Kerio VPN Client Pˇ ríruˇ cka uživatele
Kerio Technologies
2013 Kerio Technologies s.r.o. Všechna práva vyhrazena. Tento manuál popisuje program Kerio VPN Client ve verzi 7.3 pro Mac OS X. Zmˇ eny vyhrazeny.
Obsah
1
Úvod 1.1 1.2 1.3 1.4
........................................................................... Systémové požadavky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Instalace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Licence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Jak Kerio VPN Client funguje? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
Použití aplikace Kerio VPN Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.1 Panel systémových pˇ redvoleb — definice VPN pˇ ripojení . . . . . . . . . . . . . . . . . . . . 6 2.2 Stavová ikona na lištˇ e hlavní nabídky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2.3 Kontrola SSL certifikátu VPN serveru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.4 Záznamy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
A
Právní doložka . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3
4 4 4 5 5
Kapitola 1
Úvod
Kerio VPN Client je aplikace pro pˇ rístup z jednoho poˇ cítaˇ ce (klienta) do vzdálené privátní sítˇ e pˇ res Internet zabezpeˇ ceným šifrovaným kanálem. Klient získá pˇ rístup do této privátní sítˇ e, jako by byl k ní pˇ rímo pˇ ripojen. Kerio VPN Client se pˇ ripojuje k VPN serveru v produktu Kerio Control. Pro ovˇ eˇ rení identity klienta se používají uživatelské úˇ cty v Kerio Control. Použití aplikace Kerio VPN Client je velmi snadné. Uživatel potˇ rebuje znát pouze jméno nebo IP adresu serveru, ke kterému se pˇ ripojuje, a uživatelské jméno a heslo. Vše ostatní (nastavení smˇ erovacích informací, DNS atd.) provede Kerio VPN Client automaticky. Konfiguraˇ cní údaje se ukládají do domovské složky uživatele, který s aplikací Kerio VPN Client pracuje. Každý uživatel poˇ cítaˇ ce, na kterém je Kerio VPN Client nainstalován, m˚ uže definovat a používat vlastní VPN pˇ ripojení. Uživatelé s administrátorskými právy mohou rovnˇ ež navázat tzv. perzistentní (trvalé) spojení. Takové spojení je automaticky obnovováno i po restartu poˇ cítaˇ ce.
1.1 Systémové požadavky Hardwarové požadavky a podporované operaˇ cní systémy Aktuální systémové požadavky naleznete na stránce: http://www.kerio.cz/cz/control/technical-specifications
Konfliktní software Kerio VPN Client nevykazuje konflikty s jinými aplikacemi.
1.2 Instalace Kerio VPN Client nainstalujeme z pˇ ríslušného balíku s pˇ ríponou .dmg (napˇ r. kerio-control-vpnclient-1.2.3-4567-mac.dmg), který se pˇ ripojí jako disk. Z pˇ ripojeného disku spustíme instalaˇ cní program Kerio VPN Client Installer. Instalace probíhá formou standardního instalaˇ cního pr˚ uvodce. Kerio VPN Client se instaluje jako panel systémových pˇ redvoleb (System Preferences). Pˇ ri instalaci je v systému vytvoˇ ren virtuální sít’ový adaptér kvnet0 a systémová služba Kerio VPN
4
1.3 Licence
Client Service (kvpncsvc), která je ihned spuštˇ ena a automaticky spouštˇ ena pˇ ri každém startu systému.
1.3 Licence Kerio VPN Client je poskytován jako doplnˇ ek aplikace Kerio Control. Samotný program Kerio VPN Client nevyžaduje speciální licenci. Pˇ ripojení VPN klienti se však zapoˇ cítávají do celkového poˇ ctu uživatel˚ u (chránˇ ených poˇ cítaˇ cu ˚) pˇ ri kontrole licence v aplikaci Kerio Control. Z toho vyplývá, že minimální poˇ cet uživatel˚ u, pro který musí být Kerio Control na pˇ ríslušném serveru licencován, je dán souˇ ctem poˇ ctu poˇ cítaˇ cu ˚ v lokální síti a poˇ ctu VPN klient˚ u souˇ casnˇ e se pˇ ripojujících k tomuto serveru. Poznámka: Podrobné informace o licencích produktu Kerio Control naleznete v manuálu Kerio Control — Pˇ ríruˇ cka administrátora.
