Virtual Private Network ppt

Cấu hình dịch vụ Routing and Remote Access: Trên máy Router-HN mở dịch vụ Routing and Remote Access, nhấp chuột phải vào tên máy chủ ROUTER-HN Local chọn Properties: Trong Tab General t

Virtual Private Network

IPAddress:192.168.1.2/24

Gateway: 192.168.1.1

IPAddress:192.168.1.10/24 Gateway: 192.168.1.1

IPAddress:172.16.0.10/24 Gateway: 172.16.0.1

Yêu cầu 2 máy Router-HN và Router-SG cấu hình cơ chế NAT ( Xem lại bài Routing) Các

máy tính đổi tên đúng với mô hình mạng

Các interface trên máy Router-HN:

Cấu hình NAT trên máy Router-HN:

Các interface trong dịch vụ NAT trên máy Router-HN:

Các Interface trên máy Router-SG:

Cấu hình NAT trên máy Router-SG:

Các Interface trong dịch vụ NAT trên máy Router-SG:

I VPN Client-to-Site:

1 Dùng giao thức tạo Tunnel PPTP(Point-to-Point Tunneling Protocol)

Trong phần này, Router-HN sẽ đó vai trò là VPN-server, và máy PC-SG đóng vai trò là VPN-Client

Bước 1: Cấu hình VPN-Server(Router-HN):

a Cấu hình dịch vụ Routing and Remote Access:

Trên máy Router-HN mở dịch vụ Routing and Remote Access, nhấp chuột phải vào tên máy

chủ ROUTER-HN (Local) chọn Properties:

Trong Tab General tích vào ô Remote access server, tích vào Option LAN and

demand-dial routing:

Qua tab IP, trong mục IP address assingment chọn option Static address pool rồi nhấn nút Edit… để chỉnh sửa lại dải IP sẽ cấp cho VPN-Client:

Đặt dải địa chỉ IP cấp cho VPN-Client từ 192.168.1.100 đến 192.168.1.200 rồi nhấn OK:

Nhấn OK để kết thúc việc thiết lập VPN Server trên máy Router-HN:

Hệ thống yêu cầu khởi động lại dịch vụ Routing and Remote Access, chọn Yes:

Thiết lập trên VPN server chỉ cho phép tạo kết nối VPN với cơ chế PPTP:

Nhấp chuột phải vào Ports chọn Properties:

Tong cửa sổ Port Properties, chọn WAN Miniport (PPTP) rồi nhấn Configure…:

Tích chọn 2 ô Remote access connections (inbound only) và Deman-dial routing connections (inbound and outbound) rồi nhấn OK:

Tiếp tục chọn WAN Miniport (L2TP) và chọn Configure…:

Bỏ chọn 2 ô Remote access connections (inbound only) và Deman-dial routing connections (inbound and outbound) để không cho phép kết nối VPN sử dụng cơ chế L2TP:

Kết quả sau khi thiết lập cổng cho VPN:

b Tạo User trên máy Router-Hn và cho phép quay số đến:

Tạo một Local User trên máy Router-HN với tài khoản remote_user với passwork 123 Sau khi đã có User, nhấp chuột phải vào user remote_user vừa tạo và chọn Properties:

Qua tab Dial-in, trong quyền Remote Access Permission (Dial-in or VPN) chọn Allow access rồi nhấn OK:

Bước 2: Tạo một kết nối quay số VPN từ máy PC-SG đến máy Router-HN:

Từ máy PC-SG thử ping đến máy Radius-srv với ip 192.168.1.2 và kết quả là không thành công khi chưa tạo kết nối VPN:

Trong Network Connections trên máy PC-SG, trong Panel Network Tasks chọn Create a new connection:

Xuất hiện cửa sổ Welcome nhấn Next:

Chọn loại kết nối : Connect to the network at my workplace:

Chọn kết nối Virtual Private Network connection:

Đặt tên cho kết nối sẽ tạo ra là technet:

Điền địa chỉ IP của Router-HN( chính là VPN server) là 210.245.4.1:

Tích vào ô Add a shortcut to this connection to my desktop nếu muốn tạo shortcut của kết nối này bên ngoài màn hình desktop và nhấn Finish để kết thúc quá trình tạo kết nối:

Khi quay số VPN, hệ thống sẽ yêu cầu khai báo tài khoản để kết nối VPN, hãy khai báo

username và mật khẩu của tài khoản remote_user đã tạo trên máy Router-HN:

Quá trình xác thực tài khoản quay số đang diễn ra:

Sau khi kết nối thành công, kiểm tra địa chỉ ip trên máy PC-SG bằng lệnh ipconfig /all trong cmd và thấy xuất hiện kết nối VPN có địa chỉ ip là 192.168.1.102:

Kích đúp vào kết nối VPN mới tạo ra có tên technet, qua tab Details để xem chi tiết về kết

nối này:

