Глава III. Анализ и избор на VPN системи за решаване на задача

1. 
   задача
   

2. 
   Избор на устройства за решаване на задачата
   
   1. 
      Избор на VPN сървър
      

• 
  Ключовете дефинирани за VPN комуникация са поставени в самото устройство и до тях е много трудно да се стигне, отколкото при софтуерния. При него ключовете са вътре в компютъра.
  
• 
  Алгоритмите за криптиране хардуерно са имплементирани в самото устройство и поради това по правило са по-бързи от софтуерните.
  
• 
  VPN устройството често може да бъде имплементирано в рутер с което още повече се опростява имплементацията и се увеличава сигурността.
  

На нашия пазар при търсене на устройство т.е. рутер, който да поддържа VPN и WAN, намерихме следващите производители:

• 
  ASUS
  
• 
  D-LINK
  
• 
  NETGEAR
  
• 
  LINKSYS
  
• 
  TRUST
  

Такова устройство ще е достатъчно за по-горе споменатата мрежа и решаването на задачата, докато за големи мрежи, специфични условия и модуларност се препоръчва използването на CISCO оборудване. То се продава от фирми които извършват цялата инсталация. Мрежовото оборудване на CISCO не е използвано в този случай от причина, че цената е многократно по-висока, а за хора които искат да се запознаят с оборудването и научат повече относно конфигурирането на мрежите съществуват съответни академии.

От важните неща D-LINK DI-824VUP+ поддържа:

• 
  Switch 4 порта 10/100Mbps
  
• 
  LPT-USB print server
  
• 
  Cabel/DSL модем + Dial-up модем
  
• 
  Безжична мрежа (wireless LAN) – 802.11g
  
• 
  VPN pass-throught за PPTP, L2TP и IPSec
  
• 
  VPN сървър за PPTP, L2TP и IPSec
  
• 
  Автентикация: MD5 и SHA-1
  
• 
  Енкрипция: Null, DES, 3DES
  
• 
  Поддържа до 40 VPN тунела
  
• 
  Защитна стена (firewall)
  

2. 
   ИЗБОР НА VPN КЛИЕНТ
   

VPN клиент се поддържа от Windows 2000, Windows XP, Windows Vista и Windows 7. За по-стари Windows системи Microsoft има пуснато допълнителни програми, които позволяват създаването на VPN тунели. За използване на VPN в Windows 2000 трябва да имаме инсталирано Service Pack 2, докато при Windows XP поне Service Pack 1. Те ще работят и без тези пакети, но някои от нещата описани в работата може и да не работят.

Друга програма която използваме при тестирането е DrayTek Smart VPN Client (ver.3.6). Това е безплатна програма която позволява установяване VPN връзка с PPTP, L2TP, IPSec и L2TP/IPSec протоколи.

3. 
   Описване на задачата която решаваме
   

Компютър 1:

Операционна система : MS Windows XP Professional

IP адреса: 192.168.0.200

Име на хост: Toni

Компютър 2:

Операционна система : MS Windows 7

IP адреса: 192.168.0.113

Име на хост: Test1

Двата компютри са свързани в локална мрежа с TCP/IP протоколът със статични IP адреси. Маската на подмрежата (Subnet mask) e 255.255.255.0, а рутера-портата (gateway) e на адреса 192.168.0.1. Рутера е D-LINK DI-824VUP+ който се използва като VPN сървър, защитна стена и за свързване към Интернет. IP адреса който рутера ще получи от Интернет доставчика е динамичен

За по-лесното свързване на потребителите и от причини, че постоянно променящия се IP адрес няма как да се знае от потребителите, използваме услугата DDNS (Dynamic DNS) т.е. на променящото IP винаги ще съответства регистриран безплатен домейн като на пример: petrankab.homelinux.com

О

4. 
   Избрани протоколи за установяване на VPN система
   

• 
  PPTP
  
• 
  L2TP
  
• 
  IPSec
  

4. 
   
