Udaljena radna površina
Kako pristupiti računaru u firmi sa kućnog PC-ja? Kako iz sveta doći do svoje kućne mreže? Mnogo je rešenja i mnogo softvera koji to omogućavaju, pod uslovom da kupite, instalirate, podesite… Da vidimo kako se udaljeni pristup obezbeđuje iz Windows‑a… bez dodatnih alata.
Internet veze velikih brzina, donose mnoge prednosti pored prve i očigledne – „trenutnog“ otvaranja Web sajtova. Druga prednost je svakako preuzimanje velikih datoteka i gledanje Internet sadržaja koji zahtevaju veliki protok. Mnogi servisi nude prenos glasa preko Interneta, što istini za volju ne troši mnogo propusnog opsega, ali YouTube i drugi video servisi znaju značajno da opterete vezu. Ukratko, rad na Internetu je lepši i lakši. Ipak, nije sve u zabavi – brza veza nam omogućava rad od kuće i pristup radnim stanicama i serverima na radnom mestu. No, konfigurisanje odgovarajuće veze nije uvek jednostavno.
TeamViewer i slični servisi
Microsoft Windows XP Pro je prvi Microsoft‑ov operativni sistem koji je uključivao servis za udaljen pristup radnoj površini. Iako je u to vreme postojalo mnogo različitih sistema koji pružaju ovu uslugu, Remote Desktop Connection (RDC) je doneo dve očigledne prednosti: jednostavnost i brzinu. Za veće mreže njegova kontrola i podešavanje su centralizovani, dok za manje mreže bez servera treba ručno podesiti svaki računar. Zbog bezbednosti, logovanje na RDP je onemogućeno korisnicima koji nisu administatori i koji nemaju definisanu lozinku. Ovo se može promeniti, mada je moja preporuka da imate lozinku i da ona bude složena, da biste sačuvali privatnost podataka.
U okviru loklane mreže upotreba RDP je laka. Pokrenete ga sa Start / Accessories / Remote Desktop Connection, unesete IP adresu drugog računara ili njegovo ime i… na njemu ste. Ostaje samo da unesete korisničko ime i lozinku za pristup. Na lokalnoj mreži verovatno nećete ni primetiti da radite na udaljenom računaru – ne očekujte da zahtevne grafičke aplikacije rade kao u lokalu, ali će sve drugo funkcionisati bez problema.
Problem nastaje u trenutku kada poželite da pristupite računaru spolja, sa neke udaljene lokacije ili iz druge mreže. Postoje razna rešenja za ovakve zadatke, od kojih je možda najpoznatiji TeamViewer. Program je toliko popularan da se njegovo ime koristi kao sinonim za sve udaljene veze. Pretpostavljam da im možete ukazati poverenje, ako vam je višegodišnja tradicija uspešnog poslovanja dovoljna, a prednost je i podrška za povezivanje mašina koje rade po raznorodnim operativnim sistemima.
TeamViewer mora da bude startovan na oba računara koja želite da povežete i morate imati startovan program. Veza se ostvaruje uz posredovanje TeamViewer servera, a najlepše je to što nema podešavanja rutera i firewall‑a. Čim čuju da nešto treba menjati na ruteru, značajan deo korisnika naprosto odustane od čitavog posla, a u korporativnim mrežama pravo na ta podešavanja nije svakome dato – dobro konfigurisan ruter je preduslov za bezbednost sve opreme koja se nalazi iza njega.
Iako je TeamViewer besplatan za nekomercijalnu upotrebu, neke od mogućnosti postaju dostupne tek kada platite licencu. Postoje dve vrste licenci, a cene nisu pristupačne. Ono što je meni zanimljivo košta oko 1.000 evra, što znači da imam 1.000 dobrih razloga da izbegavam ovo rešenje. Hiljadu i prvi razlog je što ne volim da se oslanjam na zaštitu meni nepoznatog sistema – svakog dana se može čuti kako su se hakeri dočepali podataka o platnim karticama, šiframa i drugim privatnim podacima tako što su pronašli rupu u nekoj zaštiti. Ne znam da li je TeamViewer nekad bio meta napada, ali ne bih o tome da razmišljam.
Vratimo se zato onome što nas neće mnogo koštati, a za čiju bezbednost smo sami zaduženi – Remote Desktop Connection, RDP. Pokušajmo da otvorimo bezbedne kanale za pristup i van lokalne mreže.
RDP na delu
RDP ima veliku prednost kod administracije udaljenih računara i servera. Iako već dugo postoje razni programi slične namene (na primer VNC), Remote Desktop ne zahteva da instalirate bilo kakve dodatne programe, podešavate servere i klijente, pa ni da plaćate licence. Postoje neke sitne razlike koje mogu dati prednost VNC‑u, ali one su bitne u retkim situacijama, pa ćemo ih za sada ignorisati.
