Với sự phát triển về phương tiện truyền thông nhưnày nay, việc trao đổi dữ liệu qua lại không còn gói gọn trong một môi trường nào đó mà nó mang nghĩa rộng hơn, linh họat hơn. Ví dụ như để kết nối các site của một công ty với nhau mà khoảng cách thì xa nhau, nếu thông qua môi trường Internet, để đảm bảo trao đổi dữ liệu qua lại đươc giữa các site này thì trước kia ta thường ứng dụng theo kiểu thuê kênh riêng ( Lease line ) Nhưng điều này trở nên rất tốn kém, vì thế những năm gần đây công nghệ VPN ra đời trên phương diện đó.
15 trang |
Chia sẻ: vietpd | Lượt xem: 1648 | Lượt tải: 0
Bạn đang xem nội dung tài liệu Cấu hình VPN, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041
E-mail: training@athenavn.com – URL: www.athenavn.com
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E
CẤU HÌNH VPN
I. Mô hình
Sau đây là mô hình VPN client to site
Như mô hình trên thì client sẽ kết nối với site của mình thông qua môi trường
Internet, sau khi kết nối sẽ là một node trên site của mình hay là 1 node trong
mạng LAN, khi đó có thể thực hiện việc trao đổi dữ liệu qua lại với các máy trong
mạng LAN của mình.
II. Mục đích ứng dụng
Với sự phát triển về phương tiện truyền thông như này nay, việc trao đổi dữ
liệu qua lại không còn gói gọn trong một môi trường nào đó mà nó mang nghĩa
rộng hơn, linh họat hơn. Ví dụ như để kết nối các site của một công ty với nhau mà
khoảng cách thì xa nhau, nếu thông qua môi trường Internet, để đảm bảo trao đổi
dữ liệu qua lại đươc giữa các site này thì trước kia ta thường ứng dụng theo kiểu
thuê kênh riêng ( Lease line ) Nhưng điều này trở nên rất tốn kém, vì thế những
năm gần đây công nghệ VPN ra đời trên phương diện đó.
Mục đích của VPN là cho phép chúng ta truy cập giữa các site, hay client đến
site thông qua môi trường Internet, khi đó sẽ kết hợp với tường lửa thì sẽ đảm bảo
độ tin cậy cũng như an toàn dữ liệu thông qua một đường pipe ( ống ) riêng ảo
được tạo ra trên môi trường Internet của công nghệ VPN.
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041
E-mail: training@athenavn.com – URL: www.athenavn.com
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E
Việc ứng dụng VPN sẽ mang lại cho chúng ta khá nhiều lợi ích cũng như tiết
kiệm chi phí rất nhiều so với việc thuê kênh riêng.
III. Cách tiến hành:
Đối với mô hình này ( Client to site ) thì yêu cầu như sau:
Máy đóng vai trò là VPN server phải có 2 NIC, máy này sẽ trực tiếp đi ra ngoài
Internet thông qua Modem ADSL, có thể đặc tả như sau:
Như đặc tả trên thì máy đóng vai trò Server có 2 Nic lần lược là:
External: 10.0.0.113
Internal: 172.16.1.1
Khi đó sẽ tạo một address pool ( dãy IP ) dành trước cho các client có nhu cầu
quay VPN sao cho cùng NetID với mạng LAN bên trong site là được.
Có 2 cách để thực hiện:
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041
E-mail: training@athenavn.com – URL: www.athenavn.com
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E
Một là: Biến Modem ADSL thành 1 Bridge, khi đó ta sẽ có được IP Public,
dùng IP này là IP cho VPN Server, tuy nhiên cách này hơi bất tiện là khi đó ta phải
thực hiện share Net thì các máy client mới có thể ra net được. ( áp dụng cho
những modem không hỗ trợ VPN )
Hai là: Trên Modem ADSL ta sẽ kết hợp với Dynamic DNS trên VPN Server,
khi đó nếu có client quay vào thì ta chỉ việc Nat Port cho forward qua VPN Server
luôn, nói chung cách này hơi phức tạp một tý so với cách đầu tiên, và sẽ được ứng
dụng trong mô hình site to site ( sẽ tiếp tục nghiên cứu ). Ở đây chúng ta sẽ thực
hiện theo cách 1 đối với client to site.
