Thiết lập máy chủ VPN trên Router Tomato – Phần 2

Quản trị mạng – Trong phần trước của loạt bài này, chúng ta đã nâng cấp Router không dây bằng phần mềm TomatoVPN và bắt đầu chuẩn bị sử dụng máy chủ VPN của nó. Đây là cách rất kinh tế và an toàn để người dùng từ xa có thể truy cập vào mạng của bạn hoặc có thể kết nối nhiều văn phòng với nhau. Trong phần này, chúng ta sẽ cùng nhau đi tìm hiểu cách cấu hình máy chủ và máy khách VPN, sau đó đi test toàn bộ quá trình. Cấu hình máy chủ...
Nội dung trích xuất từ tài liệu:
Thiết lập máy chủ VPN trên Router Tomato – Phần 2 Thiết lập máy chủ VPN trên Router Tomato – Phần 2 Quản trị mạng – Trong phần trước của loạt bài này, chúng ta đã nâng cấp Router không dây bằng phần mềm TomatoVPN và bắt đầu chuẩn bị sử dụng máy chủ VPN của nó. Đây là cách rất kinh tế và an toàn để người dùng từ xa có thể truy cập vào mạng của bạn hoặc có thể kết nối nhiều văn ph òng với nhau. Trong phần này, chúng ta sẽ cùng nhau đi tìm hiểu cách cấu hình máy chủ và máy khách VPN, sau đó đi test toàn bộ quá trình. Cấu hình máy chủ VPN Lúc này bạn đã có mọi thứ cần thiết để cấu hình máy chủ VPN trên Router TomatoVPN. Kết nối đến Router và mở giao diện điều khiển web. Sau đó kích VPN Tunneling > Server (xem hình 1). Ở đây là các thiết lập ví dụ: • Start with WAN: Checked • Interface Type: TAP • Protocol: UDP • Port: 1194 • Firewall: Automatic • Authorization Mode: TLS • Extra HMAC authorization: Disabled Hình 1: Cấu hình máy chủ VPN Với Client Address Pool, hủy chọn mục này và bảo đảm rằng dải địa chỉ IP nằm trong c ùng subnet với Router. Cho ví dụ, nếu bạn thay đổi địa chỉ IP của Router thành 192.168.50.1, khi đó hãy đặt dải địa chỉ IP của bạn l à 192.168.50 đến 192.168.50.55. Khi đó hệ thống của bạn có thể hỗ trợ đ ược 6 máy khách VPN cùng lúc. Bạn hoàn toàn có thể tăng dải này lên nếu có nhiều máy khách hơn số lượng này. Ở đây không được nhầm lẫn với dải được phân định trước cho người dùng cục bộ, cho ví dụ 192.168.50.100 đến 192.168.50.149. Kích Save để lưu các thay đổi. Tiếp đó, kích tab Advanced. Đối với phần Compression, chọn Disabled. Nếu bạn muốn tất cả lưu lượng Internet của các máy khách đi qua VPN, chẳng hạn như để bảo vệ lưu lượng trên các mạng công cộng, hãy tích m ục Direct clients to redirect Internet traffic. Để cho phép các máy khách VPN có thể truy cập vào các tài nguyên của nhau, tích Manage Client-Specific Options và Allow ClientClient. Bằng không, các máy khách VPN sẽ có thể truy cập vào các tài nguyên chia sẻ của các máy tính đ ược kết nối trực tiếp đến mạng nội bộ của Router TomatoVPN c ấu hình máy chủ. Sau khi thực hiện bước này, kích Save để lưu các thay đổi. Hình 2: Tab Advanced Lúc này kích tab Keys (xem hình 3) và điền vào các trường bằng cách copy trong các nội dung của các file m à bạn đã tạo trong thư mục easy-rsakeys: • Certificate Authority - ca.crt • Server Certificate - server.crt • Server Key - server.key • Diffie Hellman parameters - dh1024.pem Hình 3: Tab Keys Mở các file này trong Notepad để xem và copy nội dung. Một số file bạn có thể kích phải, chọn Open With, Notepad. Đối với chứng chỉ máy chủ, không tích hợp phần đầu tiên của file. Tương tự như các file khác, bắt đầu với -----BEGIN CERTIFICATE----- và kết