Da bi RDP radio, treba podesiti lozinku ili preko polisa dozvoliti logovanje korisničkih naloga koji nemaju lozinku. Pošto podatke želimo da učinimo dostupnim ali i bezbednim, izabraćemo složenu lozinku, sa što više različitih znakova – malih i velikih slova, brojeva itd. Zatim ćemo dozvoliti pristup radnoj površini kao na gornjoj slici (desni klik na Computer, pa onda izbor Properties; na Windows‑u 7 potreban je još jedan korak, Advanced system settings). Dodaćemo korisnike preko Select Users.
Na Windows ‑u 7 u nekim situacijama možete izabrati treću opciju, Network Level Authentication. Njome se povećava bezbednost veze, ali i umanjuje kompatibilnost s drugim klijentima. Na primer, ako Windows 7 računaru želite da pristupite pomoću klijenta koji ne podržava NLA, veza neće biti moguća. Pošto je nama želja da računaru pristupimo preko raznih, pa često i neobičnih klijenata, izabraćemo srednju opciju, kao na slici.
Kada podesite sve opcije, možete probati da pristupite računaru iz lokalne mreže. Ako nemate drugi računar pod Windows‑om, možete probati sa tableta ili mobilnog telefona koji ima iOS ili Android. MacOS takođe ima ugrađen RDP klijent, pa možete i njega koristiti. Na Android uređajima koristim 2X Client RDP/Remote Desktop. Ukoliko je port 3389 za RDP otvoren na firewall‑u računara, ubrzo ćete ugledati desktop.
Sistemski firewall je unapred pripremljen za RDP, pa možda treba samo dozvoliti pravilo. Otvorite Windows Firewall u Control Panel‑u, zatim izaberite Advanced settings. U otvorenom prozoru označite Inbound Rules sa leve strane, pa u listi pronađite Remote Desktop (TCP‑In) – označite ga i u Actions panelu kliknite Enable.
S druge strane tunela…
Kada RDP proradi iz lokalne mreže, poželećemo da ga koristimo i sa udaljene lokacije. Jednostavniji način je direktan pristup, bez uspostavljanja VPN. Doduše, jednostavnost rešenja je u direktnoj vezi sa vašim poznavanjem podešavanja rutera, pa i vrste rutera koji koristite. Kratko rečeno, treba da prosledite TCP port 3389 na računar koji želite da daljinski kontrolišete. Ako ste već radili slične stvari, dalje objašnjenje vam nije potrebno. Ako niste… pa, krenućemo redom. Većina današnjih rutera je prilagođena početničkom znanju, ali različiti proizvođači često iste stvari nazivaju potpuno drugačije, pa nemojte očekivati univerzalno uputstvo. U ovom tekstu će biti prikazano podešavanje TP‑Link WR941ND bežičnog rutera, ali verujem da ćete na sličan način podesiti i druge rutere.
Da biste uopšte bili na Internetu, morate imati IP adresu koja je stalno ista ili se (kod većine korisnika) s vremena na vreme menja. Tu tzv. javnu adresu dele svi uređaji u vašoj kućnoj mreži – računar, tablet, telefon, medija plejer… oni imaju i svoje lokalne adrese (one obično počinju sa 192.168 ili sa 10.0), a preusmeravanje spoljnog saobraćaja na lokalne računare se vrši na ruteru. Kod većine rutera ovo se kontroliše u sekciji koja se zove (Port) Forwarding, Firewall ili NAT. Iz lokalne mreže otvorite konzolu za podešavanje rutera. Ukoliko nije unapred dozvoljeno da se ova konzola otvara preko bežične veze, pokušajte sa računara koji je povezan kablom. Na gornjoj slici prikazan je izgled stranice Virtual Servers za na TP‑Link WR941ND ruteru gde se vide tri definisana pravila.
Prvo pravilo služi da standardni zahtev za RDP vezom preusmeri sa javne adrese na lokalnu 192.168.60.1. Da bi ste pristupili svom računaru unutar lokalne mreže, morate znati javnu adresu dodeljenu ruteru. Možete je naći na samom ruteru – stranica Status / sekcija WAN ili otvorite whatismyipaddress.com. Ukoliko nemate fiksnu javnu IP adresu (obično se ona dodatno plaća), potražite drugo rešenje na www.dyndns.org i sličnim servisima.
Nakon što postavite prvo pravilo, sa bilo kog računara u svetu koji ima pristup internetu (van vaše mreže), možete startovati RDP klijent, uneti javnu IP adresu vašeg doma ili kancelarije i nakon nekoliko sekundi ćete biti na svom računaru, (skoro) kao da sedite za njim.
