Bài thực hành: VPN (Virtual Private Network)

1. VPN Client to Site:

Chuẩn bị:

- Đặt thông số IP cho các Interface trên ISA Server:

- Trên ISA, đảm bảo rằng Internal Network là dãy IP từ 192.168.100.0 192.168.100.255

- Test hệ thống: Mở hết port kiểm tra giao tiếp internet của Client.

Tên Rule Action Protocols Source Destination User sets

Mo het Allow All Outbound All Network All Network All Users

- Dùng PING để kiểm tra: o Trên máy thuộc Internal: PING về 8.8.8.8 / ping về C2 /…

- Khóa toàn bộ port trên ISA Server (Default Policy) trước khi thực hành.

- Cho phép Internal PING đến mọi nơi (dùng để kiểm tra):

Tên Rule Action Protocols Source Destination User sets

Cho PING Allow PING Anywhere Anywhere All Users

Yêu cầu:

- Cấu hình hệ thống VPN Client sao cho C2 và C1 giao tiếp nhau. - C1 chia sẻ dữ liệu cho C2 truy cập.

Hướng dẫn:

a. Cấu hình VPN Client trên máy ISA:

- Configure Address Assignment Method: Xác định dãy IP address sẽ cấp phát cho các VPN interface của các máy VPN Client. Dãy IP này không cùng mạng với các network đã được định nghĩa trong ISA như Internal, DMZ,… IP address đầu tiên được dành cho VPN Server

- Enable VPN Client Access: o Cho phép VPN Client kết nối vào o Maximum number of VPN Client: số lương máy VPN Client kết nối vào (không nhiều hơn

số IP adrress cấp phát ở trên)

- Specify Windows Users: Chỉ định Group (chứa các User được phép VPN). Sử dụng Local Users của VPN Server hoặc Domain Users (nếu VPN Server có tham gia Domain).

- VPN Properties: Lựa chọn giao thức kết nối VPN: o PPTP (Point-to-Point Tunneling Protocol): tạo 1 “đường hầm” trên đường kết nối internet

có sẵn để truyền dữ liệu riêng. Giao thức này không mã hóa dũ liệu truyền.

o L2TP (Layer 2 Tunneling Protocol): Mã hóa dữ liệu truyền trên PPTP. Có thể dung L2TP vối Preshared Key.

- Remote Access Configuration: Đảm bảo rằng các yêu cầu kết nối VPN được tiếp nhận trên giao tiếp mạng External.

- View Firewall Policy for the VPN Client Network: Xem và điều chỉnh các policy áp đặt lên VPN Client.

- View Network Rule: kiểm tra lại các quan hệ routing của VPN Client với các Network khác.

b. Tạo Access Rule cho máy VPN Client truy cập dữ liệu trong Internal:

Tên Rule Action Protocols Source Destination User sets

Cho VPN Client truy cập Share file trong INT

Allow NetBIOS Session NetBIOS Datagram NetBIOS Nam Service

VPN Client

Internal All Users

c. Trên máy Client bên ngoài:

- Tạo kết nối VPN trên máy Client o Mở “Network Connections” chọn “Create a new Connection” o Chọn “Connect to the network at my workplace” o Nhập tên connection (tên Công ty) o Nhập IP address (mặt ngoài của ISA server) hoặc tên miền

- Thực hiện kết nối VPN tới ISA Server o Double click biểu tượng VPN vừa tạo. o Nhập User / pass.

- Kiểm tra kết quả kết nối VPN tại Client: o Xem IP address của kết nối VPN. o Thử PING vào máy C1 (trong Internal của ISA) o Thử truy cập dữ liệu chia sẽ bởi máy trong Internal.

d. Các thực nghiệm và xử lý các sự cố:

a. Kiểm tra kết nối internet của VPN Client trong 2 trường hợp:

Thực nghiệm Khi kết nối VPN “tắt”

Khi kết nối VPN “mở”

Kết luận

1 Dùng lệnh: pathping 8.8.8.8 để kiểm tra đường đi của gói ping

Khi kết nối VPN “bật”, việc truy cập internet của VPN Client sẽ lệ thuộc vào ISA Server

2 Duyệt Web 3 Truy cập máy trong Internal

của ISA Không được Được

b. Xử lý trường hợp VPN Client không duyệt Web được khi kết nối VPN “bật”:

- Trên ISA: tạo Access Rule cho phép mạng “VPN Clients” truy cập Web (HTTP, HTTPs, DNS) bên ngoài “External”

c. Xử lý yêu cầu “VPN Client truy cập được máy internal nhưng không muốn lệ thuộc ISA Server khi truy cập internet”:

- Properties cho “kết nối VPN” Properties cho “Internet protoco (TCP/IP)” nút “Advanced” bỏ chọn “Use default gateway on remote network” (không dùng DG của mạng ở xa – VPN Server)

- Dùng lệnh tạo static route để Client có thể kết nối vào mạng internal:

Route add <mạng internal> mask <mask> <IP của VPN interface> VD: Route add 192.168.10.0 mask 255.255.255.0 192.168.11.2

2. VPN Site to Site:

Chuẩn bị:

- Đặt thông số IP cho các Interface trên 2 ISA Server. - Đảm bào ISA server giao tiếp được internet. - Trên ISA-1, đảm bảo rằng Internal Network là dãy IP từ 192.168.100.0 192.168.100.255 - Trên ISA-2, đảm bảo rằng Internal Network là dãy IP từ 192.168.200.0 192.168.200.255

- Khóa toàn bộ port trên ISA Server (Default Policy) trước khi thực hành.

- Cho phép PING mọi nơi (dùng để kiểm tra giao tiếp):

Tên Rule Action Protocols Source Destination User sets

Cho PING Allow PING Anywhere Anywhere All Users

Yêu cầu:

- Cấu hình VPN Site-to-Site để cho C1 và C2 giao tiếp nhau. - C1 và C2 truy cập dữ liệu chia sẻ lận nhau.

Hướng dẫn thực hiện:

1. Tạo Tài khoản cấp phép truy cập VPN Site-to-Site:

Nội dung Site 1 (HCM) Site 2 (HN) Ghi chú

Tạo Tài khoản và cấp phép Dial-In cho tài khoản này

HaNoi / pass1 HCM / pass2 TK này sẽ được cấp cho Site ở xa khai báo khi truy cập VPN

2. Cấu hình VPN Site-to-Site trên ISA.

- Khai báo các thông số theo Wizard:

(*) Nên định nghĩa dãy IP cho Tunnel trước khi tạo mới kết nối mạng VPN. (**) Nếu ISA server đặt dưới xDSL Router: phải nhập IP (public) của xDSL Router. Đồng thời, phải mở các port PPTP, L2TP, IPSec trên xDSL trỏ về IP mặt ngoài của ISA server

Kiểm tra kết quả:

- Kiểm tra giao tiếp (PING) giữa C1 và C2 (ISA server sẽ tự động kết nối VPN site-to-site. - Tạo Access Rule cho C1 và C2 truy xuất dữ liệu chia sẻ lẫn nhau.

- Kiểm tra kết nối VPN trên ISA Server: chạy Routing and Remote Access Network Interfaces right click trên VPN interface Connect / Disconnect.

3. Triễn khai bảo mật VPN bằng giao thức L2TP/IPSec.

Nội dung Site 1 (HCM) Site 2 (HN) Ghi chú

Network Name HaNoi HCM Khai báo cho ISA một Network mới (là mạng ở xa). Tên mạng phải trùng tên tài khoản đã tạo ở phần trên.

IP range (*) Fr: 192.168.102.1

To: 192.168.102.5

Fr: 192.168.201.1

To: 192.168.201.5

IP sẽ cấp cho Tunnel (IP đầu tiên sẽ gán cho VPN Server)

Remote site (**) 10.0.0.y 10.0.0.x IP ngoài của ISA server bên kia.

Dial User / pass HCM / pass2 HaNoi / pass1 Khai báo Account được phép dial-In của site muốn kết nối tới

Address Range of the remote site

Fr: 192.168.20.0

To: 192.168.20.255

Fr: 192.168.10.0

To: 192.168.10.255

Định nghĩa Internal Network của site ở xa.

Remote NLB Not use Not use Không dùng (Network Load Balancing)

Site to site Network rule

HaNoi to Internal network rule: ROUTE

HCM to Internal network rule: ROUTE

Tạo LAN routing giữa Internal và Site ở xa

Site to site Access rule

Allow access between HaNoi and Internal

Allow access between HCM and Internal

All Protocols hoặc Selected protocols

Cấu hình trên VPN Server:

- Mở “VPN Properties”

-