Đang tải... (xem toàn văn)
Cấu hình VPN toàn tập
Cấu hình VPN toàn tập http://itlab.com.vn Trang 1 Cấu Hình VPN Toàn Tập Nguồn: sưu tầm Mọi thắc mắc liên hệ: Email: thai.diep@technet.vn; IM: mrthaiit Forum: http://itlab.com.vn hoặc http://technet.vn VPN là công nghệ tạo mạng riêng ảo trên một mạng Public – như Internet, nhằm thuận tiện và đảm bảo tính bảo mật cho quá trình truyền dữ liệu của một tổ chức khi muốn truyền dữ liệu đi trên mạng Internet. Trong loạt bài viết về VPN trên công nghệ Microsoft tôi sẽ trình bày toàn bộ kiến thức liên quan từ cài đặt triển khai trên các công nghệ khác nhau: PPTP, L2TP, sử dụng RADIUS, sử dụng Routing and Remote Access của Windows Server 2003 và ISA Server Enterprise 2006. Phần I. Triển khai VPN trên Routing and Remote Access. Phần II. Triển khai VPN xác thực dựa vào RADIUS Server. Phần III. Triển khai VPN trên ISA Server Enterprise 2006. Phần I. Triển Khai VPN sử dụng Routing and Remote Access của Windows Server 2003 Enterprise 1. Mô hình mạng trong loạt bài viết 2. Cấu hình cơ bản. 3. Cấu hình Client to Site VPN 4. Cấu hình Site to Site VPN 1. Mô hình giả lập triển khai VPN và tổng quan các công nghệ VPN - Hiện nay muốn triển khai VPN trên mạng Internet bạn thường phải thuê bao gói tối thiểu là ADSL với IP tĩnh và đảm bảo không Block các dịch vụ VPN đó là hai port 1723 (PPTP) và port 500 (L2TP/IPsec). - Trước đây có thể triển khai VPN trên môi trường ADSL rất đơn giản bởi các nhà cung cấp dịch vụ không cấm bất kỳ port nào. Hiện nay hầu hết các nhà cung cấp đều cấm triển khai VPN, để đảm bảo có thể thực hiện VPN trên ADSL (theo kinh nghiệm của tôi) cần phải cùng nhà cung cấp dịch vụ Internet và không cấm port nào. Sau đó trên Modem ADSL bạn forward hai port 1723 và port 500 vào VPN server bạn cần triển khai. - Để đơn giản tôi sẽ giả lập Internet sử dụng một máy chủ Windows Server 2003 hoặc sử dụng Router. Mục đích chúng ta trong loạt bài viết này là cấu hình VPN trên công nghệ Microsoft, về mặt đường truyền nếu trên Internet chúng ta chỉ cần địa chỉ IP tĩnh và không cấm port thì mọi thứ hoàn toàn tương tự. - Trên thực tế nếu các bạn cần kết nối VPN qua internet thì chỉ cần cấu hình Forward trên modem và không cần cấu hình một máy chủ giả lập Internet còn các bước tiến hành tương tự. Dưới đây là mô hình thực hiện trong bài viết này: Cấu hình VPN toàn tập http://itlab.com.vn Trang 2 - Có 3 máy tính chạy Windows Server 2003 + 1 Máy tính giả lập môi trường Internet + 2 máy tính đóng vai trò VPN Server + 2 Client - Địa chỉ IP tôi sử dụng để gán cho các máy như trên mô hình mạng. b. Các công nghệ VPN - Có hai protocol có thể triển khai VPN trên công nghệ Microsoft là: PPTP và L2TP/IPsec - PPTP sử dụng port 1723 - L2TP/IPsec sử dụng Port 500 - Một máy chủ Windows Server 2003 có thể sử dụng 1 hay cả hai protocol này để tạo kết nối VPN. - Triển khai VPN có hai dạng cơ bản đó là Client to Site và Site to Site 2. Cấu hình cơ bản trên Server trước khi cấu hình VPN. a. Gán địa chỉ IP cho toàn bộ các máy tính theo đúng như trên mô hình lab b. Cấu hình trên các máy chủ: + Cấu hình trên máy chủ Internet + Cấu