Vyatta cho phép bạn thiết lập VPN với các hình thức:
• Sử dụng IPSec để kết nối Site-to-Site.
• Truy cập từ xa qua giao thức PPTP, L2TP, IPSec.
• Site-to-Site và truy cập từ xa qua thông giao thức OpenVPN và IPSec.
5.3.1 IPsec Site‐to‐Site VPN
1.1.1.9 Mô hình
Hình 15 – Mô hình triển khai VPN Site-to-Site
Trong ví dụ này bạn triển khai mô hình mạng như trên. Đảm bảo các interface được cấu hình đúng địa chỉ ip đã được phân chia. Có một điều cần lưu ý là ở vị trí kết nối qua internet có thể thay bằng mạng LAN khi làm lab, để không phải tốn thêm router cho công việc định tuyến. Điếu đó có nghĩa là ip của eth1 trên WEST được thay bằng 192.0.2.1/24 và eth0 trên EAST được thay bằng 192.0.2.32/24.
1.1.1.10 Cấu hình trên WEST
Tóm tắt các bước cần cấu hình như sau:
• Cấu hình trên WEST
o Bật VPN
o Cấu hình IKE Group
o Cấu hình ESP Group
o Khởi tạo kết nối đến EAST
1. Chúng ta phải enable IPSec VPN trên internet nào đóng vai trò kết nối VPN. Trong ví dụ này, eth1 trên WEST kết nối đến eth0 trên EAST, do đó phải enable chức năng VPN trên eth1.
Thực hành 34. Enables IPsec VPN on eth1 on WEST
vyatta@WEST# set vpn ipsec ipsec‐interfaces interface eth1 vyatta@WEST# show vpn ipsec ipsec‐interfaces interface eth1
2. Cấu hình IKE-Group trên WEST
vyatta@WEST# set vpn ipsec ike‐group IKE‐1W proposal 1
vyatta@WEST# set vpn ipsec ike‐group IKE‐1W proposal 1 encryption aes256 vyatta@WEST# set vpn ipsec ike‐group IKE‐1W proposal 1 hash sha1
vyatta@WEST# set vpn ipsec ike‐group IKE‐1W proposal 2 encryption aes128 vyatta@WEST# set vpn ipsec ike‐group IKE‐1W proposal 2 hash sha1
vyatta@WEST# set vpn ipsec ike‐group IKE‐1W lifetime 3600
3. Cấu hình ESP-Group trên WEST
vyatta@WEST# set vpn ipsec esp‐group ESP‐1W proposal 1
vyatta@WEST# set vpn ipsec esp‐group ESP‐1W proposal 1 encryption aes256 vyatta@WEST# set vpn ipsec esp‐group ESP‐1W proposal 1 hash sha1
vyatta@WEST# set vpn ipsec esp‐group ESP‐1W proposal 2 encryption 3des vyatta@WEST# set vpn ipsec esp‐group ESP‐1W proposal 2 hash md5
vyatta@WEST# set vpn ipsec esp‐group ESP‐1W lifetime 1800
4. Kết nối đến EAST
vyatta@WEST# set vpn ipsec site‐to‐site peer 192.0.2.33 authentication mode pre‐shared‐secret
vyatta@WEST# edit vpn ipsec site‐to‐site peer 192.0.2.33 [edit vpn ipsec site‐to‐site peer 192.0.2.33]
vyatta@WEST# set authentication pre‐shared‐secret test_key_1 [edit vpn ipsec site‐to‐site peer 192.0.2.33]
vyatta@WEST# set default‐esp‐group ESP‐1W [edit vpn ipsec site‐to‐site peer 192.0.2.33] vyatta@WEST# set ike‐group IKE‐1W [edit vpn ipsec site‐to‐site peer 192.0.2.33] vyatta@WEST# set local‐ip 192.0.2.1
[edit vpn ipsec site‐to‐site peer 192.0.2.33]
vyatta@WEST# set tunnel 1 local subnet 192.168.40.0/24 [edit vpn ipsec site‐to‐site peer 192.0.2.33]
36 6
vyatta@WEST# set tunnel 1 remote subnet 192.168.60.0/24 [edit vpn ipsec site‐to‐site peer 192.0.2.33]
vyatta@WEST# top vyatta@WEST# commit
5. Sau khi cấu hình, bạn dùng các lệnh show vpn để xem lại.
1.1.1.11 Cấu hình trên EAST
Các bước để cấu hình cho EAST cũng được thực hiện tương tự như WEST.
