Để nạp các chứng nhận trên máy này và định cấu hình cho một kết nối VPN truy cập từ xa theo giao thức L2TP/IPsec, bạn thực hiện các bước như sau:
1. Tắt máy CLIENT1.
2. Ngắt kết nối CLIENT1 khỏi phân đoạn mạng Internet mô phỏng và kết nối máy này vào phân đoạn mạng Intranet.
3. Khởi động lại CLIENT1 và đăng nhập vào máy với tài khoản VPNUser. Máy tính và Group Policy được cập nhật tự động.
4. Tắt máy CLIENT1.
5. Ngắt kết nối CLIENT1 khỏi phân đoạn mạng Intranet và kết nối máy với phân đoạn Internet mô phỏng.
6. Khởi động lại CLIENT1 và đăng nhập vào với tài khoản VPNUser.
7. Trên CLIENT1, trong Control Panel, mở thư mục Network Connections.
8. Trong Network Tasks, nhấn vào Create a new connection.
9. Trên trang Welcome to the New Connection Wizard, nhấn Next.
10. Trên trang Network Connection Type, nhấn Connect to the network at my workplace.
11. Nhấn Next. Trên trang Network Connection, nhấn vào Private Network connection.
12. Nhấn Next. Trên trang Connection Name, gõ L2TPtoMangcongty.
13. Nhấn Next. Trên trang Public Network, nhấn Do not dial the initial connection.
47 trang |
Chia sẻ: maiphuongdc | Lượt xem: 4139 | Lượt tải: 5
Bạn đang xem trước 20 trang tài liệu Đề tài Tìm hiểu về mạng riêng ảo VPN, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
y với địa chỉ IP là 172.16.0.4, mạng cấp dưới (subnet mask) là 255.255.255.0 và địa chỉ IP cho máy chủ DNS là 172.16.0.1.5. Định cấu hình giao thức TCP/IP cho kết nối Internet với địa chỉ IP là 10.0.0.2 và mạng cấp dưới là 255.255.255.0.6. Chạy trình Routing và Remote Access từ thư mục Administrative Tools. 7. Trong cây chương trình, nhấn chuột phải vào VPN1 và chọn Configure and Enable Routing and Remote Access.8. Trên trang Welcome to the Routing and Remote Access Server Setup Wizard, nhấn Next.9. Trên trang Configuration, Remote access (dial-up or VPN) được lựa chọn mặc định.10. Nhấn Next. Trên trang Remote Access, chọn VPN.11. Nhấn Next. Trên trang VPN Connection, nhấn vào giao dienẹ Internet trong Network interfaces. 12. Nhấn Next. Trên trang IP Address Assignment , chế độ Automatically được chọn mặc định.13. Nhấn Next. Trên trang Managing Multiple Remote Access Servers, nhấn vào Yes, set up this server to work with a RADIUS server. 14. Nhấn Next. Trên trang RADIUS Server Selection, gõ 172.16.0.2 trong ô Primary RADIUS server và mã bí mật chung trong ô Shared secret. 15. Nhấn Next. Trên trang Completing the Routing and Remote Access Server Setup Wizard, nhấn Finish.16. Bạn sẽ nhận được message nhắc phải định cấu hình DHCP Relay Agent.17. Nhấn OK.18. Trong cây chương trình, mở VPN1 (local), sau đó là IP Routing và kế tiếp là DHCP Relay Agent. Nhấn chuột phải vào DHCP Relay Agent rồi chọn Properties. 19. Trong hộp thoại DHCP Relay Agent Properties, gõ 172.16.0.1 trong ô Server address.20. Nhấn Add rồi OK.
