Cấu hình VPN

Với sự phát triển về phương tiện truyền thông nhưnày nay, việc trao đổi dữ liệu qua lại không còn gói gọn trong một môi trường nào đó mà nó mang nghĩa rộng hơn, linh họat hơn. Ví dụ như để kết nối các site của một công ty với nhau mà khoảng cách thì xa nhau, nếu thông qua môi trường Internet, để đảm bảo trao đổi dữ liệu qua lại đươc giữa các site này thì trước kia ta thường ứng dụng theo kiểu thuê kênh riêng ( Lease line ) Nhưng điều này trở nên rất tốn kém, vì thế những năm gần đây công nghệ VPN ra đời trên phương diện đó.

pdf15 trang | Chia sẻ: vietpd | Lượt xem: 1635 | Lượt tải: 0download
Bạn đang xem nội dung tài liệu Cấu hình VPN, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL: www.athenavn.com Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E CẤU HÌNH VPN I. Mô hình Sau đây là mô hình VPN client to site Như mô hình trên thì client sẽ kết nối với site của mình thông qua môi trường Internet, sau khi kết nối sẽ là một node trên site của mình hay là 1 node trong mạng LAN, khi đó có thể thực hiện việc trao đổi dữ liệu qua lại với các máy trong mạng LAN của mình. II. Mục đích ứng dụng Với sự phát triển về phương tiện truyền thông như này nay, việc trao đổi dữ liệu qua lại không còn gói gọn trong một môi trường nào đó mà nó mang nghĩa rộng hơn, linh họat hơn. Ví dụ như để kết nối các site của một công ty với nhau mà khoảng cách thì xa nhau, nếu thông qua môi trường Internet, để đảm bảo trao đổi dữ liệu qua lại đươc giữa các site này thì trước kia ta thường ứng dụng theo kiểu thuê kênh riêng ( Lease line ) Nhưng điều này trở nên rất tốn kém, vì thế những năm gần đây công nghệ VPN ra đời trên phương diện đó. Mục đích của VPN là cho phép chúng ta truy cập giữa các site, hay client đến site thông qua môi trường Internet, khi đó sẽ kết hợp với tường lửa thì sẽ đảm bảo độ tin cậy cũng như an toàn dữ liệu thông qua một đường pipe ( ống ) riêng ảo được tạo ra trên môi trường Internet của công nghệ VPN. Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL: www.athenavn.com Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E Việc ứng dụng VPN sẽ mang lại cho chúng ta khá nhiều lợi ích cũng như tiết kiệm chi phí rất nhiều so với việc thuê kênh riêng. III. Cách tiến hành: Đối với mô hình này ( Client to site ) thì yêu cầu như sau: Máy đóng vai trò là VPN server phải có 2 NIC, máy này sẽ trực tiếp đi ra ngoài Internet thông qua Modem ADSL, có thể đặc tả như sau: Như đặc tả trên thì máy đóng vai trò Server có 2 Nic lần lược là: External: 10.0.0.113 Internal: 172.16.1.1 Khi đó sẽ tạo một address pool ( dãy IP ) dành trước cho các client có nhu cầu quay VPN sao cho cùng NetID với mạng LAN bên trong site là được. Có 2 cách để thực hiện: Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL: www.athenavn.com Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E Một là: Biến Modem ADSL thành 1 Bridge, khi đó ta sẽ có được IP Public, dùng IP này là IP cho VPN Server, tuy nhiên cách này hơi bất tiện là khi đó ta phải thực hiện share Net thì các máy client mới có thể ra net được. ( áp dụng cho những modem không hỗ trợ VPN ) Hai là: Trên Modem ADSL ta sẽ kết hợp với Dynamic DNS trên VPN Server, khi đó nếu có client quay vào thì ta chỉ việc Nat Port cho forward qua VPN Server luôn, nói chung cách này hơi phức tạp một tý so với cách đầu tiên, và sẽ được ứng dụng trong mô hình site to site ( sẽ tiếp tục nghiên cứu ). Ở đây chúng ta sẽ thực hiện theo cách 1 đối với client to site. IV. Cấu hình modem thành Bridge ( Thực hiện trên Zoom X4) Trước tiên chúng ta đăng nhập vào Modem ADSL như sau: Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL: www.athenavn.com Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E Nhập đúng username và password và nhấn OK, giao diện Web của Modem sẽ rất thân thiện cho chúng ta cấu hình, và hãy chú ý phần quan trọng sau: Trong phần Encapsulation hãy chọn như sau: Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL: www.athenavn.com Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E Và Enable chức năng Bridge lên như hình trên. Tiếp theo chúng ta nên bỏ chế độ NAT của modem đi, bởi vì khi quay kết nối ISP theo giao thức PPPoE thì dĩ nhiên ta quay trên máy VPN server rồi, do đó không cần Nat nữa và thực hiện như sau: Sau đó chúng ta trở lại phần Advance của Modem để Enable chức năng Bridging lên như sau: Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL: www.athenavn.com Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E Chúng ta nên để ý đến phần Interface Name như trên, phải add thêm một Inteface dạng eoa-0 thì mới thành công vì khi đó chúng ta mới quay ra ngoài WAN được và Enable Bridging lên : Đến đây xem như chúng ta đã biến Modem ADSL trở thành một Bridge, bây giờ đến bước kế tiếp dưới đây. V. Thiết lập VPN Server: Trước khi client có thể gọi vào hoặc có thể truy cập được vào mạng của bạn, bạn cần phải cài đặt VPN server. Bước đầu tiên là enable Routing and Remote Access Service (RRAS). Bước này thì bạn không cần phải cài đặt vì nó đã được cài đặt sẳn khi bạn cài đặt hệ điều hành Windows. Tuy nhiên mặc dù đã được cài đặt theo windows nhưng nó chưa được enable, cho nên để có thể enable RRAS thì bạn có thể làm theo các bước sau đây: 1. Chọn start, chọn Programs, chọn Administrative Tools, chọn Routing and Remote Access (RRAS). 