Cấu hình Windows Server 2008 thành SSL VPN Server truy cập từ xa (Phần 2) Nguồn : quantrimang.com  Thomas Shinder Trong phần thứ nhất, chúng tơi nói số giao thức VPN máy chủ VPN Microsoft trước Để tiếp nối giới thiệu phần một, đưa cho bạn mơ tả ví dụ mạng sử dụng việc cấu hình gateway VPN để hỗ trợ cho kết nối SSTP từ máy khách Vista SP1 Chúng tơi khơng giới thiệu tồn tất bước mà thừa nhận bạn cài đặt DC kích hoạt role DHCP, DNS Certificate Services máy chủ Kiểu chứng máy chủ Enterprise, nên bạn cấu hình CA doanh nghiệp mạng Máy chủ VPN nhập vào miền trước bắt đầu bước Máy khách Vista cần phải nâng cấp lên phiên SP1 trước thực theo hướng dẫn Chúng cần thực số thủ tục đây: • • • • • • • • • • • Cài đặt IIS máy chủ VPN Yêu cầu chứng máy tính cho máy chủ VPN cách sử dụng IIS Certificate Request Wizard Cài đặt role RRAS server máy chủ VPN Kích hoạt máy chủ RRAS Server cấu hình thành máy chủ VPN NAT Cấu hình máy chủ NAT để xuất CRL Cấu hình User Account phép kết nối dial-up Cấu hình IIS Certificate Server phép kết nối HTTP cho thư mục CRL Cấu hình file HOSTS VPN client Sử dụng PPTP để kết nối với máy chủ VPN Thu chứng CA từ Enterprise CA Cấu hình Client để sử dụng SSTP Connect VPN Server cách sử dụng SSTP Cài đặt IIS máy chủ VPN Server Có thể bạn thấy làm lạ thơng thường chúng tơi gợi ý đừng đặt máy chủ web (Web server) trước thiết bị bảo vệ mạng Điều khơng cần giữ Web server VPN server mà cần sử dụng thời điểm Bởi site kết nạp Web gồm có Windows Server 2008 Certificate Server khơng hữu dụng cho việc yêu cầu chứng máy tính Trong thực tế, hồn tồn khơng sử dụng Những đáng quan tâm bạn có chứng máy tính sử dụng site kết nạp Web Để giải vấn đề này, lợi dụng enterprise CA Khi sử dụng enterprise CA, bạn tạo yêu cầu máy chủ chứng trực tuyến Yêu cầu trực tuyến cho chứng máy tính cho phép bạn sử dụng IIS Certificate Request Wizard yêu cầu “Domain Certificate”- chứng miền Vấn đề làm việc máy tính yêu cầu chứng với tên miền Enterprise CA Thực theo bước sau máy chủ VPN để cài đặt role IIS Web server: Mở Server Manager Windows 2008 Trong phần panel bên phía trái giao diện điều khiển, kích nút Roles Hình Kích vào liên kết Add Roles phần bên phải panel bên phải Kích Next cửa sổ Before You Begin Tích vào hộp kiểm Web Server (IIS) cửa sổ Select Server Roles sau kích Next Hình Đọc thông tin cửa sổ Web Server (IIS) cần Đây thông tin tổng quan tốt việc sử dụng IIS7 máy chủ Web, nhiên không sử dụng máy chủ Web IIS máy chủ VPN nên thông tin không áp dụng cho kịch Trên cửa sổ Select Role Services, có số tùy chọn chọn sẵn Kể bạn sử dụng tùy chọn mặc định khơng có nghĩa có tùy chọn sử dụng Certificate Request Wizard Chính tích vào tùy chọn bảo mật Security để có Role Service cho Certificate Request Wizard sau kích Next Hình Xem lại thông tin cửa sổ Confirm Installation Selections kích Install Kích Close cửa sổ Installation Results Hình Yêu cầu chứng máy tính cho VPN Server sử dụng IIS Certificate Request Wizard Bước yêu cầu chứng máy tính cho VPN server VPN server cần chứng máy tính để tạo kết nối SSL VPN với máy khách SSL VPN Tên thường sử dụng chứng phải hợp lệ với tên mà máy khách VPN sử dụng để kết nối đến SSL VPN gateway Điều có nghĩa bạn cần phải tạo entry DNS chung cho tên chứng để giải địa IP mở rộng VPN server, địa IP thiết bị NAT nằm trước máy chủ VPN chuyển hướng kết nối đến SSL VPN server Thực theo bước để yêu cầu cài đặt chứng máy tính SSL VPN server: Trong Server Manager, mở rộng phần Roles panel bên trái, sau mở Web Server (IIS) Kích vào Internet Information Services (IIS) Manager Hình Trong giao diện điều khiển Internet Information Services (IIS) Manager xuất panel bên phải, kích tên máy chủ Trong ví dụ này, tên máy chủ W2008RC0-VPNGW Kích vào biểu tượng Server Certificates panel bên phải giao diện điều khiển IIS Hình Trong panel bên phải giao diện điều khiển, kích vào liên kết Create Domain Certificate Hình Đọc thơng tin cửa sổ Distinguished Name Properties Mục quan trọng