hình trên 2 máy chủ Routing and Remote Access + Cấu hình địa chỉ IP trên hai máy Client Cấu hình VPN toàn tập http://itlab.com.vn Trang 3 - Trên máy chủ giả lập Internet tôi sẽ thực hiện tính năng Routing giả lập môi trường Internet. - Trên hai máy chủ Routing and Remote Access tôi chỉ cấu hình như hai máy chủ NAT server, mục đích đảm bảo khi chưa kết nối VPN thì Client sẽ không thể Ping được với nhau. Với mô hình được cấu hình như vậy sẽ đảm bảo giống hệt môi trường trên Internet là hai máy Client tại hai Site sẽ không thể giao tiếp với nhau nếu chưa thực hiện kết nối VPN. Máy chủ Internet - Đặt địa chỉ IP - Cấu hình Routing and Remote Access: Enable tính năng Routing trên máy chủ này, sau đó cấu hình định tuyến gói tin sử dụng RIPv2 cho phép máy chủ hoạt động như Internet giả lập. - Gán địa chỉ IP cho hai card mạng NIC1 và NIC 2 như hình dưới đây – Chúng ta không cần phải đặt Gateway cho cả hai card mạng này. Enable tính năng Routing trên máy chủ giả lập Internet Enable Routing and Remote Access: Start à Administrative Tools à Routing and Remote Access Cấu hình VPN toàn tập http://itlab.com.vn Trang 4 Trong giao diện đầu tiên của Routing and Remote Access chuột phải chọn: Configure and Enable Routing and Remote Access. Bắt đầu bước đầu tiên trong quá trình cấu hình và Enable tính năng này. Nhấn Next để bắt đầu quá trình Cấu hình VPN toàn tập http://itlab.com.vn Trang 5 Trong các tính năng của service – Routing and Remote Access, máy chủ giả lập Internet chỉ cần đóng vai trò là máy chủ Routing (định tuyến gói tin mà thôi). Tôi chọn Custom Configuration Trong các Options hỗ trợ bởi service Routing and Remote Access: + VPN Access – Enable tính năng VPN Server trên máy chủ + Dial-up Access – Enable tính năng cho phép kết nối Dial-up (qua modem 56Kbps) + Demand-dial Connections – Cho phép kết nối Site to Site VPN tới các site khác hoặc hỗ trợ cho các site khác kết nối đến. Cấu hình VPN toàn tập http://itlab.com.vn Trang 6 + NAT and Basic Firewall – hoạt động như một máy chủ NAT server. + LAN Routing – Định tuyến gói tin à Máy chủ giả lập Internet tôi chỉ cần khả năng định tuyến gói tin do đó tôi chỉ Enable tính năng này mà thôi. Nhấn Next để tiếp tục quá trình. Nhấn Finish để hoàn thành quá trình cấu hình: Hệ thống sẽ thông báo hoàn tất quá trình cấu hình bạn có bật Service này lên không. Nhấn Yes để bật Service này với những cấu hình đã lựa chọn như các bước bên trên. Cấu hình VPN toàn tập http://itlab.com.vn Trang 7 Sau khi cấu hình những tính năng cho dịch vụ Routing and Remote Access trên máy chủ. Tiếp đến tôi phải cấu hình định tuyến trên dịch vụ Routing and Remote Access. - Để đơn giản và thuận tiện tôi sử dụng định tuyến động và sử dụng giao thức định tuyến là RIPv2 - Vào dịch vụ Routing and Remote Access: IP Routing à chuột phải vào General chọn New Routing Protocol Chọn giao thức định tuyến RIPv2 Cấu hình VPN toàn tập http://itlab.com.vn Trang 8 Cấu hình cho RIPv2: - Tôi cần phải Add cả hai card mạng của tôi vào để hoàn tất quá trình - Vào RIP chuột phải vào khoảng trắng bên phải trọng New Interface - Lần lượt làm như vậy với cả