1.4 Jak Kerio VPN Client funguje? Kerio VPN Client zajišt’uje pˇ rístup z poˇ cítaˇ ce klienta do vzdálené privátní sítˇ e zabezpeˇ ceným šifrovaným komunikaˇ cním kanálem (tento kanál je v operaˇ cním systému reprezentován virtuálním sít’ovým rozhraním kvnet0). Tomuto rozhraní VPN server v Kerio Control automaticky pˇ ridˇ elí IP adresu, která logicky patˇ rí do pˇ ríslušné privátní sítˇ e. Operaˇ cní systém klienta musí znát cesty do jednotlivých subsítí vzdálené sítˇ e. Za tímto úˇ celem Kerio VPN Client automaticky aktualizuje systémovou smˇ erovací tabulku klienta (pˇ ridává cesty do vzdálených subsítí). Pˇ ri aktualizaci smˇ erovací tabulky se pˇ redávají cesty do všech vzdálených subsítí (pˇ rípadnˇ e cesty do dalších sítí nastavené v konfiguraci VPN serveru), pokud se jejich IP adresy nepˇ rekrývají s IP adresami lokální sítˇ e, ke které je poˇ cítaˇ c klienta pˇ ripojen. Kerio VPN Client nikdy nemˇ ení výchozí cestu (tj. nastavení výchozí brány). Zabezpeˇ cený komunikaˇ cní kanál slouží pouze pro pˇ rístup do vzdálené privátní sítˇ e. Pro pˇ rístup do Internetu používá klient své stávající internetové pˇ ripojení. VPN server rovnˇ ež klientovi pˇ ridˇ eluje adresu primárního, pˇ rípadnˇ e i sekundárního DNS serveru a pˇ ríponu domény DNS. Díky tomu je možné zadávat poˇ cítaˇ ce ve vzdálené síti jejich jmény. Zmˇ ena konfigurace DNS zp˚ usobí, že všechny DNS požadavky z poˇ cítaˇ ce klienta budou odesílány na DNS server ve vzdálené privátní síti. Uživatel však ve vˇ etšinˇ e pˇ rípad˚ u žádnou zmˇ enu nezaznamená. Po ukonˇ cení VPN pˇ ripojení je obnovena p˚ uvodní konfigurace DNS. V systému Mac OS X 10.5 Leopard m˚ uže VPN server pˇ ridˇ elovat klientovi také adresu primárního, pˇ rípadnˇ e i sekundárního WINS serveru. Služba WINS umožˇ nuje procházet okolní poˇ cítaˇ ce v síti Microsoft Windows. Stejnˇ e jako v pˇ rípadˇ e DNS je po ukonˇ cení VPN pˇ ripojení obnovena p˚ uvodní konfigurace WINS. Poznámka: Kerio VPN Client neumožˇ nuje navázat více než jedno VPN pˇ ripojení souˇ casnˇ e. Je však možné se stˇ rídavˇ e pˇ ripojovat k libovolnému poˇ ctu server˚ u. 5
Kapitola 2
Použití aplikace Kerio VPN Client
Kerio VPN Client m˚ uže být používán ve dvou režimech: Uživatelský režim V tomto režimu navazuje a ukonˇ cuje VPN pˇ ripojení sám uživatel, který právˇ e s poˇ cítaˇ cem pracuje. V panelu systémových pˇ redvoleb Kerio VPN Client uživatel zadá pˇ rihlašovací údaje a pˇ ripojí se. Pˇ ripojení ukonˇ cuje opˇ et sám uživatel, nebo je ukonˇ ceno automaticky pˇ ri ukonˇ cení aplikace Kerio VPN Client, odhlášení uživatele nebo vypnutí/restartu poˇ cítaˇ ce. K navázání VPN pˇ ripojení v tomto režimu nejsou vyžadována speciální uživatelská práva na klientském poˇ cítaˇ ci — aplikaci Kerio VPN Client m˚ uže využít kterýkoliv uživatel daného poˇ cítaˇ ce. Režim trvalého pˇ ripojení V tomto režimu uživatel naváže VPN pˇ ripojení, které je pak trvale udržováno v pˇ ripojeném stavu. Systémová služba Kerio VPN Client Service zajišt’uje, že pˇ ripojení z˚ ustane navázané i po ukonˇ cení aplikace Kerio VPN Client a/nebo odhlášení uživatele a bude automaticky obnoveno po výpadku a/nebo restartu poˇ cítaˇ ce. Po startu poˇ cítaˇ ce je VPN pˇ ripojení navázáno (obnoveno) ještˇ e pˇ red pˇ rihlášením uživatele. Díky tomu je možné napˇ r. pˇ rihlášení uživatele do domény ve vzdálené privátní síti. Pro navázání a ukonˇ cení trvalého VPN pˇ ripojení musí mít uživatel na klientském poˇ cítaˇ ci administrátorská práva (uživatelský úˇ cet typu správce poˇ cítaˇ ce). Uživatelé bez administrátorských práv mohou využít pouze pˇ rístup do vzdálené privátní sítˇ e, pokud je VPN pˇ ripojení navázáno.
