Nhắp Next để tiếp tục.Hình 8: Routing and Remote Access Server Setup Wizard – Step 2 Hình 8 cho phép lựa chọn các cấu hình của dịch vụ Routing and Remote Access.. Để cấu hình, chuột phải
Trang 1VPN trên Windows 2003 Server
3.3 Remote Access Policies
4 Tạo User trên Windows cho phép sử dụng VPN
5 VPN Client trên Windows XP
6 Quản lý kết nối VPN trên Server
• Site To Site: Hỗ trợ việc kế nối 2 mạng của công ty ở 2 nơi khác nhau thông qua Internet
• Intranet/Internal VPN: Hỗ trợ việc tạo một mạng riêng, an toàn trong một mạng của công ty
VPN sử dụng các tunnel protocol để truyền các packet Có 02 tunnel protocol hay được sử dụng, đó là PPTP (Point-to-Point Tunneling Protocol) và L2TP ( Layer 2 Tunneling Protocol)
• PPTP: PPTP có thể sử dụng cho Remote Access hay Site-to-Site VPN
• L2TP: L2TP là sự kết hợp của PPTP và Layer 2 Forwading (L2F, giao thức được phát triển bởi Cisco System)
Có nhiều chương trình VPN Server trên Windows cũng như Linux Trên Linux có thể kể đến openVPN, openswan OpenVPN cũng có phiên bản chạy trên Windows Tham khảo các link sau:
• Openvpn: http://openvpn.net/
• Openswan: http://www.openswan.org/
• Open VPN GUI for Windows: http://openvpn.se/
Trên Windows 2000 Server, Windows 2003 có tích hợp sẵn VPN Server Ngoài ra trong bản ISA Servercũng có thể cấu hình VPN Server
Trong tài liệu này sẽ hướng dẫn về cách cài đặt và cấu hình VPN Server trên Windows 2003
VPN trên Windows 2003 dưới dạng Remote Access sẽ cho phép các máy tính truy nhập đến mạng nội
bộ của công ty thông qua Internet Có thể xây dựng một mô hình đơn giản như sau:
• Modem ADSL có địa chỉ IP tĩnh Trong trường hợp không có địa chỉ IP tĩnh, có thể sử dụng DDNS
• 01 máy tính cài hệ điều hành Windows 2003 Server Máy tính này sử dụng để cấu hình VPN Server Máy tính này nên sử dụng 02 card mạng
Máy tính từ xa sử dụng Windows XP, Windows 2000, có thể đặt kết nối VPN để kết nối đến Server nói trên
Trang 3Hình 1: Services Manager
Trong Hình 1, tìm service Windows Firewall/Internet Connection Sharing (ICS) Chuột phải vào tên service đó, trên menu chuột phải, chọn Properties Xuất hiện hộp thoại Windows Firewall/Internet Connection Sharing (ICS) Properties (Hình 2)
Hình 2: Windows Firewall/Internet Connection Sharing (ICS) Properties
Trong Hình 2, lựa chọn Disabled trong ô Startup type Và nhắp nút Stop để dừng service Windows Firewall/Internet Connection Sharing (ICS).
Sau khi dừng dịch vụ Windows Firewall/Internet Connection Sharing (ICS), tiến hành cài đặt VPN
Server
Để cài đặt VPN trên Windows 2003, chạy Manager Your Server bằng cách click
Start->Programs->Administrative Tools-> Manager Your Server.
Trang 4Hình 3: Manage Server
Trên cửa sổ Manage Your Server (hình 3), click Add or remove a role để cài thêm các dịch vụ của
Windows 2003
Hình 4: Configure Your Server Wizard – Preliminary Steps
Trong Hình 4, click Next để tiếp tục.
Trang 5Hình 5: Configure Your Server Wizard – Server Role
Hình 5 cho phép lựa chọn các dịch vụ Server trên Windows 2003 Bước này lựa chọn Remote access / VPN server, sau đó nhắp Next để tiếp tục.
Trang 6Hình 6: Configure Your Server Wizard – Summary of Selections
Hình 6 đưa ra danh sách các dịch vụ của Windows 2003 Server đã được lựa chọn ở Hình 5 Nhắp Next
để tiếp tục
Hình 7: Routing and Remote Access Server Setup Wizard – Step 1
Trang 7Hình 7 là bước đầu tiên để setup Routing and Remote Access Nhắp Next để tiếp tục.
