Nhưng nếu VPN Client kết nối đến VPN Server bằng L2TP/IPSec thông qua NAT yêu cầu VPN Server và VPN Client phải có hổ trợ NAT-Traversal NAT-T - Với hai đặc điềm trên, nếu các Firewall và
Trang 1Tài liệu về VPN
Trang 2Như chúng ta đã được biết VPN là một giải pháp hỗ trợ truy cập từ xa có chi phí và hiệu quả tốt nhất hiện nay cho một hệ thống mạng doanh nghiệp Ta có thể triển khai hệ thống VPN để phục
vụ các nhu cầu:
- Hỗ trợ truy cập từ xa vào hệ thống mạng nội bộ (VPN Client-to-Gateway)
- Kết nối các hệ thống mạng nằm ở nhiều vị trí địa lý khác nhau (VPN Site-to-Site)
Từ trước đến nay, hệ thống VPN hỗ trợ 2 cơ chế kết nối là:
- Point-to-Point Tunneling Protocol (PPTP)
- Layer Two Tunneling Protocol (L2TP)
Nhưng hiện nay, ngoài 2 cơ chế PPTP và L2TP trên Windows Server 2008 và Windows Vista Service Pack 1 còn hỗ trợ thêm một cơ chế kết nối mới là:
- Secure Socket Tunneling Protocol (SSTP)
Sự bất tiện của PPTP và L2TP:
- PPTP sử dụng TCP port 1723, và đóng gói gói tin bằng phương pháp Generic Routing
Encapsulation (GRE) Với phương pháp GRE có thể nói gói tin PPTP có cấp độ bảo mật rất thấp
vì gói tin PPTP chỉ được mã hóa sau khi các thông tin quan trọng đã được trao đổi
- Cơ chế kết nối VPN có cấp độ bảo mật tốt hơn là L2TP chạy port 1701, vì L2TP sử dụng IPSec Encapsulating Security Payload (ESP) port 4500 và Internet Key Exchange (IKE) port 500 để mã hóa gói tin Nhưng nếu VPN Client kết nối đến VPN Server bằng L2TP/IPSec thông qua NAT yêu cầu VPN Server và VPN Client phải có hổ trợ NAT-Traversal (NAT-T)
- Với hai đặc điềm trên, nếu các Firewall và thiết bị NAT tại các điểm internet công cộng (trung tâm hội thảo, internet cafe…) chỉ cho phép các máy tính kết nối Web (HTTP và HTTPS), hoặc khi các máy Client truy cập internet thông qua Proxy server thì VPN Client sẽ không thể kết nối tới VPN Server thành công bằng cơ chế PPTP và L2TP/IPSec
Sự thuận tiện của VPN-SSTP:
SSTP là cơ chế kết nối VPN bằng HTTP over Secure Socket Layer (HTTP over SSL) port 443 Thông thường, trong một hệ thống mạng hiện nay dù là các Firewall hay Proxy server đều cho phép truy cập HTTP và HTTPS Vì vậy, dù ở bất cứ đâu các máy Client đều có thể kết nối VPN bằng cơ chế SSTP và đảm bảo bảo mật được gói tin vì áp dụng phương pháp mã hóa SSL
Một số đặc trưng của SSTP:
- SSTP được tích hợp hỗ trợ NAP để bảo vệ nguồn tài nguyên mạng tốt hơn bằng cách thi hành các chính sách về system health Bạn có thể xem bài viết chi tiết về NAP tại
http://msopenlab.com/index.php?article=37
- SSTP hỗ trợ IPV6: đường hầm SSTP và IPV6 dựa trên việc kết nối SSTP thông qua IPV6
- Hơn nữa, SSTP thiết lập HTTP riêng lẻ thông qua session SSL từ SSTP client đến SSTP server Dùng HTTP thông qua SSL Session sẽ giảm thiểu được chi phí và cân bằng tải tốt hơn
L2TP over UDP
IPsec ESP with Triple Data
SSTP over TCP SSL with RC4 or AES
Trang 3PPTP Before encryption begins
None
Encryption Standard (3DES) or Advanced Encryption Standard (AES)
L2TP After the IPsec session is established
Computer certificates on both the VPN client and VPN server
Cơ chế kết nối của SSTP:
1 VPN Client kết nối tới VPN Server bằng port 443
2 VPN Client gởi gói tin SSL Client-Hello cho VPN Server để yêu cầu tạo kết nối SSL với VPN Server
3 VPN Server gởi Computer Certificate (gồm Public Key của VPN Server) cho VPN Client
4 VPN Client kiểm tra tính hợp lệ của Certificate, nếu Certificate là hợp lệ, VPN Client sẽ phát sinh một SSL session Key ngẫu nhiên, và mã hóa SSL session Key này bằng Public key của VPN Server
5 VPN Client gởi SSL session Key đã được mã hóa tới VPN Server
6 VPN Server giải mã SSL session Key đã được mã hóa bằng Private Key
7 VPN Client gởi yêu cầu được kết nối tới VPN Server bằng HTTP over SSL (HTTPS)
8 VPN Client thương lượng (negotiates) kết nối PPP (Point-to-Point Protocol) với VPN Server Quá trình thương lượng bao gồm việc chứng thực User, phương pháp chứng thực (MS-
CHAPv2,EAP….)
