شما مي توانيد آخرين شماره را آزادانه انتخاب کنيد، البته با يک محدوديت: اين شماره نبايد قبلا به آبجکتي در داخل شبکه اختصاص يافته باشد. بنابراين ،در مثال ما امکان استفاده از دو آدرسIP فوق الذکر يعني1, 1, 168, 192و 2, 168, 192 وجود نخواهد داشت.
آدرس IPداخل فيلدFrom در هنگام برقراري يک ارتباطVPN کامپيوتر دسک تاپ شما تخصيص خواهد يافت.
آدرسIP داخل فيلدTo نيز به لپ تاپ شما اختصاص مي يابد. حالا بر رويOK کليک نموده و تنظيماتي که انجام داده ايد را انتخاب Allow Access تائيد کنيد. ويندوز ويستا متعاقباً تنظيمات فايروال ويندوز را ويرايش خواهد کرد تا ارتباطات با درگاه1723 مجاز شناخته شوند. آيا مايل هستيد تغييرات بيشتري را در تنظيماتي که وارد کرده ايد اعمال نماييد، مي توانيد جعبه محاوره اي Settingsرا از طريق منويManage network cinnectionsدر Network and Sharing Center باز کنيد.
شکل(6): انتخاب آدرسهايIPو تاييد اجازه دسترسي به شبکه محلي
شکل(7): ايجاد ارتباط ورودي
Port Forwarding.DynDNS و راه اندازيRemote Object
همين وضعيت در مورد ارسال(Forwarding) پروتکلRCP/IP47 يعني (GRE(Generic Riute Encapsulation نيز صادق است.
بعضي از توليد کنندگان روتر، نقل وانتقال پروتکلGRE را تحت عنوان «PPTP Pass-Trough» يا«VPN Pass-Through» مي شناسند. براي آگاهي از جزييات خاص مرتبط با راه اندازيPort Forwardingو PPTP Pass-Through، به مستندات روتر خود مراجعه کنيد.
شکل(8): قواعد Forwarding براي PPTP
شکل(9): تنظيمات Pass-Throughبه آساني در منوي روتر آزمايشي ما قابل يافتن بود
يکبار ديگر، همين وضعيت در مورد راه اندازي يک آدرسDNS ديناميک نيز صادق است. همانطور که قبلا نيز اشاره کرديم، پشتيباني روتر شما از سرورهايDNS ديناميک برحسب توليد کننده آن متفاوت خواهد بود. براي آنکه از پيچيده و يا طولاني شدن بي دليل اين مقاله جلوگيري نموده باشيم، فرض خواهيم کرد که هر دو فرآيندPort Forwarding و PPTP Pass-Through و همچنين ثبت نام در يک تامين کننده سرويسهاي DNSبا موفقيت انجام شده اند.
شکل(10): انتخاب و دامنه تامين کننده هايDNS پشتيباني شده بر حسب توليد کننده روتر شما متغير خواهد بود.
راه اندازي VPN Dial-in بر روي لپ تاپ
ما در مثال خود نحوه راه اندازي کلاينت VPNتحت ويندوز7 را تشريح خواهيم کرد. بر روي لپ تاپي که ويندوز7 را بعنوان سيستم عامل اجرا مي کند،Network and Sharing Center را باز کرده و سپس گزينهSet up a connection or network را انتخاب نمائيد. از فهرست بعدي ،گزينه Connect to a workplace را انتخاب کرده و تنظيمات خود را با کليک بر روي Next تاييد نماييد.
اگر ارتباطات Dial-up از قبل قابل دسترسي هستند، پرسش بعدي را باNo پاسخ داده و سپس بر رويNextکليک نماييد تا به مرحله بعدي برويد. وقتي ويزارد راه اندازي از شما درباره نحوه برقراري ارتباط مورد نظرتان سوال کرد، گزينهUse the internet(VPN)connection را انتخاب نماييد. حالا از شما خواسته مي شود تا يک آدرس اينترنتي را وارد کنيد. نام ميزباني که در تامين کنندهDNS ثبت نام نموده و در روتر خود وارد کرده ايد را وارد نماييد. شما مي توانيد نام هدف را به دلخواه انتخاب کنيد. گزينهDo not connect now را فعال نماييد. در صورت تمايل، نام کاربري و کلمه عبور خود را در مرحله بعد وارد کنيد. اين نام کاربري و کلمه عبور بايد با داده هاي دسترسي حساب کاربري که جهت مقاصد ارتباطات VPN بر روي دسک تاپ خود به اشتراک گذاشته ايد، مطابقت داشته باشند. اين مرحله را با کليک بر رويCreateتاييد نموده و پنجره بعدي را ببنديد.
