Phần này sẽ giới thiệu kết nối VPN truy cập từ xa theo giao thức L2TP/IPsec. Cơ chế này cần các chứng nhận bảo mật (certificate) trên cả máy khách và máy chủ VPN và được áp dụng khi người sử dụng cần cấu trúc mã khóa chung (public key infrastructure) ở mức độ cao hơn PPTP.
Trong mô hình thực nghiệm này, bạn cần:
– Máy tính chạy Windows Server 2003, phiên bản Enterprise Edition, đặt tên là DC1, hoạt động như một trung tâm điều khiển domain (domain controller), một máy chủ DNS (Domain Name System), một máy chủ DHCP (Dynamic Host Configuration Protocol) và một trung tâm chứng thực CA (certification authority).
– Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên VPN1, hoạt động như một máy chủ VPN. VPN1 được lắp đặt 2 adapter mạng.
– Một máy tính chạy Windows XP Professional, mang tên CLIENT1, hoạt động như một máy khách truy cập từ xa.
– Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IAS1, hoạt động như một máy chủ quản lý người sử dụng truy cập từ xa RADIUS (Remote Authentication Dial-in User Service).
– Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IIS1, hoạt động như một máy chủ về web và file.
Về các chú ý căn bản cho mô hình thực nghiệm, mời bạn xem lại bài Tìm hiểu mạng riêng ảo VPN (Phần 3). Trong đó, chú ý phân đoạn mạng Internet chỉ là mô phỏng. Khi kết nối ra mạng Internet ngoài, bạn cần đặt địa chỉ IP thực, có domain thực thay cho example.com. Cách cài đặt cho IAS1 và IIS1 giống như trong phần 3. Thực ra, bạn cũng có thể thực hiện mô hình rút gọn với 3 máy CD1, VPN1 và CLIENT1.
DC1
Dưới đây là cách định cấu hình cho DC1 để tự động nạp các chứng nhận cho máy tính:
1. Mở Active Directory Users và mục Computers
2. Trong cây chương trình, nhấn đúp chuột vào Active Directory Users and Computers, nhấn chuột phải vào example.com, chọn Properties.
3. Mở thẻ Group Policy, nhấn vào Default Domain Policy, chọn Edit.
4. Trong cây chương trình, mở mục Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Automatic Certificate Request Settings.
5. Nhấn chuột phải vào Automatic Certificate Request Settings, chọn New rồi nhấn Automatic Certificate Request.
6. Trên trang Welcome to the Automatic Certificate Request Setup Wizard, nhấn Next.
7. Trên trang Certificate Template, nhấn Computer.
8. Nhấn Next. Trên trang Automatic Certificate Request Setup Wizard, nhấn Finish. Lúc này, kiểu chứng nhận sẽ xuất hiện trong ô hiển thị chi tiết của Group Policy Object Editor.
9. Gõ gpupdate ở dấu nhắc để cập nhật Group Policy trên DC1.
Cập nhật Group Policy trên VPN1: gõ lệnh gpupdate tại dấu nhắc lệnh.
Sau khi cập nhật các chứng nhận mới, bạn cần phải ngừng và khởi động lại các dịch vụ IPsec Policy Agent và Remote Access:
1. Nhấn Start > Administrative Tools > Services
2. Trong ô hiển thị chi tiết, trỏ vào IPSEC Services > Action, sau đó nhấn Restart.
3. Trong ô hiển thị chi tiết, trỏ vào Routing and Remote Access > Action rồi nhấn Restart.
Để nạp các chứng nhận trên máy này và định cấu hình cho một kết nối VPN truy cập từ xa theo giao thức L2TP/IPsec, bạn thực hiện các bước như sau:
