Thiết lập máy chủ VPN trên Router Tomato - Phần 1
Quản trị mạng – Thiết lập một mạng riêng ảo là cách mà b
ạn không phải mua
các thiết bị đắt tiền mà vẫn cho phép người dùng có th
ể truy cập từ xa hoặc kết
nối các văn phòng với nhau một cách an toàn. Những ưu điểm của mạng ri
êng
ảo còn mang lại rất nhiều lợi ích cho các doanh nghiệp có kích thư
ớc trung
bình và nhỏ.
Microsoft cung cấp cho bạn chức năng máy khách và máy chủ VPN ngay b
ên
trong hệ điều hành Windows; mặc dù vậy tập các tính năng này còn r
ất nhiều
hạn chế, chỉ có các phiên bản Vista và các phiên bản sau này có m
ức độ bảo
mật tốt hơn. Tuy nhiên có một phương pháp khác mà chúng tôi s
ẽ giới thiệu ở
đây là cài đặt một phần mềm thay trên Router không dây đư
ợc load với máy
chủ và máy khách OpenVPN miễn phí. Các bạn chắc đã bi
ết đến cách thực
hiện này qua phần mềm DD-WRT, tuy nhiên trong bài này chúng tôi s
ẽ giới
thiệu cho các bạn một phần mềm khác, một biến thể của TomatoVPN.
Tìm Router tương thích
Chúng ta không thể sử dụng phần mềm Tomato trên b
ất cứ Router không dây
nào. Cần phải bảo đảm rằng bạn có một Router tương thích với nó.
Các hãng
có Router hỗ trợ cho phần mềm này gồm có Linksys, Buffalo và Asus. B

ạn có
thể kiểm tra sự tương thích của model và phiên bản cụ thể tại đây.
Khi đã thẩm định Router của bạn có khả năng tương thích, hãy download và
cài đặt phần mềm.
Trong hướng dẫn này chúng tôi dựa trên việc sử dụng phát hành 1.27vpn3.6
của TomatoVPN, sử dụng máy chủ
và máy khách OpenVPN 2.1.1. Sau đó trên
một máy tính (PC), sẽ sử dụng OpenVPN 2.1.4 để tạo các chứng chỉ SSL và
tạo hoạt động của máy khách VPN trên các máy tính.
Đăng nhập ban đầu
Bắt đầu bằng cách kết nối với Router TomatoVPN và đăng nhập vào giao di
ện
điều khiển web. Mở trình duyệt và nhập vào đ
ịa chỉ IP mặc định 192.168.1.1
của Router. Sau đó đăng nhập bằng username và password m
ặc định, cả hai
đều là "admin".
Trước khi thực hiện bất cứ thao tác nào v
ới các tính năng VPN, cần bảo đảm
cấu hình những vấn đề cơ b
ản về bảo mật: các thiết lập không dây (bảo mật
WPA hay WPA2) và mật khẩu của Router cho panel điều khiển.
Thay đổi Subnet và IP của Router
Do các kết nối VPN sẽ liên k
ết các mạng với nhau, do đó chúng ta phải cẩn
thận với subnet và IP để không xảy ra hiện tư
ợng xung đột. Địa chỉ IP mặc
định của TomatoVPN là 192.168.1.1 và đây đôi khi là nguyên nhân gây ra v
ấn
đề. Hãy sử dụng một địa chỉ khác, chẳng hạn như 192.168.50.1 đ

ể tránh gặp
phải vấn đề xung đột. Nếu bạn có nhiều văn phòng, hãy gán cho mỗi v
ăn
phòng một IP/subnet khác nhau, chẳng hạn như 192.168.51.1 và 192.168.52.1.

Để thay đổi Router TomatoVPN, kết nối và tri
ệu gọi giao diện điều khiển web
bằng cách nhập địa chỉ IP mặc định 192.168.1.1 vào trình duy
ệt web. Tiếp tục
kích Basic > Network (xem trong hình 1). Thay đ
ổi Router IP Address, chẳng
hạn 192.168.50.1 và đi
ều chỉnh IP Address Range theo, chẳng hạn
192.168.50.100 - 192.168.50.149. Sau đó kích Save.
Lúc này bạn phải sử dụng IP mới để đăng nhập vào giao di
ện điều khiển
TomatoVPN
Đăng ký và cấu hình dịch vụ DNS động
N
ếu kết nối Internet nơi b
ạn muốn thiết lập máy chủ VPN sử dụng một địa chỉ
IP đ
ộng, khi đó bạn cần sử dụng dịch vụ DNS động. Bằng không bạn sẽ phải tự
đi tìm IP của kết nối Internet và cập nhật nó trên các máy khách khi địa chỉ n
ày
thay đổi.
Đăng ký một dịch vụ DNS động, chẳng hạn như từ No-IP
. Sau đó trên Router
TomatoVPN, kích Basic > DDNS, nh
ập các thông tin chi tiết cho dịch vụ.

