Mô hình Sau đây là mô hình VPN client to site Như mô hình trên thì client sẽ kết nối với site của mình thông qua môi trường Internet, sau khi kết nối sẽ là một node trên site của mình h
Trang 1E-mail: training@athenavn.com – URL: www.athenavn.com
CẤU HÌNH VPN
I Mô hình
Sau đây là mô hình VPN client to site
Như mô hình trên thì client sẽ kết nối với site của mình thông qua môi trường Internet, sau khi kết nối sẽ là một node trên site của mình hay là 1 node trong mạng LAN, khi đó có thể thực hiện việc trao đổi dữ liệu qua lại với các máy trong mạng LAN của mình
II Mục đích ứng dụng
Với sự phát triển về phương tiện truyền thông như này nay, việc trao đổi dữ liệu qua lại không còn gói gọn trong một môi trường nào đó mà nó mang nghĩa rộng hơn, linh họat hơn Ví dụ như để kết nối các site của một công ty với nhau mà khoảng cách thì xa nhau, nếu thông qua môi trường Internet, để đảm bảo trao đổi
dữ liệu qua lại đươc giữa các site này thì trước kia ta thường ứng dụng theo kiểu thuê kênh riêng ( Lease line ) Nhưng điều này trở nên rất tốn kém, vì thế những năm gần đây công nghệ VPN ra đời trên phương diện đó
Mục đích của VPN là cho phép chúng ta truy cập giữa các site, hay client đến site thông qua môi trường Internet, khi đó sẽ kết hợp với tường lửa thì sẽ đảm bảo
độ tin cậy cũng như an toàn dữ liệu thông qua một đường pipe ( ống ) riêng ảo được tạo ra trên môi trường Internet của công nghệ VPN
Trang 2kiệm chi phí rất nhiều so với việc thuê kênh riêng
III Cách tiến hành:
Đối với mô hình này ( Client to site ) thì yêu cầu như sau:
Máy đóng vai trò là VPN server phải có 2 NIC, máy này sẽ trực tiếp đi ra ngoài Internet thông qua Modem ADSL, có thể đặc tả như sau:
Như đặc tả trên thì máy đóng vai trò Server có 2 Nic lần lược là:
External: 10.0.0.113
Internal: 172.16.1.1
Khi đó sẽ tạo một address pool ( dãy IP ) dành trước cho các client có nhu cầu quay VPN sao cho cùng NetID với mạng LAN bên trong site là được
Có 2 cách để thực hiện:
Trang 3E-mail: training@athenavn.com – URL: www.athenavn.com
Một là: Biến Modem ADSL thành 1 Bridge, khi đó ta sẽ có được IP Public, dùng IP này là IP cho VPN Server, tuy nhiên cách này hơi bất tiện là khi đó ta phải thực hiện share Net thì các máy client mới có thể ra net được ( áp dụng cho những modem không hỗ trợ VPN )
Hai là: Trên Modem ADSL ta sẽ kết hợp với Dynamic DNS trên VPN Server, khi đó nếu có client quay vào thì ta chỉ việc Nat Port cho forward qua VPN Server luôn, nói chung cách này hơi phức tạp một tý so với cách đầu tiên, và sẽ được ứng dụng trong mô hình site to site ( sẽ tiếp tục nghiên cứu ) Ở đây chúng ta sẽ thực hiện theo cách 1 đối với client to site
IV Cấu hình modem thành Bridge ( Thực hiện trên Zoom X4)
Trước tiên chúng ta đăng nhập vào Modem ADSL như sau:
Trang 4Nhập đúng username và password và nhấn OK, giao diện Web của Modem
sẽ rất thân thiện cho chúng ta cấu hình, và hãy chú ý phần quan trọng sau:
Trong phần Encapsulation hãy chọn như sau:
Trang 5E-mail: training@athenavn.com – URL: www.athenavn.com
Và Enable chức năng Bridge lên như hình trên
Tiếp theo chúng ta nên bỏ chế độ NAT của modem đi, bởi vì khi quay kết nối ISP theo giao thức PPPoE thì dĩ nhiên ta quay trên máy VPN server rồi, do đó không cần Nat nữa và thực hiện như sau:
Sau đó chúng ta trở lại phần Advance của Modem để Enable chức năng Bridging lên như sau:
Trang 6Chúng ta nên để ý đến phần Interface Name như trên, phải add thêm một Inteface dạng eoa-0 thì mới thành công vì khi đó chúng ta mới quay ra ngoài WAN được và Enable Bridging lên :
Đến đây xem như chúng ta đã biến Modem ADSL trở thành một Bridge, bây giờ đến bước kế tiếp dưới đây
V Thiết lập VPN Server:
Trước khi client có thể gọi vào hoặc có thể truy cập được vào mạng của bạn, bạn cần phải cài đặt
VPN server Bước đầu tiên là enable Routing and Remote Access Service (RRAS)
Bước này thì bạn không cần phải cài đặt vì nó đã được cài đặt sẳn khi bạn cài đặt hệ điều hành Windows Tuy nhiên mặc dù đã được cài đặt theo windows nhưng nó chưa được enable, cho nên để có thể enable RRAS thì bạn có thể làm theo các bước sau đây:
1 Chọn start, chọn Programs, chọn Administrative Tools, chọn Routing and Remote Access (RRAS)
2 Trong Routing and Remote Access Console, right click tên server và chọn Enable Routing and Remote Access Sau vài giây sẽ ở trạng thái Activate như sau:
Trang 7E-mail: training@athenavn.com – URL: www.athenavn.com
3 Sau đó RRAS Wizard sẽ khơi động Trong phần này bạn nên chọn mục Manually configured server và click Next theo hình dưới đây.
