Part 38 - ISA Server - VPN Client to Gateway Chúng ta đã biết cách cấu hình VPN cho các mạng bằng Routing and Remote Access trong 70-291.. ““Chuyên trang dành cho kỹ thuật viên tin hoc”
Trang 1Part 38 - ISA Server - VPN Client to Gateway
Chúng ta đã biết cách cấu hình VPN cho các mạng bằng Routing and Remote Access trong 70-291 Bây giờ chúng ta sẽ tìm hiểu cách cấu hình VPN trong môi trường có ISA Server
““Chuyên trang dành cho kỹ thuật viên tin hoc” CHIA SE - KINH NGHIEM - HOC TAP - THU THUAT
Cũng giống như VPN trong Routing and Remote Access ching ta cé 2 dang dé la Gateway to Gateway va Clients to Gateway, trudc tiên ta
tìm hiểu về mô hình Clients to Gatew ay
VPN Clients to Gatew ay
Như bạn đã biết các máy Client từ bên ngoài muốn truy cập vào mạng chúng ta phải có được IP Publie của mạng chúng ta trong môi trường mạng chúng ta có ISA Server, IP Publie này còn gọi là ïP mặt ngoài và thường được xuất ra bởi External DNS mà ta đã biết đến trong bài Server Publising
Trong môi trường mạng chúng ta đã có ISA Server các Clients muốn truy cập vào bên trong Internal Network phải nhờ một NAT Server dẫn đường đến I SA Server, sau khi được xác nhận tính hợp lệ từ ISA Server thì các yêu cầu này mới được tiếp tục vào I nternal Netw ork
3
Web Server
DC Server
ISA Server, Internet
VPN Client
Mail Server Internal Network
Tuy nhiên để cho đơn giản trong bai nay tôi sẽ cấu hình NAT lên ngay Router ADSL
Cấu hình IP các máy như sau:
Trang 2
© | Description
Built-in account For admini
Ga Cdiggttsis : Members of this group are
Gh @B Controllers | F2 DnsAdmins Group DNS Administrators Group
EI-Cq ForeignSecurityP F3 DnsUpdatePr Group DNS clients who are permi
He F 2/ Domain Group Designated administrators
Fis Domain C Security Group All workstations and serve
F7/DomainEont Security Group All domain controllers in th
Group Policy Group Members in this group can
Guest User Built-in account for quest
HelpServices Security Group Group for the Help and Su
Double click vao User Gateway1 chon Tab Dial-in
Check tuy chon Allow Access trong Remote Access Permission
Gateway1 Properties
f~ Control access through Remote Access Policy’
aller] D:
sign 4 StaneIP Ad
Tại Apply Static Routes
Tai may ISA Server ban chon Virtual Private Networks (VPN) chon tiép Tab VPN Clients
Trang 3File Action View Help
‘& Firewall Policy
_> Virtual Private Networks (VPN) i) Click here to learn about the Customer Experience Improvement Program
f)-38 Configuration
¥PN Clients
using a virtual private network (¥PN) connection,
e
i ° Configure Address Assignment ment and Enable ¥PN Client
Access Allow remote clients to connect to th work using a VPN connection,
&
Specify Windows Users or select a RADIUS Server
Pa Specify the Windows useE dDman groups) allowed YPN access or, if using RADIUS —, lect the RADIUS authentication server,
Verify ¥PN ` uc and Remote Access Configuration
¥erify that ¥PN properties, such as protocols and access points, are defined
according to your network requirements
View Firewall Policy for the ¥PN Clients Network Verify that Firewall Policy rules for the ¥PN Clients Network are defined in accordance with your network and corporate security requirements
View Network Rules
Verify that the rules specifying network relationships between the ¥PN Clients Network and other networks, such as Internal, are defined according to your
4 | | >| network requirements,
Vee Configure VPN Client Access
§ - This page helps you define and configuire how clients acÈỆss the corporate network
