Microsoft Lab Site to Site VPN

nessiggk

Moderator

Lab Site to Site VPN




Bài hôm trước mình có giới thiệu về Lab Client to Site VPN cũng như là giới thiệu sơ qua về VPN là như nào, các giao thức hoạt động trên VPN…

Hôm nay mình sẽ nối tiếp bài hôm trước làm về Lab Site to Site VPN tức là mô hình Doanh Nghiệp có 2 chi nhánh cần chia sẻ tài nguyên hoạt động trao đổi với nhau giữa các client hay có thể là Server nào đó trong Site này với Site kia (Site =Chi Nhánh) như là trong cùng một mạng LAN ( -> VPN).


Các bước tiến hành:

  1. Cấu hình VPN Server dùng giao thức PPTP

  2. Cấu hình VPN Server dùng giao thức L2TP

I. Chuẩn bị


Mô hình mình sẽ sử dụng 4 máy

  • DC01: Windows Server 2016 – VPN Server và Router

  • DC02: Windows Server 2016 – VPN Server và Router

  • PC01: Windows 10 – VPN Client

  • PC02: Windows 10 – VPN Client


Ứng với sơ đồ trên, sẽ tạo 3 LAN Segments – 1, 2 và 3 như sơ đồ. PC01 và PC02 trỏ Default Gateway về DC trong LAN.

DC01 và DC02 cài đặt Role Routing and Remote Access.

DC01 tạo user lan1/123 (chỉnh Policy Password đơn giản) -> Check vào ô Allow Access như bài lab trước để thực hiện cấp quyền truy cập vào VPN Server DC01 cho bên DC02.

DC02 tạo user lan3/123, check ô Allow Access tương tự trên.

Tắt firewall trên cả 4 máy. Kiểm tra Ping giữa PC01 với DC01 và PC02 với DC02 đảm bảo chắc chắn cấu hình IP và LAN tương ứng thành công.



I. Triển khai bài lab


1. Cấu hình VPN Server dùng giao thức PPTP


Thực hiện trên DC01 trước. Mở Routing and Remote Acess, chuột phải vào Configure and Enable Routing and Remote Acess…



Bỏ qua màn hình Welcom, Next. Ở màn hình tiếp theo chọn Custom configuration



Tiếp theo ở màn hình Custom Configuration check 2 ô: VPN acess và LAN routing, sau đó chọn Next, rồi Finish và cuối cùng Start Service. Chọn LAN routing để có chức năng Routing, cụ thể là đi từ mạng 10.0.0.0/24 đến 192.168.1.0/24 trong cùng LAN.



Quay lại màn hình chính của Routing and Remote Access. Chuột phải vào Network Interfaces, chọn New Demand-dial Interface -> Next



Ở màn hình Interface Name, mình sẽ đặt tên cho cổng này, thông thường sẽ đặt tên theo mạng hoặc tên Router mình muốn kết nối đến. Mình muốn kết nối tới mạng Private ở DC02 nên đặt tên là DC02. Next



Tiếp là chọn kiểu kết nối. Chọn kiểu VPN mà mình hướng tới trong bài lab này.



Ở màn hình VPN Type -> chọn PPTP, bởi phần 1 của mình làm theo giao thức này. Tuy nhiên khuyến cáo không nên sử dụng giao thức này khi Kết nối VPN bởi lí do bảo mật kém (Bài lab trước mình có nói qua về phần này)

Tiếp theo là màn hình Destination Address, nhập địa chỉ của host mà mình muốn hướng kết nối tới có thể là tên host (nếu DNS phân giải được tên đó).



Màn hình Protocol and Security, để nguyên mặc định



Màn hình Static Routes for Remote Networks, chọn Add. Sau đó điền thông tin:

  • Destination: 10.0.10.0

  • Network Mask: 255.255.255.0

  • Metric: 1
Dòng chỉ dẫn cũng nói rõ ra để kích hoạt VPN, mình phải thêm Static route cho mạng. Chỉ định tới mạng mà mình muốn giao tiếp cụ thể là mạng 10.0.10.0/24 bên DC02. Sau đó OK -> Next



Tiếp theo ở màn hình Dial-Out Credentials, nhập thông tin user lan3/123 (ở DC02) được phép truy cập vào VPN Site to Site ở VPN Server bên DC01. Next -> Finish



Quay lại Routing and Remote Access, chuột phải vào DC01 chọn Properties -> Qua tab IPv4. Chọn Static address pool, chọn Add: đây là giải địa chỉ ngầm mình sẽ cấp cho VPN khi truy cập lẫn nhau

+ start Ip address: 172.16.1.0

+ end Ip address: 172.16.1.254

OK -> Xong



Quay lại chương trình Routing and Remote Access, chuột phải vào DC01 -> All Tasks -> Restart




DC02:

Trên DC02 thực hiện các bước tương tự như cấu hình VPN Server trên DC01. Mình tóm tắt lại các thông tin.

Interface Name



Destination Address



Static Routes for Remote Networks



Dial-Out Credentials



Quay lại chương trình Routing and Remote Access, chuột phải vào DC02 -> All Tasks -> Restart


Test:


Trên PC01 ping tới PC02, và ngược lại với ping -t





Qua DC01, vào lại Routing and Remote Access -> Ports -> Acctive PPTP



Networks Interfaces -> Connected



Sau khi ping một lúc, các Interfaces DC01 và DC02 sẽ tự động Connected. Khi đó đã hoàn thành thiết lập kết nối VPN Site to Site.


2. Cấu hình VPN Server dùng giao thức L2TP


Trên máy DC01:

Mở lại Routing and Remote Access -> Network Interfaces -> DC02, chọn Properties -> Qua Tab Security



Tiếp theo ở phần Type of VPN chọn L2TP/IPsec -> Chọn Advanced Settings -> Check ô đầu tiên “Use preshared key for authenticantion”, nhập Key: 12345 tức là bên VPN Server DC02 sẽ nhập key được chia sẻ trước này với giao thức L2TP/IPsec để kết nối tới VPN Server DC01. Ok đóng hết hộp thoại lại.



Vẫn ở cửa sổ Routing and Remote Access, phải chuột vào DC01 -> chọn Properties -> Qua tab Security -> Check ô Allow custom IPsec policy for L2TP/IKEv2 connection -> Nhập key được share trước bởi DC02: 123456 để kết nối tới VPN Server DC02. -> OK




Trên máy DC02:

Làm tương tự như trên:

Tạo Key 123456



Nhập Key share trước bởi DC01: 12345



Sau đó Restart lại Service trên cả 2 máy.

Mình đặt 2 Key khác nhau để các bạn phân biệt 2 Key này như nào và không nhất thiết phải trùng nhau.


Kiểm tra:

Kiểm tra Port trên DC01 -> L2TP -> Active -> Okie



Kiểm tra Port trên DC02 -> L2TP -> Active -> Okie




Vậy là mình đã hoàn thành phần lab VPN Site to Site.
 
Top