Đồ án Triển khai dịch vụ VPN

Đồ án Triển khai dịch vụ VPN Hướng dẫn : Chú ý : Cài đặt Stand-alone CA trong trường hợp chúng ta cấp chứng chỉ CA cho Client...

Triển khai dịch vụ VPN

Giáo viên hướng dẫn : Trần Ngô Như Khánh

Sinh viên thực hiện :

Nguyễn Viết Sơn 0612251 Nguyễn Văn Vinh 0610185

Lab 3 : Certification Authority

 B1 : logon vào máy A bằng tài khoản Administrator

 B2 : Start -> Run -> Control Panel - > Add or Remove Programs

 B3 : Trong cửa sổ Add or Remove Programs -> Click vào Add/Remove Windows Compones -> check vào 2 ô Application Server và Certificate Sevices -> Next

 B5 : chọn “ Stand-Alone root CA -> Next

 B6 : ở khung Common name for this CA : nhập tên chứng chỉ -> Next

 B8 : Chon Finish

 Đã cài xong dịch vụ Certification

 Từ máy B , xin cấp chứng chỉ CA

 B1 : mở IE -> nhập http://10.10.150.1/certsrv ( 10.10.150.1 là IP của máy A )

 Click vào Request a Certificate

 B2 : Click advancd certificate request -> Create and submit a request to this CA

 B3 : nhập tên đăng ký -> submit

 Vậy là ta đã xin chứng chỉ CA cho máy B xong , giờ sang máy A kiểm tra xem đã có chứng chỉ CA của máy B chưa

 Qua máy A : Start - > Adiministrator Tools -> Certification Authority -> Issued Certificates

Chúng ta thấy đã có chứng chỉ CA của máy B

2 Phần 2: Cấu hình Web server sử dụng SSL:

2.1 Mô hình triển khai :

Hướng dẫn :

 Thực hiện tại máy A :

 B1 : Start -> Administrator Tools -> Internet Information Services ( IIS ) Manager

 B2 : Tại cửa sổ Internet Information Services ( IIS ) Manager -> chọn Web Sites

-> Ở Default Web Sites -> click chuột phải -> Properties

 B3 : Tại cửa sổ Default Web Site Properties -> chọn tab Directory Security -> Click Server Certificates … -> Click Next -> Create a new certificate -> Click Next -> Click Next

 B4 : Ở hộp IIS Certificate Wizard -> nhập tên cho certificate -> click Next

 B5 : Tại ô Country/Region : chọn VN(Viet Nam) và nhập thông tin ở những ô còn lại

 B6 : Click Browse -> chọn nơi lưu trữ -> click Next -> Next -> Finish

 B7 : Mở IE lên -> http://localhost/certsrv -> click Request a certificate -> click

advanced certificate request -> click submit a certificate request by using a base –

64 – encoded CMC or PKCS # 10 file or submit …

 B8 : Mở file lúc nãy vừa tạo rồi copy sau đó pase vào ô Saved request -> click Submit

 B9 : mở IE : http://localhost/certsrv -> click View the status of a pending certificate request -> click Save request certificate ( Sunday April 18 2010 10:35:59 AM ) -> click

download certificate

 B10 : Start -> Administrator Tools -> Internet Information Services ( IIS ) Manager

 B12 : Tại cửa sổ Internet Information Services ( IIS ) Manager -> chọn Web Sites

-> Ở Default Web Sites -> click chuột phải -> Properties

 B13 : Tại cửa sổ Default Web Site Properties -> chọn tab Directory Security -> Click Server Certificates … -> Click Next -> Click Next -> Click Next -> click Browse -> tim đến file vừa download ở trên -> click Next - > Finish

 B14 : Click Edit - >

 B15 : tại Default Web Site Properties -> click check vào Request sesure channel (SSL) và

request 128-bit encryption -> OK

 Vậy đã cấu hình xong trên máy A truy cập Web sử dụng SSL Giờ sang máy B mở IE lên truy cập Web coi kết quả như thế nào

Nhập http://10.10.150.1 ( 10.10.150.1 là IP của máy A ) -> thì kết quả như hình dưới

Giờ nhập https://10.10.150.1 thì kết quả như hình dưới :

 Triển khai cấp chứng chỉ tự động CA :

 Các bước cài đặt làm giống như ở phần 1 , nhưng ta chọn Enterprise root CA

 B2 : Start -> Run -> mmc -> Add /Remove Snap-in …

 B3 : Tại cửa sổ Add Standalone Snap-in -> Add 3 file Certificate Templates, Certificates , Certification Authority -> OK

