För vår VPN valde vi att använda en dirigerad installation av tre skäl. För det första var det enklare att konfigurera på de maskiner vi planerade att konfigurera VPN. För det andra använder vi inte så mycket Windows-resurser, men vi har redan en WINS-server i vårt nätverk (baserad på Samba). För det tredje använder vi OSPF (Open Shortest Path First) routing inom vårt nätverk, eftersom vi har flera utgående routrar, och som sådana kan vi få vår VPN-ändpunktsmaskin att publicera en rutt till VPN, som kommer att hämtas av de andra maskinerna och enheter i vårt nätverk. OSPF-routing är förmodligen det bästa alternativet för routingprotokoll om du har flera redundanta rutter ut från ditt nätverk, eftersom det är lättare att konfigurera än protokoll som BGP och mer tillförlitligt än protokoll som RIP.
Så efter att ha bestämt oss för vår inställning och efter att ha installerat programvaran satte vi oss ner med en sida från webbplatsen och konfigurerade vår server. Installationen som beskrivs på webbplatsen, som bygger på att skapa publika nycklar för nätverksanslutningar, är ganska involverad men tar bara cirka tio minuter. Efter att ha ställt in servern letade vi sedan efter att konfigurera vår första klient, som var en Mac. För att få in programvaran på maskinen installerade vi Tunnelblick (www.tunnelblick.net), som ger en trevlig liten menywidget för åtkomst till VPN och ett lättanvänt gränssnitt för att se vad som händer. Det kräver fortfarande att du skriver en konfigurationsfil, men vi använde den som följde med OpenVPN och behövde bara ändra en rad (fjärrlinjen som berättade för vår klient var VPN-servern var, vilket inte var så förvånande!) Kl. den punkten valde vi ”anslut” från menyn och VPN var igång, men vi kunde inte komma åt någonting. Vi insåg då att vi inte hade aktiverat routing ordentligt på klienten, så vi var tvungna att lägga till några ”push route”-kommandon till en serverkonfiguration och aktivera routing på servern. All denna information finns på hemsidan om du har samma problem.
Efter att ha konfigurerat en klient var det enkelt att konfigurera fler, och snart hade vi ett antal personer som använde våra VPN. En särskilt användbar funktion är att du kan konfigurera flera OpenVPN-servrar i ditt nätverk och sedan hänvisa till dem med flera ”fjärrlinjer” i klientkonfigurationsfilerna – klienten kommer då att belasta balansen mellan dessa flera servrar, vilket ger motståndskraft och tillförlitlighet. Uppenbarligen måste alla dessa servrar ha identiska konfigurationer. På webbplatsen kan du också hitta några användbara artiklar, inklusive en om att ställa in Windows-installationsprogram, som kan ges till din personal för att de ska få tillgång till VPN.
OpenVPN gjorde det möjligt för oss att få ett VPN för fjärranvändare igång mycket snabbt. Det är dock en krånglig lösning och är ganska svår att konfigurera om du vill göra något mer sofistikerat som att ställa in ”per användare” åtkomstregler.
SSL-Explorer
SSL-Explorer är en helt annan typ av produkt än OpenVPN. Även om det är öppen källkod och kan laddas ner från http://sourceforge.net/projects/sslexplorer, är versionen du får communityversionen av en kommersiell produkt. Det är absolut inget fel med det här tillvägagångssättet, men det betyder att det inte finns de communitybidrag som är tillgängliga för OpenVPN. SSL-Explorer är skriven av ett brittiskt företag som heter 3SP, som är baserat i Nottingham (se www.sshtools.com för mer information).
Där OpenVPN verkligen är ett operativsystemsverktyg, är SSL-Explorer ett webbläsarbaserat system. Som användare av systemet behöver du inte installera extra programvara på din maskin; istället pekar du med din webbläsare på den offentliga webbplatsen, som ger dig tillgång till de interna resurserna. När du har autentiserat dig till denna webbplats kommer du att presenteras med en sida som visar dig vilka tjänster du har tillgång till. Om du klickar på en tjänst startar en Java-applet, och det är den här Java-komponenten som gör allt arbete genom att upprätta en tunnel från din maskin till den privata destinationstjänsten. I de flesta fall är tunneln konfigurerad som en ”proxytjänst” – du ansluter till en tjänst som om den vore på den lokala maskinen och som ansluter dig till Java-komponenten, som proxar fram till fjärrsystemet. Detta tillvägagångssätt har ett antal fördelar jämfört med OpenVPN, eftersom det inte kräver någon speciell programvara på klienten, vilket innebär att en fjärrtjänst kan nås från var som helst överhuvudtaget. I synnerhet kan detta proxybeteende vara användbart för att tillåta mycket kontrollerad åtkomst till en intern webbserver – det kan tillåta en person utanför kontoret att komma åt den interna webbservern från vilken webbläsare som helst, utan att kompromissa med säkerheten.