Trên máy Router-HN, trong dịch vụ Routing and Remote Access, kích vào Remote Access Client đã thấy xuất hiện một kết nối VPN được tạo từ tài khoản remote_user:

Trên máy PC-SG, thử ping đến máy Radius-srv bên site HN có địa chỉ IP là 192.168.1.2 và thấy kết quả là ping thành công:

2 Cấu hình VPN dùng cơ chế tạo Tunnel L2TP( Layer 2 Tunneling Protocol)

Bước 1: Cấu hình VPN Server trên máy Router-HN

Ở phần một chúng ta đã cấu hình Router-HN trở thành VPN-Server, ở phần này chúng ta cần thiết lập cho phép tạo kết nối VPN tới máy Router-HN với cơ chế L2TP:

Trong dịch vụ Routing and Remote Access, nhấn chuột phải vào tên máy chủ

ROUTER-HN (local) chọn Properties:

Qua tab Security check vào ô Allow custom IPSec policy for L2TP connection và điền vào Pre-share key là 123 rồi nhấn OK:

Tiếp tục kích chuột phải vào Ports chọn Properties:

Chọn WAN Miniport(PPTP) và nhấn Configure…:

Bỏ chọn 2 ô Remote access connections (inbound only) và Deman-dial routing connections (inbound and outbound) rồi nhấn OK:

Chọn WAN Miniport(L2TP) và nhấn Configure…:

Tích chọn 2 ô: Remote access connections (inbound only) và Deman-dial routing connections (inbound and outbound) rồi nhấn OK:

Cuối cùng là khởi động lại dịch vụ Routing and Remote Access sau khi thiết lập các bước trên:

Bước 2: Cấu hình trên máy PC-SG:

Do trên máy Router-HN(VPN server) chỉ cho phép kết nối VPN theo cơ chế L2TP(kết hợp IPSec Pre-share Key) nên trên máy PC-SG(VPN Client) cũng phải cấu hình để tạo kết nối

VPN với cơ chế L2TP

Kích chuột phải vào kết nối VPN đã tạo ở phần 1, chọn Properties:

Qua tab Security, chọn Option Advanced (custom settings) rồi nhấn vào nút IPSec Setings…:

Tích chọn ô Use pre-shared key for authentication và điền vào trường key: 123:

Thử quay số VPN đến Router-HN với tài khoản remote_user:

Sau khi quá trình kết nối VPN thành công, kích đúp vào nết nối VPN vừa tạo ra, qua tab

Details sẽ thấy chi tiết của kết nối này :(đã dùng cơ chế L2TP):

Ping thử tới máy Radius-srv với ip 192.168.1.2 và kết quả là thành công:

3 VPN sử dụng Radius Server để chứng thực:

Khi xác thực user để quay số VPN, VPN server có thể tự chứng thực user quay số VPN( user này sẽ tồn tại trên máy windows server 2003 làm VPN server), hoặc dùng một máy windows server 2003 khác có cài dịch vụ Internet Authentication Service để chứng thực user số VPN,

và máy cài dịch vụ Internet Authentication Service còn gọi là Radius Server

Bước 1: Cài đặt và cấu hình dịch vụ Internet Authentication Service trên máy Radius-srv

Mở công cụ Add/Remove Windows components, chọn thành phần Networking Services và nhấn Details…:

Chọn dịch vụ Internet Authentication Services và nhấn OK :

Nhấn Next để cài đặt:

Nhấn Finish để kết thúc quá trình cài đặt dịch vụ Internet Authentication Services:

Mở dịch vụ Internet Authentication Service trên máy Radius-srv bằng cách bấm vào nút Start/Administrativr Tools/Internet Authentication Service:

Chuột phải vào RADIUS Clients chọn New RADIUS Client:

Khai báo Tên và địa chỉ IP của RADIUS-Client, trong trường hợp này RADIUS Client chính

là Router-HN:

Trong bước khai báo password Secret để trao đổi thông tin giữa RADIUS-Server và

RADIUS-Client, trong ô Shared secret điền 123, trong ô Confirm shared secret điền 123

và nhấn Finish để hoàn tất quá trình khai báo RADIUS Client:

Và thấy đã xuất hiện RADIUS Client sau khi khai báo:

Trên máy Radius-srv tạo ra một tài khoản dùng để quay số VPN là Radius_user với mật

khẩu 123:

Nhấn chuột phải vào user Radius_user vừa tạo chọn Properties, trong tab Dial-in kích vào option Allow access:

Bước 2: cấu hình trên máy Router-HN để dùng cơ chế xác thực Radius:

Trên máy Router-HN, nhấp chuột phải vào tên máy chủ ROUTER-HN (local) và chọn Properties:

Qua tab Security, trong mục Authentication provider chọn RADIUS Authentication sau

