Nếu muốn cho máy tính ở một mạng LAN truy cập vào máy ở mạng LAN khác, người sử dụng có thể dùng loại VPN điểm-nối-điểm. Phần này sẽ giới thiệu cách cài đặt theo giao thức PPTP. Mô hình thích hợp với các tổ chức, công ty có nhiều văn phòng ở cách xa nhau.
Những thiết bị cần dùng
Chúng ta sẽ dùng mô hình thực nghiệm với 5 máy tính đóng các vai trò khác nhau. Đây là con số tối thiểu để chạy được VPN điểm-nối-điểm. Trên thực tế, quy mô của từng mạng LAN và máy chủ của VPN sẽ lớn hơn nhiều, như thẩm định quyền truy cập, kiểm soát domain, IAS… Giả sử mạng này là của công ty XYZ với hai LAN ở Hà Nội và TP HCM. Máy khách ở đầu TP HCM đang cần gọi tới văn phòng Hà Nội.
Tên máy tính | Vai trò |
CLIENT1 chạy Windows XP Professional, bản SP2 | Máy khách |
ROUTER1 chạy Windows Server 2003, bản SP1, Standard Edition | – Máy chủ VPN – Router trả lời |
INTERNET chạy Windows Server 2003, bản SP1, Standard Edition | Router Internet |
ROUTER2 chạy Windows Server 2003, bản SP1, Standard Edition | – Máy chủ VPN – Router gọi |
CLIENT2 chạy Windows XP Professional, bản SP2 | Máy khách |
Mô hình một VPN điểm-nối điểm. Ảnh: Microsoft |
Ngoài ra, mạng cần đến 4 hub (hoặc switch Layer 2)
– Một hub nối văn phòng Hà Nội (máy CLIENT1) với router trả lời (ROUTER1).
– Một hub nối văn phòng ở TP HCM (CLIENT2) với router gọi đi (ROUTER2).
– Một hub nối router gọi (ROUTER1) với router Internet (INTERNET).
– Một hub nối router gọi (ROUTER2) với router Internet (INTERNET).
Chú ý:
– Do ở mô hình thực nghiệm chỉ có 2 máy ở mỗi mạng nhỏ nên các hub có thể được thay thế bằng cáp chéo Ethernet.
– Trong mô hình thực nghiệm, Windows Firewall đã được cài đặt và bật tự động trên các máy khách. Bạn sẽ định cấu hình một Windows Firewall ngoại lệ trên CLIENT1, cho phép hai máy khách liên hệ được với nhau. Trên 3 máy còn lại, Windows Firewall đã được cài đặt nhưng không mặc định bật tự động. Ngoài ra, dịch vụ Windows Firewall/Internet Connection Sharing (ICS) cần được tắt đi trong các máy.
Mô hình thực nghiệm. Ảnh: Microsoft |
– Thiết lập địa chỉ IP cho các máy, giả định như sau:
Địa chỉ IP cho mạng con ở văn phòng Hà Nội
Máy tính/Giao diện | Địa chỉ IP |
CLIENT1 | 172.16.4.3 |
ROUTER1 (tới Intranet của Hà Nội) | 172.16.4.1 |
Địa chỉ IP cho các mạng con Internet
Máy tính/Giao diện | Địa chỉ IP |
ROUTER1 (tới Internet) | 10.1.0.2 |
INTERNET (tới ROUTER1) | 10.1.0.1 |
ROUTER2 (tới Internet) | 10.2.0.2 |
INTERNET (tới ROUTER2) | 10.2.0.1 |
Địa chỉ IP cho mạng con ở văn phòng TP HCM
Máy tính/Giao diện | Địa chỉ IP |
ROUTER2 (tới mạng Intranet của TP HCM) | 172.16.56.1 |
CLIENT2 | 172.16.56.3 |
Định cấu hình cho các máy khách
CLIENT1
– Các thuộc tính TCP/IP
1. Mở Network Connections trong Control Pannel, nhấn chuột phải vào đó rồi chọn Properties.
2. Trên thẻ General, chọn Internet Protocol (TCP/IP), nhấn vào Properties.
3. Nhấn vào Use the following IP address, gõ 172.16.4.3 cho mục IP address, gõ 255.255.255.0 cho mục Subnet mask và 172.16.4.1 cho Default gateway.
– Thiết lập cổng riêng trên Windows Firewall để các máy khách nhận nhau.
