ISA Server 2004: Tạo kết nối VPN từ văn phòng chính tới các chi nhánh

 Mô hình thực hành Tạo kết nối VPN từ văn phòng chính tới các chi nhánh được trích trong chương trình Security 2006. Nội dung của thực hành là thực hiện triển khai một kết nối VPN site-to-site trên ISA Server Firewall 2004, đó là sự kết nối hai hay nhiều networks sử dụng một VPN link qua Internet. Cấu hình VPN site-to-site làm việc tương tự như LAN router; Các packets được gửi tới từ các remote site đến những IP addresses xác định sẽ được định tuyến thông qua ISA Server 2004 machine. ISA Server 2004 firewall machine đóng vai trò như một VPN gateway kết nối hai networks lại với nhau qua Internet.

Mỗi một liên kết site-to-site có thể dùng một trong các VPN protocols sau:

• PPTP

• L2TP/IPSec

• IPSec tunnel mode

PPTP -Point-to-Point Tunneling Protocol. PPTP cung cấp mức độ bảo mật tốt dựa trên mức độ phức tạp của password được dùng để tạo PPTP connection. Bạn có thể tăng cường mức độ bảo mật được áp dụng cho liên kết PPTP thông qua sử dụng các phương thức xác thực EAP/TLS based-authentication.

L2TP/IPSec VPN protocol cung cấp mức độ bảo mật cao hơn bởi vì có sử dụng giao thức mã hóa IPSec để bảo mật kết nối. Cũng có thể dùng computer và user certificates để cung cấp mức độ bảo mật cao hơn nữa khi thực hiện kết nối dùng L2TP/IPSec. Nếu bạn chưa sẵn sàng triễn khai hạ tầng cung cấp chứng chỉ xác thực số- certificate infrastructure, có thể sử dụng các khóa chia sẽ - pre-shared key để thực hiện kết nối L2TP/IPSec VPN site-to-site.

Trong ISA Server 2004 hỗ trợ IPSec ở chế độ kênh ngầm- tunnel mode cho site-to-site VPN connections. Bạn chỉ nên dùng IPSec tunnel mode khi bạn cần tạo ra một site-to-site link với một VPN Server Gateway của hãng khác -third-party VPN

gateways. tunnel mode của Third-party IPSec gateways có thể không hỗ trợ cấp độ bảo mật cao mà L2TP/IPSec dùng, vì vậy có thể sẽ dung một VPN protocol yếu hơn. IPSec tunnel mode siteto-site links có ưu điểm cho các văn phòng chi  nhánh, khi văn phòng chính vẫn sử dụng ISA Server 2004 firewall làm VPN gateways.

Tiến hành các thủ tục sau để tạo site-to-site link giữa hai ISA Server 2004 firewall.

ISALOCAL machine sẽ giả lập làm firewall tại văn phòng chính, và REMOTEISA sẽ làm firewall của văn phòng chi nhánh. Chúng ta sẽ dùng L2TP/IPSec VPN protocol để tạo site-to-site link, và một pre-shared key được sử dụng để hỗ trợ IPSec encryption protocol.

Hoàn thành các thủ tục sau để thiết lập kết nối site to site VPN:

• Tạo Remote Site tại văn phòng chính

• Tạo Network Rule tại Văn phòng chính

• Tạo Access Rules văn phòng chính

• Tạo tài khoản quay số Dial-in Account đến VPN Gateway tại văn phòng chính

• Xác lập Shared Password trong RRAS Console tại văn phòng chính

• Tạo Remote Network Văn phòng chi nhánh

• Tạo Network Rule tại văn phòng chi nhánh

• Tạo các Access Rules tại văn phòng chi nhánh

• Tạo VPN Gateway Dial-in Account tại văn phòng chính

• Xác lập Shared Password trong RRAS Console tại văn phòng chi nhánh

• Kích hoạt kết nối Site-to-Site

Tạo Remote Site tại Văn Phòng chính

Chúng ta sẽ bắt đầu cấu hình ISA Server 2004 firewall ở văn phòng chính. Trước hết

Remote Site Network in the Microsoft Internet Security and Acceleration Server 2004 management console. Tạo Remote Site Network trên Văn phòng chính:

1. Mở Microsoft Internet Security and Acceleration Server 2004 management

console và mở rộng server name. Click trên Virtual Private Networks (VPN)

node.