CLIENT1
CLIENT1 là máy tính chạy Windows XP Professional, hoạt động như một máy khách VPN và truy cập từ xa đến các tài nguyên trong Intranet thông qua mạng Internet. Để định cấu hình cho CLIENT1 làm máy khách, bạn thực hiện các bước sau:
1. Kết nối CLIENT1 với phân đoạn mạng Intranet.2. Trên máy CLIENT1, cài đặt Windows XP Professional như là một máy tính thành viên có tên CLIENT1 thuộc domain example.com.3. Thêm tài khoản VPNUser trong domain example.com vào nhóm Administrators.4. Rời hệ thống (log off) rồi vào lại (log on), sử dụng tài khoản VPNUser trong domain example.com.5. Từ Control Panel-Network Connections, đặt các đặc điểm trên kết nối Local Area Network, sau đó đặt các đặc điểm trên giao thức TCP/IP.6. Nhấn vào thẻ Alternate Configuration rồi chọn User configured.7. Trong ô địa chỉ IP, gõ 10.0.0.1. Tại ô Subnet mask, gõ 255.255.255.0. 8. Nhấn OK để lưu các thay đổi đối với giao thức TCP/IP. Nhấn OK để lưu các thay đổi đối với kết nối Local Area Network.9. Tắt máy CLIENT1.10. Ngắt CLIENT1 khỏi mạng Intranet và kết nối nó với phân đoạn mạng Internet. 11. Khởi động lại máy CLIENT1 và log on bằng tài khoản VPNUser.12. Trên máy CLIENT1, mở thư mục Network Connections từ Control Panel.13. Trong Network Tasks, chọn Create a new connection.14. Trên trang Welcome to the New Connection Wizard của New Connection Wizard, nhấn Next.15. Trên trang Network Connection Type, nhấn Connect to the network at my workplace.16. Nhấn Next. Trên trang Network Connection, nhấn Virtual Private Network connection.17. Nhấn Next. Trên trang Connection Name, gõ PPTPtoCorpnet trong ô Company Name.18. Nhấn Next. Trên trang VPN Server Selection , gõ 10.0.0.2 tại ô Host name or IP address.19. Nhấn Next. Trên trang Connection Availability, nhấn Next.20. Trên trang Completing the New Connection Wizard, nhấn Finish. Hộp thoại Connect PPTPtoMangCongty hiện ra. 21. Nhấn vào mục Properties rồi nhấn vào thẻ Networking.22. Trên thẻ Networking, ở Type of VPN, nhấn PPTP VPN.23. Nhấn OK để lưu các thay đổi đối với kết nối PPTPtoMangcongy. Hộp thoại PPTPtoMangcongy hiện ra.24. Trong ô User name, gõ example/VPNUser. Tại ô Password, gõ mật khẩu của bạn cho tài khoản VPNUser.25. Nhấn Connect.26. Khi kết nối hoàn tất, chạy Internet Explorer.27. Nếu Internet Connection Wizard nhắc, định cấu hình nó cho kết nối LAN. Ở ô Address, gõ Bạn sẽ nhìn thấy hình ảnh của Windows XP. 28. Nhấn Start > Run, gõ \\IIS1\ROOT rồi nhấn OK. Bạn sẽ thấy các nội dung của ổ C: trên máy IIS1.29. Nhấn chuột phải vào kết nối PPTPtoMangcongty rồi nhấn vào Disconnect.
Phần 4: Kết nối VPN
Phần này sẽ giới thiệu kết nối VPN truy cập từ xa theo giao thức L2TP/IPsec. Cơ chế này cần các chứng nhận bảo mật (certificate) trên cả máy khách và máy chủ VPN và được áp dụng khi người sử dụng cần cấu trúc mã khóa chung (public key infrastructure) ở mức độ cao hơn PPTP.
Mô hình thực nghiệm kết nối VPN truy cập từ xa. Ảnh: Microsoft
Trong mô hình thực nghiệm này, bạn cần:
- Máy tính chạy Windows Server 2003, phiên bản Enterprise Edition, đặt tên là DC1, hoạt động như một trung tâm điều khiển domain (domain controller), một máy chủ DNS (Domain Name System), một máy chủ DHCP (Dynamic Host Configuration Protocol) và một trung tâm chứng thực CA (certification authority).
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên VPN1, hoạt động như một máy chủ VPN. VPN1 được lắp đặt 2 adapter mạng.
- Một máy tính chạy Windows XP Professional, mang tên CLIENT1, hoạt động như một máy khách truy cập từ xa.
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IAS1, hoạt động như một máy chủ quản lý người sử dụng truy cập từ xa RADIUS (Remote Authentication Dial-in User Service).
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IIS1, hoạt động như một máy chủ về web và file.