1. Mở Control Pannel, nhấn vào mục Security Center.
2. Nhấn vào Windows Firewall, trong hộp thoại của chương trình, nhấn vào thẻ Advanced.
3. Nhấn vào Settings, chọn tiếp ICMP, nhấn vào Allow incoming echo request.
4. Nhấn OK hai lần để đóng Windows Firewall.
CLIENT2
– Các thuộc tính TCP/IP
1. Mở Network Connections trong Control Pannel, nhấn chuột phải vào đó rồi chọn Properties.
2. Trên thẻ General, chọn Internet Protocol (TCP/IP), nhấn vào Properties.
3. Nhấn vào Use the following IP address, gõ 172.16.56.3 cho mục IP address, gõ 255.255.255.0 cho mục Subnet mask và 172.16.56.1 cho Default gateway.
– Do CLIENT2 ở văn phòng TP HCM đang đóng vai trò là máy gọi đến nên không cần định cổng đặc biệt cho Windows Firewall. Người dùng cứ để mặc định sẵn như phần chú ý trên. Chỉ khi nào CLIENT2 trở thành máy trả lời thì mới cần cài đặt như với CLIENT1.
Định cấu hình cho các router gọi và trả lời.
ROUTER1
– Các thuộc tính TCP/IP
1. Mở Network Connections trong Control Pannel, nhấn chuột phải vào đó rồi chọn Properties.
2. Trên thẻ General, chọn Internet Protocol (TCP/IP), nhấn vào Properties.
3. a. Trên giao diện To the Internet, gõ 10.1.0.2 ở mục IP address, 255.255.0.0 ở Subnet mask và 10.1.0.1 ở mục Default gateway.
3. b. Trên giao diện To Hanoi intranet, gõ 172.16.4.1 ở ô IP address, 255.255.255.0 ở Subnet mask và ô Default gateway bỏ trống.
– Windows Firewall và Routing and Remote Access không thể chạy đồng thời trên một máy chủ VPN nên nếu Windows Firewall được bật lên, bạn phải tắt đi. Nếu dịch vụ Windows Firewall/Internet Connection Sharing (ICS) đã thiết lập tự động trước khi định cấu hình Routing and Remote Access, bạn cũng phải tắt đi.
1. Nhấn vào Administrative Tools > Services.
2. Trong bảng hiển thị chi tiết của Services, nhấn chuột phải vào Windows Firewall/Internet Connection Sharing (ICS), chọn Properties.
3. Nếu Startup Type là Automatic hay Manual, chọn lại là Disabled.
4. Nhấn OK hai lần để lưu thay đổi.
ROUTER2
– Các thuộc tính TCP/IP
1. Mở Network Connections trong Control Pannel, nhấn chuột phải vào đó rồi chọn Properties.
2. Trên thẻ General, chọn Internet Protocol (TCP/IP), nhấn vào Properties.
3. a. Trên giao diện To the Internet, gõ 10.2.0.2 ở mục IP address, 255.255.0.0 ở Subnet mask và 10.2.0.1 ở mục Default gateway.
3. b. Trên giao diện To Hanoi intranet, gõ 172.16.56.1 ở ô IP address, 255.255.255.0 ở Subnet mask và ô Default gateway bỏ trống.
– Tắt Windows Firewall như với ROUTER1.
Định cấu hình cho router Internet
1. Mở Network Connections trong Control Pannel, nhấn chuột phải vào đó rồi chọn Properties.
2. Trên thẻ General, chọn Internet Protocol (TCP/IP), nhấn vào Properties.
3.a. Trên giao diện To Router1, gõ 10.1.0.1 ở mục IP address, 255.255.0.0 ở mục Subnet mask.
3.b. Trên giao diện To Router2, gõ 10.2.0.1 ở mục IP address, 255.255.0.0 ở mục Subnet mask.
4. Vào Administrative Tools, chọn Routing and Remote Access và mở trình Routing and Remote Access Microsoft Management Console (MMC).
5. Nhấn chuột phải vào INTERNET (local) trong cây chương trình rồi nhấn vào Configure and Enable Routing and Remote Access.
6. Nhấn Next trên trang Routing and Remote Access Server Setup Wizard.
7. Trên trang Configuration, chọn Custom configuration.
8. Nhấn Next. Trên trang Custom Configuration, chọn LAN routing.
9. Nhấn Next. Trên trang Completing the Routing and Remote Access Server Setup, nhấn Finish > Yes để khởi động dịch vụ.
Tắt Windows Firewall như với ROUTER1.
Kiểm tra
– Trên ROUTER1, ping địa chỉ IP 10.2.0.2. Việc này thành công.
– Trên CLIENT2, ping địa chỉ IP 172.16.4.3. Việc này không thành công vì CLIENT1 không liên lạc được với CLIENT2 bằng phân đoạn mạng Internet mô phỏng, cho tới khi kết nối VPN điểm-nối-điểm hoàn thành.
