Kerio VPN Client Pˇ ríruˇ cka uživatele
Kerio Technologies
2013 Kerio Technologies s.r.o. Všechna práva vyhrazena. Tento manuál popisuje program Kerio VPN Client ve verzi 7.3 pro Windows. Zmˇ eny vyhrazeny.
Obsah
1
Úvod 1.1 1.2 1.3 1.4
........................................................................... Systémové požadavky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Instalace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Licence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Jak Kerio VPN Client funguje? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
Použití aplikace Kerio VPN Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.1 Spuštˇ ení aplikace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.2 Ikona na nástrojové lištˇ e .................................................. 7 2.3 Hlavní okno — definice VPN pˇ ripojení . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.4 Nastavení programu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.5 Kontrola SSL certifikátu VPN serveru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.6 Záznamy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
A
Právní doložka . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3
4 4 4 5 5
Kapitola 1
Úvod
Kerio VPN Client je aplikace pro pˇ rístup z jednoho poˇ cítaˇ ce (klienta) do vzdálené privátní sítˇ e pˇ res Internet zabezpeˇ ceným šifrovaným kanálem. Klient získá pˇ rístup do této privátní sítˇ e, jako by byl k ní pˇ rímo pˇ ripojen. Kerio VPN Client se pˇ ripojuje k VPN serveru v produktu Kerio Control. Pro ovˇ eˇ rení identity klienta se používají uživatelské úˇ cty v Kerio Control. Použití aplikace Kerio VPN Client je velmi snadné. Uživatel potˇ rebuje znát pouze jméno nebo IP adresu serveru, ke kterému se pˇ ripojuje, a uživatelské jméno a heslo. Vše ostatní (nastavení smˇ erovacích informací, DNS atd.) provede Kerio VPN Client automaticky. Kerio VPN Client podporuje uživatelské profily. Každý uživatel poˇ cítaˇ ce, na kterém je Kerio VPN Client nainstalován, m˚ uže definovat a používat vlastní VPN pˇ ripojení. Uživatelé s administrátorskými právy mohou rovnˇ ež navázat tzv. perzistentní (trvalé) spojení. Takové spojení je automaticky obnovováno i po restartu poˇ cítaˇ ce.
1.1 Systémové požadavky Hardwarové požadavky a podporované operaˇ cní systémy Aktuální systémové požadavky naleznete na stránce: http://www.kerio.cz/cz/control/technical-specifications
Konfliktní software Kerio VPN Client nelze provozovat na poˇ cítaˇ ci, na kterém je nainstalován Kerio Control. Pˇ ri pokusu o spuštˇ ení Kerio VPN Client zároveˇ n s Kerio Control je hlášena kolize a Kerio VPN Client se nespustí.
1.2 Instalace Instalaci provedeme spuštˇ ením instalaˇ cního archivu pro pˇ ríslušnou platformu (napˇ r. kerio-control-vpnclient-1.2.3-4567-win32.exe). Pˇ ri instalaci lze zvolit cílovou složku. Výchozí složkou je C:\Program Files\Kerio (je-li na poˇ cítaˇ ci již nainstalován nˇ ekterý produkt firmy Kerio Technologies, pak je automaticky detekována a nabídnuta složka, ve které je tento produkt nainstalován).
4
1.3 Licence
Pˇ ri instalaci je v systému Windows vytvoˇ ren virtuální sít’ový adaptér Kerio Virtual Network Adapter a speciální sít’ové rozhraní Kerio Virtual Network. Dále je nainstalována systémová služba Kerio VPN Client Service, která je ihned spuštˇ ena (a automaticky spouštˇ ena pˇ ri každém startu systému). Za normálních okolností není tˇ reba po instalaci poˇ cítaˇ c restartovat (restart m˚ uže být vyžadován, pokud instalaˇ cní program pˇ repisuje sdílené soubory, které jsou právˇ e používány).
1.3 Licence Kerio VPN Client je poskytován jako doplnˇ ek aplikace Kerio Control. Samotný program Kerio VPN Client nevyžaduje speciální licenci. Pˇ ripojení VPN klienti se však zapoˇ cítávají do celkového poˇ ctu uživatel˚ u (chránˇ ených poˇ cítaˇ cu ˚) pˇ ri kontrole licence v aplikaci Kerio Control. Z toho vyplývá, že minimální poˇ cet uživatel˚ u, pro který musí být Kerio Control na pˇ ríslušném serveru licencován, je dán souˇ ctem poˇ ctu poˇ cítaˇ cu ˚ v lokální síti a poˇ ctu VPN klient˚ u souˇ casnˇ e se pˇ ripojujících k tomuto serveru. Poznámka: Podrobné informace o licencích produktu Kerio Control naleznete v manuálu Kerio Control — Pˇ ríruˇ cka administrátora.
