VPN Server trên Windows 2003
VPN Server trên Windows 2003

Virtual Private Network – VPN là công nghệ mạng riêng ảo hỗ
trợ việc tổ chức một hệ thống mạng riêng trên nền
Internet/Intranet. Trong tài liệu này sẽ hướng dẫn về cách cài đặt
và cấu hình VPN Server trên Windows 2003.


1. Giới thiệu chung
Virtual Private Network – VPN là công nghệ mạng riêng ảo hỗ trợ việc tổ chức một hệ thống
mạng riêng trên nền Internet/Intranet. VPN được ứng dụng với một số tình huống sau:
• Remote Access: Hỗ trợ nhu cầu truy cập dữ liệu và ứng dụng cho người dùng ở ngoài
công ty vào hệ thống mạng của công ty thông qua Internet.
• Site To Site: Hỗ trợ việc kế nối 2 mạng của công ty ở 2 nơi khác nhau thông qua Internet.
• Intranet/Internal VPN: Hỗ trợ việc tạo một mạng riêng, an toàn trong một mạng của công
ty.
VPN sử dụng các tunnel protocol để truyền các packet. Có 02 tunnel protocol hay được sử dụng,
đó là PPTP (Point-to-Point Tunneling Protocol) và L2TP ( Layer 2 Tunneling Protocol).
• PPTP: PPTP có thể sử dụng cho Remote Access hay Site-to-Site VPN.
• L2TP: L2TP là sự kết hợp của PPTP và Layer 2 Forwading (L2F, giao thức được phát
triển bởi Cisco System).
Có nhiều chương trình VPN Server trên Windows cũng như Linux. Trên Linux có thể kể đến
openVPN, openswan. OpenVPN cũng có phiên bản chạy trên Windows. Tham khảo các link sau:
• Openvpn:
• Openswan:

• Open VPN GUI for Windows:
Trên Windows 2000 Server, Windows 2003 có tích hợp sẵn VPN Server. Ngoài ra trong bản ISA
Server cũng có thể cấu hình VPN Server.
Trong tài liệu này sẽ hướng dẫn về cách cài đặt và cấu hình VPN Server trên Windows 2003.
VPN trên Windows 2003 dưới dạng Remote Access sẽ cho phép các máy tính truy nhập đến
mạng nội bộ của công ty thông qua Internet. Có thể xây dựng một mô hình đơn giản như sau:
• Modem ADSL có địa chỉ IP tĩnh. Trong trường hợp không có địa chỉ IP tĩnh, có thể sử
dụng DDNS.
• 01 máy tính cài hệ điều hành Windows 2003 Server. Máy tính này sử dụng để cấu hình
VPN Server. Máy tính này nên sử dụng 02 card mạng.
Máy tính từ xa sử dụng Windows XP, Windows 2000, có thể đặt kết nối VPN để kết nối đến
Server nói trên.

Hình 0: Mô hình kết nối
2. Cài đặt VPN Server
Trước khi cài VPN, cần Stop dịch vụ Windows Firewall/Internet Connection Sharing (ICS) và
chuyển dịch vụ đó sang chế độ Disable (mặc định sau khi cài là Automatic).
Chạy Services Manager bằng cách click Start->Programs-> Administrative Tools->Services.
Giao diện của Services Manager như Hình1.

Hình 1: Services Manager
Trong Hình 1, tìm service Windows Firewall/Internet Connection Sharing (ICS). Chuột phải vào
tên service đó, trên menu chuột phải, chọn Properties. Xuất hiện hộp thoại Windows
Firewall/Internet Connection Sharing (ICS) Properties. (Hình 2)

Hình 2: Windows Firewall/Internet Connection Sharing (ICS) Properties
Trong Hình 2, lựa chọn Disabled trong ô Startup type. Và nhắp nút Stop để dừng service
Windows Firewall/Internet Connection Sharing (ICS).
Sau khi dừng dịch vụ Windows Firewall/Internet Connection Sharing (ICS), tiến hành cài đặt
VPN Server.

Để cài đặt VPN trên Windows 2003, chạy Manager Your Server bằng cách click Start-
>Programs->Administrative Tools-> Manager Your Server.

Hình 3: Manage Server
Trên cửa sổ Manage Your Server (hình 3), click Add or remove a role để cài thêm các dịch vụ
của Windows 2003.

Hình 4: Configure Your Server Wizard – Preliminary Steps
Trong Hình 4, click Next để tiếp tục.

Hình 5: Configure Your Server Wizard – Server Role
Hình 5 cho phép lựa chọn các dịch vụ Server trên Windows 2003. Bước này lựa chọn Remote
access / VPN server, sau đó nhắp Next để tiếp tục.