Thiết lập VPN điểm-nối-điểm theo giao thức PPTP
– Định cấu hình VPN cho router trả lời
1. Trên ROUTER1, nhấn vào Administrative Tools, chọn Routing and Remote Access.
2. Nhấn chuột phải vào ROUTER1 (local) trong cây chương trình, chọn Configure and Enable Routing and Remote Access.
3. Nhấn Next trên trang Routing and Remote Access Server Setup Wizard.
4. Trên trang Configuration, chọn Remote access (dial-up or VPN).
5. Nhấn Next. Trên trang Remote Access, chọn VPN.
6. Nhấn Next. Trên trang VPN Connection, chọn To the Internet, đánh dấu vào ô Enable security on the selected interface by setting up static packet filters.
7. Nhấn Next. Trên trang IP Address Assignment, chọn From a specified range of addresses.
8. Nhấn Next. Trên trang Address Range Assignment, nhấn New.
9. Trong hộp thoại New Address Range, làm các việc sau:
a. Gõ 172.16.100.1 ở ô Start IP address
b. Gõ 172.16.100.2 ở ô End IP address
c. Chấp nhận giá trị 2 ở hộp Number of Addresses
10. Nhấn OK. Trên trang Address Range Assignment, nhấn Next.
11. Trên trang Managing Multiple Remote Access Servers, chọn No, use Routing and Remote Access to authenticate connection requests.
12. Nhấn Next. Trên trang Completing the Routing and Remote Access Server Setup, nhấn Finish.
13. Nhấn OK để đóng hộp thoại yêu cầu định cấu hình DHCP Relay Agent. Trường hợp này DHCP Relay Agent sẽ không được định cấu hình.
– Định cấu hình giao diện quay số yêu cầu trên router trả lời
1. Trên trình Routing and Remote Access, chọn ROUTER1, nhấn chuột phải vào Network Interfaces.
2. Chọn New Demand-dial Interface để mở Demand-Dial Interface Wizard, nhấn Next.
3. Trên trang Interface Name, gõ VPN_TPHCM. Chú ý: tên trên giao diện phải đúng như tên tài khoản người sử dụng trên router gọi.
4. Nhấn Next. Trên trang Connection Type, chọn Connect using virtual private networking (VPN).
5. Nhấn Next. Trên trang VPN Type, chọn Point-to-Point Tunneling Protocol (PPTP).
6. Nhấn Next. Trên trang Destination Address, gõ 10.2.0.2 ở ô Host name or IP address.
7. Nhấn Next. Trên trang Protocols and Security, làm những việc sau:
a. Chọn Route IP packets on this interface.
b. Chọn Add a user account so a remote router can dial in.
8. Nhấn Next. Trên trang Static Routes for Remote Networks, nhấn Add.
9. Trong hộp thoại Static Route, làm những công việc sau:
a. Gõ 172.16.56.0 ở ô Destination.
b. Gõ 255.255.255.0 ở ô Network Mask.
c. Chấp nhận giá trị 1 trong ô Metric.
10. Nhấn OK. Trên trang Address Range Assignment , nhấn Next.
11. Trên trang Dial In Credentials, gõ mật khẩu cho tài khoản VPN_TPHCM.
12. Nhấn Next. Trên trang Dial Out Credentials, làm những việc sau:
a. Gõ VPN_Hanoi trong ô User name.
b. Gõ ROUTER2 trong ô Domain.
c. Gõ mật khẩu VPN_Hanoi trong ô Password.
d. Gõ lại mật khẩu này trong ô Confirm password.
13. Nhấn Next. Trên trang Demand-Dial Interface Wizard, nhấn Finish.
14. Nhấn OK để đóng hộp thoại yêu cầu định cấu hình DHCP Relay Agent. Trường hợp này DHCP Relay Agent sẽ không được định cấu hình.
– Định cấu hình VPN trên router gọi
1. Trên ROUTER2, chọn Administrative Tools, nhấn vào Routing and Remote Access.
2. Nhấn chuột phải vào ROUTER2 (local) trong cây chương trình rồi nhấn vào Configure and Enable Routing and Remote Access.
3. Nhấn Next trên trang Remote Access Server Setup Wizard.
4. Trên trang Configuration, chọn Remote access (dial-up or VPN), nhấn Next.
5. Trên trang Remote Access, chọn VPN > Next.
6. Trên trang VPN Connection, chọn To the Internet, đánh dấu vào ô Enable security on the selected interface by setting up static packet filters > nhấn Next.
7. Trên trang IP Address Assignment, chọn From a specified range of addresses, nhấn Next, trên trang Address Range Assignment, chọn New.
8. Trong hộp thoại New Address Range, làm những việc sau:
a. Gõ 172.56.200.1 trong ô Start IP address.
b. Gõ 172.56.200.2 trong ô End IP address.
c. Chấp nhận giá trị 2 ở hộp Number of Addresses > nhấn OK.
9. Trên trang Address Range Assignment, nhấn Next.
10. Trên trang Managing Multiple Remote Access Servers, chọn No, use Routing and Remote Access to authenticate connection requests > Next.