1.4 Jak Kerio VPN Client funguje? Kerio VPN Client zajišt’uje pˇ rístup z poˇ cítaˇ ce klienta do vzdálené privátní sítˇ e zabezpeˇ ceným šifrovaným komunikaˇ cním kanálem (tento kanál je v operaˇ cním systému reprezentován virtuálním sít’ovým rozhraním Kerio Virtual Network). Tomuto rozhraní VPN server v Kerio Control automaticky pˇ ridˇ elí IP adresu, která logicky patˇ rí do pˇ ríslušné privátní sítˇ e. Operaˇ cní systém klienta musí znát cesty do jednotlivých subsítí vzdálené sítˇ e. Za tímto úˇ celem Kerio VPN Client automaticky aktualizuje systémovou smˇ erovací tabulku klienta (pˇ ridává cesty do vzdálených subsítí). Pˇ ri aktualizaci smˇ erovací tabulky se pˇ redávají cesty do všech vzdálených subsítí (pˇ rípadnˇ e cesty do dalších sítí nastavené v konfiguraci VPN serveru), pokud se jejich IP adresy nepˇ rekrývají s IP adresami lokální sítˇ e, ke které je poˇ cítaˇ c klienta pˇ ripojen. Kerio VPN Client nikdy nemˇ ení výchozí cestu (tj. nastavení výchozí brány). Zabezpeˇ cený komunikaˇ cní kanál slouží pouze pro pˇ rístup do vzdálené privátní sítˇ e. Pro pˇ rístup do Internetu používá klient své stávající internetové pˇ ripojení. VPN server rovnˇ ež klientovi pˇ ridˇ eluje adresu primárního, pˇ rípadnˇ e i sekundárního DNS serveru, pˇ ríponu domény DNS a adresu primárního, pˇ rípadnˇ e i sekundárního WINS serveru. Tyto služby umožˇ nují zadávat poˇ cítaˇ ce ve vzdálené síti jejich jmény a procházet okolní poˇ cítaˇ ce v síti Microsoft Windows. Poznámka: Kerio VPN Client neumožˇ nuje navázat více než jedno VPN pˇ ripojení souˇ casnˇ e. Je však možné se stˇ rídavˇ e pˇ ripojovat k libovolnému poˇ ctu server˚ u.
5
Kapitola 2
Použití aplikace Kerio VPN Client
Kerio VPN Client m˚ uže být používán ve dvou režimech: Uživatelský režim V tomto režimu navazuje a ukonˇ cuje VPN pˇ ripojení sám uživatel, který právˇ e s poˇ cítaˇ cem pracuje. V oknˇ e aplikace Kerio VPN Client zadá pˇ rihlašovací údaje nebo vybere nˇ ekteré z uložených pˇ ripojení a pˇ ripojí se. Pˇ ripojení ukonˇ cuje opˇ et sám uživatel, nebo je ukonˇ ceno automaticky pˇ ri ukonˇ cení aplikace Kerio VPN Client, odhlášení uživatele nebo vypnutí/restartu poˇ cítaˇ ce. K navázání VPN pˇ ripojení v tomto režimu nejsou vyžadována speciální uživatelská práva na klientském poˇ cítaˇ ci — aplikaci Kerio VPN Client m˚ uže využít kterýkoliv uživatel daného poˇ cítaˇ ce. Režim trvalého pˇ ripojení V tomto režimu uživatel naváže VPN pˇ ripojení, které je pak trvale udržováno v pˇ ripojeném stavu. Systémová služba Kerio VPN Client Service zajišt’uje, že pˇ ripojení z˚ ustane navázané i po ukonˇ cení aplikace Kerio VPN Client a/nebo odhlášení uživatele a bude automaticky obnoveno po výpadku a/nebo restartu poˇ cítaˇ ce. Po startu poˇ cítaˇ ce je VPN pˇ ripojení navázáno (obnoveno) ještˇ e pˇ red pˇ rihlášením uživatele. Díky tomu je možné napˇ r. pˇ rihlášení uživatele do domény ve vzdálené privátní síti. Pro navázání a ukonˇ cení trvalého VPN pˇ ripojení musí mít uživatel na klientském poˇ cítaˇ ci administrátorská práva (uživatelský úˇ cet typu správce poˇ cítaˇ ce). Uživatelé bez administrátorských práv mohou využít pouze pˇ rístup do vzdálené privátní sítˇ e, pokud je VPN pˇ ripojení navázáno.
