Tài liệu về VPN
Như chúng ta đã được biết VPN là một giải pháp hỗ trợ truy cập từ xa có chi phí và hiệu quả tốt
nhất hiện nay cho một hệ thống mạng doanh nghiệp. Ta có thể triển khai hệ thống VPN để phục
vụ các nhu cầu:
- Hỗ trợ truy cập từ xa vào hệ thống mạng nội bộ (VPN Client-to-Gateway)
- Kết nối các hệ thống mạng nằm ở nhiều vị trí địa lý khác nhau (VPN Site-to-Site)

Từ trước đến nay, hệ thống VPN hỗ trợ 2 cơ chế kết nối là:
- Point-to-Point Tunneling Protocol (PPTP)
- Layer Two Tunneling Protocol (L2TP)

Nhưng hiện nay, ngoài 2 cơ chế PPTP và L2TP trên Windows Server 2008 và Windows Vista
Service Pack 1 còn hỗ trợ thêm một cơ chế kết nối mới là:
- Secure Socket Tunneling Protocol (SSTP)
Sự bất tiện của PPTP và L2TP:
- PPTP sử dụng TCP port 1723, và đóng gói gói tin bằng phương pháp Generic Routing
Encapsulation (GRE). Với phương pháp GRE có thể nói gói tin PPTP có cấp độ bảo mật rất thấp
vì gói tin PPTP chỉ được mã hóa sau khi các thông tin quan trọng đã được trao đổi.
- Cơ chế kết nối VPN có cấp độ bảo mật tốt hơn là L2TP chạy port 1701, vì L2TP s
ử dụng IPSec
Encapsulating Security Payload (ESP) port 4500 và Internet Key Exchange (IKE) port 500 để m
ã
hóa gói tin. Nhưng nếu VPN Client kết nối đến VPN Server bằng L2TP/IPSec thông qua NAT
yêu cầu VPN Server và VPN Client phải có hổ trợ NAT-Traversal (NAT-T)

- Với hai đặc điềm trên, nếu các Firewall và thiết bị NAT tại các điểm internet công cộng (trung
tâm hội thảo, internet cafe…) chỉ cho phép các máy tính kết nối Web (HTTP và HTTPS), hoặc
khi các máy Client truy cập internet thông qua Proxy server thì VPN Client sẽ không thể kết nối
tới VPN Server thành công bằng cơ chế PPTP và L2TP/IPSec
Sự thuận tiện của VPN-SSTP:
SSTP là cơ chế kết nối VPN bằng HTTP over Secure Socket Layer (HTTP over SSL) port 443.
Thông thường, trong một hệ thống mạng hiện nay dù là các Firewall hay Proxy server đều cho
phép truy cập HTTP và HTTPS. Vì vậy, dù ở bất cứ đâu các máy Client đều có thể kết nối VPN
bằng cơ chế SSTP và đảm bảo bảo mật được gói tin vì áp dụng phương pháp mã hóa SSL
Một số đặc trưng của SSTP:
- SSTP được tích hợp hỗ trợ NAP để bảo vệ nguồn tài nguyên mạng tốt hơn bằng cách thi hành
các chính sách về system health. Bạn có thể xem bài viết chi tiết về NAP tại

- SSTP hỗ trợ IPV6: đường hầm SSTP và IPV6 dựa trên việc kết nối SSTP thông qua IPV6
- Hơn nữa, SSTP thiết lập HTTP riêng l
ẻ thông qua session SSL từ SSTP client đến SSTP server.
Dùng HTTP thông qua SSL Session sẽ giảm thiểu được chi phí và cân bằng tải tốt hơn
- SSTP không hỗ trợ VPN Site-to-Site
Bảng so sánh:
Attributes

PPTP

L2TP/IPsec

SSTP

Encapsulation



Encryption

GRE


Microsoft Point-to-
L2TP over UDP


IPsec ESP with Triple Data
SSTP over TCP


SSL with RC4 or AES




Tunnel maintenance
protocol

When user
authentication occurs

Certificates required to
establish the VPN
tunnel
Point Encryption
(MPPE) with RC4


PPTP



Before encryption
begins



None
Encryption Standard (3DES) or
Advanced Encryption Standard
(AES)

L2TP



After the IPsec session is
established


Computer certificates on both the
VPN client and VPN server





SSTP




After the SSL session is
established


Computer certificate on the
VPN server and root CA
certificate on the VPN client



Cơ chế kết nối của SSTP:
1. VPN Client kết nối tới VPN Server bằng port 443
2. VPN Client gởi gói tin SSL Client-Hello cho VPN Server để yêu c
ầu tạo kết nối SSL với VPN
Server
3. VPN Server gởi Computer Certificate (gồm Public Key của VPN Server) cho VPN Client
4. VPN Client kiểm tra tính hợp lệ của Certificate, nếu Certificate là hợp lệ, VPN Client sẽ phát
sinh một SSL session Key ngẫu nhiên, và mã hóa SSL session Key này bằng Public key của
VPN Server
5. VPN Client gởi SSL session Key đã được mã hóa tới VPN Server
6. VPN Server giải mã SSL session Key đã được mã hóa bằng Private Key
7. VPN Client gởi yêu cầu được kết nối tới VPN Server bằng HTTP over SSL (HTTPS)
8. VPN Client thương lượng (negotiates) kết nối PPP (Point-to-Point Protocol) với VPN Server.
Quá trình thương lượng bao gồm việc chứng thực User, phương pháp chứng thực (MS-
CHAPv2,EAP….)
9. VPN Client bắt đầu gởi gói tin thông qua kết nối PPP


