Cấu hình Site to Site.

Một phần của tài liệu Cấu hình VPN toàn tập (Trang 29 - 45)

Khi thực hiện Client to Site tôi phải đứng trên Client tạo một connection mới đến máy chủ VPN.

Công ty của tôi có hai chi nhánh, trên mỗi chi nhánh tôi đã cấu hình các máy chủ VPN Server nhưng tôi phát hiện ra một điều rằng nhiều người có nhu trao đổi thông tin và kết nối VPN nhưng lại không biết cách tạo ra một kết nối Client to Site.

Một giải pháp tôi có thể hướng dẫn từng người một, nhưng họ không phải người chuyên về IT họ rất nhanh quên.

Giờ tôi cần một giải pháp kết nối VPN mà vẫn đảm bảo tính đơn giản cho người sử dụng, họ chỉ cần biết cách truy cập vào dữ liệu trên các Site khác mà không phải tạo, hay cấu hình bất kỳ thứ gì trên máy tính của họ.

Đó chính là giải pháp kết nối VPN Site to Site.

Các bước thực hiện kết nối Site to Site - Cấu hình cơ bản trên cả hai VPN Server - User và Group

- Gán địa chỉ IP cho các kết nối - Tạo kết nối Site to Site - Kết nối Site to Site - Test

- Tạo kết nối Site to Site sử dụng L2TP/IPsec

Cấu hình cơ bản trên cả hai VPN server

- Cấu hình địa chỉ IP chuẩn như trên mô hình đã được thực hiện

- Cấu hình cơ bản trên Routing and Remote Access đã được cấu hình như phần 1 của bài viết

User và Group

- Bước này hết sức quan trọng một kinh nghiệm của tôi đó là trên cả hai Server đều phải tạo User/Password và Group giống hệt nhau. Khi đó làm sẽ không có các lỗi linh tinh xảy ra.

- Trên cả hai máy chủ VPN đều tạo:

+ User: VNEXPERTS với Password là 123456 + Group: VPN

+ Add User VNEXPERTS vào Group VPN

Remote Access Policy

- Bước này quan trọng nhằm cấu hình máy chủ thành VPN Server có khả năng nghe các yêu cầu kết nối VPN và kiểm tra một user có thẩm quyền kết nối VPN hay không

- Tương tự như phần cấu hình máy chủ thành VPN Server tôi đã trình bày với các bạn rất chi tiết việc tạo một Remote Access Policy mới.

- Phần này trên cả hai máy chủ VPN tôi đều tạo hai Remote Access Policy tên giống hệt nhau và đều cho Group VPN được quyền kết nối VPN – Các bước tương tự cấu hình tạo Remote Access Policy ở phần trên chỉ có điều chúng ta phải làm trên cả hai VPN Server.

- Máy chủ VPN1 đã cấu hình từ phần trước

Trang 31

Gán địa chỉ IP

- Máy chủ VPN1 trong phần trước tôi đã gán địa chỉ IP cho các máy VPN đến là giải địa chỉ IP 200.200.200.1 à 200.200.200.254

- Trên máy chủ VPN2 tôi cũng làm tương tự nhưng gán địa chỉ IP trong giải khác: 220.220.220.1 à 220.220.220.254

Tạo kết nối VPN Site to Site từ VPN2 tới VPN1 Tạo kết nối VPN Site to Site từ VPN1 tới VPN2

- Phần này mục đích tạo kết nối Site to Site mà bản chất của nó là: Thay vì tạo các kết nối Client to Site trên các máy Client thì ta chỉ cần tạo một kết nối từ trên máy chủ Routing and Remote Access mà thôi.

- Trên cả hai máy chủ VPN đều phải tạo các kết nối với nhau.

- Vậy khi client 1 trong mạng Internal của VPN1 muốn truy cập vào Client 2 trong mạng Internal của VPN2 thì điều gì sẽ xảy ra và quá trình đó thực hiện như thế nào. Và quá trình ngược lại khi Client 2 truy cập vào Client 1.

- Để tạo một kết nối Site – to – Site trên cả hai máy chủ đều phải làm bước tạo kết nối như dưới đây

Tạo kết nối VPN Site to Site từ VPN2 tới VPN1

- Chuột phải vào Network Interface chọn: “New Demand-dial Interface”

Trang 33

Đặt tên cho cho kết nối VPN này, tôi đặt là: “vnexperts.net – Site to Site VPN Interface”

- Để quá trình thực hiện ít bị lỗi khuyến cáo các bạn đặt tên Kết nối VPN này trên cả hai Server đều giống nhau (đó là kinh nghiệm của tôi).