Thực hành 35. Enble chức năng VPN trên eth0
vyatta@EAST# set vpn ipsec ipsec‐interfaces interface eth0 vyatta@EAST# show vpn ipsec ipsec‐interfaces interface eth0
Thực hành 36. Cấu hình IKE group
vyatta@EAST# set vpn ipsec ike‐group IKE‐1E proposal 1
vyatta@EAST# set vpn ipsec ike‐group IKE‐1E proposal 1 encryption aes256 vyatta@EAST# set vpn ipsec ike‐group IKE‐1E proposal 1 hash sha1
vyatta@EAST# set vpn ipsec ike‐group IKE‐1E proposal 2 encryption aes128 vyatta@EAST# set vpn ipsec ike‐group IKE‐1E proposal 2 hash sha1
vyatta@EAST# set vpn ipsec ike‐group IKE‐1E lifetime 3600
Thực hành 37. Cấu hình ESP Group
vyatta@EAST# set vpn ipsec esp‐group ESP‐1E proposal 1
vyatta@EAST# set vpn ipsec esp‐group ESP‐1E proposal 1 encryption aes256 vyatta@EAST# set vpn ipsec esp‐group ESP‐1E proposal 1 hash sha1
vyatta@EAST# set vpn ipsec esp‐group ESP‐1E proposal 2 encryption 3des vyatta@EAST# set vpn ipsec esp‐group ESP‐1E proposal 2 hash md5
vyatta@EAST# set vpn ipsec esp‐group ESP‐1E lifetime 1800
Thực hành 38. Kết nối đến WEST
vyatta@EAST# set vpn ipsec site‐to‐site peer 192.0.2.1 authentication mode pre‐shared‐secret
vyatta@EAST# edit vpn ipsec site‐to‐site peer 192.0.2.1 [edit vpn ipsec site‐to‐site peer 192.0.2.1]
vyatta@EAST# set authentication pre‐shared‐secret test_key_1 [edit vpn ipsec site‐to‐site peer 192.0.2.1]
vyatta@EAST# set default‐esp‐group ESP‐1E [edit vpn ipsec site‐to‐site peer 192.0.2.1] vyatta@EAST# set ike‐group IKE‐1E [edit vpn ipsec site‐to‐site peer 192.0.2.1] vyatta@EAST# set local‐ip 192.0.2.33 [edit vpn ipsec site‐to‐site peer 192.0.2.1]
vyatta@EAST# set tunnel 1 local subnet 192.168.60.0/24 [edit vpn ipsec site‐to‐site peer 192.0.2.1]
vyatta@EAST# set tunnel 1 remote subnet 192.168.40.0/24 [edit vpn ipsec site‐to‐site peer 192.0.2.1]
vyatta@EAST# top vyatta@EAST# commit
1.1.1.12 Kiểm tra
Sau khi đã cấu hình hoàn tất cho hai router ở trên, tiến hành kiểm tra xem VPN đã hoạt động chưa. Chuẩn bị 2 máy client ở hai phía của router, đặt ip với lớp mạng lần lượt là 192.168.40.0/24 và 192.168.60.0/24, đừng quên trỏ default gateway về địa chỉ của router. Sau đó tiến hành ping giữa 2 client này với nhau, kết quả ping thành công, mặc dù không hề cấu hình định tuyến giữa hai router.
1.1.2 Remote Access VPN
1.1.2.1 Mô hình
Để cấu hình Remote Access, bạn triển khai mô hình mạng như sau:
38 8
Hình 16 – Mô hình triển khai VPN Remote Access Để cấu hình cho VPN Server bạn có thể lựa chọn một trong ba giải pháp:
• Sử dụng PPTP: Khi đó VPN Server lắng nghe kết nối ở port 1723, đây là giao thức cơ bản nhất trong kết nối VPN.
• Sử dụng giao thức với pre-share key: Khi đó VPN Server lắng nghe kết nối trên một tunnel được mã hóa bằng giao thức IPSec. Yêu cầu khi kết nối phải chứng thực bằng secret key đã được thỏa thuận.
