ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 151
Phần 5 : VPN
VPN (Virtual Private Network) là giải pháp hữu hiệu để kết nối các hệ thống mạng
của doanh nghiệp có nhiều chi nhánh và vị trí địa lý xa nhau, hoặc doanh nghiệp của bạn có
nhiều nhân viên phải thường xuyên đi công tác xa và họ cos nhu cầu truy cập vào tài nguyên
mạng nội bộ.
ISA Server có khả năng cấu hình thành một VPN Server cho phép Clients từ xa truy cập
(Client to Site) hoặc cấu hình làm một Gateway để kết nối đến một hệ thống chi nhánh (Site
to Site). VPN Server của chi nhánh được khuyến cáo nên là một ISA Server , nhưng thực tế
thì ISA Server có thể kết nối VPN rất tốt với các thiết bị VPN của các hãng khác.
Clients hoặc VPN Server khi quay VPN vào ISA Server sẽ được cấp một địa chỉ IP
Private sử dụng trong VPN Tunnel. ISA và Clients sẽ sử dụng địa chỉ IP này cho phần
Routing trên VPN. Private IP đựơc cấp phát có thể lấy từ DHCP Server hoặc lấy từ dịch vụ
Routing and Remote Access trên Windows 2003.
ISA Server thực ra sử dụng dịch vụ Routing and Remote Access của Windows 2003 làm
VPN và Routing, ngòai ra ISA Server có thêm những phần Filtering và Application Filter .
Trên ISA Server, IP Address Pool được quy định là một khỏang địa chỉ IP. Địa chỉ IP
đầu tiên được ISA Server sử dụng cho chính mình khi bật tính năng VPN trên ISA Server lên.
Những địa chỉ IP tiếp theo sẽ cấp phát cho Clients hoặc VPN Server khi quay VPN vào ISA
Server.
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 152
Khỏang địa chỉ IP cấp phát này không được trùng Network ID với bất kỳ lớp mạng nào
của ISA Server hoặc trong tòan hệ thống Routing. Nếu trùng Network giữa các lớp mạng,
ISA Server và Router không thể Routing được vì bị Overlap Destination. Điều này cũng sẽ
áp dụng cho 2 ISA Server quay VPN với nhau theo mô hình Site to Site.
Mô hình minh họa VPN Clients to site và Site to Site :
1. Cấu hình VPN Client to Site :
Để cấu hình cấp phát IP cho VPN Clients, vào ISA Server Management Console. Chọn
mục Virtual Private Network
Chọn mục Verify VPN Properties and Remote Access Còniguration, chọn Tab Address
Assignment
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 153
Ở đây ta không sử dụng DHCP để cấp Ip cho clients. Chọn Use Static Address Pool, nhấn
Add để thêm khỏang IP vào Pool.
Khỏang IP bắt đầu từ 172.30.1.1 đến 172.30.1.50 hỗ trợ cho 49 Clients kết nối vào ISA
Server bằng VPN. Nhấn Ok và kiểm tra khỏang IP .
Tiếp theo ta chọn Tab Authentication. Check mục Microsoft Encrypted authentication (
MS-CHAP )
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 154
Mở Computer Managemet, chọn mục Local Users and Groups. Mục User, chọn New
User . Tạo User có tên là VPN1/123abc!!!
Chuột phải vào user VPN1 chọn Properties. Chọn Tab Dial-in. Mục Remote Access
Permission chọn Allow Access
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 155
Phải chụột vào Groups chọn New Group
Group Name gõ VPN Clients. Nhấn Add để thêm Member vào Group này
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 156
Tại ISA Server Management Console, Chọn mục Virtual Private Network. Chọn mục
Specify Window Users or Select a Radius Server
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 157
Giao diện VPN Clients Properties, tại Tab Groups nhấn Add . Nhập vào nhóm đã tạo.
Chuyển qua tab General. Check vào Enable VPN Client Access. Số lượng Clients là 40.
Nhấn Apply và Ok.
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 158
Vào mục Network Rules trên ISA Management Console
Chọn Tab Network Rules và chú ý Rule VPN Clients to Internal Network có mối quan hệ
là kiểu Route .
VPN Clients và External sẽ sử dụng NAT để giao tiếp với nhau .
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 159
Chú ý : ta cần phải tạo thêm 1 Access Rule tại mục Firewall Policy để cho phép VPN Client
được phép truy cập vào mạng Internal .
Tiếp theo ta cấu hình cho máy internet kết nối VPN, vào Network Connections và chọn
Create New Connection
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 160
Giao diện Welcome nhấn Next .
Chọn mục Connect to a Network at my workplace
Mục Network Connection, chọn Virtual Private Network Connection
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 161
Mục Company Name nhập tên : athena .