/ Tasks ep
VPN Clients Tasks
GC Enable PN Client Access
ef Configure VPN Client
Access
General VPN Configuration
ef Select Access Networks
ef Define Address
Assignments
£$#f Select Authentication
Methods
fF Specify RADIUS
Configuration
Related Tasks
ef Monitor VPN Clients (© Export VPN Clients
Configuration
(3) Import VPN Clients
¢ 3 | m|m| @
ig Microsoft Internet Security and Accele pe en ty &
Bg isa ¬ Äcceleration Sefver 20os sil bade Virtual Private Networks (¥PN) xế sàng ibaa ta
ˆ
—
lile:}JJC:JPragram%s20FilesjMicrosoft%s2015A%205erverjLII_HTMLs/TaskHandlerjTasksHanrller.htc#nnone
Click vao Configure Address Assignment Method
F Microsoft Internet Security and Acceleration Server 2006
File Action View Help
© " |m|m| @ | 4 | # @ @
[5] Microsoft Internet Secur Microsoft“ A
: Bi Cceieration server 2006
~~ EQ Monitoring CN
Gh Firewall Policy
~~ SURREAL | (i) Click here to learn about.ffe
—¬ -
his page helps you define and configure how clients access the
Trang 4
Mặc định khi cài đặt hoàn tất ISA Server sẽ không bật VPN Clients lên nên bạn tiếp tục chọn Enable VNP Client Access trong bước cài đặt thứ
1 để bật tính năng này
/ ¥PN Clients L2
This page hess you define and configure how cents the corporate network using a vituel private
network (¥PN) connection o
ri Configure Address Assignmen hod 2
Allow remote clients to connect to using a YPN connection
ee) Specify Windows Use select a RADIUS Server
Spey the Windows usa damain groups) alowed VPN acces or, using RADIUS authentication, selec
the RADIUS authentic server,
Check vao tuy chon Enable VPN client access
Luu y la gia tri trong 6 Maximum number of VPN clients allowed phai nhỏ hơn dẫy số IP mà ta gán cho các VPN Clients
¥PN Clients Properties
Trang 5
Tiếp tục bạn chọn mục Firewall Policy để tạo một Rule mdi cho phép các VPN Clients được phép truy cập vào bên trong I nternal Netw ork
RE Microsoft Internet Security and Äcceleration Server 2006
File Action View Help
3| |m| #@ | 4 | 4a # x @ @ @) sở `
[53 Microsoft Internet Secur lan: wn TT)
Click here to learn about the Customef Experience Improvement Program
~~) Virtual Private N | (i)
bd -
=3 Configuration
Firewall Policy Or ^® Name $ | Action Protocols From / Listener | To Condition
= i Internal VS LocalHost @® Allow Pi All Outhaund =&~ Internal f External Pa ee
;#~Local Hast H0,
ocal Host
2 All Network Se, All Networks (
E3] General
LfÌLast Default rule 8 Deny tụ All Traffic & All Users
Tôi đặt tên cho Rule này là VPN Client to Gatew ay 1
New Access Rule Wizard dxf
Welcome to the New Access Rule Wizard
This wizard helps you create 4 ni ccess rule Access tules define the action that is , and the protocols that may be used, when specified Clients from one network attempt to access specifi inations or content on another network
ge
Access đất bane lient to Gateway
internet Secure
To continue, click Next
< Back | Next > | Cancel |
Rule Action: Allow
Protocol: All outbound traffic
Trong Access Rule Sources ban chon mét giao thifc duy nhat dé la VPN Clients
New Access Rule Wizard
This rule will apply to traffic originating from the "& cified in this page
Trang 6+
Access Rule Destinations
This rule will apply to traffic sent from the rule sources.to the destinations specified
in this page
This rule applies to traffic sent to these desti
=
Màn hình sau khi hoàn tất
<lnternal
Microsoft Internet Security and Acceleration Server 2006
File Action View Help
© 3 || @ ä 3à # xX @@ 9 @ ¿3
[33 Microsoft Internet Secur Materia :
aig ISA ne = ho
