Microsoft Lab Site to Site VPN

Discussion in 'Windows servers' started by nessiggk, Mar 28, 2019.

  1. nessiggk

    nessiggk Member

    Joined:
    Feb 25, 2018
    Messages:
    63
    Likes Received:
    7
    Trophy Points:
    8
    Gender:
    Male
    Location:
    HOCHIMINH CITY
    Home Page:

    Lab Site to Site VPN




    Bài hôm trước mình có giới thiệu về Lab Client to Site VPN cũng như là giới thiệu sơ qua về VPN là như nào, các giao thức hoạt động trên VPN…

    Hôm nay mình sẽ nối tiếp bài hôm trước làm về Lab Site to Site VPN tức là mô hình Doanh Nghiệp có 2 chi nhánh cần chia sẻ tài nguyên hoạt động trao đổi với nhau giữa các client hay có thể là Server nào đó trong Site này với Site kia (Site =Chi Nhánh) như là trong cùng một mạng LAN ( -> VPN).


    Các bước tiến hành:

    1. Cấu hình VPN Server dùng giao thức PPTP

    2. Cấu hình VPN Server dùng giao thức L2TP

    I. Chuẩn bị


    Mô hình mình sẽ sử dụng 4 máy

    • DC01: Windows Server 2016 – VPN Server và Router

    • DC02: Windows Server 2016 – VPN Server và Router

    • PC01: Windows 10 – VPN Client

    • PC02: Windows 10 – VPN Client
    [​IMG]

    Ứng với sơ đồ trên, sẽ tạo 3 LAN Segments – 1, 2 và 3 như sơ đồ. PC01 và PC02 trỏ Default Gateway về DC trong LAN.

    DC01 và DC02 cài đặt Role Routing and Remote Access.

    DC01 tạo user lan1/123 (chỉnh Policy Password đơn giản) -> Check vào ô Allow Access như bài lab trước để thực hiện cấp quyền truy cập vào VPN Server DC01 cho bên DC02.

    DC02 tạo user lan3/123, check ô Allow Access tương tự trên.

    Tắt firewall trên cả 4 máy. Kiểm tra Ping giữa PC01 với DC01 và PC02 với DC02 đảm bảo chắc chắn cấu hình IP và LAN tương ứng thành công.



    I. Triển khai bài lab


    1. Cấu hình VPN Server dùng giao thức PPTP


    Thực hiện trên DC01 trước. Mở Routing and Remote Acess, chuột phải vào Configure and Enable Routing and Remote Acess…

    [​IMG]

    Bỏ qua màn hình Welcom, Next. Ở màn hình tiếp theo chọn Custom configuration

    [​IMG]

    Tiếp theo ở màn hình Custom Configuration check 2 ô: VPN acess và LAN routing, sau đó chọn Next, rồi Finish và cuối cùng Start Service. Chọn LAN routing để có chức năng Routing, cụ thể là đi từ mạng 10.0.0.0/24 đến 192.168.1.0/24 trong cùng LAN.

    [​IMG]

    Quay lại màn hình chính của Routing and Remote Access. Chuột phải vào Network Interfaces, chọn New Demand-dial Interface -> Next

    [​IMG]

    Ở màn hình Interface Name, mình sẽ đặt tên cho cổng này, thông thường sẽ đặt tên theo mạng hoặc tên Router mình muốn kết nối đến. Mình muốn kết nối tới mạng Private ở DC02 nên đặt tên là DC02. Next

    [​IMG]

    Tiếp là chọn kiểu kết nối. Chọn kiểu VPN mà mình hướng tới trong bài lab này.

    [​IMG]

    Ở màn hình VPN Type -> chọn PPTP, bởi phần 1 của mình làm theo giao thức này. Tuy nhiên khuyến cáo không nên sử dụng giao thức này khi Kết nối VPN bởi lí do bảo mật kém (Bài lab trước mình có nói qua về phần này)

    [​IMG]Tiếp theo là màn hình Destination Address, nhập địa chỉ của host mà mình muốn hướng kết nối tới có thể là tên host (nếu DNS phân giải được tên đó).

