Kiểm tra máy chủ mạng riêng ảo TMG 2010 - Phần 1: Tổng quan về
cấu hình VPN

Trong phần một của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn
các kiến thức tổng quan về cấu hình VPN trong TMG 2010.
Nhiều năm qua ISA và sau đó là máy chủ TMG VPN đã là người bạn
thân thiết của các quản trị viên bất cứ khi nào họ rời văn phòng mình. Với
ISA 2004, Microsoft đã có một thành công thực sự khi nói đến máy chủ
VPN của họ. ISA VPN server là một giải pháp VPN truy cập từ xa mạnh
mẽ và dễ dàng cấu hình. Những gì các bạn có thể cảm thấy thích nhất về
ISA VPN server vì nó là một trong những giải pháp an toàn nhất trên thị
trường. Khi nó đến truy cập từ xa, vấn đề bảo mật của nó là hoàn toàn
đảm bảo.
Mặc dù vậy cần phải thừa nhận rằng khi cấu hình DirectAccess của mình
được thiết lập và chạy, các bạn sẽ không sử dụng VPN nhiều. Tuy nhiên
sẽ có nhiều lần ai đó cần sử dụng máy tính mà không có DirectAccess, vì
vậy chúng ta vẫn phụ thuộc vào truy cập VPN để vào mạng của mình. Đó
là lý do tại sao chúng ta vẫn cần có máy chủ TMG VPN trong văn phòng.
Trong loạt bài về máy chủ TMG VPN này, chúng tôi sẽ bắt đầu bằng giới
thiệu tổng quan về cấu hình VPN, sau đó đi vào một số vấn đề cụ thể để
kích hoạt sự truy cập L2TP/IPsec và SSTP. Nếu bạn hoàn toàn cảm thấy
mới mẻ với ISA/TMG, thì phần này sẽ cung cấp cho bạn những kiến thức
cơ bản về những gì đang diễn ra.
Chúng ta hãy bắt đầu bằng cách mở giao diện TMG firewall và kích nút
Remote Access Policy (VPN) trong phần panel bên trái. Trong phần
panel bên phải, trong danh sách VPN Clients Tasks, kích liên kết Enable
VPN Client Access, như thể hiện trong hình bên dưới.

Hình 1
Nếu là một quản trị viên ISA VPN có kinh nghiệm thì chắc chắn bạn sẽ
nhận ra hộp thoại này. Kích OK trong hộp thoại này và sửa vấn đề.

Hình 2
Trong phần panel bên phải của giao diện điều khiển, kích liên kết Define
Address Assignments, xem thể hiện như hình bên dưới.

Hình 3
Trong hộp thoại Remote Access Policy (VPN) Properties, kích tab
Address Assignment. Chọn tùy chọn Dynamic Host Configuration
Protocol (DHCP). Thao tác này sẽ cấu hình tường lửa TMG để thu được
các địa chỉ IP cho các máy khách VPN (và adapter RAS của chính nó) từ
máy chủ DHCP. Lưu ý rằng chỉ thu được các địa chỉ IP từ máy chủ VPN.
Bạn sẽ không có các tùy chọn DHCP. Để cung cấp các tùy chọn DHCP
đến các máy khách VPN, bạn cần cấu hình máy chủ TMG VPN làm
DHCP relay. Chúng tôi sẽ giới thiệu về cách thực hiện này trong một
phần khác.
Lưu ý danh sách sổ xuống Use the following network to obtain DHCP,
DNS and WINS services. Danh sách này gồm có tên của NIC đã được
cài đặt trên TMG firewall. TMG firewall sẽ sử dụng các thiết lập DNS và
các WINS trên NIC mà bạn chọn nhằm cung cấp các dịch vụ này cho
máy khách VPN. Mặc dù vậy, nếu muốn tùy chỉnh cấu hình, bạn có thể
kích nút Advanced.

Hình 4
Lúc này bạn sẽ thấy xuất hiện hộp thoại Name Resolution. Thiết lập mặc
định là Obtain DNS server addresses using DHCP configuration. Mặc
dù vậy, bạn có thể chọn các tùy chọn Use the following DNS server
addresses và Use the following WINS server addresses để sử dụng các
địa chỉ không có trong cấu hình trên các NIC trên TMG firewall.

Hình 5

Kích OK, sau đó kích Apply ở phía trên trong panel ở giữa để áp dụng
những thay đổi cho Firewall Policy.
Lưu ý rằng vấn đề đánh địa chỉ cần được xử lý, vì vậy kích liên kết
Enable VPN Client Access trong phần panel bên phải của giao diện điều
khiển.

Hình 6
Kích Apply ở phía trên trong phần panel giữa để lưu các thay đổi đối với
Firewall Policy.
Như được đề cập từ trước, TMG firewall sẽ thu được địa chỉ IP từ DHCP
server. Đây là cách nó làm việc: TMG firewall không thu được các địa
chỉ này tại một thời điểm mà thay vào đó, nó yêu cầu các địa chỉ IP trong
các nhóm 10. Rõ ràng bạn cần phải có một DHCP server trên mạng để
thực hiện công việc này. Chúng tôi đã cài đặt một DHCP server trên
domain controller trong mạng thử nghiệm của mình. Khi kiểm tra giao
diện điều khiển DHCP, bạn sẽ thấy TMG firewall đã “chộp” được 10 địa
chỉ IP từ DHCP server, xem thể hiện trong hình bên dưới.