cửa sổ the Common Name Tên tên mà máy khách VPN sử dụng để kết nối với máy chủ VPN Bạn cần có entry DNS chung cho tên để giải giao diện bên máy chủ VPN địa chung thiết bị NAT trước máy chủ VPN Trong ví dụ này, chúng tơi dụng tên chung sstp.msfirewall.org Sau đó, tạo entry file HOSTS máy khách VPN để thực với tên Kích Next Hình Trên cửa sổ Online Certification Authority, kích nút Select Trong hộp thoại Select Certification Authority, kích tên Enterprise CA sau kích OK Nhập vào tên chứng bên hộp văn Friendly name Trong ví dụ chúng tơi sử dụng tên SSTP Cert để biết sử dụng cho SSTP VPN gateway Hình Kích Finish cửa sổ Online Certification Authority Hình 10 Tiện ích chạy sau khơng xuất Sau thời điểm này, bạn nhìn thấy chứng xuất giao diện điều khiển IIS Kích đúp vào chứng bạn xem tên chung phần Issued to có khóa riêng tương ứng với chứng Kích OK để đóng hộp thoại Certificate Hình 11 Bây có chứng cài đặt RRAS Server Role Lưu ý bạn phải cài đặt chứng trước cài đặt RRAS Server Role Không bạn gặp phải số vấn đề phải sử dụng thường trình dịng lệnh phức tạp để kết nối chứng với nghe SSL VPN Cài đặt RRAS Server Role VPN Server Để cài đặt RRAS Server Role, bạn thực theo bước đây: Trong Server Manager, kích nút Roles phần bên trái giao diện điều khiển Trong phần Roles Summary, kích vào liên kết Add Roles Kích Next cửa sổ Before You Begin Trên cửa sổ Select Server Roles, bạn tích vào hộp kiểm Network Policy and Access Services, sau kích Next Hình 12 Đọc thơng tin cửa sổ Network Policy and Access Services Hầu hết thông tin cho biết Network Policy Server (máy chủ sách gọi Internet Authentication Server [IAS] RADIUS server), tất chúng không áp dụng cho kịch Kích Next Trên cửa sổ Select Role Services, tích vào hộp kiểm Routing and Remote Access Services Khi tích vào hộp kiểm này, tiện ích tự tích vào hộp kiểm Remote Access Service Routing Kích Next Hình 13 Kích Install cửa sổ Confirm Installation Selections Kích Close cửa sổ Installation Results Kích hoạt RRAS Server cấu hình trở thành máy chủ NAT VPN Lúc role máy chủ RRAS server cài đặt, cần phải kích hoạt dịch vụ RRAS, giống cách thực với phiên trước Windows Chúng ta cần kích hoạt tính máy chủ VPN dịch vụ NAT Việc cần phải kích hoạt thành phần máy chủ VPN rõ ràng bạn phân vân cần phải kích hoạt máy chủ NAT Lý để máy khách bên ngồi tăng quyền truy cập vào Certificate Server để kết nối với CRL Nếu máy khách SSTP VPN khơng thể download CRL kết nối SSTP VPN thất bại Để cho phép truy cập vào CRL cấu hình máy chủ VPN thành máy chủ NAT công bố CRL cách sử dụng NAT đảo ngược Trong môi trường thực tế bạn có tường lửa (như ISA Firewall chẳng hạn) nằm phía trước máy chủ chứng Certificate Server, bạn cơng bố CRL sử dụng tường lửa Tuy ví dụ tường lửa sử dụng Windows Firewall VPN server, cần phải cấu hình máy chủ VPN thành máy chủ NAT Thực theo bước để kích hoạt dịch vụ RRAS: Trong Server Manager, mở phần Roles panel bên trái giao diện điều khiển Mở phần Network Policy and Access Services sau kích nút Routing and Remote Access Kích chuột phải vào Routing and Remote Access sau kích Configure and Enable Routing and Remote Access Hình 14 Kích Next cửa sổ Welcome to the Routing and Remote Access Server Setup Wizard Trên cửa sổ Configuration, chọn tùy chọn Virtual private network (VPN) access and NAT kích Next Hình 15 Trên cửa sổ VPN Connection, chọn NIC phần Network interfaces, phần có giao diện bên ngồi máy chủ VPN Sau kích Next Hình 16 Trên cửa sổ IP Address Assignment, chọn tùy chọn Automatically Chúng ta chọn tùy chọn cài đặt máy chủ DHCP điều khiển miền phía sau máy chủ VPN Nếu bạn chưa cài đặt máy chủ DHCP cần phải chọn tùy chọn From a specified range of addresses sau cung cấp danh sách địa mà máy chủ VPN sử dụng kết nối với mạng thơng qua VPN gateway Kích Next Hình 17 Trên cửa sổ Managing Multiple Remote Access Servers, chọn No, use Routing and Remote Access to authenticate connection requests Đây tùy chọn mà sử dụng khơng có máy chủ NPS