Xây dựng máy chủ VPN Trong bài này Quản Trị Mạng sẽ giới thiệu lần lượt

Xây dựng máy chủ VPN Trong bài này Quản Trị Mạng sẽ giới thiệu lần lượt các bước triển khai cơ bản truy cập VPN từ xa. Điều đầu tiên bạn cần quyết định trước khi xây dựng một máy chủ Window VPN là liệu có nên sử dụng hay không dịch vụ chứng thực Internet của Microsoft (IAS) để xác nhận người dùng kết nối với VPN. IAS là bổ sung RADIUS của Microshop và khi xây dựng máy chủ VPN là bạn đã có thể kiểm tra quyền truy cập hợp pháp IAS của người dùng hay có thể...
Nội dung trích xuất từ tài liệu:
Xây dựng máy chủ VPN Trong bài này Quản Trị Mạng sẽ giới thiệu lần lượt Xây dựng máy chủ VPN Trong bài này Quản Trị Mạng sẽ giới thiệu lần l ượt các bước triển khai cơ bản truy cập VPN từ xa. Điều đầu tiên bạn cần quyết định trước khi xây dựng một máy chủ Window VPN là li ệu có nên sử dụng hay không dịch vụ chứng thực Internet của Microsoft (IAS) để xác nhận người dùng kết nối với VPN. IAS là bổ sung RADIUS của Microshop và khi xây dựng máy chủ VPN là bạn đã có thể kiểm tra quyền truy cập hợp pháp IAS của ng ười dùng hay có thể cho phép người dùng được chứng thực trực tiếp tới Active Directory (AD). IAS cung cấp một số tiện ích. Đầu tiên, nó có nhiều khả năng truy cập tốt h ơn bao gồm gửi dữ liệu trực tiếp tới c ơ sở dữ liệu SQL. Thứ hai, IAS cung cấp một đích đến tập trung để bạn chỉ tới một số máy chủ VPN khác. Điều n ày cho phép bảo trì một tập hợp các phương pháp truy cập từ xa mà tất cả các máy chủ VPN có thể sử dụng. Chúng ta không đi quá chi tiết về các cách truy cập từ xa trong bài này, nhưng đây được mô tả như là cách làm hiệu quả để xác định ai được phép truy cập VPN. Giả thiết rằng IAS là sự lựa chọn chứng thực của bạn, hãy xem các cấu hình của máy chủ IAS. Thực hiện theo các bước sau để cài đặt máy chủ IAS. Nếu phần cứng trên máy tính không đủ thì IAS có thể được cài đặt trên cùng một máy chủ mà bạn dùng để truy cập VPN (chú ý việc làm này không đảm bảo an toàn bảo mật). Hình 1 1. Start » Control Panel » Add or Remove Programs » Add/Remove Windows Components » Networking Services » Details... » Internet Authentication Service 2. Start » Administrative Tools » Internet Authentication Service » Kích chu ột phải vào Internet Authentication Service (local) » Register Server in Active Directory 3. Start » Administrative Tools » Internet Authentication Service » Remote Access Logging » Chọn tùy chọn mong muốn. 4. Start » Administrative Tools » Internet Authentication Service » kích chu ột phải vào RADIUS Clients » New RADIUS Client » Nh ập thông tin thích hợp cho máy chủ VPN (bạn sẽ được yêu cầu chia sẻ bí mật, chọn một và lưu để làm mã xác nhận sau này) 5. Nếu máy chủ IAS bật tường lửa thì hãy cho phép c ổng UDP 1812 từ máy chủ VPN không bị chặn. Mở giao diện quản trị IAS, thực hiện theo các b ước để thêm một điểm truy cập từ xa cho phép truy cập đối với ng ười dùng trong nhóm AD đặc biệt (hai nhóm mặc định không cho phép bất kì ai truy c ập vào máy chủ VPN). Hình 2 1. Start » Administrative Tools » Internet Authentication Service » kích chu ột phải vào Remote Access Policies » New Remote Access Policy 2. Chọn tên » Next 3. Chọn VPN » Next 4. Kích Add... 5. Kích Locations... và chọn domain 6. Thêm MyVPNaccessGroup » Next 7. Giữ lại tùy chọn duy nhất MS-CHAPv2 » Next 8. Giữ lại tùy chọn duy nhất Strongest encryption » Next » Finish Cuối cùng bạn cần cập nhật các h ướng truy cập từ xa để bảo vệ chống lại các máy tính nguy hiểm trên mạng người dùng từ xa dùng kết nối VPN theo gói thông qua máy chủ VPN. Thực hiện theo các b ước sau: Start » Administrative Tools » Internet Authentication Service » Remote Access Policies » kích chuột phải vào chính sách m ới và chọn properties » kích Edit Profile... » chọn tab IP » Input Filters... » New... » OK » kích Permit only the packets listed below » OK » OK » OK Máy chủ IAS giờ đây đã sẵn sàng để nhận các yêu cầu chứng thực từ máy chủ VPN. Trước khi có thể cấu hình một máy chủ VPN, hãy quan tâm tới những yêu cầu thiết yếu của máy chủ VPN: 1. Thiết lập hai card giao diện mạng (NICs) trên máy chủ VPN, một card nối với mạng được bảo vệ bên nội bộ và card kia nối với DMZ hay mạng dùng chung có thể truy cập được (NIC ngoài). 2. Không cấu hình DNS hoặc WINS trên NIC ngoài. 3. Không xác định các cổng nối mặc định cho NIC trong, chỉ xác định một cổng nối duy nhất cho NIC ngoài. Sau đây là các bước cần thiết để cấu hình mới máy chủ VPN: 1. Start » Administrative Tool s » Services » Dừng dịch vụ Windows Firewall/Internet Connection Sharing và thi ết lập chế độ startup thành Disabled 2. Start » Administrative Tools » Routing and Remote Access 3. Kích phải chuột tại tên máy chủ rồi kích Configure và Enable Routing and Remote Access (dịch vụ tường lửa trong phải không đ ược kích hoạt) 4. Chọn Remote Access » Next » chọn VPN » Next 5. Chọn NIC ngoài (Chú ý hộp kiểm Enable security...) » Next 6. Chọn NIC trong » Next 7. Chọn Automatically hoặc From a specifie d range of addresses (thủ tục này theo tùy chọn thứ 2) » Next 8. Kích New... » nhập một dải cho các IP » OK » Next 9. Chọn Yes, set up this server to work with a RADIUS server » Next 10. Nhập máy chủ IAS và chia sẻ bảo mật » Next » Finish 11. Routing and Remote Access » MAYCHUCUABAN » IP Routing » DHCP Relay Agent » Thêm địa chỉ IP của một máy chủ DHCP tới cấu hình DHCP Relay Agent (Chú ý rằng máy chủ DHCP được yêu cầu trả lại thông tin nh ư là miềm mặc định, nhưng không nên điều khiển bất kì một địa chỉ IP nào bởi thiết lập địa chỉ tĩnh) 12. Nếu mạng nội bộ chỉ gồm có một mạng thì bạn đã thành công! Nói cách khác, một tuyến sẽ cần được thêm cho các máy khách truy cập vào các mạng trong khác. Routing and Remote Access » MAYCHUCUABAN » IP Routing » kích chuột phải vào Static Routes » New Static Route... » nhập một tuyến lưu lượng bất kì mạng cấp dưới nào trong mạng. Cách đơn giản nhất là hướng tất cả các lưu lượng tới cổng nối mặc định m à NIC nội bộ đang sử dụng. Tiếp theo bạn cần thiết lập một kết nối VPN từ máy khách. Sau đây là các bước thực hiện trên Window XP: Start » Control Panel » Network Connections » Tạo một kết nối mới » Next » Kết nối tới mạng công ty » Next » Virtual Private Network connection » Next » Chọn tên » Next » bạn có thể muốn chọn Do not dial the initial connection » Next » Nhập tên máy ch ...