   
   1. 
      НАСТРОЙКИ НА РУТЕРА
      

1. 
   Таб (мени) Home
   

За връзка към Интернет може да се използва аналоговия вход от модем (PSTN), ISDN линия, кабелна връзка (чрез UTP кабел) и PPPoE за DSL връзка. Също така ако Интернет Доставчикът (ISP) поддържа задължително тунелиране, поддържа се и тази опция. За връзка към Интернет ще използваме DSL. Количеството на трансферираните данни за само поддръжка на връзката е малка и месечно е към 50МB.

Основни настройки за Интернет връзка

Под LAN опциите настройват се мрежовите настройки на локалната мрежа:

IP Adress: 192.168.0.1 (може да бъде и друга пр. 10.0.0.1)

Subnet Mask: 255.255.255.0 (D-LINK поддържа само адреси в формата 255.255.255.х)

Domain Name: VETATOY

В зависимост от нуждите в менюто DHCP е възможно да се настрои динамично разпределение на IP адресите, докато за тази работа използваме статични IP адреси.

2. 
   Таб (мени) Advanced
   

Пример за използването на командата ping и намирането на адресата на D-LINK-a:

От примера се вижда че текущия получен адрес на D-LINK-a e: 89.185.213.205

В случай на използване на статичен IP адрес за Интернет, не е нужно използването на DDNS, и е достатъчно използването на статичен адрес при установяването на VPN-a.

3. 
   Таб (мени) Tools
   

При опцията Misc трябва да се изключи Discard PING from WAN side за да може отвън (от Интернет) да се използва командата ping.

4. 
   Таб (мени) Status
   

В опцията Log се намира запис за опитите за проникване в локалната мрежа, но и запис на опити за установяване т.е. успешно установени VPN връзки.

2. 
   НАСТРОЙКИ НА VPN СЪРВЪРА
   

1. 
   Настройка на PPTP протоколът
   

• 
  включване на PPTP сървъра
  
• 
  под Virtual IP of PPTP Server да се запише 192.168.2.1*
  
• 
  под Authentication Protocol избран е MS-CHAP тъй като се свързваме с MS Windows клиентски компютър
  
• 
  включваме MPPE Encryption Mode – може да се използва само ако се използва MS-CHAP. Докато Microsoft при L2TP тунелирането за шифриране използва IPSec (съответно DES/3DES алгоритъм), при PPTP протокола за шифриране се използва MPPE (съответно RSA RC4 алгоритъм – може да бъде 40, 56 или 128 битов)
  

Tunnel Name и User Name са произволни също както и паролата. За пробиването на паролата бъде колкото се може по-трудно, предлага се използване на парола от минимум 8 елемента при което освен цифри и букви се използват и символи. Пример за добра парола: d5T$j!k1. Тези правила за генериране на пароли се предлагат за генериране на всички пароли които трябва да използваме, не само за PPTP протокола, а като цяло за всички.

2. 
   Настройка на L2TP протоколът
   

• 
  да се включи L2TP сървъра
  
• 
  под Virtual IP of L2TP Server да се запише: 10.0.0.1
  
• 
  под Authentication Protocol избира се CHAP
  

Tunnel name и User Name са произволни както и паролата (важи същото както и за PPTP протокола)

3. 
   Настройка на IPSec протоколът
   

Тъй като клиента се свързва с VPN чрез ADSL т.е. всеки път му е връчен различен IP адрес, трябва да се настрои динамичния VPN сървър Home → VPN → Dynamic VPN Settings.

Под Tunnel Name пишем test и това име се използва само при преглед на статуса на VPN връзката. Dynamic VPN трябва да се включи тъй като се използва. Local Subnet e 192.168.0.0, докато Local Netmask e 255.255.255.0. За потребите при тестирането Preshare Key e настроен на 123456 докато за използването в реален проект се предлага използването на трудни за запомняне пароли описани по-рано. PPTP и L2TP използват потребителско име и парола при проверка на автентичността, а IPSec не проверява автентичността на потребителското ниво, а на основата на компютъра и затова за проверка на автентичността въведен е xAUTH протокола. Този протокол не се поддържа от Microsoft и затова трябва да се изключи. Причината за това е спряната стандартизация на този протокол от страна на IETF, т.е. Някои сигурностни проблеми и слабата съвместимост на различните производители при използването на xAUTH протоколът. Вместо това Microsoft предлага използването на L2TP/IPSec протокола, т.е. За проверката на автентичността се грижи L2TP протоколът.

