Kiểm tra máy chủ mạng riêng ảo TMG 2010 - Phần 3(TTT) L2TP/IPsec Remote Access VPN Server

Cấu hình máy khách

Máy chủ hiện đã sẵn sàng để sử dụng, chúng ta đã đi được một nửa quãng đường. Giờ đây chúng ta sẽ tập trung vào máy khách. Thứ đầu tiên mà chúng ta cần thực hiện là kiểm tra để bảo đảm rằng chứng chỉ CA của CA được phát hành bởi chứng chỉ của VPN server có trong trang Trusted Root Certification Authorities. Trong hình 29, bạn có thể thấy msfirewall-DC-CA đã nằm trong danh sách này, vì vậy chúng ta sẽ tiếp tục đi tiếp từ đây.

Hình 29

Trong ví dụ này, chúng ta sẽ sử dụng cùng kết nối VPN mà chúng ta đã sử dụng trong phần trước. Mặc dù vậy, chúng ta phải thực hiện một số thay đổi để nó sẽ sử dụng L2TP/Ipsec thay vì PPTP. Mở cửa sổ Network Connections trên Windows 7 client và kích Properties, xem thể hiện trong hình 30.

Hình 30

Trong hộp thoại VPN Connection Properties, kích tab Security. Trên tab Security, trong phần danh sách sổ xuống Type of VPN, chọn tùy chọn Layer 2 Tunneling Protocol with IPsec (L2TP/IPsec), sau đó kích OK, xem hình 31. Thao tác này sẽ bắt buộc máy khách sử dụng L2TP/Ipsec mà không sử dụng giao thức VPN. Kích OK để lưu các thay đổi.

Hình 31

OK! Giờ là lúc chúng ta đi thiết lập kết nối VPN. Sau khi kết nối được thiết lập, chúng ta có thể kiểm tra để thấy được các thông tin chi tiết của kết nối bằng cách kích phải vào kết nối VPN và kích Status, xem hình 32.

Hình 32

Trong hộp thoại VPN Connection Status, kích tab Details. Trong hình 33, bạn có thể thấy L2TP/Ipsec đã được sử dụng và mã hóa 128-bit AES cũng đang được sử dụng.

Hình 33

Khi chúng ta trở lại giao diện điều khiển của TMG firewall, bạn có thể thấy phần Sessions trong Dashboard, xem hình 34, có một kết nối VPN Remote Client.

Hình 34

Kích nút Monitoring ở panel trái của giao diện điều khiển. Ở đây trong hình 35, bạn có thể thấy kết nối VPN client. Lưu ý rằng kiểu kết nối VPN sẽ được liệt kê, cũng như tên của người dùng đã đăng nhập. Nó cũng có cả các thông tin về NAP có được sử dụng hay không cho kết nối. Trong phần tiếp theo, chúng tôi sẽ giới thiệu cho các bạn cách cấu hình NAP và TMG firewall để các máy khách VPN phải tuân thủ theo chính sách NAP trước khi được phép vào mạng.

Hình 35

L2TP/IPSec không cần chứng chỉ

Chúng tôi đã đề cập ở trên, cách tốt nhất để triển khai L2TP/Ipsec là sử dụng các chứng chỉ. Mặc dù vậy nếu quá vội, hoặc không thể thiết lập một PKI thì bạn có thể sử dụng khóa tiền chia sẻ thay vì. Trong hình 36 bên dưới, bạn có thể thấy tab Authentication trong hộp thoại Remote Access Policy (VPN) Properties. Ở phía dưới của hộp thoại này là một hộp kiểm nói rằng Allow custom IPsec policy for L2TP connection, thêm vào đó là một hộp văn bản có tên Pre-shared key. Lưu ý rằng khóa tiền chia sẻ được thể hiện dưới dạng văn bản trong sáng, cần nhắc các bạn rằng đây không phải là một tùy chọn an toàn và rằng bạn cần sử dụng các chứng chỉ thay vì!!

Hình 36

Máy khách cũng cần được cấu hình để sử dụng khóa tiền chia sẻ. Trong hộp thoại Properties của kết nối VPN, kích tab Security, xem thể hiện trong hình 37. Sau đó kích nút Advanced settings. Ở đây bạn có thể chọn tùy chọn Use preshared key for authentication và nhập vào khóa tiền chia sẻ trong hộp văn bản Key. Đó là tất cả những gì cần thực hiện. Dễ dàng như PPTP.

Hình 37

Kết luận

Trong phần ba này chúng tôi đã giới thiệu được cho các bạn cách cấu hình TMG firewall làm L2TP/IPsec VPN server. Chúng ta đã trải qua một số tùy chọn khác nhau về cách đạt được chứng chỉ máy chủ cho TMG firewall và sau đó đã cài đặt chứng chỉ vào kho chứng chỉ máy tính của tường lửa. Chúng ta cũng đã thực hiện một số thay đổi cần thiết cho cấu hình tường lửa để hỗ trợ cho L2TP/Ipsec, thực hiện một số thay đổi cần thiết trên VPN client. Sau đó chúng ta đã thiết lập kết nối và đã xác nhận rằng L2TP/Ipsec đã trong sử dụng. Dự án đã thành công! Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách sử dụng NAP để tăng độ bảo mật của TMG firewall dựa trên VPN server truy cập xa

Văn Linh (Theo Isaserver)