Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
Chúng ta đã biết cách cấu hình VPN cho các mạng bằng Routing and Remote Accesstrong 70-291. Bây giờ chúng
ta sẽ tìm hiểu cách cấu hình VPN trong môi trường có ISA Server.
Cũng giống như VPN trong Routing and Remote Access chúng ta có 2 dạng đó làGateway to Gateway và Clients
to Gateway, trước tiên ta tìm hiểu về mô hình Clients to Gateway
VPN Clients to Gateway
Như bạn đã biết các máy Client từ bên ngoài muốn truy cập vào mạng chúng ta phải có được IP Public của mạng
chúng ta trong môi trường mạng chúng ta có ISA Server, IP Public này còn gọi là IP mặt ngoài và thường được xuất
ra bởi External DNS mà ta đã biết đến trong bài Server Publising.
Trong môi trường mạng chúng ta đã có ISA Server các Clients muốn truy cập vào bên trong Internal Network phải
nhờ một NAT Server dẫn đường đến ISA Server, sau khi được xác nhận tính hợp lệ từ ISA Server thì các yêu cầu
này mới được tiếp tục vào Internal Network
Tuy nhiên để cho đơn giản trong bài này tôi sẽ cấu hình NAT lên ngay Router ADSL
Cấu hình IP các máy như sau:
Máy Đặc tính PC01 PC02 PC03Name isa server client
Card Lan IP Address 192.168.1.5 192.168.1.3
Subnet Mask 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1
Preferred DNS 203.162.4.191
Card Cross IP Address 172.16.2.1 172.16.2.2
Subnet Mask 255.255.255.0 255.255.255.0
Default gateway 172.16.2.1
Preferred DNS 172.16.2.2 127.0.0.1
Card Lan: nối gián tiếp 2 máy PC01 & PC03 với nhau thông qua SwitchCard Cross: nối trực tiếp các cặp máy PC01 với PC02
- Router ADSL có IP là 192.168.1.1
Trước tiên để cho các Client truy cập được vào mạng thông qua VPN chúng ta phải tạo một User và gán
quyền Allow Remote Access cho User này (Xem lại bài VPN)
Tại máy DC Server (PC02) bật Active Directory Users and Computers lên tạo mộtUser/Pass là Gateway1/123
Double click vào User Gateway1 chọn Tab Dial-in
Check tùy chọn Allow Access trong Remote Access Permission
Tại máy ISA Server bạn chọn Virtual Private Networks (VPN) chọn tiếp Tab VPN Clients
Click vào Configure Address Assignment Method
Tại Tab Address Assignment bạn nhập một dãy IP để gán cho các máy VPN Client trongStatic address pool ở ví
dụ này là dãy số 10.0.0.1->10.0.0.200
Nếu hệ thống mạng của bạn đã có DHCP rồi thì bạn chọn tùy chọn thứ 2 là Dynamic Host Configuration Protocol
(DHCP) bên dưới
Mặc định khi cài đặt hoàn tất ISA Server sẽ không bật VPN Clients lên nên bạn tiếp tục chọn Enable VNP Client
Access trong bước cài đặt thứ 1 để bật tính năng này.
Check vào tùy chọn Enable VPN client access
Lưu ý là giá trị trong ô Maximum number of VPN clients allowed phải nhỏ hơn dãy số IP mà ta gán cho các VPN
Clients
Tiếp tục bạn chọn mục Firewall Policy để tạo một Rule mới cho phép các VPN Clientsđược phép truy cập vào bên
trong Internal Network
Tôi đặt tên cho Rule này là VPN Client to Gateway1
Rule Action: Allow
Protocol: All outbound traffic
Trong Access Rule Sources bạn chọn một giao thức duy nhất đó là VPN Clients
Vì các máy Client từ bên ngoài truy cập vào bên trong Internal Network nên trong Access Rule Destinations ta
chọn là Internal
Màn hình sau khi hoàn tất
Mặc định trong ISA Server đã tạo sẵn một Network Rule trong Networks của phầnConfiguration cho phép các
máy VPN Clients từ bên ngoài truy cập vào Internal, tuy nhiên đây chỉ là con đường đi của của các VPN Clients mà
thôi và đi được hay không là doAccess Rule mà ta vừa tạo lúc nãy quyết định.
Như vậy để cho các VPN Clients truy cập được Internal Network trong ISA Server phải tồn tại song song cả
2 Network Rule và Access Rule.
Như vậy chúng ta đã hoàn tất cấu hình VPN Clients to Gateway trên máy ISA Server
Bây giờ tôi sẽ cấu hình NAT tại Router ADSL (Xem lại bài ADSL – Wifi)
Trong ví dụ này tôi cấu hình Router NAT các dịch vụ Web Server, Mail Server…. trong đó có PPTP là giao thức
để NAT VPN.
Như vậy đến đây tại Router sẽ hiểu rằng khi có bất cứ yêu cầu nào bên ngoài truy cập vào mạng chúng ta thông
qua các Port trong danh sách Applied Rules nó sẽ chỉ đến máy có IP tương ứng trong mục LAN IP. Trong ví dụ này
máy được NAT chính là máy ISA Server
Trước tiên để biết được Public IP Address của mạng chúng ta bạn vào Tab Status chọnMenu Device Info
Trong phần WAN bạn chú ý mục IP Address đây chính là Public IP Address của bạn mà dịch vụ ISP cấp
cho Router chúng ta. Như vậy trong ví dụ này IP mặt ngoài của mạng chúng ta là 123.23.203.190
Như vậy chúng ta đã cấu hình thành công NAT cứng trên Router ADSL.
Tiếp theo ta cấu hình VPN tại máy Clients
Bạn vào Network Connections của máy Client chọn Create a new Connection
Chọn tiếp Connect to the network at my workplace
Chọn tiếp Virtual Private Network connection
Nhập IP mặt ngoài của mạng cần kết nối VPN trong bài chính là 123.23.203.190
Trong cửa sổ Network Connections của PC03 xuất hiện thêm icon VPN to Gateway1 với giao thức PPTP
Sau đó nhập tài khoản mà bạn đã tạo trước đó tại DC Server và nhấp Connect
Màn hình thông báo kết nối thành công
Tại máy Client ping thử IP của máy DC Server (PC02) sẽ thấy kết quả rất tốt
Truy cập vào các Shared Folder cũng rất tốt
OK mình vừa trình bày xong phần VPN Client to Gateway – ISA Server trong 70-351 của MCSA.