VPN, virtual private network, có thểđược dịch là mạng ảo nội bộ. Bạn có thể tự hỏi, đã trong mạng nội bộ rồi thì còn dùng ảo làm chi? Người dùng khi đi công tác xa sử dụng VPN để nối tới các dịch vụ đang chạy hoặc những chương trình có thể dùng như khi họ đang ngồi trong văn phòng. Đó là lý do cho cái tên ảo (virtual). VPN cũng có thể sử dụng với mạng không dây hoặc giữa hai (hay nhiều hơn) địa điểm khác nhau.
Bài viết này sẽ đi thẳng vào cách thiết lập mạng ảo nội bộ sử dụng OpenVPN mà nhắc nhiều đến các loại VPN khác nhau và các protocols đi theo phương thức VPN (pptp, l2tp, ipsec, gre, mpls).
OpenVPN sử dụng thiết bị tun/tap (hầu như có sẵn trên các bản Linux) và openssl để xác nhận (authenticate), mã hóa (khi gởi) và giải mã (khi nhận) đường truyền giữa hai bên thành chung một network. Có nghĩa là khi người dùng nối vào máy chủ OpenVPN từ xa, họ có thể sử dụng các dịch vụnhư chia sẻ tập tin sử dụng Samba/NFS/FTP/SCP, đọc thư (bằng cách khai báo địa chỉ nội bộ trên máy họ, ví dụ, 192.168.1.1), duyệt intranet, sử dụng các phần mềm khác..v..v..như là họđang ngồi trong văn phòng.
Tại sao người dùng nên dùng OpenVPN mà không dùng FreeS/WAN (sử dụng ipsec) hay PoPToP (sử dụng pptp)? Bởi vì việc thiết lập VPN sử dụng các chương trình này tươngđối rắc rối, hay bị vấn đề với các máy trạm sử dụng NAT, người dùng hay bị ràng buộc/hạn chế với một vài phần mềm để kết nối đến máy chủ từ nhiều hệ điều hành khác nhau..v..v..
Với OpenVPN bạn không phải lo lắng vấn đề NAT traversal, thiết lập rất dễ dàng và có thể chạy trên nhiều hệđiều hành khác nhau như *BSD, Linux, Mac OS X, Solaris và Windows 2000 trở lên.
Việc cài đặt OpenVPN khá đơn giản. Rất có thể nó đã có sẵn trên bản Linux bạn đang dùng. Nếu chưa có thì bạn có thể tải về từ trang web của OpenVPN. Phiên bản beta hiện tại là 2.0 beta15. Phiên bản stable hiện tại là 1.6.0.
Ví dụ bên dưới sẽ hướng dẫn cách thiết lập VPN ở 2 chế độ khác nhau: Sử dụng thiết bị tun với một chìa khóa (static key) và sử dụng thiết bị tun với TLS-based để thiết lập đường nối giữa 2 máy hoặc một máy chủ và nhiều máy trạm.
4.4.1.1 Dùng một chìa khóa
Trên máy Linux
- Nạp thiết bị tun: modprobe tun
- Chỉnh tường lửa cho phép kết nối UDP (hay TCP) cổng 5000: iptables -A INPUT -p UDP --dport 5000 -j ACCEPT
- Chỉnh tường lửa cho phép thiết bị tun qua lại: iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT
- Mài chìa khóa: openvpn --genkey --secret chiakhoa
- Chạy OpenVPN: openvpn --dev tun0 --ifconfig 10.4.0.1 10.4.0.2 --verb 5 -- secret chiakhoa
- Chép chiakhoa lên đĩa mềm hay copy nó qua máy mà bạn muốn nối vào máy Linux.
--verb 5 có nghĩa bạn muốn xem openvpn đang làm gì trên màn hình. Nếu không muốn xem thì đừng dùng --verb 5
4.4.1.2 Trên máy Windows
- Tải OpenVPN cho Windows từ trang web OpenVPN
Sau khi cài đặt phần mềm OpenVPN bạn sẽ thấy trong phần Control Panel → Network Connections đã có sẵn một thiết bị với tên là TAP-Win32 Adapter. Nếu bạn không thấy có nghĩa phần cài đặt đã bị sự cố. b. Khởi động VPN:
Chọn Start → Run, gõ vào cmd để mở cửa sổ command prompt. Gõ cd pro*\openvpn Gõ openvpn.exe --remote địa_chỉ_máy_Linux --dev tun0 --ifconfig 10.4.0.2 10.4.0.1 --verb 5 --secret chiakhoa
chiakhoa là tập tin chiakhoa bạn tạo từ máy Linux bên trên
- Kiểm thử trên máy Client
Vậy thì làm sao để biết VPN đã hoạt động? Trên máy Windows Gõ ping 10.4.0.1 Trên máy Linux Gõ ping 10.4.0.2