VPN Toàn tập trên công nghệ Microsoft |
VPN là công nghệ tạo mạng riêng ảo trên một mạng Public – như Internet, nhằm thuận tiện và đảm bảo tính bảo mật cho quá trình truyền dữ liệu của một tổ chức khi muốn truyền dữ liệu đi trên mạng Internet. Trong loạt bài viết về VPN trên công nghệ Microsoft tôi sẽ trình bày toàn bộ kiến thức liên quan từ cài đặt triển khai trên các công nghệ khác nhau: PPTP, L2TP, sử dụng RADIUS, sử dụng Routing and Remote Access của Windows Server 2003 và ISA Server Enterprise 2006.
Phần I. Triển khai VPN trên Routing and Remote Access.
Phần II. Triển khai VPN xác thực dựa vào RADIUS Server.
Phần III. Triển khai VPN trên ISA Server Enterprise 2006.
Phần I. Triển Khai VPN sử dụng Routing and Remote Access của Windows Server 2003 Enterprise
1. Mô hình mạng trong loạt bài viết
2. Cấu hình cơ bản.
3. Cấu hình Client to Site VPN
4. Cấu hình Site to Site VPN
1. Mô hình giả lập triển khai VPN và tổng quan các công nghệ VPN
- Hiện nay muốn triển khai VPN trên mạng Internet bạn thường phải thuê bao gói tối thiểu là ADSL với IP tĩnh và đảm bảo không Block các dịch vụ VPN đó là hai port 1723 (PPTP) và port 500 (L2TP/IPsec).
- Trước đây có thể triển khai VPN trên môi trường ADSL rất đơn giản bởi các nhà cung cấp dịch vụ không cấm bất kỳ port nào. Hiện nay hầu hết các nhà cung cấp đều cấm triển khai VPN, để đảm bảo có thể thực hiện VPN trên ADSL (theo kinh nghiệm của tôi) cần phải cùng nhà cung cấp dịch vụ Internet và không cấm port nào. Sau đó trên Modem ADSL bạn forward hai port 1723 và port 500 vào VPN server bạn cần triển khai.
- Để đơn giản tôi sẽ giả lập Internet sử dụng một máy chủ Windows Server 2003 hoặc sử dụng Router. Mục đích chúng ta trong loạt bài viết này là cấu hình VPN trên công nghệ Microsoft, về mặt đường truyền nếu trên Internet chúng ta chỉ cần địa chỉ IP tĩnh và không cấm port thì mọi thứ hoàn toàn tương tự.
- Trên thực tế nếu các bạn cần kết nối VPN qua internet thì chỉ cần cấu hình Forward trên modem và không cần cấu hình một máy chủ giả lập Internet còn các bước tiến hành tương tự.
Dưới đây là mô hình thực hiện trong bài viết này:
- Có 3 máy tính chạy Windows Server 2003
+ 1 Máy tính giả lập môi trường Internet
+ 2 máy tính đóng vai trò VPN Server
+ 2 Client
- Địa chỉ IP tôi sử dụng để gán cho các máy như trên mô hình mạng.
b. Các công nghệ VPN
- Có hai protocol có thể triển khai VPN trên công nghệ Microsoft là: PPTP và L2TP/IPsec
- PPTP sử dụng port 1723
- L2TP/IPsec sử dụng Port 500
- Một máy chủ Windows Server 2003 có thể sử dụng 1 hay cả hai protocol này để tạo kết nối VPN.
- Triển khai VPN có hai dạng cơ bản đó là Client to Site và Site to Site
2. Cấu hình cơ bản trên Server trước khi cấu hình VPN.
a. Gán địa chỉ IP cho toàn bộ các máy tính theo đúng như trên mô hình lab
b. Cấu hình trên các máy chủ:
+ Cấu hình trên máy chủ Internet
+ Cấu hình trên 2 máy chủ Routing and Remote Access
+ Cấu hình địa chỉ IP trên hai máy Client
- Trên máy chủ giả lập Internet tôi sẽ thực hiện tính năng Routing giả lập môi trường Internet.
- Trên hai máy chủ Routing and Remote Access tôi chỉ cấu hình như hai máy chủ NAT server, mục đích đảm bảo khi chưa kết nối VPN thì Client sẽ không thể Ping được với nhau. Với mô hình được cấu hình như vậy sẽ đảm bảo giống hệt môi trường trên Internet là hai máy Client tại hai Site sẽ không thể giao tiếp với nhau nếu chưa thực hiện kết nối VPN.
Máy chủ Internet
- Đặt địa chỉ IP
- Cấu hình Routing and Remote Access:
Enable tính năng Routing trên máy chủ này, sau đó cấu hình định tuyến gói tin sử dụng RIPv2 cho phép máy chủ hoạt động như Internet giả lập.
