Máy chủ IAS giờ đây đã sẵn sàng để nhận các yêu cầu chứng thực từ máy chủ
VPN. Trước khi có thể cấu hình một máy chủ VPN, hãy quan tâm tới những
yêu cầu thiết yếu của máy chủ VPN:
1. Thiết lập hai card giao diện mạng (NICs) trên máy chủ VPN, một card nối
với mạng được bảo vệ bên nội bộ và card kia nối với DMZ hay mạng dùng
chung có thể truy cập được (NIC ngoài).
2. Không cấu hình DNS hoặc WINS trên NIC ngoài
10 trang |
Chia sẻ: maiphuongdc | Lượt xem: 1934 | Lượt tải: 2
Bạn đang xem nội dung tài liệu Xây dựng máy chủ VPN, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Xây dựng máy chủ VPN
Trong bài này Quản Trị Mạng sẽ giới thiệu lần lượt các bước triển khai cơ bản
truy cập VPN từ xa.
Điều đầu tiên bạn cần quyết định trước khi xây dựng một máy chủ Window
VPN là liệu có nên sử dụng hay không dịch vụ chứng thực Internet của
Microsoft (IAS) để xác nhận người dùng kết nối với VPN. IAS là bổ sung
RADIUS của Microshop và khi xây dựng máy chủ VPN là bạn đã có thể kiểm
tra quyền truy cập hợp pháp IAS của người dùng hay có thể cho phép người
dùng được chứng thực trực tiếp tới Active Directory (AD).
IAS cung cấp một số tiện ích. Đầu tiên, nó có nhiều khả năng truy cập tốt hơn
bao gồm gửi dữ liệu trực tiếp tới cơ sở dữ liệu SQL. Thứ hai, IAS cung cấp
một đích đến tập trung để bạn chỉ tới một số máy chủ VPN khác. Điều này cho
phép bảo trì một tập hợp các phương pháp truy cập từ xa mà tất cả các máy chủ
VPN có thể sử dụng. Chúng ta không đi quá chi tiết về các cách truy cập từ xa
trong bài này, nhưng đây được mô tả như là cách làm hiệu quả để xác định ai
được phép truy cập VPN. Giả thiết rằng IAS là sự lựa chọn chứng thực của
bạn, hãy xem các cấu hình của máy chủ IAS.
Thực hiện theo các bước sau để cài đặt máy chủ IAS. Nếu phần cứng trên máy
tính không đủ thì IAS có thể được cài đặt trên cùng một máy chủ mà bạn dùng
để truy cập VPN (chú ý việc làm này không đảm bảo an toàn bảo mật).
Hình 1
1. Start » Control Panel » Add or Remove Programs » Add/Remove Windows
Components » Networking Services » Details... » Internet Authentication
Service
2. Start » Administrative Tools » Internet Authentication Service » Kích chuột
phải vào Internet Authentication Service (local) » Register Server in Active
Directory
3. Start » Administrative Tools » Internet Authentication Service » Remote
Access Logging » Chọn tùy chọn mong muốn.
4. Start » Administrative Tools » Internet Authentication Service » kích chuột
phải vào RADIUS Clients » New RADIUS Client » Nhập thông tin thích hợp
cho máy chủ VPN (bạn sẽ được yêu cầu chia sẻ bí mật, chọn một và lưu để làm
mã xác nhận sau này)
5. Nếu máy chủ IAS bật tường lửa thì hãy cho phép cổng UDP 1812 từ máy
chủ VPN không bị chặn.
Mở giao diện quản trị IAS, thực hiện theo các bước để thêm một điểm truy cập
từ xa cho phép truy cập đối với người dùng trong nhóm AD đặc biệt (hai nhóm
mặc định không cho phép bất kì ai truy cập vào máy chủ VPN).
Hình 2
1. Start » Administrative Tools » Internet Authentication Service » kích chuột
phải vào Remote Access Policies » New Remote Access Policy
2. Chọn tên » Next
3. Chọn VPN » Next
4. Kích Add...
5. Kích Locations... và chọn domain
6. Thêm MyVPNaccessGroup » Next
7. Giữ lại tùy chọn duy nhất MS-CHAPv2 » Next
8. Giữ lại tùy chọn duy nhất "Strongest encryption" » Next » Finish
Cuối cùng bạn cần cập nhật các hướng truy cập từ xa để bảo vệ chống lại các
máy tính nguy hiểm trên mạng người dùng từ xa dùng kết nối VPN theo gói
thông qua máy chủ VPN. Thực hiện theo các bước sau:
Start » Administrative Tools » Internet Authentication Service » Remote
Access Policies » kích chuột phải vào chính sách mới và chọn properties » kích
Edit Profile... » chọn tab IP » Input Filters... » New... » OK » kích "Permit only
the packets listed below" » OK » OK » OK
Máy chủ IAS giờ đây đã sẵn sàng để nhận các yêu cầu chứng thực từ máy chủ
VPN. Trước khi có thể cấu hình một máy chủ VPN, hãy quan tâm tới những
yêu cầu thiết yếu của máy chủ VPN:
1. Thiết lập hai card giao diện mạng (NICs) trên máy chủ VPN, một card nối
với mạng được bảo vệ bên nội bộ và card kia nối với DMZ hay mạng dùng
chung có thể truy cập được (NIC ngoài).