- Sau khi đặt tên cho kết nối mới này chọn Next để tiếp tục quá trình

Kết nối mới này có hai Options

- Kết nối PPP đó là kết nối Lease Line (thường là giải pháp WAN). - Nhấn Next để tiếp tục quá trình

Có hai giao thức tạo kết nối VPN - PPTP công nghệ này của Microsoft

- L2TP là công nghệ ra đời bởi sự hợp tác giữa Microsoft và Cisco

- Tôi chọn options tự động – Có nghĩa nếu máy chủ VPN server support giao thức kết nối VPN nào thì sẽ sử dụng giao thức đó để kết nối. Nếu sử dụng cả hai giao thức hệ thống tự động sử dụng L2TP.

Trang 35

Cấu hình địa chỉ IP của máy chủ VPN cần kết nối đến

- Ở đây tôi đang thiết lập trên máy chủ VPN2 cần tạo kết nối VPN tới máy chủ VPN1 - Tôi phải gõ địa chỉ IP của máy chủ VPN1 vào.

- Hoàn tất nhấn Next để tiếp tục quá trình.

- Nếu chưa có kết nối VPN thì hai Client này sẽ không thể thực hiện được (do mạng Internet không hiểu các địa chỉ IP của mạng Private).

- Sau khi bạn đã kết nối VPN site to Site thành công giữa hai máy chủ thì vấn đề gì sẽ xảy ra: Client 2 ping tới địa chỉ IP 192.168.60.50 (IP của Client 1).

- Gói tin sẽ tới máy chủ VPN2 (IP là 172.30.0.1). Khi nhận được gói tin này máy chủ sẽ chuyển gói tin tới kết nối VPN hay kết nối ra Internet. Đương nhiên phải chuyển qua kết nối VPN vừa tạo ra thì mới kết nối tới mạng Private của máy chủ VPN1 được.

- Để làm rõ vấn đề này tôi sẽ trình bày ở bước tiếp theo. Bước này trong quá trình tôi chọn Route IP packet on Interface. Nhấn Next để tiếp tục quá trình

Trong phần này bạn phải cấu hình:

- Bạn đang đứng tại VPN2 tạo kết nối VPN tới VPN1

- Phần cấu hình này tôi phải gõ địa chỉ IP của mạng Internal trên máy chủ VPN1

- Để khi VPN2 nhận được yêu cầu kết nối tới mạng 192.168.60.0/24 sẽ chuyển qua kết nối VPN này. - Tương tự như vậy nếu tôi kết nối VPN site to Site từ máy chủ VPN1 tới máy chủ VPN2 tôi cũng phải lựa chọn giải mạng bên trong VPN2 là: 172.30.0.0/24

Trang 37

Bước này hệ thống bắt khai báo User name và Password nào tôi dùng để kết nối tới máy chủ VPN1. - Như phần trên máy chủ VPN1 đã tạo và cho phép user: Vnexperts được quyền tạo kết nối VPN rồi. - Tôi điền Username và Password đúng rồi nhấn Next để tiếp tục quá trình

Sau khi hoàn tất tạo một kết nối VPN Site to Site: - Từ VPN2 tới VPN1

- Sử dụng giao thức kết nối tự động

- Sử dụng Username đã được cho phép trên máy chủ VPN1

- Vào Routing and Remote Access chọn Interface, trong danh sách Interface sẽ xuất hiện Interface VPN tôi vừa tạo nhưng trạng thái hiện tại là “Disconnected”. Chuột phải vào Interface này chọn Connect để thực hiện kết nối

Trang 39

Kết quả thật may mắn:

- Trạng thái kết nối đã hiện là Connected

- Quá trình tạo kết nối VPN từ VPN2 tới VPN1 đã hoàn tất

Nhưng bạn chưa nên mừng và vội vàng test kiểm tra kết nối từ máy Client 2 tới Client 1 bởi chắc chắn một điều vẫn chưa kết nối tới được.

- Giờ là bước bạn tạo kết nối VPN ngược lại từ VPN1 tới VPN2

Tạo kết nối VPN Site to Site từ VPN1 tới VPN2 - Toàn bộ các bước giống hệt làm trên VPN2 vừa rồi.

- Lưu ý toàn bộ Name của Interface kết nối VPN bạn cũng cần phải đặt giống nhau trên cả hai máy chủ - Cả hai máy chủ đều tạo Username Password, group giống nhau

Đây chỉ là kinh nghiệm từ bản thân khi thực hiện các cấu hình trên môi trường thực tế Câu.

