Virtual Private Network(VPN)
2 posters
Trang 1 trong tổng số 1 trang
Virtual Private Network(VPN)
BuiCongThanh(I92C) 28/10/2010, 17:17
Virtual Private Network – VPN – Gateway to Gateway
Chúng ta có 2 dạng VPN:
- VPN Gateway to Gateway: với dạng này được ứng dụng khá rộng rãi trong thực tế, hãy thử tưởng tượng xem công ty chúng ta có 2 trụ sở một ở HCM một ở HN và chúng ta muốn một máy Client bất kỳ trong mạng HCM có thể truy cập vào bất kỳ máy Client nào ở HN và ngược lại. Khi đó với mô hình VPN Gateway to Gateway sẽ giúp ta giải quyết vấn đề này. Với mô hình này thì tại một hệ thống mạng chúng ta phải dựng một VPN Server riêng và tiến hành kết nối các VPN Server này lại với nhau.
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_201343_gf-500x323.jpg]
[/url]
- VPN Client to Gateway: mô hình này cho phép một máy tính bất kỳ ở đâu có thể truy cập vào hệ thống mạng của chúng ta thông qua VPN Server đã được dựng lên trước đó
1/ VPN Gateway to Gateway
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_201618_gf-500x278.jpg]
[/url]
Giả sử tôi có 2 mạng riêng biệt là 172.16.1.0/24 và 10.0.1.0/24 và tôi muốn bất kỳ máy nào trong mạng thứ 1 đều có thể truy cập đến bất kỳ máy nào trong mạng thứ 2 thông qua mạng Internet, như vậy vấn đề đặt ra là tại mỗi mạng tôi phải dựng một VPN Server riêng biệt và thực hiện kết nối 2 VPN Server này lại với nhau.
Để cho đơn giản trong bài Lab này tôi sử dụng 3 mạng trong đó hai máy PC01 & PC03 là 2 máy cài VPN Server được nối với nhau thông qua Card Lan với mạng 192.168.1.0/24. Mạng này đóng vai trò như một mạng Internet dùng để nối 2 mạng 172.16.1.0/24 và 10.0.1.0/24 này lại.
Trong đó máy PC02 & PC04 đóng vai trò là các máy Client trong mạng tương ứng
[url=http://blog.gccom.net//uploads/2008/12/2008-12-01_140423_gf2.jpg]
[/url]
Cấu hình IP các máy như sau:
Máy Đặc tính PC01 PC02 PC03 PC04
<BLOCKQUOTE class="blogcontent restore floatcontainer">
Card Cross: nối trực tiếp các cặp máy PC01 với PC02 và PC03 với PC04 Tuy nhiên vì đây là mạng riêng nên vấn đề bảo mật phải được đặt ra tránh tình trạng một người dùng Internet nào đó có thể truy cập vào hệ thống mạng chúng ta mà không cung cấp đầy đủ thông tin đăng nhập. Chính vì thế tại mỗi VPN Server ta phải tạo một User để có một VPN Server nào đó muốn đăng nhập vào hệ thống phải khai báo đúng Account này thì mới có thể đăng nhập hệ thống được.
Trong bài tôi tạo User gccom1 có password là 123 tại PC01
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_205712_gf.jpg]
[/url]
Tiếp tục Double-click lên user gccom1 và chọn Tab Dial-in
Chọn Allow access có như vậy khi ta đứng từ mạng thứ 2 nối vào mạng thứ 1 thông qua VPN Server thì ta phải nhập đúng tài khoản này VPN Server của mạng thứ 1, lúc đó VPN Server của mạng thứ 1 mới cho phép truy cập vào hệ thống của nó
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_204217_gf.jpg]
[/url]
Tương tự cho mạng thứ 2 tại máy PC03 bạn tạo một user gccom2 có password là 123 và bật Allow Access trong mục Remote Access Permission lên
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_205728_gf.jpg]
[/url]
Và tôi tạm gọi 2 user này là user của VPN Server
Tại các máy VPN Server bạn vào Routing and Remote Access chọn Configure and Enable Routing and Remote Access
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_205816_gf.jpg]
[/url]
Chọn Custom configuration
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_205909_gf-500x406.jpg]
[/url]
Do chúng ta đã học tất cả các bài về NAT, Routing… nên tại đây tốt nhất là bạn chọn hết nhưng chừa mục thứ 2 Dial-up access ra vì thực chất công nghệ Dial-up (quay số điện thoại) đã quá lạc hậu mà trong bài chúng ta sẽ không đề cập tới.
