“Chuyên trang dành cho kỹ thuật viên tin học” CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT

Part 32 - Virtual Privacy Network - VPN

Trong các bài trước chúng ta đã tìm hiểu về cách điều khiển máy tính từ xa bằng Remote Desktop từ một máy nàođó trong môi trường WORKGROUP. Như vậy trên thực tế người quản trị mạng không phải truy cập trực tiếp Servermà vẫn có thể tùy chỉnh các vấn đề nảy sinh trong công tác quản trị của mình.

Nhưng hãy thử tưởng tượng xem vì một lý do nào đó người quản trị mang đang đi công tác xa và Server công ty cómột chút rắc rối nhỏ và cần phải khắc phục ngay lập tức, khi đó anh ta không thể bỏ mọi công việc đang làm dở dangmà quay về Server công ty để tùy chỉnh nó, mà khi đó anh ta ứng dụng công nghệ VPN Server. Với VPN Serverngười quản trị mạng có thể Remote Deskop máy Server của anh ta từ Internet, truy cập tài liệu giữa các máy trongmạng WORKGROUP của mình, và nhiều tính năng khác nữa mà vẫn đảm bào tính bảo mật cao.

Tuy nhiên việc truy cập tài nguyên từ xa này không phải bất cứ người dùng Internet nào cũng có thể truy cập được vìlý do bảo mật nên hệ thống VPN Server sẽ yêu cầu người dùng VPN phải cung cấp Username, Password của hệthống cho nên người ta mới gọi nó là Virtual Privacy Network hay nói nôm na là mạng riêng ảo.

Chúng ta có 2 dạng VPN:

- VPN Gateway to Gateway: với dạng này được ứng dụng khá rộng rãi trong thực tế, hãy thử tưởng tượng xem côngty chúng ta có 2 trụ sở một ở HCM một ở HN và chúng ta muốn một máy Client bất kỳ trong mạng HCM có thể truycập vào bất kỳ máy Client nào ở HN và ngược lại. Khi đó với mô hình VPN Gateway to Gateway sẽ giúp ta giảiquyết vấn đề này. Với mô hình này thì tại một hệ thống mạng chúng ta phải dựng một VPN Server riêng và tiến hànhkết nối các VPN Server này lại với nhau.

- VPN Client to Gateway: mô hình này cho phép một máy tính bất kỳ ở đâu có thể truy cập vào hệ thống mạng củachúng ta thông qua VPN Server đã được dựng lên trước đó

1/ VPN Gateway to Gateway

1 of 34

Giả sử tôi có 2 mạng riêng biệt là 172.16.1.0/24 và 10.0.1.0/24 và tôi muốn bất kỳ máy nào trong mạng thứ 1 đềucó thể truy cập đến bất kỳ máy nào trong mạng thứ 2 thông qua mạng Internet, như vậy vấn đề đặt ra là tại mỗimạng tôi phải dựng một VPN Server riêng biệt và thực hiện kết nối 2 VPN Server này lại với nhau.

Để cho đơn giản trong bài Lab này tôi sử dụng 3 mạng trong đó hai máy PC01 & PC03 là 2 máy cài VPN Server đượcnối với nhau thông qua Card Lan với mạng 192.168.1.0/24. Mạng này đóng vai trò như một mạng Internet dùng đểnối 2 mạng 172.16.1.0/24 và 10.0.1.0/24 này lại.

Trong đó máy PC02 & PC04 đóng vai trò là các máy Client trong mạng tương ứng

Cấu hình IP các máy như sau:

Máy Đặc tính PC01 PC02 PC03 PC04

Card LanIP Address 192.168.1.1 192.168.1.2 Subnet Mask 255.255.255.0 255.255.255.0

2 of 34

Defaultgateway

Preferred DNS

CardCross

IP Address 172.16.1.1 172.16.1.2 10.0.1.1 10.0.1.2

Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0

Defaultgateway 172.16.1.1 10.0.1.1

Preferred DNS

Card Lan: nối gián tiếp 2 máy PC01 & PC03 với nhau thông qua SwitchCard Cross: nối trực tiếp các cặp máy PC01 với PC02 và PC03 với PC04

Tuy nhiên vì đây là mạng riêng nên vấn đề bảo mật phải được đặt ra tránh tình trạng một người dùng Internet nào đócó thể truy cập vào hệ thống mạng chúng ta mà không cung cấp đầy đủ thông tin đăng nhập. Chính vì thế tại mỗiVPN Server ta phải tạo một User để có một VPN Server nào đó muốn đăng nhập vào hệ thống phải khai báo đúngAccount này thì mới có thể đăng nhập hệ thống được.

