28/9/13
I. Giới thiệu:
Trong các doanh nghiệp, đối với những người dùng có nhu cầu kết nối từ xa để truy cập mạng nội bộ, người quản trị thường cấu hình Virtual Private Network (VPN) cho phép người dung có thể kết nối vào mạng nội bộ từ một máy Client nào đó thông qua đường truyền Internet công cộng. Kỹ thuật VPN thông thường sử dụng Point to Point Tunneling Protocol (PPTP) hoặc Layer two Tunnneling Protocol (L2TP) kết hợp IPSEC. Tuy nhiên trong trường hợp người dùng ngồi trên 1 Client thuộc một mạng nội bộ khác truy cập Internet thông qua một Firewall, Firewall này không cho phép thiết lập kết nối PPTP hoặc L2TP thì người dùng sẽ không thể kết nối VPN vào mạng doanh nghiệp. Giải pháp trong tình huống này là sử dụng Secure Socket Tunneling Protocol (SSTP).
SSTP được giới thiệu từ Windows Server 2008 cho phép thiết lập kết nối VPN thông qua kênh mã hóa SSL của HTTPS, có nghĩa là kết nối sẽ chạy port 443, trong trường hợp này có thể thông qua các firewall cho phép truy cập Web.
Trong bài viết này tôi sẽ giới thiệu kỹ thuật kết nối VPN bằng SSTP trong môi trường Windows Server 2012
II. Các bước triển khai:
Mô hình bài lab bao gồm 3 máy:
+ DC2012: Domain Controller chạy Windows Server 2012 (domain mcthub.local.
+ Router: Windows Server 2012 đã join domain.
+ Client1: Windows 8 chưa join domain
Cấu hình TCP/IP cho 3 máy như trong bảng sau:
Interface
|
DC2012
|
Router
|
Client
| |
Internal
|
IP Address
|
172.16.1.10
|
172.16.1.1
|
Disable
|
Subnet Mask
|
255.255.0.0
|
255.255.0.0
| ||
Default Gateway
|
172.16.1.1
| |||
Preffered DNS
|
172.16.1.10
|
172.16.1.10
| ||
Interface
|
DC2012
|
Router
|
Client
| |
External
|
IP Address
|
Disable
|
123.1.1.1
|
123.1.1.100
|
Subnet Mask
|
255.0.0.0
|
255.0.0.0
| ||
Default Gateway
| ||||
Preffered DNS
| ||||
- Tạo OU VPN. Trong OU VPN, tạo user vpn.
- Cấp quyền Remote Access cho user vpn.
Quy trình thực hiện:
1. Cài đặt Enterprise CA
2. Tạo Certificate Template và phát hành Certificate Template
3. Xin SSTP Certificate cho VPN Server
4. Cài đặt Remote Access
5. Cấu hình VPN Client-to-Gateway
6. Cấu hình NAT Inbound
7. Download CA Certificate
8. Cấu hình Trusted Root CA trên VPN Client
9. Tạo VPN Connection
10. Kiểm tra kết nối VPN-SSTP
III. Triển khai chi tiết:
1/ Cài đặt Enterprise CA
- Tại máy DC2012, logon MCTHUB\Administrator.
- Mở Server Manager, vào menu Manage, chọn Add Roles and Features.
- Màn hình Before You Begin, nhấn Next.
- Màn hình Select installation type, chọn Role-based or feature-based installation.
- Màn hình Select destination server, bạn chọn Server cần cài đặt là DC2012.MCTHUB.LOCAL.
- Màn hình Select server roles, bạn đánh dấu chọn vào ô Active Directory Certificate Services, sau đó nhấn Next.
- Màn hình yêu cầu xác nhận cài thêm các Feature cần thiết, bạn nhấn Add Features.
- Màn hình Select features, nhấn Next.
- Màn hình Active Directory Certificate Services, nhấn Next.
- Màn hình Select roles services, bạn đánh dấu chọn vào ô Certification Authority và Certificate Authority Web Entrollment.
- Cửa sổ Add Roles and Features Wizard, bạn nhấn Add Features.
- Màn hình Web Server Role (IIS), bạn nhấn Next.
- Màn hình Select role services, do xin Certificate thông qua giao diện Web nên cài đặt thêm Web Services.
- Màn hình Confirm installation selections, bạn nhấn Install để tiến hành cài đặt.
- Màn hình Installation progress, kiểm tra quá trình cài đặt thành công. Bạn nhấn vào mục Configure Active Directory Certificate Services on the destination server.
- Màn hình Credentials, chấp nhận User Account dùng để cấu hình là MCTHUB\Administrator.
- Màn hình Role Services, bạn đánh dấu chọn vào ô Certification Authority và Certification Authority Web Enrollment.
