Tải bản đầy đủ (.pdf) (45 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Cấu hình VPN toàn tập

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (9.44 MB, 45 trang )



Cấu hình VPN toàn tập


Trang 1
Cấu Hình VPN Toàn Tập
Nguồn: sưu tầm
Mọi thắc mắc liên hệ:
Email: ;
IM: mrthaiit
Forum: hoặc


VPN là công nghệ tạo mạng riêng ảo trên một mạng Public – như Internet, nhằm thuận tiện và đảm bảo tính
bảo mật cho quá trình truyền dữ liệu của một tổ chức khi muốn truyền dữ liệu đi trên mạng Internet. Trong
loạt bài viết về VPN trên công nghệ Microsoft tôi sẽ trình bày toàn bộ kiến thức liên quan từ cài đặt triển khai
trên các công nghệ khác nhau: PPTP, L2TP, sử dụng RADIUS, sử dụng Routing and Remote Access của
Windows Server 2003 và ISA Server Enterprise 2006.
Phần I. Triển khai VPN trên Routing and Remote Access.
Phần II. Triển khai VPN xác thực dựa vào RADIUS Server.
Phần III. Triển khai VPN trên ISA Server Enterprise 2006.
Phần I. Triển Khai VPN sử dụng Routing and Remote Access của Windows Server 2003 Enterprise
1. Mô hình mạng trong loạt bài viết
2. Cấu hình cơ bản.
3. Cấu hình Client to Site VPN
4. Cấu hình Site to Site VPN
1. Mô hình giả lập triển khai VPN và tổng quan các công nghệ VPN
- Hiện nay muốn triển khai VPN trên mạng Internet bạn thường phải thuê bao gói tối thiểu là ADSL với IP
tĩnh và đảm bảo không Block các dịch vụ VPN đó là hai port 1723 (PPTP) và port 500 (L2TP/IPsec).
- Trước đây có thể triển khai VPN trên môi trường ADSL rất đơn giản bởi các nhà cung cấp dịch vụ không


cấm bất kỳ port nào. Hiện nay hầu hết các nhà cung cấp đều cấm triển khai VPN, để đảm bảo có thể thực
hiện VPN trên ADSL (theo kinh nghiệm của tôi) cần phải cùng nhà cung cấp dịch vụ Internet và không cấm
port nào. Sau đó trên Modem ADSL bạn forward hai port 1723 và port 500 vào VPN server bạn cần triển
khai.
- Để đơn giản tôi sẽ giả lập Internet sử dụng một máy chủ Windows Server 2003 hoặc sử dụng Router. Mục
đích chúng ta trong loạt bài viết này là cấu hình VPN trên công nghệ Microsoft, về mặt đường truyền nếu
trên Internet chúng ta chỉ cần địa chỉ IP tĩnh và không cấm port thì mọi thứ hoàn toàn tương tự.
- Trên thực tế nếu các bạn cần kết nối VPN qua internet thì chỉ cần cấu hình Forward trên modem và không
cần cấu hình một máy chủ giả lập Internet còn các bước tiến hành tương tự.
Dưới đây là mô hình thực hiện trong bài viết này:


Cấu hình VPN toàn tập


Trang 2

- Có 3 máy tính chạy Windows Server 2003
+ 1 Máy tính giả lập môi trường Internet
+ 2 máy tính đóng vai trò VPN Server
+ 2 Client
- Địa chỉ IP tôi sử dụng để gán cho các máy như trên mô hình mạng.
b. Các công nghệ VPN
- Có hai protocol có thể triển khai VPN trên công nghệ Microsoft là: PPTP và L2TP/IPsec
- PPTP sử dụng port 1723
- L2TP/IPsec sử dụng Port 500
- Một máy chủ Windows Server 2003 có thể sử dụng 1 hay cả hai protocol này để tạo kết nối VPN.
- Triển khai VPN có hai dạng cơ bản đó là Client to Site và Site to Site
2. Cấu hình cơ bản trên Server trước khi cấu hình VPN.
a. Gán địa chỉ IP cho toàn bộ các máy tính theo đúng như trên mô hình lab

b. Cấu hình trên các máy chủ:
+ Cấu hình trên máy chủ Internet
+ Cấu hình trên 2 máy chủ Routing and Remote Access
+ Cấu hình địa chỉ IP trên hai máy Client


