VPN a ovládání domácí regulace
Nepochopení základů síťových technologií, a potažmo internetu, znamená nevyužití řady možností, které prostředí internetu nabízí profesím topenáře, instalatéra, projektanta, instalačním firmám atd. A to mnohdy i zdarma, což je v dnešní době dosti překvapivé.
V předcházejících článcích (Topenářství instalace č. 1 a 2/2013) jsme si vysvětlili, že pro spojení v internetu je nutná IP adresa. Tedy i pro naši průběžně sledovanou úlohu ovládání domácí regulace vytápění na dálku po internetu z aplikace v mobilním telefonu. Uvedli jsme příklad, jak zjistit IP adresu na naší domácí přípojce. Nejčastěji jde o její dynamickou formu, kdy se veřejná IP adresa mění občas, ale třeba i při každém spojení na internet. Když si pořídíme trvalou, pevnou veřejnou IP adresu, musíme za ni sice připlácet, ale propojení aplikace v mobilním telefonu s regulací doma je jednodušší. Nechce-li se nám připlácet, a máme tedy dynamickou veřejnou IP adresu, pak potřebujeme prostředníka, například službu DynDNS, který průběžně zjišťuje právě aktuální veřejnou IP adresu na naší domácí přípojce. Prostředník pak umožní, aby aktuální příkaz ke zvýšení teploty v obývacím pokoji, zadaný do aplikace v telefonu, našel naši domácí přípojku na internet a následně byl předán do regulace. Na závěr předchozího pokračování jsme se zmínili, že vedle služby DynDNS existuje ještě jedna možnost, jak vystačit doma s dynamickou IP adresou, a to je VPN.
VPN je zkratka z anglických slov virtual private network, čemuž odpovídá český překlad virtuální privátní síť. Internet, to je síť veřejná. Vše, co po ní putuje, je více méně všude dostupné, veřejné. Pokud se o problematiku zajímáte více, tak víte, že zejména „vyšší úřednictvo“ by tuto svobodu v rámci jimi určovaného „vyššího principu mravního“ chtělo omezit a stejně tak je tato svoboda solí v očích operátorů pevných i mobilních telefonních služeb, neboť se poprvé v historii musí potýkat nejen s konkurencí mezi sebou, ale i s konkurencí mimo jejich spolek.
To, že si v internetovém bankovnictví nemůžete přečíst platby na účtu vašeho souseda, ačkoliv na vlastním účtu ano, je dáno několika funkcemi. A to je i základem VPN. VPN se přirovnává k bezpečnému tunelu. Tím se myslí, že si v prostředí internetu jakoby vytvoříme privátní tunel, kudy proudí bezpečně (šifrovaně) jen naše informace mezi dvěma cílovými zařízeními. Důležité je, že informace jsou jen nám známým způsobem zašifrovány a mají potřebnou IP adresu, na které jsou přijaty, dešifrovány a předány k přijetí „vyložení“ nebo odeslání „naložení“ informace. Dobře, ale jak můžeme VPN využít pro komunikaci mezi aplikací v mobilním telefonu či notebooku a domácí regulací, aniž bychom doma měli pevnou IP adresu?
Především je na začátku nutné uvést, že podobně jako u služby DynDNS, popsané v předchozím díle, i s VPN potřebujeme prostředníka. Jenže v případě VPN ho můžeme mít plně pod kontrolou. Můžeme si ho totiž nainstalovat i do vlastního počítače. Jedinou podmínkou je, aby tento počítač byl připojen na internet pod pevnou IP adresou. Teď si asi říkáte, co je to za blbost, neboť na začátku jsme uvedli, že se na domácí regulaci dostaneme i bez pevné IP adresy. Je to tak, ale tím vlastním počítačem nemyslíme počítač na domácí přípojce s dynamickou veřejnou IP adresou, ale v podstatě jakýkoliv jiný na přípojce s pevnou IP adresou. Samozřejmě toto tvrzení nelze brát doslova, ale cožpak v řadě i malých firem trvale neběží nějaký počítač plnící funkci serveru? Pro malou firmu s pěti, deseti počítači připojenými do firemní sítě, nemusí jít o žádný supervýkonný počítač. Mnohé z firem si na svém serveru dokonce udržují i vlastní webové stránky. Takový server se bez pevné veřejné IP adresy neobjede, takže ji firma platí. A tím máme v prostředí internetu pevný bod, na který je spolehnutí, protože si za něj připlácíme navíc.