В допълнение към основните настройки, трябва да се настрои и Home → VPN → Select IKE Proposal и Home → VPN → Select IPSec Proposal. В тези две менюта избираме алгоритъма който ще се използва за размяна на ключовете и шифрирането. Настройките които тук се поставят трябва да бъдат същите и на страната на клиента в противен случай клиента и D-LINK-a няма да се договорят около алгоритъма за комуникация и следователно VPN връзката няма да се осъществи.

За IKE Proposal за комуникация могат да се изберат повече алгоритми, т.е. създадат повече предложения. Ако не успее най-високия в листата да създаде комуникация, ще се използва следващия на листата, и така подред до последния предложен.

Под DH Group избираме Group 2. DH group е съкращение от Diffie-Hellman group, a често се нарича и Oakley Group.

Diffie-Hellman Group	Modulus	Reference
Group 1	768bits	RFC2409
Group 2	1024bits	RFC2409
Group 5	1536bits	RFC3526
Group 14	2048bits	RFC3526
Group 15	3072bits	RFC3526
Group 16	4096bits	RFC3526
Group 18	8192bits	RFC3526

RFC2409 стандарт предлагаше използването на DH group 1 алгоритъма за употреба в IKEv1, но след като неговото шифриране не е толкова сигурно, стандартът предложи следващите промени:

Алгоритъм	RFC 2409	Предложени промени в RFC2409
DES за шифриране	Задължителен	Може(потенциално слаба защита)
Троен DES за шифриране	Препоръчан	Задължителен
AES-128 за шифриране	N/A	Желателен
MD5 за hashing и HMAC	Задължителен	Може(потенциално слаба защита)
SHA1 за hashing и HMAC	Задължителен	Задължителен
RSA с подписи DSA с подписи RSA с подписи	Желателен Желателен Желателен	Желателен Може(недостига имплементация) Може(недостига имплементация)
D-H Group 1 (768) D-H Group 2 (1024) D-H Group 14 (2048) D-H elliptic curves	Задължителен Желателен N/A Желателен	Може (потенциално слаба защита) Задължителен Желателен Може (недостига имплементация)

Под Encrypt algorithm е необходимо да се избере 3DES (самия DES алгоритъм не е достатъчно сигурен). За Auth algorithm е избран SHA1. MD5 вече не е сигурен, а и SHA1 има опасения че е пробит. Но за това са нужни много мощни процесори, така че от малки потребители не трябва да се притесняваме. В бъдеще трябва да очакваме и този алгоритъм да бъде заменен с някой друг.

Life Time трябва да се настрои на 28800 sec. Ако една от страните предложи по-малък Life Time тогава този Life Time ще бъде приет. Life Time означава колко е продължителността на VPN тунела и най-често е 28800 секунди (= 8 часа).

Опциите под IPSec Proposal са много подобни на опциите под IKE proposal, и използват се настройките:

• 
  DH Group: None
  
• 
  Encap protocol: ESP (Избран е ESP, а не AH от причини че ESP e по-силен алгоритъм който позволява и шифриране на данните, т.е. трета страна не може да чете изпратените съобщения, ако не е упълномощен т.е. няма ключ)
  
• 
  Encrypt algorithm: 3DES
  
• 
  Auth algorithm: MD5
  
• 
  Life Time: 28800 sec
  

По-горната процедура на настройване на IPSec е описана за динамичен тунел. За нуждите при тестирането е настроен статичен IPSec тунел. Статичният IPSec тунел е предназначен за решенията server-to-server, и не се използва за client-to-server решения. За установяване на client-to-server решения нужно е след като клиента получи IP адреса, да използва Remote Management за D-LINK т.е. в опциите Remote Subnet да се запише IP адресът на клиента.

