Cấu hình VPN toàn tập
lượt xem 200
download
VPN là công nghệ tạo mạng riêng ảo trên một mạng Public – như Internet, nhằm thuận tiện và đảm bảo tính bảo mật cho quá trình truyền dữ liệu của một tổ chức khi muốn truyền dữ liệu đi trên mạng Internet. Trong loạt bài viết về VPN trên công nghệ Microsoft tôi sẽ trình bày toàn bộ kiến thức liên quan từ cài đặt triển khai trên các công nghệ khác nhau: PPTP, L2TP, sử dụng RADIUS, sử dụng Routing and Remote Access của Windows Server 2003 và ISA Server Enterprise 2006....
Bình luận(0) Đăng nhập để gửi bình luận!
Nội dung Text: Cấu hình VPN toàn tập
- Cấu hình VPN toàn tập http://itlab.com.vn Cấu Hình VPN Toàn Tập Nguồn: sưu tầm Mọi thắc mắc liên hệ: Email: thai.diep@technet.vn; IM: mrthaiit Forum: http://itlab.com.vn hoặc http://technet.vn VPN là công nghệ tạo mạng ri êng ảo trên một mạng Public – như Internet, nhằm thuận tiện và đảm bảo tính bảo mật cho quá trình truyền dữ liệu của một tổ chức khi muốn truyền dữ liệu đi trên mạng Internet. Trong loạt bài viết về VPN trên công nghệ Microsoft tôi sẽ trình bày toàn bộ kiến thức liên quan từ cài đặt triển khai trên các công nghệ khác nhau: PPTP, L2TP, sử dụng RADIUS, sử dụng Routing and Remote Access của Windows Server 2003 và ISA Server Enterprise 2006. Phần I. Triển khai VPN trên Routing and Remote Access. Phần II. Triển khai VPN xác thực dựa vào RADIUS Server. Phần III. Triển khai VPN trên ISA Server Enterprise 2006. Phần I. Triển Khai VPN sử dụng Routing and Remote Access của Windows Server 2003 Enterprise 1. Mô hình mạng trong loạt bài viết 2. Cấu hình cơ bản. 3. Cấu hình Client to Site VPN 4. Cấu hình Site to Site VPN 1. Mô hình giả lập triển khai VPN và tổng quan các công nghệ VPN - Hiện nay muốn triển khai VPN trên mạng Internet bạn thường phải thuê bao gói tối thiểu là ADSL với IP tĩnh và đảm bảo không Block các dịch vụ VPN đó l à hai port 1723 (PPTP) và port 500 (L2TP/IPsec). - Trước đây có thể triển khai VPN trên môi trường ADSL rất đơn gi ản bởi các nhà cung cấp dịch vụ không cấm bất kỳ port nào. Hiện nay hầu hết các nhà cung cấp đều cấm triển khai VPN, để đảm bảo có thể thực hiện VPN trên ADSL (theo kinh nghiệm của tôi) cần phải cùng nhà cung cấp dịch vụ Internet và không cấm port nào. Sau đó trên Modem ADSL bạn forward hai port 1723 và port 500 vào VPN server bạn cần triển khai. - Để đơn giản tôi sẽ giả lập Internet sử dụng một máy chủ Windows Server 2003 hoặc sử dụng Router. Mục đích chúng ta trong loạt bài viết này là cấu hình VPN trên công nghệ Microsoft, về mặt đường truyền nếu trên Internet chúng ta chỉ cần địa chỉ IP tĩnh và không cấm port thì mọi thứ hoàn toàn tương tự. - Trên thực tế nếu các bạn cần kết nối VPN qua internet thì chỉ cần cấu hình Forward trên modem và không cần cấu hình một máy chủ giả lập Internet còn các bước tiến hành tương tự. Dưới đây là mô hình thực hiện trong bài viết này: Trang 1