hai Card mạng Nic1 và Nic2 trên Server Sau khi chọn New Interface chọn NIC1 rồi nhấn OK để toàn bộ mọi thứ mặc định - Làm tương tự với NIC2. Cấu hình VPN toàn tập http://itlab.com.vn Trang 9 Nhấn OK rồi hoàn tất quá trình cấu hình trên máy chủ Internet. Sau toàn bộ các bước này bạn nên khởi động lại Service này một lần bằng cách chuột phải lên ServerName trong service này chọn restart service Cấu hình cơ bản trên hai máy chủ Routing and Remote Access Trên máy chủ VPN1 ( như trên sơ đồ của bài viết) - Cấu hình địa chỉ IP - Configure and Enable Service Routing and Remote Access + Lựa chọn các Options hỗ trợ + Cấu hình NAT Server Trên máy chủ VPN2 làm tương tự như máy chủ VPN1. Đặt địa chỉ IP trên máy chủ VPN1. - Chú ý không cần phải đặt Gateway trên cả hai card mạng - Card EX sẽ kết nối tới máy chủ Internet - Card IN sẽ kết nối và làm gateway cho các máy Client muốn truy cập ra ngoài Cấu hình VPN toàn tập http://itlab.com.vn Trang 10 Configure and Enable Routing and Remote Access - Start à Administrative Tool à Routing and Remote Access. Làm tương tự các bước như cấu hình máy chủ giả lập Internet đến bước lựa chọn các Options hỗ trợ trên Service này tôi sẽ lựa chọn các Options như dưới đây: - VPN Access – Tính năng này cho phép máy chủ hoạt động như một VPN Server có khả năng cho phép các kết nối VPN đến. - Dial-up Access – Tính năng này cho phép các kết nối sử dụng Dial-up kết nối đến server - Demand-dial connection – Tính năng này cho phép máy chủ tạo kết nôi VPN Site – to – Site tới các site khác và cho phép các site khác kết nối đến máy chủ - NAT and Basic Firewall – Tính năng NAT hoạt động như một máy chủ NAT Server, tôi bắt buộc phải sử dụng tính năng này nhằm mục đích cho phép các máy client truy cập ra bên ngoài, nhưng toàn bộ các giao tiếp từ bên ngoài vào trong Card IN sẽ không thực hiện được (mục đích này để hoạt động tương tự như trên môi trường Internet thực tế - Khi các Client có khả năng truy cập tới Internet nhưng từ Internet không thể truy cập vào các máy con được – do các máy con truy cập ra Internet qua NAT Server thường là Modem). [...]... hoàn tất một cấu hình nào khuyến cáo các bạn nên khởi động lại Service Cấu hình cơ bản trên máy chủ VPN2 Trang 14 Cấu hình VPN toàn tập http://itlab.com.vn - Trên máy chủ VPN2 tôi cũng cấu hình máy chủ tương tự như máy chủ VPN1 có điều địa chỉ IP khác mà thôi Cấu hình địa chỉ IP trên Client 1 Cấu hình địac chỉ IP đặt đúng như trên mô hình, với gateway là card mạng IN của máy chủ VPN1 Cấu hình địa chỉ... như cấu hình địa chỉ IP như trên mô hình với Gateway trỏ vào card In của máy chủ VPN2 Sau khi hoàn tất quá trình cấu hình cơ bản trên cả ba server: Internet, VPN1 , VPN2 và các Client tôi bắt đầu tiến hành cấu hình kết nối VPN 3 Cấu hình Client to Site Trên mô hình ban đầu tôi cấu hình máy chủ VPN1 thành VPN Server cho phép các Client trên Internet và điển hình là Client 2 – 172.30.0.50/24 kết nối VPN. .. vào Các bước tiến hành: a Cấu hình trên Server b Cấu hình trên Client c Test a Cấu hình trên Server – VPN1 - Cấu hình cơ bản - Cấu hình cho phép User và Group thực hiện kết nối VPN - Remote Access Policy cho phép máy chủ xác thực và nghe các kết nối VPN - Gán địa chỉ IP cho các kết nối VPN Cấu hình cơ bản - Đã hoàn thành trong phần 2 của bài viết với: Gán địa chỉ IP, và các cấu hình cơ bản trên dịch vụ... chủ ở đây là 254 - Nhấn OK để hoàn tất quá trình Sau toàn bộ các bước trên bạn đã cấu hình thành công một máy chủ thành VPN SERVER Trang 22 Cấu hình VPN toàn tập http://itlab.com.vn Giờ để hoàn tất kết nối Client to Site tôi cấu hình trên Client tạo một kết nối tới máy chủ VPN b Cấu hình trên Client - Client 2 Gateway là máy chủ VPN2 như trên mô hình ban đầu của chúng ta Sau khi hoàn tất quá trình... trên cả hai máy chủ VPN tôi đều tạo hai Remote Access Policy tên giống hệt nhau và đều cho Group VPN được quyền kết nối VPN – Các bước tương tự cấu hình tạo Remote Access Policy ở phần trên chỉ có điều chúng ta phải làm trên cả hai VPN Server - Máy chủ VPN1 đã cấu hình từ phần trước - Máy chủ VPN2 tôi tạo thêm một Remote Access Policy tương tự như trên VPN1 Trang 30 Cấu hình VPN toàn tập http://itlab.com.vn... chọn New Connection Nhấn Next để bắt đầu cấu hình tạo kết nối Trang 23 Cấu hình VPN toàn tập http://itlab.com.vn Chọn Option: Connect to the network at my workplace – để tạo kết nối VPN Kết nối tới máy chủ có hai dạng sử dụng Dial-up và tạo kết nối VPN tôi lựa chọn - Virtual Private Network (VPN) connection Nhấn Next để tiếp tục quá trình Trang 24 Cấu hình VPN toàn tập http://itlab.com.vn Kết nối yêu cầu... cấu hình: - Bạn đang đứng tại VPN2 tạo kết nối VPN tới VPN1 - Phần cấu hình này tôi phải gõ địa chỉ IP của mạng Internal trên máy chủ VPN1 - Để khi VPN2 nhận được yêu cầu kết nối tới mạng 192.168.60.0/24 sẽ chuyển qua kết nối VPN này - Tương tự như vậy nếu tôi kết nối VPN site to Site từ máy chủ VPN1 tới máy chủ VPN2 tôi cũng phải lựa chọn giải mạng bên trong VPN2 là: 172.30.0.0/24 - Sau khi cấu hình. .. Máy chủ VPN1 trong phần trước tôi đã gán địa chỉ IP cho các máy VPN đến là giải địa chỉ IP 200.200.200.1 à 200.200.200.254 - Trên máy chủ VPN2 tôi cũng làm tương tự nhưng gán địa chỉ IP trong giải khác: 220.220.220.1 à 220.220.220.254 Tạo kết nối Site to Site Trang 31 Cấu hình VPN toàn tập http://itlab.com.vn Tạo kết nối VPN Site to Site từ VPN2 tới VPN1 Tạo kết nối VPN Site to Site từ VPN1 tới VPN2 -... support giao thức kết nối VPN nào thì sẽ sử dụng giao thức đó để kết nối Nếu sử dụng cả hai giao thức hệ thống tự động sử dụng L2TP - Nhấn Next để tiếp tục quá trình Trang 34 Cấu hình VPN toàn tập http://itlab.com.vn Cấu hình địa chỉ IP của máy chủ VPN cần kết nối đến - Ở đây tôi đang thiết lập trên máy chủ VPN2 cần tạo kết nối VPN tới máy chủ VPN1 - Tôi phải gõ địa chỉ IP của máy chủ VPN1 vào - Hoàn tất... Vậy tôi muốn cho User này kết nối VPN thì tôi phải cấu hình Remote Access Policy, nhưng nó ở đâu? Đó chính là trong dịch vụ Routing and Remote Access Remote Access Policy Trang 16 Cấu hình VPN toàn tập http://itlab.com.vn Cấu hình tính năng này cho phép dịch vụ Routing and Remote Access nghe những yêu cầu kết nối VPN và kiểm tra xem Group nào được quyền truy cập kết nối VPN Tạo New Remote Access Policy
