III. Xây Dựng Hệ Thống Tƣờng Lửa ISA Server
4. Triển khai VPN ISA
4.1 Client-to-Site
- Cho phép các nhân viên cơng tác bên ngồi cơng ty có thể truy cập tài nguyên và dữ liệu về công ty thông qua VPN (Virtual Private Netkwork)
- Tại Domain tạo User VPN và add User vào Group cho kết nối VPN
- Tại User vpn click phải chuột chọn Properties qua thẻ Dail-in chọn Allow access (cho phép kết nối VPN)
- Vào ISA Server chọn Virtual Private Network chọn thẻ VPN Clinet trong thẻ chúng ta thực hiện các bước sau VPN:
Bước 2: Tại Tab Address Assignment bạn nhập một dãy IP để gán cho các máy VPN Client trong Static address pool ở ví dụ này là dãy số 200.200.200.100 ->200.200.200.200
Nếu hệ thống mạng của bạn đã có DHCP rồi thì bạn chọn tùy chọn thứ 2 là Dynamic Host Configuration Protocol (DHCP) bên dưới
Bước 3: Mặc định khi cài đặt hồn tất ISA Server sẽ khơng bật VPN Clients lên nên bạn tiếp tục chọn Enable VNP Client Access trong bước cài đặt thứ 1 để bật tính năng này
Check vào tùy chọn Enable VPN client access
Lưu ý là giá trị trong ô Maximum number of VPN clients allowed phải nhỏ hơn dãy số IP mà ta gán cho các VPN Clients
- Chọn qua thẻ Group add Group cho phép kết nối VPN
- Chọn qua thẻ Protocol chọn giao thức dùng để kết nối VPN OK
- Tiếp theo, chọn mục Firewall Policy để tạo một Rule mới cho phép các VPN Clients được phép truy cập vào bên trong Internal Network
Rule Name: Access VPN Action: Allow
Protocols: All outbound traffic
Source: Internal, Local Host, VPN Clients Destination: External, Local Host, VPN Clients User Sets: All Users
Mặc định trong ISA Server đã tạo sẵn một Network Rule trong Networks của phần Configuration cho phép các máy VPN Clients từ bên ngoài truy cập vào Internal, tuy nhiên đây chỉ là con đường đi của của các VPN Clients mà thôi và đi được hay không là do Access Rule mà ta vừa tạo lúc nãy quyết định. Như vậy để cho các VPN Clients truy cập được Internal Network trong ISA Server phải tồn tại song song cả 2 Network Rule và Access Rule.
Như vậy chúng ta đã hồn tất cấu hình VPN Clients to Gateway trên máy ISA Server
- Trên Windows XP hoặc Clients muốn kết nối vào ISA Server bằng VPN chúng ta phải tạo kết nối trên Windows. Clients to Site VPN chỉ sử dụng cho chính Clients đó thơi, kết nối này sẽ không được Share cho Clients khác sử dụng. Clients to Site VPN chủ yếu hỗ trợ cho nhân viên làm việc ở nhà, làm việc tại nhà hoặc PartTime/Freelancer kết nối vào công ty mà không cần phải ngồi làm việc trong mạngLAN. Windows XP quản lý kết nối mạng bằng bằng phần Network Connections trong
Windows. Để cấu hình cho Windows XP kết nối VPN chúng ta vào Network Connections và chọn Add New Connection
Cấu hình VPN tại máy Clients:
Chọn tiếp Connect to the network at my workplace Next
Tiếp theo đặt tên cho Network Conection Next
Trong cửa sổ Network Connections của máy VPN xuất hiện thêm icon VPN to Gateway1 với giao thức PPTP click phải chọn Conect
Sau đó nhập tài khoản mà bạn đã tạo trước đó tại DC Server và nhấp Connect
Sau khi Connect vào ta thực hiện truy cập vào các Shared Folder thành công
4.2 ISA Site-to-Site
Triển khai vpn site to site
Triển khai vpn site to site để các nhân viên giữa trụ sở q1 và chi nhánh quận 5 chia sẽ dữ liệu cho nhau 1 cách dễ dàng
Đầu tiên tại trụ sở chính cấu hình vpn site to site
Mở isa tại trụ sở click Virtual Private Network- Tab Remote Sites click Create VPN site to site Connection
Đặt tên site name tại mục site to site network name.lưu ý tên site name sẽ là tên user của chi nhánh Q.5 dùng để kết nối đến trụ sở chính Q.1
VPN site to site ta sử dụng giao thức Point to Point Tunneling Protocol
Và sử dụng lớp mạng 20.0.0.1-20.0.0.254/24 để cấp ip cho các user khi kết nối các site với nhau Sau khi hồn tất sẽ hiện 1 bảng thơng báo tạo 1 user bên site remote có user như tên site name
Sau khi hồn tất ta phải enable tính năng VPN access tại ISA Server
Tại các user này ta phải cho phép user có thể remote VPNMở user tại Properties/ Tab Dial-in chọn Allow access