Cấu hình VPN toàn tập


Trang 3
- Trên máy chủ giả lập Internet tôi sẽ thực hiện tính năng Routing giả lập môi trường Internet.
- Trên hai máy chủ Routing and Remote Access tôi chỉ cấu hình như hai máy chủ NAT server, mục đích đảm
bảo khi chưa kết nối VPN thì Client sẽ không thể Ping được với nhau. Với mô hình được cấu hình như vậy
sẽ đảm bảo giống hệt môi trường trên Internet là hai máy Client tại hai Site sẽ không thể giao tiếp với nhau
nếu chưa thực hiện kết nối VPN.
Máy chủ Internet
- Đặt địa chỉ IP
- Cấu hình Routing and Remote Access:
Enable tính năng Routing trên máy chủ này, sau đó cấu hình định tuyến gói tin sử dụng RIPv2 cho phép
máy chủ hoạt động như Internet giả lập.
- Gán địa chỉ IP cho hai card mạng NIC1 và NIC 2 như hình dưới đây – Chúng ta không cần phải đặt
Gateway cho cả hai card mạng này.

Enable tính năng Routing trên máy chủ giả lập Internet
Enable Routing and Remote Access: Start à Administrative Tools à Routing and Remote Access


Cấu hình VPN toàn tập



Trang 4

Trong giao diện đầu tiên của Routing and Remote Access chuột phải chọn: Configure and Enable Routing
and Remote Access.

Bắt đầu bước đầu tiên trong quá trình cấu hình và Enable tính năng này. Nhấn Next để bắt đầu quá trình


Cấu hình VPN toàn tập


Trang 5

Trong các tính năng của service – Routing and Remote Access, máy chủ giả lập Internet chỉ cần đóng vai trò
là máy chủ Routing (định tuyến gói tin mà thôi). Tôi chọn Custom Configuration

Trong các Options hỗ trợ bởi service Routing and Remote Access:
+ VPN Access – Enable tính năng VPN Server trên máy chủ
+ Dial-up Access – Enable tính năng cho phép kết nối Dial-up (qua modem 56Kbps)
+ Demand-dial Connections – Cho phép kết nối Site to Site VPN tới các site khác hoặc hỗ trợ cho các site
khác kết nối đến.


Cấu hình VPN toàn tập


Trang 6
+ NAT and Basic Firewall – hoạt động như một máy chủ NAT server.
+ LAN Routing – Định tuyến gói tin
à Máy chủ giả lập Internet tôi chỉ cần khả năng định tuyến gói tin do đó tôi chỉ Enable tính năng này mà thôi.

Nhấn Next để tiếp tục quá trình.

Nhấn Finish để hoàn thành quá trình cấu hình:

Hệ thống sẽ thông báo hoàn tất quá trình cấu hình bạn có bật Service này lên không. Nhấn Yes để bật
Service này với những cấu hình đã lựa chọn như các bước bên trên.


Cấu hình VPN toàn tập


Trang 7

Sau khi cấu hình những tính năng cho dịch vụ Routing and Remote Access trên máy chủ. Tiếp đến tôi phải
cấu hình định tuyến trên dịch vụ Routing and Remote Access.
- Để đơn giản và thuận tiện tôi sử dụng định tuyến động và sử dụng giao thức định tuyến là RIPv2
- Vào dịch vụ Routing and Remote Access: IP Routing à chuột phải vào General chọn New Routing Protocol

Chọn giao thức định tuyến RIPv2


Cấu hình VPN toàn tập


Trang 8

Cấu hình cho RIPv2:
- Tôi cần phải Add cả hai card mạng của tôi vào để hoàn tất quá trình
- Vào RIP chuột phải vào khoảng trắng bên phải trọng New Interface
- Lần lượt làm như vậy với cả hai Card mạng Nic1 và Nic2 trên Server


Sau khi chọn New Interface chọn NIC1 rồi nhấn OK để toàn bộ mọi thứ mặc định
- Làm tương tự với NIC2.


