ATHENA INTERNATIONAL NETWORK ADMINISTRATION & SECURITY TRAINING Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM Tel: (08) 3824 4041 - Hotline: 090 7879 477 E-mail: training@athenavn.com - Website: www.athena.edu.vn Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 151 Phần 5 : VPN VPN (Virtual Private Network) là giải pháp hữu hiệu để kết nối các hệ thống mạng của doanh nghiệp có nhiều chi nhánh và vị trí địa lý xa nhau, hoặc doanh nghiệp của bạn có nhiều nhân viên phải thường xuyên đi công tác xa và họ cos nhu cầu truy cập vào tài nguyên mạng nội bộ. ISA Server có khả năng cấu hình thành một VPN Server cho phép Clients từ xa truy cập (Client to Site) hoặc cấu hình làm một Gateway để kết nối đến một hệ thống chi nhánh (Site to Site). VPN Server của chi nhánh được khuyến cáo nên là một ISA Server , nhưng thực tế thì ISA Server có thể kết nối VPN rất tốt với các thiết bị VPN của các hãng khác. Clients hoặc VPN Server khi quay VPN vào ISA Server sẽ được cấp một địa chỉ IP Private sử dụng trong VPN Tunnel. ISA và Clients sẽ sử dụng địa chỉ IP này cho phần Routing trên VPN. Private IP đựơc cấp phát có thể lấy từ DHCP Server hoặc lấy từ dịch vụ Routing and Remote Access trên Windows 2003. ISA Server thực ra sử dụng dịch vụ Routing and Remote Access của Windows 2003 làm VPN và Routing, ngòai ra ISA Server có thêm những phần Filtering và Application Filter . Trên ISA Server, IP Address Pool được quy định là một khỏang địa chỉ IP. Địa chỉ IP đầu tiên được ISA Server sử dụng cho chính mình khi bật tính năng VPN trên ISA Server lên. Những địa chỉ IP tiếp theo sẽ cấp phát cho Clients hoặc VPN Server khi quay VPN vào ISA Server. ATHENA INTERNATIONAL NETWORK ADMINISTRATION & SECURITY TRAINING Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM Tel: (08) 3824 4041 - Hotline: 090 7879 477 E-mail: training@athenavn.com - Website: www.athena.edu.vn Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 152 Khỏang địa chỉ IP cấp phát này không được trùng Network ID với bất kỳ lớp mạng nào của ISA Server hoặc trong tòan hệ thống Routing. Nếu trùng Network giữa các lớp mạng, ISA Server và Router không thể Routing được vì bị Overlap Destination. Điều này cũng sẽ áp dụng cho 2 ISA Server quay VPN với nhau theo mô hình Site to Site. Mô hình minh họa VPN Clients to site và Site to Site : 1. Cấu hình VPN Client to Site : Để cấu hình cấp phát IP cho VPN Clients, vào ISA Server Management Console. Chọn mục Virtual Private Network Chọn mục Verify VPN Properties and Remote Access Còniguration, chọn Tab Address Assignment ATHENA INTERNATIONAL NETWORK ADMINISTRATION & SECURITY TRAINING Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM Tel: (08) 3824 4041 - Hotline: 090 7879 477 E-mail: training@athenavn.com - Website: www.athena.edu.vn Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 153 Ở đây ta không sử dụng DHCP để cấp Ip cho clients. Chọn Use Static Address Pool, nhấn Add để thêm khỏang IP vào Pool. Khỏang IP bắt đầu từ 172.30.1.1 đến 172.30.1.50 hỗ trợ cho 49 Clients kết nối vào ISA Server bằng VPN. Nhấn Ok và kiểm tra khỏang IP . Tiếp theo ta chọn Tab Authentication. Check mục Microsoft Encrypted authentication ( MS-CHAP ) ATHENA INTERNATIONAL NETWORK ADMINISTRATION & SECURITY TRAINING Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM Tel: (08) 3824 4041 - Hotline: 090 7879 477 E-mail: training@athenavn.com - Website: www.athena.edu.vn Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 154 Mở Computer Managemet, chọn mục Local Users and Groups. Mục User, chọn New User . Tạo User có tên là VPN1/123abc!!! Chuột phải vào user VPN1 chọn Properties. Chọn Tab Dial-in. Mục