Về các chú ý căn bản cho mô hình thực nghiệm, mời bạn xem lại bài Tìm hiểu mạng riêng ảo VPN (Phần 3). Trong đó, chú ý phân đoạn mạng Internet chỉ là mô phỏng. Khi kết nối ra mạng Internet ngoài, bạn cần đặt địa chỉ IP thực, có domain thực thay cho example.com. Cách cài đặt cho IAS1 và IIS1 giống như trong phần 3. Thực ra, bạn cũng có thể thực hiện mô hình rút gọn với 3 máy CD1, VPN1 và CLIENT1.
DC1
Dưới đây là cách định cấu hình cho DC1 để tự động nạp các chứng nhận cho máy tính:
1. Mở Active Directory Users và mục Computers2. Trong cây chương trình, nhấn đúp chuột vào Active Directory Users and Computers, nhấn chuột phải vào example.com, chọn Properties.3. Mở thẻ Group Policy, nhấn vào Default Domain Policy, chọn Edit.4. Trong cây chương trình, mở mục Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Automatic Certificate Request Settings.5. Nhấn chuột phải vào Automatic Certificate Request Settings, chọn New rồi nhấn Automatic Certificate Request.6. Trên trang Welcome to the Automatic Certificate Request Setup Wizard, nhấn Next.7. Trên trang Certificate Template, nhấn Computer.8. Nhấn Next. Trên trang Automatic Certificate Request Setup Wizard, nhấn Finish. Lúc này, kiểu chứng nhận sẽ xuất hiện trong ô hiển thị chi tiết của Group Policy Object Editor.9. Gõ gpupdate ở dấu nhắc để cập nhật Group Policy trên DC1.
Cập nhật Group Policy trên VPN1: gõ lệnh gpupdate tại dấu nhắc lệnh.
Sau khi cập nhật các chứng nhận mới, bạn cần phải ngừng và khởi động lại các dịch vụ IPsec Policy Agent và Remote Access:
1. Nhấn Start > Administrative Tools > Services2. Trong ô hiển thị chi tiết, trỏ vào IPSEC Services > Action, sau đó nhấn Restart.3. Trong ô hiển thị chi tiết, trỏ vào Routing and Remote Access > Action rồi nhấn Restart.
Để nạp các chứng nhận trên máy này và định cấu hình cho một kết nối VPN truy cập từ xa theo giao thức L2TP/IPsec, bạn thực hiện các bước như sau:
1. Tắt máy CLIENT1.2. Ngắt kết nối CLIENT1 khỏi phân đoạn mạng Internet mô phỏng và kết nối máy này vào phân đoạn mạng Intranet.3. Khởi động lại CLIENT1 và đăng nhập vào máy với tài khoản VPNUser. Máy tính và Group Policy được cập nhật tự động.4. Tắt máy CLIENT1.5. Ngắt kết nối CLIENT1 khỏi phân đoạn mạng Intranet và kết nối máy với phân đoạn Internet mô phỏng.6. Khởi động lại CLIENT1 và đăng nhập vào với tài khoản VPNUser.7. Trên CLIENT1, trong Control Panel, mở thư mục Network Connections.8. Trong Network Tasks, nhấn vào Create a new connection.9. Trên trang Welcome to the New Connection Wizard, nhấn Next.10. Trên trang Network Connection Type, nhấn Connect to the network at my workplace.11. Nhấn Next. Trên trang Network Connection, nhấn vào Private Network connection.12. Nhấn Next. Trên trang Connection Name, gõ L2TPtoMangcongty.13. Nhấn Next. Trên trang Public Network, nhấn Do not dial the initial connection.14. Nhấn Next. Trên trang VPN Server Selection, gõ 10.0.0.2 trong ô Host name or IP address.15. Nhấn Next. Trên trang Connection Availability, nhấn Next. 16. Trên trang Completing the New Connection Wizard, nhấn Finish. Hộp thoại L2TPtoMangcongty xuất hiện.17. Nhấn vào mục Properties rồi nhấn vào thẻ Networking.18. Trên thẻ Networking, trong mục Type of VPN, nhấn vào L2TP/IPSec VPN.19. Nhấn OK để lưu các thay đổi đối với kết nối L2TPtoMangcongty. Hộp thoại Connect L2TPtoMangcongty xuất hiện. 20. Trong ô User name, gõ example\VPNUser. Trong ô Password, gõ mật khẩu tùy ý cho tài khoản VPNUser.21. Nhấn Connect.22. Khi kết nối được thiết lập, chạy trình duyệt web.23. Trong ô Address, gõ Bạn sẽ thấy một thông báo là trang web đang trong quá trình thiết kế. Trên thực tế, bạn phải có một tên miền thực, thay cho example.com.24. Nhấn Start > Run > gõ \\IIS1\ROOT > OK. Bạn sẽ thấy các nội dung của ổ nội bộ (ổ C) trên IIS1.25. Nhấn chuột phải vào kết nối L2TPtoMangcongty rồi chọn Disconnect.