Hình 8: Routing and Remote Access Server Setup Wizard – Step 2
Hình 8 cho phép lựa chọn các cấu hình của dịch vụ Routing and Remote Access Bước này chọn Custom configuration Sau đó chọn Next để tiếp tục.
Hình 9: Routing and Remote Access Server Setup Wizard – Step 3
Trang 8Hình 9 cho phép lựa chọn các dịch vụ bên trong Routing and Remote Access Bước này lựa chọn VPN access và Lan routing Sau đó nhắp Next để tiếp tục.
Hình 10: Routing and Remote Access Server Setup Wizard – Step 4
Hình 10 kết thúc việc setup Routing and Remote Access Nhắp Finish để kết thúc.
Hình 11: Routing and Remote Access – Start Service
Sau khi kết thúc việc setup Routing and Remote Access, xuất hiện hộp thoại yêu cầu start dịch vụ Routing and Remote Access, chọn Yes để xác nhận việc start dịch vụ đó.
Trang 9Hình 12: Configure Your Server Wizard – Finish
Hình 12 thông báo kết thúc Configure Your Server Wizard Nhắp Finish để kết thúc Sau bước này,
thực hiện việc cấu hình VPN Server
Trang 103 Cấu hình VPN Server
Hình 13: Manage Server
Sau khi cài đặt Routing and Remote Access, để cấu hình VPN Server, có thể chạy Manage Your Server, sau đó click vào Manage this remote access/VPN server (Hình 13) (Hoặc có thể click Start-
>Programs->Administrative Tools->Routing and Remote Access).
3.1 Route and Remote Access Properties
Trang 11Hình 14: Routing and Remote Access
Hình 14 là giao diện chính của Routing and Remote Access Để cấu hình, chuột phải vào tên máy (tên server trong ví dụ là FREE4VN-HOME), trên menu chuột phải chọn Properties.
Chú ý: trên menu chuột phải có một số chức năng cần quan tâm:
• Disable Routing and Remote Access: Chức năng này được sự dụng khi ta muốn xoá cấu hình
Routing and Remote Access cũ để tạo 1 cấu hình mới Sau khi disable, trên menu chuột phải nói trên, chọn Configure and Enable Routing and Remote Access, để cấu hình một Routing and Remote Access mới
• All Tasks với các chức năng con như Start, Stop, Pause, Resume, Restart được sử dụng đối với service
Enable Routing and Remote Access Việc này cũng tương tự như khi sử dụng Service Manager
Trang 12Hình 15: FREE4VN-HOME Properties – Tab General
Hình 15 là Properties của FREE4VN-HOME Cần chú ý đến 3 tab là General, Security và IP.
Trong Tab General, cần kiểm tra mục Router và Remote access server đã được check Mục Router cho phép định tuyến các yêu cầu từ VPN Client đến các máy trong mạng nội bộ Mục Remote access server cho phép các VPN client kết nối đến được Nên chọn LAN and demand-dial routing.
Trang 13Hình 16: FREE4VN-HOME Properties – Tab Security
Hình 16 là tab Security, tab này cho phép lựa chọn Authentication provider và Accounting provider Nếu trong mạng nội bộ có 1 máy tính cài RADIUS, có thể lựa chọn Authentication provider và Accounting provider là RADIUS Trong ví dụ này, lựa chọn Windows Authentication và Windows Accounting.
Trang 14Hình 17: FREE4VN-HOME Properties – Tab IP
Hình 17 cho phép lựa chọn IP cho kết nối VPN Bước này nên chọn Static address pool, sau đó nhắp nút Add.
Hình 18: Tab IP – New Address Range
Trong Hình 18, nhập các giá trị vào các ô Start IP address và End IP address Các IP trong dải này sẽ
được cấp tự động cho mỗi kết nối VPN
3.2 Ports Properties
Trong giao diện chính của Routing and Remote Access (Hình 14), chuột phải vào Ports, trên menu chuột phải, chọn Properties Xuất hiện hộp thoại Ports Properties (Hình 19)
Trang 15Hình 19: Ports Properties
Trên Hình 19, có thể nhận thấy số miniport cho PPTP và L2TP đều là 128 Mỗi miniport chính là 1 kết
nối VPN từ máy client đến Server Để giảm các số này xuống, lựa chọn vào WAN Miniport (PPTP), sau
đó nhắp Configure.
