Tạo VPN Site-to-site trên ISA 2006 (Phần 5)
Ngu
ồ
n:quantrimang.com
Tạo file trả lời tại văn phòng chính sẽ được Branch Office Connectivity Wizard sử
dụng trên ISA Firewall nhánh.
Branch Office Domain Controller
Trong bốn phần đầu của loạt bài sử dụng Branch Office Connectivity Wizard để
kết nối tường lửa ISA tại văn phòng chi nhánh với tường lửa ISA tại trụ sở chính,
chúng ta đã xem xét một cơ sở hạ tầng mạng ví dụ; đi qua các khái niệm quan
trọng trong việc mạng riêng ảo VPN Site-to-Site; c
ấu hình các dịch vụ mạng hỗ
trợ và cài đặt CSS, ISA Firewall tại trụ sở chính, ISA Firewall văn phòng chi
nhánh. Phần 3 kết thúc khi ISA Firewall nhánh đã sẵn sàng chấp nhận file trả lời
sẽ được Branch Office Connectivity Wizard sử dụng. Phần 4 thảo luận về vấn đề
tạo mạng VPN Site-to-Site để kết nối văn phòng chính và văn phòng chi nhánh.
Trong phần 5 này chúng ta sẽ kết thúc cấu hình cơ bản của mạng riêng ảo VPN
Site-to-Site bằng việc t
ạo file trả lời tại văn phòng chính sẽ được Branch Office
Connectivity Wizard sử dụng trên ISA Firewall nhánh. Bài này đánh dấu kết thúc
việc chạy Branch Office Connectivity Wizard trên ISA Firewall branch office để
tạo VPN Site-to-Site và kết nối ISA Firewall branch office với domain.
Tạo file trả lời cho kết nối VPN Site-to-Site tại ISA Firewall main office
Bây giờ chúng ta đã sẵn sàng tạo file trả lời cho Branch Office Connectivity
Wizard trên ISA Firewall nhánh sử dụng để tạo kết nối VPN Site-to-Site và kết
nối ISA Firewall branch office với domain. File trả lời này sử dụng thông tin trong
kết nối VPN Site-to-Site t
ạo trên ISA Firewall main office. Vì thế bước đầu tiên
chúng ta cần làm là tạo kết nối VPN Site-to-Site ở ISA Firewall main office, để
kết nối nó với ISA Firewall branch office.
Chúng ta sẽ đặt file trả lời trong file gốc (root) của ổ C: trên ISA Firewall nhánh.

Nếu bạn không muốn, bạn có thể đặt file trong một thiết bị lưu trữ động như thẻ
USB. Branch Office Connectivity Wizard sẽ tự động tìm file trả lời trên thư mục
gốc của ổ C hoặc trên ổ lưu tr
ữ động.
Khi chạy chương trình Answer File Wizard, bạn nên lưu ý là kết nối Site-to-Site
tạo bởi file trả lời đến từ ISA Firewall chi nhánh. Do đó, khi tạo Wizard trỏ đến
lớp cục bộ thì thực tế là nó trỏ tới chi nhánh; và khi Wizard trỏ tới lớp từ xa thì
thực tế là nó đang tham chiếu tới trụ sở chính.
Thực hiện các bước sau trên máy CSS để tạo file trả lời:
1. Tạo liên kết Create Answer File for Remote VPN Site (tạo file trả lời cho
lớp VPN từ xa) trong Task Pane. Kích Next trên trang Welcome to the
Create Answer File Wizard.

Hình 1
2. Trên trang Answer File Details, nhập đường dẫn đầy đủ tới file trả lời
trong ô Type the full path to the answer file. Bạn phải đặt tên cho file trả
lời IsaUsrConfig.inf nếu muốn Branch Office Connectivity Wizard tự
động tìm file đó. Trong ví dụ này chúng ta sẽ đặt file trả lời vào thư
mục
gốc ở ổ C trên máy CSS. Kích Next.

Hình 2
3. Không cần thực hiện điều gì trên trang Connection Type, vì giao thức
VPN dùng cho kết nối VPN Site-to-Site được đọc từ cấu hình đã có. Kích
Next.

