Geen gesleep meer met usbsticks, cd's of dvd's: het is veel handiger om vanaf een andere ocatie toegang te hebben tot uw bestanden die thuis op uw eigen computer staan. Daarmee vergeet u nooit meer een documentje mee te nemen. Hoe u dat voor elkaar krijgt? Door gebruik te maken van een vpn: een virtual private network. VPN OPZETTEN U hebt twee dingen nodig voor het opzetten van een vpn: een client die draait op de pc die u gebruikt om toegang te krijgen tot het externe netwerk én een vpn-server p het externe netwerk die zorgt voor een beveiligde verbinding. Hoe komt u nu aan beide zowel Windows 2000 Professional als Windows XP, maar de server is wat lastiger. Sommige routers hebben een ingebouwde vpn-server en bij Windows 2000 en Windows Server 2003 wordt er vpn-software meegeleverd. Gebruikt u thuis Windows XP, dan is er echter een derde optie. U kunt uw desktop-pc namelijk instellen om zich te gedragen als vpn-server. Een oplossing die goedkoop – meestal gratis – en redelijk eenvoudig is in te stellen. BENODIGDHEDEN Voor de thuisgebruiker vormt Windows XP een goede oplossing, omdat u deze standaard als vpn-server kunt configureren. Er zijn echter wel een paar beperkingen. Het werkt alleen met Windows XP Professional en er wordt slechts één gebruiker tegelijk ondersteund. U hebt voor het gebruik van vpn een permanente internetverbinding met een publiek ip-adres nodig, zodat de vpnclients de server kunnen vinden. Een adslof kabelverbinding is daarom noodzakelijk en een vast publiek ip-adres erg handig. Dit kan, afhankelijk van uw internetprovider, wel extra geld kosten. Het gebruik van een dynamische dns-service vormt een alternatief, maar dat maakt de configuratie wel ingewikkelder. Verder is het handig om een tweede netwerkkaart in uw pc te bouwen, als u naast de vpn-server ook externe toegang wilt tot andere computers binnen uw netwerk. Eén kaart kan dan gebruikt worden voor de internettoegang, terwijl u de andere verbindt met uw netwerk. Hoewel dit niet noodzakelijk is, is het voor de veiligheid van uw systeem wel nuttig. Een internetrouter met nat (network address translation), waarbij uw lan-adressen zijn verborgen voor de buitenwereld, vereist extra aandacht. Zorg ervoor dat het publieke ip-adres dat is gekoppeld aan het internet (en dat tevens het adres is dat door de vpn-clients gebruikt wordt) door de router wordt vertaald naar het nat-adres van de XP-server op het lokale netwerk. Een eventuele firewall moet ingesteld worden om vpn-verkeer door te laten (zie verderop in dit artikel); daarbij moet u vooral letten op de vpn-doorvoermogelijkheden. VPN-SERVER OPZETTEN Het opzetten van een vpn-server is in XP niet moeilijk voor elkaar te krijgen. Ga in het Configuratiescherm naar Netwerkverbindingen en kies de Wizard Nieuwe erbinding. De wizard wordt nu opgestart. Wanneer er wordt gevraagd naar het type netwerkverbinding, kies dan voor Een geavanceerde verbinding instellen (zie fbeelding 1). Kies in het volgende scherm voor Binnenkomende verbindingen accepteren, waarna er een lijst met beschikbare verbindingsapparaten wordt getoond. Die kunt u negeren omdat ze niet van toepassing zijn op een vpn-server. Druk gewoon op Volgende en kies ervoor om virtuele articuliere verbindingen toe te staan. Vervolgens wordt er gevraagd welke gebruikers de verbinding mogen gebruiken. U hebt in ieder geval één gebruikersaccount binnen XP, maar u hebt bij deze account misschien geen wachtwoord ingesteld. Dat is vanwege veiligheidsoverwegingen wel noodzakelijk. U kunt er ook voor kiezen om alleen gebruikersaccounts met beperkte rechten toegang te geven tot de vpn-verbinding (zie afbeelding 2). Wanneer u verdergaat verschijnt het venster Netwerksoftware waarin u de protocollen en voorzieningen voor inkomende