    [​IMG]

    Màn hình Protocol and Security, để nguyên mặc định

    [​IMG]

    Màn hình Static Routes for Remote Networks, chọn Add. Sau đó điền thông tin:

    • Destination: 10.0.10.0

    • Network Mask: 255.255.255.0

    • Metric: 1
    Dòng chỉ dẫn cũng nói rõ ra để kích hoạt VPN, mình phải thêm Static route cho mạng. Chỉ định tới mạng mà mình muốn giao tiếp cụ thể là mạng 10.0.10.0/24 bên DC02. Sau đó OK -> Next

    [​IMG]

    Tiếp theo ở màn hình Dial-Out Credentials, nhập thông tin user lan3/123 (ở DC02) được phép truy cập vào VPN Site to Site ở VPN Server bên DC01. Next -> Finish

    [​IMG]

    Quay lại Routing and Remote Access, chuột phải vào DC01 chọn Properties -> Qua tab IPv4. Chọn Static address pool, chọn Add: đây là giải địa chỉ ngầm mình sẽ cấp cho VPN khi truy cập lẫn nhau

    + start Ip address: 172.16.1.0

    + end Ip address: 172.16.1.254

    OK -> Xong

    [​IMG]

    Quay lại chương trình Routing and Remote Access, chuột phải vào DC01 -> All Tasks -> Restart

    [​IMG]


    DC02:

    Trên DC02 thực hiện các bước tương tự như cấu hình VPN Server trên DC01. Mình tóm tắt lại các thông tin.

    Interface Name

    [​IMG]

    Destination Address

    [​IMG]

    Static Routes for Remote Networks

    [​IMG]

    Dial-Out Credentials

    [​IMG]

    Quay lại chương trình Routing and Remote Access, chuột phải vào DC02 -> All Tasks -> Restart


    Test:


    Trên PC01 ping tới PC02, và ngược lại với ping -t

    [​IMG]

    [​IMG]

    Qua DC01, vào lại Routing and Remote Access -> Ports -> Acctive PPTP

    [​IMG]

    Networks Interfaces -> Connected

    [​IMG]

    Sau khi ping một lúc, các Interfaces DC01 và DC02 sẽ tự động Connected. Khi đó đã hoàn thành thiết lập kết nối VPN Site to Site.


    2. Cấu hình VPN Server dùng giao thức L2TP


    Trên máy DC01:

    Mở lại Routing and Remote Access -> Network Interfaces -> DC02, chọn Properties -> Qua Tab Security

    [​IMG]

    Tiếp theo ở phần Type of VPN chọn L2TP/IPsec -> Chọn Advanced Settings -> Check ô đầu tiên “Use preshared key for authenticantion”, nhập Key: 12345 tức là bên VPN Server DC02 sẽ nhập key được chia sẻ trước này với giao thức L2TP/IPsec để kết nối tới VPN Server DC01. Ok đóng hết hộp thoại lại.

    [​IMG]

    Vẫn ở cửa sổ Routing and Remote Access, phải chuột vào DC01 -> chọn Properties -> Qua tab Security -> Check ô Allow custom IPsec policy for L2TP/IKEv2 connection -> Nhập key được share trước bởi DC02: 123456 để kết nối tới VPN Server DC02. -> OK

    [​IMG]


    Trên máy DC02:

    Làm tương tự như trên:

    Tạo Key 123456

    [​IMG]

    Nhập Key share trước bởi DC01: 12345

    [​IMG]

    Sau đó Restart lại Service trên cả 2 máy.

    Mình đặt 2 Key khác nhau để các bạn phân biệt 2 Key này như nào và không nhất thiết phải trùng nhau.


    Kiểm tra:

    Kiểm tra Port trên DC01 -> L2TP -> Active -> Okie

    [​IMG]

    Kiểm tra Port trên DC02 -> L2TP -> Active -> Okie

    [​IMG]


    Vậy là mình đã hoàn thành phần lab VPN Site to Site.
     

Share This Page