Trong bài tôi tạo User gccom1 có password là 123 tại PC01

Tiếp tục Double-click lên user gccom1 và chọn Tab Dial-in

Chọn Allow access có như vậy khi ta đứng từ mạng thứ 2 nối vào mạng thứ 1 thông qua VPN Server thì ta phảinhập đúng tài khoản này VPN Server của mạng thứ 1, lúc đó VPN Server của mạng thứ 1 mới cho phép truy cập vàohệ thống của nó

3 of 34

Tương tự cho mạng thứ 2 tại máy PC03 bạn tạo một user gccom2 có password là 123 và bật Allow Access trongmục Remote Access Permission lên

Và tôi tạm gọi 2 user này là user của VPN Server

Tại các máy VPN Server bạn vào Routing and Remote Access chọn Configure and Enable Routing and RemoteAccess

4 of 34

Chọn Custom configuration

Do chúng ta đã học tất cả các bài về NAT, Routing... nên tại đây tốt nhất là bạn chọn hết nhưng chừa mục thứ 2Dial-up access ra vì thực chất công nghệ Dial-up (quay số điện thoại) đã quá lạc hậu mà trong bài chúng ta sẽkhông đề cập tới.

Tại máy PC01 bạn nhấp phải vào Network Interfaces chọn New Demand-dial Interface để khai báo thông tin kếtnối từ VPN Server của mình đến VPN Server kia

5 of 34

Tại mục Interface Name bạn phải nhập chính xác User của VPN Server mạng kia, vì khi ta từ mạng này truy cậpvào mạng kia thì bị VPN Server mạng kia chặn lại yêu cầu khai báo chính xác User của hệ thống nó.

Nói tóm lại tại mạng thứ 1 PC01 phải nhập user gccom2 do PC03 của mạng thứ 2 tạo và ngược lại

Connection type bạn chọn Connect using virtual private networking (VPN)

6 of 34

VPN Type nếu ta chọn mặc định là Automatic selection cũng đồng nghĩa với việc ta chọn Point to PointTunneling Protocol (PPTP) với tùy chọn này thì việc truy cập qua mạng Internet thông qua VPN vẫn được bảo mậtnhưng với mức độ thấp, tuy nhiên tốc độ sẽ nhanh hơn là ta chọn tùy chọn thứ 3 Layer 2 Turnneling Protocol(L2PT). Trong mục này ta giữ nguyên lựa chọn thứ 1 và tôi sẽ quay lại với tùy chọn L2PT trong phần sau.

Tại bảng Destination Address bạn nhập IP Public của mạng thứ kia (xem lại bài NAT Server) tuy nhiên do trongbài này ta dùng mạng 192.168.1.0/24 làm giả lập mạng Internet nên IP Public của mạng thứ 2 chính là IP CardLan của PC03 và IP Public của mạng thứ 1 là IP Card Lan của PC01

Tại PC01 ta nhập IP Public của mạng 10.0.1.0/24 là 192.168.1.2

7 of 34

Protocol and Sercurity giữ mặc định và chọn Next

Static Routers for Remote Network ta nhấp Add

8 of 34

Nhập vào ô Destination NetID của một mạng kia 10.0.1.0 và chọn OK

Chú ý rằng số 0 cuối cùng ngụ ý nói rằng ta sẽ truy cập tất cả các máy của cả hệ thống mạng 10.0.1.0/24 này