Hình 7
Kích liên kết Configure VPN Client Access trong phần panel bên phải
của giao diện.

Hình 8
Trong hộp thoại VPN Clients Properties, trong tab General, bạn sẽ thấy
hộp kiểm Enable VPN client access đã được tích và Maximum number
of VPN clients allowed được thiết lập là 100. Với Standard Edition, bạn
sẽ bị hạn chế ở 1000 kết nối, với Enterprise Edition bạn sẽ không bị hạn
chế (có thể chỉ bị hạn chế về phần cứng và mạng hỗ trợ).

Hình 9

Kích tab Groups. Ở đây bạn có thể cấu hình thông qua Active Directory
nhóm người dùng nào có thể kết nối đến VPN server. Bạn chọn các nhóm
bằng cách sử dụng nút Add. Các tài khoản User thuộc về các nhóm miền
này cần phải được cấu hình truy cập VPN trong các tùy chọn tài khoản
“dial-in” được thiết lập để kiểm soát sự truy cập thông qua chính sách.
Điều này được thiết lập mặc định cho các miền của Windows Server
2008, chính vì vậy chúng ta không cần thực hiện bất cứ thứ gì trong
Active Directory để bảo đảm cho nó làm việc. Tuy nhiên nếu sử dụng
Windows Server 2003, bạn nên kiểm tra các thiết lập đó.

Hình 10
Khi kích nút Add, hộp thoại Select Groups sẽ xuất hiện. Trong phần
From this location, bảo đảm rằng bạn đã chọn miền. Mặc định sẽ là máy
tính nội bộ, và bạn không cần phải chọn cho điều đó. Trong ví dụ này,
chúng tôi đã chọn miền msfirewall.org và cho phép tất cả người dùng
trong miền có thể kết nối đến VPN, vì vậy sẽ phải nhập Domain Users
trong hộp văn bản Enter the object names to select. Kích OK để lưu các
thay đổi.

Hình 11
Lúc này bạn có thể thấy nhóm xuất hiện trong danh sách trên tab Groups,
như thể hiện trong hình bên dưới.

Hình 12
Kích tab Protocols. Ở đây bạn có thể chọn giao thức VPN nào có thể
được sử dụng để kết nối đến máy chủ TMG VPN. Các tùy chọn gồm có:
 Enable PPTP
 Enable L2TP/IPsec
 Enable SSTP
Tùy chọn Enable PPTP được kích hoạt mặc định và sẽ làm việc không

cần cấu hình bổ sung nào trên các máy khách VPN, chỉ cần cấu hình bổ
sung tối thiểu trên máy chủ TMG VPN. Mặc dù vậy, nếu chọn tùy chọn
L2TP/IPsec hoặc SSTP, bạn sẽ cần xử lý một số vấn đề có liên quan đến
các chứng chỉ (về vấn đề này bạn có thể sử dụng khóa tiền chia sẻ với
L2TP/Ipsec, nhưng đó là cách làm không an toàn). Chúng ta sẽ đi vào các
yêu cầu cấu hình và các thủ tục cho hai giao thức VPN này sau.

Hình 13
Trong tab User Mapping, bạn có một tùy chọn cho phép bạn bản đồ hóa
các máy khách VPN từ các không gian tên non-Windows (chẳng hạn như
những người dùng đã được thẩm định RADIUS hoặc EAP) đến không
gian tên Windows. Điều này có nghĩa rằng nếu không tích hợp sự thẩm
định cho các máy khách VPN, sử dụng RADIUS hoặc EAP, thì bạn
không thể lợi dụng các nhóm Windows Active Directory một cách tự
động. Vì vậy, nếu việc bản đồ hóa người dùng không được kích hoạt, bạn
sẽ phải tạo một tập người dùng trên TMG firewall và sử dụng người dùng
thông thường đã được thiết lập khi cấu hình rule tường lửa để kiểm soát
sự truy cập các máy khách VPN. Rõ ràng, để làm việc, TMG firewall
phải là một thành viên miền. Chúng tôi sẽ không sử dụng User Mapping
trong ví dụ này vì không sử dụng thẩm định RADIUS hoặc EAP.

