Microsoft Lab Site to Site VPN

nessi

Internship/Fresher
Feb 25, 2018
68
20
8
HOCHIMINH CITY
securityzone.vn

Lab Site to Site VPN




Bài hôm trước mình có giới thiệu về Lab Client to Site VPN cũng như là giới thiệu sơ qua về VPN là như nào, các giao thức hoạt động trên VPN…

Hôm nay mình sẽ nối tiếp bài hôm trước làm về Lab Site to Site VPN tức là mô hình Doanh Nghiệp có 2 chi nhánh cần chia sẻ tài nguyên hoạt động trao đổi với nhau giữa các client hay có thể là Server nào đó trong Site này với Site kia (Site =Chi Nhánh) như là trong cùng một mạng LAN ( -> VPN).


Các bước tiến hành:

  1. Cấu hình VPN Server dùng giao thức PPTP

  2. Cấu hình VPN Server dùng giao thức L2TP

I. Chuẩn bị


Mô hình mình sẽ sử dụng 4 máy

  • DC01: Windows Server 2016 – VPN Server và Router

  • DC02: Windows Server 2016 – VPN Server và Router

  • PC01: Windows 10 – VPN Client

  • PC02: Windows 10 – VPN Client
h2lwL7-IdmGZKxw-eIfs1nfEE30BHHaraYInL-SFo0WfM1ZeFA3-453doZtWxQwL40tamMnYRQGiYIaTeNM4ktZjdxuUka44091Lya0jxqHfeAoQ3JAQPdVdYwK3FAB9gz60PehX2vl2UBTC9Q


Ứng với sơ đồ trên, sẽ tạo 3 LAN Segments – 1, 2 và 3 như sơ đồ. PC01 và PC02 trỏ Default Gateway về DC trong LAN.

DC01 và DC02 cài đặt Role Routing and Remote Access.

DC01 tạo user lan1/123 (chỉnh Policy Password đơn giản) -> Check vào ô Allow Access như bài lab trước để thực hiện cấp quyền truy cập vào VPN Server DC01 cho bên DC02.

DC02 tạo user lan3/123, check ô Allow Access tương tự trên.

Tắt firewall trên cả 4 máy. Kiểm tra Ping giữa PC01 với DC01 và PC02 với DC02 đảm bảo chắc chắn cấu hình IP và LAN tương ứng thành công.



I. Triển khai bài lab


1. Cấu hình VPN Server dùng giao thức PPTP


Thực hiện trên DC01 trước. Mở Routing and Remote Acess, chuột phải vào Configure and Enable Routing and Remote Acess…

kLrwQlVbYS6O4st12CGSws58ds28QTyaWOzMZ0-hZp1SS4qB2hepzN5wqoQ2mLyhcuWcQGvvmsRPEwkGpF_o70iukGD3jMp4Z6lc-fs4gQU-Ky6QSQRuHMc88R9WzyO9exMDf0bv6RgXLI-Omw


Bỏ qua màn hình Welcom, Next. Ở màn hình tiếp theo chọn Custom configuration

kRxg1tqCvbNuAqaaEP5lisn_W2qyjTXJN1QTICBjvAPXsHRW4LxQh4qWnLrl-V0g3c_1e-l5SI6R_leIFgbKmH_Cz8ckTUdtcp62yn0lMd1nlb7FaWosuin7ql8tWJgrhhGJU0Pg4BBigJUXtQ


Tiếp theo ở màn hình Custom Configuration check 2 ô: VPN acess và LAN routing, sau đó chọn Next, rồi Finish và cuối cùng Start Service. Chọn LAN routing để có chức năng Routing, cụ thể là đi từ mạng 10.0.0.0/24 đến 192.168.1.0/24 trong cùng LAN.

vYfzzp4Tx9l4V7rWaqAU6DKy8bdyxj2RsZlRsLdeOjLdyKURylAv8GUNdE3LcxRQxgbXnjA95zBK4zJA2KcC0mSvSQPzMs4AtygC32bVRw6Q-H1L-uscOIH2yjG3mKhDWiOyrapZW5om68JZvw


Quay lại màn hình chính của Routing and Remote Access. Chuột phải vào Network Interfaces, chọn New Demand-dial Interface -> Next