Hình 20: Configure Device – WAN Miniport (PPTP)
Trong Hình 20, thay đổi tham số Maximum ports từ 128 xuống còn 5 Thực hiện tương tự đối với
WAN Miniport (L2TP) Với cấu hình này Server sẽ chấp nhận tối đa 10 kết nối VPN, trong đó có 5 VPN Client sử dụng tunnel PPTP, 5 VPN Client sử dụng tunnel L2TP
Chú ý: Nếu lựa chọn số kết nối tối đã VPN lớn hơn số địa chỉ IP cấp trong Hình 18, khi các kết nối đến
VPN hết địa chỉ IP, VPN Server sẽ lấy địa chỉ IP của 1 DHCP Server trong mạng cấp cho kết nối VPN
Trang 16đó Nếu kô có DHCP Server trên mạng, sẽ có thông báo lỗi, không cho phép kết nối.
3.3 Remote Access Policies
Bước cuối cùng là cho phép truy cập qua Remote Access Policy.
Hình 21: Remote Access Policies
Trong Hình 21, chọn Remote Access Policies Remote Access Policies có 2 lựa chọn là Connections
to Microsoft Routing and Remote Access Server và Connections to other access server Chuột phải vào Connections to Microsoft Routing and Remote Access Server, trên menu chuột phải chọn Properties.
Trang 17Hình 22: Connections to Microsoft Routing and Remote Access Server Properties
Trong Hình 22, lựa chọn Grant remote access permission, sau đó nhắp OK để xác nhận.Thực hiện công việc tương tự đối với lựa chọn Connections to other access server.
Sau bước này là việc tạo account trên Windows cho phép sử dụng kết nối VPN
4 Tạo User trên Windows 2003 cho phép sử dụng VPN
Như đã biết, việc tạo user trên Windows sử dụng Computer Manager Để chạy Computer Manager, click Start->Programs->Administrative Tools->Computer Manager Giao diện chính của Computer
Manager như Hình 23
Trang 18Hình 23: Computer Manager – Local User and Groups
Trên Hình 23, Chọn System Tools->Local Users and Groups->Users Sau đó chuột phải vào user muốn cho phép dùng VPN, ví dụ user centos4 Trên menu chuột phải, nhắp Properties
Trang 19Hình 24: User Properties
Trên Hình 24, chọn Tab Dial-in Trong tab này, chọn Allow access.
Nếu muốn chỉ chính xác địa chỉ IP cấp cho VPN Client đối với user trên, chọn Assign a Static IP Address Sau đó gõ địa chỉ IP vào ô tương ứng Địa chỉ này có thể nằm ngoài dải IP mà ta đã chọn ở
Hình 18 Tuy nhiên nó nên nằm cùng lớp với dải IP đó
Sau bước này, user centos4 có thể kết nối VPN đến VPN Server
Trang 205 VPN Client trên Windows XP
Trên Windows 2000, Windows XP, có thể tạo kết nối VPN đến VPN Server mà ta đã cài đặt và cấu hình
ở các bước trên Dưới đây sẽ hướng dẫn cách tạo kết nối VPN đến một VPN Server trên Windows XP
Chuột phải vào biểu tượng My Network Places trên desktop, trên menu chuột phải click Properties Xuất hiện hộp thoại Network Connections (xem Hình 25)
Hình 25: Network Connections (VPN Client)
Trên Hình 25 nhắp vào Create a new connection Xuất hiện hộp thoại New Connection Wizard với 6
bước cấu hình
Hình 26: New Connection Wizard – Step 1 (VPN Client)
Trong Hình 26, click Next để tiếp tục.
Trang 21Hình 27: New Connection Wizard – Step 2(VPN Client)
Hình 27 cho phép lựa chọn các kiểu connect Bước này chọn Connect to the network at my workplace, sau đó nhắp Next để tiếp tục.
Hình 28: New Connection Wizard – Step 3(VPN Client)
Hình 28, lựa chọn Virtual Private Network connection, sau đó click Next để tiếp tục.
