PHẦN 1: VPN CLIENT TO GATEWAY
Bạn có thể định cấu hình và quản lý Remote Access server trong Windows Server bằng cách sử dụng Remote Access Management console.
VPN client to gateway cho phép người dùng làm việc từ xa có thể truy cập và sử dụng các ứng dụng hay dữ liệu tại trụ sở của công ty một cách an toàn.
Hoàn tất phần này bạn sẽ biết cách cài và cấu hình VPN Client to Gateway, hỗ trợ cli tent làm việc từ xa có thể kết nối và truy cập tài nguyên trong công ty.
CÁC BƯỚC TRIỂN KHAI:
1. Cấu hình Routing and Remote Access
2. Tạo user để VPN Client kết nối vào VPN Server
3. Cấu hình VPN Client bằng giao thức PPTP
4. Cấu hình VPN Server bằng giao thức L2TP
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 3 máy Windows Server 201 Data Center
– Đặt IP cho các máy theo bảng sau:
| INTERFACE | PC01 | PC02 | PC03 | |
INTERNAL |
IP Address | 172.16.1.1 | 172.16.1.2 | DISABLED |
| Subnet Mask | 255.255.0.0 | 255.255.0.0 | ||
| Default GW | 172.16.1.2 | Bỏ trắng | ||
| DNS | Bỏ trắng | Bỏ trắng | ||
EXTERNAL |
IP Address | DISABLED |
192.168.1.2 | 192.168.1.3 |
| Subnet Mask | 255.255.255.0 | 255.255.255.0 | ||
| Default GW | Bỏ trắng | Bỏ trắng | ||
| DNS | Bỏ trắng | Bỏ trắng | ||
– Tắt Firewall trên cả 3 máy
– PC02: Cài đặt Role Routing and Remote Access
B- THỰC HIỆN VPN CLIENT TO GATEWAY
1. Cấu hình Routing and Remote Access (Thực hiện trên máy PC02)
B1 – Mở Server Manager, vào menu Tools, chọn Routing and Remote Access
B2 – Chuột phải PC02, chọn Configure and Enable Routing and Remote Access
B3 – Màn hình Welcome, chọn Next.
B4 – Màn hình Configuration, chọn Custom Configuration, chọn Next
B5 – Đánh dấu chọn 2 ô LAN routing và VPN access, sau đó chọn Next
B6 – Màn hình Completing, chọn Finish, sau dó chọn Start service
B7 – Chuột phải PC02, chọn Properties
B8 – Qua tab IPv4, chọn Static address pool, chọn Add
B9 – Cửa sổ New IPv4 Address Range, nhập vào dãy địa chỉ như sau:
+ Start IP Address: 10.0.0.1
+ End IP Address: 10.0.0.254
Chọn OK 2 lần
2. Tạo user để VPN Client kết nối vào VPN Server (Thực hiện trên máy PC02)
| B1 – Mở Local Users and Groups, tạo user sau:
+ User name: u1 + Password: P@ssword Lưu ý: Bỏ dấu check ô User must change password at next log on
|
B2 – Chuột phải user u1, chọn Properties. Qua tab Dial-in, bên dưới mục Network Access Permission, chọn Allow Access, sau đó chọn OK
|
3. Cấu hình VPN Client bằng giao thức PPTP (Thực hiện trên máy PC03)
B1 – Mở Control Panel, chọn Network and Sharing Center, sau đó chọn Set up a new connection or network
B2 – Chọn Connect to a workplace
B3 – Chọn Use my Internet connection (VPN), sau đó chọn I’ll setup an Internet connection later
B4 – Mục Internet address, nhập vàp IP LAN của PC02: 192.168.1.2. Mục Destination Name, đặt tên cho kết nối: VPN Connection, chọn Create
B5 – Chuột phải VPN Connection vừa tạo, chọn Connect / Disconnect
B6 – Thanh Charmbar ở góc bên phải xuất hiện, chọn VPN Connection, chọn Connect. Khai báo thông tin username u1 / P@ssword
B8 – Quan sát thấy kết nối VPN thành công
B9 – Mở CMD, gõ lệnh IPCONFIG /ALL, quan sát thấy PC03 đã nhận IP từ VPN Server
B10 – Lần lượt Ping đến các địa chỉ trong mạng nội bộ: 172.16.1.1 và 172.16.1.2. Ping thành công
Nhận xét: Máy PC03 đã được VPN Server cấp 1 địa chỉ IP nằm trong dãy 10.0.0.1 đến 10.0.0.254. Máy PC03 và PC01 liên lạc được với nhau.