Ynv-nx9-jMEqnz7sIdu1HiWZHJEJNApV1wJLg96X96rsXz1I4EZ_4vpK9JwgB1AfrG40TQHtDYGh107IZOuz-HeCF6VFLwv3EtOELqcd_Pvaq9TfFNr7l7SxsjvhGzg62iPWVt40T6YqssUPQg


Ở màn hình Interface Name, mình sẽ đặt tên cho cổng này, thông thường sẽ đặt tên theo mạng hoặc tên Router mình muốn kết nối đến. Mình muốn kết nối tới mạng Private ở DC02 nên đặt tên là DC02. Next

40LG4FPStMQTMfwpls9wXIX0YEA1mFExCsIA5Hpeq4OH6CUDIKAoGAtxkDLqkg7XiVmMmZyWa0Q0Pba-YbTDwPY-vGVQau3MRqJ03sh7Yq_zjKsSHmMQwoOTXOg2tEKkbpLzvTcC7P9rxJarSw


Tiếp là chọn kiểu kết nối. Chọn kiểu VPN mà mình hướng tới trong bài lab này.

8wx9HE1Jy2FA6uOgEo_3Z8pfkCbOsCDLgXUg7NVhtQuaPxvXm7AiBGL4AxJPlxE7GzgNWxiSWet4f0sfbHqirnr4ovtOEGzjJn-AdERvn5nw8rui63a0MiPowfNJOUU-T7-ZdHQnXxmWZ6N0uQ


Ở màn hình VPN Type -> chọn PPTP, bởi phần 1 của mình làm theo giao thức này. Tuy nhiên khuyến cáo không nên sử dụng giao thức này khi Kết nối VPN bởi lí do bảo mật kém (Bài lab trước mình có nói qua về phần này)

JoemKDeII0jHaLiYQz_2oQ1amLNGuTJ9T_c9aGH5f4XiC3IDZEUKMa1pGsgunWjTdJdD7g6r7SKfsW2QbXlvEc8MgsmYoAVBnBmbBOjhmLXEO3J_Wy7EdBBDqgbW3nZeZNFeGcVond-lwYAqfg
Tiếp theo là màn hình Destination Address, nhập địa chỉ của host mà mình muốn hướng kết nối tới có thể là tên host (nếu DNS phân giải được tên đó).

nxmcdt7Sg0mbLKTzxnneUyLTmPIxnsShavwARZfm_wieOUm5B7VmDu8nS5E_I9Tz7jlOFqHZFFDfgagbd-BKYqgsGPLZxnVQVs5vFtmTnpbt5Kb3hofY1buPFOTq_V2P9sghILPtBSaXiaSBbA


Màn hình Protocol and Security, để nguyên mặc định

s6jfJJRbGqtY4T6f5FwKxbKEwyPMPsQFKYB0ZfvWSFD39tMbmG1uDfdUS99d5ujUaKrZsYRxXj1swuK0ze0f1Okgj59Qpc1oen5xwdzg9UyWJf_BoWZ-0l1kJGvIIwghmdyxgH_4kuc5FpQotQ


Màn hình Static Routes for Remote Networks, chọn Add. Sau đó điền thông tin:

  • Destination: 10.0.10.0

  • Network Mask: 255.255.255.0

  • Metric: 1
Dòng chỉ dẫn cũng nói rõ ra để kích hoạt VPN, mình phải thêm Static route cho mạng. Chỉ định tới mạng mà mình muốn giao tiếp cụ thể là mạng 10.0.10.0/24 bên DC02. Sau đó OK -> Next

a7PkIgcOVsOCr_gM7Eo_Z3OBtwiBGoWqpPiwT3gpo0d9l3ojYv3zIcHnYvrU1x4CcmQFPUrVAXVhij3CX9kNsWdhgg8kWKXKxbSkmud_B2FpFMjrX0wWuIXnBjpjpGo5Ho5fdjWrtkMsPwIlcA


Tiếp theo ở màn hình Dial-Out Credentials, nhập thông tin user lan3/123 (ở DC02) được phép truy cập vào VPN Site to Site ở VPN Server bên DC01. Next -> Finish

HORtf-Tlvxmjqv2GPWpliHoxLyoVBgUUjtD6D5BIMYz0haGZYx7-7dEpu0XLlyUcMe0QnCnfK2Vpz-O_nZYYtmIxliJpL5IsgGYO5xlY2WwGC5XGhy2M7xvloOmtxxJLMvx3rcFc5tPGqrnuEQ