2.1 Spuštˇ ení aplikace Aplikace Kerio VPN Client se spouští automaticky po pˇ rihlášení uživatele a zobrazuje se jako ikona v oznamovací oblasti nástrojové lišty (viz kapitola 2.2). Pokud není ikona zobrazena (typicky v pˇ rípadˇ e ruˇ cního ukonˇ cení aplikace), pak lze aplikaci znovu spustit ze systémové nabídky Start volbou Start → Programy → Kerio → VPN Client → Kerio VPN Client. Pˇ ri spuštˇ ení z nabídky Start se také ihned zobrazí hlavní okno aplikace, které slouží pro definici VPN pˇ ripojení (viz kapitola 2.3).
6
2.2 Ikona na nástrojové lištˇ e
2.2 Ikona na nástrojové lištˇ e Je-li Kerio VPN Client spuštˇ en, pak je v oznamovací oblasti nástrojové lišty zobrazena ikona informující o jeho stavu. Pˇ ri umístˇ ení kurzoru myši na ikonu se zobrazí podrobnˇ ejší informace formou nápovˇ edného textu. • Neaktivní stav (VPN pˇ ripojení není navázáno) je znázornˇ en ˇ cerveným kˇ rížkem a šedým logem Kerio Control.
Obrázek 2.1
Ikona aplikace Kerio VPN Client v odpojeném stavu
• Aktivní VPN pˇ ripojení je znázornˇ eno plnˇ e barevnou ikonou.
Obrázek 2.2
Ikona aplikace Kerio VPN Client v pˇ ripojeném stavu
• Trvalé pˇ ripojení je odlišeno pouze nápovˇ edným textem.
Obrázek 2.3
Ikona aplikace Kerio VPN Client v pˇ ripojeném stavu
Funkce pˇ rístupné pˇ res ikonu na nástrojové lištˇ e Po kliknutí na ikonu pravým tlaˇ cítkem myši se zobrazí kontextové menu s tˇ emito funkcemi:
Obrázek 2.4
Kontextové menu ikony na nástrojové lištˇ e
7
Použití aplikace Kerio VPN Client
• Otevˇ rít — zobrazení hlavního okna programu Kerio VPN Client. • Odpojit — možnost ukonˇ cení navázaného VPN pˇ ripojení. • Nastavení — konfigurace nˇ ekterých parametr˚ u programu Kerio VPN Client (viz kapitola 2.4). • O aplikaci — informace o verzi jednotlivých komponent aplikace Kerio VPN Client (programu, systémové služby a nízkoúrovˇ nového ovladaˇ ce). • Ukonˇ cit — ukonˇ cení programu Kerio VPN Client. Tato volba rovnˇ ež odpojí aktivní VPN pˇ ripojení, pokud je navázané jako doˇ casné (viz kapitola 2.3). Volba Ukonˇ cit nezastavuje systémovou službu Kerio VPN Client Service ani neodpojuje trvalé VPN pˇ ripojení.
2.3 Hlavní okno — definice VPN pˇ ripojení Hlavní okno aplikace Kerio VPN Client slouží k zadání údaj˚ u o VPN pˇ ripojení. Toto okno lze zobrazit dvojitým kliknutím na ikonu aplikace na nástrojové lištˇ e, volbou Otevˇ rít rípadnˇ e ze systémové z kontextového menu ikony na nástrojové lištˇ e (viz kapitola 2.2), pˇ nabídky Start volbou Start → Programy → Kerio → VPN Client → Kerio VPN Client.
Obrázek 2.5
Hlavní okno aplikace Kerio VPN Client
Do položky Server je potˇ reba uvést jméno nebo veˇ rejnou IP adresu poˇ cítaˇ ce, na kterém je nainstalován Kerio Control a který funguje jako internetová brána v pˇ ríslušné síti. Dále je nutné zadat uživatelské jméno a heslo pro ovˇ eˇ rení uživatele. V závislosti na konfiguraci firewallu je v nˇ ekterých pˇ rípadech nutné uvést uživatelské jméno vˇ cetnˇ e domény (napˇ r.
