Z podziwem patrzymy na umiejętności profesjonalnego administratora, który kilkoma kliknięciami może dostać się na dowolny komputer w firmowej sieci rozproszonej po całym kraju, odczytać zawarte w nim dane, uruchamiać zdalnie zainstalowane lokalnie programy, a nawet ingerować w ustawienia BIOS-u. Zamiast zazdrościć niesamowitych umiejętności, sami zbudujmy mechanizm zdalnego dostępu, i to bez inwestycji w nowy komputer biznesowy wyposażony w chipset obsługujący zarządzanie przez sieć. Wszystko, co jest do tego potrzebne, prawdopodobnie macie już w domu. Pokażemy, jak to prosto zrobić.
Wzór do naśladowania: pełny zdalny dostęp
Zacznimy od sprawdzenia, co właściwie potrafi zdalne sterowanie biznesowego peceta i jak tę wiedzę wykorzystać do sterowania zwykłym domowym komputerem.
Otóż na obudowach biznesowych pecetów znajdziemy logo Intel vPro. Oznacza, że maszyna ma wszystko, co potrzebne, by działał zdalny dostęp – Intel nazywa to rozwiązanie Active Management Technology (AMT). Do pełni szczęścia potrzeba jeszcze narzędzia administracyjnego Intel IT Director. Kiedy tylko IT Director zostanie zainstalowany na wszystkich komputerach znajdujących się w firmowej sieci, administrator będzie mógł w stacjach użytkowników sprawdzić ustawienia firewalla, skanera antywirusowego czy też zdalnie zablokować porty USB. Aby można było mówić o faktycznym zdalnym dostępie, komputer musi się dać zdalnie wyłączać i włączać (start na zimno), musi być możliwy transfer danych i bezpośredni dostęp do klawiatury, myszy i funkcji wideo. Wszystkie te zadania administrator uruchamia z poziomu IT Directora. Operacja wydaje się banalna: wystarczy aktywować obsługę technologii technologię vPro.
Nasz test pokazał, że w praktyce nie działa to tak prosto. Okazuje się, że aby dostać się do naszego firmowego komputera z Internetu, trzeba przebić się przez skomplikowane zabezpieczenia firmowej sieci. Zdalne sterowanie, owszem, dobrze działa, ale tylko na komputerach znajdujących się w jej obrębie. Streamowanie filmów w Sieci itp. jest w ogóle niemożliwe, a większość oferowanych funkcji ogranicza się do prac serwisowych i kontrolnych. To nas akurat nie zdziwiło: w końcu przecież dane firmy muszą być jak najlepiej zabezpieczone. I jeszcze jedno… vPro jest super, ale ponieważ wymagania dotyczące bezpieczeństwa w sektorze biznesowym są znacznie wyższe, to nie da się uniknąć kontaku z wszelkiego rodzaju “Policies”
i “Transport Layer Security”.
Alternatywa: rozwiązanie dla użytkowników prywatnych
Nawet jeśli nie macie profesjonalnej wiedzy o sieciach i nie chcecie wydawać pieniędzy na komputer klasy biznes, możecie sami znaleźć równie skuteczne, a przy okazji mniej skomplikowane rozwiązanie. Są do tego potrzebne ruter obsługujący funkcje zdalnego dostępu i kilka narzędzi do sterowania przez sieć.
Zimny start
Otwórzcie BIOS i ustawcie funkcję »Wake on LAN« na »Enabled«. Niektóre płyty główne wymagają także włączenia funkcji »Power On By PCI Devices«. Aby ruter mógł później wybudzać peceta, to ten bezpośrednio bądź przez hub powinien być połączony z łączem LAN rutera. Ruter będzie mógł uruchamiać peceta ze stanów ACPI S3 (Standby), S4 (stan wstrzymania) i S5 (wyłączony). Odbywa się to przez specjalny pakiet danych (Magic Packet). Ruter wyśle go do komputera, kiedy z dowolnego peceta wydacie takie polecenie.
Tak jak biznesowy komputer z technologią vPro również normalny pecet pobiera prąd w trybie wyłączenia. Zasilanie jest potrzebne, aby karta sieciowa była w stanie rozpoznać Magic Packet. Karta sieciowa – tak samo jak płyta główna – musi obsługiwać APM (Advanced Power Management) albo aktualny standard ACPI (Advanced Configuration and Power Interface)
i mieć stałe zasilanie. Zintegrowane układy sieciowe są zasilane z płyty głównej.
Ruter na sterydach
Teraz do zdalnego dostępu należy przygotować ruter. Niestety tego typu funkcję bardzo rzadko możemy znaleźć w tanich i popularnych urządzeniach dostępowych. Na szczęście jest na to sposób: wystarczy wymienić oryginalny firmware na jego wersję alternatywną.