• Sử dụng L2TP/IPSec với chứng chỉ số X.509: VPN Server lắng nghe kết nối trên một tunnel được mã hóa bằng chúng chỉ số X.509. Lúc này đòi hỏi cả hai phía Sever và Client chứng thực phải có một chứng chỉ số được cấp bởi một nhà cung cấp chúng chỉ số tin cậy.
1.1.2.2 Cấu hình VPN Server
Công việc cấu hình này đơn giản nhất, chỉ cần enable chức năng VPN trên interface sẽ lắng nghe kết nối.
Thực hành 39. Cấu hình VPN giao thức PPTP
vyatta@R1# set vpn pptp remote‐access outside‐address 12.34.56.78
vyatta@R1# set vpn pptp remote‐access client‐ip‐pool start 192.168.100.101 vyatta@R1# set vpn pptp remote‐access client‐ip‐pool stop 192.168.100.110 vyatta@R1# set vpn pptp remote‐access authentication mode local
vyatta@R1# set vpn pptp remote‐access authentication local‐users username testuser password testpassword
Thực hành 40. Cấu hình VPN giao thức L2TP/IPSec sử dụng pre-sharekey
vyatta@R1# set vpn ipsec ipsec‐interfaces interface wan1 vyatta@R1# set vpn ipsec nat‐traversal enable
vyatta@R1# set vpn ipsec nat‐networks allowed‐network 192.168.100.0/24 vyatta@R1# set vpn l2tp remote‐access outside‐address 12.34.56.78
vyatta@R1# set vpn l2tp remote‐access outside‐nexthop 12.34.56.254
vyatta@R1# set vpn l2tp remote‐access client‐ip‐pool start 192.168.100.101 vyatta@R1# set vpn l2tp remote‐access client‐ip‐pool stop 192.168.100.110 vyatta@R1# set vpn l2tp remote‐access ipsec‐settings authentication mode pre‐shared‐secret
vyatta@R1# set vpn l2tp remote‐access ipsec‐settings authentication pre‐ shared‐secret !secrettext!
vyatta@R1# set vpn l2tp remote‐access authentication mode local
vyatta@R1# set vpn l2tp remote‐access authentication local‐users username
testuser password testpassword vyatta@R1# commit
1.1.2.3 Kiểm tra
Để kiểm tra kết nối VPN, chúng ta dùng một máy client làm VPN Client, khởi tạo kết nối VPN cho nó, thực hiện như sau.
1. Select Start > Control Panel > Network Connections.
2. Click “Create a new connection”, Click Next.
3. Select “Connect to the network at my workplace”. Click Next.
4. Select “Virtual Private Network connection”. Click Next.
5. Nhâp tên kết nối, ví dụ “Vyatta-L2TP.” Click Next.
6. Select “Do not dial the initial connection”. Click Next.
7. Nhập địa chỉ ip của VPN server (trong ví dụ này là 12.34.56.78), Click Next.
8. Click Finish.
Đến đây thì bạn có thể kết nối VPN sử dụng giao thức PPTP, chọn vào biểu tượng mạng VPN, chọn connect, nhập user/pass là testuser/testpassword. Để có thể kết nối VPN bằng giao thức L2TP bạn phải tùy chỉnh lại.
9. Right-click vào “Vyatta-L2TP” icon. Chọn “Properties”.
10.Click vào tab “Security”. Click “IPsec Settings...”.
11.Check vào “Use pre-shared key for authentication”.
12.Nhập pre-shared key (trong ví dụ này là !secrettext!).
13.Click “OK”.
40 0
6 TỔNG KẾT
Chức năng của hệ thống Vyatta nổi bậc nhất có 3 nhóm: Định tuyến (OSPF, BGP), Bảo mật hệ thống (Firewall, IPS, Webproxy), bảo mật kết nối (NAT, VPN). Tuy nhiên trong bài này chúng tôi chỉ đề cập đến vấn đề nổi trội nhất, mục đích để các bạn tập trung vào một giải pháp, tránh tình trạng phân tán kiến thức.
Chức năng nổi trội nhất của Vyatta là Firewall, những tùy chọn về nó còn rất nhiều, mà trong khuôn khổ của bài viết này chúng ta không thể đề cập hết. Bạn có thể tích hợp thêm nhiều tính năng cho Web Filter và IPS bằng dịch vụ Vyatta Plus.