Tương tự tại PC03 ta nhập NetID mạng kia 172.16.1.0/24

Tại ô Dial Out Credentials thì ta không nhập tài khoản của VPN Server kia nữa mà nhập đúng tài khoản VPNServer của chính mình, tại máy PC01 tôi nhập User là gccom1 và password là 123

9 of 34

Lúc này trong cửa sổ Network Interfaces của VPN Server thứ 1 (PC01) xuất hiện thêm icon gccom2

Vì khi kết nối với nhau các VPN Server sẽ tự tạo thêm 2 địa chỉ IP Address mới nữa cho riêng mình (cộng với 2 IPcủa Card Lan & Card Cross thì mỗi máy VPN Server sẽ có đến 4 địa chỉ IP Address) một IP đóng vai trò như Routercủa chính mạng mình và một IP đóng vai trò như Router của mạng kia, để cấu hình ta làm như sau:

Tiếp tục nhấp phải vào PC01 chọn Properties

10 of 34

Chọn Tab IP và chọn Static address pool

Nếu bạn chọn Dynamic Host Configuration Protocol (DHCP) thì bạn phải cấu hình một DHCP Server để cấp phátIP cho nó tuy nhiên trong bài tôi không dựng DHCP mà gán IP chủ động cho nó

Nhập chuỗi IP mà bạn muốn gán cho VPN Server

11 of 34

Tương tự cho máy PC03

OK cuối cùng bạn Restart lại dịch vụ trên từng VPN Server tương ứng.

Đến đây cơ bản ta đã cấu hình xong VPN Gateway to Gateway, tuy nhiên ta chưa thực hiên kết nối 2 mạng này lạivới nhau.

Vì VPN Server là một mạng ảo do ta tự xây dựng có tính riêng cao mà trên Internet người dùng lang thang khôngthể truy cập được. Vì vậy để các máy trong các mạng thấy được nhau ta phải tạo các VPN Network Connection

Bạn vào Network Connections của từng VPN Server chọn New Connection Winzard

Chọn tiếp Connect to the network at my workplace

12 of 34

Chọn tiếp Virtual Private Network connection

Tại máy PC01 nhập user của VPN Server mạng kia vào ô Company Name

13 of 34

Nhập IP Public của mạng kia trong bài chính là 192.168.1.2

Tương tự tại PC03 nhập IP Public của mạng kia trong bài chính là 192.168.1.1

Trong cửa sổ Network Connections của PC01 xuất hiện thêm icon VPN với giao thức PPTP

14 of 34

Trong cửa sổ Network Connections của PC03 xuất hiện thêm icon VPN với giao thức PPTP

Tại PC01 nhấp vào icon VPN nhập user & password của VPN Server mạng kia

Nhấp Connect, nếu kết nối thành công tại system tray sẽ xuất hiện icon VPN

15 of 34

Và tại máy PC03 cũng thông báo là kết nối thành công

Bây giờ bạn vào DOS ủa máy PC01 nhập ipconfig /all sẽ thấy xuất hiện thêm 2 IP mới đó là:

PPP adapter RAS Server và PPP adapter gccom2

Như vậy chúng ta đã hoàn tất kết nối VPN Gateway to Gateway, bạn vào PC02 thử truy cập tài nguyên máy PC04

16 of 34

sẽ thấy kết quả thành công

Tuy nhiên trên thực tế để nâng cao chế độ bảo mật người ta không sử dụng giao thức PPTP mà sử dụng L2TP tuynhiên tốc độ sẽ có phần chậm hơn nhưng dù sao đây vẫn là lựa chọn được ưu tiên hơn. Tại các VPN Server bạn nhấpphải vào PCX (local) chọn Properties

Chọn Tab Sercurity chọn mục Allow custom IPSec policy for L2PT connection và nhập Key ví dụ 123 chẳng hạn

17 of 34

Trở lại cửa sổ Network Connections nhấp phải vào icon VPN chọn Properties

Chọn Tab Sercurity chọn tiếp nút IPSec Settings

18 of 34

Chọn tiếp mục Use pre-sharedkey for authentication và nhập chính xác Key mà bạn đặt lúc nãy