Hình 3
4. Trên trang Array Server Deployment, chọn tuỳ chọn This is the first
server deployed in the array. Nếu trong mảng đã có server khác thì chọn
Another server is already deployed in the array và cung cấp địa chỉ IP

nội bộ của server đó để có thể thực hiện liên lạc nội mảng giữa các thành
viên. Kích Next.

Hình 4
5. Trên trang Local Site to Site Authentication, tên mạng Main được tự
động thêm vào. Đây là tên tài khoản người dùng ở ISA Firewall nhánh, sẽ
được ISA Firewall chính sử dụng để thẩm định ISA Firewall nhánh. Wizard
tự động tại tài khoản này cho bạn trên ISA Firewall branch office và cấu
hình tài khoản với các quyền dial-in. Kích Next.

Hình 5
6. Trên trang Remote Site VPN IP Addresses, các địa chỉ định nghĩa trong
mạng Internal Network mặc định tại văn phòng chính được tự động nhập
vào. Bạn cần nhập địa chỉ IP của ISA Firewall main office trong ô Remote
VPN server (IP address or name). Nhớ rằng, khi dùng Answer File
Wizard, lớp từ xa thự ra chính là main office. Kích Next.

Hình 6
7. Trên trang Local Network VPN Settings, chọn tuỳ chọn Static IP
address pool. Chúng ta cần sử dụng tuỳ chọn này vì chúng ta không có
server DHCP đặt tại văn phòng chi nhánh. Nếu về sau bạn cài đặt thêm
DHCP server tại chi nhánh, bạn có thể thay đổi cấu hình địa chỉ IP cho
VPN để sử dụng DHCP. Kích vào nút Static IP address pool. Trong hộp
thoại IP Address Range Properties, nhập giới hạn địa chỉ IP ISA Firewall
chi nhánh có thể dùng để gán cho các client VPN và cổng và VPN từ xa.
Ở ví dụ này chúng ta sẽ nhập địa chỉ
10.0.1.252 cho Start address và
10.0.1.254 cho End address. Kích OK, sau đó kích Next trên trang Local
Network VPN Settings.


Hình 7
8. Trên trang Remote Authentication, nhập thông tin thẩm định branch
office sẽ dùng để thẩm định ISA Firewall main office. Chúng ta đã tạo tài
khoản trên ISA Firewall main office với tên Branch, chúng ta sẽ nhập tên
tài khoản đó trên trang này. Đây là tài khoản cục be, vì thế chúng ta sẽ
dùng tên máy tính của ISA Firewall main office trong ô Domain. Nhập
thông tin và kích Next.

Hình 8
9. Trên trang IPSec Authentication, có hai phương thức thẩm định kết nối
IPSec cho bạn lựa chọn: thẩm định chứng chỉ hoặc thẩm định tiền chia sẻ.
Ở ví dụ hiện thời, chúng ta sẽ bắt đầu với các khoá tiền chia sẻ. Về sau,
khi mọi thứ hoạt động chính xác như ý muốn, chúng ta sẽ chuyển sang
thẩm định chứng chỉ. Chọn tuỳ chọn Use pre-shared key và nhập khoá
tiền chia sẻ là 123. Kích Next.

Hình 9
10. Trên trang Join Remote Domain, chọn tuỳ chọn Join a domain.
Tuỳ chọn này cho phép Branch Office Connectivity Wizard liên kết ISA
Firewall nhánh với miền. Đây là tuỳ chọn an toàn và linh hoạt hơn. Trong ô
Domain name (FQDN), bạn nhập FQDN của domain main office vào.
Ở
ví
dụ của chúng ta, domain main office là msfirewall.org, do đó chúng ta sẽ
nhập thông tin này vào ô text box. Kích Next.

Hình 10
11. Hộp thoại Join Domain xuất hiện. Nhập username và password của
người dùng có quyền liên kết máy với domain (như domain admin chẳng
hạn) và ấn OK.


