Tạo VPN Site-to-site trên ISA 2006 (Phần 5) Ngu ồ n:quantrimang.com Tạo file trả lời tại văn phòng chính sẽ được Branch Office Connectivity Wizard sử dụng trên ISA Firewall nhánh. Branch Office Domain Controller Trong bốn phần đầu của loạt bài sử dụng Branch Office Connectivity Wizard để kết nối tường lửa ISA tại văn phòng chi nhánh với tường lửa ISA tại trụ sở chính, chúng ta đã xem xét một cơ sở hạ tầng mạng ví dụ; đi qua các khái niệm quan trọng trong việc mạng riêng ảo VPN Site-to-Site; c ấu hình các dịch vụ mạng hỗ trợ và cài đặt CSS, ISA Firewall tại trụ sở chính, ISA Firewall văn phòng chi nhánh. Phần 3 kết thúc khi ISA Firewall nhánh đã sẵn sàng chấp nhận file trả lời sẽ được Branch Office Connectivity Wizard sử dụng. Phần 4 thảo luận về vấn đề tạo mạng VPN Site-to-Site để kết nối văn phòng chính và văn phòng chi nhánh. Trong phần 5 này chúng ta sẽ kết thúc cấu hình cơ bản của mạng riêng ảo VPN Site-to-Site bằng việc t ạo file trả lời tại văn phòng chính sẽ được Branch Office Connectivity Wizard sử dụng trên ISA Firewall nhánh. Bài này đánh dấu kết thúc việc chạy Branch Office Connectivity Wizard trên ISA Firewall branch office để tạo VPN Site-to-Site và kết nối ISA Firewall branch office với domain. Tạo file trả lời cho kết nối VPN Site-to-Site tại ISA Firewall main office Bây giờ chúng ta đã sẵn sàng tạo file trả lời cho Branch Office Connectivity Wizard trên ISA Firewall nhánh sử dụng để tạo kết nối VPN Site-to-Site và kết nối ISA Firewall branch office với domain. File trả lời này sử dụng thông tin trong kết nối VPN Site-to-Site t ạo trên ISA Firewall main office. Vì thế bước đầu tiên chúng ta cần làm là tạo kết nối VPN Site-to-Site ở ISA Firewall main office, để kết nối nó với ISA Firewall branch office. Chúng ta sẽ đặt file trả lời trong file gốc (root) của ổ C: trên ISA Firewall nhánh. Nếu bạn không muốn, bạn có thể đặt file trong một thiết bị lưu trữ động như thẻ USB. Branch Office Connectivity Wizard sẽ tự động tìm file trả lời trên thư mục gốc của ổ C hoặc trên ổ lưu tr ữ động. Khi chạy chương trình Answer File Wizard, bạn nên lưu ý là kết nối Site-to-Site tạo bởi file trả lời đến từ ISA Firewall chi nhánh. Do đó, khi tạo Wizard trỏ đến lớp cục bộ thì thực tế là nó trỏ tới chi nhánh; và khi Wizard trỏ tới lớp từ xa thì thực tế là nó đang tham chiếu tới trụ sở chính. Thực hiện các bước sau trên máy CSS để tạo file trả lời: 1. Tạo liên kết Create Answer File for Remote VPN Site (tạo file trả lời cho lớp VPN từ xa) trong Task Pane. Kích Next trên trang Welcome to the Create Answer File Wizard. Hình 1 2. Trên trang Answer File Details, nhập đường dẫn đầy đủ tới file trả lời trong ô Type the full path to the answer file. Bạn phải đặt tên cho file trả lời IsaUsrConfig.inf nếu muốn Branch Office Connectivity Wizard tự động tìm file đó. Trong ví dụ này chúng ta sẽ đặt file trả lời vào thư mục gốc ở ổ C trên máy CSS. Kích Next. Hình 2 3. Không cần thực hiện điều gì trên trang Connection Type, vì giao thức VPN dùng cho kết nối VPN Site-to-Site được đọc từ cấu hình đã có. Kích Next. Hình 3 4. Trên trang Array Server Deployment, chọn tuỳ chọn This is the first server deployed in the array. Nếu trong mảng đã có server khác thì chọn Another server is already deployed in the array và cung cấp địa chỉ IP nội bộ của server đó để có thể thực hiện liên lạc nội mảng giữa các thành viên. Kích Next. Hình 4 5. Trên trang Local Site to Site Authentication, tên