Hình 6: Configure Your Server Wizard – Summary of Selections
Hình 6 đưa ra danh sách các dịch vụ của Windows 2003 Server đã được lựa chọn ở Hình 5. Nhắp
Next để tiếp tục.

Hình 7: Routing and Remote Access Server Setup Wizard – Step 1
Hình 7 là bước đầu tiên để setup Routing and Remote Access. Nhắp Next để tiếp tục.

Hình 8: Routing and Remote Access Server Setup Wizard – Step 2
Hình 8 cho phép lựa chọn các cấu hình của dịch vụ Routing and Remote Access. Bước này chọn
Custom configuration. Sau đó chọn Next để tiếp tục.

Hình 9: Routing and Remote Access Server Setup Wizard – Step 3
Hình 9 cho phép lựa chọn các dịch vụ bên trong Routing and Remote Access. Bước này lựa chọn
VPN access và Lan routing. Sau đó nhắp Next để tiếp tục.

Hình 10: Routing and Remote Access Server Setup Wizard – Step 4

Hình 10 kết thúc việc setup Routing and Remote Access. Nhắp Finish để kết thúc.

Hình 11: Routing and Remote Access – Start Service
Sau khi kết thúc việc setup Routing and Remote Access, xuất hiện hộp thoại yêu cầu start dịch
vụ Routing and Remote Access, chọn Yes để xác nhận việc start dịch vụ đó.

Hình 12: Configure Your Server Wizard – Finish
Hình 12 thông báo kết thúc Configure Your Server Wizard. Nhắp Finish để kết thúc. Sau bước
này, thực hiện việc cấu hình VPN Server.
3. Cấu hình VPN Server

Hình 13: Manage Server
Sau khi cài đặt Routing and Remote Access, để cấu hình VPN Server, có thể chạy Manage Your
Server, sau đó click vào Manage this remote access/VPN server (Hình 13). (Hoặc có thể click
Start-> Programs-> Administrative Tools-> Routing and Remote Access).
3.1. Route and Remote Access Properties

Hình 14: Routing and Remote Access
Hình 14 là giao diện chính của Routing and Remote Access. Để cấu hình, chuột phải vào tên
máy (tên server trong ví dụ là FREE4VN-HOME), trên menu chuột phải chọn Properties.
Chú ý: trên menu chuột phải có một số chức năng cần quan tâm:
• Disable Routing and Remote Access: Chức năng này được sự dụng khi ta muốn xoá cấu
hình Routing and Remote Access cũ để tạo 1 cấu hình mới. Sau khi disable, trên menu
chuột phải nói trên, chọn Configure and Enable Routing and Remote Access, để cấu hình
một Routing and Remote Access mới.
• All Tasks với các chức năng con như Start, Stop, Pause, Resume, Restart được sử dụng
đối với service Enable Routing and Remote Access. Việc này cũng tương tự như khi sử
dụng Service Manager.

Hình 15: FREE4VN-HOME Properties – Tab General

Hình 15 là Properties của FREE4VN-HOME. Cần chú ý đến 3 tab là General, Security và IP.
Trong Tab General, cần kiểm tra mục Router và Remote access server đã được check. Mục
Router cho phép định tuyến các yêu cầu từ VPN Client đến các máy trong mạng nội bộ. Mục
Remote access server cho phép các VPN client kết nối đến được. Nên chọn LAN and demand-
dial routing.

Hình 16: FREE4VN-HOME Properties – Tab Security
Hình 16 là tab Security, tab này cho phép lựa chọn Authentication provider và Accounting
provider. Nếu trong mạng nội bộ có 1 máy tính cài RADIUS, có thể lựa chọn Authentication
provider và Accounting provider là RADIUS. Trong ví dụ này, lựa chọn Windows
Authentication và Windows Accounting.

Hình 17: FREE4VN-HOME Properties – Tab IP
Hình 17 cho phép lựa chọn IP cho kết nối VPN. Bước này nên chọn Static address pool, sau đó
nhắp nút Add.

Hình 18: Tab IP – New Address Range
Trong Hình 18, nhập các giá trị vào các ô Start IP address và End IP address. Các IP trong dải
này sẽ được cấp tự động cho mỗi kết nối VPN.
3.2. Ports Properties
Trong giao diện chính của Routing and Remote Access (Hình 14), chuột phải vào Ports, trên
menu chuột phải, chọn Properties. Xuất hiện hộp thoại Ports Properties (Hình 19).

Hình 19: Ports Properties
Trên Hình 19, có thể nhận thấy số miniport cho PPTP và L2TP đều là 128. Mỗi miniport chính là
1 kết nối VPN từ máy client đến Server. Để giảm các số này xuống, lựa chọn vào WAN Miniport
(PPTP), sau đó nhắp Configure.