B11 – Chuột phải kết nối VPN Connection, chọn Status
B12 – Qua tab Details, thấy mục Device Name: PPTP. Như vậy VPN đang kết nối bằng giao thức PPTP
4. Cấu hình VPN Server bằng giao thức L2TP (Thực hiện trên máy PC02)
B1 – Mở Routing and Remote Access, chuột phải PC02, chọn Properties
B2 – Qua tab Security, đánh dấu check ô Allow custom Ipsec policy for L2TP/IKEv2 connection. Mục Preshared key, nhập vào 123456, sau đó chọn OK 2 lần
B3 – Chuột phải PC02, chọn All Tasks, sau đó chọn Restart
B4 – Qua máy PC03, mở Network Connection, chuột phải vào VPN Connection, chọn Properties
B5 – Qua tab Security, bên dưới mục Type of VPN, chọn L2TP/Ipsec, chọn Advanced settings
B6 – Chọn Use preshared key for authentication, mục Key nhập vào: 123456, chọn OK 2 lần
B7 – Chuột phải vào VPN Connection vừa tạo, nhấn Connect/Disconnect.
B8 – Chuột phải vào Connecion VPN Connection, chọn Status.
B9 – Qua tab Details, thấy mục Device Name: L2TP. Lúc này VPN kết nối bằng giao thức L2TP
PHẦN 2: VPN GATEWAY TO GATEWAY
VPN gateway to gateway (hay còn gọi là VPN Site to Site) cho phép thiết lập kết nối giữa 2 hay nhiều nhánh mạng ở xa lại với nhau. Giả sử Công ty của bạn có nhiều văn phòng làm việc ở nhiều đia phương khác nhau, Bạn có thể dùng VPN gateway to gateway kết nối các mạng văn phòng chi nhánh với văn phòng trung tâm.
CÁC BƯỚC TRIỂN KHAI:
1. Cấu hình VPN Server dùng giao thức PPTP
2. Cấu hình VPN Server dùng giao thức L2TP
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 4 máy Windows Server 2019/2022 Data Center
– Đặt IP theo bảng sau:
| INTERFACE | PC01 | PC02 | PC03 | PC04 | |
| INTERNAL | IP Address | 172.16.1.1 | 172.16.1.2 | 172.16.2.3 | 172.16.2.4 |
| SM | 255.255.0.0 | 255.255.0.0 | 255.255.0.0 | 255.255.0.0 | |
| Default GW | 172.16.1.2 | Bỏ trắng | Bỏ trắng | 172.16.2.3 | |
| DNS | Bỏ trắng | Bỏ trắng | Bỏ trắng | Bỏ trắng | |
EXTERNAL |
IP Address | DISABLED | 192.168.1.2 | 192.168.1.3 | DISABLED |
| SM | 255.255.255.0 | 255.255.255.0 | |||
| Default GW | Bỏ trắng | Bỏ trắng | |||
| DNS | Bỏ trắng | Bỏ trắng | |||
– Tắt Firewall trên 4 máy
– PC02 và PC03: Cài đặt Role Routing and Remote Access
– Trên máy PC02, tạo user: hanoi, password: hanoi. Chuột phải vào user hanoi, chọn Properties. Qua tab Dial-in. Bên dưới mục Network Access Permission, chọn ô Allow Access và chọn OK
B- THỰC HIỆN VPN GATEWAY TO GATEWAY
1. Cấu hình Routing and Remote Access (Thực hiện trên máy PC02)
B1 – Mở Server Manager, vào menu Tools, chọn Routing and Remote Access
B2 – Chuột phải PC02, chọn Configure and Enable Routing and Remote Access
B3 – Màn hình Welcome, chọn Next.
