THIẾT LẬP MÔ HÌNH VPN (Client – Gateway)
Đề tài cho buổi seminar đầu tiên sẽ là xây dựng mạng VPN ( Mạng riêng ảo ):
Mạng riêng ảo hay VPN (viết tắt cho Virtual Private Network) là một mạng dành riêng để kết nối các máy tính của các công ty, tập đoàn hay các tổ chức với nhau thông qua mạng Internet công cộng.
Các mô hình VPN bao gồm:
Truy Cập từ xa (remote-Access)
Hay cũng được gọi là Mạng quay số riêng ảo (Virtual Private Dial-up Network) hay VPDN, đây là dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa và bằng các thiết bị khác nhau.
Khi VPN được triển khai, các nhân viên chỉ việc kết nối Internet thông qua các ISPs và sử dụng các phần mềm VPN phía khách để truy cập mạng công ty của họ. Các công ty khi sử dụng loại kết nối này là những hãng lớn với hàng trăm nhân viên thương mại. Các Truy Cập từ xa VPN đảm bảo các kết nối được bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ xa qua một nhà cung cấp dịch vụ thứ ba (third-party)
Có hai kiểu Truy cập từ xa VPN:
Khởi tạo bởi phía khách (Client-Initiated) – Người dùng từ xa sử dụng phần mềm VPN client để thiết lập một đường hầm an toàn tới mạng riêng thông qua một ISP trung gian.
Khởi tạo bởi NAS (Network Access Server-initiated) – Người dùng từ xa quay số tới một ISP. NAS sẽ thiết lập một đường hầm an toàn tới mạng riêng cần kết nối.
Với Truy cập từ xa VPN, các nhân viên di động và nhân viên làm việc ở nhà chỉ phải trả chi phí cho cuộc gọi nội bộ để kết nối tới ISP và kết nối tới mạng riêng của công ty, tổ chức. Các thiết bị phía máy chủ VPN có thể là Cisco Routers, PIX Firewalls hoặc VPN Concentrators, phía client là các phần mềm VPN hoặc Cisco Routers.
Site-to-Site: Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công cộng như Internet.
Site-to-site VPN có thể thuộc một trong hai dạng sau:
Intranet VPN
Áp dụng trong trường hợp công ty có một hoặc nhiều địa điểm ở xa, mỗi địa điểm đều đã có một mạng cục bộ LAN. Khi đó họ có thể xây dựng một mạng riêng ảo để kết nối các mạng cục bộ vào một mạng riêng thống nhất.
Extranet VPN
Khi một công ty có một mối quan hệ mật thiết với một công ty khác (ví dụ như, một đối tác, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng extranet VPN để kết nối kiểu mạng Lan với mạng LAN và cho phép các công ty đó có thể làm việc trong một môi trường có chia sẻ tài nguyên
Tất cả như trên là mô tả sơ bộ VPN ,các bạn có thể bàn luận thêm về mô hình VPN này hoặc đóng góp về hướng giải quyết ,giải pháp độ bảo mật và tính khả thi ngay tại đây.
Để chuẩn bị cho buổi lab VPN này riêng cá nhân M cảm thấy tốt nhất là mang theo 2 cái laptop và đã lỡ làm rồi thì phải làm luôn mô hình site to site mổi laptop 1 site và thực hiện connect nhau y như thực tế ,vì 2 cái đc cấu hình giống nhau nên mình nên làm trước ở nhà 1 cái để đỡ mất thời gian còn cái kia thì đem lên hội thảo làm demo cho anh em xem .
Tuy vậy khi quay phim sẽ hơi khó khăn khi quay tới đoạn 2 máy connect nhau ,cho hỏi ai đã từng quay camstudio và cắt ghép 2 đoạn với nhau đc xin cho chút ý kiến
Mô hình bài Lab như sau:
Quy ước:
card LAN: card mạng dùng để nối giữa 2 máy với nhau
card INTERNET: card mạng nối đến switch để các máy đều thấy nhau
và nối vào Router
Client1 : sử dụng 1 card
Card LAN:
IP Address : 172.16.1.2
Subnet Mask : 255.255.0.0
Default Gateway : 172.16.1.1
Preferred DNS : để trống
SERVER1
Card LAN:
IP Address : 172.16.1.1
Subnet Mask : 255.255.0.0
Default Gateway : để trống
Preferred DNS : để trống
Card INTERNET:
IP Address : 192.168.1.1
Subnet Mask : 255.255.255.0
Default Gateway : 192.168.1.254 (trỏ về router )
Preferred DNS : 210.245.24.20
Client2: sử dụng 1 card
Card INTERNET
IP Address : 10.0.0.5
Subnet Mask : 255.255.255.0
Default Gateway : 10.0.0.2
Preferred DNS : 210.245.24.20
Các bước thực hiện
-1.NAT port 1723 của Router ADSL về máy SERVER1.
(xem bài “Các NAT port một số modem thông dụng” )
2. Cấu hình VPN Server trên máy SERVER:
B1: Tạo user để Client2 kết nối vào VPN Server
User: u1
Password: 123
- bỏ dấu chọn tại ô User must change password at next logon.
Cho phép U1 có quyền Allow access OK
B2: Chọn Start -- Programs -- Administrative Tools -- Routing and Remote Access.
Trong cửa sổ Routing and Remote Access, Click chuột phải SERVER1 chọn Configure and Enable Routing and Remote Access.