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_15_181458_gf-500x404.jpg]
[/url]
Tại máy PC01 bạn nhấp phải vào Network Interfaces chọn New Demand-dial Interface để khai báo thông tin kết nối từ VPN Server của mình đến VPN Server kia
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_220711_gf.jpg]
[/url]
Tại mục Interface Name bạn phải nhập chính xác User của VPN Server mạng kia, vì khi ta từ mạng này truy cập vào mạng kia thì bị VPN Server mạng kia chặn lại yêu cầu khai báo chính xác User của hệ thống nó.
Nói tóm lại tại mạng thứ 1 PC01 phải nhập user gccom2 do PC03 của mạng thứ 2 tạo và ngược lại
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_220747_gf-500x383.jpg]
[/url]
Connection type bạn chọn Connect using virtual private networking (VPN)
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_220807_gf-500x383.jpg]
[/url]
VPN Type nếu ta chọn mặc định là Automatic selection cũng đồng nghĩa với việc ta chọn Point to Point Tunneling Protocol (PPTP) với tùy chọn này thì việc truy cập qua mạng Internet thông qua VPN vẫn được bảo mật nhưng với mức độ thấp, tuy nhiên tốc độ sẽ nhanh hơn là ta chọn tùy chọn thứ 3 Layer 2 Turnneling Protocol (L2PT). Trong mục này ta giữ nguyên lựa chọn thứ 1 và tôi sẽ quay lại với tùy chọn L2PT trong phần sau.
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_220830_gf-500x385.jpg]
[/url]
Tại bảng Destination Address bạn nhập IP Public của mạng thứ kia (xem lại bài NAT Server) tuy nhiên do trong bài này ta dùng mạng 192.168.1.0/24 làm giả lập mạng Internet nên IP Public của mạng thứ 2 chính là IP Card Lan của PC03 và IP Public của mạng thứ 1 là IP Card Lan của PC01
Tại PC01 ta nhập IP Public của mạng 10.0.1.0/24 là 192.168.1.2
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_220905_gf-500x384.jpg]
[/url]
Protocol and Sercurity giữ mặc định và chọn Next
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_220924_gf-500x384.jpg]
[/url]
Static Routers for Remote Network ta nhấp Add
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_221002_gf-500x384.jpg]
[/url]
Nhập vào ô Destination NetID của một mạng kia 10.0.1.0 và chọn OK
Chú ý rằng số 0 cuối cùng ngụ ý nói rằng ta sẽ truy cập tất cả các máy của cả hệ thống mạng 10.0.1.0/24 này
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_221324_gf.jpg]
[/url]
Tương tự tại PC03 ta nhập NetID mạng kia 172.16.1.0/24
Tại ô Dial Out Credentials thì ta không nhập tài khoản của VPN Server kia nữa mà nhập đúng tài khoản VPN Server của chính mình, tại máy PC01 tôi nhập User là gccom1 và password là 123
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_221406_gf-500x381.jpg]
[/url]
Lúc này trong cửa sổ Network Interfaces của VPN Server thứ 1 (PC01) xuất hiện thêm icon gccom2
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_221439_gf.jpg]
[/url]
Vì khi kết nối với nhau các VPN Server sẽ tự tạo thêm 2 địa chỉ IP Address mới nữa cho riêng mình (cộng với 2 IP của Card Lan & Card Cross thì mỗi máy VPN Server sẽ có đến 4 địa chỉ IP Address) một IP đóng vai trò như Router của chính mạng mình và một IP đóng vai trò như Router của mạng kia, để cấu hình ta làm như sau:
Tiếp tục nhấp phải vào PC01 chọn Properties
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_221452_gf.jpg]
[/url]
Chọn Tab IP và chọn Static address pool
Nếu bạn chọn Dynamic Host Configuration Protocol (DHCP) thì bạn phải cấu hình một DHCP Server để cấp phát IP cho nó tuy nhiên trong bài tôi không dựng DHCP mà gán IP chủ động cho nó
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_221559_gf.jpg]
[/url]
Nhập chuỗi IP mà bạn muốn gán cho VPN Server
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_221632_gf.jpg]
[/url]
Tương tự cho máy PC03
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_15_190334_gf.jpg]
[/url]
OK cuối cùng bạn Restart lại dịch vụ trên từng VPN Server tương ứng.