Các chú ý:
Nếu muốn thiết lập một cái "ống ảo" bí mật trên mạng Internet theo cơ chế truy cập từ xa, bạn chỉ có thể sử dụng giao thức IPSec trực tiếp khi máy khách có địa chỉ IP thực.
Do L2TP với cơ chế mã hóa IPSec yêu cầu cấu trúc mã khóa chung (Public Key Infrastructure) nên khó khai thác và tốn kém so với PPTP. L2TP/IPSec là giao thức L2TP chạy trên nền IPSec, còn cơ chế truyền tin IPSec Tunel Mode lại là một giao thức khác.
Do có cơ chế thẩm định quyền truy cập nên L2TP/IPSec hay IPSec Tunnel Mode chỉ có thể truyền qua một thiết bị dịch địa chỉ mạng NAT (network address translation) bằng cách đi qua nhiều cái "ống ảo" hơn. Nếu dùng một NAT giữa điểm hiện diện POP (Point of Present) và Internet, bạn sẽ gặp khó khăn. Còn trong PPTP, một gói tin IP đã được mã hóa đặt trong một gói tin IP không được mã hóa nên nó có thể đi qua một NAT.
PPTP và L2TP có thể hoạt động với các hệ thống thẩm định quyền truy cập dựa trên mật khẩu và chúng hỗ trợ quyền này ở mức cao cấp bằng những loại thẻ thông minh, công nghệ sinh trắc học và các thiết bị có chức năng tương tự.
Lời khuyên:
PPTP là giải pháp tối ưu khi khách hàng muốn có cơ chế bảo mật không tốn kém và phức tạp. Giao thức này cũng tỏ ra hữu hiệu khi các luồng dữ liệu phải truyền qua NAT. Khách hàng nếu muốn có NAT và độ bảo mật cao hơn có thể định cấu hình cho các quy tắc IPSec trên Windows 2000.
L2TP là giải pháp tốt nhất khi khách hàng coi bảo mật là vấn đề quan trọng hàng đầu và cam kết khai thác cấu trúc mã khóa chung PKI. Nếu bạn cần một thiết bị NAT trong đường truyền VPN thì giải pháp này có thể không phát huy hiệu quả.
IPSec Tunnel Mode lại tỏ ra hữu hiệu hơn với VPN điểm-nối-điểm (site to site). Mặc dù giao thức này hiện nay cũng được áp dụng cho VPN truy cập từ xa nhưng các hoạt động của nó không "liên thông" với nhau. IPSec Tunnel Mode sẽ được đề cập kỹ hơn trong phần VPN điểm-nối-điểm kỳ sau.
Phần 5: Giao thức EAP - TLS
Một sản phẩm thẻ thông minh dùng "trạm xử lý" GlobalAdmin của hãng Realtime dùng cho VPN truy cập từ xa.
Như đề cập ở phần trước, bảo mật của VPN còn được hỗ trợ bằng công nghệ thẻ thông minh và sinh trắc học. Micrsoft đã tích hợp một giao thức khác gọi là EAP-TLS trong Windows, chuyên trách công việc này cho VPN truy cập từ xa.
EAP-TLS là chữ viết tắt của Extensible Authentication Protocol - Transport Layer Security (giao thức thẩm định quyền truy cập có thể mở rộng - bảo mật lớp truyền dẫn). Kết nối dựa trên giao thức này đòi hỏi có một chứng nhận người sử dụng (user certificate) trên cả máy khách và máy chủ IAS của mạng VPN. Đây là cơ chế có mức độ an toàn nhất ở cấp độ người sử dụng.