4. 
   Проверка на статуса на IPSec връзката
   

2. 
   НАСТРОЙКА НА КЛИЕНТЪТ И ТЕСТИРАНЕ НА ВРЪЗКАТА И РАЗЛИЧНИТЕ ПРОТОКОЛИ
   

Microsoft в Windows XP и Windows 7 имплементира поддръжка за PPTP протокола. Поддръжка за PPTP имат всички Windows OS освен Windows 95 и по-стари.

Начинът на установяване на PPTP връзка в Windows:

Стартира се New Connection Wizard. Избира се Connect to my network at my workplace → Next → Virtual Private Network connection → Записва се името на конекцията → адресът vetatoy2010...... (адресът каде се намира VPN) → Съсдаване на shortcut → Finish. След стартиране на създадената връзка трябва да се впише User name: test, и паролата. Също трябва да се избере Properties → Security → Advanced → Settings. Тук трябва да се избере Required encryption т.е. да се избере само Microsoft CHAP както е настроено на D-LINK-a. Ако не се настроят същите протоколи на D-LINK-a и при клиента, няма да успее фазата на договаряне (negotiation) и връзката ще се прекъсне.

В менюто Networking може да се избере дали да се иска да се използва Автоматично, PPTP или L2TP/IPSec протокол за създаване на VPN тунел. Ако се избере Автоматично Windows първо ще пробват да създадът L2TP/IPSec връзка, а когато не успее ще пробва да създаде PPTP връзка.

След като е установена PPTP връзка, ще можем нормално да използваме My Network Places како физически да сме свързвани в локалната мрежа. Може да се види че чрез ADSL връзка сме свързани и с PPTP протокола, т.е. връчен ни е локален адрес 192.168.2.2, докато виртуалния адрес на сървъра е 192.168.2.1.

За проверка дали PPTP връзката е осъществена успешно е използвана командата ping 192.168.0.200. Резултатът е следния:

C:\Documents and Settings>ping 192.168.0.200

Pinging 192.168.0.200 with 32 bytes of data:

Replay from 192.168.0.200: bytes=32 time=263ms TTL=128

Replay from 192.168.0.200: bytes=32 time=254ms TTL=128

Replay from 192.168.0.200: bytes=32 time=261ms TTL=128

Replay from 192.168.0.200: bytes=32 time=248ms TTL=128

Ping statistics for 192.168.0.200:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 248ms, Maximum = 263ms, Average = 256ms

След свързване на Интернет имаме следната рутерска таблица (команда route print):

Също така за тестиране на работата на мрежа е използвана програма Lantern Manager. За използване на тази програма инсталиран е сървърски (Lantern Manager) и клиентски (Lanter Agent) софтуер на клиентския VPN компютър. Програмата позволява изписване на информация за компютрите в локалната мрежа, начина на тяхното свързване, а има и програма VNC която служи за дистанционно управление с компютъра. Lantern Manager намери виртуалната локална мрежа и за него не съществува физическа отдалеченост на компютрите.

След като D-LINK рутера не поддържа L2TP/IPSec връзка тук ще бъде описана само създаването на L2TP връзката. За да се използва само L2TP връзката нужно е да се забрани автоматичното използване на IPSec. Ако се иска да се изключи IPSec трябва в Windows регистрите, стойността на ключа HKLM\System\CurrentControlSet\Services\Rasman\Parameters\ProhibitIpSec да се промени в 1.

Начина на свързване е същият като и при PPTP протоколът. Единствено разликата е, че е настроен виртуалния адрес на клиента да е в домена 10.0.0.0/255.255.255.0. След свързването на L2TP протоколът за потребителите няма видими разлики между него и PPTP протоколът.

4.3.2.1. Разлики между PPTP и L2TP

L2TP минава чрез UDP протокола, докато PPTP използва TCP протокол. Заради това L2TP e по-бърз, по-малко заемат пакетите, но също така е и по-малко сигурен, щото изгубените пакети няма да се изпращат отново. PPTP за разлика от L2TP отделно изпраща контролните информации и данните – първите чрез TCP, a другите чрез GRE (малко известен Интернет стандарт). Заради комбиниране на контролните информации и данните заедно, L2TP е всъщност по-добър протокол гледано от страна на firewall устройствата, щото част от защитните стени не поддържат GRE.

