HƯỚNG DẪN CẤU HÌNH VPN SERVER
TRÊN WINDOWS SERVER 2003
MỤC LỤC
Cài đặt windows server 2003 và update các service pack
Cấu hình VPN server
Cấu hình Nat
Cấu hình Filter
Do nhu cầu bảo mật khi truy cập vào
các server của công ty từ các mạng public không đáng tin
cậy của các thành viên trong công ty.
Một kênh kết nối mã hóa dữ liểu cần
được thiết lập trên các mạng public không
đáng tin cậy cần được xây dựng, giúp cho
dữ liệu mà các thành viên truyền đi trên mạng khi
truy cập vào các server của công ty được mã hóa. Vì
thế, yêu cầu đặt ra là cấu hình một VPN
server + NAT và
thông qua VPN server này các remote client có thể truy cập các tài
nguyên công ty trên mạng public được an toàn.
1.
Cài
đặt windows server 2003 và update sevice pack
2.
Cấu
hình VPN
Routing and Remote Access, cửa sổ Routing and Remote Access hiện ra.
Nhấp phải trên CONGDAT (local) chọn Configure And Enable Routing And Remote Access.
Sau khi màn hình Welcome to the routing and remote access server setup winzard hiện ra, ta nhấnNext.
Chọn
mục Remote access (dial-up or vpn).
Tiếp tục Nhấn Next
Tại đây ta config
server VPN nên ta chọn mục VPN
như hình trên, tiếp tục nhấn Next
Tại cửa sổ
tiếp theo này, wizard đưa ra các
lựa chọn cho ta chọn card mạng nào là card mạng
external (card mạng đó đi được internet). Và
cũng tại cửa sổ này, ta có thể enable hoặc
disable security trên interface external (Enable
security on the select interface by setting up static packet filters),
nếu ta check mục này, thì tất cả client không the
kết nối được vào vpn server vì mặc
định, firewall sẽ chặn tấ cả các kết
nối của client vào vpn sever. Vì thế tại mục tùy
chọn này ,ta có thể uncheck (ta có
thể cấu hình mục này sau khi đã cấu hình VPN hoàn
tất ), để dể dàng debug lỗi. Tiếp
tục nhấn nút Next.
Tại đây, ta có
thể cấu hình để server VPN cấp ip mạng
Internal cho client khi client kết nối vpn vào thành công, có 2 tùy
chọn ở đây
Automatically :
Nếu mạng internal có sẳn một DHCP, thì ta chọn
tùy chọn này để DHCP đó cấp luôn ip cho các client
khi client kết nối VPN vào. Nếu chọn tùy chọn
này, bạn phải khai báo DHCP server trong mục DHCP relay agent sau khi đã
cấu hình vpn hoàn tất.
From a specified range of addresses :
chọn tùy chọn này giúp ta chỉ định một dãy
ip sẽ được cấp cho client khi client kết
nối vào vpn server.
Trong cả 2
trường hợp, các ip cấp cho client khi client kết
nối vpn vào là dãy ip internal của vpn server.
Tại đây ta chọn From a specified range of addresses. Nhấp Next để đến cửa sổ kế tiếp.
Ở
cửa sổ kế tiếp, ta khai báo dãy ip internal sẽ
cấp cho client khi client kết nối vào vpn. Nhấn next để đến cửa sổ
kế tiếp.
Nếu trong mạng
hiện thời có sẳn một RADIUS server dùng để
xác thực remote client, ta có thể chọn Yes, ngược lại chọn NO, vì Routing And Remote Access có thể tự xác thực
các remote client khi client kế nối vào VPN server. ở đây ta chọn No, use Routing and Remote Access to authenticate connection requests
Nhấn next để đến cửa sổ kế tiếp.
Nhấn Finish để hoàn tất.
3.
Cấp
Account VPN client
Trên Desktop, nhấp
phải chuột lên My Computer,
Chọn như hình vẽ,
client khi connect vao vpn server sẽ phải
đổi lại password của acount đó và client sẽ
tự quản lý password account của mình.
Trên panel bên phải,
nhấp phải vào user testvpn
mà ta mới vừa tạo, chọn Properties.
Trong hộp thọai Properties.
Trong
phần Remote access permission
(Dial-in or VPN) :
chọn Allow Access
Trong
phần Assign a static ip address : Chon check
box này và nhập địa chỉ ip sẽ được
cấp cho client (ip internal)
Trong
phần Apply Static Routes :
chọn check box này và nhấp vào Button Static routes. Cửa sổ Static routes hiện ra, nhập địa mạng
và subnet mạng của network internal.
Luu ý :
phải chọn check box static
routes và nhập địa chỉ mạng, thì khi đó,
các client kến nối vào VPN
server mới được cấp địa chỉ ip mà
đã set ở trên.
4.
Cấu
hình Nat
Để client có thể
đi internet thông qua kết nối vpn vừa setup ở
trên, ta cần phải setup Nat trên VPN server, khi client kết
nối vào VPN server thành công, các remote client trên cơ bản
trở thành một thành viên của mạng Local Area Network, vì thế khi các client đi internet,
cần qua một con Nat tên VPN server.
Trong mục IP Routing, nhấp phải chuột lên General chọn New Routing Protocol
Trong cửa
sổ New Routing Protocol,
chọn Nat/Basic Firewall, chọn Ok.
Trên Panel bên
trái, trong mục IP routing.
Chọn Nat/Basic Firewall, trên
panel bên phải, nhấp phải chuột trên vùng trống chọn
New Interface
Trong cửa sổ New interface, lần lượt
chọn tất cả các interface. Đầu tiên chọn interface Wan
và nhấn Ok, sau đó chọn như hình bên dưới
Ta chọn như trên vì interface này
là interface wan kết nối với internet, nên Nat sẽ
chạy trên interface này.
Tương tự cho các interfacecòn
lại:Internal
và Local area network nhưng
để các tùy chọn mặc định và nhấn ok.
4.Cấu hình Filter
Cấu hình
firewall là một trong những yêu cầu trong việc
cấu hình VPN server.
Ở đây, ta chỉ
cấu hình ở mức căn bản(Basic
Firewall) mà Windows service 2003 cho phép trên Nat.
Yêu cầu của việc cấu hình Firewall.
Trên interface External
Chặn tất cả các port, chỉ cho phép các port sau đi thông qua:
+ Port: 1723, port của VPN
+
Protocol 47:
Protocol GRE dùng để xác
thực remote client
+
Port 3389: port remote desktop, chỉ cho phép các ip đáng tin
cậy sử dụng port này
+
ICMP: chỉ cho phép các ip đáng tin cậy mới có thể
ping tới VPN server
Cấu hình
Trên Panel bên trái, chọn
mở rộng IP Routing, chọn
mục Nat/Basic Firewall, trên
Panel bên phải, nhấp phải chuột trên interface Wan, chọn Properties, cửa sổ Properties
hiện ra, nhấp Button Inbound
Filters
Nhấn Button New để lần
lượt setup các rule mà cho phép các gói tin nào được
đi thông qua interface wan, sau khi đã setup hoàn tất,
chọn radio button Drop all packets
except those that meet the criteria below.