Hình 20: Configure Device – WAN Miniport (PPTP)
Trong Hình 20, thay đổi tham số Maximum ports từ 128 xuống còn 5. Thực hiện tương tự đối

với WAN Miniport (L2TP). Với cấu hình này Server sẽ chấp nhận tối đa 10 kết nối VPN, trong
đó có 5 VPN Client sử dụng tunnel PPTP, 5 VPN Client sử dụng tunnel L2TP.
Chú ý: Nếu lựa chọn số kết nối tối đã VPN lớn hơn số địa chỉ IP cấp trong Hình 18, khi các kết
nối đến VPN hết địa chỉ IP, VPN Server sẽ lấy địa chỉ IP của 1 DHCP Server trong mạng cấp
cho kết nối VPN đó. Nếu kô có DHCP Server trên mạng, sẽ có thông báo lỗi, không cho phép
kết nối.
3.3. Remote Access Policies
Bước cuối cùng là cho phép truy cập qua Remote Access Policy.

Hình 21: Remote Access Policies
Trong Hình 21, chọn Remote Access Policies. Remote Access Policies có 2 lựa chọn là
Connections to Microsoft Routing and Remote Access Server và Connections to other access
server. Chuột phải vào Connections to Microsoft Routing and Remote Access Server, trên menu
chuột phải chọn Properties.

Hình 22: Connections to Microsoft Routing and Remote Access Server Properties
Trong Hình 22, lựa chọn Grant remote access permission, sau đó nhắp OK để xác nhận.Thực
hiện công việc tương tự đối với lựa chọn Connections to other access server.
Sau bước này là việc tạo account trên Windows cho phép sử dụng kết nối VPN.
4. Tạo User trên Windows cho phép sử dụng VPN
Như đã biết, việc tạo user trên Windows sử dụng Computer Manager. Để chạy Computer
Manager, click Start->Programs->Administrative Tools->Computer Manager. Giao diện chính
của Computer Manager như Hình 23.

Hình 23: Computer Manager – Local User and Groups
Trên Hình 23, Chọn System Tools->Local Users and Groups->Users. Sau đó chuột phải vào user
muốn cho phép dùng VPN, ví dụ user centos4. Trên menu chuột phải, nhắp Properties.

Hình 24: User Properties
Trên Hình 24, chọn Tab Dial-in. Trong tab này, chọn Allow access. Nếu muốn chỉ chính xác địa

chỉ IP cấp cho VPN Client đối với user trên, chọn Assign a Static IP Address. Sau đó gõ địa chỉ
IP vào ô tương ứng. Địa chỉ này có thể nằm ngoài dải IP mà ta đã chọn ở Hình 18. Tuy nhiên nó
nên nằm cùng lớp với dải IP đó.
Sau bước này, user centos4 có thể kết nối VPN đến VPN Server.
5. VPN Client trên Windows XP
Trên Windows 2000, Windows XP, có thể tạo kết nối VPN đến VPN Server mà ta đã cài đặt và
cấu hình ở các bước trên. Dưới đây sẽ hướng dẫn cách tạo kết nối VPN đến một VPN Server trên
Windows XP.
Chuột phải vào biểu tượng My Network Places trên desktop, trên menu chuột phải click
Properties. Xuất hiện hộp thoại Network Connections (xem Hình 25)

Hình 25: Network Connections (VPN Client)
Trên Hình 25 nhắp vào Create a new connection. Xuất hiện hộp thoại New Connection Wizard
với 6 bước cấu hình.

Hình 26: New Connection Wizard – Step 1 (VPN Client)
Trong Hình 26, click Next để tiếp tục.

Hình 27: New Connection Wizard – Step 2(VPN Client)
Hình 27 cho phép lựa chọn các kiểu connect. Bước này chọn Connect to the network at my
workplace, sau đó nhắp Next để tiếp tục.

Hình 28: New Connection Wizard – Step 3(VPN Client)
Hình 28, lựa chọn Virtual Private Network connection, sau đó click Next để tiếp tục.

Hình 29: New Connection Wizard – Step 4(VPN Client)
Hình 29 cho phép tạo tên cho kết nối vpn, trong ví dụ này, gõ free4vn.org, sau đó click Next để
tiếp tục.

Hình 30: New Connection Wizard – Step 5 (VPN Client)

Hình 30 cho phép gõ địa chỉ IP của Server được cài đặt dịch vụ VPN Server. Có thể dùng địa chỉ
IP tĩnh được gán cho Modem ADSL hoặc domain name tương ứng.

Hình 31: New Connection Wizard – Finish (VPN Client)
Hình 31, kết thúc New Connection Wizard, click Finish để kết thúc. Sau bước này, trong
Nework Connection ở Hình 25 sẽ có thêm một connect có tên là free4vn.org. Để kết nối đến
VPN Server, nhắp đúp vào kết nối đó. Hộp thoại Connect như Hình 32.