mạng Main được tự động thêm vào. Đây là tên tài khoản người dùng ở ISA Firewall nhánh, sẽ được ISA Firewall chính sử dụng để thẩm định ISA Firewall nhánh. Wizard tự động tại tài khoản này cho bạn trên ISA Firewall branch office và cấu hình tài khoản với các quyền dial-in. Kích Next. Hình 5 6. Trên trang Remote Site VPN IP Addresses, các địa chỉ định nghĩa trong mạng Internal Network mặc định tại văn phòng chính được tự động nhập vào. Bạn cần nhập địa chỉ IP của ISA Firewall main office trong ô Remote VPN server (IP address or name). Nhớ rằng, khi dùng Answer File Wizard, lớp từ xa thự ra chính là main office. Kích Next. Hình 6 7. Trên trang Local Network VPN Settings, chọn tuỳ chọn Static IP address pool. Chúng ta cần sử dụng tuỳ chọn này vì chúng ta không có server DHCP đặt tại văn phòng chi nhánh. Nếu về sau bạn cài đặt thêm DHCP server tại chi nhánh, bạn có thể thay đổi cấu hình địa chỉ IP cho VPN để sử dụng DHCP. Kích vào nút Static IP address pool. Trong hộp thoại IP Address Range Properties, nhập giới hạn địa chỉ IP ISA Firewall chi nhánh có thể dùng để gán cho các client VPN và cổng và VPN từ xa. Ở ví dụ này chúng ta sẽ nhập địa chỉ 10.0.1.252 cho Start address và 10.0.1.254 cho End address. Kích OK, sau đó kích Next trên trang Local Network VPN Settings. Hình 7 8. Trên trang Remote Authentication, nhập thông tin thẩm định branch office sẽ dùng để thẩm định ISA Firewall main office. Chúng ta đã tạo tài khoản trên ISA Firewall main office với tên Branch, chúng ta sẽ nhập tên tài khoản đó trên trang này. Đây là tài khoản cục be, vì thế chúng ta sẽ dùng tên máy tính của ISA Firewall main office trong ô Domain. Nhập thông tin và kích Next. Hình 8 9. Trên trang IPSec Authentication, có hai phương thức thẩm định kết nối IPSec cho bạn lựa chọn: thẩm định chứng chỉ hoặc thẩm định tiền chia sẻ. Ở ví dụ hiện thời, chúng ta sẽ bắt đầu với các khoá tiền chia sẻ. Về sau, khi mọi thứ hoạt động chính xác như ý muốn, chúng ta sẽ chuyển sang thẩm định chứng chỉ. Chọn tuỳ chọn Use pre-shared key và nhập khoá tiền chia sẻ là 123. Kích Next. Hình 9 10. Trên trang Join Remote Domain, chọn tuỳ chọn Join a domain. Tuỳ chọn này cho phép Branch Office Connectivity Wizard liên kết ISA Firewall nhánh với miền. Đây là tuỳ chọn an toàn và linh hoạt hơn. Trong ô Domain name (FQDN), bạn nhập FQDN của domain main office vào. Ở ví dụ của chúng ta, domain main office là msfirewall.org, do đó chúng ta sẽ nhập thông tin này vào ô text box. Kích Next. [...]... Firewall branch office: 1 Đăng nhập vào máy, sử dụng tài khoản quản trị cục bộ tạo trên ISA Firewall branch office Mở cửa sổ Windows Explorer và vào thư mục C:\Program Files\Microsoft ISA Server Kích đúp lên chương trình AppCfgWzd.exe Hình 19 2 Đọc thông tin trên trang Welcome to the ISA Server Branch Office VPN Connectivity Wizard, sau đó kích Next Hình 20 3 Trên trang Configuring Settings Source, bạn sẽ... tốt hơn là để file trên ổ cứng của máy Firewall ISA branch office nếu không cần thiết Hình 18 19 Copy file trả lời vào thư mục gốc của ổ C trên máy ISA Firewall branch office Chạy Branch Office Connectivity Wizard trên Branch Office ISA Firewall Tời thời điểm này, bạn cần gắn ISA Firewall branch office với văn phòng chi nhánh Nếu người dùng chuyên nghiệp chịu trách nghiệm cài đặt ISA Firewall, bạn... branch office được tự động cấu hình, dựa trên các thiết lập có trong file trả lời Kích Next Hình 24 7 Trên trang Remote Site