[email protected]). Pokud si nejste jisti, kontaktujte správce pˇ ríslušného firewallu. 8
2.4 Nastavení programu
Pˇ ripojení m˚ uže být navázáno jako doˇ casné nebo jako trvalé (viz kapitola 2). Pro navázání nebo ukonˇ cení trvalého pˇ ripojení musí mít uživatel na klientském poˇ cítaˇ ci administrátorská práva (správce poˇ cítaˇ ce). V systémech Windows Vista a Windows Server 2008 m˚ uže být aktivní funkce ˇ rízení uživatelských úˇ ct˚ u (UAC — User Account Control). V takovém pˇ rípadˇ e je potˇ reba akci pˇ ripojení nebo odpojení ještˇ e potvrdit, pˇ rípadnˇ e zadat jméno a heslo uživatele s administrátorskými právy. Kerio VPN Client si zapamatovává zadané VPN servery, odpovídající uživatelská jména a volbu trvalého pˇ ripojení. Uživatel m˚ uže zvolit, zda má být uloženo také zadané heslo. Pro definici jiného VPN pˇ ripojení jednoduše pˇ repíšeme aktuální jméno serveru a pˇ rihlašovací údaje. Pˇ ri dalším pˇ ripojení již staˇ cí vybrat požadovaný VPN server (a pˇ rípadnˇ e zadat heslo, pokud nebylo uloženo). Upozornˇ ení: Neukládejte heslo k VPN pˇ ripojení, pokud mohou stejný uživatelský úˇ cet na klientském poˇ cítaˇ ci používat další osoby. Mohlo by dojít ke zneužití pˇ rístupu do vzdálené privátní sítˇ e.
Stavové informace a chybová hlášení V horní ˇ cásti hlavního okna se zobrazuje aktuální stavová informace (pˇ ripojeno/odpojeno, pˇ ripojuje se/odpojuje se...) nebo chybové hlášení (pˇ ripojení se nezdaˇ rilo, chyba ovˇ eˇ rení uživatele...). Stavové informace a chybová hlášení se také zobrazují formou bublinových zpráv u ikony aplikace Kerio VPN Client na nástrojové lištˇ e, pokud jsou tyto zprávy povoleny (viz kapitola 2.4).
2.4 Nastavení programu Volba Nastavení v kontextovém menu otevírá menu pro výbˇ er jazyka uživatelského rozhraní programu Kerio VPN Client a nastavení bublinových zpráv. V menu se zobrazují všechny lokalizace (jazyky), které jsou momentálnˇ e k dispozici. Souˇ casná verze aplikace Kerio VPN Client je lokalizována do 16 jazyk˚ u. Po výbˇ eru nˇ ekterého jazyka se uživatelské rozhraní programu ihned pˇ repne do tohoto jazyka. Výchozí volba Automaticky nastavuje jazyk podle národního prostˇ redí operaˇ cního systému (Ovládací panely / Místní a jazyková nastavení ). Volba Povolit bublinové zprávy zapíná/vypíná zobrazování informativních zpráv u ikony aplikace Kerio VPN Client v oznamovací oblasti nástrojové lišty. Nastavení tˇ echto zpráv závisí pouze na osobních preferencích uživatele (informace o stavu pˇ ripojení lze získat kdykoliv v hlavním oknˇ e aplikace).
9
Použití aplikace Kerio VPN Client
2.5 Kontrola SSL certifikátu VPN serveru Kerio VPN Client provádí pˇ ri každém pˇ ripojování kontrolu SSL certifikátu pˇ ríslušného VPN serveru (stejnˇ e jako WWW prohlížeˇ c pˇ ri použití protokolu HTTPS). Pˇ ri zjištˇ ení problém˚ u s certifikátem je zobrazeno varovné hlášení s dotazem, zda uživatel považuje pˇ ríslušný VPN server za d˚ uvˇ eryhodný a povolí pˇ ripojení na tento server.
Obrázek 2.6
Informace o problémech s certifikátem VPN serveru
Tlaˇ cítkem Zobrazit certifikát lze získat podrobné informace o certifikátu VPN serveru (kým byl vydán, pro jaký server byl vystaven, datum skonˇ cení jeho platnosti atd.). Na základˇ e tˇ echto informací se uživatel m˚ uže rozhodnout, zda bude pˇ ríslušný server považovat za d˚ uvˇ eryhodný, a pˇ ripojení povolit nebo zamítnout. Po stisknutí tlaˇ cítka Ano Kerio VPN Client pˇ redpokládá, že uživatel považuje daný VPN server za d˚ uvˇ eryhodný. Certifikát uloží a pˇ ri pˇ ríštím pˇ ripojení k tomuto serveru již nezobrazí žádné varování.