11. Trên trang Completing the Routing and Remote Access Server Setup, nhấn Finish.
12. Nhấn OK để đóng hộp thoại yêu cầu định cấu hình DHCP Relay Agent. Trường hợp này DHCP Relay Agent sẽ không được định cấu hình.
– Định cấu hình trên giao diện quay số yêu cầu trên router gọi
1. Trên trình Routing and Remote Access, chọn ROUTER2, nhấn chuột phải vào Network Interfaces.
2. Chọn New Demand-dial Interface để mở Demand-Dial Interface Wizard, nhấn Next.
3. Trên trang Interface Name, gõ VPN_TPHCM. Chú ý: tên trên giao diện phải đúng như tên tài khoản người sử dụng trên router gọi.
4. Nhấn Next. Trên trang Connection Type, chọn Connect using virtual private networking (VPN).
5. Nhấn Next. Trên trang VPN Type, chọn Point-to-Point Tunneling Protocol (PPTP).
6. Nhấn Next. Trên trang Destination Address, gõ 10.1.0.2 ở ô Host name or IP address.
7. Nhấn Next. Trên trang Protocols and Security, làm những việc sau:
a. Chọn Route IP packets on this interface.
b. Chọn Add a user account so a remote router can dial in.
8. Nhấn Next. Trên trang Static Routes for Remote Networks, nhấn Add.
9. Trong hộp thoại Static Route, làm những công việc sau:
a. Gõ 172.16.4.0 ở ô Destination.
b. Gõ 255.255.255.0 ở ô Network Mask.
c. Chấp nhận giá trị 1 trong ô Metric.
10. Trên trang Static Routes for Remote Networks, nhấn Next.
11. Trên trang Dial In Credentials, gõ mật khẩu cho tài khoản VPN_Hanoi và gõ mật khẩu VPN_Hanoi trong ô Password.
12. Trên trang Dial Out Credentials, làm những việc sau:
a. Gõ VPN_TPHCM trong User name
b. Gõ ROUTER1 trong ô Domain.
c. Gõ mật khẩu tài khoản người dùng VPN_TPHCM đã tạo ra trên ROUTER1.
d. Xác nhận lại mật khẩu trong Confirm password.
13. Trên trang cuối cùng của Demand-Dial Interface Wizard, nhấn Finish.
– Xác nhận chính sách truy cập từ xa trên các router gọi và trả lời
1. Trên ROUTER2, trong mục Routing and Remote Access, nhấn vào Remote Access Policies.
2. Trong bảng hiển thị chi tiết, nhấn chuột phải vào Connections to Microsoft Routing and Remote Access server, chọn Properties.
3. Trên thẻ Settings, chọn Grant remote access permission rồi nhấn OK để lưu các thay đổi.
4. Lặp lại 3 bước trên với ROUTER1.
– Tạo kết nối VPN
1. Trên ROUTER2, trong cây chương trình của Routing and Remote Access, chọn Network Interfaces.
2. Trong ô hiển thị chi tiết, nhấn chuột phải vào VPN_Hanoi > Connect.
3. Kiểm tra tình trạng kết nối của VPN_Hanoi.
– Kiểm tra kết nối
1. Trên CLIENT2, tại dấu nhắc lệnh, gõ ping 172.16.4.3. Đây là địa chỉ IP của CLIENT1. Việc “ping” địa chỉ IP này sẽ kiểm tra được máy có truy cập được vào mạng con ở Hà Nội hay không.
2. Để kiểm tra các gói tin được truyền qua kết nối VPN, tại dấu nhắc lệnh, gõ tracert 172.16.4.3. Chú ý rằng cần phải dùng địa chỉ IP của CLIENT1 chứ không phải tên máy tính vì máy chủ DNS không được định cấu hình trong mô hình thực nghiệm này. Còn trên thực tế, khi có một máy chủ quản lý tên miền, người dùng có thể nhập tên của máy tính, ví dụ như xyzhanoi_quangminh, để truy cập.
Kết quả tương tự như sau đây sẽ cho biết kết nối thành công:
Tracing route to 172.16.4.3 over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms [172.16.56.1]
2 1 ms <1 ms <1 ms [172.56.200.2]
3 1 ms 1 ms 1 ms [172.16.4.3]
Trace complete.
Ý nghĩa của thông báo trên:
172.16.56.1 là địa chỉ IP của ROUTER2 kết nối tới Intranet của TP HCM. 172.56.200.2 là địa chỉ IP mà ROUTER2 gán cho ROUTER1; địa chỉ IP này xuất hiện nghĩa là các gói tin đang được truyền qua kết nối VPN điểm-nối-điểm. 172.16.4.3 là địa chỉ IP của CLIENT1.