Part 38 isa server - vpn gateway to gateway -www.key4_vip.info
1. “Chuyên trang dành cho kỹ thuật viên tin học”
CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT
Part 38 - ISA Server - VPN Gateway to Gateway
Trong bài trước chúng ta tìm hiểu mô hình VPN Clients to Gateway. Trong bài này chúng ta sẽ tiếp tục tìm hiểu và cấu
hình VPN Gateway to Gateway với 2 mạng đã có ISA Server
Giả sử tôi có 2 mạng hoàn toàn độc lập nhau trong đó:
- Mạng 172.16.2.0/24 là Internal Network của nhóm thứ 1 bao gồm máy PC01 & PC02
- Mạng 169.254.2.0/24 là Internal Network của nhóm thứ 2 bao gồm máy PC03 & PC04
- Máy PC01 & PC03 là 2 máy cài ISA Server và được Join vào 2 Domain thứ tự là gccom.net và kythuatvien.com
- PC02 & PC04 là 2 máy DC Server
- Mạng thứ 1 có IP mặt ngoài là 123.23.203.190
- Mạng thứ 2 có IP mặt ngoài là 222.212.80.180
Cấu hình IP các máy như sau:
Máy Đặc tính PC01 PC02 PC03 PC04
Name isa.gccom.net server.gccom.net isa.kythuatvien.com server.kythuatvien.com
Card Lan
IP Address 192.168.1.5 192.168.1.10
Subnet Mask 255.255.255.0 255.255.255.0
Default
gateway
192.168.1.1 192.168.1.1
Preferred DNS
Card
Cross
IP Address 172.16.2.1 172.16.2.2 169.254.2.1 169.254.2.2
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0
Default
gateway
172.16.2.1 169.254.2.1
Preferred DNS 172.16.2.2 127.0.0.1 169.254.2.2 127.0.0.1
Public IP 123.23.203.190 222.212.80.180
Card Lan: nối gián tiếp 2 máy PC01 & PC03 với nhau thông qua Switch
Card Cross: nối trực tiếp các cặp máy PC01 với PC02
Như vậy vấn đề đặt ra là làm sao từ máy PC02 tôi có thể truy cập vào máy PC04 là xem như thành công và ngược lại.
Trước tiên để cho các Gateway có thể truy cập được với nhau thông qua VPN chúng ta phải tạo tại mỗi Gateway một User
và gán quyền Allow Remote Access cho User này, và tôi tạm gọi các User là VPN User (Xem lại bài VPN)
1 of 15
2. Tại máy DC Server (PC02) bật Active Directory Users and Computers lên tạo một User/Pass là Gateway1/123
Tại máy DC Server (PC04) bật Active Directory Users and Computers lên tạo một User/Pass là Gateway2/123
Double click vào User Gateway1 chọn Tab Dial-in
Check tùy chọn Allow Access trong Remote Access Permission
Làm tương tự cho User Gateway2
1/ Cấu hình VPN Gateway tại mạng 172.16.2.0/24
Tại máy PC01 trong ISA Server bạn chọn Virtual Private Networks (VPN) chọn tiếp Tab Remote Sites
Tiếp tục nhấp vào Create VPN Site-to-Site Connection
2 of 15
3. Bạn nhập VPN User của mạng đối tác trong này chính là Gateway2
Chọn giao thức Point-to-Point Tunneling Protocol (PPTP)
3 of 15
4. Tại Local Network VPN Settings bạn nhập một dãy IP để gán cho các máy VPN Client trong Static address pool ở ví dụ
này là dãy số 10.0.0.1->10.0.0.200
Nếu hệ thống mạng của bạn đã có DHCP rồi thì bạn chọn tùy chọn thứ 2 là Dynamic Host Configuration Protocol
(DHCP) bên dưới
Trong Remote Site Gateway bạn nhập IP mặt ngoài của mạng đối tác trong ví dụ này này chính là 222.212.80.180
Nhập chính xác VPN User của chính mạng mình vào cửa sổ Remote Authentication
4 of 15
5. Tiếp tục trong cửa sổ Network Addresses bạn nhập nguyên dãy IP của mạng đối tác vào Address ranges. Nghĩa là nhập
nguyên cả dãy IP của Internal Network mạng đối tác.