Cấu hình VPN toàn tập


Trang 9

Nhấn OK rồi hoàn tất quá trình cấu hình trên máy chủ Internet. Sau toàn bộ các bước này bạn nên khởi
động lại Service này một lần bằng cách chuột phải lên ServerName trong service này chọn restart service
Cấu hình cơ bản trên hai máy chủ Routing and Remote Access
Trên máy chủ VPN1 ( như trên sơ đồ của bài viết)
- Cấu hình địa chỉ IP
- Configure and Enable Service Routing and Remote Access
+ Lựa chọn các Options hỗ trợ
+ Cấu hình NAT Server
Trên máy chủ VPN2 làm tương tự như máy chủ VPN1.
Đặt địa chỉ IP trên máy chủ VPN1.
- Chú ý không cần phải đặt Gateway trên cả hai card mạng
- Card EX sẽ kết nối tới máy chủ Internet
- Card IN sẽ kết nối và làm gateway cho các máy Client muốn truy cập ra ngoài


Cấu hình VPN toàn tập


Trang 10


Configure and Enable Routing and Remote Access
- Start à Administrative Tool à Routing and Remote Access. Làm tương tự các bước như cấu hình máy chủ
giả lập Internet đến bước lựa chọn các Options hỗ trợ trên Service này tôi sẽ lựa chọn các Options như
dưới đây:
- VPN Access – Tính năng này cho phép máy chủ hoạt động như một VPN Server có khả năng cho phép
các kết nối VPN đến.
- Dial-up Access – Tính năng này cho phép các kết nối sử dụng Dial-up kết nối đến server
- Demand-dial connection – Tính năng này cho phép máy chủ tạo kết nôi VPN Site – to – Site tới các site
khác và cho phép các site khác kết nối đến máy chủ
- NAT and Basic Firewall – Tính năng NAT hoạt động như một máy chủ NAT Server, tôi bắt buộc phải sử
dụng tính năng này nhằm mục đích cho phép các máy client truy cập ra bên ngoài, nhưng toàn bộ các giao
tiếp từ bên ngoài vào trong Card IN sẽ không thực hiện được (mục đích này để hoạt động tương tự như trên
môi trường Internet thực tế - Khi các Client có khả năng truy cập tới Internet nhưng từ Internet không thể
truy cập vào các máy con được – do các máy con truy cập ra Internet qua NAT Server thường là Modem).


Cấu hình VPN toàn tập


Trang 11

Sau khi lựa chọn các Option hỗ trợ trên dịch vụ Routing and Remote Access tôi cấu hình tính năng NAT trên
dịch vụ:
- Lưu ý: Phương pháp này áp dụng trên thực tế cũng được khi bạn thiết lập một máy chủ Routing and
Remote Access như một gateway cho client truy cập vào Internet: Client à NAT à Internet.
- Vào Routing and Remote Access à IP routing lựa chọn NAT/Basic Firewall
- Sang bên Phải chọn New Interface
+ Interface trong khi cấu hình NAT chúng ta bắt buộc phải chỉ rõ đâu là Card nối ra Internet đâu là Card nối
vào mạng Internal (card IN, card EX)
+ Lựa chọn card mạng nối ra Internet (Card EX)

+ Lựa chọn card mạng nối ra Internal (Card IN) – mục đich nhằm cho phép toàn bộ các địa chỉ IP của client
trong mạng Internal truy cập ra Internet bằng địa chỉ IP của card mạng EX.


Cấu hình VPN toàn tập


Trang 12

Lựa chọn card nối ra Internet (card EX)
- Sau khi chọn New Interface tôi lựa chọn Card mạng nối ra internet tôi đã đặt tên là card EX cho dễ phân
biệt (tên này có thể thay đổi).
- Lưu ý tên IN, và EX này là do tôi đổi tên hai card mạng có trong máy của tôi, các bạn có thể đổi thành tên
bất kỳ nhưng trong bài viết này tôi đổi tên cho dễ phân biệt với tên mặc định trong Windows: “Network
Connection Area 1” với “Network Connection Area 2”

Nhấn OK để tiếp tục các lựa chọn:


Cấu hình VPN toàn tập


Trang 13
+ Do là card mạng nối ra Inernet tôi sẽ phải chọn thuộc tính là: Public Interface connected to the Interntet
+ Nếu card mạng nối vào Internal tôi sẽ buộc phải chọn thuộc tính là: Private Interface connected to Private
Network
+ Với phương pháp như vậy tôi có thể tạo một Gateway truy cập internet cho Client qua máy chủ chạy dịch
vụ Routing and Remote Access.
+ nhấn OK để hoàn tất quá trình add card mạng nối ra Internet