W najlepszej sytuacji są użytkownicy ruterów z chipsetem firmy Broadcom (Linksys, Netgear, Buffalo, Asus, 3com, Cisco…), którzy w zależności od marki i modelu urządzenia mogą skorzystać z alternatywnych firmware’ów: DD-WRT (dd-wrt.com/site/index) lub Tomato (polarcloud.com/tomato). Na poszczególnych stronach znajdują się listy ruterów, które można udoskonalić, wraz z procedurą zmiany oprogramowania.
Na potrzeby tego artykułu skorzystaliśmy z rutera Linksys WRT160NL, w którym zmieniliśmy oprogramowanie wewnętrzne na firmware DD-WRT.
Domena rozwiąże kłopoty
Konfigurację rozpoczynamy od utworzenia darmowej domeny, która będzie działać mimo dynamicznego adresu DNS (ten krok możemy pominąć, jeśli mamy stały adres IP). W tym celu najpierw musimy założyć konto, np. na w serwerze DynDNS.com. Następnie wchodzimy w »My Services | Host Level Services« i klikamy »Add Host Services«. Teraz dodajemy domenę, wybierając polecenie »Add Dynamic DNS Host«. Aplikacja DynDNS powinna automatycznie wprowadzić adres IP naszej sieci WAN, jeśli tylko robimy to z poziomu domowego komputera. Następnie wybieramy nazwę domeny np. CHIPpoland.dyndns.org.
Czas na konfigurację rutera
Na komputerze, do którego podpięty jest ruter, wpisujemy do przeglądarki jego adres (najczęściej 192.168.1.1), wybieramy »Setup | DDNS« i wypełniamy poszczególne pola zgodnie z tym, co wprowadzililśmy w poprzednim punkcie. Zmiany akceptujemy poprzez »Apply Settings«. O prawidłowym działaniu świadczyć będą komunikaty w polu »DDNS Status«.
W kolejnym etapie przechodzimy do zakładki »Administration | WOL«. W panelu »Wake On Lan uaktywniamy funkcję WoL dla naszego komputera, zaznaczając pole »Enable WOL?«. Od teraz możemy budzić go z każdej maszyny, która podłączona jest bezpośrednio do rutera, naciskając przycisk »Wake Up«.
By można było budzić maszyny nie tylko z wewnątrz sieci, ale też z Internetu, np. podczas urlopu, musimy włączyć dostęp do rutera poprzez Sieć. W zakładce» Administartion« znajdujemy pole »Remote Access« i zaznaczamy pole »Enable« przy pozycji »Web GUI Management«. To wystarczy, żeby wejść do rutera i obudzić komputer, tak jak to zostało opisane powyżej. Jeżeli chcemy całkowicie pominąć dostęp do interfejsu rutera i podnieść tym samym jego bezpieczeństwo (nie trzeba wtedy włączać obsługi zdalnej przez WWW), musimy przekierować dodatkowo porty odpowiedzialne za przesyłanie Magic Packet’s.
Wchodzimy w zakładkę »NAT/QoS« i wybieramy »Port Range Forwarding«. Tutaj nadajemy nazwę naszym ustawieniom w polu »Application«, np. “Pobudka”, i określamy zakres portów potrzebnych, by Magiczny Pakiet zadziałał. Ponieważ większość aplikacji korzysta z portów UDP 7 lub 9, wprowadzamy w pola »Start« i »End« właśnie te wartości. Jako protokół wybieramy »UDP i podajemy adres peceta, do którego chcemy się dostać (znajdziemy go pod »Adres IPv4«, wydając polecenie »ipconfig« z poziomu Wiersza poleceń). Aby ruter w przyszłości nie zmienił przyznanego adresu, możemy go na sztywno przypisać do konkretnego komputera.
POBUDKA!
Aby zdalnie obudzić peceta, możemy wejść do naszego rutera z Internetu i wykonać czynności opisane powyżej lub skorzystać z jednego z serwisów (np. wakeonlan.me), a nawet z witryny generującej link do strony, która będzie pamiętać nasze ustawienia (depicus.com/wake-on-lan/woli.aspx). Jedyne, czego potrzebujemy, to adres MAC naszej karty sieciowej (poznamy go, wpisując w Wierszu poleceń komendę »ipconfig /all«) oraz nazwa ustanowionej w trzecim punkcie domeny lub adres IP rutera (WAN). Ostatni krok to naciśnięcie przycisku »Wake on LAN« na wybranej stronie.