B4 – Màn hình Configuration, chọn Custom Configuration, chọn Next
B5 – Đánh dấu chọn 2 ô LAN routing và VPN access, sau đó chọn Next
B6 – Màn hình Completing, chọn Finish, sau dó chọn Start service
B7 – Chuột phải Network Interfaces, chọn New Demand-dial Interface, sau đó chọn Next
B8 – Màn hình Interface Name, nhập hanoi vào mục Interface name, chọn Next
B9 – Màn hình Connection Type, chọn Connect using virtual private networking (VPN)
B10 – Màn hình VPN Type, chọn Point to Point Tunneling Protocol (PPTP), sau đó chọn Next
B11 – Màn hình Destination Address, nhập địa chỉ IP card External của máy PC03 vào ô Host Name or IP Address, chọn Next
B12 – Màn hình Protocol and Security, giữ nguyên như mặc định, chọn Next
B13 – Màn hình Static Routes for Remote Networks, chọn Add
B14 – Khai báo IP theo thông số sau:
+ Destination: 172.16.2.0
+ Network Mask: 255.255.255.0
+ Metric: 1
Chọn OK, sau đó chọn Next
B15 – Màn hình Dial-Out Credentials, nhập vào những thông tin sau:
+ User name: saigon
+ Domain: để trống
+ Password: saigon
+ Confirm password: saigon
Chọn Next, sau đó chọn Finish
B16 – Quay lại cửa sổ Routing and Remote Access, chuột phải PC02, chọn Properties
B17 – Qua tab IPv4, chọn Static address pool, chọn Add
B18 – Trong cửa sổ New IPv4 Address Range, nhập vào dãy IP sau:
+ Start IP address: 10.0.0.1
+ End IP address: 10.0.0.254
Chọn OK 2 lần
B19 – Quay lại cửa sổ Routing and Remote Access, chuột phải PC02, chọn All Tasks, sau đó Restart
B20 – Trên PC03, thực hiện tương tự các bước cấu hình VPN Server trên máy PC02, thay đổi các thông tin sau:
– Tại bước khai báo Interface, đặt tên Interface Name: saigon
– Tại bước khai báo Dial Out Credentials:
+ User name: hanoi
+ Domain: (để trống)
+ Password: hanoi
+ Confirm password: hanoi
– Tại bước tạo Static Routes:
+ Interface: saigon
+ Destination: 172.16.1.0
+ Network Mask: 255.255.255.0
+ Metric: 1
– Tại bước tạo Static Address Pool:
+ Start IP address: 10.10.10.1
+ End IP addres: 10.10.10.254
B21 – Trên PC01, Sign in Administrator. Mở CMD, gõ lệnh ping <địa chỉ IP máy PC04> (VD: ping 172.16.2.4), ping thành công
B22 – Qua máy PC02, quan sát connection hanoi, sẽ thấy Connected
B23 – Ở khung bên trái, chọn Ports, sẽ thấy kết nối dạng PPTP và Status là Active
Nhận xét: 2 site Saigon và Hanoi đã kết nối thành công
2. Cấu hình VPN Server dùng giao thức L2TP (Thực hiện trên máy PC02)
B1 – Chuột phải vào connection hanoi, chọn Properties
B2 – Qua tab Security, bên dưới mục Type of VPN, chọn L2TP/Ipsec, chọn Advanced settings
B3 – Chọn Use preshared key for authentication, mục Key nhập vào: 123456, chọn OK 2 lần
B4 – Cửa sổ Routing and Remote Access, chuột phải PC02, chọn Properties
B5 – Qua tab Security, đánh dấu check ô Allow custom Ipsec policy for L2TP/IKEv2 connection. Mục Preshared key, nhập vào 123456, sau đó chọn OK 2 lần
B6 – Chuột phải PC02, chọn All Tasks, sau đó chọn Restart
B7- Trên máy PC03, lặp lại thao tác cấu hình VPN Server bằng giao thức L2TP
B8 – Trên máy PC01, Sign in Administrator. Mở CMD, gõ lệnh ping <địa chỉ IP máy PC04> (VD: ping 172.16.2.4), ping thành công
B9 – Qua máy PC02, quan sát connection hanoi, sẽ thấy Connected
B10 – Ở khung bên trái, chọn Ports, sẽ thấy kết nối dạng L2TP và Status là Active
Phần 3. SECURE SOCKET TUNNELING PROTOCOL (SSTP) -VPN SSTP
Secure Socket Tunneling Protocol (SSTP) là giao thức phổ biến được sử dụng trong các kết nối Virtual Private Network (VPN).