2. Click trên Remote Sites tab trong khung Details. Click trên Tasks tab trong khung Task Pane. Click Add Remote Site Network.

3. Trên Welcome to the New Network Wizard page, điền vào tên cho  remote

network trong Network name text box. Trong vd này, tên của remote network là

Branch. Click Next.

4. Trên VPN Protocol page, chọn Layer Two Tunneling Protocol (L2TP) over IPSec, và click Next.

5. Trên Remote Site Gateway page, điền vào IP address của external interface trên

remote ISA Server 2004 firewall machine. Trong vd này, , IP address là

192.168.1.71, vì thế chúng ta sẽ điền giá trị này vào text box. Click Next.

6. Trên Remote Authentication page, đánh dấu check vào trong Local site can initiate connections to remote site using these credentials check box. Điền vào tên của account mà bạn sẽ tạo trên remote ISA Server 2004 firewall computer để cho phép truy cập VPN gateway Văn phòng chính. ở Vd này, trong User name text box, tên của user account Main (user account phải cùng với demand-dial interface đã tạo trên remote site). Tên Domain là tên của remote ISA Server

2004 firewall computer, teong vd này, chính là REMOTEISA (Nếu remote ISA Server

2004 firewall là một domain controller, bạn có thể dùng domain name thay cho

computer name). Điền vào một password cho account và xác nhận lại the password. Ghi nhớ tài khoản này, khi chúng ta tạo tài khoản sau này trên remote ISA Server 2004 firewall. Click Next.

7. Đọc thông tin trên Local Authentication page, và click Next.

8. Trên L2TP/IPSec Authentication page, đánh dấu check vào Allow pre-shared key IPSec authentication as a secondary (backup) authentication method check box.

Điền vào một key trong Use pre-shared key for authentication text box.Trong vd này, key là 123. Click Next.

9. Click Add trên Network Addresses page. Trong IP Address Range Properties dialog box, điền vào 10.0.1.0 trong Starting address text box. Điền vào 10.0.1.255 trong Ending address text box. Click OK.

10. Click Next trên Network Addresses page.

11. Click Finish trên Completing the New Network Wizard page.

Tạo  Network Rule tại Văn phòng chính

ISA Server 2004 firewall phải biết sử dụng những phương pháp nào để định tuyến các gói tin-packets đến đúng Netwok của Văn phòng chi nhánh . Có 2 lựa chọn: Route và NAT.

Định tuyến dạng route các packets sẽ được dẫn đến Văn phòng chi nhánh nhưng địa chỉ IP nguồn vẫn được bảo toàn, không thay đổi.

NAT lại tiến hành thay thế source IP address của client khi Client thực hiệnn kết nối

. Nhìn chung, định tuyến dạng route cung cấp hỗ trợ các protocol đa dạng hơn còn  NATlại cung cấp mức độ bảo mật tốt hơn, vì nó không để lộ IP nguồn.

Tiến hành các bước sau để tạo một Network Rule để điều khiển việc định tuyến giữa các networks  của Văn phòng chính và Văn phòng chi nhánh:

1. Mở rộng Configuration node bên khung trái. Click trên Networks

node.

2. Click trên Network Rules tab trong Details Pane. Click trên Tasks tab trong Task

Pane. Click Create a New Network Rule.

3. Trên Welcome to the New Network Rule Wizard page, điền vào tên của rule

trong Network rule name text box. Trong vd này, chúng ta sẽ đặt tên là: MainBranch. Click Next.

4. Trên Network Traffic Sources page, click Add.

5. Trong Add Network Entities dialog box, click Networks folder. Double click trên

Internal network. Click Close.