9 VPN Client bắt đầu gởi gói tin thông qua kết nối PPP
Bài lab bao gồm các bước:
1 Cài đặt Enterprise CA
2 Xin Computer Certificate cho VPN Server
3 Cài đặt Routing and Remote Access
Mô hình bài lab gồm 3 máy:
- Máy DC: Windows Server 2008 đã nâng cấp Domain Controller
Trang 4- Máy VPN Server: Windows Server 2008 đã join domain
- Máy VPN Client: Windows Server 2008 hoặc Windows Vista Service Pack 1 (không join
Máy VPN Server IP: 192.168.23.11/24
GW: 192.168.23.200 DNS:
IP: 172.16.1.1/24 GW:
Trang 5- Tại máy DC tạo share folder C:\DATA có chứa dữ liệu như trong hình
III Thực hiện
1 Cài đặt Enterprise CA
- Tại máy DC, logon MSOpenLab\Administrator
- Mở Server Manager từ Administrative Tools, trong cửa sổ Server Manager chuột phải
Role chọn Add Roles
Trang 6
- Hộp thoại Before You Begin, chọn Next
- Trong hộp thoại Select Server Roles, đánh dấu chọn Active Directory Certificate Services, chọn Next
Trang 7
- Hộp thoại Introduction to Active Directory Certificate Services, chọn Next
- Trong hộp thoại Select Role Services, đánh dấu chọn Certification Authority Web
Enrollment
Trang 8- Hộp thoại Add role services and feature required for Certification Authority Web
Enrollment, chọn Add Required Role Services, chọn Next
Trang 9- Trong hộp thoại Specify Setup Type, chọn Enterprise, chọn Next
- Hộp thoại Specify CA Type, chọn Root CA, chọn Next
Trang 10- Hộp thoại Set Up Private Key, chọn Create a new private key, chọn Next
Trang 11- Hộp thoại Configure Cryptography for CA, chọn Next
Trang 12- Trong hộp thoại Configure CA Name, đặt tên cho CA là MSOpenlab-CA, chọn Next
Trang 13- Hộp thoại Set Validity Period, chọn Next
- Hộp thoại Configure Certificate Database, chọn Next
- Hộp thoại Web Server (IIS), chọn Next, Hộp thoại Select Role Services, giữ cấu hình mặc định, chọn Next
Trang 14
- Hộp thoại Confirm Installation Selections, chọn Install
- Trong hộp thoại Installation Results, kiểm tra quá trình cài đặt thành công, chọn Close
Trang 15
2 Xin Computer Certificate cho VPN Server
- Tại máy VPN Server, restart máy để nhận Trusted Root CA Logon
MSOPenLab\Administrator Vào Start\Run, gõ mmc
- Trong cửa sổ Console1, bung File, chọn Add/Remove Snap-in, chọn Certificate, chọn
Add
Trang 16
- Hộp thoại Certificate snap-in, chọn Computer account, chọn Next
Trang 18
Authorities\Certificate, kiểm tra có certificate MSOpenLab-CA
- Trong cửa sổ Console1, chuột phải Personal chọn All Tasks, chọn Request New
Certificate
Trang 19
- Hộp thoại Before You Begin, chọn Next
Trang 20
- Trong hộp thoại Request Certificates, đánh dấu chọn certificate Computer, chọn
Enroll, Finish
Trang 21
- Trong cửa sổ Console1, vào Personal\Certificate, double click
VPNServer.MSOpenLab.com
Trang 22
- Kiểm tra Certificate vừa xin cho VPN Server
Trang 23
3 Cài đặt Routing and Remote Access
- Tại máy VPN Server, mở Server Manager từ Administrative Tools
- Trong cửa sổ Server Manager, chuột phải Roles, chọn Add Role Hộp thoại Before You
Begin, chọn Next
Trang 24
- Trong hộp thoại Select Server Roles, đánh dấu chọn Network Policy and Access
Sevices, chọn Next
Trang 25- Hộp thoại Network Policy and Access Services, chọn Next Hộp thoại Select Role
Services, đánh dấu chọn Routing and Remote Access Services, chọn Next
Trang 26- Hộp thoại Confirm Installation Selections, chọn Install
Trang 27- Hộp thoại Installation Results, chọn Close
4 Cấu hình VPN Client-to-Gateway
- Tại máy VPN Server, mở Routing and Remote Access từ Administrative Tools, chuột phải VPNSERVER, chon Configure and Enable Routing and Remote Access
Trang 28
- Hộp thoại Welcome to the Routing ang Remote Access Server Setup Wizard, chọn
Next
Trang 29
- Trong hộp thoại Configuration, chọn Virtual private network (VPN) access and NAT, chọn Next
Trang 30
- Hộp thoại VPN Connection, chọn card External, chọn Next