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_15_190001_gf.jpg]
[/url]
Đến đây cơ bản ta đã cấu hình xong VPN Gateway to Gateway, tuy nhiên ta chưa thực hiên kết nối 2 mạng này lại với nhau.
Vì VPN Server là một mạng ảo do ta tự xây dựng có tính riêng cao mà trên Internet người dùng lang thang không thể truy cập được. Vì vậy để các máy trong các mạng thấy được nhau ta phải tạo các VPN Network Connection
Bạn vào Network Connections của từng VPN Server chọn New Connection Winzard
Chọn tiếp Connect to the network at my workplace
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_222238_gf-500x382.jpg]
[/url]
Chọn tiếp Virtual Private Network connection
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_222253_gf-500x381.jpg]
[/url]
Tại máy PC01 nhập user của VPN Server mạng kia vào ô Company Name
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_222325_gf-500x384.jpg]
[/url]
Nhập IP Public của mạng kia trong bài chính là 192.168.1.2
[url=http://blog.gccom.net//uploads/2009/01/20090107-222032-gf-thumb.jpg][url=http://blog.gccom.net//uploads/2009/01/20090107-222032-gf-thumb.jpg]
[/url][/url]
Tương tự tại PC03 nhập IP Public của mạng kia trong bài chính là 192.168.1.1
[url=http://blog.gccom.net//uploads/2009/01/20090107-222019-gf-thumb1.jpg][url=http://blog.gccom.net//uploads/2009/01/20090107-222019-gf-thumb1.jpg]
[/url][/url]
Trong cửa sổ Network Connections của PC01 xuất hiện thêm icon VPN với giao thức PPTP
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_222450_gf.jpg]
[/url]
Trong cửa sổ Network Connections của PC03 xuất hiện thêm icon VPN với giao thức PPTP
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_223334_gf.jpg]
[/url]
Tại PC01 nhấp vào icon VPN nhập user & password của VPN Server mạng kia
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_225440_gf.jpg]
[/url]
Nhấp Connect, nếu kết nối thành công tại system tray sẽ xuất hiện icon VPN
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_230509_gf.jpg]
[/url]
Và tại máy PC03 cũng thông báo là kết nối thành công
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_230520_gf.jpg]
[/url]
Bây giờ bạn vào DOS ủa máy PC01 nhập ipconfig /all sẽ thấy xuất hiện thêm 2 IP mới đó là:
PPP adapter RAS Server và PPP adapter gccom2
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_15_190902-500x517.jpg]
[/url]
Như vậy chúng ta đã hoàn tất kết nối VPN Gateway to Gateway, bạn vào PC02 thử truy cập tài nguyên máy PC04 sẽ thấy kết quả thành công
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_15_192757_gf-500x395.jpg]
[/url]
Tuy nhiên trên thực tế để nâng cao chế độ bảo mật người ta không sử dụng giao thức PPTP mà sử dụng L2TP tuy nhiên tốc độ sẽ có phần chậm hơn nhưng dù sao đây vẫn là lựa chọn được ưu tiên hơn. Tại các VPN Server bạn nhấp phải vào PCX (local) chọn Properties
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_230132_gf.jpg]
[/url]
Chọn Tab Sercurity chọn mục Allow custom IPSec policy for L2PT connection và nhập Key ví dụ 123 chẳng hạn
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_230203_gf.jpg]
[/url]
Trở lại cửa sổ Network Connections nhấp phải vào icon VPN chọn Properties
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_230226_gf.jpg]
[/url]
Chọn Tab Sercurity chọn tiếp nút IPSec Settings
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_230254_gf.jpg]
[/url]
Chọn tiếp mục Use pre-sharedkey for authentication và nhập chính xác Key mà bạn đặt lúc nãy
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_230327_gf.jpg]
[/url]
Tiếp tục chọn Tab Networking trong mục Type of VPN bạn chọn L2TP IPSec VPN để chuyển từ giao thức PPTP sang L2TP
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_230409_gf.jpg]
[/url]
Bây giờ chúng ta kết nối các VPN Server với nhau sẽ thấy tại màn hình Status của VPN Server thông báo là đang chạy với giao thức L2TP
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_15_193345_gf.jpg]
[/url]
Ok mình vừa giới thiệu xong phần Virtual Private Network – VPN – Gateway to Gateway trong 70-291 của MCSA.