: Eanes ccelieration server 2006
:~-E Monitoring Standard Editon
4 Firewall Policy
ị ca > Virtual Private N | (7) Click here to learn about the Customer Expérience Improvement Program
EI-3 Configuration =
eds Networks Firewall Policy
~~ Cache
vn VPN Client ta Gatewa! §* Allnu Ba All Outbound VPN Clients — h- Internal Paes tal
Œl[?]2 Internal VS LocaliPast @ Allow {2} All Outbound , <a» Internal @ External & All Users
«is Local Host =, Internal
=: Local Host
[2] Last Default rule © Deny [23 all Traffic 2 all Network Se All Networks ( , OS All Users
Mặc định trong ISA Server đã tạo sẵn một Network Rule trong Networks cua phan Configuration cho phép các máy VPN Clients từ bên
ngoài truy cập vào I nternal, tuy nhiên đây chỉ là con đường đi của của các VPN Clients mà thôi và đi được hay không là do Access Rule mà ta
vừa tạo lúc nãy quyết định
Như vậy để cho các VPN Clients truy cập được I nternal Network trong ISA Server phải tồn tai song song ca 2 Network Rule va Access Rule
= Microsoft Internet Security and Acceleration Server 2006
File Action View Help
3 Microsoft Internet Secur | T01
Eg 15a Internet Security &
a Acceleration Server 2006
:-EE] Monitoring Cu
fh Firewall Policy
~~) Virtual Private N | (7) Click here to learn about the Customer Experience Improvement Program
E38 Configuration
eds Networks / Networks \
> Cache
`”
con
VPN Clients Network
(Internet)
Xe, Ẻ Í <S SN Networks Ý NetwuofSet- ) Network Rules web Chaining \,
Order | Name | Relation | Source Networks | Destination Net | Desct
Trang 7Nhu vay chung ta da hoan tat cdu hinh VPN Clients to Gateway trén may ISA Server
Bây giờ tôi sẽ cấu hình NAT tai Router ADSL (Xem lai bai ADSL - Wifi)
Trong ví dụ này tôi cấu hình Router NAT các dịch vụ Web Server, Mail Server trong đó có PPTP là giao thức để NAT VPN
Như vậy đến đây tại Router sẽ hiểu rằng khi có bất cứ yêu cầu nào bên ngoài truy cập vào mạng chúng ta thông qua các Port trong danh sách Applied Rules nó sẽ chỉ đến máy có IP tương ứng trong mục LAN IP Trong ví dụ này máy được NAT chinh la may ISA Server
ze | http://192.168.1.1/cgi-bin/webcm - Microsoft Internet Explorer
File Edit View Favorites Tools Help
@Ba+% + @ + (xì (2) | LP Search geravorits @3 | ¿3x RNx- [J2
Rddress |€Ì http://192.168.1.1/cgibinjwebcm
OuNaing INGIWOrKS FOr reopie
Connection:
Bridge Filters
Please save and reboot the device to take effect !
| Via Sere | LAN "© 192.168.1.5 Y|_ HewlIP )
Alien vs Predator ^ Web Server
ren Delta Force Ada> j|SMTP Server
5 (ΠAudio/Viden Doom GCPORT
DirectX (7.8) Games = Remove
© Servers EliteForce
Trước tiên để biết được Public IP Address của mạng chúng ta bạn vào Tab Status chon Menu Device I nfo
Trong phần WAN bạn chú ý mục IP Address đây chính là Public IP Address của bạn ma dich vu ISP cap cho Router chung ta Nhu vay trong
ví dụ này IP mặt ngoài của mang chung ta la 123.23.203.190
Device Information
Firmware Version: V3.02B01101.EU-A.20061023
Bll:
DHCP Clients BẠN
MAC Address 00:1E:58:46:0D:1B
Trang 8Tiếp theo ta cấu hình VPN tại máy Clients
Bạn vào Network Connections của máy Client chọn Create a new Connection
“*s Network Connections Sele
ap
File Edit view Favorites Tools Advanced Help
@ Back © ei PP Search Ke Folders HD
+
^_ LANor High-Speed internet
Network Tasks
Ss
sabled
Intel 21140-Based PCI Fast Et
Set up a home or small
office network
@ Change Windows
Firewall settings
Connected ie: ih Intel 21140-Based PCI Fast Et
Chọn tiếp Connect to the network at my workplace
New Connection Wizard
Network Connection Type
What do you want to do?