Cấu hình với card mạng nối vào mạng Internal (Card IN)
+ tương tự tôi chọn New Interface chọn Card mạng tên là “IN” nhấn OK để tiếp tục quá trình


Cấu hình VPN toàn tập


Trang 14

Card mạng IN này kết nối tới mạng Internal do đó tôi phải chọn thuộc tính: Private Interface Connected to
Private Network.
+ Nhấn OK để hoàn tất quá trình cấu hình NAT trên máy chủ này

Chú ý: Sau khi hoàn tất một cấu hình nào khuyến cáo các bạn nên khởi động lại Service
Cấu hình cơ bản trên máy chủ VPN2


Cấu hình VPN toàn tập


Trang 15
- Trên máy chủ VPN2 tôi cũng cấu hình máy chủ tương tự như máy chủ VPN1 có điều địa chỉ IP khác mà
thôi.
Cấu hình địa chỉ IP trên Client 1
Cấu hình địac chỉ IP đặt đúng như trên mô hình, với gateway là card mạng IN của máy chủ VPN1

Cấu hình địa chỉ IP trên Client 2
- Tương tự như cấu hình địa chỉ IP như trên mô hình với Gateway trỏ vào card In của máy chủ VPN2.
Sau khi hoàn tất quá trình cấu hình cơ bản trên cả ba server: Internet, VPN1, VPN2 và các Client tôi bắt đầu
tiến hành cấu hình kết nối VPN.

3. Cấu hình Client to Site
Trên mô hình ban đầu tôi cấu hình máy chủ VPN1 thành VPN Server cho phép các Client trên Internet và
điển hình là Client 2 – 172.30.0.50/24 kết nối VPN vào. Các bước tiến hành:
a. Cấu hình trên Server
b. Cấu hình trên Client
c. Test
a. Cấu hình trên Server – VPN1
- Cấu hình cơ bản
- Cấu hình cho phép User và Group thực hiện kết nối VPN
- Remote Access Policy cho phép máy chủ xác thực và nghe các kết nối VPN
- Gán địa chỉ IP cho các kết nối VPN.
Cấu hình cơ bản
- Đã hoàn thành trong phần 2 của bài viết với: Gán địa chỉ IP, và các cấu hình cơ bản trên dịch vụ Routing
and Remote Access.
Tạo User và Group cho cho phép tạo kết nối VPN
- Tạo User: Với tên – VNEXPERTS và password là 123456


Cấu hình VPN toàn tập


Trang 16
- Tạo Group: Với tên – VPN
- Add user VNEXPERTS vào Group VPN

Kiểm tra User vừa tạo có được quyền kết nối VPN không.
- Chuột phải My Computer chọn Manage, rồi vào phần quản lý user nhấn đúp vào User vừa tạo, chuyển
sang tab Dial-in.
- Nếu trong tab này để là Control access though Remote Access Policy là được. Options này có ý nghĩa là
User này sẽ bị điều khiển truy cập bởi: Remote Access Policy

- Vậy tôi muốn cho User này kết nối VPN thì tôi phải cấu hình Remote Access Policy, nhưng nó ở đâu? Đó
chính là trong dịch vụ Routing and Remote Access.

Remote Access Policy


Cấu hình VPN toàn tập


Trang 17
Cấu hình tính năng này cho phép dịch vụ Routing and Remote Access nghe những yêu cầu kết nối VPN và
kiểm tra xem Group nào được quyền truy cập kết nối VPN.
Tạo New Remote Access Policy
- Vào dịch vụ Routing and Remote Access chọn phần Remote Access Policy vổi sang phải chọn New
Remote Access Policy

Trong cửa sổ đầu tiên của quá trình tạo New Remote Access Policy bạn cần phải chọn Next sau khi đọc
song giới thiệu.



Cấu hình VPN toàn tập


Trang 18
Bạn cần phải đặt tên cho Remote Access Policy này:
- Tôi chọn Option là “Setup a custom policy” rồi đặt tên cho Policy mới này. Nhấn Next để tiếp tục quá trình

Trong cửa sổ tiếp theo của quá trình hệ thống bắt đặt điều kiện cho phép kết nối VPN.
- Trong cửa số đó tôi nhấn Add để thêm điều kiện

- Hệ thống sẽ cho tôi một danh sách các điều kiện có thể dùng để cho phép kết nối VPN
- Ở đây tôi chọn điều kiện là sử dụng Windows Group – Tôi đã tạo một group VPN để nhằm mục đích này.
- Sau khi chọn tính điều kiện là Windows Group nhấn Add hệ thống sẽ yêu cầu lựa chọn Group để cho phép
thực hiện kết nối VPN.