Hình 11
12. Trên trang Locate Configuration Storage Server, nhập tên máy
CSS trong ô Configuration Storage Server (type the FQDN). Đây phải
là FQDN chứ không phải địa chỉ IP hoặc tên máy (NetBIOS). Chọn
Connect using this account trong khung Connection Credentials. Tuỳ
chọn này không mang tính bắt buộc, nhưng thực tế, thình thoảng quá trình
cài đặt ISA Firewall branch office bị ngưng lại sau khi khởi động lại nếu
bạn đăng nhập với vai trò domain user. Vì thế, sẽ hiệu quả hơn khi bạn sử
dụng vai trò administrator và Branch Office Connectivity Wizard sẽ dùng
các thông tin thẩm định này cho các trình còn lạ
i của cấu hình. Kích Next.

Hình 12
13. Trên trang Securely Published Configuration Storage Server,
bạn có thể nói với Wizard về một server cấu hình luân phiên sử dụng
trong trường hợp VPN Site-to-Site bị lỗi hoặc không bao giờ được thiết
lập. Khi bạn phát hành CSS, thông tin lưu chuyển bên trong một kênh
được mã hoá TLS, vì thế khi truyền qua Internet sẽ an toàn. Khi phát hành
CSS main office luân phiên trên ISA Firewall main office, ISA Firewall
branch office sẽ kết nối tới CSS luân phiên qua Server Publishing Rule.
Để dùng thành phần này, bạn cần cài đặt chứng chỉ CA, được CA cung
cấp chứng chỉ máy cho CSS luân phiên trong kho lưu trữ Trusted Root
Certification Authorities củ
a ISA Firewall chi nhánh. Ở những phần sau
của loạt bài này, chúng tôi sẽ hướng dẫn các bạn cách tạo một CSS luân
phiên và cách phát hành nó, cấu hình ISA Firewall chi nhánh sử dụng nó.
Còn hiện tại chúng ta chỉ có một CSS đơn, vì thế tạm thời chúng ta chấp
nhận thông số mặc định trên trang này và kích Next.


Hình 13
14. Trên trang Array Membership, chọn tuỳ chọn Join an existing
array. Chúng ta đã tạo một mảng cho chi nhánh, vì vậy chúng ta có thể sử
dụng tuỳ chọn này và chọn mảng đã tạo. Kích Next.

Hình 14
15. Trên trang Join Existing Array, nhập tên mảng bạn muốn ISA
Firewall branch office kết hợp. Bạn có thể muốn sử dụng nút Browse,
nhưng thực tế nó không hoạt động. Ở ví dụ của chúng ta, tên mảng đã tạo
là Branch. Bạn nhập tên này vào và kích Next.

Hình 15
16. Trên trang Configuration Storage Server Authentication Options,
chọn tuỳ chọn Windows authentication. Chúng ta sử dụng tuỳ chọn này
vì ISA Firewall nhánh sẽ được liên kết tới miền. Không chỉ thế, quan hệ
thành viên miền còn cung cấp cho chúng ta mức bảo mật cao hơn và khả
năng linh hoạt trong triển khai. Nó giúp đơn giản hoá đi rất nhiều cấu hình
ban đầu vì không đòi hỏi chúng ta phải xử lý các chứng chỉ ngay tại thời
điểm đó. Chúng ta sẽ
xem cách làm việc với chứng chỉ sau. Nhưng bạn
không cần phải lo lắng nhiều về nó. Kích Next.

Hình 16
17. Kích vào nút Finish trên trang Completing the Create Answer File
Wizard.

Hình 17
18. Mở file trả lời (c:\IsaUsrConfig.inf). Chú ý rằng tất cả nội dung đều
được để ở dạng clear text (văn bản thuần tuý), gồm: mật khẩu quản trị,
tên máy, tên tài khoản. Nếu lọt vào tay kẻ xấu, file này sẽ trở nên rất nguy

hiểm. Do đó, bạn cần có biện pháp bảo vệ và điều khiển sao cho phù hợp.
Nên nhớ rằng, file này có thể được đặt trên thẻ USB, thư m
ục gốc ở ổ C
của ISA Firewall branch office, hoặc trong một thư mục trên ISA Firewall
branch office tại c:\IsaAnswerFiles. Có một thủ tục cho phép người dùng
chi nhánh chạy Branch Office Connectivity Wizard để xoá file này thông
qua shortcut trên desktop. Tên của nó là Branch Office hoặc một cái tên
tương tự như thế, không khiến người dùng tò mò. Mặc dù không phải là
phương thức bảo mật an toàn cho lắm, nhưng ít nhất cũng tốt hơn là để
file trên ổ cứng của máy Firewall ISA branch office nếu không cần thiết.