 B4 : Click Certificate Templates -> Duplicate Templates 2 chứng chỉ Computer và

IPSec

 B5 : Chọn Certification Authority -> Certificate Templates -> Click chuột phải -> New Certificate Template to Issue -> Chọn IPSec và computer -> OK

 B6 : Start -> Administrator Tools -> Domain Security Policy

 Giờ ta sẽ cấp chứng chỉ tự động cho Server 1 và WS01 Ta jon Server 1 và WS01 vào Domain controller sau đó reset lại Server 1 và WS01 ta thấy Server 1 và WS01 đã được cấp chứng chỉ CA như hình dưới

Lab 4: Remote Access VPN với Radius và DHCP Relay

Hướng dẫn :

 Cấu hình RADIUS Server :

 B1 : logon vào máy A bằng tài khoản Administrator

 B2 : Start -> Run -> Control Panel - > Add or Remove Programs

 B3 : Trong cửa sổ Add or Remove Programs -> Click vào Add/Remove Windows Compones -> Click chuột vào Networking Services -> Details…-> chọn Internet Authentication Services -> OK -> Click Next-> Finish

 B4 : Click chuột phải vào My Computer -> Manage -> Local Users and Groups -> User Tạo một user ( tên : user1 ) và một group ( tên : VPNs ) sau đó add user1 vào VPNs user1 dùng Cho VPN connect tới thì dùng tài khoản này để đăng nhập

 B5 : Start -> Adminitrator Tools -> Internet Authentication Services

 Cài đặt dịch vụ Web và FTP Server :

 B1 : Tạo một web site đơn giản lưu vào thư mục tên Web_Server và tạo một thư mục FTP_Server

 B2 : Start -> Run -> Control Panel - > Add or Remove Programs

 B3 : start -> Adminsitrator Tools -> Internet Information Services (IIS) Mangager

 B4 :

 B5 : Cấu hình FTP làm tương tự như Web

 Kết quả như hình dưới :

 Cấu hình VPN Server :

 B1 : Logon vào máy VPN Server bằng tài khoản Administrator

 B2 : Start -> Administrator Tools -> Routing and Remote Access

 B6 : Cấu hình RADIUS :

 Tạo kết nối VPN Client : Tại máy VPN Client ta làm như sau :

2 Phần 2: Remote Access VPN kết hợp DHCP Relay

Hướng dẫn :

Bài này chúng ta cấu hình giống như phần 1 của Lab 4 nhưng chỉ thêm 1 máy chạy dịch vụ

DHCP Server

Cái bước cấu hình cho máy Web Server , RADIUS Server và VPN Client ta làm như phần 1 Chỉ có cấu hình VPN Server là hơi khác một chút

 Cấu hình DHCP Server :

 B1 : Logon vào máy DHCP Server bằng quyền Administrator

 B2 : Start -> Control Panel -> Add or Remove Programs

 B3 : Tại cửa sổ : Add or Remove Programs -> chọn : Add/Remove Windows Component

 B4 : Tại cửa sổ “ Windows Components Wizard “ -> chọn Networking Services ->

Details … -> Dynamics Host Configuration Protocol (DHCP ) -> OK -> Next -> Finish

 B5 : Tạo một miển IP để tự động cấp địa chỉ IP cho VPN Client start -> Administrator Tools -> Dynamics Host Configuration Protocol ( DHCP )

 Cấu hình VPN Server :

 B1 : Logon vào máy VPN Server bằng quyền Administrator

 B2 : Start -> Administrator Tools -> Routing and Remote Access

 B6 : Cấu hình RADIUS :

 Giờ từ VPN Client connect vào thì ta sẽ thấy kết quả như hình dưới

Lab 5: Triển khai Remote Access VPN sử dụng L2TP/IPSec

Hướng dẫn :

Bài lab5 thực hiện gần giống với phần 3 của bài lab 3 , nên mình không minh họa ở đây , các muốn tham khảo thì có thể download những video mà mình đã làm từ bài lab 1 -> lab 7 ở 2 link này : http://www.mediafire.com/download.php?5w3nzjnjf1z và

http://www.mediafire.com/?4lxnlm3rzmo

Lab 6: Triển khai Site-to-site VPN

Hướng dẫn :

 Cấu hình Router Internet : ta sẽ sử dụng 1 máy chạy windows server 2003 làm router internet

với 2 card mạng : card DaLat có IP 172.30.1.1/24 ; card SaiGon có IP 172.31.1.1/24

