Domácí úkol - přihlášení do VPN
Verze od ZS 2024/2025
Úkol se skládá ze tří částí:
- přihlášení do VPN pomocí osobního certifikátu. 2 body
- Vytvoření dokumentu s popisem rozhraní a směrování na počítači před a po zapnutí VPNky. 3 body
- VOLITELNÁ nadstavba předchozího - současné přihlášení do dvou VPN. 2 body
1. Přihlášení do VPN pomocí osobního certifikátu
Do školní VPN se lze přihlásit pomocí uživatelského jména a hesla. A nebo pomocí osobního certifikátu. Vašim úkolem je přihlásit se pomocí osobního certifikátu:
- Musíte získat osobní certifikát. POZOR, první krok nelze udělat online.
- Nainstalovat a nastavit VPN klienta.
Kontrolu přihlášení pomocí osobního certifikátu si udělám sám analýzou logů do VPN. Není potřeba dokumentovat.
2. Dokumentace rozhraní a směrování při přihlášení do VPN
Vytvořit dokument, který popíše síťová rozhraní a směrování provozu na počítače před přihlášením do VPN a po přihlášení do VPN. A tento dokument uložit do odevzdávárny v InSIS. V této a následující části není potřeba dokumentovat, že jste se přihlásili pomocí certifikátu. Nemusíte se s ním ani přihlašovat. V dokumentu by mělo být uvedeno:
- Vaše identifikační údaje (jméno, …), datum,
- Operační systém včetně verze,
- Seznam síťových rozhraní včetně přiřazených IP adres před přihlášením do VPN,
- Směrovací (routovací) tabulka před přihlášením do VPN,
- DNS servery v operačním systému před přihlášením do VPN.
- Traceroute na www.vse.cz před přihlášením do VPN
- Seznam síťových rozhraní včetně přiřazených IP adres po přihlášení do VPN,
- Směrovací (routovací) tabulka po přihlášení do VPN,
- DNS servery po přihlášení do VPN,
- Traceroute na www.vse.cz po přihlášení do VPN
- Stručný popis rozdílů mezi situací bez přihlášení do VPN a po přihlášení do VPN
3. Volitelné přihlášení pomocí dvou VPN
Cílem je vyzkoušet, zda můžete být přihlášeni do dvou VPN současně - nějaké veřejné a do školní VPN. Je to za body navíc nad hranici 100 bodů. Pokud již nějakou veřejnou VPN nemáte, tak si recenze bezplatných veřejných VPN a z nich vyberte. Na začátku roku 2025 bych odkázal na tři recenze: 7 nejlepších bezplatných VPN v roce 2025: Rychlé a bezpečné, 5 nejlepších ZCELA BEZPLATNÝCH VPN pro rok 2025 či The best free VPN in 2025. Je potřeba upozornit, že část bezplatných VPN není bezpečná - snaží se ukrást osobní údaje, podsouvají reklamu a podobně, více v odkazovaných článcích. Mnohé placené veřejné VPN nabízí krátké bezplatné období na vyzkoušení.
Většina veřejných VPN má vlastního klienta pro připojení, některé umožňují používat nezávislého klienta pro příslušný protokol, obvykle pro OpenVPN či WireGuard.
Zvolte pořadí, v jakém se budete do VPNek přihlašovat. Do předchozího dokumentu doplňte:
- Výsledek testování, tj. zda je či není funkční kombinace VPN,
- Seznam síťových rozhraní včetně přiřazených IP adres po přihlášením do obou VPN,
- Směrovací (routovací) tabulka po přihlášení do obou VPN,
- DNS resolver (server) po přihlášení do obou VPN,
- Traceroute na nějakou IP adresu ve školní síti, např. www.vse.cz
- Traceroute na nějakou IP adresu mimo, např. www.seznam.cz
- Komentáře/poznámky.
Ukázka dokumentu
Jméno: Luboš Pavlíček
Otestováno: 11. ledna 2025
Prostředí: Windows 11
1. Síťová rozhraní před připojením do VPN
2. Směrování provozu před připojením do VPN
3. Síťová rozhraní po připojení do VPN
Na snímku je vidět, že přibylo další síťové rozhraní se školní IP adresou 146.102.75.3.
4. Směrování provozu po připojení do VPN
Na snímku je vidět, že přibylo rozhraní Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64.
A také se upravila pravidla směrování pro IPv4 - provoz do vybraných podsítí se posílá přes rozhraní (Interface) s IP adresou 146.102.75.3. Při odeslání paketu se za zdrojovou IP adresu přiřadí právě tato IP adresa rozhraní.
Pouze provoz na 146.102.41.131 se posílá přes rozhraní s IP adresou 192.168.1.123.
A ještě jak se změnilo směrování pro IPv6 (nevešlo se na předchozí snímek):
5. Traceroute před připojením do VPN
A nyní traceroute, ve windows je to aplikace tracert, v Linuxu a na macOS je to traceroute. Lze najít i grafické verze programu.
Traceroute bez VPNky:
6. Traceroute po připojení do VPN
A nyní s VPNkou:
7. DNS servery před připojením do VPN
DNS servery má používá operační systém, webové prohlížeče ale mohou používat jiné.
Ve Windows zadáte příkaz ipconfig /all a poté u aktivního síťového rozhraní najdete položku s DNS servery:
TODO
DNS server v prohlížeči: není definován
8. DNS servery po připojení do VPN
TODO
DNS server v prohlížeči: není definován
9. Stručný popis rozdílů
Rozdíly popište vlastními slovy.
Přihlášení do VPN pomocí certifikátu
Na jaře 2025 zrušeno, neboť je nejasná dostupnost osobních certifikátů, viz https://pki.cesnet.cz/cs/tcs-sunset.html
V logách VPN serveru vpn.vse.cz se najde záznam o úspěšném přihlášení do VPN pomocí osobního certifikátu. Osobní certifikát lze získat od sdružení CESNET (na začátku roku 2025 by se měla změnit ). Stručně postup:
- zajít na helpdesk Centra informatiky a požádat o ověření totožnosti pro certifikát pro elektronický podpis,
- získat osobní certifikát, viz https://ci.vse.cz/bezpecnost-hlavni/bezpecnost/osobni-certifikaty-tcs/
- nakonfigurovat VPN pro použití certifikátu, viz https://internet.vse.cz/vpn/nastaveni-vpn/
- přihlásit se
Kontrola - ověřím si sám v logu přihlašování k VPN.