Giao thức này do phát triển bởi Microsoft nên nó phổ biến trong môi trường Windows.
Microsoft đã phát triển công nghệ SSTP để thay thế các tùy chọn PPTP hoặc L2TP/IPSec hiện có trong Windows.
SSTP được sử dụng cho các kết nối an toàn và công nghệ đằng sau nó là cơ chế bắt tay SSL/TLS sử dụng port 443.
CÁC BƯỚC TRIỂN KHAI:
1. Xin SSTP Certificate cho VPN Server
2. Cấu hình VPN Client-to-Gateway
3. Cấu hình NAT Inbound
4. Download CA Certificate
5. Cấu hình Trusted Root CA trên VPN Client
6. Tạo VPN Connection và kiểm tra kết nối
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 3 máy:
+ PC01: Windows Server 2019/2022 Data Center DC (Domain: DOM01.LOCAL). Tạo OU VPN và tạo user u1 nằm trong OU này, cấp quyền Allow Access. Cài đặt Enterprise CA (CA Name: DOM01-CA). Sau khi cấu hình CA Server, restart máy PC02 để máy này tự động Trust CA Server trên PC01.
+ PC02: Domain member chạy Windows Server 2019/2022 Data Center. Cài đặt Routing and Remote Access
+ PC03: Windows 10/11 Professional
– Cấu hình IP theo bảng sau:
| INTERFACE | PC01 | PC02 | PC03 | |
INTERNAL |
IP Address | 172.16.1.1 | 172.16.1.2 | DISABLED |
| SM | 255.255.0.0 | 255.255.0.0 | ||
| Default GW | 172.16.1.2 | Bỏ trắng | ||
| DNS | 172.16.1.1 | 172.16.1.1 | ||
EXTERNAL |
IP Address | DISABLED |
192.168.1.2 | 192.168.1.3 |
| SM | 255.255.255.0 | 255.255.255.0 | ||
| Default GW | Bỏ trắng | Bỏ trắng | ||
| DNS | Bỏ trắng | Bỏ trắng | ||
B- THỰC HIỆN VPN SSTP
1. Yêu cầu SSTP Certificate cho VPN Server (Thực hiện trên máy PC02)
B1 – Nhấn tổ hợp phím + R, gõ MMC
B2 – Vào menu File 🡪 chọn Add/Remove Snap-in
B3 – Vào menu File, chọn Add/Remove Snap In, chọn Certificates, chọn Add và chọn OK.
B4 – Tiếp theo chọn Computer Account, chọn Next
B5 – Chọn Local Computer, sau đó chọn Finish, chọn OK
B6 – Chuột phải Personal, chọn All Tasks, sau đó chọn Request New Certificate
B7 – Màn hình Before you begin, chọn Next
B8 – Màn hình Select Certificate Enrollment Policy, chọn Next
B9 – Màn hình Request Certificates, đánh dấu check ô Computer, chọn Enroll
B10 – Màn hình Certificate Installation Results, chọn Finish
B11 – Quan sát Certificate vừa xin
2. Cấu hình VPN Client-to-Gateway
B1 – Mở Server Manager, vào menu Tools, chọn Routing and Remote Access
B2 – Chuột phải PC02, chọn Configure and Enable Routing and Remote Access
B3 – Màn hình Welcome, chọn Next.