Remote Access Permission chọn Allow Access ATHENA INTERNATIONAL NETWORK ADMINISTRATION & SECURITY TRAINING Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM Tel: (08) 3824 4041 - Hotline: 090 7879 477 E-mail: training@athenavn.com - Website: www.athena.edu.vn Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 155 Phải chụột vào Groups chọn New Group Group Name gõ VPN Clients. Nhấn Add để thêm Member vào Group này ATHENA INTERNATIONAL NETWORK ADMINISTRATION & SECURITY TRAINING Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM Tel: (08) 3824 4041 - Hotline: 090 7879 477 E-mail: training@athenavn.com - Website: www.athena.edu.vn Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 156 Tại ISA Server Management Console, Chọn mục Virtual Private Network. Chọn mục Specify Window Users or Select a Radius Server ATHENA INTERNATIONAL NETWORK ADMINISTRATION & SECURITY TRAINING Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM Tel: (08) 3824 4041 - Hotline: 090 7879 477 E-mail: training@athenavn.com - Website: www.athena.edu.vn Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 157 Giao diện VPN Clients Properties, tại Tab Groups nhấn Add . Nhập vào nhóm đã tạo. Chuyển qua tab General. Check vào Enable VPN Client Access. Số lượng Clients là 40. Nhấn Apply và Ok. ATHENA INTERNATIONAL NETWORK ADMINISTRATION & SECURITY TRAINING Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM Tel: (08) 3824 4041 - Hotline: 090 7879 477 E-mail: training@athenavn.com - Website: www.athena.edu.vn Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 158 Vào mục Network Rules trên ISA Management Console Chọn Tab Network Rules và chú ý Rule VPN Clients to Internal Network có mối quan hệ là kiểu Route . VPN Clients và External sẽ sử dụng NAT để giao tiếp với nhau . ATHENA INTERNATIONAL NETWORK ADMINISTRATION & SECURITY TRAINING Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM Tel: (08) 3824 4041 - Hotline: 090 7879 477 E-mail: training@athenavn.com - Website: www.athena.edu.vn Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 159 Chú ý : ta cần phải tạo thêm 1 Access Rule tại mục Firewall Policy để cho phép VPN Client được phép truy cập vào mạng Internal . Tiếp theo ta cấu hình cho máy internet kết nối VPN, vào Network Connections và chọn Create New Connection ATHENA INTERNATIONAL NETWORK ADMINISTRATION & SECURITY TRAINING Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM Tel: (08) 3824 4041 - Hotline: 090 7879 477 E-mail: training@athenavn.com - Website: www.athena.edu.vn Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 160 Giao diện Welcome nhấn Next . Chọn mục Connect to a Network at my workplace Mục Network Connection, chọn Virtual Private Network Connection [...]... (08) 38 24 4 041 - Hotline: 090 7879 47 7 E-mail: training@athenavn.com - Website: www.athena.edu.vn Kiểm tra lại Network rule Tab Network Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 178 ATHENA INTERNATIONAL NETWORK ADMINISTRATION & SECURITY TRAINING - Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM Tel: (08) 38 24 4 041 - Hotline: 090 7879 47 7 E-mail:... Dakao Ward, District 1, HCM Tel: (08) 38 24 4 041 - Hotline: 090 7879 47 7 E-mail: training@athenavn.com - Website: www.athena.edu.vn Mục Local Network VPN Setting, nhập dãy IP cấp cho traffic phía bên ISA 1 kết nối vào : 192.168.200.1 - 192.168.200.2 54 Mục Remote authentication, nhập user VPN2 đã tạo bên máy ISA1 Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 1 74 ATHENA INTERNATIONAL NETWORK ADMINISTRATION... - Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM Tel: (08) 38 24 4 041 - Hotline: 090 7879 47 