2. Không cấu hình DNS hoặc WINS trên NIC ngoài.
3. Không xác định các cổng nối mặc định cho NIC trong, chỉ xác định một
cổng nối duy nhất cho NIC ngoài.
Sau đây là các bước cần thiết để cấu hình mới máy chủ VPN:
1. Start » Administrative Tools » Services » Dừng dịch vụ "Windows
Firewall/Internet Connection Sharing" và thiết lập chế độ startup thành
Disabled
2. Start » Administrative Tools » Routing and Remote Access
3. Kích phải chuột tại tên máy chủ rồi kích Configure và Enable Routing and
Remote Access (dịch vụ tường lửa trong phải không được kích hoạt)
4. Chọn Remote Access » Next » chọn VPN » Next
5. Chọn NIC ngoài (Chú ý hộp kiểm "Enable security...") » Next
6. Chọn NIC trong » Next
7. Chọn "Automatically" hoặc "From a specified range of addresses" (thủ tục
này theo tùy chọn thứ 2) » Next
8. Kích New... » nhập một dải cho các IP » OK » Next
9. Chọn "Yes, set up this server to work with a RADIUS server" » Next
10. Nhập máy chủ IAS và chia sẻ bảo mật » Next » Finish
11. Routing and Remote Access » MAYCHUCUABAN » IP Routing » DHCP
Relay Agent » Thêm địa chỉ IP của một máy chủ DHCP tới cấu hình DHCP
Relay Agent (Chú ý rằng máy chủ DHCP được yêu cầu trả lại thông tin như là
miềm mặc định, nhưng không nên điều khiển bất kì một địa chỉ IP nào bởi thiết
lập địa chỉ tĩnh)
12. Nếu mạng nội bộ chỉ gồm có một mạng thì bạn đã thành công! Nói cách
khác, một tuyến sẽ cần được thêm cho các máy khách truy cập vào các mạng
trong khác. Routing and Remote Access » MAYCHUCUABAN » IP Routing
» kích chuột phải vào Static Routes » New Static Route... » nhập một tuyến lưu
lượng bất kì mạng cấp dưới nào trong mạng. Cách đơn giản nhất là hướng tất
cả các lưu lượng tới cổng nối mặc định mà NIC nội bộ đang sử dụng.
Tiếp theo bạn cần thiết lập một kết nối VPN từ máy khách. Sau đây là các
bước thực hiện trên Window XP:
Start » Control Panel » Network Connections » Tạo một kết nối mới » Next »
Kết nối tới mạng công ty » Next » Virtual Private Network connection » Next
» Chọn tên » Next » bạn có thể muốn chọn "Do not dial the initial connection"
» Next » Nhập tên máy chủ hay địa chỉ IP của máy chủ VPN » Next » chọn đối
tượng tạo kết nối » Next » Finish
Bạn nên kích đúp vào kết nối VPN vừa được tạo và đăng nhập bằng một tài
khoản người dùng là thành viên trong nhóm được phép truy cập tới điểm truy
cập từ xa đã tạo ở trên.
Chú ý rằng khi kết nối với VPN bạn không thể truy cập vào Internet. Đây thực
sự là vấn đề cần được xem xét và giải pháp cho vấn đề này phụ thuộc vào cấu
trúc liên kết mạng. Một trở ngại là các bộ lọc IP tạo trên NIC ngoài được cấu
hình theo tuyến và truy cập từ xa. Bạn có thể cấu hình chúng theo tuyến hay
truy cập từ xa » MAYCHUCUABAN » IP Routing » General » kích phải
chuột tại giao diện ngoài và chọn Properties » kích vào các nút Inbound Filters
hoặc Outbound Filters. Hãy cẩn thận khi thay đổi các bộ lọc này khi chúng
được thiết lập như một thước đo bảo mật.
Sau đây là cách cấu hình tách tunnel phân tách từ một tunnel nguyên vẹn: Start
» Control Panel » Network Connections » kích phải chuột tại kết nối VPN »
Properties » Chọn thẻ Networking » chọn Internet Protocol (TCP/IP) »
Properties » Advanced... » chọn hoặc hủy chọn "Use Default Gateway On
Remote Network". Chọn lại tùy chọn này sẽ tạo ra một phân chia tunnel khi
bạn mới làm quen với kết nối VPN và hủy chọn sẽ tạo ra một đường hầm
nguyên vẹn.
Sau đây là cách bạn có thể ép các kết nối sử dụng một trong 2 tùy chọn PPTP
hay L2TP/IPSec (Chú ý rằng L2TP/IPSec yêu cầu các chứng nhận) Start »
Control Panel » Network Connections » kích phải chuột tại kết nối VPN »
Properties » Chọn thẻ Networking » thay đổi loại VPN.
Sâu đây là 2 thông tin cuối cùng giúp bạn thuận tiện khi chạy máy chủ
Window VPN:
1) Các thiết lập tài khoản người dùng trên tab Dail-up của một đối tượng người
dùng AD có thể ghi đè lên các thiết lập chính sách truy cập từ xa được tạo trên
máy chủ IAS.
2) Phiên bản Windows Server 2003 Standard chỉ hỗ trợ dưới 1000 kết nối.
M.Hà (Theo Enterprise Networking Planet)
Các file đính kèm theo tài liệu này:
- xay_dung_may_chu_vpn_4926.pdf