Kiểm tra máy chủ mạng riêng ảo TMG 2010 - Phần 1(TTT)- Cấu hình VPN

Có hai lựa chọn chính ở đây sau khi bạn kích hoạt điều khiển cách ly: Quarantine according to RADIUS server policies and Quarantine VPN clients according to TMG policies. Đầu tiên là tùy chọn NAP và sau đó là tùy chọn kiểm soát cách ly truy cập từ xa. Lưu ý rằng bạn cũng có các tùy chọn cho việc điều khiển thời gian đợi là bao lâu trước khi hủy kết nối các máy khách VPN được cách ly và cũng có thể cấu hình danh sách người dùng được miễn giám sát cách ly. Chúng tôi sẽ không đi sâu vào giới thiệu các chi tiết kiểm soát cách ly trong phần này mà sẽ giới thiệu sau.

Hình 15

Lúc này hãy chuyển sang phần General VPN Configuration trong panel phải của giao diện điều khiển. Kích liên kết Select Access Networks, như thể hiện trong hình bên dưới.

Hình 16

Trong tab Access Networks, chọn Networks mà trong mạng đó bạn muốn VPN server lắng nghe các kết nối. Mặc định, tùy chọn default External Network sẽ được chọn. Tuy nhiên bạn có thể sử dụng các tùy chọn khác hoặc kết hợp các tùy chọn mà bạn thích. Lưu ý rằng bạn không thể gán các địa chỉ IP cụ thể; tất cả các địa chỉ IP của NIC cho mạng bạn chọn sẽ lắng nghe các kết nối gửi đến. Nếu bạn cho phép các kết nối gửi vào cho người dùng VPN, điều đó không có nghĩa rằng địa chỉ IP sẽ được sử dụng. Không có một sự thuận lợi bảo mật thực sự nào cho việc hạn chế truy cập VPN đối với một địa chỉ IP trên một giao diện cụ thể.

Hình 17

Kích tab Address Assignment. Khi đó bạn sẽ gặp một cửa sổ khá quen vì chúng ta đã thấy trước đó. Nếu quyết định sử dụng địa chỉ tĩnh, bạn có thể  tạo thay đổi vấn đề đó ở đây. Một ví dụ cho việc thay đổi địa chỉ tĩnh là khi bạn muốn cấu hình mảng các máy chủ TMG VPN. Trong trường hợp đó, mỗi thành viên của mảng cần có một bộ sưu tập riêng các địa chỉ IP. Chúng tôi sẽ giới thiệu cách cấu hình mảng TMG VPN server trong các phần sau. Trong ví dụ này, chúng ta chỉ có một máy chủ.

Hình 18

Trong tab Authentication, bạn có thể cấu hình kiểu thẩm định người dùng. Thiết lập mặc định là MS-CHAPv2. Mặc định bạn có thể sử dụng EAP, CHAP và PAP, nhưng nhìn chung chỉ có một số tùy chọn mà bạn chắc sẽ muốn sử dụng là MS-CHAPv2 hoặc EAP. Lưu ý rằng có một tùy chọn thẩm định máy tính ở phía dưới. Khi tích vào hộp kiểm Allow customer IPsec policy for L2TP, bạn sẽ có thể nhập vào khóa tiền chia sẻ. Đây là phương pháp “con nhà nghèo” cho việc bảo vệ Ipsec với các kết nối L2TP/Ipsec, nó cho phép bạn có thể thiết lập kết nối mà không cần triển khai chứng chỉ. Chúng tôi sẽ giới thiệu cách triển khai các chứng chỉ trong phần tiếp theo của loạt bài này để bạn có thể sử dụng phương pháp được tiến cử (an toàn hơn) cho L2TP/IPsec.

Hình 19

Trong tab RADIUS, bạn có thể cấu hình các máy chủ RADIUS sử dụng cho việc thẩm định VPN hoặc ghi chép. Lưu ý rằng bạn có thể sử dụng RADIUS để thẩm định hoặc ghi chép, hoặc cả hai. Chúng tôi sẽ không giới thiệu thẩm định RADIUS server hoặc việc ghi chép trong loạt bài này.

Hình 20

Kết luận

Giống như ISA, TMG firewall có thể đóng vai trò như một máy chủ VPN truy cập xa. Nếu là một quản trị viên ISA VPN server có nhiều kinh nghiệm thì rất có thể các bạn sẽ không thấy nhiều điểm mới trong cấu hình máy chủ TMG VPN – ngoại trừ sự tích hợp SSTP. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu những gì bạn cần thực hiện để làm cho các kết nối L2TP/Ipsec hoạt động, sử dụng các chứng chỉ máy tính và các khóa tiền chia sẻ. Trong phần sau chúng tôi cũng sẽ giới thiệu một số vấn đề tường lửa mà bạn biết nếu muốn chuẩn hóa cấu hình máy khách VPN truy cập từ xa L2TP/Ipsec.

Văn Linh (Theo Isaserver)