- Gán địa chỉ IP cho hai card mạng NIC1 và NIC 2 như hình dưới đây – Chúng ta không cần phải đặt Gateway cho cả hai card mạng này.
Enable tính năng Routing trên máy chủ giả lập Internet
Enable Routing and Remote Access: Start à Administrative Tools à Routing and Remote Access
Trong giao diện đầu tiên của Routing and Remote Access chuột phải chọn: Configure and Enable Routing and Remote Access.
Bắt đầu bước đầu tiên trong quá trình cấu hình và Enable tính năng này. Nhấn Next để bắt đầu quá trình
Trong các tính năng của service – Routing and Remote Access, máy chủ giả lập Internet chỉ cần đóng vai trò là máy chủ Routing (định tuyến gói tin mà thôi). Tôi chọn Custom Configuration
Trong các Options hỗ trợ bởi service Routing and Remote Access:
+ VPN Access – Enable tính năng VPN Server trên máy chủ
+ Dial-up Access – Enable tính năng cho phép kết nối Dial-up (qua modem 56Kbps)
+ Demand-dial Connections – Cho phép kết nối Site to Site VPN tới các site khác hoặc hỗ trợ cho các site khác kết nối đến.
+ NAT and Basic Firewall – hoạt động như một máy chủ NAT server.
+ LAN Routing – Định tuyến gói tin
à Máy chủ giả lập Internet tôi chỉ cần khả năng định tuyến gói tin do đó tôi chỉ Enable tính năng này mà thôi. Nhấn Next để tiếp tục quá trình.
Nhấn Finish để hoàn thành quá trình cấu hình:
Hệ thống sẽ thông báo hoàn tất quá trình cấu hình bạn có bật Service này lên không. Nhấn Yes để bật Service này với những cấu hình đã lựa chọn như các bước bên trên.
Sau khi cấu hình những tính năng cho dịch vụ Routing and Remote Access trên máy chủ. Tiếp đến tôi phải cấu hình định tuyến trên dịch vụ Routing and Remote Access.
- Để đơn giản và thuận tiện tôi sử dụng định tuyến động và sử dụng giao thức định tuyến là RIPv2
- Vào dịch vụ Routing and Remote Access: IP Routing à chuột phải vào General chọn New Routing Protocol
Chọn giao thức định tuyến RIPv2
Cấu hình cho RIPv2:
- Tôi cần phải Add cả hai card mạng của tôi vào để hoàn tất quá trình
- Vào RIP chuột phải vào khoảng trắng bên phải trọng New Interface
- Lần lượt làm như vậy với cả hai Card mạng Nic1 và Nic2 trên Server
Sau khi chọn New Interface chọn NIC1 rồi nhấn OK để toàn bộ mọi thứ mặc định
- Làm tương tự với NIC2.
Nhấn OK rồi hoàn tất quá trình cấu hình trên máy chủ Internet. Sau toàn bộ các bước này bạn nên khởi động lại Service này một lần bằng cách chuột phải lên ServerName trong service này chọn restart service
Cấu hình cơ bản trên hai máy chủ Routing and Remote Access
Trên máy chủ VPN1 ( như trên sơ đồ của bài viết)
- Cấu hình địa chỉ IP
- Configure and Enable Service Routing and Remote Access
+ Lựa chọn các Options hỗ trợ
+ Cấu hình NAT Server
Trên máy chủ VPN2 làm tương tự như máy chủ VPN1.
Đặt địa chỉ IP trên máy chủ VPN1.
- Chú ý không cần phải đặt Gateway trên cả hai card mạng
- Card EX sẽ kết nối tới máy chủ Internet
- Card IN sẽ kết nối và làm gateway cho các máy Client muốn truy cập ra ngoài
Configure and Enable Routing and Remote Access
- Start à Administrative Tool à Routing and Remote Access. Làm tương tự các bước như cấu hình máy chủ giả lập Internet đến bước lựa chọn các Options hỗ trợ trên Service này tôi sẽ lựa chọn các Options như dưới đây:
- VPN Access – Tính năng này cho phép máy chủ hoạt động như một VPN Server có khả năng cho phép các kết nối VPN đến.
- Dial-up Access – Tính năng này cho phép các kết nối sử dụng Dial-up kết nối đến server
- Demand-dial connection – Tính năng này cho phép máy chủ tạo kết nôi VPN Site – to – Site tới các site khác và cho phép các site khác kết nối đến máy chủ
- NAT and Basic Firewall – Tính năng NAT hoạt động như một máy chủ NAT Server, tôi bắt buộc phải sử dụng tính năng này nhằm mục đích cho phép các máy client truy cập ra bên ngoài, nhưng toàn bộ các giao tiếp từ bên ngoài vào trong Card IN sẽ không thực hiện được (mục đích này để hoạt động tương tự như trên môi trường Internet thực tế - Khi các Client có khả năng truy cập tới Internet nhưng từ Internet không thể truy cập vào các máy con được – do các máy con truy cập ra Internet qua NAT Server thường là Modem).