thúc ----- END CERTIFICATE -----. Sau khi thực hiện xong, kích Save. Khởi chạy máy chủ VPN Lúc này bạn đã hoàn toàn sẵn sàng cho việc chạy máy chủ VPN. Trên bất cứ tab nào của máy chủ, nhấn nút Start Now. Nếu thành công, nút này sẽ thay đổi thành Stop Now và bạn sẽ thấy phần thống kê nói chung (General Statistics) trên tab Status. Cấu hình máy khách trên các máy tính Thời điểm này bạn có thể cấu hình các máy khách mà b ạn muốn kết nối với máy chủ VPN. Bắt đầu bằng cách download v à cài đặt OpenVPN trên mỗi máy tính. Tiếp đến, mở Notepad và dán vào đoạn mã dưới đây: remote XXX.XXX.XXX.XXX 1194 client dev tun0 proto udp resolv-retry infinite nobind persist-key persist-tun float ca ca.crt cert client1.crt key client1.key ns-cert-type server Thay thế địa chỉ từ xa ở phần đầu bằng địa chỉ IP Internet hoặc WAN của bạn. Cách khác bạn có thể sử dụng hostname, chẳng hạn từ một dịch vụ DNS động, nếu kết nối Internet của bạ n không có IP tĩnh. Ngoài ra cần bảo đảm rằng filename của chứng chỉ khách và key phải đúng. Lưu file Notepad với đuôi .ovpn vào địa chỉ sau: C:Program FilesOpenVPNconfig. Copy chứng chỉ CA (ca.crt) và chứng chỉ lẫn key máy khách (client1.crt & client1.key) từ máy tính mà bạn đã tạo PKI ở trên vào cùng một địa điểm (C:Program FilesOpenVPNconfig) trên máy khách. Các thiết lập máy khách đã được thiết lập xong để bạn có thể kết nối lúc này. Kích Start > All Programs > OpenVPN > OpenVPN GUI. Sau đó kích ph ải vào biểu tượng trong khay hệ thống và kích Connect. Cấu hình máy khách trên các Router TomatoVPN bổ sung Nếu muốn kết nối toàn bộ với máy chủ VPN, bạn có thể thiết lập các Router TomatoVPN phụ tại các địa điểm khác. Có thể sử dụng máy khách VPN tr ên Router để tất cả người dùng trên mạng từ xa có thể truy cập. Kết nối đến Router và mở giao diện điều khiển web. Sau đó kích VPN Tunneling > Client. Trên tab Basic (xem hình 4), chắc chắn bạn sẽ muốn kích hoạt Start with WAN để máy khách VPN có thể tự động khởi chạ y khi Router khởi động. Nhập vào địa chỉ WAN hay địa chỉ IP Internet của Router TomatoVPN đang hosting máy chủ VPN đối với phần Server Address. Cách khác bạn có thể sử dụng là dùng hostname, trường hợp sử dụng dịch vụ DNS động khi không có địa chỉ IP tĩnh. Các thiết lập khác có thể để mặc định. Sau đó kích Save để lưu các thay đổi. Kích Advanced, đối với phần Compression, chọn Disabled. Sau đó kích Save. Tiếp theo, kích tab Keys và điền vào các trường bằng cách copy nội dung trong các file mà bạn đã tạo trong thư mục easy-rsakeys: • Certificate Authority - ca.crt • Client Certificate - i.e. client1.crt • Client Key - i.e. client1.key Đối với phần chứng chỉ máy khách, không chèn vào phần đầu tiên của file. Tương tự với các thành phần khác, bắt đầu với -----BEGIN CERTIFICATE - và kết thúc với -----END CERTIFICATE -----. Hình 4: Tab Basic Sau khi thực hiện xong, kích Save. Tiếp đó để kết nối, kích Start Now. Nếu thành công, nút này sẽ thay đổi thành Stop Now và bạn sẽ thấy thống kê nói chung trên tab Status. Kiểm tra lần cuối Sau khi đã kết nối, bạn có thể truy cập vào các tài nguyên m ạng cũng như các chia sẻ trên mạng cục bộ của Router TomatoVPN đang hosting máy chủ. Nếu muốn test cài đặt của mình mà không cần rời vị trí, hãy kết nối với Rou ...