Trang 31
- Hộp thoại IP Address Assignment, chọn From a specified range of addresses, chọn
Next
Trang 32
- Trong hộp thoại Address Range Assignment, chọn New
Trang 33
- Hộp thoại New IPv4 Address Range, nhập dãy IP như hình bên dưới, chọn OK
- Trong hộp thoại Address Range Assignment, chọn Next
- Hộp thoại Managing Multiple Remote Access Servers, giữ cấu hình mặc định, chọn
Next
Trang 34
- Hộp thoại Completing the Routing and Remote Access Server Setup Wizard, chọn
Finish, OK
Trang 35
5 Cấu hình NAT Inbound
Khi VPN Client kết nối VPN bằng SSTP, VPN Client phải kiểm tra tính hợp lệ của certificate bằng cách kết nối tới danh sách Certificate Revocation List (CRL) của CA server Vì vậy ta phải cấu hình NAT Inbound để cho phép các máy bên ngoài liên lạc được máy CA Server
- Tại máy VPN Server, mở Routing and Remote Access từ Administrative Tools, bung
VPNSERVER\IPv4\NAT, chuột phải interface External chọn Properties
Trang 36- Hộp thoại External Properties, tab Services and Ports, đánh dấu chọn Web Server
(HTTP)
Trang 37- Hộp thoại Edit Service, nhập địa chỉ 172.16.1.2 (địa chỉ của máy DC) vào ô IP address, chọn OK 2 lần
- Restart Routing and Remote Access Services
Trang 39
- Trong cửa sổ Welcome, chọn Download a CA certificate, certificate chain,or CRL
Trang 40
- Cửa sổ Download a CA certificate, Certificate Chain,or CRL, chọn Download CA
certificate
Trang 42Bạn có thể sử dụng máy VPN Client để download CA Certificate trực tiếp từ CA Server với địa chỉ http://192.168.23.11/certsrv
7 Cấu hình Trusted Root CA trên VPN Client
- Tại máy VPN Client, copy file certnew.cer từ máy DC vào ổ đĩa C:\
Lưu ý: Trong bài lab này sử dụng ổ cứng USB để copy
- Vào Start\Run, gõ mmc, trong cửa sổ Console1, bung File, chọn Add/Remove Snap-in
- Trong cửa sổ Add or Remove Snap-in, chọn Certificate, chọn Add
Trang 43
- Hộp thoại Certificates snap-in, chọn Computer account, chọn Next
Trang 44- Hộp thoại Select Computer, chọn Local Computer, chọn Finish, OK
- Trong cửa sổ Console1, bung Trusted Root Certification Authorities, chuột phải
Trang 45Certificates, chọn All Tasks, chọn Import
- Hộp thoại Welcome to the Certificate Import Wizard, chọn Next
Trang 46- Hộp thoại File to Import, chọn Browse, trõ đường dẫn đến C:\certnew.cer, chọn Next
Trang 47
- Hộp thoại Certificate Store, giữ cấu hình mặc định, chọn Next, chọn Finish
Trang 48- Kiểm tra trong danh sách Trusted Root Certification Authorities của máy VPN Client
đã có certificate MSOpenLab-CA
Trang 49
8 Tạo VPN Connection
- Tại máy VPN Client, mở Windows Explorer, vào đường dẫn C:\Program
Files\Windows\System32\Driver\etc, mở file Hosts, nhập thêm nội dung:
192.168.23.11 VPNServer.MSOpenLab.com
192.168.23.11 DC.MSOpenLab.com
Lưu ý: Vì khi kết nối đến VPN Server, VPN Client sẽ kết nối bằng tên nên trong bài lab này ta
cấu hình hosts file trên máy VPN Client
DC.MSOpenLab.com là tên của máy CA Server
Trang 52
- Trong hộp thoại Connect to a workplace, nhập thông tin như hình bên dưới, chọn Next
Trang 54
- Kiểm tra kết nối VPN thành công bằng PPTP
Trang 55
- Chuột phải connection VPN-SSTP, chọn Disconect
9 Kiểm tra kết nối VPN-SSTP
- Tại máy VPN Client, vảo Start\Settings mở Network Connections, chuột phải
connection VPN-SSTP, chọn Properties, bung ô Type of VPN, chọn Secure Socket Tunneling
Protocol (SSTP), chọn OK
Trang 56
- Chuột phải connection VPN-SSTP chọn Connect, nhập thông tin như trong hình bên dươi, chọn Connect
Trang 57
- Kiểm tra kết nối thành công tới VPN Server sử dụng SSTP
Trang 58
- Kiểm tra nhận được IP do VPN Server cung cấp
- Kiểm tra ping thấy máy 1 (Domain Controler)
Trang 59- Vào Start\Run, truy cập địa chỉ: \\172.16.1.2 , kiểm tra truy cập thành công
- Mở folder DATA, mở file tailieu1.doc
- Kiểm tra user truy cập thành công dữ liệu trên File Server