Sau khi lựa chọn các Option hỗ trợ trên dịch vụ Routing and Remote Access tôi cấu hình tính năng NAT trên dịch vụ:
- Lưu ý: Phương pháp này áp dụng trên thực tế cũng được khi bạn thiết lập một máy chủ Routing and Remote Access như một gateway cho client truy cập vào Internet: Client à NAT à Internet.
- Vào Routing and Remote Access à IP routing lựa chọn NAT/Basic Firewall
- Sang bên Phải chọn New Interface
+ Interface trong khi cấu hình NAT chúng ta bắt buộc phải chỉ rõ đâu là Card nối ra Internet đâu là Card nối vào mạng Internal (card IN, card EX)
+ Lựa chọn card mạng nối ra Internet (Card EX)
+ Lựa chọn card mạng nối ra Internal (Card IN) – mục đich nhằm cho phép toàn bộ các địa chỉ IP của client trong mạng Internal truy cập ra Internet bằng địa chỉ IP của card mạng EX.
Lựa chọn card nối ra Internet (card EX)
- Sau khi chọn New Interface tôi lựa chọn Card mạng nối ra internet tôi đã đặt tên là card EX cho dễ phân biệt (tên này có thể thay đổi).
- Lưu ý tên IN, và EX này là do tôi đổi tên hai card mạng có trong máy của tôi, các bạn có thể đổi thành tên bất kỳ nhưng trong bài viết này tôi đổi tên cho dễ phân biệt với tên mặc định trong Windows: “Network Connection Area 1” với “Network Connection Area 2”
Nhấn OK để tiếp tục các lựa chọn:
+ Do là card mạng nối ra Inernet tôi sẽ phải chọn thuộc tính là: Public Interface connected to the Interntet
+ Nếu card mạng nối vào Internal tôi sẽ buộc phải chọn thuộc tính là: Private Interface connected to Private Network
+ Với phương pháp như vậy tôi có thể tạo một Gateway truy cập internet cho Client qua máy chủ chạy dịch vụ Routing and Remote Access.
+ nhấn OK để hoàn tất quá trình add card mạng nối ra Internet
Cấu hình với card mạng nối vào mạng Internal (Card IN)
+ tương tự tôi chọn New Interface chọn Card mạng tên là “IN” nhấn OK để tiếp tục quá trình
Card mạng IN này kết nối tới mạng Internal do đó tôi phải chọn thuộc tính: Private Interface Connected to Private Network.
+ Nhấn OK để hoàn tất quá trình cấu hình NAT trên máy chủ này
Chú ý: Sau khi hoàn tất một cấu hình nào khuyến cáo các bạn nên khởi động lại Service
Cấu hình cơ bản trên máy chủ VPN2
- Trên máy chủ VPN2 tôi cũng cấu hình máy chủ tương tự như máy chủ VPN1 có điều địa chỉ IP khác mà thôi.
Cấu hình địa chỉ IP trên Client 1
Cấu hình địac chỉ IP đặt đúng như trên mô hình, với gateway là card mạng IN của máy chủ VPN1
Cấu hình địa chỉ IP trên Client 2
- Tương tự như cấu hình địa chỉ IP như trên mô hình với Gateway trỏ vào card In của máy chủ VPN2.
Sau khi hoàn tất quá trình cấu hình cơ bản trên cả ba server: Internet, VPN1, VPN2 và các Client tôi bắt đầu tiến hành cấu hình kết nối VPN.
3. Cấu hình Client to Site
Trên mô hình ban đầu tôi cấu hình máy chủ VPN1 thành VPN Server cho phép các Client trên Internet và điển hình là Client 2 – 172.30.0.50/24 kết nối VPN vào. Các bước tiến hành:
a. Cấu hình trên Server
b. Cấu hình trên Client
c. Test
a. Cấu hình trên Server – VPN1
- Cấu hình cơ bản
- Cấu hình cho phép User và Group thực hiện kết nối VPN
- Remote Access Policy cho phép máy chủ xác thực và nghe các kết nối VPN
- Gán địa chỉ IP cho các kết nối VPN.
Cấu hình cơ bản
- Đã hoàn thành trong phần 2 của bài viết với: Gán địa chỉ IP, và các cấu hình cơ bản trên dịch vụ Routing and Remote Access.
Tạo User và Group cho cho phép tạo kết nối VPN
- Tạo User: Với tên – VNEXPERTS và password là 123456
- Tạo Group: Với tên – VPN
- Add user VNEXPERTS vào Group VPN
Kiểm tra User vừa tạo có được quyền kết nối VPN không.