10
2.5 Kontrola SSL certifikátu VPN serveru
Obrázek 2.7
Zobrazení certifikátu VPN serveru
Nejˇ castˇ ejší problémy s certifikáty a jejich ˇ rešení Problémy s certifikáty mají zpravidla nˇ ekteré z následujících pˇ ríˇ cin: Certifikát byl vystaven ned˚ uvˇ eryhodnou spoleˇ cností Kerio VPN Client kontroluje, zda byl certifikát vystaven organizací, která je uvedena v seznamu d˚ uvˇ eryhodných vydavatel˚ u v operaˇ cním systému (Ovládací panely / Možnosti Internetu, záložka Obsah, sekce Certifikáty). Po importu certifikátu urˇ cité spoleˇ cnosti do seznamu d˚ uvˇ eryhodných vydavatel˚ u budou automaticky akceptovány všechny certifikáty vydané touto spoleˇ cností (nebudou-li zjištˇ eny jiné problémy). Jméno serveru neodpovídá Jméno serveru uvedené v certifikátu se liší od jména serveru, na který se Kerio VPN Client pˇ ripojuje. Tato situace m˚ uže nastat, pokud server používá nesprávný certifikát nebo pokud se jméno serveru zmˇ enilo, m˚ uže však také signalizovat pokus o útok (klientovi je podvržen falešný DNS záznam s jinou IP adresou). Poznámka: Certifikát m˚ uže být vystaven pouze na DNS jméno serveru, nikoliv na IP adresu. Datum certifikátu není platné SSL certifikáty mají z bezpeˇ cnostních d˚ uvod˚ uˇ casovˇ e omezenou platnost. Je-li hlášeno neplatné datum, znamená to, že platnost certifikátu pˇ ríslušného serveru již vypršela a je potˇ reba jej obnovit. Kontaktujte správce pˇ ríslušného VPN serveru. Certifikát se od poslední kontroly zmˇ enil Pokud uživatel akceptuje pˇ ripojení k urˇ citému VPN serveru, Kerio VPN Client uloží certifikát tohoto serveru jako d˚ uvˇ eryhodný. Pˇ ri každém dalším pˇ ripojení pak kontroluje, zda se certifikát serveru shoduje s uloženým certifikátem. Neshoda certifikát˚ u m˚ uže 11
být zp˚ usobena výmˇ enou certifikátu na serveru (napˇ r. z d˚ uvodu vypršení platnosti p˚ uvodního certifikátu), m˚ uže však také signalizovat pokus o útok (jiný server s falešným certifikátem). Upozornˇ ení: V pˇ rípadˇ e nejasností ˇ ci pochyb o identitˇ e VPN serveru neprodlenˇ e kontaktujte správce pˇ ríslušného firewallu.
2.6 Záznamy Kerio VPN Client vytvᡠrí záznamy o své ˇ cinnosti a zjištˇ ených chybách. Systémová služba a uživatelské rozhraní aplikace pracují nezávisle, a proto každá z tˇ echto komponent vytvᡠrí své vlastní záznamy. Soubory záznam˚ u lze využít pˇ ri ˇ rešení pˇ rípadných problém˚ u ve spolupráci s technickou podporou spoleˇ cnosti Kerio Technologies (d˚ uležité jsou zejména záznamy systémové služby).
Záznamy systémové služby Záznamy systémové služby Kerio VPN Client Service jsou uloženy v podsložce logs složky, ve které je aplikace Kerio VPN Client nainstalována, typicky: C:\Program Files\Kerio\VPN Client\logs K dispozici jsou dva soubory záznam˚ u: • error.log — závažné chyby, napˇ r.: službu Kerio VPN Client Service nelze spustit, VPN server není dostupný, nezdaˇ rilo se ovˇ eˇ rení uživatele apod. • debug.log — podrobné informace o ˇ cinnosti systémové služby a zjištˇ ených chybách.
Záznamy uživatelského rozhraní Záznamy uživatelského rozhraní jsou uloženy v pˇ ríslušné složce uživatelského profilu uživatele, který s aplikací Kerio VPN Client pracuje, typicky: Data aplikací\Kerio\VPNClient\logs resp. Application Data\Kerio\VPNClient\logs Stejnˇ e jako v pˇ rípadˇ e systémové služby jsou k dispozici dva soubory záznam˚ u: • error.log — závažné chyby, napˇ r.: nelze navázat komunikaci se službou Kerio VPN Client Service. • debug.log — podrobné informace o ˇ cinnosti aplikace a zjištˇ ených chybách.
12
Pˇ ríloha A
Právní doložka
Microsoft , Windows a Windows Vista jsou registrované ochranné známky nebo ochranné známky spoleˇ cnosti Microsoft Corporation. Ostatní uvedené názvy skuteˇ cných spoleˇ cností a produkt˚ u mohou být registrovanými ochrannými známkami nebo ochrannými známkami jejich vlastník˚ u.
13