 B1 : logon vao máy router internet bằng tài khoản Administrator

 B2 : start -> Administrator Tools -> Routing and Remote Access

Chú ý : Ở Router_DaLat tạo một tài khoản có tên : saigon ; password : 123 Ở Router_SaiGon tạo một tài khoản có tên : dalat ; password : 123 2 user nay được thiết lập Allow Access trong phần Dial – in

 Cấu hình Router_DaLat :

 B1 : logon vào máy Router_DaLat với quyền Administrator

 B2 : Start -> Administrator Tools -> Routing and Remote Access

 B3 :

 B4 :

 Cấu hình Router_SaiGon ta làm tương tự như cấu hình Router_DaLat , nhưng ở một số bước thì ta nhập IP là miền của chi nhánh DaLat và user của Router_DaLat tạo

 Giờ chúng ta connect từ chi nhánh Da Lat tới chi nhánh SaiGon

Hướng dẫn :

Chú ý : Web Server mình đã cấu hình ở bài trước nến không cấu hình lại nữa

 Cấu hình ISA Server : Jon ISA Server vào Domain Controller rồi logon vào ISA Server bằng

quyền Administrator của Domain Controller rồi mới cài đặt ISA 2006

 B1 : Chạy file Setup.exe

 Cài đặt xong ISA 2006

 B2 : Thiết lập lại miền IP ta làm như sau :

Mở chương trình ISA -> Click tên Server -> Configuration -> Network -> Click

chuột Internal -> Properties -> Address -> Click dãy IP -> chọn Edit -> Nhập lại dãy

IP theo chỉ định 192.168.2.0 -> 192.168.2.255 -> OK

 Cấu hình cho phép bên trong mạng nội bộ truy cập internet :

 B1 : Right click vào Firewall Policy -> chọn New -> Access Rule

 Đã cấu hình xong , giờ các máy bên trong mạng có thể truy cập internet

 Cấu hình cho phép VPN Client connect vao mạng nội bộ :

 B1 : Cấu hình máy Domain Controller : Windows Server 2003 SP2

+ Tạo OU Remote Access Tong OU Remote Access , tạo goup VNP_Users

+ Ta sẽ tạo các User sử dụng VPN nằm trong OU này nhằm thuận tiện cho việc quản lý

+ Add các users vào group VPN_Users + Cho các user quyền Allow Access trong phần Dial – in

 B2 : Cấu hình VPN Client to Gateway tại ISA Server

+ Click chuột phải vào Virtual Private Network -> chọn Properties

 B3 : Trong hộp thoại Virtual Private Network -> chọn tab Address Assignment -> chọn Static address pool -> nhấn Add -> Nhập vào IP range sẽ cấp cho Client Starting

address : 10.10.1.1 ; Ending address : 10.10.1.254 -> nhấn OK -> Apply

 B4 : Trong cửa sổ ISA Server Management , tại khung Task -> Click Enable VPN

Client Access - > Nhấn chọn Apply-> OK

 B5 : Click vào Configure VPN Client Access để qui định group được phép kết nối VPN

- Trong hộp thoại VPN Client Properties -> chọn tab Group -> Add vào group VPN_Users

 B6 : Tạo access rule cho phép kết nối VPN tại ISA Server

 Đã cấu hình xong VPN to Gateway trên máy ISA Server

Giờ sang máy VPN Client tạo connect thì chúng ta sẽ được kết quả như hình dưới

 Giờ chúng tao cấu hình Publishing Server để cho phép bên ngoài ( VPN Client ) có thể sử

dụng các dịch vụ ( Web server , Ftp , ) được cung cấp trong mạng nội bộ

Chú ý : ở máy Web Serve mình đã cấu hình web server và dịch vụ DNS với Forward Lookup Zone tên miền : “ www.vietson.com.vn “ ở bài lab trước nên giờ mình chỉ sử dụng lại chứ

không cấu hình nữa nhé ^_^

 B1 : Cấu hình Listening Web trên cổng Wan của ISA Server

- Mở chương trình ISA Management

- Trong phần Network Objects -> Click chuột phải vào Web Listening -> chọn

New Listener…

 B2 :

 B3 : Tiếp theo ta cấu hình Publishing Website www.vietson.com.vn

 B5 : Cấu hình bên máy VPN Client

- Mở My Computer -> vào thư mục C:\WINDOWS\system32\drivers\etc -> mở

file “ Hosts “ bằng Notepad và chèn thêm dòng như sau

- Close và Save file Hosts lại

- Giờ mở chương trình Internet Explore đánh http://www.vietson.com.vn ta sẽ truy cập

thành công vào Web Server của mạng nội bô

 Vậy là mình đã cấu hình xong dịch vụ VPN kết hợp ISA 2006