BIGtheme.net http://bigtheme.net/ecommerce/opencart OpenCart Templates

VPN client to site (Client Access) bằng giao thức SSTP

Các bước cài đặt VPN client to site (Client Access) bằng giao thức SSTP

1. Tạo User và cấp quyền VPN

2. Cài đặt Enterprise CA

3. Xin Computer Certificate cho VPN Server

4. Cài đặt Routing and Remote Access

5. Cấu hình VPN Client-to-Gateway

6. Cấu hình NAT Inbound (mở port 80 cho http)

7. Download CA Certificate

8. Cấu hình Trusted Root CA trên VPN Client

9. Tạo VPN Connection

10. Kiểm tra kết nối VPN-SSTP

Chuẩn bị cho hệ thống:

– 1 máy windows server 2008 tên HT-DC đã nâng cấp lên DC với domain hoangthongit.com

– 1 máy windows server 2008 tên HT-SRV-01 đã join vào domain dùng để cài đặt VPN Server.

– 1 máy Windows 7 tên Client1 dùng làm VPN Client.

Địa chỉ IP cho các máy:

Máy HT-DC có một card mạng (đặt card này ở chế độ Vmnet 2 trên phần mềm Vmware)

Hướng dẫn tạo và xóa mailbox

Máy HT-SRV-01 có 2 card mạng:

+ Card Int nối với máy HT-DC (đặt card này ở chế độ Vmnet 2 trên phần mềm Vmware) có địa chỉ IP như sau:

2014-06-25_091744

+ Card Ext nối với máy Client1 (đặt card này ở chế độ Vmnet 3 trên phần mềm Vmware) có địa chỉ IP như sau:

2014-06-25_091854

Máy Client 1 có 1 card mạng nối với máy HT-SRV-01 (đặt card này ở chế độ Vmnet 3 trên phần mềm Vmware) có địa chỉ IP như sau:

2014-06-25_232039

 

Chi tiết cài đặt VPN client to site (Client Access) bằng giao thức SSTP

1. Tạo User và cấp quyền VPN

Thực hiện trên máy HT-DC

Tạo User để kết nối VPN

Tạo một user tên vpn_user, có thể tham khảo các tạo User tại bài Tạo các đối tượng OU, Group, user trong Active Directory

2014-06-25_092658

Cấp quyền VPN cho user

Chuột phải vào User vpn_user mới tạo chọn Properties.

2014-06-25_093005

Vào tab Dial-in, tick chọn Allow Access, sau đó click OK để kết thúc

2014-06-25_093210

2. Cài đặt Enterprise CA

– Tại máy DC, logon bằng tài khoản Administrator của domain hoangthongit.com

2014-06-26_100458

– Mở Server Manager từ Administrative Tools, trong cửa sổ Server Manager chuột phải Roles chọn Add Roles

2014-06-25_200716

– Hộp thoại Before You Begin, chọn Next

2014-06-25_200848

– Trong hộp thoại Select Server Roles, đánh dấu chọn Active Directory Certificate Services, chọn Next

2014-06-25_201028

– Hộp thoại Introduction to Active Directory Certificate Services, chọn Next

2014-06-25_201138

– Trong hộp thoại Select Role Services, tick chọn Certification Authority Web Enrollment

2014-06-25_201206

– Hộp thoại Add role services and feature required for Certification Authority Web Enrollment, chọn Add Required Role Services, sau đó click Next

2014-06-25_201224

– Trong hộp thoại Specify Setup Type, chọn Enterprise, clickNext

2014-06-25_201301

– Hộp thoại Specify CA Type, chọn Root CA, chọn Next

2014-06-25_201317

– Hộp thoại Set Up Private Key, chọn Create a new private key, chọn Next

2014-06-25_201336

– Hộp thoại Configure Cryptography for CA, chọn Next

2014-06-25_201358

– Trong hộp thoại Configure CA Name, đặt tên cho CA là HoangThongIT-CA, chọn Next

2014-06-25_201445

– Hộp thoại Set Validity Period, chọn Next

2014-06-25_201516

– Hộp thoại Configure Certificate Database, chọn Next

2014-06-25_201539

– Hộp thoại Web Server (IIS), chọn Next, Hộp thoại Select Role Services, giữ cấu hình mặc định, chọn Next