- Cấu hình VPN toàn tập http://itlab.com.vn - Có 3 máy tính chạy Windows Server 2003 + 1 Máy tính gi ả lập môi trường Internet + 2 máy tính đóng vai trò VPN Server + 2 Client - Địa chỉ IP tôi sử dụng để gán cho các máy như trên mô hình mạng. b. Các công nghệ VPN - Có hai protocol có thể triển khai VPN trên công nghệ Microsoft l à: PPTP và L2TP/IPsec - PPTP sử dụng port 1723 - L2TP/IPsec sử dụng Port 500 - Một máy chủ Windows Server 2003 có thể sử dụng 1 hay cả hai protocol này để tạo kết nối VPN. - Tri ển khai VPN có hai dạng cơ bản đó l à Client to Site và Site to Site 2. Cấu hình cơ bản trên Server trước khi cấu hình VPN. a. Gán địa chỉ IP cho toàn bộ các máy tính theo đúng như trên mô hình lab b. Cấu hình trên các máy chủ: + Cấu hình trên máy chủ Internet + Cấu hình trên 2 máy chủ Routing and Remote Access + Cấu hình địa chỉ IP trên hai máy Client Trang 2
- Cấu hình VPN toàn tập http://itlab.com.vn - Trên máy chủ giả lập Internet tôi sẽ thực hiện tính năng Routing giả lập môi trường Internet. - Trên hai máy chủ Routing and Remote Access tôi chỉ cấu hình như hai máy chủ NAT server, mục đích đảm bảo khi chưa kết nối VPN thì Client sẽ không thể Ping được với nhau. Với mô hình được cấu hình như vậy sẽ đảm bảo giống hệt môi trường trên Internet là hai máy Client tại hai Site sẽ không thể giao tiếp với nhau nếu chưa thực hiện kết nối VPN. Máy chủ Internet - Đặt địa chỉ IP - Cấu hình Routing and Remote Access: Enable tính năng Routing trên máy chủ này, sau đó cấu hình định tuyến gói tin sử dụng RIPv2 cho phép máy chủ hoạt động như Internet gi ả lập. - Gán địa chỉ IP cho hai card mạng NIC1 và NIC 2 như hình dưới đây – Chúng ta không cần phải đặt Gateway cho cả hai card mạng này. Enable tính năng Routing trên máy chủ giả lập Internet Enable Routing and Remote Access: Start à Administrative Tools à Routing and Remote Access Trang 3
- Cấu hình VPN toàn tập http://itlab.com.vn Trong giao diện đầu ti ên của Routing and Remote Access chuột phải chọn: Configure and Enable Routing and Remote Access. Bắt đầu bước đầu ti ên trong quá trình cấu hình và Enable tính năng này. Nhấn Next để bắt đầu quá trình Trang 4
- Cấu hình VPN toàn tập http://itlab.com.vn Trong các tính năng của service – Routing and Remote Access, máy chủ giả lập Internet chỉ cần đóng vai trò là máy chủ Routing (định tuyến gói tin mà thôi). Tôi chọn Custom Configuration Trong các Options hỗ trợ bởi service Routing and Remote Access: + VPN Access – Enable tính năng VPN Server trên máy chủ + Dial-up Access – Enable tính năng cho phép kết nối Dial-up (qua modem 56Kbps) + Demand-dial Connections – Cho phép kết nối Site to Site VPN tới các site khác hoặc hỗ trợ cho các site khác kết nối đến. Trang 5
- Cấu hình VPN toàn tập http://itlab.com.vn + NAT and Basic Firewall – hoạt động như một máy chủ NAT server. + LAN Routing – Định tuyến gói tin à Máy chủ giả lập Internet tôi chỉ cần khả năng định tuyến gói tin do đó tôi chỉ Enable tính năng này mà thôi. Nhấn Next để tiếp tục quá trình. Nhấn Finish để hoàn thành quá trình cấu hình: Hệ thống sẽ thông báo hoàn tất quá trình cấu hình bạn có bật Service này lên không. Nhấn Yes để bật Service này với những cấu hình đã l ựa chọn như các bước bên trên. Trang 6
