PC Press info: software, hardware, peopleware

Spoljni ulaz u LAN

Kućna računarska mreža obezbeđuje komunikaciju između računara i drugih umreženih uređaja u vašem domu. Međutim, uz malo truda, uređajima u mreži možete prići i „spolja“, posredstvom interneta, čime se mogućnosti i vrednost kućne mreže višestruko povećavaju.

 

Ako uložite malo truda u izgradnju lokalne računarske mreže u svom domu, dobićete osnovu za digitalni dom budućnosti. Kućni računari moći će međusobno da komuniciraju, pružajući mogućnosti za posao i zabavu, vi i vaši gosti uvek ćete imati spreman bežični internet za laptop računare i smart telefone, a porodične fotografije, muzika i filmovi biće bezbedno pohranjeni na jednom mestu i uvek svima dostupni. Možda ćete se i malo više potruditi pa na ovoj infrastrukturi izgraditi kućni video-nadzor ili čak investirati u neki Home Automation sistem koji će vam omogućiti da upravljate grejanjem, osvetljenjem i klimatizacijom. Kućna računarska mreža donosi niz novih mogućnosti pa uz malo kreativnosti i truda možete da poboljšate svoj svakodnevni život. Bilo bi pogrešno reći da su mogućnosti ograničene samo maštom korisnika – jedno od vrlo opipljivih ograničenja odnosi se na zatvorenost mreže. Kućna računarska mreža je lokalnog karaktera i do sada smo uglavnom pominjali njeno korišćenje unutar doma korisnika. Ipak, dosta smo govorili o raznim načinima za povezivanje sa internetom, a upravo ta veza predstavlja prozor u svet za sve uređaje u lokalnoj mreži. Osim što korisnicima računara služi za surfovanje, download i socijalne interakcije, informacioni autoput, uz malo truda oko podešavanja kućnog rutera, može da posluži kao ulaz u vašu mrežu, i to s bilo koje tačke na planeti, preko bilo kog računara ili mobilnog uređaja koji je povezan na internet.

Problem prvi: jedna adresa, a mnogo klijenata

Veza sa internetom obično se ostvaruje preko nekog uređaja koji vam je isporučio provajder. Već smo govorili da je ta situacija vrlo šarolika i da vrsta kućnog uređaja zavisi od odabira pristupne tehnologije, politike internet provajdera,a donekle i sreće. Obično je u pitanju nekakav modem, sa integrisanim ruterom ili bez njega. Taj uređaj predstavlja mrežni gejtvej za celu vašu mrežu i obično je on jedini koji dobija javnu IP adresu, koja je vidljiva sa interneta. Premda nisu retki ni modemi (bez rutera) koji upravo ovu jednu javnu IP adresu prosleđuju jedinom računaru koji je na njih povezan, što je često kod kablovskih provajdera, ali takva mreža je svedena samo na jedan računar. Iza modema je tada neophodan i dodatni ruter koji bi prevodio (NAT) tu jednu javnu IP adresu sa WAN strane u više privatnih adresa računara u LAN mreži. Bilo da je ruter poseban ili integrisan sa modemom, javne IP adrese su skup resurs, pa u kućnim uslovima nikada nećete videti više od jedne. Najlakši način da saznate koja je to adresa, jeste da sa nekog kućnog računara postavite to pitanje nekom od mnogih on-line servisa koji se time bave (pitajte Google, lako ćete naći odgovor!). Iako vaš računar ima neku privatnu IP adresu, on-line servis ne može da je vidi, već će vam umesto toga saopštiti javnu adresu s koje vidi da se vi javljate.

Ako niste kod kuće, a želite da priđete svojoj kućnoj mreži preko interneta, možete da se obratite samo na tu jednu javnu IP adresu. Možda želite da pristupite kućnom računaru u svojoj sobi kroz Remote Desktop konekciju? Pošto je jedna adresa zajednička za sve uređaje u vašoj kućnoj mreži, postavlja se pitanje, kako će vaš ruter znati ka kom kućnom računaru da usmeri Remote Desktop konekciju? Neće znati. Štaviše, neće je ni usmeriti ka bilo kome, bar ne dok ga ne naučite šta treba da radi.