1. Tắt máy CLIENT1.
2. Ngắt kết nối CLIENT1 khỏi phân đoạn mạng Internet mô phỏng và kết nối máy này vào phân đoạn mạng Intranet.
3. Khởi động lại CLIENT1 và đăng nhập vào máy với tài khoản VPNUser. Máy tính và Group Policy được cập nhật tự động.
4. Tắt máy CLIENT1.
5. Ngắt kết nối CLIENT1 khỏi phân đoạn mạng Intranet và kết nối máy với phân đoạn Internet mô phỏng.
6. Khởi động lại CLIENT1 và đăng nhập vào với tài khoản VPNUser.
7. Trên CLIENT1, trong Control Panel, mở thư mục Network Connections.
8. Trong Network Tasks, nhấn vào Create a new connection.
9. Trên trang Welcome to the New Connection Wizard, nhấn Next.
10. Trên trang Network Connection Type, nhấn Connect to the network at my workplace.
11. Nhấn Next. Trên trang Network Connection, nhấn vào Private Network connection.
12. Nhấn Next. Trên trang Connection Name, gõ L2TPtoMangcongty.
13. Nhấn Next. Trên trang Public Network, nhấn Do not dial the initial connection.
14. Nhấn Next. Trên trang VPN Server Selection, gõ 10.0.0.2 trong ô Host name or IP address.
15. Nhấn Next. Trên trang Connection Availability, nhấn Next.
16. Trên trang Completing the New Connection Wizard, nhấn Finish. Hộp thoại L2TPtoMangcongty xuất hiện.
17. Nhấn vào mục Properties rồi nhấn vào thẻ Networking.
18. Trên thẻ Networking, trong mục Type of VPN, nhấn vào L2TP/IPSec VPN.
19. Nhấn OK để lưu các thay đổi đối với kết nối L2TPtoMangcongty. Hộp thoại Connect L2TPtoMangcongty xuất hiện.
20. Trong ô User name, gõ exampleVPNUser. Trong ô Password, gõ mật khẩu tùy ý cho tài khoản VPNUser.
21. Nhấn Connect.
22. Khi kết nối được thiết lập, chạy trình duyệt web.
23. Trong ô Address, gõ http://IIS1.example.com/iisstart.htm. Bạn sẽ thấy một thông báo là trang web đang trong quá trình thiết kế. Trên thực tế, bạn phải có một tên miền thực, thay cho example.com.
24. Nhấn Start > Run > gõ \IIS1ROOT > OK. Bạn sẽ thấy các nội dung của ổ nội bộ (ổ C) trên IIS1.
25. Nhấn chuột phải vào kết nối L2TPtoMangcongty rồi chọn Disconnect.
Các chú ý:
Nếu muốn thiết lập một cái “ống ảo” bí mật trên mạng Internet theo cơ chế truy cập từ xa, bạn chỉ có thể sử dụng giao thức IPSec trực tiếp khi máy khách có địa chỉ IP thực.
Do L2TP với cơ chế mã hóa IPSec yêu cầu cấu trúc mã khóa chung (Public Key Infrastructure) nên khó khai thác và tốn kém so với PPTP. L2TP/IPSec là giao thức L2TP chạy trên nền IPSec, còn cơ chế truyền tin IPSec Tunel Mode lại là một giao thức khác.
Do có cơ chế thẩm định quyền truy cập nên L2TP/IPSec hay IPSec Tunnel Mode chỉ có thể truyền qua một thiết bị dịch địa chỉ mạng NAT (network address translation) bằng cách đi qua nhiều cái “ống ảo” hơn. Nếu dùng một NAT giữa điểm hiện diện POP (Point of Present) và Internet, bạn sẽ gặp khó khăn. Còn trong PPTP, một gói tin IP đã được mã hóa đặt trong một gói tin IP không được mã hóa nên nó có thể đi qua một NAT.
PPTP và L2TP có thể hoạt động với các hệ thống thẩm định quyền truy cập dựa trên mật khẩu và chúng hỗ trợ quyền này ở mức cao cấp bằng những loại thẻ thông minh, công nghệ sinh trắc học và các thiết bị có chức năng tương tự.
Lời khuyên:
PPTP là giải pháp tối ưu khi khách hàng muốn có cơ chế bảo mật không tốn kém và phức tạp. Giao thức này cũng tỏ ra hữu hiệu khi các luồng dữ liệu phải truyền qua NAT. Khách hàng nếu muốn có NAT và độ bảo mật cao hơn có thể định cấu hình cho các quy tắc IPSec trên Windows 2000.
L2TP là giải pháp tốt nhất khi khách hàng coi bảo mật là vấn đề quan trọng hàng đầu và cam kết khai thác cấu trúc mã khóa chung PKI. Nếu bạn cần một thiết bị NAT trong đường truyền VPN thì giải pháp này có thể không phát huy hiệu quả.
IPSec Tunnel Mode lại tỏ ra hữu hiệu hơn với VPN điểm-nối-điểm (site to site). Mặc dù giao thức này hiện nay cũng được áp dụng cho VPN truy cập từ xa nhưng các hoạt động của nó không “liên thông” với nhau. IPSec Tunnel Mode sẽ được đề cập kỹ hơn trong phần VPN điểm-nối-điểm kỳ sau.