- Cấu hình VPN toàn tập http://itlab.com.vn Sau khi cấu hình những tính năng cho dịch vụ Routing and Remote Access trên máy chủ. Tiếp đến tôi phải cấu hình định tuyến trên dịch vụ Routing and Remote Access. - Để đơn giản và thuận tiện tôi sử dụng định tuyến động và sử dụng giao thức định tuyến là RIPv2 - Vào dịch vụ Routing and Remote Access: IP Routing à chuột phải vào General chọn New Routing Protocol Chọn giao thức định tuyến RIPv2 Trang 7
- Cấu hình VPN toàn tập http://itlab.com.vn Cấu hình cho RIPv2: - Tôi cần phải Add cả hai card mạng của tôi vào để hoàn tất quá trình - Vào RIP chuột phải vào khoảng trắng bên phải trọng New Interface - Lần lượt l àm như vậy với cả hai Card mạng Nic1 và Nic2 trên Server Sau khi chọn New Interface chọn NIC1 rồi nhấn OK để toàn bộ mọi thứ mặc định - Làm tương tự với NIC2. Trang 8
- Cấu hình VPN toàn tập http://itlab.com.vn Nhấn OK rồi hoàn tất quá trình cấu hình trên máy chủ Internet. Sau toàn bộ các bước này bạn nên khởi động lại Service này một lần bằng cách chuột phải l ên ServerName trong service này chọn restart service Cấu hình cơ bản trên hai máy chủ Routing and Remote Access Trên máy chủ VPN1 ( như trên sơ đồ của bài viết) - Cấu hình địa chỉ IP - Configure and Enable Service Routing and Remote Access + Lựa chọn các Options hỗ trợ + Cấu hình NAT Server Trên máy chủ VPN2 làm tương tự như máy chủ VPN1. Đặt địa chỉ IP trên máy chủ VPN1. - Chú ý không cần phải đặt Gateway trên cả hai card mạng - Card EX sẽ kết nối tới máy chủ Internet - Card IN sẽ kết nối và làm gateway cho các máy Client muốn truy cập ra ngoài Trang 9
- Cấu hình VPN toàn tập http://itlab.com.vn Configure and Enable Routing and Remote Access - Start à Administrative Tool à Routing and Remote Access. Làm tương tự các bước như cấu hình máy chủ giả lập Internet đến bước lựa chọn các Options hỗ trợ trên Service này tôi sẽ lựa chọn các Options như dưới đây: - VPN Access – Tính năng này cho phép máy chủ hoạt động như một VPN Server có khả năng cho phép các kết nối VPN đến. - Dial-up Access – Tính năng này cho phép các kết nối sử dụng Dial-up kết nối đến server - Demand-dial connection – Tính năng này cho phép máy chủ tạo kết nôi VPN Site – to – Site tới các site khác và cho phép các site khác kết nối đến máy chủ - NAT and Basic Firewall – Tính năng NAT hoạt động như một máy chủ NAT Server, tôi bắt buộc phải sử dụng tính năng này nhằm mục đích cho phép các máy client truy cập ra bên ngoài, nhưng toàn bộ các giao ti ếp từ bên ngoài vào trong Card IN sẽ không thực hiện được (mục đích này để hoạt động tương tự như trên môi trường Internet thực tế - Khi các Client có khả năng truy cập tới Internet nhưng từ Internet không thể truy cập vào các máy con được – do các máy con truy cập ra Internet qua NAT Server thường là Modem). Trang 10