© Connect to the Internet
Connect to the Internet so you can browse the Web @hdlread email
©) Connect to the network at my workpla
Connect to a business network [using dial-up YPN] so you can work from home,
4 field office, or another location
© Set up an advanced ction
Connect directly to computer using your serial, parallel, or infrared port, or
set up this coms at other computers can connect to it
[ < Back Í Next > inl Cancel |
Chon tiép Virtual Private Network connection
New Connection Wizard
Network Connection
How do you want to connect to the network at your workplace?
Create the following connection: @
O Dial-up connection }
Connect using 4 modem and a regular phone lin@,or'an Integrated Services Digital
Network (ISDN) phone line
© Virtual Private Network connectic
Connect to the network using a vi ivate network [¥PN] connection over the
Internet
Trang 9
YPN Server Selection €
What is the name or address of the VPN server? >
Type the host name or Internet Protocol t ấŠ- of the computer to which you are
connecting
Host name or IP address (for sen ai“ con or 157.54.0.1 }:
123.23.203.190 ` +
Trong cửa sổ Netw ork Connections của PC03 xuất hiện thêm icon VPN to Gatew ay1 với giao thức PPTP
* Network Connections
File Edit View Favorites Tools Advanced Help
@ Back © ' ở PP Search [>> Folders | HAW
Address
© Network Connections
d Internet Network Tasks
Create anew connection
® Set up a home or small
office network
@ Change Windows
Firewall settings
Intel 21140-Based PCI Fast Et
Lan
SS Connected
Co Intel 21140-Based PCI Fast Et
| ¥irtual Private Network See Also as
VPN to Gateway 1
Disconnected
TẾ 32 WAN Miniport (PPTP)
1) Network
Troubleshooter
Neha Marne r3
Sau đó nhập tài khoản ma bạn đã tạo trước đó tại DC Server và nhdp Connect
Connect VPN to Gateway1
User name: at
sò Password:
Trang 10Í :` C:WWINDOWSỆsystem32\cmd.exe Be x
Microsoft Windows KP [Version 5.1.2606]
€G> Copyright 1985-2661 Microsoft Corp
C:\Documents and Settings\Administrator>ping 172.16.2.2
Pinging 172.16.2.2 with 32 bytes of data:
172 16.2.2:
Lư: 2+
122.16.2.2:
Reply from
Reply from
Reply from
bytes=32 time=4ms TTL=127 bytes=32 time=ims TTL=127 bytes=32 time=ims TTL=127 mPing statistics for 172.16.2.2:
Packets: ad Received =
Approximate round trip tim
Minimum sae
4, Lost = @ (@% loss)
in milli-seconds:
Maximum = 4ms, Average = 2ms C:\Documents and Settings\Administrator>
Truy cập vào các Shared Folder cũng rất tốt
Ê 172.16.2.2
File
Oo Back *
Address | WY \\172.16.2.2
Edit View Help a
4đ 4 ) Search Ke Folders Fay
@
Favorites Tools
¥] 3 «
^
Network Tasks Lie
or sysvol
45 =
fa y/ Scheduled Tasks
& View network gf Add a network place
connections
Set up a home or small
office network
Set up a wireless
network for a home
small office
gy View workgroup
computers
Show icons for
networked UPnP
devices
»)
™~
pain
im
OK mình vừa trình bày xong phần VPN Client to Gateway - ISA Server trong 70-351 cua MCSA
Công ty TNHH đầu tư phát triển tin học GC Com
Chuyên trang kỹ thuật máy vi tính cho kỹ thuật viên tin học Điện thoại: (073) - 3.511.373 - 6.274.294 Website: http://www.gccom.net