L2TP най-често идва в комбинация с IPSec протокола. Ако пак устройството не поддържа тази комбинация, най-добре е да се използва PPTP.

4.3.2.2. Тестиране на големината на пакетите пакетирани с PPTP и L2TP

За да видим разликата в големината на трафика който предизвикват PPTP и L2TP протоколите на клиентската страна използваме същия файл. Файла е в бинарен формат и е 421.888 байта. Резултатите от тестирането за трансфер на файла от компютъра Toni на потребителския компютър са дадени в таблицата:

От таблицата се вижда че количеството на данните получени чрез Интернет са приблизително подобни, но все пак при L2TP те са по-малко. Доколко сравним общото количество на предадени данни (изпращане + приемане) при PPTP, това е: 566.666 байта, докато при L2TP e: 542.161 байта. Това е все пак разлика от 4%. Тези резултати трябва да се вземат само като приблизителни резултати, за точни резултати би трябвало да увеличим тестовия файл, за да (колкото се може) намалим влиянието на трафика на локалната мрежа.

По време на тестирането няма изгубени UDP пакети, и използването на UDP пакети е препоръчително за мрежи където взаимната връзка е релативно добра т.е. няма нужда от повторно изпращане на пакети.

4.3.3. IPSec клиент

Microsoft поддържа предварително договорен споделен ключ (pre-shared key) за IKE в случая на използването на L2TP/IPSec server-to-server имплементацията. Използването на предварително договорен споделен ключ за client-to-server не е поддържан. Възможно е използването с помощта на програми или с ръчно настройване в Local Security Policy.

В Windows OS в Local Security Policy с настройките на правата и локалните сигурностни правила е възможно да се определят настройките на сигурността свързани с IP трафика.

Local Security Policy може да се стартира по следния начин: Control Panel → Administrative Tools → Local Security Policy. IPSec и свързаните с него услуги, в Windows OS Microsoft ги имплементира в сътрудничество с Cisco System, докато L2TP Microsoft имплементира сам.

Microsoft Windows използва свой сервис за IPSec политика (IPSec policy). Когато някой от IPSec профилите примени (Apply), IPSec използва пакет филтри (packet filters) за да реши кой трафик трябва да осигури, кой да пропусне, и кой да блокира. Когато се осигурява трафика, за договор за настройките за сигурност и размяна на ключовете се използва IKE. По IETF стандарт (RFC 2409) за използване IKE в IPSec могат да се използват следните три алгоритъма за проверка на автентичността: Kerberos v5.0, Certifikati или предварително договорен ключ.

Microsoft предлага използването на IPSec тунела само когато имаме server-to-server VPN система, който не поддържа L2TP/IPSec, или когато имаме client-to-server система със статични IP адреси. По тях използването на IPSec не е възможно при VPN клиенти, които използват динамична IP адреса. Все пак, това не е цялостно точно, защото e възможна промяна на IP адресата на клиента в Local Security Policy ръчно, а е възможно и създаването на IPSec връзка. За да се избегне тази процедура, която изисква много кликвания и настройки, може да се използва клиент како Smart VPN Client, който всичко това сам настройва.

Тъй като за L2TP е написан стандарт (RFC 2661), неговата употреба е разширена, но за осигуряване L2TP трафика с помощта на IPSec все още не е написан RFC стандарт.

IETF (Internet Engineering Task Force) организация работи върху това. Съответно, популяризацията и по-добрата съвместимост на L2TP/IPSec стандарта се очаква след стандартизацията.

IKE договор се състои от две фази:

Първа фаза (Phase 1) – Грижи се за сигурна проверка на автентичността. След като и двете страни извършат проверката на автентичността, се създава така наречения IKE SA (IKE Security Associations). Неговото стандартно времетраене е 8 часа.