Mặc dù công nghệ thẻ thông minh hay sinh trắc học vẫn còn là khái niệm mới mẻ ở Việt Nam, chúng tôi xin giới thiệu cách cài đặt để độc giả có thể hình dung những gì Windows hỗ trợ.
Mô hình thực nghiệm VPN truy cập từ xa. Ảnh: Microsoft
Mô hình thực nghiệm vẫn là 5 máy tính với các chức năng khác nhau (xem lại phần 3, 4 hoặc 5 để biết thêm chi tiết). Khi bắt tay vào cài đặt, bạn bật tất cả các máy (5 máy tính này đã kết nối trước với nhau như hình vẽ).
Máy DC1
Bạn sẽ định cấu hình để DC1 làm nhiệm vụ tiếp nhận tự động các chứng nhận về người sử dụng.
1. Nhấn menu Start > Run > gõ mmc ở dấu nhắc > OK.2. Trên menu File, nhấn Add/Remove Snap-in > Add.3. Dưới mục Snap-in, kích đúp vào Certificate Templates > Close > OK.4. Trong cây chương trình, nhấn Certificate Templates. Tất cả mô hình chứng nhận sẽ được trình bày trong ô hiển thị chi tiết.5. Trong ô hiển thị chi tiết, nhấn vào mẫu User.6. Trên menu Action, nhấn vào Duplicate Template.7. Trong hộp Template display name, gõ VPNUser.8. Đánh dấu chọn trong ô Publish Certificate in Active Directory.9. Nhấn vào thẻ Security.10. Trong danh sách Group or user names, nhấn vào Domain Users.11. Trong danh sách Permissions for Domain Users, đánh dấu chọn ở các ô Read, Enroll và Autoenroll để cho phép các chức năng này.12. Nhấn vào thẻ Subject Name.13. Bỏ dấu chọn trong các ô Include E-mail name in subject name và E-mail name. Do bạn đã không định cấu hình một tên e-mail nào cho tài khoản VPNUser nên bạn phải bỏ dấu này để "phát hành" được chứng nhận người sử dụng.14. Nhấn OK.15. Mở trình quản lý Certification Authority từ thư mục Administrative Tools.16. Trong cây chương trình, mở Certification Authority > mở Example CA > Certificate Templates.17. Trên menu Action, trỏ vào New rồi nhấn Certificate Template to Issue.18. Nhấn VPNUser.19. Nhấn OK.20. Mở trình quản lý Active Directory Users and Computers.21. Trong cây chương trình, nhấn đúp vào Active Directory Users and Computers, nhấn chuột phải vào example.com > chọn Properties.22. Trên thẻ Group Policy, chọn Default Domain Policy > Edit.23. Trong cây chương trình, mở User Configuration > Windows Settings > Security Settings > Public Key Policies.24. Trong ô hiển thị chi tiết, nhấn đúp vào Autoenrollment Settings.25. Nhấn Enroll certificates automatically. Đánh dấu chọn trong ô Renew expired certificates, update pending certificates, and remove revoked certificates và ô Certificates that use certificate templates. 26. Nhấn OK.
Máy chủ IAS1
Bạn sẽ định cấu hình cho IAS1 với một chứng nhận máy tính cho thẩm định quyền truy cập EAP-TLS.
1. Khởi động lại IAS1 để đảm bảo máy này đã tự động nạp một chứng nhận máy tính.2. Mở trình quản lý Internet Authentication Service. 3. Trong cây chương trình, nhấn Remote Access Policies.4. Trong ô hiển thị chi tiết, nhấn đúp vào VPN remote access to Intranet. Hộp thoại VPN remote access to intranet Properties xuất hiện.5. Nhấn vào Edit Profile, chọn thẻ Authentication.6. Trên thẻ Authentication, chọn EAP Methods. Hộp thoại Select EAP Providers hiện ra.7. Nhấn Add. Hộp thoại Add EAP xuất hiện.8. Nhấn vào Smart Card or other certificate > OK.9. Nhấn Edit. Hộp thoại Smart Card or other Certificate Properties xuất hiện.10. Các thuộc tính của chứng nhận máy tính cho IAS1 được hiển thị. Bước này xác định rằng IAS1 có một chứng nhận máy tính được cài đặt để thực hiện quyền thẩm định truy cập theo giao thức EAP-TLS. Nhấn OK.11. Nhấn OK để lưu lại các thay đổi đối với nhà cung cấp EAP. Nhấn OK để lưu các thay đổi về cài đặt cấu hình.12. Khi được hỏi xem các mục trợ giúp, nhấn No. Nhấn OK để lưu các thay đổi để lưu các thay đổi đối với quy định truy cập từ xa.