Treće pravilo na slici predstavlja malu zaštitu od robota koji skeniraju javne IP adrese i pokušavaju da se na njih prijave preko standardnih portova. Tu je definisan drugi „ulazni“ port (51111), koji će ruter usmeriti na standardni RDP 3389 port, ali prema pravilu na drugi računar, čija je lokalna adresa 192.168.60.3. Jedina „otežavajuća“ okolnost je što adresa računara sada treba da sadrži i port: XX.XX.XX.XX:51111.
Još jedna prednost upotrebe nestandardnog dolaznog porta je u tome što tako možete iza jedne javne IP adrese „sakriti“ više računara. U našem primeru, prvo pravilo usmerava RDP na prvi računar, a treće pravilo na drugi. Nema ograničenja u broju pravila, ali kada birate portove, koristite one koji nemaju neku standardnu namenu. Takvi su skoro svi portovi čiji je broj preko 50000.
…privatna mreža
Za nas koji nemamo mnogo poverenja u bezbednost Interneta, postoji mogućnost pravljenja virtuelnih privatnih mreža (VPN). Nakon uspostavljanja veze, udaljeni računar će dobiti IP adresu iz opsega privatne mreže, pa će svi resursi te mreže biti dostupni kao da se računar nalazi u njoj. Svi računari, serveri, štampači i druga oprema biće dostupna bez razlike. Koliko je ovo dobro jer stvara bezbedan pristup mreži, može biti i loše ako neko dođe do parametara za uspostavljanje tunela. I ovde važi isto pravilo: komplikovane lozinke treba čuvati kao veliku tajnu.
Evo kako da od našeg Windows 7 računara napravimo server koji će prihvatati dolazne VPN veze. Kliknite na Start dugme i u prozoru kucajte Network Connections. Otvorite tu sekciju pa pritisnite F10 ili Alt+F da se otkrije meni. U File meniju postoji opcija New Incoming Connection. Nakon nekoliko jednostavnih pitanja VPN server će biti spreman.
Sada ostaje još da usmerite PPTP saobraćaj na adresu računara koji će prihvatati dolazne VPN veze. Na slici je ovo pravilo prikazano pod rednim brojem 2, a izabran je lokalni računar čija adresa je 192.168.60.2. Ukoliko koristite VPN, nije potrebno da definišete pravila za RDP, jer će ona nakon uspostavljanja VPN biti nepotrebna – računari se ponaša kao da je povezan na isti switch.
Deljenje podataka
Prednost udaljene veze je što brzo i lako možete koristiti programe i podatke instalirane na računaru. Rad sa elektronskom poštom, izmena dokumenata i slične operacije biće raspoložive ma gde da se nalazite. Ne morate voditi računa gde ste sačuvali neku datoteku i sa kog računara se odgovorili na neko pismo. Brzina rada u skoro svim programima biće ista kao da sedite za tim računarom – preko Interneta se u jednom smeru prenosi slika sa ekrana, a drugom komande tastature i miša.
Ti podaci nisu veliki, utoliko pre što se po ovom protokolu prenose samo izmene, koje vezu ne opterećuju mnogo. Izuzetak su programi koji indukuju veći protok, poput reprodukcije filmova ili gledanje fotografija.
Pre ili kasnije poželećete da prenesete i neki fajl, što nije jednostavno. Pre svega, brzina prenosa datoteka zavisi od najmanje brzine koja postoji između dve tačke, a ADSL ili kablovski internet retko kada dozvoljavaju veće odlazne brzine od 1 Mbps. To jeste dovoljno za datoteke do nekoliko megabajta, ali ne i za veće.
Za veću udobnost vredi razmisliti o nekom drugom rešenju: probajte Dropbox, Box, Mega i slične online servise. Ipak, da bismo upotpunili temu, opisaćemo dva načina za prenos datoteka. Prvi je preko Remote Desktop Connection‑a, a drugi direktnom vezom kroz tunel.
Pre uspostavljanja veze, otvorite opcije u Remote Desktop Connection. Na kartici Local Resources kliknite na More i označite kom lokalnom disku želite da pristupite sa udaljenog računara, onog čiju ćete radnu površinu videti klikom na taster Connect. Izabrali smo disk C: na udaljenom računaru, pa će se on pojaviti među lokalnim diskovima udaljenog računara kao na slici levo. Putanja do nekog od foldera izgleda ovako: \\tsclient\C\Users\user\Documents, pa eto načina da programima sa udaljenog računara menjate lokalna dokumenta.
VPN dozvoljava direktnu razmenu podataka sa udaljenim računarom. Nije potreban RDP, a jedino što treba da znate je putanja. Ona se sastoji od IP adrese i naziva deljenog foldera, pa može da glasi \\192.168.60.1\diskC.
Miljan Jovanović
(Tekst objavljan u časopisu PC#199)
Pingback: Udaljena radna površina - Web-novine.com | Web-novine.com
Pingback: Udaljena radna površina | eTacka