Quay lại Routing and Remote Access, chuột phải vào DC01 chọn Properties -> Qua tab IPv4. Chọn Static address pool, chọn Add: đây là giải địa chỉ ngầm mình sẽ cấp cho VPN khi truy cập lẫn nhau

+ start Ip address: 172.16.1.0

+ end Ip address: 172.16.1.254

OK -> Xong

Upmc2pPtvWTkHMMR_5fR7hH-MRZcaIgQslLNp4LyloVYFcixuzCgoWyqe0kdVtMSQIsM3dbh0JH93-0jF6oAiN2epJhVVlwt8ba4uqfqziWubmNgxHj_4sXx15J2jctM9-8jdPetM_RCHcOOww


Quay lại chương trình Routing and Remote Access, chuột phải vào DC01 -> All Tasks -> Restart

dg57zGa70giWGVOciEv33As1iNhRv7ipmANDe_k3ry7ZC6fDKzLRRg-1Y6BuulKimiCX5uGG1LB_5g-xTAhN64Advso1g717zjIupXXNMlVEd29kcQC8G-hjeYCdvhc59QeqzxqoDhaBbzde2A



DC02:

Trên DC02 thực hiện các bước tương tự như cấu hình VPN Server trên DC01. Mình tóm tắt lại các thông tin.

Interface Name

elhr5Toch_XhLhPzjo-AIowLojXfJqK14UEU9yzg4F7xNAThgcyqupC86JWL5Nwxc3tU6LU5m-oRbamgnnKKM5oOm33ccFpJWVCDFTPtkU_hHETBPqIcLgtzTToHyee3MbNF5lAANN9TVUGuww


Destination Address

nxfZDd-JHYIO_IGwR5ZYPxFwUrecdVCJQpjr4ruml7ZUcAMY7LPhJgPF97RgWPTKsH24yWqZ9jLWsI9Vv8OhhA3LYQHhaJ6iyjWuBDyL_uqUs7ccGcWiBLvEMNJ2vWXuQOZiTBbqfw2lj8oC0Q


Static Routes for Remote Networks

5-k2mjFOjapKQn7x6px-wuos75bK-UoA4i2WEf0-SmQ4_Q1twm7SOBmerv9-WfA26BWWNJCH0tuc8ZlizGb_ZaQUmD6KGs2OplcNasvbX2Oex7lDq9QC8zI8q1eQnvXcg4doqImGOcIWeiazhw


Dial-Out Credentials

rKY-6JmUja7SNABOaOXKnQioj7554gTUN66liguF37qXYqeWqrAdaeBvih0_HQ_d5su82SZgellK-IYInG3bbX5f_VGUQd65kXceH0d4UyM4RRDBPBbbaEgj8u-FsrRaTVwGFCgHkx3LJwbYUA


Quay lại chương trình Routing and Remote Access, chuột phải vào DC02 -> All Tasks -> Restart


Test:


Trên PC01 ping tới PC02, và ngược lại với ping -t

zAfUAM0wOkrEj37uOwSF0k_kYW4V4QFnvWKTuSEDUJ_Xm-_biYQrY6TeqjD-BTuFQsbAmwUCCHBb2krcP4aAsh_3a739F8SyCyK_8C9xh6A9bEiouZkYJPWNilYQkP8GzaRRBkGokbHKlnpCgA


UgnlK12fwYPoSOnqfJdo-2qFZ0i18XhG7C3Jy-fhJPfu5vGFSK9kILuTBh92w6cAi7aqwElJk4xOZfc7Z03n3lYOUBWBTy3mUGSYqSon-W4hu1gqtwCrNMnIt3lltith8mxzeiQqefo6MQnT3Q


Qua DC01, vào lại Routing and Remote Access -> Ports -> Acctive PPTP

7_WGWzenfNf20RnrKt_20o5UxbdQTpS-J5OHvHGmXLHkKtPv_Y1MPYwWKmVp7UR2KBcq8t5vCHVXLqofbT4283cECCxYAYEI3eMWcRdD3g29lAQUai4Ewf2NXdx5v6KijDAFyUh6CuXdhdDPug


Networks Interfaces -> Connected

mCGF-2fAHLtgFL9nIqktKr7q6W1GaW3WBbYcBnGY-bdwe4ulJWMsJ-0cOBqbVDeApdvsyQ2omQ9SNiVbgqwwn6R0AOR1cz0KYCqBBZbhxnlRnAt-ZCRSZ5Bk5PSor_lJbIkc6cyjHf3s2cQwKQ


Sau khi ping một lúc, các Interfaces DC01 và DC02 sẽ tự động Connected. Khi đó đã hoàn thành thiết lập kết nối VPN Site to Site.