Zdalna manipulacja: instalujemy oprogramowanie
Co prawda możemy już zafundować naszemu pecetowi zdalną pobudkę, ale pracować na nim na razie jeszcze się nie da. By można było coś zrobić, trzeba zainstalować aplikację TeamViewer (którą oczywiście znajdziecie na naszej płycie DVD).
Podczas instalacji wybieramy »Wyświetl ustawienia zaawansowane« i informujemy aplikację, że będziemy jej używać »tylko do celów indywidualnych«. Program można uruchomić też bez instalacji, tym samym więc możecie używać TeamViewera podczas wakacji na hotelowym komputerze. Jednak, aby skorzystać z wszystkich możliwości tego narzędzia, powinniśmy zainstalować jego pełną wersję.
Teraz musimy jeszcze zdecydować, co chcemy robić na wybudzonym komputerze. W celu realizacji scenariusza “dostęp do domowego komputera na urlopie” należy ściągnąć program TeamViewer Host z teamviewer.com. Narzędzie pozwala na dostęp do nienadzorowanych komputerów, włącznie z rebootem, logowaniem, wylogowywaniem i transmisją danych. Jeśli waszym celem jest zdalna pomoc w naprawie komputera, to poproście użytkownika tego komupera, aby ściągnął i uruchomił TeamViewer QuickSupport, który oferuje wszystko, co jest niezbędne do szybkiej naprawy peceta.
TeamViewer obsługuje 9-cyfrowe numery ID, które sprawiają, że skomplikowana konfiguracja sieci staje się zbędna. Narzędzie bezproblemowo pokonuje rutery i firewalle. Jeśli jesteśmy zalogowani na odległym komputerze, to będziemy mogli na nim uruchamiać programy, zmieniać ustawienia itd. Wbudowane narzędzia pozwalają także na takie akcje jak ponowne uruchamianie systemu, transfer danych czy komunikacja głosowa pomiędzy maszynami. Komunikacja TeamViewera jest zakodowana, ale jeśli wymagania bezpieczeństwa są wyższe, program oferuje utworzenie połączenia VPN. Niestety wtedy nie wszystkie możliwości sterowania będą dostępne.
Sterowanie za pomocą smartfona
Do tego celu godne polecenia jest narzędzie LogMeIn Free. Jego funkcjonalność jest zbliżona do tego co oferuje TeamViever, ale zapewnia ono dostęp do komputera nie za pomocą aplikacji, ale przez stronę WWW. Najważniejsze jest jednak to, że dzięki płatnemu dodatkowi (25 euro) pozwala też na zdalne sterowanie z iPhone’a, iPada lub telefonu z Adnroidem.
Na komputerze, do którego zamierzamy mieć dostęp przez WWW i komórkę, nie musimy nic instalować, choć przyda się plug-in oferowany przez LogMeIn. Cały proces nie zajmie nam więcej niż 5 minut. Wystarczy uruchomić przeglądarkę, wejść na LogMeIn.com i zalogować się za pomocą adresu pocztowego i hasła. Potem należy kliknąć przycisk zdalnego sterowania
i za pomocą danych użytkownika Windows zalogować się do systemu. Teraz jesteście połączeni ze swoim domowym pecetem. Uzyskany dostęp to nie wszystko, przyda się jeszcze możliwość zarządzania pecetem przez telefon. Do tego potrzeba na smartfonie zainstalować aplikację o nazwie Ignition, którą znajdziemy w smartfonowych marketach.
Pełny dostęp: Zdalne uruchamianie BIOS-u
Najlepsze funkcje pozostają zastrzeżone dla pecetów z technologią vPro: zdalny dostęp do BIOS-u i ponowne uruchamianie za pomocą Live-CD.
Sterowanie przez RADMIN VIEVER
Aby dostęp do BIOS-u był w ogóle możliwy, biznesowy pecet musi mieć skonfigurowany i aktywowany Management Engine (funkcja BIOS Intel ME). Do sterowania nadaje się Radmin 3.0 3 (radmin.com).
Na sterowanym zdalnie pececie zainstalujcie serwer Radmin, a na komputerze sterującym Radmin Server. Kiedy połączenie pomiędzy dwoma komputerami jest aktywne, to po kliknięciu prawym przyciskiem myszy na sterowanym komputerze możecie otworzyć »Intel AMT« w menu kontekstowym.
Zdalna obsługa BIOS
Przez »Intel AMT | Zdalne sterowanie systemem BIOS« możecie sięgać do BIOS-u sterowanego zdalnie komputera. I tak na przykład możliwe jest skonfigurowanie napędu CD w zdalnym komputerze jako »First Boot Device« i przebootowanie komputera za pomocą płyty ratunkowej lub ponowna instalacja Windows, bo technologia vPro umożliwia również takie rzeczy. Więcej informacji znajdziecie na stronie producenta.