đó nhấn Configure…:

Trong bước khai báo RADIUS Server nhấn nút Add…:

Điền tên máy RADIUS Server là Radius-srv trong ô Server name rồi nhấn vào nút Change… để khai báo Password Secret:

Điền vào ô New secret là 123, và ô Confirm new secret là 123 rồi nhấn OK:

Vẫn trong tab Security, trong mục Accounting provider chọn RADIUS Accounting và nhấn vào nút Configure…:

Nhấn nút Add… để khai báo RADIUS Server:

Trong ô Server name điền Radius-srv rồi nhấn vào nút Change… để khai báo password

Secret:

Điền ở 2 ô New secret và Confirm new secret là 123 rồi nhấn OK:

Nhấn OK để đóng cửa sổ ROUTER-HN(local) Properties, hệ thống yêu cầu khởi động lại dịch vụ Routing and Remote Access, nhấn Yes:

Trên máy PC-SG quay số VPN đến Router-HN với tài khoản mới tạo trên máy Radius-srv: radius-user, pass 123:

Quá trình kết nối đang diễn ra:

Sau khi thành công, kích đúp chuột vào kết nối VPN, qua tab Details để xem thông số về kết nối:

Trên Router-HN cũng đã hiển thi có một kết nối VPN đến nó với user radius_user:

II VPN Site to Site:

Yêu cầu cấu hình NAT trên các máy Router-Hn và Router-SG, Disconnect kết nối VPN từ PC-SG đến Router-HN

1 VPN Site to Site dùng PPTP

Bước 1: Cấu hình Router-HN và Router-SG thành VPN Server

Trên máy Router-HN làm tương tự phần I:

Lưu ý dải địa chỉ IP cấp cho VPN client khi quay số là 192.168.1.100 đến 192.168.1.200

Cấu hình chỉ cho phép kết nối VPN với cơ chế PPTP:

Trên máy Router-SG làm tương tự:

Đặt một dải IP cấp cho VPN Client từ 172.16.0.100 đến 172.16.0.200:

Cấu hình chỉ cho phép kết nối VPN với cơ chế PPTP:

Bước 2: Tạo kết nối quay số VPN giữa 2 site:

a Tạo kết nối từ SiteHN đến SiteSG:

Trên máy Router-HN, trong dịch vụ Routing and Remote Access, kích chuột phải vào Network Interfaces và chọn New Demand-dial Interface…:

Next:

Tạo kết nối có tên SG-VPN( lưu ý tên kết nối cũng sẽ trở thành tài khoản VPN sau này):

Chọn cơ chế tạo đường hầm Point to Point Tunneling Prototol(PPTP):

Khai báo địa chỉ IP kết nối ra Internet của Router-SG là 210.245.4.2:

Tích chọn 2 option Route IP packets on this interface và Add a user account so a remote router can dial in

Tạo một tuyến tĩnh đến mạng 172.16.0.0/24 nhấn nút Add…:

Khai báo mạng đích đến là 172.16.0.0 với Subnet Mask là 255.255.255.0, metric để mặc định là 1:

Nhấn Next:

Khai báo User sẽ tạo ra trên máy Router-HN để Router-SG sẽ dùng để quay số VPN đến, user VPN này có tài khoản trùng với tên kết nối Demand Dial đang tạo ra là SG_VPN, mật khẩu là 123:

Khai báo User VPN sẽ dùng để quay số đến máy Router-SG, tài khoản này nằm trên máy

Router-SG Username là HN_VPN, mật khẩu là 123:

Nhấn Finish để kết thúc:

Trên máy Router-HN đã thấy xuất hiện user SG_VPN sau khi tạo kết nối quay số vào

Router-SG với tên SG-VPN:

Và User này tự động được hệ thống cho phép Dial-in:

b Tạo kết nối quay số từ SiteSG-SiteHN:

Trong dịch vụ Routing and Remote Access trên máy Router-SG

Nhấp chuột phải vào Network Interfaces chọn New Demand-Dial Interface để tạo một kết nối quay số VPN đến Router-HN:

Nhấn Next:

Đặt tên kết nối này là HN_VPN, và user cho phép quay số đến sau khi tạo ra kết nối này cũng có tài khoản logon là HN_VPN:

Chọn Point to Point Tunneling Protocol(PPT):

Điền địa chỉ IP kết nối ra Internet của Router-HN là 210.245.4.1:

Tích chọn 2 ô Route IP packets on this interface và Add a user account so a remote router can dial in:

Tạo một tuyến tĩnh đến mạng lan 192.168.1.0 /24 nhấn nút Add…:

Khai báo mạng đích đến là 192.168.1.0 với SubnetMask 255.255.255.0 với Metric là 1 rồi nhấn OK:

Nhấn Next:

Tài khoản VPN sẽ được tạo trong bước này, tài khoản VPN là HN_VPN, mật khẩu 123:

Khai báo tài khoản dùng để quay số VPN đến Route-HN, tài khoản này đã đc tạo trên máy Router-HN: SG_VPN với mật khẩu là 123

Nhấn Finish để kết thúc quá trình tạo kết nối VPN:

Và trên Router cũng tự động tạo UserVPN: HN_VPN:

Được phép Dial-in:

c Tiến hành quay số VPN giữa 2 Site:

Trên máy Router-HN, nhấp chuột phải vào kết nối SG_VPN vừa tạo rồi chọn Connect:

Quá trình kết nối đang diễn ra:

Khi kết nối này có trạng thái Connected thì tức là quá trình kết nối đã thành công:

Và qua máy Router-SG thì thấy kết nối quay số HN_VPN cũng tự động Connected:

d Kiểm tra kết quả:

Kiểm tra ip trên máy Router-HN, đã thấy xuất hiện một kết nối VPN có địa chỉ ip là

172.16.0.102:

Gõ kiểm tra ip trên máy Router-SG, đã thấy xuất hiện một kết nối VPN có địa chỉ IP là

192.168.1.102:

Trên máy PC-SG ping thử đế địa chỉ IP của máy Radius-srv bên phía site HN có ip là

192.168.1.2 và thấy kết quả thành công:

2 VPN Site-to-Site dùng L2TP:

a Tạo kết nối VPN trên máy Router_HN để quay số VPN đến Router-SG:

Cấu hình Pre-Share Key là 123 trong dịch vụ Routing and Remote Access:(Xem lại phần I):

Thiết lập chỉ cho phép tạo kết nối VPN với cơ chế L2TP:

kích chuột phải vào Network Interfaces và chọn New Demand-dial Interface…:

Các bước tạo Kết nối làm tương tự Phần Cấu hình Site-to-Site dùng PPTP:

Đặt tên kết nối là SG_VPN:

Chọn cơ chế Layer 2 Tunneling Protocol(L2TP):

Điền ip của Router-SG là 210.245.4.2:

Tích chọn 2 option Route IP packets on this interface và Add a user account so a remote router can dial in

Tạo một tuyến tĩnh đến mạng 172.16.0.0/24 nhấn nút Add…:

Khai báo mạng đích đến là 172.16.0.0 với Subnet Mask là 255.255.255.0, metric để mặc định là 1:

Nhấn Next:

Khai báo User sẽ tạo ra trên máy Router-HN để Router-SG sẽ dùng để quay số VPN đến, user VPN này có tài khoản trùng với tên kết nối Demand Dial đang tạo ra là SG_VPN, mật khẩu là 123:

Khai báo User VPN sẽ dùng để quay số đến máy Router-SG, tài khoản này nằm trên máy

Router-SG Username là HN_VPN, mật khẩu là 123:

Nhấn Finish để kết thúc:

Sau khi tạo xong kết nối SG_VPN, nhấp chuột phải vào kết nối chọn Properties:

Qua tab Security chọn Option Advanced (custum settings) và kích vào nút IPSec Settings:

Điền Pre-share key là 123:

b Tạo kết nối quay số VPN từ Router-SG đến Router-HN:

Thiết lập Pre-Share Key để mã hóa IPSec khi kết nối VPN L2TP:

Thiết lập chỉ cho phép kết nối VPN với cơ chế L2TP:

Chọn Point to Point Tunneling Protocol(PPT):

Điền địa chỉ IP kết nối ra Internet của Router-HN là 210.245.4.1:

Tích chọn 2 ô Route IP packets on this interface và Add a user account so a remote router can dial in:

Tạo một tuyến tĩnh đến mạng lan 192.168.1.0 /24 nhấn nút Add…:

Khai báo mạng đích đến là 192.168.1.0 với SubnetMask 255.255.255.0 với Metric là 1 rồi nhấn OK:

Nhấn Next:

Tài khoản VPN sẽ được tạo trong bước này, tài khoản VPN là HN_VPN, mật khẩu 123:

Khai báo tài khoản dùng để quay số VPN đến Route-HN, tài khoản này đã đc tạo trên máy Router-HN: SG_VPN với mật khẩu là 123

Nhấn Finish để kết thúc quá trình tạo kết nối VPN:

Nhấp chuột phải vào kết nối HN_VPN chọn Properties:

Qua tab Security chọn Advanced (custum settings) và nhấn vào nút IPSec Settings:

Điền Pre-share key là 123:

c Kết nối

Trên máy Router-HN kết nối đến Router-SG

Trên máy PC-SG ping thử đế địa chỉ IP của máy Radius-srv bên phía site HN có ip là

192.168.1.2 và thấy kết quả thành công:

Liên hệ hỗ trợ kiennt1204@hotmail.com