- B3: Cửa sổ Welcome to the Routing and Remote Access Server Setup Wizard, nhấn Next.Tại cửa sổ Configuration, check vào ô Remote Access (dial-up or VPN) và Next
- B4: Cửa sổ Remote Access, check vào ô VPN Next
- B5: Cửa sổ VPN Connection ,chọn card INTERNET và bỏ dấu chọn tại ô ” Enable security on the selected… packet filters” , nhấn Next .
- B6: Cửa sổ IP Address Assignment, check vào ô “From a specified range of addresses” nhấn Next
- B7: Tại cửa sổ Address Range Assignment, chọn New
- B8:Tại cửa sổ New Address Range, nhập vào Start IP và End IP, nhấn OK -- Next
- B9:Tại cửa sổ Managing Multiple Remote Access Servers, check vào ô “No, use Routing and … requests”--> Next -- > Finish --->OK
3.Cấu hình VPN Client trên máy Client2:
-Click chuột phải trên My Network Places chọn Properties Create a new connection cửa sổ Welcome --> Next.
-Tại cửa sổ Network Connection Type --> check vào ô “Connect to the network at my workplace” --->Next
- Cửa sổ Network Connection, check vào ô “Virtual Private Network Connection” -- Next
- Tại cửa sổ Connection Name -->tại ô Company Name gõ vào tên bất kỳ (VD:ITLab) –Next.
-Tại cửa sổ VPN Server Selection, gõ Hostname đã đăng ký trên NO-IP vào ô “Host name or IP address……” --> Next --->Finish
**Lưu ý: Tại SERVER1 bạn phải cài chương trình cập nhật IP cho host name banbeit.no-ip.com !
-Tại cửa sổ Connect, nhập User name là u1, Password là 123 và Connect
kết thúc.
Quy ước:
card LAN: card mạng dùng để nối giữa 2 máy với nhau
card INTERNET: card mạng nối đến switch để các máy đều thấy nhau
và nối vào Router
Client1 : sử dụng 1 card
Card LAN:
IP Address : 172.16.1.2
Subnet Mask : 255.255.0.0
Default Gateway : 172.16.1.1
Preferred DNS : để trống
SERVER1
Card LAN:
IP Address : 172.16.1.1
Subnet Mask : 255.255.0.0
Default Gateway : để trống
Preferred DNS : để trống
Card INTERNET:
IP Address : 192.168.1.1
Subnet Mask : 255.255.255.0
Default Gateway : 192.168.1.254 (trỏ về router )
Preferred DNS : 210.245.24.20
Client2: sử dụng 1 card
Card INTERNET
IP Address : 10.0.0.5
Subnet Mask : 255.255.255.0
Default Gateway : 10.0.0.2
Preferred DNS : 210.245.24.20
Các bước thực hiện
-1.NAT port 1723 của Router ADSL về máy SERVER1.
(xem bài “Các NAT port một số modem thông dụng” )
2. Cấu hình VPN Server trên máy SERVER:
B1: Tạo user để Client2 kết nối vào VPN Server
User: u1
Password: 123
- bỏ dấu chọn tại ô User must change password at next logon.
Cho phép U1 có quyền Allow access OK
B2: Chọn Start -- Programs -- Administrative Tools -- Routing and Remote Access.
Trong cửa sổ Routing and Remote Access, Click chuột phải SERVER1 chọn Configure and Enable Routing and Remote Access.
- B3: Cửa sổ Welcome to the Routing and Remote Access Server Setup Wizard, nhấn Next.Tại cửa sổ Configuration, check vào ô Remote Access (dial-up or VPN) và Next
- B4: Cửa sổ Remote Access, check vào ô VPN Next
- B5: Cửa sổ VPN Connection ,chọn card INTERNET và bỏ dấu chọn tại ô ” Enable security on the selected… packet filters” , nhấn Next .
- B6: Cửa sổ IP Address Assignment, check vào ô “From a specified range of addresses” nhấn Next
- B7: Tại cửa sổ Address Range Assignment, chọn New
- B8:Tại cửa sổ New Address Range, nhập vào Start IP và End IP, nhấn OK -- Next
- B9:Tại cửa sổ Managing Multiple Remote Access Servers, check vào ô “No, use Routing and … requests”--> Next -- > Finish --->OK
3.Cấu hình VPN Client trên máy Client2:
-Click chuột phải trên My Network Places chọn Properties Create a new connection cửa sổ Welcome --> Next.
-Tại cửa sổ Network Connection Type --> check vào ô “Connect to the network at my workplace” --->Next
- Cửa sổ Network Connection, check vào ô “Virtual Private Network Connection” -- Next
- Tại cửa sổ Connection Name -->tại ô Company Name gõ vào tên bất kỳ (VD:ITLab) –Next.
-Tại cửa sổ VPN Server Selection, gõ Hostname đã đăng ký trên NO-IP vào ô “Host name or IP address……” --> Next --->Finish
**Lưu ý: Tại SERVER1 bạn phải cài chương trình cập nhật IP cho host name banbeit.no-ip.com !
-Tại cửa sổ Connect, nhập User name là u1, Password là 123 và Connect
kết thúc.
bài LAB sẽ dùng cho buổi seminar đầu tiên: VPN - Site to Site
Linkdownload bài LAB: http://www.mediafire.com/?o5ttpwduxbg
RefLink: http://thegioimang.org/forum/hoi-thao/579-de-tai-dau-tien-cho-buoi-seminar.html
Linkdownload bài LAB: http://www.mediafire.com/?o5ttpwduxbg
RefLink: http://thegioimang.org/forum/hoi-thao/579-de-tai-dau-tien-cho-buoi-seminar.html