Chúng ta đã biết cách cấu hình VPN cho các mạng bằng Routing and Remote Accesstrong 70-291. Bây giờ chúng

ta sẽ tìm hiểu cách cấu hình VPN trong môi trường có ISA Server.

Cũng giống như VPN trong Routing and Remote Access chúng ta có 2 dạng đó làGateway to Gateway và Clients

to Gateway, trước tiên ta tìm hiểu về mô hình Clients to Gateway

VPN Clients to Gateway

Như bạn đã biết các máy Client từ bên ngoài muốn truy cập vào mạng chúng ta phải có được IP Public của mạng

chúng ta trong môi trường mạng chúng ta có ISA Server, IP Public này còn gọi là IP mặt ngoài và thường được xuất

ra bởi External DNS mà ta đã biết đến trong bài Server Publising.

Trong môi trường mạng chúng ta đã có ISA Server các Clients muốn truy cập vào bên trong Internal Network phải

nhờ một NAT Server dẫn đường đến ISA Server, sau khi được xác nhận tính hợp lệ từ ISA Server thì các yêu cầu

này mới được tiếp tục vào Internal Network

Tuy nhiên để cho đơn giản trong bài này tôi sẽ cấu hình NAT lên ngay Router ADSL

Cấu hình IP các máy như sau:

Máy Đặc tính PC01 PC02 PC03Name isa server client

Card Lan IP Address 192.168.1.5 192.168.1.3

Subnet Mask 255.255.255.0 255.255.255.0

Default gateway 192.168.1.1 192.168.1.1

Preferred DNS 203.162.4.191

Card Cross IP Address 172.16.2.1 172.16.2.2

Subnet Mask 255.255.255.0 255.255.255.0

Default gateway 172.16.2.1

Preferred DNS 172.16.2.2 127.0.0.1

Card Lan: nối gián tiếp 2 máy PC01 & PC03 với nhau thông qua SwitchCard Cross: nối trực tiếp các cặp máy PC01 với PC02

- Router ADSL có IP là 192.168.1.1

Trước tiên để cho các Client truy cập được vào mạng thông qua VPN chúng ta phải tạo một User và gán

quyền Allow Remote Access cho User này (Xem lại bài VPN)

Tại máy DC Server (PC02) bật Active Directory Users and Computers lên tạo mộtUser/Pass là Gateway1/123

Double click vào User Gateway1 chọn Tab Dial-in

Check tùy chọn Allow Access trong Remote Access Permission

Tại máy ISA Server bạn chọn Virtual Private Networks (VPN) chọn tiếp Tab VPN Clients

Click vào Configure Address Assignment Method

Tại Tab Address Assignment bạn nhập một dãy IP để gán cho các máy VPN Client trongStatic address pool ở ví

dụ này là dãy số 10.0.0.1->10.0.0.200

Nếu hệ thống mạng của bạn đã có DHCP rồi thì bạn chọn tùy chọn thứ 2 là Dynamic Host Configuration Protocol

(DHCP) bên dưới

Mặc định khi cài đặt hoàn tất ISA Server sẽ không bật VPN Clients lên nên bạn tiếp tục chọn Enable VNP Client

Access trong bước cài đặt thứ 1 để bật tính năng này.

Check vào tùy chọn Enable VPN client access

Lưu ý là giá trị trong ô Maximum number of VPN clients allowed phải nhỏ hơn dãy số IP mà ta gán cho các VPN

Clients

Tiếp tục bạn chọn mục Firewall Policy để tạo một Rule mới cho phép các VPN Clientsđược phép truy cập vào bên

trong Internal Network

Tôi đặt tên cho Rule này là VPN Client to Gateway1

Rule Action: Allow

Protocol: All outbound traffic

Trong Access Rule Sources bạn chọn một giao thức duy nhất đó là VPN Clients

Vì các máy Client từ bên ngoài truy cập vào bên trong Internal Network nên trong Access Rule Destinations ta

chọn là Internal

Màn hình sau khi hoàn tất

Mặc định trong ISA Server đã tạo sẵn một Network Rule trong Networks của phầnConfiguration cho phép các

máy VPN Clients từ bên ngoài truy cập vào Internal, tuy nhiên đây chỉ là con đường đi của của các VPN Clients mà

thôi và đi được hay không là doAccess Rule mà ta vừa tạo lúc nãy quyết định.

Như vậy để cho các VPN Clients truy cập được Internal Network trong ISA Server phải tồn tại song song cả

2 Network Rule và Access Rule.

Như vậy chúng ta đã hoàn tất cấu hình VPN Clients to Gateway trên máy ISA Server

Bây giờ tôi sẽ cấu hình NAT tại Router ADSL (Xem lại bài ADSL – Wifi)

Trong ví dụ này tôi cấu hình Router NAT các dịch vụ Web Server, Mail Server…. trong đó có PPTP là giao thức

để NAT VPN.

Như vậy đến đây tại Router sẽ hiểu rằng khi có bất cứ yêu cầu nào bên ngoài truy cập vào mạng chúng ta thông

qua các Port trong danh sách Applied Rules nó sẽ chỉ đến máy có IP tương ứng trong mục LAN IP. Trong ví dụ này

máy được NAT chính là máy ISA Server

Trước tiên để biết được Public IP Address của mạng chúng ta bạn vào Tab Status chọnMenu Device Info

Trong phần WAN bạn chú ý mục IP Address đây chính là Public IP Address của bạn mà dịch vụ ISP cấp

cho Router chúng ta. Như vậy trong ví dụ này IP mặt ngoài của mạng chúng ta là 123.23.203.190

Như vậy chúng ta đã cấu hình thành công NAT cứng trên Router ADSL.

Tiếp theo ta cấu hình VPN tại máy Clients

Bạn vào Network Connections của máy Client chọn Create a new Connection

Chọn tiếp Connect to the network at my workplace

Chọn tiếp Virtual Private Network connection

Nhập IP mặt ngoài của mạng cần kết nối VPN trong bài chính là 123.23.203.190

Trong cửa sổ Network Connections của PC03 xuất hiện thêm icon VPN to Gateway1 với giao thức PPTP

Sau đó nhập tài khoản mà bạn đã tạo trước đó tại DC Server và nhấp Connect

Màn hình thông báo kết nối thành công

Tại máy Client ping thử IP của máy DC Server (PC02) sẽ thấy kết quả rất tốt

Truy cập vào các Shared Folder cũng rất tốt

OK mình vừa trình bày xong phần VPN Client to Gateway – ISA Server trong 70-351 của MCSA.