شکل(11): ويزاردset up a connoceion or networkقدم به قدم شما را راهنمايي خواهد کرد
شکل(12): ادامه فرايندراه اندازي ارتباط VPN
شکل(13): تنظيمات آدرس اينترنتي و نام مقصد
شکل(14): اطلاعات Log-inبر روي کامپيوتر دسک تاپ
برقراري يک ارتباط VPN
پس از برقراري ارتباط ،مي توانيد از مرورگر ويندوز براي دسترسي به فولدرهاي به اشتراک گذاشته شده بر روي کامپيوتر دسک تاپ خود استفاده کنيد. براي اين منظور، آدرسIP(\\1, 168, 192.x) را بعنوان مسير (UNC(universal naming convention در نوار آدرس وارد نماييد. اينکار تنها زماني ضرورت خواهد داشت که تجزيه نام(Name Resolution) بطور صحيح در شبکه ويندوز عمل نمي کند.
يک شيوه آراسته تر در مقايسه با وارد کردن آدرسIP بعنوان يک مسير UNS، ويرايش قابلImhosts.samبر روي کامپيوتر کلاينت VPN(لپ تاپ شما) است.
اين فايل تخصيص دستي نامهاي ميزبان و آدرسهاي IP را مديريت مي نمايد و مي توانيد آن را در فولدرC:\Windows\drivers\etc\System32 پيدا کنيد.
شما بايد آدرسIP که کامپيوتر دسک تاپ شما از آن براي ارتباطات VPN استفاده مي کند وسپس نام ويندوز کامپيوترتان(نظيرHome PC) را در اين فايل وارد نماييد. پس از اعمال تغييرات مورد نظرتان، فايل را ذخيره کنيد. حالا وقتي ارتباط VPN برقرار مي شود، مي توانيد با وارد کردنHome PC\\ بعنوان مسيرUNCدر مرورگر ويندوز، به کامپيوترتان دسترسي پيدا کنيد. اگر ابزارهاي ديگري در شبکه خانگي شما وجود دارند ،بايد فايل مذکور را مطابق با مشخصات آنها ويرايش نماييد.
شکل(15)
شکل(16)
شکل(17):شايد استفاده از آدرسIP بعنوان يک مسيرUNC چندان برازنده نباشد، اما عملي خواهد بود.
جمع بندي: راه اندازي سريع و آسان يک ارتباط VPN
تنها مشکل کوچکي که دراين مسير وجود دارد، محدود بودن ويندوز7 به تنها يک ارتباط VPNدر هر زمان معين است. اگر کاربران متعددي بخواهندبا استفاده از VPNويندوز به يک کامپيوتر دسترسي پيدا کنند، بايد اينکار را به نوبت انجام دهند براي برطرف نمودن اين محدوديت، شما بايد از يک محصول جايگزين نظيرOpen VPN استفاده کنيد.
برخلاف راه حل VPNارائه شده توسط ويندوز ،پيکربندي و راه اندازي Open VPN بسيار پيچيده تر بوده و دشواريهاي انجام آن احتمالاً بر مزاياي اين شيوه براي بسياري از کاربران غلبه خواهد نمود. اگر مقصود شما صرفاً تبادل داده ها با ساير کاربران است، مي توانيد بجاي اين شيوه از راه حلي نظيرTeamDriveاستفاده کنيد.
نصب يک سرورFTP بر روي يک کامپيوتر خانگي نيز دسترسي سريع و ساده به داده هاي اشتراکي(Shared) را تضمين مي کند، اما مشکل امنيت در اين وضعيت به قوت خود باقي خواهد ماند، زيرا پروتکلFTPتقريبا هيچگاه رمزگذاري نمي شود. مزيت ديگر ارتباط VPN اين است که شما مي توانيد از کامپيوتر کلاينت خود براي دسترسي به شبکه تان استفاده کنيد و اين وضعيت، دسترسي به ساير کامپيوترها و سرويسهاي شبکه را نيزدر اختيار شما قرار مي دهد .پيکر بندي روتر براي سرويسهاي اضافي نظير ارتباطات دسک تاپ از راه دور و يا يک ارتباط با VNC نيز ضروري نخواهد بود زيرا شما از قبل در داخل شبکه خودتان قرار گرفته ايد.
منبع:نشريه بزرگراه رايانه- ش133