IV. Cấu hình modem thành Bridge ( Thực hiện trên Zoom X4)
Trước tiên chúng ta đăng nhập vào Modem ADSL như sau:
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041
E-mail: training@athenavn.com – URL: www.athenavn.com
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E
Nhập đúng username và password và nhấn OK, giao diện Web của Modem
sẽ rất thân thiện cho chúng ta cấu hình, và hãy chú ý phần quan trọng sau:
Trong phần Encapsulation hãy chọn như sau:
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041
E-mail: training@athenavn.com – URL: www.athenavn.com
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E
Và Enable chức năng Bridge lên như hình trên.
Tiếp theo chúng ta nên bỏ chế độ NAT của modem đi, bởi vì khi quay kết nối
ISP theo giao thức PPPoE thì dĩ nhiên ta quay trên máy VPN server rồi, do đó
không cần Nat nữa và thực hiện như sau:
Sau đó chúng ta trở lại phần Advance của Modem để Enable chức năng
Bridging lên như sau:
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041
E-mail: training@athenavn.com – URL: www.athenavn.com
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E
Chúng ta nên để ý đến phần Interface Name như trên, phải add thêm một
Inteface dạng eoa-0 thì mới thành công vì khi đó chúng ta mới quay ra ngoài WAN
được và Enable Bridging lên :
Đến đây xem như chúng ta đã biến Modem ADSL trở thành một Bridge, bây
giờ đến bước kế tiếp dưới đây.
V. Thiết lập VPN Server:
Trước khi client có thể gọi vào hoặc có thể truy cập được vào mạng của bạn, bạn cần phải cài đặt
VPN server. Bước đầu tiên là enable Routing and Remote Access Service (RRAS).
Bước này thì bạn không cần phải cài đặt vì nó đã được cài đặt sẳn khi bạn cài đặt hệ điều
hành Windows. Tuy nhiên mặc dù đã được cài đặt theo windows nhưng nó chưa được enable,
cho nên để có thể enable RRAS thì bạn có thể làm theo các bước sau đây:
1. Chọn start, chọn Programs, chọn Administrative Tools, chọn Routing and Remote
Access (RRAS).
2. Trong Routing and Remote Access Console, right click tên server và chọn Enable
Routing and Remote Access. Sau vài giây sẽ ở trạng thái Activate như sau:
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041
E-mail: training@athenavn.com – URL: www.athenavn.com
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E
3. Sau đó RRAS Wizard sẽ khơi động. Trong phần này bạn nên chọn mục Manually
configured server và click Next theo hình dưới đây.
Right click lên tên server và chọn properties
Chúng ta check vào các ô check như trên để đảm bảo
rằng cho phép client quay VPN đến.
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041
E-mail: training@athenavn.com – URL: www.athenavn.com
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E
Kế đến chúng ta chọn tab PPP và check vào các tùy
chọn như sau:
Và sau đây là phần rất quan trọng, chúng ta chọn tab
IP như sau:
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041
E-mail: training@athenavn.com – URL: www.athenavn.com
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E
Check vào các tùy chọn như trên để đảm bảo rằng
cho phép routing client khi kết nối và có thể nhìn thấy
mạng Lan bên trong.
Trong group Ip address, chúng ta có 2 tùy chọn, hoặc
là cứ để cho VPN server tự cấp phát IP cho client khi quay
vào ( dùng DHCP ), hoặc là chúng ta sẽ quy định sẵn 1 dãy
các IP mà khi client quay vào thì sẽ nhận được Ip trong
dãy đó ( dùng static IP ). Nhưng lưu ý, nếu dùng static, thì
dãy Ip đó phải cùng NetID với NetID của Interface bên
trong mạng Lan của chúng ta.
