Như được đề cập từ trước, TMG firewall sẽ thu được địa chỉ IP từ DHCP server. Đây là cách nó làm việc: TMG firewall không thu được các địa chỉ này tại một thời điểm mà thay vào đó, nó yêu cầu các địa chỉ IP trong các nhóm 10. Rõ ràng bạn cần phải có một DHCP server trên mạng để thực hiện công việc này. Chúng tôi đã cài đặt một DHCP server trên domain controller trong mạng thử nghiệm của mình. Khi kiểm tra giao diện điều khiển DHCP, bạn sẽ thấy TMG firewall đã “chộp” được 10 địa chỉ IP từ DHCP server, xem thể hiện trong hình bên dưới.
Hình 7
Kích liên kết Configure VPN Client Access trong phần panel bên phải của giao diện.
Hình 8
Trong hộp thoại VPN Clients Properties, trong tab General, bạn sẽ thấy hộp kiểm Enable VPN client accessđã được tích và Maximum number of VPN clients allowed được thiết lập là 100. Với Standard Edition, bạn sẽ bị hạn chế ở 1000 kết nối, với Enterprise Edition bạn sẽ không bị hạn chế (có thể chỉ bị hạn chế về phần cứng và mạng hỗ trợ).
Hình 9
Kích tab Groups. Ở đây bạn có thể cấu hình thông qua Active Directory nhóm người dùng nào có thể kết nối đến VPN server. Bạn chọn các nhóm bằng cách sử dụng nút Add. Các tài khoản User thuộc về các nhóm miền này cần phải được cấu hình truy cập VPN trong các tùy chọn tài khoản “dial-in” được thiết lập để kiểm soát sự truy cập thông qua chính sách. Điều này được thiết lập mặc định cho các miền của Windows Server 2008, chính vì vậy chúng ta không cần thực hiện bất cứ thứ gì trong Active Directory để bảo đảm cho nó làm việc. Tuy nhiên nếu sử dụng Windows Server 2003, bạn nên kiểm tra các thiết lập đó.
Hình 10
Khi kích nút Add, hộp thoại Select Groups sẽ xuất hiện. Trong phần From this location, bảo đảm rằng bạn đã chọn miền. Mặc định sẽ là máy tính nội bộ, và bạn không cần phải chọn cho điều đó. Trong ví dụ này, chúng tôi đã chọn miền msfirewall.org và cho phép tất cả người dùng trong miền có thể kết nối đến VPN, vì vậy sẽ phải nhập Domain Users trong hộp văn bản Enter the object names to select. Kích OK để lưu các thay đổi.
Hình 11
Lúc này bạn có thể thấy nhóm xuất hiện trong danh sách trên tab Groups, như thể hiện trong hình bên dưới.
Hình 12
Kích tab Protocols. Ở đây bạn có thể chọn giao thức VPN nào có thể được sử dụng để kết nối đến máy chủ TMG VPN. Các tùy chọn gồm có:
-
Enable PPTP
-
Enable L2TP/IPsec
-
Enable SSTP
Tùy chọn Enable PPTP được kích hoạt mặc định và sẽ làm việc không cần cấu hình bổ sung nào trên các máy khách VPN, chỉ cần cấu hình bổ sung tối thiểu trên máy chủ TMG VPN. Mặc dù vậy, nếu chọn tùy chọn L2TP/IPsec hoặc SSTP, bạn sẽ cần xử lý một số vấn đề có liên quan đến các chứng chỉ (về vấn đề này bạn có thể sử dụng khóa tiền chia sẻ với L2TP/Ipsec, nhưng đó là cách làm không an toàn). Chúng ta sẽ đi vào các yêu cầu cấu hình và các thủ tục cho hai giao thức VPN này sau.
Hình 13
Trong tab User Mapping, bạn có một tùy chọn cho phép bạn bản đồ hóa các máy khách VPN từ các không gian tên non-Windows (chẳng hạn như những người dùng đã được thẩm định RADIUS hoặc EAP) đến không gian tên Windows. Điều này có nghĩa rằng nếu không tích hợp sự thẩm định cho các máy khách VPN, sử dụng RADIUS hoặc EAP, thì bạn không thể lợi dụng các nhóm Windows Active Directory một cách tự động. Vì vậy, nếu việc bản đồ hóa người dùng không được kích hoạt, bạn sẽ phải tạo một tập người dùng trên TMG firewall và sử dụng người dùng thông thường đã được thiết lập khi cấu hình rule tường lửa để kiểm soát sự truy cập các máy khách VPN. Rõ ràng, để làm việc, TMG firewall phải là một thành viên miền. Chúng tôi sẽ không sử dụng User Mapping trong ví dụ này vì không sử dụng thẩm định RADIUS hoặc EAP.
Hình 14
Xem tiếp
Văn Linh (Theo Isaserver)