Hình 14
Trong tab Quarantine, bạn có thể cấu hình TMG firewall để cách ly
người dùng trước khi cho phép truy cập vào mạng nếu các máy tính của
họ không có đủ các yêu cầu về bảo mật. Có hai cách bạn có thể thực hiện
điều này: đầu tiên là sử dụng điều khiển cách ly truy cập từ xa và thứ hai
là sử dụng NAP. Nhìn chung, NAP được cho là giải pháp tốt hơn, tuy
nhiên chúng tôi phải thừa nhận rằng nếu bạn có một chút kiến thức về lập
trình, hoặc sử dụng công cụ từ Winfrasoft thì bạn sẽ có rất nhiều khả
năng kiểm soát thông qua sự kiểm soát cách ly truy cập từ xa so với

những gì bạn có với NAP, vì NAP HSV có bên trong không phải là một
tính năng mạnh.
Có hai lựa chọn chính ở đây sau khi bạn kích hoạt điều khiển cách ly:
Quarantine according to RADIUS server policies and Quarantine
VPN clients according to TMG policies. Đầu tiên là tùy chọn NAP và
sau đó là tùy chọn kiểm soát cách ly truy cập từ xa. Lưu ý rằng bạn cũng
có các tùy chọn cho việc điều khiển thời gian đợi là bao lâu trước khi hủy
kết nối các máy khách VPN được cách ly và cũng có thể cấu hình danh
sách người dùng được miễn giám sát cách ly. Chúng tôi sẽ không đi sâu
vào giới thiệu các chi tiết kiểm soát cách ly trong phần này mà sẽ giới
thiệu sau.

Hình 15
Lúc này hãy chuyển sang phần General VPN Configuration trong panel
phải của giao diện điều khiển. Kích liên kết Select Access Networks, như
thể hiện trong hình bên dưới.

Hình 16
Trong tab Access Networks, chọn Networks mà trong mạng đó bạn
muốn VPN server lắng nghe các kết nối. Mặc định, tùy chọn default
External Network sẽ được chọn. Tuy nhiên bạn có thể sử dụng các tùy
chọn khác hoặc kết hợp các tùy chọn mà bạn thích. Lưu ý rằng bạn không
thể gán các địa chỉ IP cụ thể; tất cả các địa chỉ IP của NIC cho mạng bạn
chọn sẽ lắng nghe các kết nối gửi đến. Nếu bạn cho phép các kết nối gửi
vào cho người dùng VPN, điều đó không có nghĩa rằng địa chỉ IP sẽ được
sử dụng. Không có một sự thuận lợi bảo mật thực sự nào cho việc hạn chế
truy cập VPN đối với một địa chỉ IP trên một giao diện cụ thể.

Hình 17
Kích tab Address Assignment. Khi đó bạn sẽ gặp một cửa sổ khá quen

vì chúng ta đã thấy trước đó. Nếu quyết định sử dụng địa chỉ tĩnh, bạn có
thể tạo thay đổi vấn đề đó ở đây. Một ví dụ cho việc thay đổi địa chỉ tĩnh
là khi bạn muốn cấu hình mảng các máy chủ TMG VPN. Trong trường
hợp đó, mỗi thành viên của mảng cần có một bộ sưu tập riêng các địa chỉ
IP. Chúng tôi sẽ giới thiệu cách cấu hình mảng TMG VPN server trong
các phần sau. Trong ví dụ này, chúng ta chỉ có một máy chủ.

Hình 18
Trong tab Authentication, bạn có thể cấu hình kiểu thẩm định người
dùng. Thiết lập mặc định là MS-CHAPv2. Mặc định bạn có thể sử dụng
EAP, CHAP và PAP, nhưng nhìn chung chỉ có một số tùy chọn mà bạn
chắc sẽ muốn sử dụng là MS-CHAPv2 hoặc EAP. Lưu ý rằng có một tùy
chọn thẩm định máy tính ở phía dưới. Khi tích vào hộp kiểm Allow
customer IPsec policy for L2TP, bạn sẽ có thể nhập vào khóa tiền chia
sẻ. Đây là phương pháp “con nhà nghèo” cho việc bảo vệ Ipsec với các
kết nối L2TP/Ipsec, nó cho phép bạn có thể thiết lập kết nối mà không
cần triển khai chứng chỉ. Chúng tôi sẽ giới thiệu cách triển khai các
chứng chỉ trong phần tiếp theo của loạt bài này để bạn có thể sử dụng
phương pháp được tiến cử (an toàn hơn) cho L2TP/IPsec.

Hình 19
Trong tab RADIUS, bạn có thể cấu hình các máy chủ RADIUS sử dụng
cho việc thẩm định VPN hoặc ghi chép. Lưu ý rằng bạn có thể sử dụng
RADIUS để thẩm định hoặc ghi chép, hoặc cả hai. Chúng tôi sẽ không
giới thiệu thẩm định RADIUS server hoặc việc ghi chép trong loạt bài
này.

Hình 20
Kết luận
Giống như ISA, TMG firewall có thể đóng vai trò như một máy chủ VPN

truy cập xa. Nếu là một quản trị viên ISA VPN server có nhiều kinh
nghiệm thì rất có thể các bạn sẽ không thấy nhiều điểm mới trong cấu
hình máy chủ TMG VPN – ngoại trừ sự tích hợp SSTP. Trong phần tiếp
theo của loạt bài này, chúng tôi sẽ giới thiệu những gì bạn cần thực hiện
để làm cho các kết nối L2TP/Ipsec hoạt động, sử dụng các chứng chỉ máy
tính và các khóa tiền chia sẻ. Trong phần sau chúng tôi cũng sẽ giới thiệu
một số vấn đề tường lửa mà bạn biết nếu muốn chuẩn hóa cấu hình máy
khách VPN truy cập từ xa L2TP/Ipsec.