Giữ nguyên giá trị mặc định trong cửa sổ Site-to-Site Network Rule
5 of 15
6. Tùy theo bạn muốn các Gateway truy cập với thông qua các Protocol nào mà tại cửa sổ Site-to-Site Network Access
Rule bạn Add chúng vào, trong này tôi Enable tất cả mọi Port nên chọn là All outbound traffic
Màn hình sau khi hoàn tất
6 of 15
7. Tiếp tục chọn Networks trong Configuration chọn tiếp Tab Network Rule
Bạn phải xác nhận rằng trong này xuất hiện thêm một Network Rule mới đây chính là con đường cho các truy cập từ
Gateway đối tác sang Internal Network của chúng ta
Chọn lại Firewall Policy bạn sẽ thấy xuất hiện thêm một Access Rule mới đây chính là quyền hạn đồng ý cho các truy cập
từ Gateway đối tác sang Internal Network của chúng ta
7 of 15
8. Như vậy để cho các VPN Gateway truy cập được Internal Network với nhau trong ISA Server của mỗi Gateway phải tồn
tại song song cả 2 Network Rule và Access Rule.
Tại ISA Server bạn chọn Virtual Private Networks (VPN) chọn tiếp Tab VPN Clients
Mặc định khi cài đặt hoàn tất ISA Server sẽ không bật VPN Clients lên nên bạn tiếp tục chọn Enable VNP Client Access
trong bước cài đặt thứ 1 để bật tính năng này.
Check vào tùy chọn Enable VPN client access
Lưu ý là giá trị trong ô Maximum number of VPN clients allowed phải nhỏ hơn dãy số IP mà ta gán cho các VPN Clients
8 of 15
9. Như vậy đến đây chúng ta đã hoàn tất cấu hình VPN Gateway to Gateway tạ mạng thứ nhất 172.16.2.0/24
2/ Cấu hình VPN Gateway tại mạng 169.254.2.0/24
Các thao tác bạn làm tương tự như đã làm tại Gateway1 (mạng 172.16.2.0/24)
Bạn nhập VPN User của mạng đối tác trong này chính là Gateway1
Tại Local Network VPN Settings bạn nhập một dãy IP để gán cho các máy VPN Client trong Static address pool ở ví dụ
này là dãy số 10.0.0.1->10.0.0.200
Nếu hệ thống mạng của bạn đã có DHCP rồi thì bạn chọn tùy chọn thứ 2 là Dynamic Host Configuration Protocol
(DHCP) bên dưới
9 of 15
10. Trong Remote Site Gateway bạn nhập IP mặt ngoài của mạng đối tác trong ví dụ này này chính là 123.23.103.190
Nhập chính xác VPN User của chính mạng mình vào cửa sổ Remote Authentication
Tiếp tục trong cửa sổ Network Addresses bạn nhập nguyên dãy IP của mạng đối tác vào Address ranges. Nghĩa là nhập
nguyên cả dãy IP của Internal Network mạng đối tác.
10 of 15
11. Giữ nguyên giá trị mặc định trong cửa sổ Site-to-Site Network Rule
Tùy theo bạn muốn các Gateway truy cập với thông qua các Protocol nào mà tại cửa sổ Site-to-Site Network Access
Rule bạn Add chúng vào, trong này tôi Enable tất cả mọi Port nên chọn là All outbound traffic
Màn hình sau khi hoàn tất
11 of 15
12. Tiếp tục chọn Networks trong Configuration chọn tiếp Tab Network Rule
Bạn phải xác nhận rằng trong này xuất hiện thêm một Network Rule mới đây chính là con đường cho các truy cập từ
Gateway đối tác sang Internal Network của chúng ta
Chọn lại Firewall Policy bạn sẽ thấy xuất hiện thêm một Access Rule mới đây chính là quyền hạn đồng ý cho các truy cập
từ Gateway đối tác sang Internal Network của chúng ta
12 of 15
13. Như vậy để cho các VPN Gateway truy cập được Internal Network với nhau trong ISA Server của mỗi Gateway phải tồn
tại song song cả 2 Network Rule và Access Rule.
Tại ISA Server bạn chọn Virtual Private Networks (VPN) chọn tiếp Tab VPN Clients
Mặc định khi cài đặt hoàn tất ISA Server sẽ không bật VPN Clients lên nên bạn tiếp tục chọn Enable VNP Client Access
trong bước cài đặt thứ 1 để bật tính năng này.
Check vào tùy chọn Enable VPN client access
Lưu ý là giá trị trong ô Maximum number of VPN clients allowed phải nhỏ hơn dãy số IP mà ta gán cho các VPN Clients
13 of 15
14. Như vậy đến đây chúng ta đã hoàn tất cấu hình VPN Gateway to Gateway tạ mạng thứ nhì 169.254.2.0/24
Từ máy PC04 ping thử máy PC02 thấy rất tốt
Truy cập thành công Folder Shared
14 of 15
15. OK mình vừa trình bày xong phần VPN Gateway to Gateway - ISA Server trong 70-351 của MCSA.
Công ty TNHH đầu tư phát triển tin học GC Com
Chuyên trang kỹ thuật máy vi tính cho kỹ thuật viên tin học
Điện thoại: (073) - 3.511.373 - 6.274.294
Website: http://www.gccom.net
15 of 15