- Chuột phải My Computer chọn Manage, rồi vào phần quản lý user nhấn đúp vào User vừa tạo, chuyển sang tab Dial-in.
- Nếu trong tab này để là Control access though Remote Access Policy là được. Options này có ý nghĩa là User này sẽ bị điều khiển truy cập bởi: Remote Access Policy
- Vậy tôi muốn cho User này kết nối VPN thì tôi phải cấu hình Remote Access Policy, nhưng nó ở đâu? Đó chính là trong dịch vụ Routing and Remote Access.
Remote Access Policy
Cấu hình tính năng này cho phép dịch vụ Routing and Remote Access nghe những yêu cầu kết nối VPN và kiểm tra xem Group nào được quyền truy cập kết nối VPN.
Tạo New Remote Access Policy
- Vào dịch vụ Routing and Remote Access chọn phần Remote Access Policy vổi sang phải chọn New Remote Access Policy
Trong cửa sổ đầu tiên của quá trình tạo New Remote Access Policy bạn cần phải chọn Next sau khi đọc song giới thiệu.
Bạn cần phải đặt tên cho Remote Access Policy này:
- Tôi chọn Option là “Setup a custom policy” rồi đặt tên cho Policy mới này. Nhấn Next để tiếp tục quá trình
Trong cửa sổ tiếp theo của quá trình hệ thống bắt đặt điều kiện cho phép kết nối VPN.
- Trong cửa số đó tôi nhấn Add để thêm điều kiện
- Hệ thống sẽ cho tôi một danh sách các điều kiện có thể dùng để cho phép kết nối VPN
- Ở đây tôi chọn điều kiện là sử dụng Windows Group – Tôi đã tạo một group VPN để nhằm mục đích này.
- Sau khi chọn tính điều kiện là Windows Group nhấn Add hệ thống sẽ yêu cầu lựa chọn Group để cho phép thực hiện kết nối VPN.
Tôi lựa chọn Group là VPN rồi nhấn OK để hoàn thành bước này.
Sau khi lựa chọn xong điều kiện là Group VPN tôi nhấn Next để tiếp tục quá trình.
Cửa sổ tiếp theo của quá trình hệ thống sẽ hỏi tôi Group này có được quyền truy cập hay không tôi chọn cho phép truy cập “Gant remote access permission”. Nhấn Next để tiếp tục quá trình.
Trong cửa sổ này bạn có thể chọn Edit Profile để tinh chỉnh một số Options cần thiết. Nhấn Next để tiếp tục quá trình
Hoàn tất quá trình tạo một Remote Access Policy mới.
- Giờ máy chủ của bạn đã được cấu hình để nghe các yêu cầu kết nối và cho phép group VPN được thực hiện kết nối VPN tới hệ thống.
Bước Gán địa chỉ IP cho các kết nối truy cập đến ( đây là IP ảo ).
- Bước này hết sức quan trọng nếu không có bước này các Client vẫn có thể kết nối VPN đến được nhưng không được gán địa chỉ IP khi đó sẽ không thể hoàn thành toàn bộ quá trình kết nối được.
- Chuột phải vào server VPN trên dịch vụ Routing and Remote Access chọn Properties
Chọn Table IP rồi chọn Options là Static Address Pool, nhấn Add
- Ở đây tôi chọn cấp giải mạng: 200.200.200.1 à 254 để gán cho các máy kết nối VPN tới máy chủ VPN này. Địa chỉ IP này là địa chỉ IP ảo gán cho card mạng ảo khi kết nối. Số địa chỉ IP gán này đồng nghĩa với số connection có thể thực hiện kết nối VPN tới máy chủ ở đây là 254.
- Nhấn OK để hoàn tất quá trình
Sau toàn bộ các bước trên bạn đã cấu hình thành công một máy chủ thành VPN SERVER.
Giờ để hoàn tất kết nối Client to Site tôi cấu hình trên Client tạo một kết nối tới máy chủ VPN.
b. Cấu hình trên Client
- Client 2 Gateway là máy chủ VPN2 như trên mô hình ban đầu của chúng ta
Sau khi hoàn tất quá trình đặt địa chỉ IP về giải: 172.30.0.0/24
- Tôi kiểm tra địa chỉ IP đã OK
- Ping sang địa chỉ IP của máy chủ VPN1 đã thông (chứng tỏ Gateway và máy chủ Internet chạy chuẩn).
- Ping vào card mạng bên trong của máy chủ VPN1 không thông – Do máy chủ VPN1 hoạt động như một máy chủ NAT do đó khi chưa kết nối VPN thì không thể thực hiện các kết nối giữa hai client trên hai giải mạng như trên mô hình.
