Phần 1: Giao thức kết nối SSTP VỚI Forefront TMG BETA 3

#ff0000;">I. Giới thiệu

SSTP (Secure Socket Tunneling Protocol) là một giao thức kết nối VPN mới có ở phiên bản Windows Server 2008. Đây thực sự không gì mới mẻ so với VPN Server là các thiết bị phần cứng của các hãng nổi tiếng như Checkpoint, Juniper, Cisco,...Tên gọi chung của giao thức này mà các hãng sản xuất thiết bị phần cứng thường gọi là SSL-VPN. Bạn có thể đọc thêm cách hoạt động giao thức này tại MSopenlab hoặc tại Nhất Nghệ. Tại các bài viết đó tác giả sử dụng Windows Server 2008 xây dựng VPN Server hỗ trợ remote user kết nối VPN Server bằng SSTP. Bài viết này tôi sử dụng sản phẩm mới Forefront TMG beta3 (phiên bản kế tiếp của ISA Server 2006) làm VPN Server. Tham khảo cách cài đặt TMG tại http://msopenlab.com/index.php?article=109

#ff0000;">II. Mô hình

#ff0000;">III. Các bước thực hiện

- SSTP Client sử dụng Windows Vista SP1 trở về sau, bài viết này sử dụng Windows 7 RC.
- Certfication Authority Server sử dụng Windows Server 2008 Enterprise Edition SP2

Phần 1:
1. Cài đặt Stand-alone Root CA
2. Cấu hình CRL (Certificate Revocation List)
3. Tạo Local User và Group tại TMG Server.
4. Tạo rule trên TMG Server
a. Tạo rule cho phép TMG Server truy cập mạng Internal
b. Tạo rule cho phép VPN Clients truy cập mạng Internal
5. Publish CA Server

Phần 2:
6. TMG Server xin certificate
7. CA Server cấp phát certificate
8. TMG server cài đặt certificate
a. Export certificate từ certificate của user
b. Import certificate vào certficate store của máy TMG Server

Phần 3:
9. Cấu hình VPN trên TMG server
10. Restart RRAS trên TMG server
11. Cấu hình SSTP Client và kết nối VPN
a. Cấu hình file hosts
b. Download CA certificate và import vào Trusted Root CA
c. Kết nối VPN Server
12. Kiểm tra TMG server

#ff0000;">IV. Thực hiện

1. Cài đặt Stand-alone Root CA

- Tại Certfication Authority Server mở Server Manager , chuột phải Roles > Add Roles

Chọn Next

Check ô Active Directory Certificate Services

Chọn Next

Chọn Next

Check ô Certification Authority > Next

Chọn Add Required Role Services

Check ô Certification Authority Web Enrollment > Next

Chọn Standalone > Next

Chọn RootCA > Next

Chọn Create a new private key > Next

Chọn Next

Chọn Next

Chọn Next

Chọn Next

Chọn Next

Chọn Next

Chọn Install

Chọn Close

2. Cấu hình CRL (Certificate Revocation List)

Tại máy Certification Authority Server , mở Certificate Authority, chuột phải tên Server > Properties

Chọn tab Extensions > Add

Gõ http://vpn.nhatnghe.com/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl > OK

Chọn như hình > OK

Chọn Yes

3. Tạo Local User và Group tại TMG server.

- Tạo User u1, password P@ssword
- Chuột phải user u1 > Properties > Dial-in > Chọn Allow access

- Tạo group VPN, add user u1 thuộc group VPN

4. Tạo rule trên TMG server

a. Tạo rule cho phép TMG Server truy cập mạng Internal
Chuột phải Firewall Policy > New Access Rule

Đặt tên cho Rule > Next

Chọn Allow > Next

Chọn như hình > Next

Chọn như hình > Next

Chọn Add > Local Host > Add

Chọn Next

Chọn Add > Local Host > Add Internal > Add

Chọn Next

Chọn Next

Chọn Finish

Chuột phải Firewall Policy > New > Access Rule

Đặt tên cho Rule

Chọn Allow > Next

Chọn như hình > Next

Chọn như hình > Next

Chọn Add > VPN clients > Add

Chọn Next

Chọn Add > Internal > Add

Chọn Next

Chọn Next

Chọn Finish

Chọn Apply

Chọn Apply

Chọn OK

5. Publish Root CA

Chuột phải Firewall Policy chọn New > Web site Publishing Rule

Đặt tên Rule > Next

Chọn Allow > Next

Chọn như hình > Next

Chọn như hình > Next

Chọn như hình > Next

Chọn Next

Chọn như hình > Next

Chọn New > Nhập tên Web Listener như hình > Next

Chọn như hình > Next

Chọn như hình > Next

Chọn Next

Chọn như hình > Next

Chọn như hình > Next

Chọn Finish

Chọn như hình > Next

Chọn như hình > Next

Chọn Next

Chọn Finish

Chọn Apply

Chọn OK

Kết thúc phần 1. Xem tiếp phần 2

suthuc - MCT