Router của bạn lúc này sẽ tự động cập nhật hostname để trỏ vào đ
ịa chỉ IP hiện
hành của bạn. Bạn chỉ cần nhập vào hostname trên cấu h
ình VPN máy khách
thay cho địa chỉ IP.

Hình 1: Tomato VPN Router
Tạo chứng chỉ máy chủ và máy khách
Do OpenVPN sử dụng SSL nên bạn phải tạo và cài đặt các chứng chỉ SSL tr
ên
máy chủ và khách. Chọn một máy tính an toàn để tạo và qu
ản lý PKI, sau đó
download và cài đặt OpenVPN bằng Windows Installer. Lưu ý c
ần phải quay
trở lại máy tính này để tạo các chứng chỉ khách bổ sung trong tương lai.
Khi cài đặt OpenVPN, bạn có thể bắt đầu công việc dưới đây:
1. Mở Command Prompt: Kích Start, đánh cmd và nhấn Enter.
2. Chuyển sang thư mục easy-rsa: cd C:Program FilesOpenVPNeasy-rsa.
3. Chạy file batch để tạo các file cấu hình: init-config (xem trong hình 2
4. Để mở cửa sổ Command Prompt để sử dụng sau này.
Tiếp theo, vào thư mục dư
ới đây trong Windows: C:Program
FilesOpenVPNeasy-rsa. Sau đó kích phải vào file vars.bat và kích Edit. B
ạn
phải thay đổi các giá trị mặc định của tất cả các thiết lập dưới đây:
• KEY_COUNTRY
• KEY_PROVINCE
• KEY_CITY
• KEY_ORG
• KEY_EMAIL

N
ếu mở file bằng Notepad mà không có bất cứ dòng nào trả về thì lúc này m
ọi
thứ đang OK. Bạn chỉ cần chỉnh sửa các giá trị thiết lập nằm giữa dấu bằng v
à
từ “set”. Để rõ hơn, chúng ta có thể download và sử dụng bộ soạn thảo nh
ư
VIM.

Hình 2: File cấu hình Tomato VPN Router
Lúc này quay trở lại cửa sổ Command Prompt và kh
ởi tạo PKI bằng cách nhập
vào các lệnh dưới đây:
Vars
clean-all
build-ca
Khi thấy nhắc nhở nhập vào các tham số (xem hình 3), ch
ỉ thiết lập trong file
vars.bat, nhấn Enter để chấp nhận chúng. Có thể để trắng ph
ần Organizational
Unit Name. Tuy nhiên chúng ta cần phải nhập vào ph
ần Common Name. Đây
sẽ là tên của chứng chỉ CA sẽ được cài đặt vào máy chủ và t
ất cả các máy
khách. Chọn một tên nào đó, chẳng hạn như "ABC_Corp-VPN-CA".
Lúc này bạn có thể tạo một chứng chỉ và khóa bảo mật cho máy chủ bằng lệnh:

build-key-server server
Chúng ta s
ẽ thấy nhắc nhở nhập các tham số lần nữa. Chấp nhận các giá trị

mặc định cho những thứ yêu cầu trong vars.bat. Với Common Name, nhập v
ào
tên giống như "ABC_Corp-VPN-Server". Cần bảo đảm nhập vào m
ật khẩu bảo
mật và bạn có thể nhớ hoặc lưu ở địa điểm an toàn nào đó. Khi đư
ợc nhắc nhở
để ký và cất giữ chứng chỉ, hãy xác nhận các thông tin chi tiết và sau đó nh
ấn
“y”.

Hình 3: Các tham số Tomato VPN Router
Tiếp đến, bạn có thể tạo các chứng chỉ máy khách cho các máy tính v
à Router
sẽ kết nối từ xa với máy chủ VPN của bạn. Cũng phải tạo một chứng chỉ ri
êng
cho mỗi máy khách. Nhập "build-key" vào Command Prompt, sau đó là m
ột
dấu cách và tên của chứng chỉ. Cho ví dụ, với ba máy khách:
build-key client1
build-key client2
build-key client3
Bạn có thể muốn có thêm nhiều chi tiết cho phần tên, do đó hãy chỉ định ngư
ời
hoặc Router sẽ sử dụng nó.
Nh
ắc nhở nhập các tham số có thể xuất hiện lần nữa. Chọn một Common
Name duy nh
ất cho mỗi tham số. Có thể tùy chọn tạo mật khẩu.
Lưu ý: Nếu phải tạo các chứng chỉ máy khách bổ sung trong tương lai, hãy tr
ở

về thư mục easy-rsa trong Command Prompt, đánh "vars", sau đó s
ử dụng lệnh
build-key, chẳng hạn như build-key client2.
Lúc này bạn phải tạo các tham số Diffie Hellman bằng cách nhập:
build-dh
Cuối cùng, bạn sẽ thấy các chứng chỉ của mình trong thư mục dưới đây:
C:Program FilesOpenVPNeasy-rsakeys
Cần lưu ý: CA, máy chủ và tất cả các khóa máy khách cần được giữ ri
êng tư và
bảo mật.

Văn Linh (Theo Serverwatch)