Giờ tôi tiến hành tạo một kết nối VPN Client to Site tới máy chủ VPN.
- Vào Network Connections chọn New Connection. Nhấn Next để bắt đầu cấu hình tạo kết nối
Chọn Option: Connect to the network at my workplace – để tạo kết nối VPN
Kết nối tới máy chủ có hai dạng sử dụng Dial-up và tạo kết nối VPN tôi lựa chọn
- Virtual Private Network (VPN) connection. Nhấn Next để tiếp tục quá trình.
Kết nối yêu cầu đặt tên (cái này không quan trọng), chọn một tên rồi nhấn Next để tiếp tục quá trình.
Bước này yêu cầu bạn phải gõ chính xác địa chỉ IP của máy chủ VPN Server mà bạn cần kết nối đến
- Tôi gõ địa chỉ là của VPN1: 58.203.70.130 như trên mô hình rồi nhấn Next
Hệ thống sẽ yêu cầu tôi lựa chọn:
- Mạng này có chia sẻ cho mọi người dùng trong máy tính này hay không
- Tôi chọn Options chỉ mình tôi sử dụng kết nối này
Bước này hệ thống thông báo hoàn tất quá trình cấu hình chọn Finish để đến bước tiếp theo
- Nhấn Next hệ thống sẽ yêu cầu tôi gõ User và Password nào tôi sử dụng để kết nối.
Hệ thống sẽ yêu cầu tôi gõ User và password của user nào dùng để tạo kết nối tới máy chủ VPN.
- Trong phần cấu hình máy chủ VPN tôi đã tạo một user: VNEXPERTS và pass là 123456
- Trong phần này tôi sẽ phải sử dụng chính user này để tạo kết nối VPN
- Nhấn Connect để bắt đầu kết nối
Sau khi hoàn thành kết nối VPN
- Card mạng mới vừa được tạo ra có tên Vnexperts.net đã có biểu tượng Connected (Đã kết nối)
- Vào cmd gõ Ipconfig kiểm tra địa chỉ IP trên máy tôi phát hiện ngoài địa chỉ ip tôi gán cho card mạng ban đầu.
- Card mạng có tển Vnexperts.net (card mạng mới tạo – kết nối VPN) có địa chỉ IP là 200.200.200.2
- Địa chỉ IP này chính là giải địa chỉ IP mà máy chủ VPN gán cho các kết nối VPN đến
Đó là toàn bộ các bước cấu hình tạo một kết nối và kết nối trên máy Client.
Giờ tôi tiến hành kiểm tra.
c. Test
Sau khi thực hiện kết nối VPN, toàn bộ các kết nối tới máy chủ VPN sẽ coi như một mạng nội bộ, và thực hiện Routing toàn bộ các giao tiếp cho phép các máy trong các mạng nội bộ hoạt động với nhau bình thường. Coi như trong cùng một mạng Internal – khi đó các máy tính kết nối VPN dễ dàng truy cập vào các máy tính trong mạng Internal.
Đứng trên Client 2 vừa tạo kết nối VPN tới máy chủ xong tôi sử dụng lệnh Ping
- Thật may mắn sau khi tôi tạo kết nối VPN thì đã ping được vào các máy tính bên trong mạng Internal của máy chủ VPN1.
- Tôi thực hiện tiếp một lệnh tiếp theo đó là lệnh Pathping cho phép tôi biết được đường đi của gói tin qua những địa chỉ IP nào.
- Tôi phát hiện đầu tiên gói tin đi từ địa chỉ IP: 200.200.200.2 chính là địa chỉ IP ảo của máy Client 2 được gán bởi VPN Server, gói tin đi tiếp qua địa chỉ IP: 200.200.200.1 chính là địa chỉ IP của máy chủ VPN Server (đây là địa chỉ ảo). rồi tiếp đên máy 192.168.60.50 luôn.
- Nếu chưa kết nối VPN tôi thực hiện lệnh Pathping sẽ là:
+ Bước 0 địa chỉ IP sẽ là: 172.30.0.50
+ Bước 1 địa chỉ IP sẽ là: 172.30.0.1 (gateway)
+ Bước 2 địa chỉ IP sẽ là: 203.162.29.38
+ Bước 3 địa chỉ IP sẽ là: 58.203.70.130
+ Bước 4 sẽ không tìm thấy đích cần đến
3. Cấu hình Site to Site.
Khi thực hiện Client to Site tôi phải đứng trên Client tạo một connection mới đến máy chủ VPN.
Công ty của tôi có hai chi nhánh, trên mỗi chi nhánh tôi đã cấu hình các máy chủ VPN Server nhưng tôi phát hiện ra một điều rằng nhiều người có nhu trao đổi thông tin và kết nối VPN nhưng lại không biết cách tạo ra một kết nối Client to Site.