- Cấu hình VPN toàn tập http://itlab.com.vn Sau khi lựa chọn các Option hỗ trợ trên dịch vụ Routing and Remote Access tôi cấu hình tính năng NAT trên dịch vụ: - Lưu ý: Phương pháp này áp dụng trên thực tế cũng được khi bạn thiết lập một máy chủ Routing and Remote Access như một gateway cho client truy cập vào Internet: Client à NAT à Internet. - Vào Routing and Remote Access à IP routing lựa chọn NAT/Basic Firewall - Sang bên Phải chọn New Interface + Interface trong khi cấu hình NAT chúng ta bắt buộc phải chỉ rõ đâu là Card nối ra Internet đâu là Card nối vào mạng Internal (card IN, card EX) + Lựa chọn card mạng nối ra Internet (Card EX) + Lựa chọn card mạng nối ra Internal (Card IN) – mục đich nhằm cho phép toàn bộ các địa chỉ IP của client trong mạng Internal truy cập ra Internet bằng địa chỉ IP của card mạng EX. Trang 11
- Cấu hình VPN toàn tập http://itlab.com.vn Lựa chọn card nối ra Internet (card EX) - Sau khi chọn New Interface tôi lựa chọn Card mạng nối ra internet tôi đã đặt tên là card EX cho dễ phân biệt (tên này có thể thay đổi). - Lưu ý tên IN, và EX này là do tôi đổi tên hai card mạng có trong máy của tôi, các bạn có thể đổi thành tên bất kỳ nhưng trong bài viết này tôi đổi tên cho dễ phân biệt với tên mặc định trong Windows: “Network Connection Area 1” với “Network Connection Area 2” Nhấn OK để tiếp tục các lựa chọn: Trang 12
- Cấu hình VPN toàn tập http://itlab.com.vn + Do là card mạng nối ra Inernet tôi sẽ phải chọn thuộc tính l à: Public Interface connected to the Interntet + Nếu card mạng nối vào Internal tôi sẽ buộc phải chọn thuộc tính l à: Private Interface connected to Private Network + Với phương pháp như vậy tôi có thể tạo một Gateway truy cập internet cho Client qua máy chủ chạy dịch vụ Routing and Remote Access. + nhấn OK để hoàn tất quá trình add card mạng nối ra Internet Cấu hình với card mạng nối vào mạng Internal (Card IN) + tương tự tôi chọn New Interface chọn Card mạng t ên là “IN” nhấn OK để tiếp tục quá trình Trang 13
- Cấu hình VPN toàn tập http://itlab.com.vn Card mạng IN này kết nối tới mạng Internal do đó tôi phải chọn thuộc tính: Private Interface Connected to Private Network. + Nhấn OK để hoàn tất quá trình cấu hình NAT trên máy chủ này Chú ý: Sau khi hoàn tất một cấu hình nào khuyến cáo các bạn nên khởi động lại Service Cấu hình cơ bản trên máy chủ VPN2 Trang 14
- Cấu hình VPN toàn tập http://itlab.com.vn - Trên máy chủ VPN2 tôi cũng cấu hình máy chủ tương tự như máy chủ VPN1 có điều địa chỉ IP khác mà thôi. Cấu hình địa chỉ IP trên Client 1 Cấu hình địac chỉ IP đặt đúng như trên mô hình, với gateway là card mạng IN của máy chủ VPN1 Cấu hình địa chỉ IP trên Client 2 - Tương tự như cấu hình địa chỉ IP như trên mô hình với Gateway trỏ vào card In của máy chủ VPN2. Sau khi hoàn tất quá trình cấu hình cơ bản trên cả ba server: Internet, VPN1, VPN2 và các Client tôi bắt đầu ti ến hành cấu hình kết nối VPN. 3. Cấu hình Client to Site Trên mô hình ban đầu tôi cấu hình máy chủ VPN1 thành VPN Server cho phép các Client trên Internet và điển hình là Client 2 – 172.30.0.50/24 kết nối VPN vào. Các bước tiến hành: a. Cấu hình trên Server b. Cấu hình trên Client c. Test