- Khác khi tạo kết nối VPN site to site từ VPN1 tới VPN2 đó là:

Khi đứng trên máy chủ VPN1 cần kết nối VPN tới VPN2 thì địa chỉ IP của máy chủ cần kết nối tới là địa chỉ IP của VPN2

- Thiết lập địa chỉ IP rồi nhấn Next và các bước làm tương tự như phần trên

Trong phần đặt địa chỉ IP cho mạng đến

- Mục đích khi VPN1 nhận được yêu cầu kết nối tới mạng 172.30.0.0 (mạng internal của VPN2) thì sẽ forward qua cổng kết nối VPN.

Trang 41

Vẫn Username và Password dùng trong kết nối VPN2 to VPN1

- Lưu ý bước này chỉ thực hiện được khi cả hai Server đều qua bước cấu hình User (quên không tạo user trên một Server sẽ không thể thực hiện được).

Hoàn tất quá trình tôi tự tin nhấn Connect trên Interface vừa tạo ra trên VPN1. - Sau khi hoàn tất tạo kết nối VPN trên cả hai Server tôi sẽ kiểm tra

Đứng trên Client 2 dùng lệnh Pathping sang Client1 - Bước 0 gói tin đi từ: 172.30.0.50 (Địa chỉ IP của Client2) - Bước 1 gói tin đi tới: 172.30.0.1 (Địa chỉ IP của Gateway)

- Bước 2 gói tin đi tới: 200.200.200.1 – Đây là địa chỉ IP ảo của VPN1, và tôi đã tiến hành đúng các bước kết nối VPN, nếu VPN không thành công bước 3 này sẽ là địa chỉ IP của máy chủ Internet: 203.162.29.38 chứ không phải là địa chỉ IP 200.200.200.1 (dải địa chỉ IP này là dải VPN1 gán cho các kết nối VPN)

- Bước 3 gói tin tới: 192.168.60.50 (Địa chỉ của Client1) – Nếu trước khi cấu hình địa chỉ IP thì không thể kết nối giữa hai máy tính. Sau khi kết nối tôi đã kết nối được giữa hai máy Client đảm bảo VPN được thực hiện thành công.

Tương tự như vậy tôi đứng trên Client 1 thực hiện Pathping sang Client sẽ được kết quả đúng

Tạo kết nối VPN site to site sử dụng L2TP/IPsec

- Để đảm bảo tính bảo mật cho toàn bộ kết nối VPN và các giao tiếp truyền trên nó tôi khuyến cáo các bạn sử dụng giao thức L2TP/IPsec.

Trang 43

Cấu hình trên máy chủ VPN1

Chuột phải tên máy chủ chọn Properties chuyển sang tab Security, đánh vào dấu CheckBox “Allow custom IPsec policy for L2TP connection”. Rồi chọn key sử dụng để mã hóa gói tin truyền qua hai VPN server. Tôi sử dụng key là: “vnexperts.net_vpn”

- Key này sử dụng để VPN1 mã hóa gói tin

- Để VPN2 nhận được và giải mã gói tin thì trên VPN2 phải cấu hình tương tự như VPN1 (điều này là bắt buộc.

Sau khi cấu hình như vậy trên cả hai máy chủ VPN: VPN1 và VPN2 sử dụng cùng một key như vậy. - Đứng trên VPN2 cấu hình lại kết nối Site to Site vừa được tạo ra trong bước trên. Chuột phải vào Interface này chọn Properties

Chọn tab Security à Nhấn vào IPSec Setting chọn dấu check box “Use pre-shared key for authentication” rồi gõ key vào. Key này phải giống hệt key cấu hình trên cả hai VPN Server.

Làm tương tự như vậy trên cả hai máy chủ VPN1 và VPN2 rồi vào dịch vụ Routing and Remote Access connect lại khi đó toàn bộ các gói tin sẽ được mã hóa bởi IPSec và key để mã hóa các gói tin là key đã được cấu hình.

Trang 45

- Mô hình lab để thực hiện VPN - Cấu hình cơ bản trên Server, Client - Cấu hình VPN Client to Site - Cấu hình Site to Site

- Cấu hình Site to Site sử dụng L2TP/IPSec

Phần sau của bài viết tôi sẽ trình bày với các bạn giải pháp VPN xác thực sử dụng RADIUS Server.

Một phần của tài liệu Cấu hình VPN toàn tập (Trang 29 - 45)

Tải bản đầy đủ (PDF)

(45 trang)