Một giải pháp tôi có thể hướng dẫn từng người một, nhưng họ không phải người chuyên về IT họ rất nhanh quên.
Giờ tôi cần một giải pháp kết nối VPN mà vẫn đảm bảo tính đơn giản cho người sử dụng, họ chỉ cần biết cách truy cập vào dữ liệu trên các Site khác mà không phải tạo, hay cấu hình bất kỳ thứ gì trên máy tính của họ.
Đó chính là giải pháp kết nối VPN Site to Site.
Các bước thực hiện kết nối Site to Site
- Cấu hình cơ bản trên cả hai VPN Server
- User và Group
- Remote Access Policy
- Gán địa chỉ IP cho các kết nối
- Tạo kết nối Site to Site
- Kết nối Site to Site
- Test
- Tạo kết nối Site to Site sử dụng L2TP/IPsec
Cấu hình cơ bản trên cả hai VPN server
- Cấu hình địa chỉ IP chuẩn như trên mô hình đã được thực hiện
- Cấu hình cơ bản trên Routing and Remote Access đã được cấu hình như phần 1 của bài viết
User và Group
- Bước này hết sức quan trọng một kinh nghiệm của tôi đó là trên cả hai Server đều phải tạo User/Password và Group giống hệt nhau. Khi đó làm sẽ không có các lỗi linh tinh xảy ra.
- Trên cả hai máy chủ VPN đều tạo:
+ User: VNEXPERTS với Password là 123456
+ Group: VPN
+ Add User VNEXPERTS vào Group VPN
Remote Access Policy
- Bước này quan trọng nhằm cấu hình máy chủ thành VPN Server có khả năng nghe các yêu cầu kết nối VPN và kiểm tra một user có thẩm quyền kết nối VPN hay không
- Tương tự như phần cấu hình máy chủ thành VPN Server tôi đã trình bày với các bạn rất chi tiết việc tạo một Remote Access Policy mới.
- Phần này trên cả hai máy chủ VPN tôi đều tạo hai Remote Access Policy tên giống hệt nhau và đều cho Group VPN được quyền kết nối VPN – Các bước tương tự cấu hình tạo Remote Access Policy ở phần trên chỉ có điều chúng ta phải làm trên cả hai VPN Server.
- Máy chủ VPN1 đã cấu hình từ phần trước
- Máy chủ VPN2 tôi tạo thêm một Remote Access Policy tương tự như trên VPN1.
Gán địa chỉ IP
- Máy chủ VPN1 trong phần trước tôi đã gán địa chỉ IP cho các máy VPN đến là giải địa chỉ IP
200.200.200.1 à 200.200.200.254
- Trên máy chủ VPN2 tôi cũng làm tương tự nhưng gán địa chỉ IP trong giải khác:
220.220.220.1 à 220.220.220.254
Tạo kết nối Site to Site
Tạo kết nối VPN Site to Site từ VPN2 tới VPN1
Tạo kết nối VPN Site to Site từ VPN1 tới VPN2
- Phần này mục đích tạo kết nối Site to Site mà bản chất của nó là: Thay vì tạo các kết nối Client to Site trên các máy Client thì ta chỉ cần tạo một kết nối từ trên máy chủ Routing and Remote Access mà thôi.
- Trên cả hai máy chủ VPN đều phải tạo các kết nối với nhau.
- Vậy khi client 1 trong mạng Internal của VPN1 muốn truy cập vào Client 2 trong mạng Internal của VPN2 thì điều gì sẽ xảy ra và quá trình đó thực hiện như thế nào. Và quá trình ngược lại khi Client 2 truy cập vào Client 1.
- Để tạo một kết nối Site – to – Site trên cả hai máy chủ đều phải làm bước tạo kết nối như dưới đây
Tạo kết nối VPN Site to Site từ VPN2 tới VPN1
- Chuột phải vào Network Interface chọn: “New Demand-dial Interface”
Trong cửa sổ đầu tiên của quá trình thiết tạo một kết nối VPN site –to- site chọn Next để bắt đầu quá trình
Đặt tên cho cho kết nối VPN này, tôi đặt là: “vnexperts.net – Site to Site VPN Interface”
- Để quá trình thực hiện ít bị lỗi khuyến cáo các bạn đặt tên Kết nối VPN này trên cả hai Server đều giống nhau (đó là kinh nghiệm của tôi).
- Sau khi đặt tên cho kết nối mới này chọn Next để tiếp tục quá trình
Kết nối mới này có hai Options
- Kết nối VPN là tạo một kết nối VPN mới – Tôi chọn Options này.
- Kết nối PPP đó là kết nối Lease Line (thường là giải pháp WAN).