2. Trong Routing and Remote Access Console, right click tên server và chọn Enable Routing and Remote Access. Sau vài giây sẽ ở trạng thái Activate như sau: Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL: www.athenavn.com Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 3. Sau đó RRAS Wizard sẽ khơi động. Trong phần này bạn nên chọn mục Manually configured server và click Next theo hình dưới đây. Right click lên tên server và chọn properties Chúng ta check vào các ô check như trên để đảm bảo rằng cho phép client quay VPN đến. Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL: www.athenavn.com Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E Kế đến chúng ta chọn tab PPP và check vào các tùy chọn như sau: Và sau đây là phần rất quan trọng, chúng ta chọn tab IP như sau: Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL: www.athenavn.com Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E Check vào các tùy chọn như trên để đảm bảo rằng cho phép routing client khi kết nối và có thể nhìn thấy mạng Lan bên trong. Trong group Ip address, chúng ta có 2 tùy chọn, hoặc là cứ để cho VPN server tự cấp phát IP cho client khi quay vào ( dùng DHCP ), hoặc là chúng ta sẽ quy định sẵn 1 dãy các IP mà khi client quay vào thì sẽ nhận được Ip trong dãy đó ( dùng static IP ). Nhưng lưu ý, nếu dùng static, thì dãy Ip đó phải cùng NetID với NetID của Interface bên trong mạng Lan của chúng ta. Sau đó chúng ta phải chỉ ra Interface nào sẽ routing và cấp IP cho client ? Chúng ta chọn Interface là Ext ( là Interface trực tiếp quay kết nối với ISP ) Tiếp theo hãy Right click trên Ports chọn Properties để cấu hình port, địa chỉ ( tên miền ) cho VPN server như sau: Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL: www.athenavn.com Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E Chọn giao thức kiểu PPTP và nhấn nút Configure… Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL: www.athenavn.com Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E Chú ý là check vào 2 tùy chọn trên, trong phần Phone number chúng ta điền vào cái IP thực mà khi ta quay kết nối đến ISP cấp cho. Tuy nhiên việc này không hiệu quả lắm vì dễ xảy ra tình trạng Disconnect khi đó chúng ta phải quay số lại đến ISP để xin IP rồi lại phải điền lại IP này, dẫn đến rất bất tiện. Cách khắc phục nhược điểm trên là: Chúng ta nên đăng ký một tên miền miễn phí tại trang web: www.no- ip.com, www.dyndns.org (Vd: athenvpn.dyndns.org )khi đó chúng ta sẽ có một IP thật, tuy nhiên đó không phải là IP mà chúng ta đặt trên VPN server lấy từ ISP. Để đồng bộ cái tên miền này với IP của ISP mà Modem chúng ta giữ, chúng ta dùng một tool tên là: DynDNS Updater Tool này download free tại trang www.dyndns.org Khi cài tool này chúng ta sẽ chọn tên miền đã đăng ký và Update, lúc này cái IP mà Modem giữ sẽ được đẩy lên cái tên miền này. Sau đó chúng ta chọn nhánh Remote Access policies và Edit như sau: Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL: www.athenavn.com Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E Check vào tùy chọn Grant remote…. Để cho phép kết nối từ bên ngoài vào. Nhấn nút Edit Profile và check bỏ qua phần xác thực như sau: Đến đây xem như chúng ta đã cấu hình xong phần VPN Server, kế đến chúng ta sẽ tiếp tục cấu hình cho VPN client. V. Thiết lập VPN Client: Đối với phần này thì rất đơn giản, chúng ta chỉ việc chỉ cho client biết IP của VPN server hay tên miền (Vd: athenavpn.dyndns.org ) để quay mà thôi. Đầu tiên chúng ta vào phần Network Connections như sau: Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL: www.athenavn.com Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E Double click New Connection Wizard sẽ hiện thị hộp thọai Wizard, chúng ta click Next sẽ đến hộp thọai sau: Chúng ta chọn là Connect to the network at my workplace và click Next Chọn là kết nối theo kiểu VPN và click Next Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL: www.athenavn.com Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E Trong phần Host name hay IP address chúng ta gõ vào địa chỉ IP của VPN Server hay tên miền ( vd: athenavpn.dyndns.org ) và nhấn Next và Finish. Sau đó chúng ta thử quay đến VPN server. Nếu chúng ta thực hiện đúng, chỉ đợi vài giây sau, kết nối đến VPN server sẽ được thiết lập, còn ngược lại kết nối bị Fail thì chúng ta hãy kiểm tra lại phần cấu hình. Tóm lại bài này chỉ nói ngắn gọn trong một mô hình nhỏ client to site, tuy nhiên chúng ta sẽ tiếp tục nghiên cứu thêm phần VPN cho site to site kết hợp với DynDns, Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL: www.athenavn.com Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E Nat port…mà không cần phải biến Modem ADSL thành Bridge.