Sau đó chúng ta phải chỉ ra Interface nào sẽ routing
và cấp IP cho client ?
Chúng ta chọn Interface là Ext ( là Interface trực tiếp
quay kết nối với ISP )
Tiếp theo hãy Right click trên Ports chọn Properties để
cấu hình port, địa chỉ ( tên miền ) cho VPN server như
sau:
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041
E-mail: training@athenavn.com – URL: www.athenavn.com
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E
Chọn giao thức kiểu PPTP và nhấn nút Configure…
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041
E-mail: training@athenavn.com – URL: www.athenavn.com
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E
Chú ý là check vào 2 tùy chọn trên, trong phần Phone
number chúng ta điền vào cái IP thực mà khi ta quay kết
nối đến ISP cấp cho. Tuy nhiên việc này không hiệu quả
lắm vì dễ xảy ra tình trạng Disconnect khi đó chúng ta
phải quay số lại đến ISP để xin IP rồi lại phải điền lại IP
này, dẫn đến rất bất tiện.
Cách khắc phục nhược điểm trên là: Chúng ta nên
đăng ký một tên miền miễn phí tại trang web: www.no-
ip.com, www.dyndns.org (Vd: athenvpn.dyndns.org )khi đó
chúng ta sẽ có một IP thật, tuy nhiên đó không phải là IP
mà chúng ta đặt trên VPN server lấy từ ISP. Để đồng bộ cái
tên miền này với IP của ISP mà Modem chúng ta giữ,
chúng ta dùng một tool tên là: DynDNS Updater Tool này
download free tại trang www.dyndns.org Khi cài tool này
chúng ta sẽ chọn tên miền đã đăng ký và Update, lúc này
cái IP mà Modem giữ sẽ được đẩy lên cái tên miền này.
Sau đó chúng ta chọn nhánh Remote Access policies và
Edit như sau:
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041
E-mail: training@athenavn.com – URL: www.athenavn.com
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E
Check vào tùy chọn Grant remote…. Để cho phép kết
nối từ bên ngoài vào.
Nhấn nút Edit Profile và check bỏ qua phần xác thực
như sau:
Đến đây xem như chúng ta đã cấu hình xong phần
VPN Server, kế đến chúng ta sẽ tiếp tục cấu hình cho VPN
client.
V. Thiết lập VPN Client:
Đối với phần này thì rất đơn giản, chúng ta chỉ việc
chỉ cho client biết IP của VPN server hay tên miền (Vd:
athenavpn.dyndns.org ) để quay mà thôi.
Đầu tiên chúng ta vào phần Network Connections như
sau:
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041
E-mail: training@athenavn.com – URL: www.athenavn.com
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E
Double click New Connection Wizard sẽ hiện thị hộp
thọai Wizard, chúng ta click Next sẽ đến hộp thọai sau:
Chúng ta chọn là Connect to the network at my
workplace và click Next
Chọn là kết nối theo kiểu VPN và click Next
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041
E-mail: training@athenavn.com – URL: www.athenavn.com
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E
Trong phần Host name hay IP address chúng ta gõ vào
địa chỉ IP của VPN Server hay tên miền ( vd:
athenavpn.dyndns.org ) và nhấn Next và Finish. Sau đó
chúng ta thử quay đến VPN server.
Nếu chúng ta thực hiện đúng, chỉ đợi vài giây sau, kết
nối đến VPN server sẽ được thiết lập, còn ngược lại kết nối
bị Fail thì chúng ta hãy kiểm tra lại phần cấu hình.
Tóm lại bài này chỉ nói ngắn gọn trong một mô hình
nhỏ client to site, tuy nhiên chúng ta sẽ tiếp tục nghiên
cứu thêm phần VPN cho site to site kết hợp với DynDns,
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041
E-mail: training@athenavn.com – URL: www.athenavn.com
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E
Nat port…mà không cần phải biến Modem ADSL thành
Bridge.