</BLOCKQUOTE>
Chúng ta có 2 dạng VPN:
- VPN Gateway to Gateway: với dạng này được ứng dụng khá rộng rãi trong thực tế, hãy thử tưởng tượng xem công ty chúng ta có 2 trụ sở một ở HCM một ở HN và chúng ta muốn một máy Client bất kỳ trong mạng HCM có thể truy cập vào bất kỳ máy Client nào ở HN và ngược lại. Khi đó với mô hình VPN Gateway to Gateway sẽ giúp ta giải quyết vấn đề này. Với mô hình này thì tại một hệ thống mạng chúng ta phải dựng một VPN Server riêng và tiến hành kết nối các VPN Server này lại với nhau.
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_201343_gf-500x323.jpg]
[/url]- VPN Client to Gateway: mô hình này cho phép một máy tính bất kỳ ở đâu có thể truy cập vào hệ thống mạng của chúng ta thông qua VPN Server đã được dựng lên trước đó
1/ VPN Gateway to Gateway
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_201618_gf-500x278.jpg]
[/url]Giả sử tôi có 2 mạng riêng biệt là 172.16.1.0/24 và 10.0.1.0/24 và tôi muốn bất kỳ máy nào trong mạng thứ 1 đều có thể truy cập đến bất kỳ máy nào trong mạng thứ 2 thông qua mạng Internet, như vậy vấn đề đặt ra là tại mỗi mạng tôi phải dựng một VPN Server riêng biệt và thực hiện kết nối 2 VPN Server này lại với nhau.
Để cho đơn giản trong bài Lab này tôi sử dụng 3 mạng trong đó hai máy PC01 & PC03 là 2 máy cài VPN Server được nối với nhau thông qua Card Lan với mạng 192.168.1.0/24. Mạng này đóng vai trò như một mạng Internet dùng để nối 2 mạng 172.16.1.0/24 và 10.0.1.0/24 này lại.
Trong đó máy PC02 & PC04 đóng vai trò là các máy Client trong mạng tương ứng
[url=http://blog.gccom.net//uploads/2008/12/2008-12-01_140423_gf2.jpg]
[/url]Cấu hình IP các máy như sau:
Máy Đặc tính PC01 PC02 PC03 PC04
<BLOCKQUOTE class="blogcontent restore floatcontainer">
Card Lan
IP Address 192.168.1.1 192.168.1.2 Subnet Mask 255.255.255.0 255.255.255.0 Default gateway Preferred DNS Card Cross IP Address 172.16.1.1 172.16.1.2 10.0.1.1 10.0.1.2 Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 Default gateway 172.16.1.1 10.0.1.1 Preferred DNS Card Lan: nối gián tiếp 2 máy PC01 & PC03 với nhau thông qua Switch Card Cross: nối trực tiếp các cặp máy PC01 với PC02 và PC03 với PC04 Tuy nhiên vì đây là mạng riêng nên vấn đề bảo mật phải được đặt ra tránh tình trạng một người dùng Internet nào đó có thể truy cập vào hệ thống mạng chúng ta mà không cung cấp đầy đủ thông tin đăng nhập. Chính vì thế tại mỗi VPN Server ta phải tạo một User để có một VPN Server nào đó muốn đăng nhập vào hệ thống phải khai báo đúng Account này thì mới có thể đăng nhập hệ thống được.
