Les 1: De voorziening VPN configureren

In deze les leert u hoe u een computer configureert als een VPN-server.

U configureert een server met de naam "mijnserver.example.com" voor het accepteren van gecodeerde verbindingen vanaf Mac-clients, zodat deze clients toegang hebben tot het lokale netwerk.

Gaandeweg komt u meer te weten over:

  • Domeinnamen, hostnamen en volledig gekwalificeerde domeinnamen

  • Domain Name System (DNS), zowel de statische als de dynamische variant

  • Openbare IP-adressen en privé-IP-adressen

  • IP-adressubnetten

  • Het koppelen van poorten voor IP-verkeer

Stap 1: Vraag een openbaar, statisch IP-adres aan

Uw server heeft een IP-adres nodig dat uw webserver een vaste locatie op het internet geeft. Uw internetaanbieder wijst een statisch IP-adres aan u toe.

  • Als u bij een grote organisatie werkt, neemt u contact op met de persoon die verantwoordelijk is voor de IP-adressen, de router, de gateway of de firewall via welke uw netwerk verbinding met uw internetaanbieder maakt.

    Het Domain Name System brengt een koppeling tot stand tussen de door de mens leesbare domeinnaam en het door de machine leesbare IP-adres.

Stap 2. Vraag uw hostnaam en volledig gekwalificeerde domeinnaam aan

Hieronder staan enkele belangrijke termen die bij de naamgeving op het internet worden gebruikt:

  • Het Domain Name System (DNS) is het systeem waarmee door de machine leesbare, statische IP-adressen worden gekoppeld aan door de mens leesbare domeinnamen.

    Dynamisch DNS is een systeem waarmee door de mens leesbare namen kunnen worden gebruikt in combinatie met IP-adressen die regelmatig veranderen en periodiek opnieuw worden toegewezen. Als u geen openbaar, statisch IP-adres hebt gekregen, moet u dynamisch DNS gebruiken in plaats van het normale DNS.

  • De hostnaam is de naam waaronder uw server binnen uw lokale netwerk bekend is. U kunt uw server bijvoorbeeld de naam "mijnserver" geven of een andere naam geven waarmee de server uniek wordt aangeduid in het netwerk.

  • De domeinnaam is de naam die verwijst naar een grotere organisatie in plaats van een afzonderlijke gebruiker. De domeinnaam van Apple is bijvoorbeeld "apple.com". In documentatie over internetvoorzieningen wordt soms "example.com" als domeinnaam gebruikt. Domeinnamen worden geleast van een domeinnaamregistrar (een bedrijf dat domeinnamen registreert en zorgt dat deze uniek zijn).

  • Een volledig gekwalificeerde domeinnaam bestaat uit de hostnaam en de volledige domeinnaam.

  • Een DNS-aanbieder houdt gegevens bij van de domeinnaam, de volledig gekwalificeerde domeinnaam en het bijbehorende statische IP-adres.

  • Als u deze les alleen volgt, hebt u een domeinnaam en een hostnaam nodig. U kunt zelf een hostnaam kiezen, maar u moet ook een domeinnaam leasen.

    Als u bij een bestaande organisatie werkt, hebt u waarschijnlijk al een domeinnaam (zoals example.com) en een systeem voor het kiezen van hostnamen. De organisatie moet ook een DNS-host hebben die uw statische IP-adres en domeinnaam aan elkaar koppelt.

    Voor deze les worden bij wijze van voorbeeld de volgende namen gebruikt:

    Instelling

    Voorbeeldnaam

    Domeinnaam

    example.com

    Hostnaam

    www

    Volledig gekwalificeerde domeinnaam

    www.example.com

    WAARSCHUWING: In deze oefening moet u niet de voorbeeldinstellingen gebruiken. De naam "example.com" is bedoeld voor gebruik in dit soort documenten en werkt niet bij echte softwareconfiguraties. Gebruik dan ook uw eigen instellingen.

Stap 3. Configureer de VPN-adresinstellingen

  • Open het programma Server om een lijst te zien met de voorzieningen die in OS X Server beschikbaar zijn. Selecteer 'VPN'.