Друга фаза (Phase 2) – В нея се договаря кой от ESP или AH протоколите ще се използва. За да може да започне втората фаза първо трябва успешно да завърши първата фаза. Пример за втора фаза: Потребителят да предложи че може да комуникира чрез ESP с 3DES и чрез AH с SHA-1. Сървърът отговаря, че той иска да използва само ESP с 3DES. След това те установяват сигурен канал защитен с ESP и използването на 3DES.

4.3.3.1. Използване на IP Security policy Management

За създаване на нова политика за IPSec, е нужно в Local Security Policy, с десен клик върху мишката да се избере IP Security Policies on Local Computer и да се избере Create IP Security Policy.

Стъпка 1. На следващото меню избираме Next -> под име пишем: IPSec Policy – VPN to DI-824VUP+ -> Next -> изключваме Activate the default response rule -> Next -> оставяме включено Edit properties -> Finish

Стъпка 2: В IPSec policy properties означаваме Use Add Wizard и кликваме на Add...

• 
  В IP filter list кликваме на Add ... Под Name пишем WinXP to DI-824VUP+ и кликваме Add... Под Source address избираме My IP Address. Под Destination Address избираме Specified IP Subnet и пишем 192.168.0.1 за IP adress и 255.255.255.0 за Subnet Mask. Кликваме OK, така че да се отиде в прозореца за избор на IP Filter List.
  
• 
  Отново в IP filter list кликваме на Add... Под Name пишем DI-824VUP+ to WinXP и кликваме Add. Под Source address избираме Specified IP Subnet и пишем 192.168.0.1 за IP Address и 255.255.255.0 за Subnet Mask. Под Destination Address избираме Мy IP Address. Кликваме ОК да се дойде в IP Filter List.
  

Стъпка 3: В IP Filter List означаваме WinXP to DI-824VUP+ и избираме меню Filter Action, след това Require Security и Edit... Избираме Negotiate Security (в списъка на протоколи би трябвало да се намира протокол настроен на D-LINL: 3DES с SHA-1) и означаванме Accept unsecured communication but always respond using IPSec, и кликваме ОК. Избираме Authentication Methods и кликваме Edit.. Избираме Use this string (preshared key) и вписваме ключа 123456. (За сигурна употреба се предлага използването на по-качествен ключ за разлика на описаното тук в примера или пак използване на сертификат). Избираме OK. Избираме Tunnel Settings и избираме The tunnel endpoint is specified by this IP adress. Тук е нужно да се запише IP адреса от VPN сървъра. От Connection type избираме All network connections и след това Apply и OK.

Стъпка 4. В IPSec policy properties изключваме Use Add Wizard и кликваме на Add.. В IP Filter list маркираме DI-824VUP+ to WinXP и избираме меню Filter Action, па Require Security. След това избираме Authentication Methods и кликваме Edit... Избираме Use this string (preshared key) и записваме ключа 123456. Избираме ОК. Избираме Tunnel Settings и избираме The tunnel endpoint is specified by this IP address. Тук е потребно да се впише IP адреса от VPN клиента. От Connection type избираме All network connections и след това избираме Apply и ОК. След това затваряме прозореца IPSec Policy Properties.

С десния клик върху IPSec Policy – VPN to DI-824VUP+ и избирането на Assign новодефинираната IPSec политика става активна. Това може да се види и по зеления знак + на иконката от IPSec политиката която сме избрали. За установяване на IPSec връзката трябва да се изпрати някакво запитване (пр. Ping) на D-LINK-a. По-подробно е описано по нататък.

DryTek Smart VPN Client е програма която в по-голямата си част от преди това написаните настройки, се извършват автоматично.

Под VPN Server IP/HOST Name се пише DDNS Host Name настроен в D-LINK-a: vetatoy2010.dyndns.org. Избираме име на профила, маркираме IPSec Tunnel и избираме Use default gateway on remote network и кликваме на ОК. Отваря се прозорец IPSec Policy Settings. В него под My IP се намира IP адреса на VPN клиента когато е свързан към Интернет. Под Standard IPSec Tunnel трябва да се напише 192.168.0.0 за Remote Subnet и 255.255.255.0 за Remote Subnet Mask. Под SecurityMethod трябва да бъде маркирано High(ESP) и 3DES with MD5 както е настроено и в D-LINK-a. В раздел Pre-shared Key трябва да се запише 123456. Кликваме ОК за край, и Active за създаването на връзката.