7 E-mail: training@athenavn.com - Website: www.athena.edu.vn 2 Cấu hình VPN Site to Site : Ta có mô hình gợi ý sau : Net 172.16.1.0/ 24 Client 1 Net 192.168.0.0/ 24 ISA 1 Net 10.10.10.0/ 24 ISA2 Client 2 Mô hình trên đã được thiết lập sẵn và được mô tả lại như sau : • Mô hình trên sử dụng 4 máy... - Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM Tel: (08) 38 24 4 041 - Hotline: 090 7879 47 7 E-mail: training@athenavn.com - Website: www.athena.edu.vn Mục Firewall Policy, kiểm tra lại xem có Access rules cho phép traffic VPN2 giao tiếp với mạng Internal bên ISA1 không ? Tại máy ISA 2 : tương tự tạo user : vpn1 ( allow dial-in ) Thực hiện : Võ Anh Duy Lưu hành nội bộ... Cahing trên ISA, một tính năng nổi trội so với các Firewall phần cứng khác Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 183 ATHENA INTERNATIONAL NETWORK ADMINISTRATION & SECURITY TRAINING - Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM Tel: (08) 38 24 4 041 - Hotline: 090 7879 47 7 E-mail: training@athenavn.com - Website: www.athena.edu.vn Phần 6 :... Tel: (08) 38 24 4 041 - Hotline: 090 7879 47 7 E-mail: training@athenavn.com - Website: www.athena.edu.vn Tiếp theo, nếu ta chưa thiết lập sẵn dãy IP để cấp cho Client khi quay VPN vào, thì sẽ xuất hiện giao diện Local Network VPN Setting, ta gán dãy : 192.168.100.1 - 192.168.100.2 54 Nhấn Ok, rồi Next Giao diện Remote Site Gateway, ta nhập địa chỉ máy của máy ISA2 Thực hiện : Võ Anh Duy Lưu hành nội bộ... - Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM Tel: (08) 38 24 4 041 - Hotline: 090 7879 47 7 E-mail: training@athenavn.com - Website: www.athena.edu.vn Giao diện Remote Authentication, điền user VPN2 và pass, user này được tạo bên máy ISA2 Giao diện Network Address, ta nhập dãy IP internal của bên phía máy ISA2 quản lý (VMNet3) Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang... training@athenavn.com - Website: www.athena.edu.vn Kiểm tra lại Access rule Tại máy ISA 1 : vào RRAS kiểm tra, thấy có kết nối Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 179 ATHENA INTERNATIONAL NETWORK ADMINISTRATION & SECURITY TRAINING - Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM Tel: (08) 38 24 4 041 - Hotline: 090 7879 47 7 E-mail: training@athenavn.com -. .. máy Client1: thực hiện lệnh ping đến máy Client 2 Tại máy ISA 2 : vào RRAS kiểm tra, thấy có kết nối Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 180 ATHENA INTERNATIONAL NETWORK ADMINISTRATION & SECURITY TRAINING - Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM Tel: (08) 38 24 4 041 - Hotline: 090 7879 47 7 E-mail: training@athenavn.com - Website:... Street, Dakao Ward, District 1, HCM Tel: (08) 38 24 4 041 - Hotline: 090 7879 47 7 E-mail: training@athenavn.com - Website: www.athena.edu.vn Bạn có thể tham khảo video demo theo link sau : http://www.mediafire.com/?zd1c7a4bjl59m Chúng ta sẽ xây dựng kết nối VPN Client to Site sử dụng L2TP, RADIUS ở tập 2 Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 1 64 ATHENA INTERNATIONAL NETWORK ADMINISTRATION & SECURITY . 1, HCM Tel: (08) 38 24 4 041 - Hotline: 090 7879 47 7 E-mail: training@athenavn.com - Website: www.athena.edu.vn Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 151 Phần 5 : VPN VPN (Virtual. 1, HCM Tel: (08) 38 24 4 041 - Hotline: 090 7879 47 7 E-mail: training@athenavn.com - Website: www.athena.edu.vn Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 1 54 Mở Computer Managemet,. HCM Tel: (08) 38 24 4 041 - Hotline: 090 7879 47 7 E-mail: training@athenavn.com - Website: www.athena.edu.vn Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 156 Tại ISA Server Management