hay RADIUS Vì máy chủ VPN thành viên miền nên bạn chứng thực người dùng cách sử dụng tài khoản miền Nếu máy chủ VPN thành viên miền có tài khoản cục máy chủ VPN sử dụng, trừ bạn định sử dụng máy chủ NPS Kích Next Hình 18 Đọc thơng tin tóm tắt cửa sổ Completing the Routing and Remote Access Server Setup Wizard kích Finish Kích OK hộp thoại Routing and Remote Access, hộp thoại thông báo cho bạn biết việc chuyển tiếp thông báo DHCP yêu cầu đến tác nhân chuyển tiếp Trong phần panel bên trái giao diện điều khiển, mở phần Routing and Remote Access, sau kích vào nút Ports Ở phần panel, bạn thấy kết nối cho SSTP Hình 19 Cấu hình máy chủ NAT để công bố CRL Như đề cập từ trước, máy khách SSL VPN cần download CRL để xác nhận chứng máy chủ máy chủ VPN không hủy bỏ Để thực điều này, bạn cần cấu hình thiết bị trước máy chủ chứng để chuyển tiếp yêu cầu HTTP cho vị trí CRL đến máy chủ chứng Vậy bạn biết URL mà máy khách SSL VPN cần kết nối để thực việc download CRL chưa? Các thông tin giới thiệu đến bên thân chứng Nếu bạn vào máy chủ VPN lần kích đúp vào chứng giao diện điều khiển IIS (đây bạn thực trước), bạn tìm thơng tin Kích vào tab Details chứng kéo xuống mục CRL Distribution Points, sau kích chuột vào mục Trong panel thấp hơn, bạn thấy điểm phân phối khác dựa giao thức sử dụng để truy cập vào điểm Trong hình chứng hình bên dưới, bạn thấy cần phải cho phép truy cập máy khách SSL VPN vào CRL thơng qua URL: http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0DC.msfirewall.org.crl Hình 20 Vì lý nên bạn cần tạo entry DNS chúng tên để máy khách VPN bên thực thi tên với địa IP thiết bị, thiết bị thực đảo ngược NAT đảo ngược proxy phép truy cập đến website Certificate Server Trong ví dụ này, cần phải có win2008rc0-dc.msfirewall.org để giải địa IP giao diện bên máy chủ VPN, máychủ VPN đảo ngược NAT kết nối với Certificate Server Nếu bạn sử dụng tường lửa “đời mới” (chẳng hạn ISA Firewall) thực việc cơng bố site CRL an toàn cách cho phép truy cập vào CRL mà khơng vào tồn site Tuy vậy, hạn chế khả thiết bị NAT đơn giản RRAS NAT cung cấp Bạn nên lưu ý việc sử dụng tên site CRL mặc định khơng phải cách an tồn lộ tên máy tính Internet Bạn tạo CDP (CRL Distribution Point) để tránh điều cho việc lộ tên riêng CA DNS chung vấn đề quan trọng Thực theo bước để cấu hình RRAS NAT chuyển tiếp yêu cầu HTTP tới Certificate Server: Trong phần panel bên trái Server Manager, bạn mở phần Routing and Remote Access, sau mở phần IPv4 Kích nút NAT Trong nút NAT, kích chuột phải nên giao diện bên ngoài, giao diện điều khiển Trong ví dụ này, tên giao diện bên ngồi Local Area Connection, sau kích Properties Hình 21 Trong hộp thoại Local Area Connection Properties, tích vào hộp kiểm Web Server (HTTP) Khi thực vậy, hộp thoại Edit Service xuất Trong hộp văn Private Address, bạn nhập vào địa IP máy chủ chứng mạng bên Kích OK Hình 22 Kích OK hộp thoại Local Area Connection Properties Hình 23 Lúc này, NAT server cài đặt cấu hình, chuyển quan tâm sang việc cấu hình máy chủ CA máy khách SSTP VPN Kết luận Trong phần hai này, tiếp tục giới thiệu cho bạn việc cấu hình máy chủ SSL VPN cách sử dụng Windows Server 2008 Chúng vào vấn đề cài đặt IIS máy chủ VPN, yêu cầu cài đặt chứng máy chủ, cài đặt cấu hình dịch vụ RRAS NAT Trong phần loạt kết thúc việc giới thiệu cách cấu hình máy chủ CA máy khách SSTP VPN, mong bạn đón đọc   ... tính cho VPN server VPN server cần chứng máy tính để tạo kết nối SSL VPN với máy khách SSL VPN Tên thường sử dụng chứng phải hợp lệ với tên mà máy khách VPN sử dụng để kết nối đến SSL VPN gateway... tăng quyền truy cập vào Certificate Server để kết nối với CRL Nếu máy khách SSTP VPN khơng thể download CRL kết nối SSTP VPN thất bại Để cho phép truy cập vào CRL cấu hình máy chủ VPN thành máy... địa IP mở rộng VPN server, địa IP thiết bị NAT nằm trước máy chủ VPN chuyển hướng kết nối đến SSL VPN server Thực theo bước để yêu cầu cài đặt chứng máy tính SSL VPN server: Trong Server Manager,