Nhấn Next. Mục VPN Server Selection nhập Ip ứng card WAN của máy ISA
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 162
Kiểm tra lại và nhấn Finish .
Phải chuột vào Connection mới tạo chọn Connect
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 163
Giao diện Connection, nhập Username/Password là vpn1/123abc!!!
Kiểm ta kết nối.
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 164
Bạn có thể tham khảo video demo theo link sau :
Chúng ta sẽ xây dựng kết nối VPN Client to Site sử dụng L2TP, RADIUS ở tập 2.
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 165
2. Cấu hình VPN Site to Site :
Ta có mô hình gợi ý sau :
Mô hình trên đã được thiết lập sẵn và được mô tả lại như sau :
• Mô hình trên sử dụng 4 máy ảo VMWare gồm có : Client 1, Client 2, ISA1, ISA2 .
• Máy ISA 1 : đã được cài bản ISA standard, máy có 2 card mạng, 1 card thiết lập ở
chế độ bridge (net 192.168.0.0/24), 1 card thiết lập là host only ( Vmnet2 ).
• Máy Client 1 : sử dụng 1 card và nối với máy ISA1 thông qua ( Vmnet2 ).
• Máy ISA 2 : cài bản ISA enterprise, máy có 2 card mạng, 1 card là chế độ bridge
(net 192.168.0.0/24), 1 card là host only ( Vmnet3 ).
• Máy Client 2 : máy có 1 card và nối với máy ISA2 qua (Vmnet3 ).
Tiếp theo ta sẽ cấu hình theo các bước sau :
Trên máy ISA 1 : tạo user : vpn2 cấp quyền allow dial-in .
ISA 1 ISA2 Client 2 Client 1
Net 10.10.10.0/24 Net 172.16.1.0/24 Net 192.168.0.0/24
VPN 1 Properties
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 166
Tại ISA Management Console , mục Virtual Private Network, chuyển qua tab Remote
Site, ta tạo 1 connection tên : VPN2, rồi nhấn Next .
Mục VPN Protocol, chọn PPTP
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 167
Tiếp theo, nếu ta chưa thiết lập sẵn dãy IP để cấp cho Client khi quay VPN vào, thì sẽ xuất
hiện giao diện Local Network VPN Setting, ta gán dãy : 192.168.100.1 - 192.168.100.254
Nhấn Ok, rồi Next. Giao diện Remote Site Gateway, ta nhập địa chỉ máy của máy ISA2 .
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 168
Giao diện Remote Authentication, điền user VPN2 và pass, user này được tạo bên máy
ISA2 .
Giao diện Network Address, ta nhập dãy IP internal của bên phía máy ISA2 quản lý
(VMNet3).
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 169
Giao diện Site to Site Network Rule, yêu cầu ta tạo 1 Network rule name và sẽ route với
đường mạng Internal. Đây chính là điểm khác so với phiên bản ISA 2004.
Giao diện Site to Site Network Access Rule, yêu cầu ta tạo 1 access rule cho phép traffic
VPN giao tiếp với mạng Internal. Ta để tên mặc định và chọn All outbound Traffic .
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 170
Nhấn Next, kiểm tra lại các thông số rồi nhấn Finish để kết thúc. Sẽ có thông báo hiện ra để nhắc
nhở ta phải kiểm tra lại : User có cấp quyền dial-in hay chưa ?, Network rule đã định nghĩa chưa?,
Access rule đã tạo chưa ?. Tiếp theo ta bật VPN client access .
Chọn mục Select Access network, check thêm kết nối VPN 2 đã tạo .
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 171
Chọn mục Networks, tab networks ta xem lại đường mạng internal của máy ISA1 quản lý.
Qua tab Network rules, kiểm tra lại mối quan hệ giữa traffic VPN2 và mạn Internal .
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 172
Mục Firewall Policy, kiểm tra lại xem có Access rules cho phép traffic VPN2 giao tiếp với
mạng Internal bên ISA1 không ?
Tại máy ISA 2 : tương tự tạo user : vpn1 ( allow dial-in ) .
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 173
Tạo connection tên : VPN1
VPN Protocol ta chọn loại PPTP .
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 174
Mục Local Network VPN Setting, nhập dãy IP cấp cho traffic phía bên ISA 1 kết nối vào :
192.168.200.1 - 192.168.200.254 .
Mục Remote authentication, nhập user VPN2 đã tạo bên máy ISA1 .
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 175
Giao diện Network Address, ta add Range internal bên nhóm máy ISA 1 .
Giao diện remote NLB, không sử dụng Network balancing, nhấn Next .