Towli wrote:
> Men jeg har svært ved at finde en hel elemtær punkt for punkt beskrivelse
> af hvad det er der foregår
Det kan foregå på flere måder, derfor vil du også kunne få mange svar på
netop dette spørgsmål.
> Lad os sige jeg har en ISP der tilbyder VPN (for det er vel forudsætningen
> for at kunne lave en VPN forbindelse)
Nej, det er ikke forudsætningen.
Grundlæggende er VPN er netværk, som:
1) Er virtuelt, dvs. ikke et fysisk netværk af kabler, men et netværk af
enheder, som er forbundet via et fysisk netværk på en måde, så de enheder
kan kommunikere indbyrdes, men ikke via dette netværk kan kommunikere med
andre enheder.
2) Er privat, dvs. krypteret.
Hvis du f.eks. køber en ADSL forbindelse fra TDC, så vil standard
indstillingen være, at du har en IP nummerserie 192.168.1.x i dit hjem, og
en enkelt offentlig ip-adresse. De fleste ADSL brugere har denne opsætning.
Men hvis du laver det om, så du bruger 192.168.2.x i stedet, så kunne man
forestille sig, at dit hjemmenetværk blev forbundet med din nabos
hjemmenetværk via jeres ADSL forbindelser. Opsætningen kunne så være:
80.100.20.123: Din router's netforbindelse ud mod internettet
192.168.1.1: Din router's netforbindelse ind i hjemmet
192.168.1.32: Din PC
80.100.22.228: Naboens router's netforbindelse ud mod internettet
192.168.2.1: Naboens router's netforbindelse ind i hjemmet
192.168.2.32: Naboens PC
- I vil begge to på sædvanlig vis have internet adgang via jeres router.
- Ingen udefra vil kunne tilgå jeres private PC'ere, fordi routeren bruger
NAT, og 192.168.x.x adresserne er "ugyldige" adresser på internettet.
Routeren vil via VPN forbinde de to netværk, så man kan sende en ping fra
192.168.1.32 til 192.168.2.32. Pakkens vej ville være således:
- Din PC sender alle IP pakker, der ikke er til 192.168.1.x, til gateway'en,
som er 192.168.1.1 (din router).
- Din router genkender modtageradressen 192.168.2.32 som noget, der skal via
VPN'en over til din nabo. Pakken bliver derfor krypteret,
underskrevet/signeret og pakket ind, og sendt til naboen's ADSL router.
- Naboens ADSL router modtager den krypterede pakke. Den verificerer via den
digitale signatur, at den rent faktisk kommer fra din ADSL router, og at
den rent faktisk må opfattes som en VPN pakke. Derefter dekrypteres pakken
og læses. Routeren ser, at den skal leveres til 192.168.2.32, og gør så
det.
Pakkes vej tilbage er tilsvarende.
Der er mange måder at kryptere på, at authentificere, at pakken kommer det
rigtige sted fra, at route tingene osv. Det er ofte for kompliceret til
almindelige edb brugere, og derfor er der mange ISP'ere, der tilbyder at
sætte udstyret op, og konfigurere det rigtigt. Men hvis du har en helt
almindelig TDC forbindelse, kan du faktisk købe en Zyxel ZyWall 1 og køre
VPN, uden at fortælle TDC derom. Denne Zyxel router kan i øvrigt direkte
erstatte de fleste Speedstream 5711 routere, som TDC normalt sætter op.
Hvis du har en Linux maskine, kan du også via software få den til at køre
VPN. Der er mange standarder til VPN, men hvis du vil lave VPN mellem to
maskiner, der begge kører Linux, så kan ssh programmet faktisk også lave
lidt VPN. Det fungerer ganske seriøst godt, hvis man f.eks. lige vil have
vnc adgang til en maskine, X-Windows adgang eller lign. se efter "-L"
parameteren for ssh.
Hvis du har en helt almindelig router, f.eks. en Zyxel Prestige 310, kan du
også lave noget, der minder lidt om VPN. Du kan nemlig sætte to netværk
sammen bare ved at konfigurere routningen. Det vil så mangle både
kryptering og authentificering, og er dermed ikke en sikker løsning, men
det kan være lærerigt at prøve at sætte op, hvis man ikke lige har råd til
en VPN router.
Jeg håber, at du kan bruge det her til noget.
Hilsen,
Lars.
--
Dybdahl Engineering
http://dybdahl.dk/