2. Cấu hình VPN Server dùng giao thức L2TP


Trên máy DC01:

Mở lại Routing and Remote Access -> Network Interfaces -> DC02, chọn Properties -> Qua Tab Security

Zie5Li7bmd-SPBMsbjaAGd2QfAtpF5_KD9BxFk-vCSSm3a329AYu8e7IV8w1bUNoGbq_IOi64Nl6DrirkIpYVYNr1fku0U12Q9XQOqJD2L0yYbiHYQPg5vjSaYRjs5wIWrutS26obja1UVI3Tw


Tiếp theo ở phần Type of VPN chọn L2TP/IPsec -> Chọn Advanced Settings -> Check ô đầu tiên “Use preshared key for authenticantion”, nhập Key: 12345 tức là bên VPN Server DC02 sẽ nhập key được chia sẻ trước này với giao thức L2TP/IPsec để kết nối tới VPN Server DC01. Ok đóng hết hộp thoại lại.

A07D9JtR5TBwGAiEufh1ltn91vdiVL8Qa0c9jpzbySRFqTTx8Dcs69gd6ktuFnx_0SMoBWV2MG4XTfJLveQkZNO51i6cDFikx5oz5LDZV8XjdXJ9yfV9dddYaQiD2HBAWMSLme4GbU4aE5UUDw


Vẫn ở cửa sổ Routing and Remote Access, phải chuột vào DC01 -> chọn Properties -> Qua tab Security -> Check ô Allow custom IPsec policy for L2TP/IKEv2 connection -> Nhập key được share trước bởi DC02: 123456 để kết nối tới VPN Server DC02. -> OK

nUH5k9GrJEohiM1zWiROPGOmie7JURXObbsGMo9bli4Itp57tPfgT-v1-r3UJrZ4yHmgqCdLO-echKlrHuPrY9yEohwUGazcYrlh4e-PX-Oc5Dkhv6nwb4YTGu_ozVN6knno4ZrO8dH9rXb_QA



Trên máy DC02:

Làm tương tự như trên:

Tạo Key 123456

rXaSjMngw5zSpCCeba5EaAD1dtg2Wmzju-d-ba7HO7L9H-qpkF4U-tgZ-vcBEE8aJhKKJgzjtlOWRL-Zu2Ai5AiqxSphe3ldW-cbG20QLO28B_RlL4YdS9X0bYR8eYl6UORdPjd1ZtIrW2M-qQ


Nhập Key share trước bởi DC01: 12345

963PDzcLb21EpLgu65W4W6RApD0AGdEizEonUTmfy_BUuDGE0vJ73Yf5v3KGBlKseBngnG2Uv6MhwXW2sObRcBEDPScgObN1XD2Hgj4zmH6nxTD9L7-LC_lOO9lf-rUeaOF38wPV45sp3eEL4Q


Sau đó Restart lại Service trên cả 2 máy.

Mình đặt 2 Key khác nhau để các bạn phân biệt 2 Key này như nào và không nhất thiết phải trùng nhau.


Kiểm tra:

Kiểm tra Port trên DC01 -> L2TP -> Active -> Okie

VwO-I5nuomQdtvrhe5W6ZmKyJ_ERo33u1TWbQo0kUMahhNOhkGDuG0l2u37wuz3SKNi_IiBZ-BXNWfa--36eTenEiDo-xxm3dYugyLFgb6WI4svCWgV1X8MDzka_sWdsOt7OD-cHRX9eDiTIiw


Kiểm tra Port trên DC02 -> L2TP -> Active -> Okie

Q2D4D3ccwaXgi4ZodfAnRK2EeumIk9YKtipDeTLvB39vPmL2uNpiUv3id1PU6MTXw_fijiL2toyCYKpDCW5TiI6BYxeA5am1_wZzNH0hTMyzX1FeYYcvU0LrIN_Gi60WTX2-pkVM-sUch6_jmw



Vậy là mình đã hoàn thành phần lab VPN Site to Site.
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu