Với các kết nối VPN truy cập từ xa, một máy tính tạo ra một kết nối truy cập từ xa tới máy phục vụ VPN. Trong quá trình kết nối máy phục vụ VPN phân bố một địa chỉ IP cho máy khách VPN truy cập từ xa và thay đổi các tuyến đoạn mặc định trên máy khách từ xa vì vậy giao dịch tuyến đoạn mặc định được gửi qua giao diện ảo.
1.11.1. Các địa chỉ IP và quay số máy khách VPN
Để quay số tới các máy khách VPN, nơi mà kết nối tới Internet trước khi tạo kết nối VPN với một máy phục vụ VPN trên Internet, hai địa chỉ IP được phõn bố :
• Khi tạo kết nối PPTP, IPCP vượt qua với nhà cung cấp dịch vụ NAS một địa chỉ IP công cộng.
• Khi tạo kết nối VPN, IPCP đi qua với máy phục vụ VPN bằng một địa chỉ IP nội bộ. Địa chỉ IP được phân bố bởi máy phục vụ VPN có thể là một địa chỉ IP công cộng hoặc một địa chỉ IP riêng, dựa vào tổ chức của bạn đang thực hiện việc đánh địa chỉ riêng hoặc chung trên mạng nội bộ.
Trong mỗi trường hợp địa chỉ IP được phân bố tới máy khách VPN phải có thể tới được bởi các host trên mạng nội bộ và vice versa. Máy phục vụ VPN phải có đầu vào thích hợp trong bảng định tuyến để tới tất cả các host trên mạng nội bộ và các bộ định tuyến của mạng nội bộ phải có các điểm vào thích hợp trong bảng định tuyến ddể tới các máy khách VPN.
Dữ liệu đường ngầm gửi qua VPN được đánh địa chỉ từ máy khách VPN, máy phục vụ VPN - phân bố địa chỉ tới một địa chỉ trên mạng nội bé . Header của IP bên ngoài được đánh địa chỉ giữa nhà cung cấp - phân bố địa chỉ IP của máy khách VPN và đị chỉ công
cộng của máy phục vụ VPN. Bởi vì các bộ định tuyến trên internet chỉ xử lý các header IP bên ngoài, các bộ định tuyến internet hướng dữ liệu đường ngầm tới
địa chỉ IP công cộng của máy phục vụ VPN.
Một ví dụ của địa chỉ máy khách quay số được trình bày trên hình 10 tổ chức sử dụng các địa chỉ riêng trên mạng nội bộ, và dữ liệu đường ngầm là một gói IP.
1.11.2. Các tuyến truyền mặc định và các Dial-up Client
Khi một máy khách quay số tới một ISP, nó nhận một địa chỉ IP công cộng từ ISP NAS.
Một địa chỉ gateway mặc định không được phân bố như một phần của quá trình dàn xếp IPCP. Bởi vậy, để tiếp cận các địa chỉ Internet, máy khách quay số thêm một tuyến đoạn mặc định tới bảng định tuyến của nó giao diện quay số kết nối tới ISP. Như là kết quả, máy khách có thể hướng các gói IP tới ISP NAS từ những nơi mà chúng định tuyến tới vùng internet của nó.
Với các máy khách quay số không có các giao diện TCP/IP khác, đây là điều mong muốn. Tuy nhiên, cách này có thể là nguyên nhân gây ra sự nhầm lẫn cho các máy khách quay số mà có một mạng LAN tồn tại- dựa vào kết nối tới một mạng nội bộ.
Hình 10 Các địa chỉ công cộng và riêng trong PPTP Tunneled Data
Trong trường hợp này, một tuyến đoạn mặc định trỏ tới bộ định tuyến của mạng nội bộ địa phương. Khi một máy khách quay số tạo ra một kết nối với ISP của chúng, tuyến đoạn mặc đinh ban đầu còn lại bảng định tuyến nhưng đã được thay đổi để có một hệ đơn vị đo cao hơn. Một tuyến đoạn mặc định mới được thêm vào với một metric thấp hơn sử dụng kết nối ISP.
Như là một kết quả, những vùng mạng nội bộ mà không phải là các máy khách quay số được gắn vào mạng trực tiếp không thể tới được khoảng thời gian kết nối tới ISP. Nếu tuyến đoạn mặc định mới không được tạo ra, tất cả các vùngtrên mạng nội bộ có thể tới được, nhưng các vùng trên internet thì không.
Windows 2000 dựa vào máy khách quay số tạo ra tuyến đoạn mặc định một cách mặc định. Để không tạo ra các tuyến đoạn mặc định, bỏ lựa chọn trên hộp check Use default gateway on remote network trên dialog PPP TCP/IP Settings.
Để nhận được kết nối tới cả internet và intranet khi kết nối ISP kích hoạt, hãy chọn Use default gateway on remote network và thêm các tuyến đoạn của mạng nội bộ tới bảng định tuyến của máy khách quay số. Các tuyến đoạn trên mạng nội bộ có thể được thêm qua các tuyến đoạn tĩnh lâu dài. Khi kết nối tới ISP, tất cả các vùngtrên mạngk nội bộ có thể tới được qua các tuyến đoạn trên mạng nội bộ và tất cả các vùngtrên internet có thể tới được qua tuyến đoạn mặc định.
1.11.3. Các tuyến truyền ngầm định và các VPNs khác qua Internet Khi máy khách quay số gọi tới ISP, nó thêm một tuyến đoạn mặc định sử dụng kết nối tới ISP như trên hình 11. Tại thời điểm này, nó có thể tới tất cả các địa chỉ internet qua tuyến đoạn tại ISP NAS.
Hình 11 Tuyến đoạn mặc định được tạo khi gọi tới ISP
Khi một máy khách VPN tạo kết nối VPN, một tuyến đoạn khác và một host định tuyến tới địa chỉ IP của máy phục vụ đường ngầm được thêm, như minh hoạ trên hình 12.
Tuyến đoạn mặc định trước được lưu lại nhưng bõy giờ có một metric cao hơn. Thêm tuyến đoạn mặc định mới nghĩa là tất cả các vùngtrên internet chấp nhận địa chỉ IP của máy phục vụ đường ngầm không thể tới được vì khoảng thời gian tồn tại của kết nối VPN.
Chỉ như trường hợp của một máy khách quay số kết nối tới internet, khi một máy khách VPN quay số sử dụng đường ngầm chủ động tạo kết nối VPN tới một mạng nội bộ riêng qua internet, một trong những điều sau sẽ xảy ra :
• Các vùngtrên internet có thể tới được và các vùngtrên intranet không thể tới được khi kết nối VPN không kích hoạt.
• Các vùngtrên intranet có thể tới được và các vùngtrên internet không thể tới được khi kết nối VPN kích hoạt.
Với hầu hết các máy khách VPN kết nối dựa trên internet, điều này không phải là một vấn đề bởi vì chúng khác thường được giữ trước trong giao tiếp của intranet hoặc internet, không phải là cả hai.
Với các máy khách VPN muốn đồng thời truy cập tới tài nguyên của cả internet và intranet khi VPN được kết nối, giải pháp dựa vào loại địa chỉ IP trong mạng nội bộ.
Trong tất cả các trường hợp, cấu hình đối tượng kết nối VPN mà nó không thêm một gateway măc định. Khi kết nối VPN được tạo, tuyến đoạn mặc định còn lại trỏ tới ISP NAS, cho phép truy cập tất cả các địa chỉ internet.
Dựa vào các loại địa chỉ của mạng nội bộ mà ban sử dụng, có thể đồng thời truy cập tới Hình 12 Tuyến truyền mặc định tạo khi bắt đầu VPN
1.11.4. Địa chỉ chung
Thêm các tuyến đoạn lâu dài tĩnh cho các mạng công cộng, định danh của mạng nội bộ sử dụng địa chỉ IP của máy phục vụ VPN trên giao diện ảo như điah chỉ IP gateway.