Co k tomu potřebujeme? Technicky ani softwarově nic moc navíc. Především potřebujeme pro domácí přípojku vhodný router, což je vlastně specializovaný počítač. Jak jsme uvedli v prvním dílu, tak jde o tu krabičku, kterou je nutné vložit mezi přípojku na internet a počítač. Důležité je, aby router disponoval funkcí VPN, přičemž se nejčastěji můžeme potkat s implementací nazývanou OpenVPN (respektive ji lze na hodně routerů doinstalovat pomocí speciálního firmwaru). Jestliže nikoliv každý router umožňuje službu – funkci DynDNS, pak totéž platí pro VPN. V podstatě jde o to, že domácí router musí umět sám navázat spojení z jakékoliv veřejné dynamické IP adresy na předem definované místo v internetu, tj. onen pevný bod (např. PC na veřejné IP adrese v naší kanceláři). Domácí router si v určitých intervalech sám zjišťuje, zda je spojení stále aktivní, a pokud není, provede jeho navázání znovu na daný pevný bod, kde zanechá informaci o své, právě platné IP adrese. A kromě toho musí být schopen šifrovat a dešifrovat informace, které jsou pro tento VPN spoj určeny.
Pevný bod, kam domácí router navazuje vždy spojení, se nazývá VPN koncentrátor. To není nic jiného než nějaký software (např. OpenVPN, viz http://openvpn.net nebo pěkná česká stránka http://home.zcu.cz/~ondrous/) běžící třeba na vašem firemním serveru. Podobně jako u služby DynDNS si to můžeme představit jako od ostatních dat na serveru oddělené nádraží s řadou výhybek. Na každou kolej je napojen jeden „tunel“, kanál atp. Protože server má pevnou IP adresu, snadno vyhledává informace posílané na jeho adresu z prostředí internetu. VPN koncentrátor pak jednoznačně nastavuje výhybky a tak propojí i kolej vedoucí od aplikace v telefonu (notebooku) s kolejí k domácímu routeru a regulaci.
Pro vytvoření koncentrátoru VPN potřebujeme software. Existuje jich více, na internetu je ke stažení dokonce i zdarma (např. již zmíněný OpenVPN). Instalace tohoto software včetně nastavení zařízení, kterým bude povolen vstup do VPN, může být v jednodušším případě záležitostí jen dvou hodin práce profíka.
Proč se softwaru, běžícímu na serveru, říká koncentrátor? Na počátku jsme uvedli, že VPN znamená virtuální privátní síť. To znamená, že do koncentrátoru může vést více „tunelů“, že se v něm tedy koncentrují, propojují. Koncentrátor je od toho, aby z vagónků putujících po internetu vybíral ty správné odeslané z přípojek s přesně specifikovanými adresami včetně těch, které mu routery s dynamickou IP adresou nahlašují. Umožní připojení například jen těm mobilním telefonům, které jsou na něm zaregistrovány. V prvopočátcích využívání VPN se takto propojovaly pouze počítače a budovaly se vnitropodnikové sítě, do kterých bylo nutné zahrnout i pobočky podniku dostupné jen po internetu. Co dříve s bídou stíhaly velké počítače, dnes bravurně zvládají mobilní telefony, a tak se oblast využití VPN mnohonásobně rozšiřuje. Se službou VPN máme pod kontrolou šifrování dat a především do námi vytvořené sítě VPN přes koncentrátor pustíme jen ta na veřejný internet napojená zařízení, která chceme. Případné vypnutí VPN je jen v naší moci.
Spojení po VPN probíhá vždy zašifrovaně. Mnohonásobně se tím zvyšuje utajení a bezpečnost dat oproti běžné komunikaci s přípojkou na pevné IP adrese nebo přes službu DynDNS. Kdo není pro připojení na koncentrátor dané sítě VPN nakonfigurován, ten se tam nedostane. Typickým příkladem je přenos dat z pokladen ve velkých supermarketech z různých částí republiky do jednoho řídicího centra, občas i včetně záběru z kamery, odkud bývá možnost třeba i zablokovat funkci pokladny, pokud hrozí krádež. Nepřipomíná vám to něco? Je to velmi podobné různým dispečerským systémům pro řízení zdrojů tepla, sběru a vyhodnocování dat z měřičů tepla, vody a zpětné ovlivňování chodu nejrůznějších zařízení.
Někteří velcí výrobci regulací, a navazujících prvků, komunikaci po internetu zatím příliš nepodporují. Zdůvodňují to opatrností, aby se zachovala bezpečnost řídicích systémů a oddělení od agresivního prostředí internetu. Jiným důvodem, o kterém se moc nemluví, je skutečnost, že zařízení přizpůsobená komunikaci po internetu jsou mnohem více vystavena konkurenčnímu boji. Očekává se však, že již velmi blízká budoucnost tuto praxi změní.
VPN umožňuje, s využitím firemního serveru, si zajistit spolehlivou cestu k domácí regulaci. Tato aktivita se může stát například i jedním z bonusů, které firma poskytne svým zaměstnancům. U malých firem je až s podivem, že se tato varianta nevyužívá častěji. Jak jsme uvedli na počátku: „Nepochopení základů internetu znamená nevyužití řady možností, které prostředí internetu nabízí profesím topenáře, instalatéra, projektanta, instalačním firmám. A to mnohdy i zdarma.“ Protože cokoliv můžete přes internet sledovat a řídit doma, totéž můžete činit ve prospěch svých současných, ale i budoucích zákazníků.
Poděkování
Tato práce byla podpořena Grantovou agenturou České republiky prostřednictvím projektu 13-02149S.