Cấu hình VPN toàn tập


Trang 19

Tôi lựa chọn Group là VPN rồi nhấn OK để hoàn thành bước này.

Sau khi lựa chọn xong điều kiện là Group VPN tôi nhấn Next để tiếp tục quá trình.


Cấu hình VPN toàn tập


Trang 20

Cửa sổ tiếp theo của quá trình hệ thống sẽ hỏi tôi Group này có được quyền truy cập hay không tôi chọn
cho phép truy cập “Gant remote access permission”. Nhấn Next để tiếp tục quá trình.

Trong cửa sổ này bạn có thể chọn Edit Profile để tinh chỉnh một số Options cần thiết. Nhấn Next để tiếp tục
quá trình


Cấu hình VPN toàn tập



Trang 21

Hoàn tất quá trình tạo một Remote Access Policy mới.
- Giờ máy chủ của bạn đã được cấu hình để nghe các yêu cầu kết nối và cho phép group VPN được thực
hiện kết nối VPN tới hệ thống.

Bước Gán địa chỉ IP cho các kết nối truy cập đến ( đây là IP ảo ).
- Bước này hết sức quan trọng nếu không có bước này các Client vẫn có thể kết nối VPN đến được nhưng
không được gán địa chỉ IP khi đó sẽ không thể hoàn thành toàn bộ quá trình kết nối được.
- Chuột phải vào server VPN trên dịch vụ Routing and Remote Access chọn Properties


Cấu hình VPN toàn tập


Trang 22

Chọn Table IP rồi chọn Options là Static Address Pool, nhấn Add
- Ở đây tôi chọn cấp giải mạng: 200.200.200.1 à 254 để gán cho các máy kết nối VPN tới máy chủ VPN này.
Địa chỉ IP này là địa chỉ IP ảo gán cho card mạng ảo khi kết nối. Số địa chỉ IP gán này đồng nghĩa với số
connection có thể thực hiện kết nối VPN tới máy chủ ở đây là 254.
- Nhấn OK để hoàn tất quá trình

Sau toàn bộ các bước trên bạn đã cấu hình thành công một máy chủ thành VPN SERVER.


Cấu hình VPN toàn tập



Trang 23
Giờ để hoàn tất kết nối Client to Site tôi cấu hình trên Client tạo một kết nối tới máy chủ VPN.
b. Cấu hình trên Client
- Client 2 Gateway là máy chủ VPN2 như trên mô hình ban đầu của chúng ta
Sau khi hoàn tất quá trình đặt địa chỉ IP về giải: 172.30.0.0/24
- Tôi kiểm tra địa chỉ IP đã OK
- Ping sang địa chỉ IP của máy chủ VPN1 đã thông (chứng tỏ Gateway và máy chủ Internet chạy chuẩn).
- Ping vào card mạng bên trong của máy chủ VPN1 không thông – Do máy chủ VPN1 hoạt động như một
máy chủ NAT do đó khi chưa kết nối VPN thì không thể thực hiện các kết nối giữa hai client trên hai giải
mạng như trên mô hình.

Giờ tôi tiến hành tạo một kết nối VPN Client to Site tới máy chủ VPN.
- Vào Network Connections chọn New Connection. Nhấn Next để bắt đầu cấu hình tạo kết nối


Cấu hình VPN toàn tập


Trang 24

Chọn Option: Connect to the network at my workplace – để tạo kết nối VPN

Kết nối tới máy chủ có hai dạng sử dụng Dial-up và tạo kết nối VPN tôi lựa chọn
- Virtual Private Network (VPN) connection. Nhấn Next để tiếp tục quá trình.


Cấu hình VPN toàn tập


Trang 25


Kết nối yêu cầu đặt tên (cái này không quan trọng), chọn một tên rồi nhấn Next để tiếp tục quá trình.

Bước này yêu cầu bạn phải gõ chính xác địa chỉ IP của máy chủ VPN Server mà bạn cần kết nối đến
- Tôi gõ địa chỉ là của VPN1: 58.203.70.130 như trên mô hình rồi nhấn Next

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×