VPN IP Addresses, các địa chỉ IP thể hiện mạng ở văn phòng chính được tự động đưa vào; các địa chỉ IP của ISA Firewall chính được tự động cấu hình trong ô Remote VPN server (IP address or name) Kích Next Hình 25 8 Trên trang Local Network VPN Settings, vùng địa chỉ tĩnh để gán... hoặc chú ý tới 5 Đặt link trên desktop, có chức năng xoá tài khoản admin cục bộ bạn tạo cho người dùng Tên link phải rất bình thường để người dùng không để tâm hoặc chú ý tới 6 Yêu cầu người dùng gọi cho bạn sau khi hoàn thành thủ tục, để bạn kiểm chứng lại rằng file cài đặt và tài khoản người dùng đã được xoá Thực hiện các bước sau để chạy Branch Office Connectivity Wizard trên ISA Firewall branch office:... của ISA Firewall chi nhánh Ở những phần sau của loạt bài này, chúng tôi sẽ hướng dẫn các bạn cách tạo một CSS luân phiên và cách phát hành nó, cấu hình ISA Firewall chi nhánh sử dụng nó Còn hiện tại chúng ta chỉ có một CSS đơn, vì thế tạm thời chúng ta chấp nhận thông số mặc định trên trang này và kích Next Hình 13 14 Trên trang Array Membership, chọn tuỳ chọn Join an existing array Chúng ta đã tạo. .. Hình 21 4 Trên trang Connection Type, bạn sẽ thấy Wizard tự động xác định rằng giao thức VPN nên được dùng là L2TP/IPSec Kích Next Hình 22 5 Trên trang Array Server Deployment, tuỳ chọn This is the first server deployed in the array được tự động xác định từ file trả lời Kích Next Hình 23 6 Trên trang Local Site to Site Authentication, tài khoản người dùng main office sẽ dùng để kết nối với ISA Firewall... 13 Trên trang Securely Published Configuration Storage Server, bạn có thể nói với Wizard về một server cấu hình luân phiên sử dụng trong trường hợp VPN Site-to-Site bị lỗi hoặc không bao giờ được thiết lập Khi bạn phát hành CSS, thông tin lưu chuyển bên trong một kênh được mã hoá TLS, vì thế khi truyền qua Internet sẽ an toàn Khi phát hành CSS main office luân phiên trên ISA Firewall main office, ISA. .. Network VPN Settings, vùng địa chỉ tĩnh để gán các địa chỉ IP truy cập từ xa tới client VPN và cổng vào VPN được tự động cấu hình Kích Next Hình 26 9 Trên trang Remote Authentication, thông tin thẩm định ISA Firewall branch office sử dụng để kết nối với ISA Firewall main office được tự động nhập vào Kích Next Hình 27 10 Trên trang IPSec Authentication, khoá tiền chia sẻ cấu hình trong file cấu hình được... nhánh, vì vậy chúng ta có thể sử dụng tuỳ chọn này và chọn mảng đã tạo Kích Next Hình 14 15 Trên trang Join Existing Array, nhập tên mảng bạn muốn ISA Firewall branch office kết hợp Bạn có thể muốn sử dụng nút Browse, nhưng thực tế nó không hoạt động Ở ví dụ của chúng ta, tên mảng đã tạo là Branch Bạn nhập tên này vào và kích Next Hình 15 16 Trên trang Configuration Storage Server Authentication Options,... sao cho phù hợp Nên nhớ rằng, file này có thể được đặt trên thẻ USB, thư mục gốc ở ổ C của ISA Firewall branch office, hoặc trong một thư mục trên ISA Firewall branch office tại c:\IsaAnswerFiles Có một thủ tục cho phép người dùng chi nhánh chạy Branch Office Connectivity Wizard để xoá file này thông qua shortcut trên desktop Tên của nó là Branch Office hoặc một cái tên tương tự như thế, không khiến người . Tạo VPN Site-to-site trên ISA 2006 (Phần 5) Ngu ồ n:quantrimang.com Tạo file trả lời tại văn phòng chính sẽ. Wizard trên ISA Firewall branch office để tạo VPN Site-to-Site và kết nối ISA Firewall branch office với domain. Tạo file trả lời cho kết nối VPN Site-to-Site