B4 – Màn hình Configuration, chọn Custom Configuration, chọn Next
B5 – Đánh dấu chọn 3 ô VPN access, NAT và LAN routing, sau đó chọn Next
B6 – Màn hình Completing, chọn Finish, sau dó chọn Start service
B7 – Chuột phải PC02, chọn Properties
B8 – Qua tab Security, mục SSL Certificate Binding, chọn Certificate PC02.DOM01.LOCAL
B9 – Qua tab IPv4, chọn Static address pool, chọn Add
B10 – Cửa sổ New IPv4 Address Range, nhập vào dãy địa chỉ như sau:
+ Start IP Address: 10.0.0.1
+ End IP Address: 10.0.0.254
Chọn OK, sau đó chọn Yes
3. Cấu hình NAT Inbound
B1 – Trên PC02, mở theo đường dẫn: PC02, bung mục IPv4, chuột phải NAT, chọn New Interface
B2 – Chọn card External, sau đó chọn OK
B3 – Chọn Public interface connected to the Internet và check ô Enable NAT on this interface
B4 – Qua tab Services and Ports, chọn ô Web Server (HTTP), chọn Edit
B5 – Mục Private address, nhập IP 172.16.1.1, chọn OK 2 lần
4. Download CA Certificate (Thực hiện trên máy PC03)
B1 – Tại máy PC03, mở Microsoft Edge, truy cập http://192.168.1.2/certsrv. Khai báo User/Pass bằng quyền user U1
B2 – Chọn Download a CA certificate, certificate chain, or CRL.
B3 – Chọn Download CA Certificate
B4 – Lưu thành file certnew.cer trong đường dẫn C:\Cert_Key_VPN
B5 – Tiếp tục chọn Download lastest base CRL, và lưu thành file certcrl1.crl trong đường dẫn C:\Cert_Key_VPN
B6 – Tiếp tục chọn Download lastest delta CRL, và lưu thành file certcrl2.crl trong đường dẫn C:\Cert_Key_VPN
B7 – Quan sát tất cả các file vừa được lưu
5. Cấu hình Trusted Root CA trên VPN Client (Thực hiện trên máy PC03)
B1 – Nhấn tổ hợp phím + R, gõ MMC
B2 – Vào menu File 🡪 chọn Add/Remove Snap-in
B3 – Vào menu File, chọn Add/Remove Snap In, chọn Certificates, chọn Add và chọn OK
B4 – Chọn Computer Account, chọn Next. Tiếp theo, chọn Local Computer, sau đó chọn Finish, chọn OK
B5 – Chuột phải Trusted Root Certificate Authority, chọn All Tasks, sau đó chọn Import
B6 – Màn hình Welcome to the Certificate Import Wizard, chọn Next
B7 – Màn hình File to Import, chọn Browse, trỏ đường dẫn đến file certnew.cer, sau đó chọn Next 2 lần
B8 – Màn hình Completing to the Certificate Import Wizard, chọn Finish, chọn OK
B9 – Quan sát certificate vừa được import
B10 – Chuột phải vào Intermediate Certification Authorities, chọn All Tasks, sau đó chọn Import
B11 – Màn hình Welcome to the Certificate Import Wizard, chọn Next
B12 – Màn hình File to Import, chọn Browse, trỏ đường dẫn đến file certcrl1.crl, sau đó chọn Next 2 lần
B8 – Màn hình Completing to the Certificate Import Wizard, chọn Finish, chọn OK
B9 – Thực hiện tương tự import file certcrl1.crl vào Intermediate Certification Authorities
B10 – Quan sát các CRL vừa được import ở mục Certificate Revocation List
B11 – Mở file hosts (C:\ Windows\System32\Driver\etc). Thêm vào nội dung
192.168.1.2 pc02.dom01.local
Chọn Save để lưu lại
B12 – Mở CMD, ping pc02.dom01.local. PING thành công
6. Tạo VPN Connection và kiểm tra kết nối (Thực hiện trên máy PC03)
B1 – Mở Control Panel, chọn Network and Sharing Center, sau đó chọn Set up a new connection or network
B2 – Chọn Connect to a workplace
B3 – Chọn Use my Internet connection (VPN), sau đó chọn I’ll setup an Internet connection later
B4 – Mục Internet address, nhập vào: pc02.dom01.local. Mục Destination Name, đặt tên cho kết nối: VPN Connection, chọn Create
B5 – Chọn Change Adapter Settings ở góc bên trái. Chuột phải VPN Connection vừa tạo, chọn Properties
B6 – Qua tab Secutiry, mục Type of VPN: Serure Socket Tunneling Protocol (SSTP), chọn kiểu kết nối VPN SSTP, sau đó chọn OK
B7 – Chuột phải VPN Connection, chọn Connect / Disconnect
B6 – Thanh Charmbar ở góc bên phải xuất hiện, chọn VPN Connection, chọn Connect. Khai báo thông tin username u1/P@ssword
B7 – Quá trình kết nối thành công. Chuột phải VPN Connection, chọn Status
B8 – Kiểm tra nhận được IP và sử dụng kết nối là Protocol SSTP do VPN Server cung cấp.