2.1 Panel systémových pˇ redvoleb — definice VPN pˇ ripojení Panel Kerio VPN Client je umístˇ en v systémových pˇ redvolbách (System Preferences) v sekci Ostatní (Others). Tento panel lze také snadno otevˇ rít klepnutím na stavovou ikonu v pravé ˇ cásti lišty hlavní nabídky (viz kapitola 2.2). Do položky Server je potˇ reba uvést jméno nebo veˇ rejnou IP adresu poˇ cítaˇ ce, na kterém je nainstalován Kerio Control a který funguje jako internetová brána v pˇ ríslušné síti. Dále je nutné zadat uživatelské jméno a heslo pro ovˇ eˇ rení uživatele. V závislosti na konfiguraci firewallu je v nˇ ekterých pˇ rípadech nutné uvést uživatelské jméno vˇ cetnˇ e domény (napˇ r.
[email protected]). Pokud si nejste jisti, kontaktujte správce pˇ ríslušného firewallu. ripojení Pˇ ripojení m˚ uže být navázáno jako doˇ casné nebo jako trvalé (viz kapitola 2). Trvalé pˇ m˚ uže navazovat a ukonˇ covat pouze administrátor poˇ cítaˇ ce. Pro navázání trvalého pˇ ripojení je nutné panel systémových pˇ redvoleb nejprve „odemknout“. Je-li trvalé VPN pˇ ripojení právˇ e 6
2.2 Stavová ikona na lištˇ e hlavní nabídky
Obrázek 2.1
Hlavní okno aplikace Kerio VPN Client
navázáno, pak je pˇ ri otevírání panelu systémových pˇ redvoleb vyžadováno zadání jména a hesla uživatele s administrátorskými právy. Kerio VPN Client si zapamatovává zadaný VPN server, odpovídající uživatelské jméno a volbu trvalého pˇ ripojení. Uživatel m˚ uže zvolit, zda má být uloženo také zadané heslo. Upozornˇ ení: Neukládejte heslo k VPN pˇ ripojení, pokud mohou stejný uživatelský úˇ cet na klientském poˇ cítaˇ ci používat další osoby. Mohlo by dojít ke zneužití pˇ rístupu do vzdálené privátní sítˇ e.
Stavové informace a chybová hlášení V horní ˇ cásti panelu se zobrazuje aktuální stavová informace (pˇ ripojeno/odpojeno, pˇ ripojuje se/odpojuje se...) nebo chybové hlášení (pˇ ripojení se nezdaˇ rilo, chyba ovˇ eˇ rení uživatele...). Základní informaci o stavu VPN pˇ ripojení (odpojeno, pˇ ripojuje se, pˇ ripojeno) poskytuje rovnˇ ež ikona aplikace Kerio VPN Client v pravé ˇ cásti lišty hlavní nabídky. Tuto ikonu lze povolit nebo zakázat volbou Zobrazit stav VPN na lištˇ e nabídek. Podrobnosti viz kapitola 2.2.
2.2 Stavová ikona na lištˇ e hlavní nabídky Souˇ cástí aplikace Kerio VPN Client je stavová ikona, která se zobrazuje v pravé ˇ cásti lišty hlavní nabídky. Klepnutím na tuto ikonu se zobrazí kontextové menu se stavovou informací a dalšími volbami.
7
Použití aplikace Kerio VPN Client
Poznámka: Zobrazování ikony na lištˇ e hlavní nabídky lze zakázat v panelu systémových pˇ redvoleb Kerio VPN Client (viz kapitola 2.1). • Neaktivní stav (VPN pˇ ripojení není navázáno) je znázornˇ en prázdnou ikonou ve tvaru bubliny — logo aplikací Kerio Technologies.