    Gebruik de volgende instellingen:

    Instelling

    Waarde

    Waarom?

    VPN configureren voor

    L2TP

    Mac-computers bieden ingebouwde ondersteuning voor L2TP.

    VPN-hostnaam

    mijnserver.example.com

    Dit is de volledig gekwalificeerde domeinnaam die aan het openbare, statische IP-adres is gekoppeld.

    Gedeeld geheim

    Niet wijzigen

    Dit is een automatisch gegenereerde reeks die als 'wachtwoord' voor de VPN-voorziening fungeert.

    Clientadressen, routes

    Niet wijzigen

    Voor deze les hoeft u hieraan niets te wijzigen.

    DNS-instellingen

    Niet wijzigen

    Dat hoeft alleen als uw internetaanbieder of organisatie specifieke instellingen gebruikt.

    WAARSCHUWING: Om netwerkconflicten te voorkomen, moeten de adressen die door de VPN-voorziening worden verstrekt, verschillen van de adressen die door de netwerkbeheerder via DHCP worden verstrekt. Overleg met uw netwerkbeheerder of zorg ervoor dat uw eigen router niet dezelfde adressen probeert uit te geven als de VPN-voorziening.

    VPN met instellingen

Stap 4. Open de benodigde internetpoorten op de gateway

  • De poortkoppeling kan automatisch plaatsvinden als u een AirPort-basisstation gebruikt dat met het programma Server is geconfigureerd. Klik op 'Sta toe' als door Server internettoegang voor VPN wordt aangeboden.

    AirPort Extreme geselecteerd

    Als u bij een organisatie werkt, is er waarschijnlijk een firewall die moet worden aangepast om VPN-verbindingen door te laten. Als u de configuratie uitvoert met een internetrouter of een Wi-Fi-toegangspunt, moet u de poortkoppeling ook aanpassen.

    Door firewalls en NAT-routers (gateways) worden ongewenste externe verbindingspogingen geblokkeerd. Als u ongevraagde externe verbindingen wilt toestaan, moet u dat expliciet opgeven. Deze verbindingen ("poorten" genoemd) zijn genummerd. U kunt deze poorten zien als tunnels of gaten in een muur waardoor van buiten via de voorziening verbinding kan worden gemaakt met een specifieke interne locatie.

    Ga naar de configuratiesoftware voor uw router en open of koppel de volgende poorten voor VPN:

    Poort

    Type

    Voor gebruik met

    500

    UDP

    ISAKMP/IKE

    1701

    UDP

    L2TP

    4500

    UDP

    IPsec NAT Traversal

Stap 5. Bewaar het VPN-profiel

  • Controleer alle instellingen en schakel vervolgens de VPN-voorziening in.

    Inschakelknop voor VPN-voorziening

    Klik op 'Bewaar configuratieprofiel' en bewaar het document op een eenvoudig te vinden locatie. U hebt het document straks namelijk nog nodig om de instellingen te testen.

    Het profielbestand ziet er zo uit:

    Symbool voor configuratieprofiel

Stap 6. Breng de test-Mac in gereedheid

  • Kopieer het configuratieprofiel naar de externe Mac en klik er dubbel op om het te installeren. Voer tijdens de installatie de inlognaam van de testgebruiker in.

    Bevestiging van profielinstallatie

Stap 7. Test de configuratie

  • Kies op de test-Mac in een extern netwerk Apple-menu > 'Systeemvoorkeuren' en klik op 'Netwerk'. Selecteer 'VPN' en klik op 'Verbind'.

    Wanneer er verbinding is gemaakt, ziet u dat in het voorkeurenpaneel. In dat geval wordt een IP-adres weergegeven uit het bereik van adressen voor VPN-verbindingen.

    Het paneel 'Netwerkvoorkeuren' in Systeemvoorkeuren waarin VPN is geselecteerd

Ga naar Les 2: Een voorziening toegankelijk maken voor gebruikers buiten het lokale netwerk.