PHẦN 4 : VPN With RADIUS
RADIUS Server không chỉ xác thực người dùng dựa trên tusername và password mà còn ủy quyền dựa trên chính sách đã định cấu hình trên RADIUS Server.
Phần này bạn sẽ cấu hình VPN client to site chứng thực qua RADIUS Server
CÁC BƯỚC TRIỂN KHAI:
1. Cài đặt và cấu hình Radius Server
2. Tạo Radius Client
3. Cấu hình Radius Client
4. Kiểm tra kết nối
A- CHUẨN BỊ
– Hoàn thành phần 3: VPN SSTP
– PC02 disjoin domain trở về workgroup, Disable Routing and Remote Access
– PC03 không thể kết nối VPN bằng user U1
B- THỰC HIỆN VPN With RADIUS
1. Cài đặt và cấu hình Radius Server (Thực hiện trên máy PC01)
B1 – Mở Server Manager, vào menu Manage, chọn Add Roles and Features
B2 – Cửa sổ Before You Begin, chọn Next 3 lần
B3 – Trong cửa sổ Select server roles, đánh dấu chọn Network Policy and Access Services, chọn Next 3 lần
B4 – Màn hình Confirm installation selections, chọn Install. Quá trình cài đặt hoàn tất, chọn Close
2. Tạo Radius Client (Thực hiện trên máy PC01)
B1 – Cửa sổ Server Manager, vào menu Tools, chọn Network Policy Server
B2 – Chuột phải Radius Clients, chọn New
B3 – Mục Address, nhập 172.16.1.2, chọn Resolve, sau đó chọn OK
B4 – Khai báo các thông tin sau:
+ Friendly name: VPN DOM01
+ Address (IP or DNS): 172.16.1.2, chọn Verify
+ Shared Secret: 123456
+ Confirm shared secret: 123456
Chọn OK
B5 – Quan sát Radius Client vừa tạo
3. Cấu hình Radius Client (Thực hiện trên máy PC02)
B1 – Mở Server Manager, vào menu Tools, chọn Routing and Remote Access
B2 – Chuột phải PC02, chọn Properties
B3 – Qua tab IPv4, chọn Static address pool, chọn Add
B4 – Cửa sổ New IPv4 Address Range, nhập vào dãy địa chỉ như sau:
+ Start IP Address: 10.0.0.1
+ End IP Address: 10.0.0.254
Chọn OK 2 lần
B5 – Qua tab Security, mục Authentication provider. chọn RADIUS Authentication, sau đó chọn Configure
B6 – Mục Server name: 172.16.1.1 (địa chỉ IP của Radius Server). Mục Shared secret, chọn Change
B7 – Nhập vào 2 mục New secret và Confirm new secret: 123456, chọn OK
B8 – Đánh dấu check ô Always use message authenticator, chọn OK 3 lần
B9 – Chuột phải PC02, chọn All Tasks, chọn Restart
4. Kiểm tra kết nối (Thực hiện trên máy PC03)
B1 – Mở Network Connections, chuột phải vào VPN Connection, chọn Properties
B2 – Tab Security, mục Authentication, chọn Allow these protocols, sau đó chọn OK
B3 – Chuột phải VPN Connection, chọn Connect/Disconnect
B4 – Thanh Charmbar ở góc bên phải xuất hiện, chọn VPN Connection, chọn Connect. Khai báo thông tin username u1/P@ssword. Kết nối thành công
B5 – Mở CMD, gõ ipconfig /all
B6 – Ping đến máy PC01 (172.16.1.1). Ping thành công
B7 – Qua máy PC01, mở file log kiểm tra chứng thực user u1 (C:\windows\system32\logfile\INxxx.log)
Hoàn Tất Bài Lab