Right click lên tên server và chọn properties
Chúng ta check vào các ô check như trên để đảm bảo rằng cho phép client quay VPN đến
Trang 8Kế đến chúng ta chọn tab PPP và check vào các tùy chọn như sau:
Và sau đây là phần rất quan trọng, chúng ta chọn tab
IP như sau:
Trang 9E-mail: training@athenavn.com – URL: www.athenavn.com
Check vào các tùy chọn như trên để đảm bảo rằng cho phép routing client khi kết nối và có thể nhìn thấy mạng Lan bên trong
Trong group Ip address, chúng ta có 2 tùy chọn, hoặc
là cứ để cho VPN server tự cấp phát IP cho client khi quay vào ( dùng DHCP ), hoặc là chúng ta sẽ quy định sẵn 1 dãy các IP mà khi client quay vào thì sẽ nhận được Ip trong dãy đó ( dùng static IP ) Nhưng lưu ý, nếu dùng static, thì dãy Ip đó phải cùng NetID với NetID của Interface bên trong mạng Lan của chúng ta
Sau đó chúng ta phải chỉ ra Interface nào sẽ routing
và cấp IP cho client ?
Chúng ta chọn Interface là Ext ( là Interface trực tiếp quay kết nối với ISP )
Tiếp theo hãy Right click trên Ports chọn Properties để cấu hình port, địa chỉ ( tên miền ) cho VPN server như sau:
Trang 10Chọn giao thức kiểu PPTP và nhấn nút Configure…
Trang 11E-mail: training@athenavn.com – URL: www.athenavn.com
Chú ý là check vào 2 tùy chọn trên, trong phần Phone
number chúng ta điền vào cái IP thực mà khi ta quay kết
nối đến ISP cấp cho Tuy nhiên việc này không hiệu quả lắm vì dễ xảy ra tình trạng Disconnect khi đó chúng ta phải quay số lại đến ISP để xin IP rồi lại phải điền lại IP này, dẫn đến rất bất tiện
đăng ký một tên miền miễn phí tại trang web: www.no-ip.com , www.dyndns.org (Vd: athenvpn.dyndns.org )khi đó chúng ta sẽ có một IP thật, tuy nhiên đó không phải là IP
mà chúng ta đặt trên VPN server lấy từ ISP Để đồng bộ cái tên miền này với IP của ISP mà Modem chúng ta giữ, chúng ta dùng một tool tên là: DynDNS Updater Tool này download free tại trang www.dyndns.org Khi cài tool này chúng ta sẽ chọn tên miền đã đăng ký và Update, lúc này cái IP mà Modem giữ sẽ được đẩy lên cái tên miền này
Sau đó chúng ta chọn nhánh Remote Access policies và Edit như sau:
Trang 12Check vào tùy chọn Grant remote… Để cho phép kết nối từ bên ngoài vào
Nhấn nút Edit Profile và check bỏ qua phần xác thực như sau:
Đến đây xem như chúng ta đã cấu hình xong phần
VPN Server, kế đến chúng ta sẽ tiếp tục cấu hình cho VPN client
V Thiết lập VPN Client:
Đối với phần này thì rất đơn giản, chúng ta chỉ việc chỉ cho client biết IP của VPN server hay tên miền (Vd: athenavpn.dyndns.org ) để quay mà thôi
Đầu tiên chúng ta vào phần Network Connections như sau:
Trang 13E-mail: training@athenavn.com – URL: www.athenavn.com
Double click New Connection Wizard sẽ hiện thị hộp thọai Wizard, chúng ta click Next sẽ đến hộp thọai sau:
Chúng ta chọn là Connect to the network at my
workplace và click Next
Chọn là kết nối theo kiểu VPN và click Next
Trang 14Trong phần Host name hay IP address chúng ta gõ vào địa chỉ IP của VPN Server hay tên miền ( vd: athenavpn.dyndns.org ) và nhấn Next và Finish Sau đó chúng ta thử quay đến VPN server
Nếu chúng ta thực hiện đúng, chỉ đợi vài giây sau, kết nối đến VPN server sẽ được thiết lập, còn ngược lại kết nối
bị Fail thì chúng ta hãy kiểm tra lại phần cấu hình
nhỏ client to site, tuy nhiên chúng ta sẽ tiếp tục nghiên cứu thêm phần VPN cho site to site kết hợp với DynDns,
Trang 15E-mail: training@athenavn.com – URL: www.athenavn.com
Nat port…mà không cần phải biến Modem ADSL thành Bridge