Modelová situace: jste na místě, kde sice máte přístup k internetu, ale některé služby, stránky nebo porty jsou blokované. Nemůžete používat ICQ, Skype, nedostanete se na Facebook, nefunguje vám FTP protokol nebo nemůžete hrát internetové on-line hry. Přístup na normální webové stránky ale máte. Může nastat i situace, kdy jste třeba někde v kavárně nebo na dovolené s vlastním notebookem a máte strach, že přes nezabezpečené WiFi připojení budou odposlechnuty nějaké pro vás citlivé údaje, hesla nebo přihlašovací jména.
Tuto situaci jsem řešil a chci se s vámi podělit o mé zkušenosti.
Následující popis jsem se snažil napsat tak, aby byl pochopitelný téměř pro každého. Některé technické podrobnosti jsou zde proto možná mírně nepřesné a zjednodušené, ale jednoduše řečeno: tak nějak to funguje z pohledu laika.
Technické požadavky:
musíte mít někde počítač, který je připojený k internetu bez uvedených omezení. Typicky je to počítač umístěný doma. Dále musíte mít možnost na počítač na kterém jste omezováni ve svých internetových aktivitách (PC v práci, vlastní notebook v kavárně nebo hotelu) nainstalovat program OpenVPN pro vybudování privátní virtuální sítě. Na operačním systému počítačů nezáleží, protože OpenVPN je systém multiplatformní - bude fungovat jak na Windows tak i na Linuxu. Pokud jsou tyto technické podmínky splněny, můžete vytvořit virtuální privátní síť mezi blokovaným počítačem a domácím počítačem. Přenášená data jsou kvalitně šifrována. Veškerá komunikace mezi těmito počítači se tváří jako normální HTTP protokol, tedy jako by jste přistupovali na normální webové stránky. Vytvoří se takto jakýsi tunel do kterého vstupuje veškerá internetová komunikace, zašifruje se, pošle se na domácí počítač, kde se dešifruje a pustí dále do internetové sítě. Podobně v opačném směru se data z internetu na domácím PC přijmou, zašifrují a pošlou tímto tunelem na omezovaný počítač, kde se dešifrují a normálně zpracují. Tímto šifrovaným tunelem tedy prochází veškerá internetová komunikace a tváří se jako přístup k normálním webovým stránkám.
Případ, kdy na domácím počítači nemáte veřejnou IP adresu, ale jen často se měnící dynamickou IP adresu přidělovanou vaším poskytovatelem, budeme řešit až v dalších částech.
Pokud se pro takové řešení rozhodnete například ve vaší firmě, uvědomte si prosím, že je to také potenciální bezpečnostní díra do firemní sítě a že se to firemním správcům sítě určitě líbit nebude (pokud na to přijdou). Pokud toto řešení chcete použít jako zabezpečení vaší internetové komunikace na cestách, pak to asi žádné takové problémy nevyvolá.
Schéma spojení:
Pro jednoduchost budeme dále nazývat počítač s internetovým omezením, nebo váš cestovní notebook jako PC-HOTEL a váš ničím neomezovaný počítač doma jako PC-DOMA.
Komunikace z omezovaného PC s internetem tedy může v asi nejsložitějším případě vypadat takto:
normální komunikace:
PC-HOTEL -> ProxyServer-HOTEL -> INTERNET
(ProxyServer-HOTEL nedovolí použít jiný protokol než HTTP (HTTPS), tedy nemůžete třeba hrát oblíbenou on-line hru.)
komunikace přes šifrovaný tunel:
PC-HOTEL (začátek tunelu) -> ProxyServer-HOTEL -> INTERNET -> Router-DOMA -> PC-DOMA (konec tunelu) -> Router-DOMA -> INTERNET
(Pro všechny síťové prvky na cestě se komunikace tváří jako HTTP protokol a tedy nebude nijak omezena.)
- jak je zřejmé tak, pokud chcete bezpečně přistupovat k internetu, tak data z PC-HOTEL odcházejí už zašifrována a takto se dostanou až na PC-DOMA a dále pokračují již nešifrována do internetu a k cíli své cesty, jako by jste pracovali na svém domácím počítači.
- pokud třeba hrajete internetovou hru a potřebujete komunikovat po portech, které jsou zakázány, PC-HOTEL se spojí s PC-DOMA jako s webovým serverem. To určitě bude fungovat odkudkoli. Jakmile se spojení naváže vytvoří se šifrovaný tunel do kterého vstupují požadavky na spojení (na libovolném portu), tunelem se přenesou na PC-DOMA a dále už pokračují normálně dále do internetu. Data jsou tunelem přenášena bez toho aby mohla být na jakkoli omezována nebo kontrolována na své cestě.
Na internetu existuje spousta informací o řešení na Linuxu. Zde bude popis situace, kdy jsou oba počítače s OS Windows. V tomto konkrétním popisu Windows XP.
Jiří Hrbáček
1. Úvod - Potřebujete se dostat na blokovaný internet?
2. Vytvoření certifikátů OpenVPN ve Windows ...
3. Instalace OpenVPN jako zabezpečený tunel do internetu - client ...
4. Konfigurace OpenVPN serveru jako gateway do internetu ...
5. V poslední části dořešíme proxyservery, routery a dynamickou IP adresu ...