6. Click Next trên Network Traffic Sources page.

7. Trên Network Traffic Destinations page, click Add.

8. Trong Add Network Entities dialog box, double click trên Branch network. Click

Close.

9. Click Next trên Network Traffic Destinations page.

10. Trên Network Relationship page, chọn Route.

11. Click Finish trên Completing the New Network Rule Wizard page.

Tạo các Access Rules tại Văn phòng chính

Trong ví dụ này, chúng ta muốn clients trên cả 2 Mạng thuộc Văn phòng chính và Văn phòng chi nhánh có đầy đủ quyền truy cập đến các nguồn tài nguyên của mỗi Network. Chúng ta phải tạo các Access Rules để cho phép việc lưu thông từ

Văn phòng chính đến Văn phòng chi nhánh và ngược lại từ Văn phòng chi nhánh đến Văn phòng chính.

Tiến hành các bước sau để tạo các Access Rules nhằm cho phép lưu thông  giữa 2 Network văn phòng chính và Văn phòng chi nhánh:

1. Click Firewall Policy node trong khung bên trái. Click Tasks tab trong

Task Pane. Click Create New Access Rule.

2. Trên Welcome to the New Access Rule Wizard page, điền vào tên cho rule trong Access Rule name text box. Trong ví dụ này, điền vào Main to Branch. Click Next.

3. Trên Rule Action page, chọn Allow và click Next.

4. Trên Protocols page, chọn All outbound protocols trong This rule applies to list. Click Next.

5. Trên Access Rule Sources page, click Add.

6. Trong Add Network Entities dialog box, click Networks folder và double click Internal network. Click Close.

7. Click Next trên Access Rule Sources page.

8. Trên Access Rule Destinations page, click Add.

9. Trong Add Network Entities dialog box, click trên Networks folder và sau đó double click trên Branch network. Click Close.

10. Click Next trên Access Rule Destinations page.

11. Trên User Sets page, chấp nhận mặc định là All Users và click Next.

12. Click Finish trên Completing the New Access Rule Wizard page.

Quy tắc thứ 2 -2nd rule sẽ cho phép các hosts trên Mạng của Văn phòng chi nhánh truy cập đến Mạng Văn phòng chính:

1. Click Tasks tab trong Task pane. Click Create New Access Rule.

2. Trên Welcome to the New Access Rule Wizard page, điền vào tên rule trong

Access Rule name text box. Trong ví dụ này, điền vào Branch to Main. Click Next.

3. Trên Rule Action page, chọn Allow và click Next.

4. Trên Protocols page, chọn All outbound protocols trong This rule applies to list. Click Next.

5. Trên Access Rule Sources page, click Add.

6. Trong Add Network Entities dialog box, click Networks folder và double click Branch network. Click Close.

7. Click Next trên Access Rule Sources page.

8. Trên Access Rule Destinations page, click Add.

9. Trong Add Network Entities dialog box, click trên Networks folder và sau đó double click trên Internal network. Click Close.

10. Click Next trên Access Rule Destinations page.

11. Trên User Sets page, chấp nhận giá trị mặc định All Users và click Next.

12. Click Finish trên Completing the New Access Rule Wizard page.

Và cuối cùng cho phép VPN clients được truy cập:

1. Click trên Virtual Private Network node trong khung bên trái.

2. Click VPN Clients tab trong Details Pane. Click Tasks tab trong Task Pane.

Click Enable VPN Client Access.

3. Click OK trong ISA Server 2004 dialog box sẽ thông báo với bạn rằng Routing and Remote Access service must be restarted.

4. Click Apply để lưu những thay đổi và cập nhật firewall policy.

5. Click OK trong Apply New Configuration dialog box.

Tạo tài khoản quay số VPN Gateway Dial-in Account tại văn phòng chính

Một tài khoản phải được tạo tại firewall Văn phòng chính để firewall của Văn phòng chi nhánh có thể xác thực khi thực hiện kết nối site-to-site . User account phải có cùng tên như demand-dial interface trên Computer Văn phòng chính. Lát sau chúng ta sẽ cấu hình ISA Server 2004 của Văn phòng chi nhánh để sử dụng tài khoản này khi nó quay số đến kết nối VPN site-to-site link.