Các thay đổi cấu hình này sẽ cho phép truy cập từ xa trong VPN hay truy cập từ xa trong Intranet thẩm định các kết nối VPN dùng phương pháp xác định quyền truy cập theo giao thức EAP-TLS.
Máy CLIENT1
Bạn cũng nạp một chứng nhận trên máy này rồi định cấu hình cho kết nối VPN truy cập từ xa dựa trên giao thức EAP-TLS.
1. Tắt máy CLIENT1.2. Ngắt kết nối khỏi phân đoạn mạng Internet mô phỏng và kết nối vào phân đoạn mạng Intranet.3. Khởi động lại máy CLIENT1 và đăng nhập bằng tài khoản VPNUser. Lúc này, máy tính và Group Policy được cập nhật tự động.4. Tắt máy CLIENT1.5. Ngắt CLIENT1 khỏi phana đoạn mạng Intranet và kết nối nó vào phân đoạn mạng Internet mô phỏng. 6. Khởi động lại CLIENT1 và đăng nhập vào bằng tài khoản VPNUser.7. Trên CLIENT1, trong Control Panel, mở thư mục Network Connections.8. Trong mục Network Tasks, chọn Create a new connection.9. Trên trang Welcome to the New Connection Wizard page của New Connection Wizard, nhấn Next.10, Trên trang Network Connection Type, chọn Connect to the network at my workplace.11. Nhấn Next. Trên trang Network Connection, chọn kết nối Virtual Private Network. 12. Nhấn Next. Trên trang Connection Name, gõ EAPTLStoMangcongty trong ô Company Name.13. Nhấn Next. Trên trang Public Network, nhấn Do not dial the initial connection.14. Nhấn Next. Trên trang VPN Server Selection, gõ 10.0.0.2 trong ô địa chỉ Host name or IP address.15. Nhấn Next. Trên trang Connection Availability , nhấn Next.16. Trên trang Completing the New Connection Wizard , nhấn Finish. Hộp thoại Connect EAPTLStoMangcongty xuất hiện.17. Nhấn vào Properties > thẻ Security.18. Trên thẻ Security, nhấn Advanced > Settings. Hộp thoại Advanced Security Settings xuất hiện.19. Trong hộp thoại Advanced Security Settings, nhấn vào Use Extensible Authentication Protocol (EAP).20. Nhấn vào Properties. Trong hộp thoại Smart Card or other Certificate Properties, nhấn Use a certificate on this computer.21. Nhấn OK để lưu các thay đổi trong hộp thoại. Nhấn OK để lưu các thay đổi trong Advanced Security Settings. Nhấn OK để lưu các thay đổi trong thẻ Security. Kết nối ngay lập tức được khởi tạo và dùng đến chứng nhận người sử dụng vừa cài đặt. Lần đầu tiên bạn thử kết nối, máy có thể mất vài lần mới hoạt động thành công. 22. Khi kết nối thành công, bạn hãy chạy trình duyệt web.23. Trong ô Address, gõ Bạn sẽ nhìn thấy thông báo trang web đang trong quá trình xây dựng. Trên thực tế, đây phải là một tên miền thật. 24. Nhấn Start > Run, gõ \\IIS1\ROOT > OK. Bạn sẽ thấy nội dung của ổ nội bộ (ổ C) trên IIS1. 25. Nhấn chuột phải vào kết nối EAPTLStoMangcongty rồi nhấn Disconnect.
Các máy còn lại được cài đặt như trong phần 4.