DMZ i Port Forwarding

Većina kućnih rutera podržava rad sa demilitarizovanim zonama (DMZ) i to je verovatno najlakši način za rešavanje ovog problema. Na ruteru se odabere jedna adresa iz opsega privatnih IP adresa koje važe u kućnoj mreži i definiše se kao DMZ. Nakon toga, svaki saobraćaj koji je iniciran sa WAN strane, odnosno, sve što stiže sa interneta, a što nije odgovor na neki zahtev poslat iz lokalne mreže, biva bezuslovno usmereno ka klijentu koji se nalazi u DMZ. Zahtev za uspostavljanjem Remote Desktop konekcije (ili bilo šta drugo) što stigne na javnu adresu rutera, biće prosleđeno vašem kućnom računaru, ako ste taj računar smestili u DMZ. Klijent koji se nalazi u DMZ u potpunosti je izložen internetu, bez obzira na adrese, portove i protokole saobraćaja koji do njega stiže, što otvara mogućnost da u DMZ stavite neki web server, FTP server na kome stoje fajlovi kojima treba da pristupite sa udaljene lokacije ili game server na kome možete da hostujete neku video-igru. Nažalost, ova potpuna izloženost je ujedno i mana DMZ koncepta – svaka zlonamerna akcija pokrenuta sa interneta ka vašoj javnoj adresi, stići će do DMZ, jer ne postoji ništa što bi je zaustavilo. U DMZ se po pravilu postavljaju samo serveri za koje je izloženost napadu rizik koji se može prihvatiti, zbog čega verovatno nije dobra ideja da svoj kućni računar ubacite u DMZ.

Finija kontrola koja dozvoljava da se precizno definiše koja će vrsta saobraćaja i pod kojim uslovima završiti na kom kućnom klijentu, postiže se korišćenjem Port Forwarding (negde se naziva i Port Mapping) funkcije na kućnom ruteru. Premda sav saobraćaj stiže po istoj IP adresi, različite aplikacije koriste različite TCP/UDP portove, i upravo broj porta se koristi kao identifikator koji određuje prema kom klijentu će biti usmeren saobraćaj. Remote Desktop, na primer, koristi port 3389, pa je u ovom slučaju kućni ruter potrebno podesiti tako da saobraćaj koji stiže na WAN stranu (javna adresa) po ovom portu preusmerava po istom tom portu, na jednu određenu privatnu adresu na LAN strani. Naravno, na toj privatnoj adresi nalazi se računar sa kojim se ostvaruje Remote Desktop konekcija. Na sličan način se unutar kućne mreže može podići i web server, samo onda treba uvesti pravilo kojim se HTTP saobraćaj (obično port 80 ili 8080) preusmerava na privatnu adresu na kojoj se u kućnoj mreži nalazi web server. Jedna korisna primena je i daljinski pristup IP kamerama koje čine kućni sistem video-nadzora, one često imaju integrisan web browser, s tim što je kod njih preporučljivo korišćenje bezbednog protokola, HTTPS, po portu 443.

Šta ako imate dva web servera ili dve kamere? Malo je komplikovanije, ali i za to ima leka: možete, recimo, da uvedete pravilo da se HTTPS zahtev po portu 443 preusmerava po istom tom portu na jednu privatnu adresu, dok se HTTPS zahtev po portu 442 preusmerava na neku drugu adresu i usput mu se port menja u 443. Onda samo treba upamtiti da kada pristupate preko interneta obema kamerama prilazite po istoj adresi iza koje u web browser-u stavljate dvotačku i broj porta: 443 za prvu kameru, a 442 za drugu.