- Màn hình Setup Type, chọn loại CA là Enterprise CA.
- Màn hình CA Type, do đây là CA Server đầu tiên và duy nhất trong hệ thống nên tôi chọn Root CA.
- Màn hình Private Key, bạn chọn ô Create a new private key, sau đó nhấn Next.
- Màn hình Cryptography for CA, bạn chấp nhận thuật toán mã hoá mặc định là RSA, sau đó nhấn Next.
- Màn hình CA Name, đặt tên cho CA Server là: MCTHUB-CA, nhấn Next.
- Màn hình Validity Period, chấp nhận thời gian hoạt động của CA Server là 5 năm, nhấn Next.
- Màn hình CA Database, nhấn Next.
- Màn hình Confirmation, bạn nhấn nút Configure để tiến hành cấu hình.
- Màn hình Results, nhấn nút Close khi hoàn tất.
Sau khi cấu hình CA Server, bạn Restart máy ROUTER để máy này tự động Trust CA Server trên DC2012.
2/ Tạo Certificate Template và phát hành Certificate Template
- Vào Run, gõ MMC. Tiếp theo bạn vào menu File, chọn Add/Remove Snap-in…
- Trong cửa sổ Add or Remove Snap-in, chọn công cụ Certification Authority, chọn Add.
- Màn hình Certification Authority, chọn Local Computer. Sau đó bạn nhấn Finish và OK.
- Trong cửa sổ Certification Authority, chuột phải Certificate Templates, chọn Manage.
- Trong cửa sổ Certificate Templates Console, bạn sẽ sao chép Certificate Template này thành một Certificate Template mới. Chuột phải vào IPSec, chọnDuplicate Template.
- Tại tab General, ở mục Template Display Name, bạn đặt tên cho Certificate Template mới (ở đây tôi đặt là SSTP).
- Qua tab Request Handling, đánh dấu chọn vào ô Allow private key to be exported để có thể Export Certificate để phòng trường hợp bị mất Certificate.
- Màn hình Certificate Templates, nhấn OK.
- Qua tab Subject Name, chọn Supply in the request (cấp Certificate cho Authenticated Users)
- Qua tab Extensions, chọn Application Policies, nhấn Edit.
- Trong cửa sổ Edit Application Policies Extension, nhấn Add.
- Trong cửa sổ Add Application Policy, chọn Server Authentication, nhấn OK.
- Trong cửa sổ Edit Application Policies Extension, chọn Server Authentication, nhấn OK.
- Quay lại màn hình Certification Authority,tiến hành phát hành Certificate, chuột phải Certificate Templates, chọn New, sau đó chọn Certificate Templates to Issue.
- Cửa sổ Enable Certificate Templates, chọn SSTP Templates, nhấn OK.
- Kiểm tra SSTP Templates đã được phát hành trong Certification Authority.
3/ Xin SSTP Certificate cho VPN Server
- Tại máy Router, vào Run, gõ: MMC, tạo một Console để quản lý Certificate cho Local Computer.
- Cửa sổ Console1, vào menu File, chọn Add/Remove Snap-in.
- Chọn Certificates, nhấn Add.
- Màn hình Certificate Snap-in, chọn Computer Account, nhấn Next.
- Màn hình Select Computer, chọn Local Computer.
- Cuối cùng bạn nhấn Finish và OK.
- Trong cửa sổ Console, chuột phải Personal, chọn All Tasks, chọn Request New Certificate.
- Màn hình Before You Begin, nhấn Next.
- Màn hình Select Certificate Enrollment Policy, nhấn Next.
- Màn hình Request Certificates, đánh dấu chọn vào ô SSTP, chọn “More information is required to enroll….”
- Màn hình Certificate Properties, trong khung Subject Name, bạn chọn các thông số sau:
+ Type: Common Name
+ Value: VPN.MCTHUB.COM (Lưu ý trên thực tế bạn cần có một Internet Domain Name, ví dụ MCTHUB.COM và đã tạo Host tên tùy ý (ví dụ VPN) trỏ về IP Public của VPN Server.
- Sau đó nhấn Add, chọn OK.
- Trong khung Type, chọn Common Name.
- Trong khung Value nhập tên VPN.MCTHUB.COM và nhấn nút Add.
- Nhấn OK để xác nhận thông tin Certificate.
- Quay lại cửa sổ Request Certificates, bạn nhấn vào nút Enroll.
- Kiểm tra kết quả xin Certificate thành công và nhấn nút Finish.
- Trong cửa sổ Console1, vào Personal, chọn Certificate, double click VPN.MCTHUB.COM.
- Kiểm tra Certificate vừa xin cho VPN Server.
4/ Cài đặt Remote Access.
Nguồn: quantrimang24h
{ 0 nhận xét }