Trong bài tôi tạo User gccom1 có password là 123 tại PC01
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_205712_gf.jpg]
[/url]Tiếp tục Double-click lên user gccom1 và chọn Tab Dial-in
Chọn Allow access có như vậy khi ta đứng từ mạng thứ 2 nối vào mạng thứ 1 thông qua VPN Server thì ta phải nhập đúng tài khoản này VPN Server của mạng thứ 1, lúc đó VPN Server của mạng thứ 1 mới cho phép truy cập vào hệ thống của nó
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_204217_gf.jpg]
[/url]Tương tự cho mạng thứ 2 tại máy PC03 bạn tạo một user gccom2 có password là 123 và bật Allow Access trong mục Remote Access Permission lên
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_205728_gf.jpg]
[/url]Và tôi tạm gọi 2 user này là user của VPN Server
Tại các máy VPN Server bạn vào Routing and Remote Access chọn Configure and Enable Routing and Remote Access
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_205816_gf.jpg]
[/url]Chọn Custom configuration
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_205909_gf-500x406.jpg]
[/url]Do chúng ta đã học tất cả các bài về NAT, Routing… nên tại đây tốt nhất là bạn chọn hết nhưng chừa mục thứ 2 Dial-up access ra vì thực chất công nghệ Dial-up (quay số điện thoại) đã quá lạc hậu mà trong bài chúng ta sẽ không đề cập tới.
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_15_181458_gf-500x404.jpg]
[/url]Tại máy PC01 bạn nhấp phải vào Network Interfaces chọn New Demand-dial Interface để khai báo thông tin kết nối từ VPN Server của mình đến VPN Server kia
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_220711_gf.jpg]
[/url]Tại mục Interface Name bạn phải nhập chính xác User của VPN Server mạng kia, vì khi ta từ mạng này truy cập vào mạng kia thì bị VPN Server mạng kia chặn lại yêu cầu khai báo chính xác User của hệ thống nó.
Nói tóm lại tại mạng thứ 1 PC01 phải nhập user gccom2 do PC03 của mạng thứ 2 tạo và ngược lại
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_220747_gf-500x383.jpg]
[/url]Connection type bạn chọn Connect using virtual private networking (VPN)
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_220807_gf-500x383.jpg]
[/url]VPN Type nếu ta chọn mặc định là Automatic selection cũng đồng nghĩa với việc ta chọn Point to Point Tunneling Protocol (PPTP) với tùy chọn này thì việc truy cập qua mạng Internet thông qua VPN vẫn được bảo mật nhưng với mức độ thấp, tuy nhiên tốc độ sẽ nhanh hơn là ta chọn tùy chọn thứ 3 Layer 2 Turnneling Protocol (L2PT). Trong mục này ta giữ nguyên lựa chọn thứ 1 và tôi sẽ quay lại với tùy chọn L2PT trong phần sau.
