nessi
Administrator
- Joined
- Feb 25, 2018
- Messages
- 67
- Reaction score
- 16
- Points
- 8
- Location
- HOCHIMINH CITY
- Website
- securityzone.vn
Lab Site to Site VPN
Bài hôm trước mình có giới thiệu về Lab Client to Site VPN cũng như là giới thiệu sơ qua về VPN là như nào, các giao thức hoạt động trên VPN…
Hôm nay mình sẽ nối tiếp bài hôm trước làm về Lab Site to Site VPN tức là mô hình Doanh Nghiệp có 2 chi nhánh cần chia sẻ tài nguyên hoạt động trao đổi với nhau giữa các client hay có thể là Server nào đó trong Site này với Site kia (Site =Chi Nhánh) như là trong cùng một mạng LAN ( -> VPN).
Các bước tiến hành:
- Cấu hình VPN Server dùng giao thức PPTP
- Cấu hình VPN Server dùng giao thức L2TP
I. Chuẩn bị
Mô hình mình sẽ sử dụng 4 máy
- DC01: Windows Server 2016 – VPN Server và Router
- DC02: Windows Server 2016 – VPN Server và Router
- PC01: Windows 10 – VPN Client
- PC02: Windows 10 – VPN Client
Ứng với sơ đồ trên, sẽ tạo 3 LAN Segments – 1, 2 và 3 như sơ đồ. PC01 và PC02 trỏ Default Gateway về DC trong LAN.
DC01 và DC02 cài đặt Role Routing and Remote Access.
DC01 tạo user lan1/123 (chỉnh Policy Password đơn giản) -> Check vào ô Allow Access như bài lab trước để thực hiện cấp quyền truy cập vào VPN Server DC01 cho bên DC02.
DC02 tạo user lan3/123, check ô Allow Access tương tự trên.
Tắt firewall trên cả 4 máy. Kiểm tra Ping giữa PC01 với DC01 và PC02 với DC02 đảm bảo chắc chắn cấu hình IP và LAN tương ứng thành công.
I. Triển khai bài lab
1. Cấu hình VPN Server dùng giao thức PPTP
Thực hiện trên DC01 trước. Mở Routing and Remote Acess, chuột phải vào Configure and Enable Routing and Remote Acess…
Bỏ qua màn hình Welcom, Next. Ở màn hình tiếp theo chọn Custom configuration
Tiếp theo ở màn hình Custom Configuration check 2 ô: VPN acess và LAN routing, sau đó chọn Next, rồi Finish và cuối cùng Start Service. Chọn LAN routing để có chức năng Routing, cụ thể là đi từ mạng 10.0.0.0/24 đến 192.168.1.0/24 trong cùng LAN.
Quay lại màn hình chính của Routing and Remote Access. Chuột phải vào Network Interfaces, chọn New Demand-dial Interface -> Next
Ở màn hình Interface Name, mình sẽ đặt tên cho cổng này, thông thường sẽ đặt tên theo mạng hoặc tên Router mình muốn kết nối đến. Mình muốn kết nối tới mạng Private ở DC02 nên đặt tên là DC02. Next
Tiếp là chọn kiểu kết nối. Chọn kiểu VPN mà mình hướng tới trong bài lab này.
Ở màn hình VPN Type -> chọn PPTP, bởi phần 1 của mình làm theo giao thức này. Tuy nhiên khuyến cáo không nên sử dụng giao thức này khi Kết nối VPN bởi lí do bảo mật kém (Bài lab trước mình có nói qua về phần này)
Màn hình Protocol and Security, để nguyên mặc định
Màn hình Static Routes for Remote Networks, chọn Add. Sau đó điền thông tin:
- Destination: 10.0.10.0
- Network Mask: 255.255.255.0
- Metric: 1
Tiếp theo ở màn hình Dial-Out Credentials, nhập thông tin user lan3/123 (ở DC02) được phép truy cập vào VPN Site to Site ở VPN Server bên DC01. Next -> Finish
Quay lại Routing and Remote Access, chuột phải vào DC01 chọn Properties -> Qua tab IPv4. Chọn Static address pool, chọn Add: đây là giải địa chỉ ngầm mình sẽ cấp cho VPN khi truy cập lẫn nhau
+ start Ip address: 172.16.1.0
+ end Ip address: 172.16.1.254
OK -> Xong
Quay lại chương trình Routing and Remote Access, chuột phải vào DC01 -> All Tasks -> Restart
DC02:
Trên DC02 thực hiện các bước tương tự như cấu hình VPN Server trên DC01. Mình tóm tắt lại các thông tin.
Interface Name
Destination Address
Static Routes for Remote Networks
Dial-Out Credentials
Quay lại chương trình Routing and Remote Access, chuột phải vào DC02 -> All Tasks -> Restart
Test:
Trên PC01 ping tới PC02, và ngược lại với ping -t
Qua DC01, vào lại Routing and Remote Access -> Ports -> Acctive PPTP
Networks Interfaces -> Connected
Sau khi ping một lúc, các Interfaces DC01 và DC02 sẽ tự động Connected. Khi đó đã hoàn thành thiết lập kết nối VPN Site to Site.
2. Cấu hình VPN Server dùng giao thức L2TP
Trên máy DC01:
Mở lại Routing and Remote Access -> Network Interfaces -> DC02, chọn Properties -> Qua Tab Security
Tiếp theo ở phần Type of VPN chọn L2TP/IPsec -> Chọn Advanced Settings -> Check ô đầu tiên “Use preshared key for authenticantion”, nhập Key: 12345 tức là bên VPN Server DC02 sẽ nhập key được chia sẻ trước này với giao thức L2TP/IPsec để kết nối tới VPN Server DC01. Ok đóng hết hộp thoại lại.
Vẫn ở cửa sổ Routing and Remote Access, phải chuột vào DC01 -> chọn Properties -> Qua tab Security -> Check ô Allow custom IPsec policy for L2TP/IKEv2 connection -> Nhập key được share trước bởi DC02: 123456 để kết nối tới VPN Server DC02. -> OK
Trên máy DC02:
Làm tương tự như trên:
Tạo Key 123456
Nhập Key share trước bởi DC01: 12345
Sau đó Restart lại Service trên cả 2 máy.
Mình đặt 2 Key khác nhau để các bạn phân biệt 2 Key này như nào và không nhất thiết phải trùng nhau.
Kiểm tra:
Kiểm tra Port trên DC01 -> L2TP -> Active -> Okie
Kiểm tra Port trên DC02 -> L2TP -> Active -> Okie
Vậy là mình đã hoàn thành phần lab VPN Site to Site.