Part 38 isa server - vpn client to gateway -www.key4_vip.info
1. “Chuyên trang dành cho kỹ thuật viên tin học”
CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT
Part 38 - ISA Server - VPN Client to Gateway
Chúng ta đã biết cách cấu hình VPN cho các mạng bằng Routing and Remote Access trong 70-291. Bây giờ chúng ta sẽ tìm hiểu cách cấu hình
VPN trong môi trường có ISA Server.
Cũng giống như VPN trong Routing and Remote Access chúng ta có 2 dạng đó là Gateway to Gateway và Clients to Gateway, trước tiên ta
tìm hiểu về mô hình Clients to Gateway
VPN Clients to Gateway
Như bạn đã biết các máy Client từ bên ngoài muốn truy cập vào mạng chúng ta phải có được IP Public của mạng chúng ta trong môi trường
mạng chúng ta có ISA Server, IP Public này còn gọi là IP mặt ngoài và thường được xuất ra bởi External DNS mà ta đã biết đến trong bài
Server Publising.
Trong môi trường mạng chúng ta đã có ISA Server các Clients muốn truy cập vào bên trong Internal Network phải nhờ một NAT Server dẫn
đường đến ISA Server, sau khi được xác nhận tính hợp lệ từ ISA Server thì các yêu cầu này mới được tiếp tục vào Internal Network
Tuy nhiên để cho đơn giản trong bài này tôi sẽ cấu hình NAT lên ngay Router ADSL
Cấu hình IP các máy như sau:
Máy Đặc tính PC01 PC02 PC03
Name isa.gccom.net server.gccom.net client
Card Lan
IP Address 192.168.1.5 192.168.1.3
Subnet Mask 255.255.255.0 255.255.255.0
Default
gateway
192.168.1.1 192.168.1.1
Preferred DNS 203.162.4.191
Card Cross
IP Address 172.16.2.1 172.16.2.2
Subnet Mask 255.255.255.0 255.255.255.0
Default
gateway
172.16.2.1
Preferred DNS 172.16.2.2 127.0.0.1
Card Lan: nối gián tiếp 2 máy PC01 & PC03 với nhau thông qua Switch
Card Cross: nối trực tiếp các cặp máy PC01 với PC02
- Router ADSL có IP là 192.168.1.1
Trước tiên để cho các Client truy cập được vào mạng thông qua VPN chúng ta phải tạo một User và gán quyền Allow Remote Access cho User
này (Xem lại bài VPN)
Tại máy DC Server (PC02) bật Active Directory Users and Computers lên tạo một User/Pass là Gateway1/123
1 of 10
2. Double click vào User Gateway1 chọn Tab Dial-in
Check tùy chọn Allow Access trong Remote Access Permission
Tại máy ISA Server bạn chọn Virtual Private Networks (VPN) chọn tiếp Tab VPN Clients
2 of 10
3. Click vào Configure Address Assignment Method
Tại Tab Address Assignment bạn nhập một dãy IP để gán cho các máy VPN Client trong Static address pool ở ví dụ này là dãy số
10.0.0.1->10.0.0.200
Nếu hệ thống mạng của bạn đã có DHCP rồi thì bạn chọn tùy chọn thứ 2 là Dynamic Host Configuration Protocol (DHCP) bên dưới
3 of 10
4. Mặc định khi cài đặt hoàn tất ISA Server sẽ không bật VPN Clients lên nên bạn tiếp tục chọn Enable VNP Client Access trong bước cài đặt thứ
1 để bật tính năng này.
Check vào tùy chọn Enable VPN client access
Lưu ý là giá trị trong ô Maximum number of VPN clients allowed phải nhỏ hơn dãy số IP mà ta gán cho các VPN Clients
4 of 10
5. Tiếp tục bạn chọn mục Firewall Policy để tạo một Rule mới cho phép các VPN Clients được phép truy cập vào bên trong Internal Network
Tôi đặt tên cho Rule này là VPN Client to Gateway1
Rule Action: Allow
Protocol: All outbound traffic
Trong Access Rule Sources bạn chọn một giao thức duy nhất đó là VPN Clients
Vì các máy Client từ bên ngoài truy cập vào bên trong Internal Network nên trong Access Rule Destinations ta chọn là Internal
5 of 10
6. Màn hình sau khi hoàn tất
Mặc định trong ISA Server đã tạo sẵn một Network Rule trong Networks của phần Configuration cho phép các máy VPN Clients từ bên
ngoài truy cập vào Internal, tuy nhiên đây chỉ là con đường đi của của các VPN Clients mà thôi và đi được hay không là do Access Rule mà ta
vừa tạo lúc nãy quyết định.
Như vậy để cho các VPN Clients truy cập được Internal Network trong ISA Server phải tồn tại song song cả 2 Network Rule và Access Rule.
6 of 10
7. Như vậy chúng ta đã hoàn tất cấu hình VPN Clients to Gateway trên máy ISA Server
Bây giờ tôi sẽ cấu hình NAT tại Router ADSL (Xem lại bài ADSL - Wifi)
Trong ví dụ này tôi cấu hình Router NAT các dịch vụ Web Server, Mail Server.... trong đó có PPTP là giao thức để NAT VPN.
Như vậy đến đây tại Router sẽ hiểu rằng khi có bất cứ yêu cầu nào bên ngoài truy cập vào mạng chúng ta thông qua các Port trong danh sách
Applied Rules nó sẽ chỉ đến máy có IP tương ứng trong mục LAN IP. Trong ví dụ này máy được NAT chính là máy ISA Server
Trước tiên để biết được Public IP Address của mạng chúng ta bạn vào Tab Status chọn Menu Device Info
Trong phần WAN bạn chú ý mục IP Address đây chính là Public IP Address của bạn mà dịch vụ ISP cấp cho Router chúng ta. Như vậy trong
ví dụ này IP mặt ngoài của mạng chúng ta là 123.23.203.190
Như vậy chúng ta đã cấu hình thành công NAT cứng trên Router ADSL.
7 of 10
8. Tiếp theo ta cấu hình VPN tại máy Clients
Bạn vào Network Connections của máy Client chọn Create a new Connection
Chọn tiếp Connect to the network at my workplace
Chọn tiếp Virtual Private Network connection
Nhập IP mặt ngoài của mạng cần kết nối VPN trong bài chính là 123.23.203.190
8 of 10
9. Trong cửa sổ Network Connections của PC03 xuất hiện thêm icon VPN to Gateway1 với giao thức PPTP
Sau đó nhập tài khoản mà bạn đã tạo trước đó tại DC Server và nhấp Connect
Màn hình thông báo kết nối thành công
Tại máy Client ping thử IP của máy DC Server (PC02) sẽ thấy kết quả rất tốt
9 of 10
10. Truy cập vào các Shared Folder cũng rất tốt
OK mình vừa trình bày xong phần VPN Client to Gateway - ISA Server trong 70-351 của MCSA.
Công ty TNHH đầu tư phát triển tin học GC Com
Chuyên trang kỹ thuật máy vi tính cho kỹ thuật viên tin học
Điện thoại: (073) - 3.511.373 - 6.274.294
Website: http://www.gccom.net
10 of 10
