Obsah
Domácí úkol - přihlášení do VPN
Verze od ZS 2024/2025
Úkol se skládá ze tří částí:
- přihlášení do VPN pomocí osobního certifikátu. 2 body
- Vytvoření dokumentu s popisem rozhraní a směrování na počítači před a po zapnutí VPNky. 3 body
- VOLITELNÁ nadstavba předchozího - současné přihlášení do dvou VPN. 2 body
1. Přihlášení do VPN pomocí osobního certifikátu
Do školní VPN se lze přihlásit pomocí uživatelského jména a hesla. A nebo pomocí osobního certifikátu. Vašim úkolem je přihlásit se pomocí osobního certifikátu:
- Musíte získat osobní certifikát. POZOR, první krok nelze udělat online.
- Nainstalovat a nastavit VPN klienta.
Kontrolu přihlášení pomocí osobního certifikátu si udělám sám analýzou logů do VPN. Není potřeba dokumentovat.
2. Dokumentace rozhraní a směrování při přihlášení do VPN
Vytvořit dokument, který popíše síťová rozhraní a směrování provozu na počítače před přihlášením do VPN a po přihlášení do VPN. A tento dokument uložit do odevzdávárny v InSIS. V této a následující části není potřeba dokumentovat, že jste se přihlásili pomocí certifikátu. Nemusíte se s ním ani přihlašovat. V dokumentu by mělo být uvedeno:
- Vaše identifikační údaje (jméno, …), datum,
- Operační systém včetně verze,
- Seznam síťových rozhraní včetně přiřazených IP adres před přihlášením do VPN,
- Směrovací (routovací) tabulka před přihlášením do VPN,
- DNS servery v operačním systému před přihlášením do VPN. Který se použije např. pro překlad www.google.com na IP adresu?
- Traceroute na www.vse.cz před přihlášením do VPN
- Seznam síťových rozhraní včetně přiřazených IP adres po přihlášení do VPN,
- Směrovací (routovací) tabulka po přihlášení do VPN,
- DNS servery po přihlášení do VPN, který použije operační systém pro překlad.
- Traceroute na www.vse.cz po přihlášení do VPN
- Stručný popis rozdílů mezi situací bez přihlášení do VPN a po přihlášení do VPN
Při testování VPN se připojte z jiné než školní sítě - doma, v knihovně, v eduroam jiné školy. Při testování školní VPN ze sítě školy jsou si výsledné stavy velmi podobné a obtížně se od sebe odlišují (a nemá praktický význam se ze školy připojovat do školní VPN).
3. Volitelné přihlášení pomocí dvou VPN
Cílem je vyzkoušet, zda můžete být přihlášeni do dvou VPN současně - nějaké veřejné a do školní VPN. Je to za body navíc nad hranici 100 bodů. Pokud již nějakou veřejnou VPN nemáte, tak si recenze bezplatných veřejných VPN a z nich vyberte. Na začátku roku 2025 bych odkázal na tři recenze: 7 nejlepších bezplatných VPN v roce 2025: Rychlé a bezpečné, 5 nejlepších ZCELA BEZPLATNÝCH VPN pro rok 2025 či The best free VPN in 2025. Je potřeba upozornit, že část bezplatných VPN není bezpečná - snaží se ukrást osobní údaje, podsouvají reklamu a podobně, více v odkazovaných článcích. Mnohé placené veřejné VPN nabízí krátké bezplatné období na vyzkoušení.
Většina veřejných VPN má vlastního klienta pro připojení, některé umožňují používat nezávislého klienta pro příslušný protokol, obvykle pro OpenVPN či WireGuard.
Zvolte pořadí, v jakém se budete do VPNek přihlašovat. Do předchozího dokumentu doplňte:
- Výsledek testování, tj. zda je či není funkční kombinace VPN,
- Seznam síťových rozhraní včetně přiřazených IP adres po přihlášením do obou VPN,
- Směrovací (routovací) tabulka po přihlášení do obou VPN,
- DNS resolver (server) po přihlášení do obou VPN, který se použije např. pro překlad www.seznam.cz.
- Traceroute na nějakou IP adresu ve školní síti, např. www.vse.cz či bis.vse.cz
- Traceroute na nějakou IP adresu mimo, např. www.seznam.cz
- Komentáře/poznámky. Odpovědi na otázky:
- Závisí na pořadí spuštění VPN?
- Provoz do školy (např. na www.vse.cz) jde přes tunel na školní VPN server. Je tento tunel přeposílán přes VPN server druhého poskytovatele?
Ukázka dokumentu
Jméno: Luboš Pavlíček
Otestováno: 11. ledna 2025
Prostředí: Windows 11
1. Síťová rozhraní před připojením do VPN
2. Směrování provozu před připojením do VPN
3. Síťová rozhraní po připojení do VPN
Na snímku je vidět, že přibylo další síťové rozhraní se školní IP adresou 146.102.75.3.
4. Směrování provozu po připojení do VPN
Na snímku je vidět, že přibylo rozhraní Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64.
A také se upravila pravidla směrování pro IPv4 - provoz do vybraných podsítí se posílá přes rozhraní (Interface) s IP adresou 146.102.75.3. Při odeslání paketu se za zdrojovou IP adresu přiřadí právě tato IP adresa rozhraní.
Pouze provoz na 146.102.41.131 se posílá přes rozhraní s IP adresou 192.168.1.123.
A ještě jak se změnilo směrování pro IPv6 (nevešlo se na předchozí snímek):
5. Traceroute před připojením do VPN
A nyní traceroute, ve windows je to aplikace tracert, v Linuxu a na macOS je to traceroute a nejlépe včetně parametru –tcp, tj traceroute –tcp www.vse.cz. Lze najít i grafické verze programu.
Traceroute bez VPNky:
6. Traceroute po připojení do VPN
A nyní s VPNkou:
7. DNS servery před připojením do VPN
Určení DNS serverů může být náročné. Jsou obvykle definovány u síťového rozhraní v operačním systému. Některé aplikace, typicky webové prohlížeče, ale mohou mít nadefinovány odlišné DNS servery.
Ve Windows DNS servery vypíše příkaz ipconfig /all a poté pro aktivní síťové rozhraní najdete položku DNS servers. Ale musíte určit, které síťové rozhraní je aktivní. Obdobně na macOS všechny možné konfigurace DNS serverů vypíše příkaz scutil –dns - opět musíte určit prioritu, kdy se použije který.
Jednodušší je zadat příkaz nslookup pro DNS dotazy a ten Vám vypíše IP adresu prvního aktivního DNS serveru (nevypíše všechny). Nebo včetně překládaného jména nslookup www.google.com:
8. DNS servery po připojení do VPN
9. Stručný popis rozdílů
Rozdíly popište vlastními slovy.