Các lưu ý khi sử dụng quyền chứng nhận CA (Certificate Authority) của các bên phát triển thứ 3 cho cơ chế thẩm định quyền truy cập theo giao thức EAP-TLS:
Chứng nhận trên máy chủ thẩm định phải:
- Được cài đặt trong kho chứng nhận của máy tính nội bộ.- Có một key riêng tương ứng.- Có nhà cung cấp dịch vụ mật mã để hỗ trợ. Nếu không, chứng nhận không thể được dùng và không thể chọn được từ trình Smart Card or Other Certificate trên thẻ Authentication.- Có mục đích chứng nhận thẩm định quyền truy cập máy chủ, còn được gọi là EKU (Enhanced Key Usage). - Phải chứa tên miền được thẩm định đầy đủ, gọi là FQDN, của tài khoản máy tính trong Subject Alternative Name của chứng nhận.
Hơn nữa, các chứng nhận CA gốc của các CA phải được cài đặt trong kho chứng nhận Trusted Root Certification Authorities của các máy chủ thẩm định.
Chứng nhận trên các máy khách VPN phải:
- Có một key riêng tương ứng.- Phải chứa EKU thẩm định quyền truy cập cho máy khách.- Phải được cài đặt trong kho chứng nhận của Current User.- Chứa tên UPN (universal principal name) của tài khoản người sử dụng trong Subject Alternative Name của chứng nhận.
Ngoài ra, các chứng nhận CA gốc của các CA (đã phát hành các chứng nhận máy tính trên máy chủ IAS) phải được cài đặt trong kho Trusted Root Certification Authorities của máy khách VPN.
Phần 6: Cài đặt theo giao thức PPTP
Nếu muốn cho máy tính ở một mạng LAN truy cập vào máy ở mạng LAN khác, người sử dụng có thể dùng loại VPN điểm-nối-điểm. Phần này sẽ giới thiệu cách cài đặt theo giao thức PPTP. Mô hình thích hợp với các tổ chức, công ty có nhiều văn phòng ở cách xa nhau.
Những thiết bị cần dùng
Chúng ta sẽ dùng mô hình thực nghiệm với 5 máy tính đóng các vai trò khác nhau. Đây là con số tối thiểu để chạy được VPN điểm-nối-điểm. Trên thực tế, quy mô của từng mạng LAN và máy chủ của VPN sẽ lớn hơn nhiều, như thẩm định quyền truy cập, kiểm soát domain, IAS... Giả sử mạng này là của công ty XYZ với hai LAN ở Hà Nội và TP HCM. Máy khách ở đầu TP HCM đang cần gọi tới văn phòng Hà Nội.
Tên máy tính
Vai trò
CLIENT1 chạy Windows XP Professional, bản SP2
Máy khách
ROUTER1 chạy Windows Server 2003, bản SP1, Standard Edition
- Máy chủ VPN- Router trả lời
INTERNET chạy Windows Server 2003, bản SP1, Standard Edition
Router Internet
ROUTER2 chạy Windows Server 2003, bản SP1, Standard Edition
- Máy chủ VPN- Router gọi
CLIENT2 chạy Windows XP Professional, bản SP2
Máy khách
Ngoài ra, mạng cần đến 4 hub (hoặc switch Layer 2)
- Một hub nối văn phòng Hà Nội (máy CLIENT1) với router trả lời (ROUTER1).- Một hub nối văn phòng ở TP HCM (CLIENT2) với router gọi đi (ROUTER2).- Một hub nối router gọi (ROUTER1) với router Internet (INTERNET).- Một hub nối router gọi (ROUTER2) với router Internet (INTERNET).
Chú ý:
- Do ở mô hình thực nghiệm chỉ có 2 máy ở mỗi mạng nhỏ nên các hub có thể được thay thế bằng cáp chéo Ethernet.
- Trong mô hình thực nghiệm, Windows Firewall đã được cài đặt và bật tự động trên các máy khách. Bạn sẽ định cấu hình một Windows Firewall ngoại lệ trên CLIENT1, cho phép hai máy khách liên hệ được với nhau. Trên 3 máy còn lại, Windows Firewall đã được cài đặt nhưng không mặc định bật tự động. Ngoài ra, dịch vụ Windows Firewall/Internet Connection Sharing (ICS) cần được tắt đi trong các máy.