Problem drugi: adresa koja se stalno menja

Sve ovo lepo funkcioniše dok se adresa ne promeni, što se redovno dešava otprilike jednom dnevno. Razlog za to je što i javne adrese dodeljuje provajderov DHCP server i njihovo trajanje je ograničeno (tzv. leased time). Takve adrese nazivaju se dinamičke IP adrese. Fiksne i statičke adrese se međusobno razlikuju po nekim detaljima kako je njihova dodela realizovana u mreži provajdera, ali sa tačke gledišta prosečnog korisnika one su vrlo slične: ne menjaju se (što je dobro) i dodatno se plaćaju (što je loše). Realno stanje stvari je da ćete u kućnim uslovima gotovo izvesno imati posla sa dinamičkom javnom adresom, pa će se čitava priča o daljinskom pristupu svesti na to da zovete telefonom nekog od ukućana da bi proverio i javio vam koja je trenutno aktuelna adresa. Naravno, pod uslovom da uopšte ima nekog kod kuće u tom trenutku, da taj neko ume i da je voljan to da uradi.

Srećom, neko se dosetio da taj zadatak poveri onome ko je stalno budan i raspoložen za posao – računarima i mrežnoj opremi. Rad dinamičkih DNS servisa zasniva se na klijentskom softveru koji je instaliran negde u kućnoj mreži i čiji je zadatak da se redovno javlja matičnom serveru. Server pamti s koje se javne IP adrese klijent poslednji put javio i tako uvek ima ažuran podatak o javnoj adresi iza koje se nalazi cela kućna mreža.

Pri prijavljivanju za dinamički DNS servis, korisniku se dodeljuje jedinstveni URL iza koga se krije njegova kućna mreža. Klikom na ovaj URL kontaktira se server dinamičkog DNS provajdera koji onda usmeri zahtev baš na onu adresu koja je trenutno aktuelna. Neki od poznatijih web servisa za dinamički DNS su DynDNS (www.dyndns.com) i No-IP (www.no-ip.org), mada postoje i mnogi drugi slični servisi koji nude besplatno otvaranje naloga i korišćenje uz manja ili veća ograničenja. Većina kućnih rutera ima podršku za nekoliko najpoznatijih dinamičkih DNS servisa, pa je potrebno da odaberete neki koji vaš ruter podržava, otvorite nalog na njemu i zatim u ruter unesete podatke za pristup za taj nalog (obično su to korisničko ime i lozinka). Međutim, postoji jedan problem koji se često javlja u praksi – proizvođači rutera implementiraju klijente za dinamički DNS na neki svoj način i obično ne možete da utičete na njihov rad, pa su rezultati ponekad nepredvidivi. Neki od njih jednostavno ne funkcionišu, drugi rade toliko dobro da ih zbog previše čestog javljanja server dinamičkog DNS servisa stavlja na crnu listu kao zlonamerne. Alternativa je korišćenje softverskog klijenta – DynDNS servis, na primer, nudi besplatan klijentski softver koji možete da instalirate na bilo koji PC računar u vašoj mreži i fino ga podesite da radi baš onako kako vama odgovara. Naravno, da bi stvar radila, taj PC računar mora da bude stalno uključen.

Druga (besplatna) rešenja za nas ostale

Ako ste prilikom sklapanja ugovora za pristup internetu ruter dobili od provajdera, sva je prilika da im se neće dopasti da vi nešto prčkate po ruteru, pa vam zbog toga neće rado ustupiti pristupne šifre. Rutere nekih provajdera su odavno „provalili“ dovitljivi korisnici i šifre za pristup se mogu naći po forumima na internetu, ali ako vam se ne dopada da zalazite u sivu zonu legalnosti ili vam se jednostavno čini da niste dovoljno vični da biste izašli na kraj s podešavanjem rutera, postoje i druga rešenja.