a. Cấu hình trên Server – VPN1 - Cấu hình cơ bản - Cấu hình cho phép User và Group thực hiện kết nối VPN - Remote Access Policy cho phép máy chủ xác thực và nghe các kết nối VPN - Gán địa chỉ IP cho các kết nối VPN. Cấu hình cơ bản - Đã hoàn thành trong phần 2 của bài viết với: Gán địa chỉ IP, và các cấu hình cơ bản trên dịch vụ Routing and Remote Access. Tạo User và Group cho cho phép tạo kết nối VPN - Tạo User: Với tên – VNEXPERTS và password là 123456 Trang 15
- Cấu hình VPN toàn tập http://itlab.com.vn - Tạo Group: Với tên – VPN - Add user VNEXPERTS vào Group VPN Ki ểm tra User vừa tạo có được quyền kết nối VPN không. - Chuột phải My Computer chọn Manage, rồi vào phần quản lý user nhấn đúp vào User vừa tạo, chuyển sang tab Dial-in. - Nếu trong tab này để l à Control access though Remote Access Policy là được. Options này có ý nghĩa l à User này sẽ bị điều khiển truy cập bởi: Remote Access Policy - Vậy tôi muốn cho User này kết nối VPN thì tôi phải cấu hình Remote Access Policy, nhưng nó ở đâu? Đó chính là trong dịch vụ Routing and Remote Access. Remote Access Policy Trang 16
- Cấu hình VPN toàn tập http://itlab.com.vn Cấu hình tính năng này cho phép dịch vụ Routing and Remote Access nghe những yêu cầu kết nối VPN và kiểm tra xem Group nào được quyền truy cập kết nối VPN. Tạo New Remote Access Policy - Vào dịch vụ Routing and Remote Access chọn phần Remote Access Policy vổi sang phải chọn New Remote Access Policy Trong cửa sổ đầu tiên của quá trình tạo New Remote Access Policy bạn cần phải chọn Next sau khi đọc song giới thiệu. Trang 17
- Cấu hình VPN toàn tập http://itlab.com.vn Bạn cần phải đặt t ên cho Remote Access Policy này: - Tôi chọn Option l à “Setup a custom policy” rồi đặt tên cho Policy mới này. Nhấn Next để tiếp tục quá trình Trong cửa sổ tiếp theo của quá trình hệ thống bắt đặt điều kiện cho phép kết nối VPN. - Trong cửa số đó tôi nhấn Add để thêm điều kiện - Hệ thống sẽ cho tôi một danh sách các điều kiện có thể dùng để cho phép kết nối VPN - Ở đây tôi chọn điều kiện là sử dụng Windows Group – Tôi đã tạo một group VPN để nhằm mục đích này. - Sau khi chọn tính điều kiện là Windows Group nhấn Add hệ thống sẽ yêu cầu lựa chọn Group để cho phép thực hiện kết nối VPN. Trang 18
- Cấu hình VPN toàn tập http://itlab.com.vn Tôi lựa chọn Group là VPN rồi nhấn OK để hoàn thành bước này. Sau khi lựa chọn xong điều kiện là Group VPN tôi nhấn Next để tiếp tục quá trình. Trang 19
- Cấu hình VPN toàn tập http://itlab.com.vn Cửa sổ tiếp theo của quá trình hệ thống sẽ hỏi tôi Group này có được quyền truy cập hay không tôi chọn cho phép truy cập “Gant remote access permission”. Nhấn Next để tiếp tục quá trình. Trong cửa sổ này bạn có thể chọn Edit Profile để tinh chỉnh một số Options cần thiết. Nhấn Next để tiếp tục quá trình Trang 20
CÓ THỂ BẠN MUỐN DOWNLOAD
Chịu trách nhiệm nội dung:
Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA
LIÊN HỆ
Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM
Hotline: 093 303 0098
Email: support@tailieu.vn