Để tạo account cho remote ISA Server 2004 firewall có thể dùng để connect đến VPN gateway của Văn phòng chính:

1. Right click My Computer trên desktop và click Manage.

2. Trong Computer Management console, mở rộng Local Users và Groups node.

Right click Users node và click New User.

3. Trong New User dialog box, điền vào tên của demand-dial interface Văn phòng chính. Trong vd này của chúng ta là Branch. Điền vào Branch trong text box.

Điền vào Password và xác nhận lại Password. Ghi nhớ  password, vì cần dùng khi bạn cấu hình VPN gateway trên remote ISA Server 2004 machine. Remove dấu check từ User must change password at next logon check box. Đánh dấu check vào User cannot change password và Password never expires check boxes. Click Create.

4. Click Close trong New User dialog box.

5. Double click Branch user trong khung bên phải.

6. Trong Branch Properties dialog box, click Dial-in tab. Chọn Allow access. Click

Apply và sau đó click OK.

Xác lập Shared Password trong RRAS Console tại Văn phòng chính

Pre-shared key bạn đã đưa vào Microsoft Internet Security và Acceleration

Server 2004 management console sẽ không tự động copy vào Routing and Remote

Access service. Bạn phải cấu hình Routing and Remote Access service để dùng preshared key mà bạn đã cấu hình khi tạo Network của Remote Site.

Để cấu hình L2TP/IPSec pre-shared key:

1. Click Start, Administrative Tools. Click Routing và Remote Access.

2. Trong Routing và Remote Access console, right click trên server name. Click

Properties.

3. Trong server Properties dialog box, click Security tab. Trên Security tab, đánh dấu check vào Allow custom IPSec policy for L2TP connection check box. Trong

Pre-shared Key text box, điền vào 123. Click Apply và OK.

4. Close Routing and Remote Access console.

5. Restart ISA Server 2004 firewall machine  tại Văn phòng chính.

Tạo Remote Site tại Văn phòng chi nhánh

Bây giờ thì Văn phòng chính đã sẵn sàng, chúng ta sẽ cấu hình tiếp ISA Server 2004

firewall thuộc Văn phòng chi nhánh. Trước hết hãy tạo Remote Site Network tại Văn phòg chi nhánh:

Tiến hành các bước sau để tạo Remote Site Network tại Văn phòng chi nhánh:

1. Mở Microsoft Internet Security và Acceleration Server 2004 management

console và mở rộng server name. Click trên Virtual Private Networks (VPN)

node.

2. Click trên Remote Sites tab trong Details Pane. Click trên Tasks tab trong Task

Pane. Click Add Remote Site Network.

3. Trên Welcome to the New Network Wizard page, điền vào tên cho remote

network trong Network name text box. Trong ví dụ này,chúng ta sẽ đặt tên remote network là Main. Click Next.

4. Trên VPN Protocol page, chọn Layer Two Tunneling Protocol (L2TP) over IPSec và click Next.

5. Trên Remote Site Gateway page, điền vào IP address trên external interface của

Những bài viết tương tự ISA Server 2004: Tạo kết nối VPN từ văn phòng chính tới các chi nhánh:
Tạo kết nối VPN từ văn phòng chính tới các chi nhánh | Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls (P.1) | Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls (P.2) | Tin tặc chiếm đoạt hơn 200 chứng chỉ số SSL | Sửa chữa các tập tin bị hỏng | Cấu hình ISA Firewall hoạt động như DHCP Server | Chứng chỉ Internet giả mạo đe dọa người dùng Gmail | Cách "chữa cháy" khi xóa nhầm khóa registry | Windows Update an toàn với các chứng chỉ SSL | Google Hijack - Kết quả tìm kiếm bị chuyển hướng