2014-06-25_201650

– Hộp thoại Confirm Installation Selections, chọn Install

2014-06-25_201720

– Trong hộp thoại Installation Results, kiểm tra quá trình cài đặt thành công, chọn Close

2014-06-25_202622

3. Xin Computer Certificate cho VPN Server

– Tại máy VPN Server (máy HT-SRV-01), restart máy để nhận Trusted Root CA. Logon HoangthongIT\Administrator. Vào Start\Run, gõ mmc

2014-06-25_203105

– Trong cửa sổ Console1, click vào File, chọn Add/Remove Snap-in

2014-06-25_203212

– Click chọn Certificate, chọn Add trên cửa sổ Add or Remove Snap-in

2014-06-25_203411

– Hộp thoại Certificate snap-in, chọn Computer account, chọn Next

2014-06-25_203436

– Hộp thoại Select Computer, chọn Local Computer, chọn Finish. Click OK để kết thúc.

2014-06-25_203454

– Trong cửa sổ Console1, bung Certificate\Trusted Root Certification Authorities\Certificate, kiểm tra có certificate HoangThongIT-CA

2014-06-25_203614

– Trong cửa sổ Console1, chuột phải Personal chọn All Tasks, chọn Request New Certificate

2014-06-25_211707

– Hộp thoại Before You Begin, chọn Next

2014-06-25_211740

– Trong cửa sổ Request Certificates, đánh dấu chọn Computer, chọn Enroll, Finish

2014-06-25_211844

 

2014-06-25_211944

– Trong cửa sổ Console1, vào Personal\Certificate, click đúp HT-SRV-01.hoangthongict.com

2014-06-25_212025

– Kiểm tra Certificate vừa xin cho VPN Server

2014-06-25_212043

4. Cài đặt Routing and Remote Access

Thực hiện trên máy VPN Server HT-SRV-01

Phần này xem lại bài Cài đặt Routing and Remote Access

5. Cấu hình VPN Client-to-Gateway

– Tại máy HT-SRV-01, mở Routing and Remote Access từ Administrative Tools, chuột phải HT-SRV-01, chon Configure and Enable Routing and Remote Access

2014-06-25_212812

– Trên cửa sổ Welcome to the Routing ang Remote Access Server Setup Wizard, chọn Next

2014-06-25_212838

– Trên cửa sổ  Configuration, chọn Virtual private network (VPN) access and NAT, chọn Next

2014-06-25_212906

– Trên cửa sổ  VPN Connection, chọn card Ext, chọn Next

2014-06-25_212928

– Trên cửa sổ  IP Address Assignment, chọn From a specified range of addresses, chọn Next

2014-06-25_212946

– Trên cửa sổ  Address Range Assignment, chọn New

2014-06-25_213003

– Trên cửa sổ  New IPv4 Address Range, nhập dãy IP sẽ cấp cho VPN Client như hình bên dưới, chọn OK

2014-06-25_213108

– Trong hộp thoại Address Range Assignment, chọn Next

2014-06-25_213124

– Trên cửa sổ Managing Multiple Remote Access Servers tick chọn No, use Routing and Remote Access to authenticate connection requests sau đó chọn Next

2014-06-25_213229

– Trên cửa sổ Completing the Routing and Remote Access Server Setup Wizard, chọn Finish, OK

2014-06-25_213258

6. Cấu hình NAT Inbound

Khi VPN Client kết nối VPN bằng SSTP, VPN Client phải kiểm tra tính hợp lệ của certificate bằng cách kết nối tới danh sách Certificate Revocation List (CRL) của CA server. Vì vậy ta phải cấu hình NAT Inbound để cho phép các máy bên ngoài liên lạc được máy CA Server

– Tại máy HT-SRV-01, mở Routing and Remote Access từ Administrative Tools, bung HT-SRV-01\IPv4\NAT, chuột phải interface Extl chọn Properties

2014-06-25_213431

– Hộp thoại External Properties, tab Services and Ports, đánh dấu chọn Web Server (HTTP)

2014-06-25_213602

– Hộp thoại Edit Service, nhập địa chỉ 192.168.2.2 (địa chỉ của máy HT-DC) vào ô IP address, chọn OK 2 lần.