Trang 22Hình 29: New Connection Wizard – Step 4(VPN Client)
Hình 29 cho phép tạo tên cho kết nối vpn, trong ví dụ này, gõ free4vn.org, sau đó click Next để tiếp
tục
Hình 30: New Connection Wizard – Step 5 (VPN Client)
Hình 30 cho phép gõ địa chỉ IP của Server được cài đặt dịch vụ VPN Server Có thể dùng địa chỉ IP tĩnhđược gán cho Modem ADSL hoặc domain name tương ứng
Trang 23Hình 31: New Connection Wizard – Finish (VPN Client)
Hình 31, kết thúc New Connection Wizard, click Finish để kết thúc Sau bước này, trong Nework Connection ở Hình 25 sẽ có thêm một connect có tên là free4vn.org Để kết nối đến VPN Server, nhắp đúp vào kết nối đó Hộp thoại Connect như Hình 32.
Hình 32: Connect to free4vn.org (VPN Client)
Trên Hình 32, để kết nối đến VPN Server cần gõ User name, Password mà ta đã khai báo trong mục 4 Tạo User trên Windows cho phép sử dụng VPN Sau đó nhắp Connect để kết nối đến VPN Server Có thể click Properties để thêm các lựa chọn cho kết nối đó.
Trang 24Hình 33: free4vn.org Properties – tab Options (VPN Client)
Trong Hình 33, tab Options, có thể sử dụng tính năng Redial if line dropped để VPN Client tự động
kết nối lại VPN Server sau khi kết nối VPN bị ngắt đoạn (có thể do kết nối Internet lỗi) Lựa chọn này cũng cho phép người quản trị VPN Server có thể reset kết nối giữa VPN Client và VPN Server
Khi kết nối đến VPN Server, theo cấu hình ngầm định thì máy client sẽ dùng Gateway là VPN Server Như vậy có thể không dùng Internet trên máy client được Để thay đổi điều này, lựa chọn tab
Networking.
Trang 25Hình 34: free4vn.org Properties – tab Networking (VPN Client)
Trong Hình 34, click vào Internet Protocol (TCP/IP), sau đó nhắp nút Properties.
Trang 26Hình 35: Internet Protocol (TCP/IP)Properties (VPN Client)
Trong Hình 35, nhắp vào Advanced.
Hình 36: Advanced TCP/IP Settings – tab Genera (VPN Client)
Trong Hình 36, bỏ chọn Use default gateway on remote network.
Sau khi Connect đến VPN Server, trên VPN Client sẽ xuất hiện thông báo xác nhận kết nối thành
công, xem Hình 37
Hình 37: Kết nối VPN thành công (VPN Client)
Một kết nối VPN cũng như một kết nối mạng thông thường Để xem trạng thái của kết nối đó, chuột
phải vào kết nối, trên menu chuột phải chọn Status (xem Hình 38).
Hình 38: Menu chuột phải của Kết nối VPN (VPN Client)
Trang 27Hình 39: Status của kết nối VPN (VPN Client)
Trong hộp thoại Status của kết nối VPN, chọn tab Details, chú ý địa chỉ IP mà Client được cấp đối với
kết nối VPN đó Địa chỉ này cũng có thể được cấp cố định với từng user (xem mục 4 Tạo User trên Windows 2003 cho phép sử dụng VPN) và cũng có thể theo dõi trên VPN Server (xem mục 6 Quản lý kết nối VPN trên Server)
6 Quản lý kết nối VPN trên Server
Trên VPN Server cũng có thể theo dõi các kết nối VPN Khi VPN Client cung cấp địa chỉ theo dải địa
chỉ mà ta đã set ở Hình 18 hoặc đối với từ user ở Hình 24
Để theo dõi các kết nối VPN trên Server, có thể chạy Manage Your Server, sau đó click vào Manage this remote access/VPN server (Hình 13) (Hoặc có thể click Start->Programs->Administrative
Tools->Routing and Remote Access).
Trang 28Hình 40: Remote Access Client
Trên Hình 40, click vào Remote Access Client, trong cửa sổ bên phải sẽ hiển thị các user đang kết nối
vào VPN Server Chuột phải vào user, trên menu chuột phải, click Status.
Trang 29Hình 41: Status của kết nối VPN trên ServerTrên Hình 41 là Status của kết nối VPN trên user centos4 Chú ý đến phần địa chỉ IP cấp cho kết nối đó.
Và chú ý đến nút Disconnect để ngắt kết nối VPN đó.
Hết