verbindingen kunt instellen. De tcp/ip-instellingen moeten worden aangepast door er op te dubbelklikken (zie afbeelding 3). Wilt u niet dat er externe toegang is tot andere bronnen dan het vpn, zorg er dan voor dat er geen vinkje staat bij Bellers toegang tot het LAN geven. Zet hier wel een vinkje als u wilt dat andere bronnen binnen uw netwerk bereikbaar zijn. Daarnaast kunt u instellen op welke manier ipadressen bij een verbinding aan de clients worden toegewezen. De eerste manier is het gebruik van dhcp (hiervoor hebt u in uw netwerk een dhcp-server nodig), maar het invullen van een vaste adressenreeks werkt net zo gemakkelijk. Omdat Windows XP maar één vpn-verbinding tegelijkertijd ondersteunt, hebt u toch maar een paar adressen nodig. De adressen die u instelt moeten in een subnet vallen dat toegang heeft tot het netwerk dat u wilt gebruiken. Wilt u een vpn-verbinding naar een pc op een ander netwerk maken, dan moet u verschillende subnets gebruiken omdat anders geen van de bronnen uit het andere netwerk toegankelijk zijn. Dit komt doordat de clients bij gelijke subnets niet weten of ze een pakketje moeten versturen via het lokale netwerk of de vpn-verbinding. Nadat u de wizard hebt voltooid, staat r een icoon voor Binnenkomende verbindingen in het mapje Netwerkverbindingen. U kunt de instellingen van deze verbinding later wijzigen door er met de rechtermuisknop op te klikken en te kiezen voor Eigenschappen. INTSTELLEN VAN DE CLIENT Uw nieuwe vpn-server draait op de achtergrond in afwachting van clients die proberen een verbinding te maken. Dit kunnen clients met pptp (Point to Point Tunneling Protocol) of l2tp (Layer 2 Tunneling Protocol) met IPSec (Internet Protocol Security) beveiliging zijn. Een client met pptp is van deze twee het makkelijkste te configureren en te onderhouden en is, hoewel er over de veiligheid gediscussieerd kan worden, waarschijnlijk de este keus voor thuisgebruikers die af en toe een verbinding willen maken. Er is voor beide protocollen ondersteuning in Windows 2000 Professional en XP. Ook de 1. De makkelijkste manier om een vpn-server in Windows XP Professional op te zetten is via de Wizard Nieuwe verbinding. -server 2. Het is een goed idee om wachtwoorden aan e gebruikersaccounts toe te voegen en de rechten van de gebruikers te beperken. 3. Gebruik voor de vpnclients een reeks ipadressen ie op hetzelfde subnet zitten als het netwerk waar ze toegang tot moeten krijgen client wordt geconfigureerd via de Wizard Nieuwe Verbinding. Kies als type verbinding voor Verbinding met het netwerk op ijn werk maken, en kies vervolgens voor Vpn-verbinding. Hierna kunt u de verbinding een naam geven, en indien nodig de inbelverbinding specificeren wanneer u een modem gebruikt om in te bellen naar het internet. Daarna moet u de naam van de vpn-server (wanneer deze toegankelijk is via een dns) of een ip-adres invullen. Ten slotte geeft u aan of de verbinding toegankelijk is voor alle gebruikers. Het standaard tunneling protocol is pptp, dus er zijn verder geen wijzigingen nodig. Kies ervoor om een snelkoppeling op het bureaublad te maken en dubbelklik op dat icoon om een verbinding te maken (afbeelding 4). Er wordt gevraagd om een geschikte gebruikersnaam en wachtwoord waarna er een aantal voortgangsmeldingen verschijnen (waaronder die van de inbelverbinding als u die gebruikt). Ten slotte verschijnt er, als alles goed is gegaan, een bericht dat er verbinding is. TOEGANG TOT BRONNEN De volgende stap is wat lastiger. Want hoewel u verbonden bent met de vpnserver, verschijnt die niet bij Mijn Netwerklocaties of in de Windows Verkenner wanneer u uw netwerk verkent. Ook zult u geen andere bronnen op het externe netwerk zien, omdat de Netbios-informatie waarmee ip-adressen gekoppeld worden aan