Obrázek 2.2
Ikona aplikace Kerio VPN Client v odpojeném stavu
Název serveru v menu pˇ redstavuje uložené pˇ rihlašovací údaje k pˇ ríslušnému VPN serveru. Klepnutím na tento název Kerio VPN Client zahájí navazování VPN spojení. Pokud je pˇ ripojení definováno jako trvalé, je nutné nejprve zadat uživatelské jméno a heslo uživatele s administrátorskými právy na klientském poˇ cítaˇ ci. • Probíhající navazování VPN spojení je znázornˇ eno ikonou se šipkou.
Obrázek 2.3
Ikona aplikace Kerio VPN Client ve stavu navazování spojení
Volbou Odpojit lze navazování spojení pˇ rerušit. • Aktivní VPN pˇ ripojení je znázornˇ eno ikonou s logem Kerio Control.
Obrázek 2.4
Ikona aplikace Kerio VPN Client v pˇ ripojeném stavu
8
2.3 Kontrola SSL certifikátu VPN serveru
Volbou Odpojit lze ukonˇ cit navázané pˇ ripojení. Pokud se jedná o trvalé pˇ ripojení, je nutné nejprve zadat uživatelské jméno a heslo uživatele s administrátorskými právy na klientském poˇ cítaˇ ci. Název serveru má v tomto pˇ rípadˇ e pouze informativní charakter.
2.3 Kontrola SSL certifikátu VPN serveru Kerio VPN Client provádí pˇ ri každém pˇ ripojování kontrolu SSL certifikátu pˇ ríslušného VPN serveru (stejnˇ e jako WWW prohlížeˇ c pˇ ri použití protokolu HTTPS). Pˇ ri zjištˇ ení problém˚ u s certifikátem je zobrazeno varovné hlášení s dotazem, zda uživatel považuje pˇ ríslušný VPN server za d˚ uvˇ eryhodný a povolí pˇ ripojení na tento server.
Obrázek 2.5
Informace o problémech s certifikátem VPN serveru
Volbou Podrobnosti (Details) lze získat podrobné informace o certifikátu VPN serveru (kým byl vydán, pro jaký server byl vystaven, datum skonˇ cení jeho platnosti atd.). Na základˇ e tˇ echto informací uživatel m˚ uže zvolit jednu z možností: • Zrušit pˇ ripojení — v pˇ rípadˇ e jakýchkoliv pochybností o d˚ uvˇ eryhodnosti VPN serveru. Zároveˇ n je doporuˇ ceno neprodlenˇ e kontaktovat správce pˇ ríslušného serveru a informovat jej o zjištˇ ených problémech. • Pokraˇ covat v pˇ ripojování — typicky v pˇ rípadˇ e, pokud je server d˚ uvˇ eryhodný a problémy s certifikátem mají pouze doˇ casný charakter. Kerio VPN Client povolí
9
Použití aplikace Kerio VPN Client
pˇ ripojení k danému serveru pouze jednorázovˇ e a pˇ ríštím pokusu o pˇ ripojení bude opˇ et zobrazeno varování (nebude-li problém s certifikátem do té doby vyˇ rešen). • Pokraˇ covat a prohlásit certifikát za d˚ uvˇ eryhodný (volbou Always trust — Vždy d˚ uvˇ eˇ rovat). Certifikát bude uložen do systémové klíˇ cenky (Keychain) a pˇ ri dalším pˇ ripojování již nebude zobrazeno žádné varování. Toto je vhodné provést v pˇ rípadˇ e, že server používá certifikát, který je podepsaný sám sebou. Poznámka: V systému Mac OS X 10.4 Tiger nelze automaticky nastavit jako d˚ uvˇ eryhodný certifikát, který je podepsán sám sebou. Zde je potˇ reba certifikát ruˇ cnˇ e vložit do klíˇ cenky — viz níže. Upozornˇ ení: V pˇ rípadˇ e nejasností ˇ ci pochyb o identitˇ e VPN serveru neprodlenˇ e kontaktujte správce pˇ ríslušného firewallu.
Nastavení d˚ uvˇ eryhodného certifikátu v systému Mac OS X 10.4 Tiger V systému Mac OS X 10.4 Tiger nelze automaticky oznaˇ cit jako d˚ uvˇ eryhodný certifikát, který je podepsán sám sebou (systém dovolí uložit do klíˇ cenky pouze certifikát vystavený d˚ uvˇ eryhodnou certifikaˇ cní autoritou). V pˇ rípadˇ e takového certifikátu je potˇ reba provést následující kroky: 1.