Tiếp tục chọn Tab Networking trong mục Type of VPN bạn chọn L2TP IPSec VPN để chuyển từ giao thức PPTPsang L2TP

19 of 34

Bây giờ chúng ta kết nối các VPN Server với nhau sẽ thấy tại màn hình Status của VPN Server thông báo là đangchạy với giao thức L2TP

Bây giờ giả sử tôi ngồi một máy bất kỳ từ mạng thứ 1 và tôi muốn thông qua mô hình VPN Gateway to Gateway đểRemote Desktop một máy bất kỳ nào đó của mạng thứ 2, như vậy tại VPN Server của mạng thứ 1 tôi phải Enabledịch vụ NAT Server lên (xem lại bài NAT Server)

Trong ví dụ này tôi muốn từ máy PC04 tôi nhập IP Public của mạng thứ 1 nhờ NAT & VPN tôi sẽ điều khiển được

20 of 34

máy PC02 từ xa. Tại NAT/Basic Firewall nhấp phải chọn New Interface

Ta chọn Card Lan

Vì Card Lan chính là cổng ra Internet nên IP của nó phải là IP Public nên tôi chọn lựa chọn thứ 2 trong Interfacetype và bật Enable NAT on this interface & Enable a basic firewall on this interface

21 of 34

Chọn tiếp Tab Remote Desktop

Nhập IP của máy PC02 vào

22 of 34

Tiếp tục chọn VPN Gateway(L2TP/IPSec) (vì lúc nãy ta đã chạy VPN ở chế độ L2TP) và nhập IP Card Cross củamáy PC01

Chọn OK

23 of 34

Tiếp tục tại NAT/Basic Firewall nhấp phải chọn New Interface chọn tiếp Card Cross

Do Card Cross là giao tiếp với các máy trong mạng LAN nên tại đây ta chọn là Private interface connected toprivate network

24 of 34

Màn hình sau khi hoàn tất

Tại máy PC04 bạn bật chương trình Remote Desktop lên và nhập IP Public của mạng thứ 1 vào

25 of 34

Kết quả cho thấy màn hình ta đang làm việc là màn hình máy PC02

26 of 34

2/ Client to Gateway

Trong mô hình này chúng ta cấu hình cho một máy Client ở bất kỳ đâu thông qua mạng Internet kết nối vào mạngchúng ta thông qua VPN.

Tại các máy VPN Server bạn vào Routing and Remote Access chọn Configure and Enable Routing and RemoteAccess

Chọn Remote access (dial-up or VPN)

27 of 34

Chọn VPN

Chọn Card LAN vì đây chính là ngõ liên lạc với bên ngoài của VPN Server

28 of 34

Chọn From a specified range of addresses

Nhấp New để chọn dãy IP mà bạn muốn gán cho VPN Server sử dụng

29 of 34

Trong này tôi nhập dãy IP từ 172.16.1.100 -> 172.16.1.150

Chọn No, use Routing and Remote Access to authenticate requests

30 of 34

Như vậy ta đã hoàn thành xong công đoạn cấu hình VPN cho Server

Tiếp tục cấu hình VPN cho máy Client

Bạn vào Network Connections của máy Client chọn New Connection Winzard

Chọn tiếp Connect to the network at my workplace

31 of 34

Chọn tiếp Virtual Private Network connection

Đặt tên cho nó một tên bất kỳ ví dụ gccom1

32 of 34

Nhập IP Public của Mạng ta cần kết nối VPN trong bài chính là 192.168.1.1

Sau đó nhập tài khoản mà bạn đã tạo trước đó tại VPN Server và nhấp Connect

33 of 34

Màn hình thông báo kết nối thành công

OK mình vừa giới thiệu xong phần Virtual Privacy Network (VPN) trong 70-291 của MCSA.

Công ty TNHH đầu tư phát triển tin học GC Com

Chuyên trang kỹ thuật máy vi tính cho kỹ thuật viên tin họcĐiện thoại: (073) - 3.511.373 - 6.274.294

Website: http://www.gccom.net

34 of 34