netwerknamen, niet overgebracht wordt over de vpn-tunnel. U kunt dit oplossen door lokale en externe wins en dns-servers op te zetten, maar dit brengt voor alleen thuisgebruik te veel extra werk met zich mee. Gebruik daarom ip-adressen in plaats van netwerknamen om toegang tot de bronnen te krijgen. U kunt een externe server bijvoorbeeld vinden door hem te zoeken via het ip-adres en vervolgens een snelkoppeling op het bureaublad te maken, zodat u hem later makkelijk kunt terugvinden. Door ipadressen te gebruiken kunt u ook gedeelde mappen koppelen aan een schijfletter. Staat de gedeelde map bijvoorbeeld op een server met 192.168.1.99 als adres, dan kunt u een schijfletter toekennen aan \192.168.1.99\mapnaam. Dit kunt u doen vanuit de opdrachtprompt (door het net use commando te gebruiken), maar het kan ook grafisch door rechts te klikken op Deze Computer en te kiezen voor Netwerkverbinding maken (afbeelding 5). Eventuele printers kunt u op dezelfde manier vinden, maar onthoud dat u het externe netwerk via het internet benadert. De bandbreedte is daarom, afhankelijk van het type verbinding, waarschijnlijk beperkt, zodat niet alles even snel gaat als bij lokaal gebruik. Het is bijvoorbeeld beter om programma's lokaal uit te voeren en om grote bestanden eerst naar een lokale harde schijf te kopiëren voordat u ze bewerkt. U moet ze dan wel terugkopiëren als u iets hebt veranderd, maar deze manier werkt efficiënter en voorkomt verlies als de vpn-verbinding bijvoorbeeld wegvalt terwijl u een bestand bewerkt. En zelfs als de externe server een adslverbinding heeft van 2 megabit, is uw downloadsnelheid gelimiteerd vanwege de doorgaans veel lagere uploadsnelheid van de verbinding. FIREWALL De beveiliging van uw vpn-server is een belangrijk punt van aandacht. Om het geheel te laten werken moet u de hostcomputer via een publiek ip-adres met internet verbinden. Een Windows 2000/2003 vpn-server blokkeert automatisch al het overige verkeer, maar een XPserver doet dit niet. Het is daarom verstandig om gebruik te maken van een firewall. U kunt hiervoor zowel een externe als de in Windows XP ingebouwde firewall gebruiken. Wel moet u in allebei de gevallen de firewall instellen om vpn-verkeer door te laten. Bij een externe firewall moet u tcp-poort 1723 in beide richtingen openzetten om pptp verkeer door te laten. Let er ook op dat gre-pakketjes (generic route encapsulation) zijn toegestaan. Bij sommige firewalls moet u gre afzonderlijk instellen (het wordt ook wel protocol 47 genoemd), maar meestal wordt het automatisch toegestaan als u poort 1723 openzet. De XP firewall moet worden geactiveerd op de netwerkadapter die wordt gebruikt voor de internetverbinding. Deze heeft speciale opties om vpn toe te staan, waarbij u bij de instellingen kunt kiezen voor pptp- en/of l2tp-toegang. Maakt u ook gebruik van Windows icssoftware (internet connection sharing), dan moet u de firewallinstellingen voor vpn-verkeer mogelijk aanpassen. De pptppakketjes worden namelijk standaard verstuurd naar de computer die de internetverbinding deelt, wat misschien niet de bedoeling is. Wanneer u een andere pc gebruikt voor vpn dan de ics-host, stel dan de naam of het adres van de vpn-server in bij de firewall-service die Binnenkomende VPN-verbinding (pptp) heet. PCM CONCLUSIE Met vpn zet u veilig een verbinding op tussen uw pc en een ander netwerk, bijvoorbeeld tussen de pc op uw werk en de pc('s) thuis. Windows XP Professional is voor thuisgebruikers ideaal, omdat u deze standaard als vpn-server kunt configureren. Houd echter wel rekening met een aantal beperkingen en het noodzakelijke 'materiaal' (denk bijvoorbeeld aan de tweede netwerkkaart). Meer weten? In PCM december 2003 leest u een test van verschillende (betaalde) vpn-oplossingen.