V oknˇ e s varováním o ned˚ uvˇ eryhodném certifikátu (viz obr. 2.5) klepneme na obrázek certifikátu a pˇ retáhneme jej na pracovní plochu. Tím bude na ploše vytvoˇ ren soubor certifikátu (napˇ r.: server.firma.cz.cer).
2.
D˚ uležité: Nyní nesmí být spuštˇ ena aplikace Keychain Access. Je-li právˇ e otevˇ rena, zavˇ reme ji.
3.
Klepnutím na soubor certifikátu na ploše se spustí aplikace Keychain Access a zobrazí se dotaz, do které klíˇ cenky má být certifikát uložen.
Obrázek 2.6
Uložení certifikátu do klíˇ cenky
10
2.3 Kontrola SSL certifikátu VPN serveru
4.
Zvolíme klíˇ cenku X509Anchors. Do této klíˇ cenky se ukládají certifikáty, které mohou podepisovat jiné certifikáty (typicky certifikáty certifikaˇ cních autorit). Pro pˇ ridání certifikátu bude vyžadováno ovˇ eˇ rení uživatele s administrátorskými právy.
5.
V aplikaci Keychain Access zvolíme klíˇ cenku X509Anchors, vyhledáme pˇ ridaný certifikát (napˇ r.: server.firma.cz) a klepnutím jej otevˇ reme.
6.
V oknˇ e se zobrazeným certifikátem odrolujeme na konec, rozbalíme sekci Trust Settings (nastavení d˚ uvˇ eryhodnosti) a v položce When using this certificate (pˇ ri použití tohoto certifikátu) zvolíme Always Trust (vždy d˚ uvˇ eˇ rovat).
Obrázek 2.7
Vlastnosti certifikátu — nastavení d˚ uvˇ eryhodnosti
7.
Ukonˇ címe spuštˇ ené aplikace a odhlásíme se ze systému.
8.
Po novém pˇ rihlášení zkusíme navázat VPN pˇ ripojení k pˇ ríslušnému serveru. Nyní by již nemˇ elo být zobrazeno žádné varování v souvislosti s certifikátem.
11
2.4 Záznamy Kerio VPN Client vytvᡠrí záznamy o své ˇ cinnosti a zjištˇ ených chybách. Systémová služba a uživatelské rozhraní aplikace pracují nezávisle, a proto každá z tˇ echto komponent vytvᡠrí své vlastní záznamy. Soubory záznam˚ u lze využít pˇ ri ˇ rešení pˇ rípadných problém˚ u ve spolupráci s technickou podporou spoleˇ cnosti Kerio Technologies (d˚ uležité jsou zejména záznamy systémové služby).
Záznamy systémové služby Záznamy systémové služby Kerio VPN Client Service jsou uloženy v podsložce logs složky, ve které je aplikace Kerio VPN Client nainstalována, tj. /usr/local/kerio/vpnclient K dispozici jsou dva soubory záznam˚ u: • error.log — závažné chyby, napˇ r.: službu Kerio VPN Client Service nelze spustit, VPN server není dostupný, nezdaˇ rilo se ovˇ eˇ rení uživatele apod. • debug.log — podrobné informace o ˇ cinnosti systémové služby a zjištˇ ených chybách.
Záznamy uživatelského rozhraní Záznamy uživatelského rozhraní jsou uloženy ve skryté podsložce domovské složky uživatele, který s aplikací Kerio VPN Client pracuje: ~/.kerio/vpnclient/logs Stejnˇ e jako v pˇ rípadˇ e systémové služby jsou k dispozici dva soubory záznam˚ u: • error.log — závažné chyby, napˇ r.: nelze navázat komunikaci se službou Kerio VPN Client Service. • debug.log — podrobné informace o ˇ cinnosti aplikace a zjištˇ ených chybách.
12
Pˇ ríloha A
Právní doložka
Mac OS a Safari jsou registrované ochranné známky nebo ochranné známky spoleˇ cnosti Apple Inc. Ostatní uvedené názvy skuteˇ cných spoleˇ cností a produkt˚ u mohou být registrovanými ochrannými známkami nebo ochrannými známkami jejich vlastník˚ u.
13