1.11.5. Địa chỉ riêng
Thêm các tuyến đoạn lâu dài tĩnh cho các mạng riêng, định danh của mạng nội bộ sử dụng địa chỉ IP của máy phục vụ VPN trên giao diện ảo như điah chỉ IP gateway.
1.11.6. Địa chỉ nạp chồng và không hợp lệ
Nếu mạng nội bộ sử dụng phân bố chồng hoặc các địa chỉ không hợp lẹ ( Các định danh IP mạng mà không phải là riêng và không được đăng ký bởi InterNIC hoặc nhận từ một ISP), các địa chỉ IP đó có thể bị trùng với các địa chỉ công cộng trên internet. Nếu các tuyến đoạn lâu dài tĩnh được thêm vào trên máy khách VPN vì các định danh mạng của mạng nội bộ bị phân bố chồng, các vùngtrên internet mà các địa chỉ phân bố chồng là không thể tới được.
Trong mỗi trường hợp đó, các tuyến đoạn lâu dài tĩnh với các định danh mạng của mạng nội bộ cần được thêm vào máy khách VPN. Khi các bộ định tuyến lâu dài được thêm, chúng được lưu trong registry. Với Windows NT version 4.0 Service Pack 3 trở lên và với Windows NT 4.0, các tuyến đoạn lâu dài không thực sự được thêm vào bảng định tuyến IP (và không thể thấy bên qua lệnh route print ) cho đến khi địa chỉ IP của gateway được tiếp cận. Địa chỉ IP của gateway trở nên có khả năng tới được khi kết nối VPN được tạo ra.
Với mỗi tuyến đoạn, đánh có pháp tiện Ích tuyến đoạn sau :
ROUTE ADD <Intranet Network ID> MASK <NetMask> <IP address of VPN server’s virtual interface> -p
Địa chỉ IP của gateway trong câu lệnh tuyến đoạn cho mỗi tuyến đoạn nội bộ là địa chỉ IP được khai báo tới giao diện ảo của máy phục vụ VPN, không phải là địa chỉ IP của máy phục vụ VPN trên giao diện internet.
Bạn có thể xác nhận địa chỉ IP của máy phục vụ VPN trên giao diện ảo từ câu lệnh ipconfig chạy trên môi trường dos. Nếu bạn sử dụng DHCP để nhận các địa chỉ IP để quay số mạng và các máy khách VPN, địa chỉ IP của máy phục vụ VPN trên giao diện
ảo là địa chỉ IP đầu tiên nhận được khi yêu cầu cacs địa chỉ DHCP. Nếu bạn cấu hình một vùng địa chỉ IP tĩnh, địa chỉ IP của máy phục vụ VPN trên giao diện ảo là địa chỉ IP đầu tiên trong vùng địa chỉ IP tĩnh. Bạn cũng có thể xác nhận địa chỉ IP của máy phục vụ VPN trên giao diện ảo bằng cách quan sát chio tiết một hoạt động của kết nối VPN từ máy khách VPN.
Nguyên nhân Với tất cả các trường hợp đó, bạn phải thêm các tuyến đoạn rất cẩn thận để đảm bảo rằng việc truyền dữ liệu riêng tới mạng nội bộ được hướng tới sử dụng kết nối VPN và không phải kết nối PPP tới ISP. Nếu các tuyến đoạn lỗi được thêm vào, việc truyền dữ liệu mà bạn quan tâm hướng qua mạng riêng ảo trong một dạng mã hóa được thay cho việc gửi không mã hóa qua internet. Ví dụ, nếu mạng nội bộ của bạn đang sử dụng ID của mạng công cộng 207.46.130.0/24 (subnet mask 255.255.255.0), và bạn thêm một cách nhầm lẫn một tuyến đoạn tĩnh lâu dài cho 207.46.131.0/24, tất cả các giao dịch tới mạng nội bộ 207.46.130.0/24 đều được hướng qua internet trong một dạng văn bản được mã hóa, hơn nữa là được mã hóa và gửi qua kết nối VPN.