Hình 18
19. Copy file trả lời vào thư mục gốc của ổ C trên máy ISA Firewall
branch office.
Chạy Branch Office Connectivity Wizard trên Branch Office ISA Firewall
Tời thời điểm này, bạn cần gắn ISA Firewall branch office với văn phòng chi
nhánh. Nếu người dùng chuyên nghiệp chịu trách nghiệm cài đặt ISA Firewall,
bạn cần cung cấp cho anh ta các hướng dẫn về cách sử dụng và chạy các thành
phần như thế nào. Người dùng cần có các thông tin sau:
1. Cung cấp cho họ hướng dẫn về cách cắm nguồn, ch
ỗ cắm vào giao diện
bên trong và bên ngoài; cách kiểm chứng giao diện bên trong, bên ngoài
đã được cắm vào cổng phù hợp.

2. Tên người dùng (username) và mật khẩu (password) cho tài khoản quản
trị cục bộ. Người dùng sẽ cần đăng nhập với vai trò admin cục bộ để chạy
Wizard.

3. Các thủ tục cần thiết để chạy Branch Office Connectivity Wizard. File trả
lời sẽ được tự động đưa ra và có tất cả thông tin cần thiết. Người dùng chỉ

cần click vào Wizard theo hướng dẫn.

4. Đặt link trên desktop. Liên kết này sẽ thực hiện xoá sạch DoD của file cài
đặt. Bạn có thể dùng cipher.exe. Tên link phải rất bình thường để người
dùng không để tâm hoặc chú ý tới.

5. Đặt link trên desktop, có chức năng xoá tài khoản admin c
ục bộ bạn tạo
cho người dùng. Tên link phải rất bình thường để người dùng không để
tâm hoặc chú ý tới.

6. Yêu cầu người dùng gọi cho bạn sau khi hoàn thành thủ tục, để bạn kiểm
chứng lại rằng file cài đặt và tài khoản người dùng đã được xoá.
Thực hiện các bước sau để chạy Branch Office Connectivity Wizard trên ISA
Firewall branch office:
1. Đăng nhập vào máy, sử dụng tài khoản quản trị cục bộ tạo trên ISA
Firewall branch office. Mở
cửa sổ Windows Explorer và vào thư mục
C:\Program Files\Microsoft ISA Server. Kích đúp lên chương trình
AppCfgWzd.exe.

Hình 19
2. Đọc thông tin trên trang Welcome to the ISA Server Branch Office VPN
Connectivity Wizard, sau đó kích Next.

Hình 20
3. Trên trang Configuring Settings Source, bạn sẽ thấy Wizard tự động tìm
file cấu hình và tự động chọn tuỳ chọn From a file. Kiểm chứng lại rằng
tên file đã chính xác và kích Next.


Hình 21
4. Trên trang Connection Type, bạn sẽ thấy Wizard tự động xác định rằng
giao thức VPN nên được dùng là L2TP/IPSec. Kích Next.

Hình 22
5. Trên trang Array Server Deployment, tuỳ chọn This is the first server
deployed in the array được tự động xác định từ file trả lời. Kích Next.

Hình 23
6. Trên trang Local Site to Site Authentication, tài khoản người dùng main
office sẽ dùng để kết nối với ISA Firewall branch office được tự động cấu
hình, dựa trên các thiết lập có trong file trả lời. Kích Next.

Hình 24
7. Trên trang Remote Site VPN IP Addresses, các địa chỉ IP thể hiện mạng
ở văn phòng chính được tự động đưa vào; các địa chỉ IP của ISA Firewall
chính được tự động cấu hình trong ô Remote VPN server (IP address or
name). Kích Next.