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_220830_gf-500x385.jpg]
[/url]Tại bảng Destination Address bạn nhập IP Public của mạng thứ kia (xem lại bài NAT Server) tuy nhiên do trong bài này ta dùng mạng 192.168.1.0/24 làm giả lập mạng Internet nên IP Public của mạng thứ 2 chính là IP Card Lan của PC03 và IP Public của mạng thứ 1 là IP Card Lan của PC01
Tại PC01 ta nhập IP Public của mạng 10.0.1.0/24 là 192.168.1.2
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_220905_gf-500x384.jpg]
[/url]Protocol and Sercurity giữ mặc định và chọn Next
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_220924_gf-500x384.jpg]
[/url]Static Routers for Remote Network ta nhấp Add
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_221002_gf-500x384.jpg]
[/url]Nhập vào ô Destination NetID của một mạng kia 10.0.1.0 và chọn OK
Chú ý rằng số 0 cuối cùng ngụ ý nói rằng ta sẽ truy cập tất cả các máy của cả hệ thống mạng 10.0.1.0/24 này
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_221324_gf.jpg]
[/url]Tương tự tại PC03 ta nhập NetID mạng kia 172.16.1.0/24
Tại ô Dial Out Credentials thì ta không nhập tài khoản của VPN Server kia nữa mà nhập đúng tài khoản VPN Server của chính mình, tại máy PC01 tôi nhập User là gccom1 và password là 123
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_221406_gf-500x381.jpg]
[/url]Lúc này trong cửa sổ Network Interfaces của VPN Server thứ 1 (PC01) xuất hiện thêm icon gccom2
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_221439_gf.jpg]
[/url]Vì khi kết nối với nhau các VPN Server sẽ tự tạo thêm 2 địa chỉ IP Address mới nữa cho riêng mình (cộng với 2 IP của Card Lan & Card Cross thì mỗi máy VPN Server sẽ có đến 4 địa chỉ IP Address) một IP đóng vai trò như Router của chính mạng mình và một IP đóng vai trò như Router của mạng kia, để cấu hình ta làm như sau:
Tiếp tục nhấp phải vào PC01 chọn Properties
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_221452_gf.jpg]
[/url]Chọn Tab IP và chọn Static address pool
Nếu bạn chọn Dynamic Host Configuration Protocol (DHCP) thì bạn phải cấu hình một DHCP Server để cấp phát IP cho nó tuy nhiên trong bài tôi không dựng DHCP mà gán IP chủ động cho nó
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_221559_gf.jpg]
[/url]Nhập chuỗi IP mà bạn muốn gán cho VPN Server
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_221632_gf.jpg]
[/url]Tương tự cho máy PC03
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_15_190334_gf.jpg]
[/url]OK cuối cùng bạn Restart lại dịch vụ trên từng VPN Server tương ứng.
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_15_190001_gf.jpg]
[/url]Đến đây cơ bản ta đã cấu hình xong VPN Gateway to Gateway, tuy nhiên ta chưa thực hiên kết nối 2 mạng này lại với nhau.
Vì VPN Server là một mạng ảo do ta tự xây dựng có tính riêng cao mà trên Internet người dùng lang thang không thể truy cập được. Vì vậy để các máy trong các mạng thấy được nhau ta phải tạo các VPN Network Connection
Bạn vào Network Connections của từng VPN Server chọn New Connection Winzard
Chọn tiếp Connect to the network at my workplace
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_222238_gf-500x382.jpg]
[/url]Chọn tiếp Virtual Private Network connection
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_222253_gf-500x381.jpg]
[/url]Tại máy PC01 nhập user của VPN Server mạng kia vào ô Company Name
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_222325_gf-500x384.jpg]
[/url]Nhập IP Public của mạng kia trong bài chính là 192.168.1.2
[url=http://blog.gccom.net//uploads/2009/01/20090107-222032-gf-thumb.jpg][url=http://blog.gccom.net//uploads/2009/01/20090107-222032-gf-thumb.jpg]
[/url][/url]Tương tự tại PC03 nhập IP Public của mạng kia trong bài chính là 192.168.1.1
[url=http://blog.gccom.net//uploads/2009/01/20090107-222019-gf-thumb1.jpg][url=http://blog.gccom.net//uploads/2009/01/20090107-222019-gf-thumb1.jpg]