- Nhấn Next để tiếp tục quá trình
Có hai giao thức tạo kết nối VPN
- PPTP công nghệ này của Microsoft
- L2TP là công nghệ ra đời bởi sự hợp tác giữa Microsoft và Cisco
- Tôi chọn options tự động – Có nghĩa nếu máy chủ VPN server support giao thức kết nối VPN nào thì sẽ sử dụng giao thức đó để kết nối. Nếu sử dụng cả hai giao thức hệ thống tự động sử dụng L2TP.
- Nhấn Next để tiếp tục quá trình
Cấu hình địa chỉ IP của máy chủ VPN cần kết nối đến
- Ở đây tôi đang thiết lập trên máy chủ VPN2 cần tạo kết nối VPN tới máy chủ VPN1
- Tôi phải gõ địa chỉ IP của máy chủ VPN1 vào.
- Hoàn tất nhấn Next để tiếp tục quá trình.
Khi Client 2 trong mạng Internal của máy chủ VPN2 cần kết nối tới máy Client 1 bên trong máy chủ VPN1.
- Nếu chưa có kết nối VPN thì hai Client này sẽ không thể thực hiện được (do mạng Internet không hiểu các địa chỉ IP của mạng Private).
- Sau khi bạn đã kết nối VPN site to Site thành công giữa hai máy chủ thì vấn đề gì sẽ xảy ra: Client 2 ping tới địa chỉ IP 192.168.60.50 (IP của Client 1).
- Gói tin sẽ tới máy chủ VPN2 (IP là 172.30.0.1). Khi nhận được gói tin này máy chủ sẽ chuyển gói tin tới kết nối VPN hay kết nối ra Internet. Đương nhiên phải chuyển qua kết nối VPN vừa tạo ra thì mới kết nối tới mạng Private của máy chủ VPN1 được.
- Để làm rõ vấn đề này tôi sẽ trình bày ở bước tiếp theo. Bước này trong quá trình tôi chọn Route IP packet on Interface. Nhấn Next để tiếp tục quá trình
Trong phần này bạn phải cấu hình:
- Bạn đang đứng tại VPN2 tạo kết nối VPN tới VPN1
- Phần cấu hình này tôi phải gõ địa chỉ IP của mạng Internal trên máy chủ VPN1
- Để khi VPN2 nhận được yêu cầu kết nối tới mạng 192.168.60.0/24 sẽ chuyển qua kết nối VPN này.
- Tương tự như vậy nếu tôi kết nối VPN site to Site từ máy chủ VPN1 tới máy chủ VPN2 tôi cũng phải lựa chọn giải mạng bên trong VPN2 là: 172.30.0.0/24
- Sau khi cấu hình chọn địa IP Internal của VPN1 xong tôi nhấn OK rồi Next để đến bước tiếp theo
Bước này hệ thống bắt khai báo User name và Password nào tôi dùng để kết nối tới máy chủ VPN1.
- Như phần trên máy chủ VPN1 đã tạo và cho phép user: Vnexperts được quyền tạo kết nối VPN rồi.
- Tôi điền Username và Password đúng rồi nhấn Next để tiếp tục quá trình
Nhấn Finish để hoàn tất quá trình.
Sau khi hoàn tất tạo một kết nối VPN Site to Site:
- Từ VPN2 tới VPN1
- Sử dụng giao thức kết nối tự động
- Sử dụng Username đã được cho phép trên máy chủ VPN1
- Vào Routing and Remote Access chọn Interface, trong danh sách Interface sẽ xuất hiện Interface VPN tôi vừa tạo nhưng trạng thái hiện tại là “Disconnected”. Chuột phải vào Interface này chọn Connect để thực hiện kết nối
Kết quả thật may mắn:
- Trạng thái kết nối đã hiện là Connected
- Quá trình tạo kết nối VPN từ VPN2 tới VPN1 đã hoàn tất
Nhưng bạn chưa nên mừng và vội vàng test kiểm tra kết nối từ máy Client 2 tới Client 1 bởi chắc chắn một điều vẫn chưa kết nối tới được.
- Giờ là bước bạn tạo kết nối VPN ngược lại từ VPN1 tới VPN2
Tạo kết nối VPN Site to Site từ VPN1 tới VPN2
- Toàn bộ các bước giống hệt làm trên VPN2 vừa rồi.
- Lưu ý toàn bộ Name của Interface kết nối VPN bạn cũng cần phải đặt giống nhau trên cả hai máy chủ
- Cả hai máy chủ đều tạo Username Password, group giống nhau
Đây chỉ là kinh nghiệm từ bản thân khi thực hiện các cấu hình trên môi trường thực tế
Câu.