Mô hình thực nghiệm. Ảnh: Microsoft
- Thiết lập địa chỉ IP cho các máy, giả định như sau:
Địa chỉ IP cho mạng con ở văn phòng Hà Nội
Máy tính/Giao diện
Địa chỉ IP
CLIENT1
172.16.4.3
ROUTER1 (tới Intranet của Hà Nội)
172.16.4.1
Địa chỉ IP cho các mạng con Internet
Máy tính/Giao diện
Địa chỉ IP
ROUTER1 (tới Internet)
10.1.0.2
INTERNET (tới ROUTER1)
10.1.0.1
ROUTER2 (tới Internet)
10.2.0.2
INTERNET (tới ROUTER2)
10.2.0.1
Địa chỉ IP cho mạng con ở văn phòng TP HCM
Máy tính/Giao diện
Địa chỉ IP
ROUTER2 (tới mạng Intranet của TP HCM)
172.16.56.1
CLIENT2
172.16.56.3
Định cấu hình cho các máy khách
CLIENT1
- Các thuộc tính TCP/IP
1. Mở Network Connections trong Control Pannel, nhấn chuột phải vào đó rồi chọn Properties.2. Trên thẻ General, chọn Internet Protocol (TCP/IP), nhấn vào Properties.3. Nhấn vào Use the following IP address, gõ 172.16.4.3 cho mục IP address, gõ 255.255.255.0 cho mục Subnet mask và 172.16.4.1 cho Default gateway.
- Thiết lập cổng riêng trên Windows Firewall để các máy khách nhận nhau.
1. Mở Control Pannel, nhấn vào mục Security Center.2. Nhấn vào Windows Firewall, trong hộp thoại của chương trình, nhấn vào thẻ Advanced.3. Nhấn vào Settings, chọn tiếp ICMP, nhấn vào Allow incoming echo request.4. Nhấn OK hai lần để đóng Windows Firewall.
CLIENT2
- Các thuộc tính TCP/IP
1. Mở Network Connections trong Control Pannel, nhấn chuột phải vào đó rồi chọn Properties.2. Trên thẻ General, chọn Internet Protocol (TCP/IP), nhấn vào Properties.3. Nhấn vào Use the following IP address, gõ 172.16.56.3 cho mục IP address, gõ 255.255.255.0 cho mục Subnet mask và 172.16.56.1 cho Default gateway.
- Do CLIENT2 ở văn phòng TP HCM đang đóng vai trò là máy gọi đến nên không cần định cổng đặc biệt cho Windows Firewall. Người dùng cứ để mặc định sẵn như phần chú ý trên. Chỉ khi nào CLIENT2 trở thành máy trả lời thì mới cần cài đặt như với CLIENT1.
Định cấu hình cho các router gọi và trả lời.
ROUTER1
- Các thuộc tính TCP/IP
1. Mở Network Connections trong Control Pannel, nhấn chuột phải vào đó rồi chọn Properties.2. Trên thẻ General, chọn Internet Protocol (TCP/IP), nhấn vào Properties.3. a. Trên giao diện To the Internet, gõ 10.1.0.2 ở mục IP address, 255.255.0.0 ở Subnet mask và 10.1.0.1 ở mục Default gateway.3. b. Trên giao diện To Hanoi intranet, gõ 172.16.4.1 ở ô IP address, 255.255.255.0 ở Subnet mask và ô Default gateway bỏ trống.
- Windows Firewall và Routing and Remote Access không thể chạy đồng thời trên một máy chủ VPN nên nếu Windows Firewall được bật lên, bạn phải tắt đi. Nếu dịch vụ Windows Firewall/Internet Connection Sharing (ICS) đã thiết lập tự động trước khi định cấu hình Routing and Remote Access, bạn cũng phải tắt đi.
1. Nhấn vào Administrative Tools > Services.2. Trong bảng hiển thị chi tiết của Services, nhấn chuột phải vào Windows Firewall/Internet Connection Sharing (ICS), chọn Properties. 3. Nếu Startup Type là Automatic hay Manual, chọn lại là Disabled.4. Nhấn OK hai lần để lưu thay đổi.
ROUTER2
- Các thuộc tính TCP/IP
1. Mở Network Connections trong Control Pannel, nhấn chuột phải vào đó rồi chọn Properties.2. Trên thẻ General, c