[/url][/url]Trong cửa sổ Network Connections của PC01 xuất hiện thêm icon VPN với giao thức PPTP
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_222450_gf.jpg]
[/url]Trong cửa sổ Network Connections của PC03 xuất hiện thêm icon VPN với giao thức PPTP
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_223334_gf.jpg]
[/url]Tại PC01 nhấp vào icon VPN nhập user & password của VPN Server mạng kia
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_225440_gf.jpg]
[/url]Nhấp Connect, nếu kết nối thành công tại system tray sẽ xuất hiện icon VPN
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_230509_gf.jpg]
[/url]Và tại máy PC03 cũng thông báo là kết nối thành công
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_230520_gf.jpg]
[/url]Bây giờ bạn vào DOS ủa máy PC01 nhập ipconfig /all sẽ thấy xuất hiện thêm 2 IP mới đó là:
PPP adapter RAS Server và PPP adapter gccom2
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_15_190902-500x517.jpg]
[/url]Như vậy chúng ta đã hoàn tất kết nối VPN Gateway to Gateway, bạn vào PC02 thử truy cập tài nguyên máy PC04 sẽ thấy kết quả thành công
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_15_192757_gf-500x395.jpg]
[/url]Tuy nhiên trên thực tế để nâng cao chế độ bảo mật người ta không sử dụng giao thức PPTP mà sử dụng L2TP tuy nhiên tốc độ sẽ có phần chậm hơn nhưng dù sao đây vẫn là lựa chọn được ưu tiên hơn. Tại các VPN Server bạn nhấp phải vào PCX (local) chọn Properties
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_230132_gf.jpg]
[/url]Chọn Tab Sercurity chọn mục Allow custom IPSec policy for L2PT connection và nhập Key ví dụ 123 chẳng hạn
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_230203_gf.jpg]
[/url]Trở lại cửa sổ Network Connections nhấp phải vào icon VPN chọn Properties
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_230226_gf.jpg]
[/url]Chọn Tab Sercurity chọn tiếp nút IPSec Settings
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_230254_gf.jpg]
[/url]Chọn tiếp mục Use pre-sharedkey for authentication và nhập chính xác Key mà bạn đặt lúc nãy
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_230327_gf.jpg]
[/url]Tiếp tục chọn Tab Networking trong mục Type of VPN bạn chọn L2TP IPSec VPN để chuyển từ giao thức PPTP sang L2TP
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_08_230409_gf.jpg]
[/url]Bây giờ chúng ta kết nối các VPN Server với nhau sẽ thấy tại màn hình Status của VPN Server thông báo là đang chạy với giao thức L2TP
[url=http://blog.gccom.net//uploads/2008/12/gccom_2008_12_15_193345_gf.jpg]
[/url]Ok mình vừa giới thiệu xong phần Virtual Private Network – VPN – Gateway to Gateway trong 70-291 của MCSA.
</BLOCKQUOTE>
BuiCongThanh(I92C)- Tổng số bài gửi : 22
Join date : 22/09/2010
Age : 47
Re: Virtual Private Network(VPN)
DinhTranHoangQuan_I92C 28/10/2010, 22:01
Việc ứng dụng VPN vào thực tế khá nhiều, nhất là những công ty có nhiều chi nhánh thường sử dụng để đồng bộ hóa dữ liệu. Ngoài ra 1 ứng dụng khá phổ biến của VPN là dùng để chơi game local. Tuy nhiên việc tạo 1 VPN server là khá phức tạp, tốn công sức. Thay vào đó ta có thể sử dụng soft để tạo mạng riêng ảo khá đơn giản, điển hình là Hamachi (https://secure.logmein.com/products/hamachi2/). Việc thiết lập khá là đơn giản và có thể sử dụng miễn phí 16 clients trên 1 mạng. Cũng có thể sử dụng Hamachi cho các công ty nhỏ có nhu cầu nhưng không có chi phí cho việc xây dựng 1 VPN server.
DinhTranHoangQuan_I92C- Tổng số bài gửi : 23
Join date : 25/10/2010
Similar topics» Thảo luận Bài 3
» Chat public và private
» Tạo thư mục riêng tư (private) trong Windows XP
» Máy Bị disble Network ID
» Vote cho câu hỏi nhỏ về Database sys or Network sys
» Chat public và private
» Tạo thư mục riêng tư (private) trong Windows XP
» Máy Bị disble Network ID
» Vote cho câu hỏi nhỏ về Database sys or Network sys
Trang 1 trong tổng số 1 trang
Permissions in this forum:
Bạn không có quyền trả lời bài viết