- Khác khi tạo kết nối VPN site to site từ VPN1 tới VPN2 đó là:
Khi đứng trên máy chủ VPN1 cần kết nối VPN tới VPN2 thì địa chỉ IP của máy chủ cần kết nối tới là địa chỉ IP của VPN2
- Thiết lập địa chỉ IP rồi nhấn Next và các bước làm tương tự như phần trên
Trong phần đặt địa chỉ IP cho mạng đến
- Mục đích khi VPN1 nhận được yêu cầu kết nối tới mạng 172.30.0.0 (mạng internal của VPN2) thì sẽ forward qua cổng kết nối VPN.
- Do đó tôi phải chọn địa chỉ mạng Internal của VPN2 trên kết nối này: 172.30.0.0/24
Vẫn Username và Password dùng trong kết nối VPN2 to VPN1
- Lưu ý bước này chỉ thực hiện được khi cả hai Server đều qua bước cấu hình User (quên không tạo user trên một Server sẽ không thể thực hiện được).
Hoàn tất quá trình tôi tự tin nhấn Connect trên Interface vừa tạo ra trên VPN1.
- Sau khi hoàn tất tạo kết nối VPN trên cả hai Server tôi sẽ kiểm tra
Test
Đứng trên Client 2 dùng lệnh Pathping sang Client1
- Bước 0 gói tin đi từ: 172.30.0.50 (Địa chỉ IP của Client2)
- Bước 1 gói tin đi tới: 172.30.0.1 (Địa chỉ IP của Gateway)
- Bước 2 gói tin đi tới: 200.200.200.1 – Đây là địa chỉ IP ảo của VPN1, và tôi đã tiến hành đúng các bước kết nối VPN, nếu VPN không thành công bước 3 này sẽ là địa chỉ IP của máy chủ Internet: 203.162.29.38 chứ không phải là địa chỉ IP 200.200.200.1 (dải địa chỉ IP này là dải VPN1 gán cho các kết nối VPN)
- Bước 3 gói tin tới: 192.168.60.50 (Địa chỉ của Client1) – Nếu trước khi cấu hình địa chỉ IP thì không thể kết nối giữa hai máy tính. Sau khi kết nối tôi đã kết nối được giữa hai máy Client đảm bảo VPN được thực hiện thành công.
Tương tự như vậy tôi đứng trên Client 1 thực hiện Pathping sang Client sẽ được kết quả đúng
Tạo kết nối VPN site to site sử dụng L2TP/IPsec
- Để đảm bảo tính bảo mật cho toàn bộ kết nối VPN và các giao tiếp truyền trên nó tôi khuyến cáo các bạn sử dụng giao thức L2TP/IPsec.
Phần này tôi sẽ giới thiệu với các bạn sử dụng L2TP/IPsec để mã hóa các thông tin sử dụng VPN.
Cấu hình trên máy chủ VPN1
Chuột phải tên máy chủ chọn Properties chuyển sang tab Security, đánh vào dấu CheckBox “Allow custom IPsec policy for L2TP connection”. Rồi chọn key sử dụng để mã hóa gói tin truyền qua hai VPN server. Tôi sử dụng key là: “vnexperts.net_vpn”
- Key này sử dụng để VPN1 mã hóa gói tin
- Để VPN2 nhận được và giải mã gói tin thì trên VPN2 phải cấu hình tương tự như VPN1 (điều này là bắt buộc.
Sau khi cấu hình như vậy trên cả hai máy chủ VPN: VPN1 và VPN2 sử dụng cùng một key như vậy.
- Đứng trên VPN2 cấu hình lại kết nối Site to Site vừa được tạo ra trong bước trên. Chuột phải vào Interface này chọn Properties
Chọn tab Security à Nhấn vào IPSec Setting chọn dấu check box “Use pre-shared key for authentication” rồi gõ key vào. Key này phải giống hệt key cấu hình trên cả hai VPN Server.
Làm tương tự như vậy trên cả hai máy chủ VPN1 và VPN2 rồi vào dịch vụ Routing and Remote Access connect lại khi đó toàn bộ các gói tin sẽ được mã hóa bởi IPSec và key để mã hóa các gói tin là key đã được cấu hình.
Trong phần này của bài viết tôi đã trình bày với các bạn:
- Cơ bản về VPN
- Mô hình lab để thực hiện VPN
- Cấu hình cơ bản trên Server, Client
- Cấu hình VPN Client to Site
- Cấu hình Site to Site
- Cấu hình Site to Site sử dụng L2TP/IPSec
Phần sau của bài viết tôi sẽ trình bày với các bạn giải pháp VPN xác thực sử dụng RADIUS Server.
****************************************
Theo Tocbatdat của Vnexperts Research Department
Tin mới hơn:
Tin cũ hơn:
|
Không có nhận xét nào:
Đăng nhận xét