“Chuyên trang dành cho kỹ thuật viên tin học” CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT Part 38 - ISA Server - VPN Client to Gateway Chúng ta đã biết cách cấu hình VPN cho các mạng bằng Routing and Remote Access trong 70-291. Bây giờ chúng ta sẽ tìm hiểu cách cấu hình VPN trong môi trường có ISA Server. Cũng giống như VPN trong Routing and Remote Access chúng ta có 2 dạng đó là Gateway to Gateway và Clients to Gateway, trước tiên ta tìm hiểu về mô hình Clients to Gateway VPN Clients to Gateway Như bạn đã biết các máy Client từ bên ngoài muốn truy cập vào mạng chúng ta phải có được IP Public của mạng chúng ta trong môi trường mạng chúng ta có ISA Server, IP Public này còn gọi là IP mặt ngoài và thường được xuất ra bởi External DNS mà ta đã biết đến trong bài Server Publising. Trong môi trường mạng chúng ta đã có ISA Server các Clients muốn truy cập vào bên trong Internal Network phải nhờ một NAT Server dẫn đường đến ISA Server, sau khi được xác nhận tính hợp lệ từ ISA Server thì các yêu cầu này mới được tiếp tục vào Internal Network Tuy nhiên để cho đơn giản trong bài này tôi sẽ cấu hình NAT lên ngay Router ADSL Cấu hình IP các máy như sau: Máy Đặc tính PC01 PC02 PC03 Name isa.gccom.net server.gccom.net client Card Lan IP Address 192.168.1.5 192.168.1.3 Subnet Mask 255.255.255.0 255.255.255.0 Default gateway 192.168.1.1 192.168.1.1 Preferred DNS 203.162.4.191 Card Cross IP Address 172.16.2.1 172.16.2.2 Subnet Mask 255.255.255.0 255.255.255.0 Default gateway 172.16.2.1 Preferred DNS 172.16.2.2 127.0.0.1 Card Lan: nối gián tiếp 2 máy PC01 & PC03 với nhau thông qua Switch Card Cross: nối trực tiếp các cặp máy PC01 với PC02 - Router ADSL có IP là 192.168.1.1 Trước tiên để cho các Client truy cập được vào mạng thông qua VPN chúng ta phải tạo một User và gán quyền Allow Remote Access cho User này (Xem lại bài VPN) Tại máy DC Server (PC02) bật Active Directory Users and Computers lên tạo một User/Pass là Gateway1/123 1 of 10 Double click vào User Gateway1 chọn Tab Dial-in Check tùy chọn Allow Access trong Remote Access Permission Tại máy ISA Server bạn chọn Virtual Private Networks (VPN) chọn tiếp Tab VPN Clients 2 of 10 Click vào Configure Address Assignment Method Tại Tab Address Assignment bạn nhập một dãy IP để gán cho các máy VPN Client trong Static address pool ở ví dụ này là dãy số 10.0.0.1->10.0.0.200 Nếu hệ thống mạng của bạn đã có DHCP rồi thì bạn chọn tùy chọn thứ 2 là Dynamic Host Configuration Protocol (DHCP) bên dưới 3 of 10 Mặc định khi cài đặt hoàn tất ISA Server sẽ không bật VPN Clients lên nên bạn tiếp tục chọn Enable VNP Client Access trong bước cài đặt thứ 1 để bật tính năng này. Check vào tùy chọn Enable VPN client access Lưu ý là giá trị trong ô Maximum number of VPN clients allowed phải nhỏ hơn dãy số IP mà ta gán cho các VPN Clients 4 of 10 Tiếp tục bạn chọn mục Firewall Policy để tạo một Rule mới cho phép các VPN Clients được phép truy cập vào bên trong Internal Network Tôi đặt tên cho Rule này là VPN Client to Gateway1 Rule Action: Allow Protocol: All outbound traffic Trong Access Rule Sources bạn chọn một giao thức duy nhất đó là VPN Clients Vì các máy Client từ bên ngoài truy cập vào bên trong Internal Network nên trong Access Rule Destinations ta chọn là Internal 5 of 10 Màn hình sau khi hoàn tất Mặc định trong ISA Server đã tạo sẵn một Network Rule trong Networks của phần Configuration cho phép các máy VPN Clients từ bên ngoài truy cập vào Internal, tuy nhiên đây chỉ là con đường đi của của các VPN Clients mà thôi và đi được hay không là do Access Rule mà ta vừa tạo lúc nãy quyết định. Như vậy để cho các VPN Clients truy cập được Internal Network trong ISA Server phải tồn tại song song cả 2 Network Rule và Access Rule. 6 of 10 Như vậy chúng ta đã hoàn tất cấu hình VPN Clients to Gateway trên máy ISA Server Bây giờ tôi sẽ cấu hình NAT tại Router ADSL (Xem lại bài ADSL - Wifi) Trong ví dụ này tôi cấu hình Router NAT các dịch vụ Web Server, Mail Server trong đó có PPTP là giao thức để NAT VPN. Như vậy đến đây tại Router sẽ hiểu rằng khi có bất cứ yêu cầu nào bên ngoài truy cập vào mạng chúng ta thông qua các Port trong danh sách Applied Rules nó sẽ chỉ đến máy có IP tương ứng trong mục LAN IP. Trong ví dụ này máy được NAT chính là máy ISA Server Trước tiên để biết được Public IP Address của mạng chúng ta bạn vào Tab Status chọn Menu Device Info Trong phần WAN bạn chú ý mục IP Address đây chính là Public IP Address của bạn mà dịch vụ ISP cấp cho Router chúng ta. Như vậy trong ví dụ này IP mặt ngoài của mạng chúng ta là 123.23.203.190 Như vậy chúng ta đã cấu hình thành công NAT cứng trên Router ADSL. 7 of 10 Tiếp theo ta cấu hình VPN tại máy Clients Bạn vào Network Connections của máy Client chọn Create a new Connection Chọn tiếp Connect to the network at my workplace Chọn tiếp Virtual Private Network connection Nhập IP mặt ngoài của mạng cần kết nối VPN trong bài chính là 123.23.203.190 8 of 10 Trong cửa sổ Network Connections của PC03 xuất hiện thêm icon VPN to Gateway1 với giao thức PPTP Sau đó nhập tài khoản mà bạn đã tạo trước đó tại DC Server và nhấp Connect Màn hình thông báo kết nối thành công Tại máy Client ping thử IP của máy DC Server (PC02) sẽ thấy kết quả rất tốt 9 of 10 Truy cập vào các Shared Folder cũng rất tốt OK mình vừa trình bày xong phần VPN Client to Gateway - ISA Server trong 70-351 của MCSA. Công ty TNHH đầu tư phát triển tin học GC Com Chuyên trang kỹ thuật máy vi tính cho kỹ thuật viên tin học Điện thoại: (073) - 3.511.373 - 6.274.294 Website: http://www.gccom.net 10 of 10 . viên tin học” CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT Part 38 - ISA Server - VPN Client to Gateway Chúng ta đã biết cách cấu hình VPN cho các mạng bằng. đó là Gateway to Gateway và Clients to Gateway, trước tiên ta tìm hiểu về mô hình Clients to Gateway VPN Clients to Gateway Như bạn đã biết các máy Client