Bài lab bao gồm các bước:
1. Cài đặt Enterprise CA
2. Xin Computer Certificate cho VPN Server
3. Cài đặt Routing and Remote Access
4. Cấu hình VPN Client-to-Gateway
5. Cấu hình NAT Inbound
6. Download CA Certificate
7. Cấu hình Trusted Root CA trên VPN Client
8. Tạo VPN Connection
9. Kiểm tra kết nối VPN-SSTP

II. Chuẩn bị
Mô hình bài lab gồm 3 máy:
- Máy DC: Windows Server 2008 đã nâng cấp Domain Controller
-
Máy VPN Server
: Windows Server 2008 đã join domain
- Máy VPN Client: Windows Server 2008 hoặc Windows Vista Service Pack 1 (không join
domain)


- Cấu hình TCP/IP cho 3 máy như trong bảng sau:


Card
External

Card
Internal


Máy DC


IP: 172.16.1.2/24

GW: 172.16.1.1
DNS: 172.16.1.2

Máy VPN Server

IP: 192.168.23.11/24

GW: 192.168.23.200
DNS:

IP: 172.16.1.1/24

GW:
DNS: 172.16.1.2

Máy VPN Client


IP: 192.168.23.100/24


- Tạo các User và group như trong hình, cho user Hieu và Trong làm thành viên của group
VPNUsers



- Cấp quyền Remote Access cho user Hieu và Trong



- Tại máy DC tạo share folder C:\DATA có chứa dữ liệu như trong hình


III. Thực hiện
1. Cài đặt Enterprise CA
- Tại máy DC, logon MSOpenLab\Administrator
- Mở Server Manager từ Administrative Tools, trong cửa sổ Server Manager chuột phải
Role chọn Add Roles



- Hộp thoại Before You Begin, chọn Next
- Trong hộp thoại Select Server Roles, đánh dấu chọn Active Directory Certificate Services,
chọn Next


- Hộp thoại Introduction to Active Directory Certificate Services, chọn Next
- Trong hộp thoại Select Role Services, đánh dấu chọn Certification Authority Web
Enrollment

- Hộp thoại Add role services and feature required for Certification Authority Web
Enrollment, chọn Add Required Role Services, chọn Next

- Trong hộp thoại Specify Setup Type, chọn Enterprise, chọn Next



- Hộp thoại Specify CA Type, chọn Root CA, chọn Next

- Hộp thoại Set Up Private Key, chọn Create a new private key, chọn Next

- Hộp thoại Configure Cryptography for CA, chọn Next

- Trong hộp thoại Configure CA Name, đặt tên cho CA là MSOpenlab-CA, chọn Next

- Hộp thoại Set Validity Period, chọn Next
- Hộp thoại Configure Certificate Database, chọn Next
- Hộp thoại Web Server (IIS), chọn Next, Hộp thoại Select Role Services, giữ cấu hình mặc
định, chọn Next


- Hộp thoại Confirm Installation Selections, chọn Install
- Trong hộp thoại Installation Results, kiểm tra quá trình cài đặt thành công, chọn Close


2. Xin Computer Certificate cho VPN Server
- Tại máy VPN Server, restart máy để nhận Trusted Root CA. Logon
MSOPenLab\Administrator. Vào Start\Run, gõ mmc
- Trong cửa sổ Console1, bung File, chọn Add/Remove Snap-in, chọn Certificate, chọn
Add


- Hộp thoại Certificate snap-in, chọn Computer account, chọn Next



- Hộp thoại Select Computer, chọn Local Computer, chọn Finish, OK




- Trong cửa sổ Console1, bung Certificate\Trusted Root Certification
Authorities
\
Certificate
, kiểm tra có certificate
MSOpenLab
-
CA




- Trong cửa sổ Console1, chuột phải Personal chọn All Tasks, chọn Request New
Certificate


- Hộp thoại Before You Begin, chọn Next

- Trong hộp thoại Request Certificates, đánh dấu chọn certificate Computer, chọn
Enroll, Finish


- Trong cửa sổ Console1, vào Personal\Certificate, double click
VPNServer.MSOpenLab.com




- Kiểm tra Certificate vừa xin cho VPN Server


3. Cài đặt Routing and Remote Access
- Tại máy VPN Server, mở Server Manager từ Administrative Tools
- Trong cửa sổ Server Manager, chuột phải Roles, chọn Add Role. Hộp thoại
Before You
Begin, chọn Next


- Trong hộp thoại Select Server Roles, đánh dấu chọn Network Policy and Access
Sevices, chọn Next

- Hộp thoại Network Policy and Access Services, chọn Next. Hộp thoại Select Role
Services, đánh dấu chọn Routing and Remote Access Services, chọn Next