2014-06-25_213634

– Restart Routing and Remote Access Services

2014-06-25_213707

7. Download CA Certificate

– Tại máy HT-SRV-01, mở Internet Explorer, truy cập vào địa chỉ http://192.168.2.2/certsrv bằng quyền Administrator

2014-06-25_214528

Lưu ý: Add địa chỉ http://192.168.2.2 vào Trusted Site

– Trong cửa sổ Welcome, click Download a CA certificate, certificate chain,or CRL

2014-06-25_214726

– Cửa sổ Download a CA certificate, Certificate Chain or CRL, chọn Download CA certificate

2014-06-25_214823

– Hộp thoại file Download- Security, chọn Save, lưu file certnew.cer vào máy.

8. Cấu hình Trusted Root CA trên VPN Client

– Tại máy VPN Client, copy file certnew.cer từ máy DC vào ổ đĩa C:\

– Vào Start\Run, gõ mmc, trong cửa sổ Console1, bung File, chọn Add/Remove Snap-in

– Trong cửa sổ Add or Remove Snap-in, chọn Certificate, chọn Add

2014-06-26_121513

– Hộp thoại Certificates snap-in, chọn Computer account, chọn Next

2014-06-26_121544

– Hộp thoại Select Computer, chọn Local Computer, chọn Finish, OK

2014-06-26_121607

– Trong cửa sổ Console1, bung Trusted Root Certification Authorities, chuột phải Certificates, chọn All Tasks, chọn Import

Untitled

– Hộp thoại Welcome to the Certificate Import Wizard, chọn Next

2014-06-26_121919

– Hộp thoại File to Import, chọn Browse, trỏ đường dẫn đến đến file certnew.cer đã download trên máy HT-DC, chọn Next

2014-06-26_122029

– Hộp thoại Certificate Store, giữ cấu hình mặc định, chọn Next, chọn Finish

2014-06-26_122125

– Kiểm tra trong danh sách Trusted Root Certification Authorities của máy VPN Client đã có certificate HoangThongIT-CA

2014-06-26_122242

9. Tạo VPN Connection

– Tại máy VPN Client, mở Windows Explorer, vào đường dẫn C:\Program Files\Windows\System32\Driver\etc, mở file Hosts, nhập thêm nội dung:

192.168.3.1 ht-srv-01.hoangthongit.com

192.168.3.1 ht-dc.hoangthongit.com

Lưu ý: Vì khi kết nối đến VPN Server, VPN Client sẽ kết nối bằng tên nên trong bài lab này ta cấu hình hosts file trên máy VPN Client. Ht-dc.hoangthongict.com là tên của máy CA Server

2014-06-26_143020

– Vào Network and Sharing Center, chọn Set up a new connection or network.

2014-06-26_000913

– Tick chọn Connect to workplace, sau đó chọn Next.

2014-06-26_000927

– Click chọn Use my internet connection ( VPN ) và sau đó chọn Next.

2014-06-26_000938

– Click chọn I’ll set up an Internet connection later sau đó chọn Next.

2014-06-26_000945

– Điền địa chỉ IP public của máy VPN Server, ở bài lab này là địa chỉ của card Ext sau đó chọn Next.

2014-06-26_001012

– Điền user name, password, domain như hình dưới sau đó chọn Create. (tick chọn Remember this password để ghi nhớ mật khẩu)

2014-06-26_001036

– Tạo thành công, click Close để kết thúc.

2014-06-26_001046

– Vào Network connection ta thấy 1 biểu tượng kết nối VPN đã được tạo ra.

2014-06-26_001055

Click chuột phải vào kết nối này và chọn Properties.

2014-06-26_001135

Kết nối VPN thành công với giao thức PPTP

2014-06-26_123936

– Chuột phải  HoangThongIT VPN, chọn Disconect

10. Kiểm tra kết nối VPN-SSTP

– Tại máy VPN Client, vảo Start\Settings mở Network Connections, chuột phải connection VPN Connection , chọn Properties, bung ô Type of VPN, chọn Secure Socket Tunneling Protocol (SSTP), chọn OK

 

– Chuột phải connection VPN Connection chọn Connect, nhập thông tin như trong hình bên dưới, chọn Connect

 

– Kiểm tra kết nối thành công tới VPN Server sử dụng SSTP

 

– Kiểm tra nhận được IP do HT-SRV-01 cung cấp

– Kiểm tra ping thấy máy 1 (Domain Controler)
– Vào Start\Run, truy cập địa chỉ: \\192.168.1.2 , kiểm tra truy cập thành công

– Kiểm tra user truy cập thành công dữ liệu trên File Server

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>