Jedno od njih je Hamachi, softver za pravljenje VPN konekcija, koji se može besplatno preuzeti sa interneta. O VPN tunelima smo govorili u prošlom broju, oni su logička veza između dva računara koja se ostvaruje posredstvom interneta. Hamachi zaobilazi komplikaciju sa uspostavljanjem VPN konekcija između servera i klijenta, tako što se oslanja na server na javnom internetu s kojim pojedinačni računari uspostavljaju VPN tunele. Na kućni računar se instalira Hamachi softver i definišu ime mreže i lozinka za pristup. Nakon toga se svaki računar na kome je pokrenut Hamachi može pridružiti ovoj mreži ako njegov vlasnik zna ime te mreže i lozinku. Svaki računar pod Hamachi-jem dobija još jednu virtuelnu mrežnu konekciju sa sopstvenom IP adresom, a krajnji rezultat je da svi računari koji su prijavljeni u istu Hamachi mrežu funkcionišu kao da su unutar iste lokalne mreže. Dakle, bez obzira na to gde se nalazite, računar koji imate kod sebe funkcionisaće kao da je umrežen direktno u vašu kućnu mrežu, pa možete da radite kao da ste kod kuće. Podaci koji se na ovaj način prenose preko interneta kriptovani su iz bezbednosnih razloga. Hamachi je zgodan i za povezivanje različitih, međusobno udaljenih LAN mreža (recimo, kućne mreže, mreže na poslu i mreže nekog vašeg prijatelja) u jednu jedinstvenu „virtuelnu“ LAN mrežu.

Pored Remote Desktop funkcije koju ima Windows, udaljenim računarima u vašoj kućnoj mreži možete da dirigujete i pomoću softvera za daljinsko upravljanje koji ćete instalirati na njih. Postoji čitav niz VNC (Virtual Network Computing) softvera, kao što su RealVNC, UltraVNC, TightVNC itd., čiji se rad zasniva na sličnim principima i koji se mogu instalirati pod različitim operativnim sistemima, neki čak i na smart telefonima i drugim mobilnim uređajima. Mnogi su međusobno kompatibilni, a većina se, bar u osnovnoj verziji za privatne potrebe, može besplatno preuzeti sa interneta. Oni podrazumevaju instalaciju serverske aplikacije na računar kome se pristupa i klijentske na računar s koga se pristupa, tako da se pri uspostavi veze sadržaj ekrana serverskog računara prikazuje na klijentskom i klijent preuzima kontrolu nad mišem i tastaturom servera. Na taj način se ostvaruje puna kontrola nad udaljenim računarom, kao da sedite za njegovim komandama.

Jedna od popularnijih aplikacija ove vrste je i TeamViewer, koji je interesantan i zbog činjenice da ne zahteva instalaciju softvera, već je dovoljno da se izvršna aplikacija pokrene na dva udaljena računara, što je moguće čak i ako korisnik na njima nema administratorske privilegije. Na udaljenom računaru čak ne mora ni da se pokreće sama aplikacija, jer postoji mogućnost pristupa direktno kroz web browser uz Flash i HTML. Softver se može fino prilagoditi parametrima veze (npr., ako je veza spora, ne prenose se sadržaji koji nisu kritični, kao što je wallpaper desktopa računara), a softver ima i podršku za kopiranje i prenos fajlova, tako da nema potrebe da sami sebi šaljete mejl sa fajlom koji vam je potreban. TeamViewer je zgodan za upravljanje usamljenim udaljenim računarom, ali ima i integralnu instant messaging aplikaciju koja uz deljenje prikaza ekrana čini ovu aplikaciju odličnom za održavanje prezentacija i sastanaka sa udaljenim poslovnim partnerima. I u tom slučaju su podaci koji se prenose preko javnog interneta zaštićeni, i to 256-bitnim AES kriptovanjem. 

 

Mladen Mijatović


* Ovaj tekst je star 1201 dana, pa neke činjenice u međuvremenu mogu biti izmenjene

Srodne vesti:




Comments are closed.