След като се прилагат правила за IPSec тунела в Smart VPN Client ще се включи зелена светлина дясно от етикета VPN, в долния десен дял на прозореца на Smart VPN Client. С това IPSec връзката все още не е установена. За да се установи връзката е нужно да се изпрати някаква заявка към VPN сървъра. Това ще се извърши с командата ping:

C:\Document and Settings>ping 192.168.0.1

Pinging 192.168.0.1 with 32 bytes of data:

Negotiating IP Security.

Negotiating IP Security.

Reply from 192.168.0.1: bytes=32 time=251ms TTL=64

Reply from 192.168.0.1: bytes=32 time=264ms TTL=64

Ping statistics for 192.168.0.1:

Packets: Sent=4, Received = 2, Lost = 2 (50% loss),

Approximate round trip times in milli-seconds:

Minimum = 251ms, Maximum = 264ms, Averege=257ms

Може да се види че при първия и втория опит за изпращане на ping пакетите се случва договаряне между страните (Negotiating IP Security) на VPN клиента и сървъра. На третия опит връзката е установена (Reply from 192.168.0.1:...).

Използването на FTP сървъра на компютъра TONI работи без проблеми. Единствено което не работи е използването на името на компютъра във вида \\Toni както и Microsoft Network. Причината за това е че протокола NetBIOS, който използват Windows OS за комуникация в локалната мрежа работи на 2. мрежен слой както и IPSec протокола.

Едно от решенията за този проблем е имплементацията на NetBIOS broadcasta което е извършено при D-LINK-a, Правилно този проблем може да се реши и с включването на MS domain контролера. Също така включване и на WINS сървъра (неговата роля в локалната мрежа е както и ролята на DNS-a на Интернет) би трябвало да помогне. Ако в локалната мрежа се използват фиксирани IP адреси в Windows OS може да се направи LMHOSTS таблица в която ще се намира списък на всички компютри от локалната мрежа.

Що се отнася на останалите сервиси те са тестирани, и работят както и при PPTP и L2TP връзките, без никакви проблеми.

Програмата Lantern Manager успява да намери свързаните компютри в мрежата чрез техните IP адреси, но не вижда клиентския VPN компютър в тази мрежа щото то като своя виртуална адреса в локалната мрежа всъщност използва IP адресата която е получил при свързването на Интернет.

За тестиране на IPSec връзката използван е и VNC, който идва заедно с програмата Latern, и работи без проблем и много бързо. На снимката 4.21 може да се види че на клиента е активиран VNC от работната повърхност на компютъра Toni, и че на компютъра Toni, чрез VNC, активна командата ping, която изпращаше ping заявки на виртуалната IP адреса от клиента в локалната мрежа. Всичко това работи без грешка.

Разлики преди и след създаването на IPSec връзката, що се отнася на командата route print, няма щото IPSec не се меша в рутинг таблицата.

2. 
   Най-чести проблеми и полезни команди
   

Ако при някои от резултатите пише FAILED, това означава, че може да предизвиква грешката.

За да проверим дали дадена услуга за Browsing сървър е пусната в Windows:

Стъпка 1 Избираме Start - Control Panel - Performance and Maintenance

- Administrative Tools - Services.

C: \ Documents и настройки> ipconfig

Windows IP Configuration

Ethernet adapter Local Area Connection 3:

Connection-specific DNS Suffix . : vetatoy

IP Address. . . . . . . . . . . . : 192.168.0.182

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 192.168.0.1

C:\Documents and Settings>ipconfig /all

NET командата има много варианти, от които най-интересните за тази работа, са view и use. Командата net view ще ни покаже всички компютри които се виждат на

Тези две команди са обяснени по-горе.

Windows Internet Name Service (WINS) е изпълнение на Microsoft на NetBIOS Name Service (NBNS), сървър за имена и сервис на компютърни имена NetBIOS. Освен Microsoft решение за WINS сървър може да се използва Samba на операционната система Linux.