Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ

Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ (http://www.nhatnghe.com/forum/index.php)
-   Firewall (http://www.nhatnghe.com/forum/forumdisplay.php?f=9)
-   -   Tạo VPN Gateway to Gateway (http://www.nhatnghe.com/forum/showthread.php?t=87371)

vongcohay 14-09-2010 09:20

Tạo VPN Gateway to Gateway bằng ISA 2006
 
MCSA ISA Server - VPN Gateway to Gateway
Trong bài này chúng ta sẽ tiếp tục tìm hiểu và cấu hình VPN Gateway to Gateway với 2 mạng đã có ISA Server
http://i852.photobucket.com/albums/a...ay/VPN1/h0.jpg

Giả sử tôi có 2 mạng hoàn toàn độc lập nhau trong đó:
- Mạng 172.16.1.0/16 là Internal Network của nhóm thứ 1 bao gồm máy PC01 & PC02
- Mạng 10.0.1.0/16 là Internal Network của nhóm thứ 2 bao gồm máy PC03 & PC04
- Máy PC01 & PC03 là 2 máy cài ISA Server và được Join vào 2 Domain thứ tự là ServerHN.com và ServerHCM.com
- PC02 & PC04 là 2 máy DC Server
- Mạng thứ 1 có IP mặt ngoài là 192.168.1.66
- Mạng thứ 2 có IP mặt ngoài là 192.168.1.77
Cấu hình IP các máy như sau:
http://i852.photobucket.com/albums/a...y/VPN1/h01.jpg

Như vậy vấn đề đặt ra là làm sao từ máy PC02 tôi có thể truy cập vào máy PC04 là xem như thành công và ngược lại.
Trước tiên để cho các Gateway có thể truy cập được với nhau thông qua VPN chúng ta phải tạo tại mỗi Gateway một User và gán quyền Allow Remote Access cho User này, và tôi tạm gọi các User là VPN User (Xem lại bài VPN)
Tại máy DC Server (PC02) bật Active Directory Users and Computers lên tạo một User/Pass là Gateway2/123
http://i852.photobucket.com/albums/a...ay/VPN1/h1.jpg
Tại máy DC Server (PC04) bật Active Directory Users and Computers lên tạo một User/Pass là Gateway1/123
http://i852.photobucket.com/albums/a...ay/VPN1/h2.jpg

Double click vào User Gateway1 chọn Tab Dial-in
Check tùy chọn Allow Access trong Remote Access Permission
http://i852.photobucket.com/albums/a...ay/VPN1/h3.jpg

http://i852.photobucket.com/albums/a...ay/VPN1/h4.jpg


1/ Cấu hình VPN Gateway tại mạng 172.16.1.0/16
Tại máy ISA_HN trong ISA Server bạn chọn Virtual Private Networks (VPN) chọn tiếp Tab Remote Sites
Tiếp tục nhấp vào Create VPN Site-to-Site Connection
http://i852.photobucket.com/albums/a...ay/VPN1/h5.jpg
Bạn nhập VPN User của mạng đối tác trong này chính là Gateway2
http://i852.photobucket.com/albums/a...ay/VPN1/h6.jpg
Chọn giao thức Point-to-Point Tunneling Protocol (PPTP)
http://i852.photobucket.com/albums/a...ay/VPN1/h7.jpg

Tại Local Network VPN Settings bạn nhập một dãy IP để gán cho các máy VPN Client trong Static address pool ở ví dụ này là dãy số 222.222.222.100 – 222.222.222.200
Nếu hệ thống mạng của bạn đã có DHCP rồi thì bạn chọn tùy chọn thứ 2 là Dynamic Host Configuration Protocol (DHCP) bên dưới
http://i852.photobucket.com/albums/a...ay/VPN1/h8.jpg

http://i852.photobucket.com/albums/a...ay/VPN1/h9.jpg

Trong Remote Site Gateway bạn nhập IP mặt ngoài của mạng đối tác trong ví dụ này này chính là 192.168.1.77 (trên thực tế dùng IP Public: 222.212.80.180)
http://i852.photobucket.com/albums/a...y/VPN1/h10.jpg
Nhập chính xác VPN User của chính mạng mình vào cửa sổ Remote Authentication
http://i852.photobucket.com/albums/a...y/VPN1/h11.jpg
Tiếp tục trong cửa sổ Network Addresses bạn nhập nguyên dãy IP của mạng đối tác vào Address ranges. Nghĩa là nhập nguyên cả dãy IP của Internal Network mạng đối tác.
http://i852.photobucket.com/albums/a...y/VPN1/h12.jpg

http://i852.photobucket.com/albums/a...y/VPN1/h13.jpg

http://i852.photobucket.com/albums/a...y/VPN1/h14.jpg

Giữ nguyên giá trị mặc định trong cửa sổ Site-to-Site Network Rule


Tùy theo bạn muốn các Gateway truy cập với thông qua các Protocol nào mà tại cửa sổ Site-to-Site Network Access Rule bạn Add chúng vào, trong này tôi Enable tất cả mọi Port nên chọn là All outbound traffic

http://i852.photobucket.com/albums/a...y/VPN1/h15.jpg

http://i852.photobucket.com/albums/a...ay/VPN1/h6.jpg

http://i852.photobucket.com/albums/a...y/VPN1/h17.jpg

Màn hình sau khi hoàn tất
http://i852.photobucket.com/albums/a...y/VPN1/h18.jpg

http://i852.photobucket.com/albums/a...y/VPN1/h19.jpg

Tiếp tục chọn Networks trong Configuration chọn tiếp Tab Network Rule
Bạn phải xác nhận rằng trong này xuất hiện thêm một Network Rule mới đây chính là con đường cho các truy cập từ Gateway đối tác sang Internal Network của chúng ta
http://i852.photobucket.com/albums/a...y/VPN1/h20.jpg

http://i852.photobucket.com/albums/a...y/VPN1/h21.jpg

http://i852.photobucket.com/albums/a...y/VPN1/h22.jpg

Như vậy ta vừa cấu hình xong nhánh 1 (Nhánh HN)
Bây giờ ta làm tương tự để cấu hình cho nhánh 2 (nhánh HCM)
http://i852.photobucket.com/albums/a...y/VPN1/h23.jpg

http://i852.photobucket.com/albums/a...y/VPN1/h24.jpg

http://i852.photobucket.com/albums/a...y/VPN1/h25.jpg

http://i852.photobucket.com/albums/a...y/VPN1/h26.jpg

http://i852.photobucket.com/albums/a...y/VPN1/h28.jpg

http://i852.photobucket.com/albums/a...y/VPN1/h29.jpg

http://i852.photobucket.com/albums/a...y/VPN1/h30.jpg

http://i852.photobucket.com/albums/a...y/VPN1/h31.jpg

http://i852.photobucket.com/albums/a...y/VPN1/h32.jpg

http://i852.photobucket.com/albums/a...y/VPN1/h34.jpg

http://i852.photobucket.com/albums/a...y/VPN1/h35.jpg

http://i852.photobucket.com/albums/a...y/VPN1/h36.jpg

http://i852.photobucket.com/albums/a...y/VPN1/h37.jpg

http://i852.photobucket.com/albums/a...y/VPN1/h38.jpg

http://i852.photobucket.com/albums/a...y/VPN1/h39.jpg

http://i852.photobucket.com/albums/a...y/VPN1/h40.jpg

http://i852.photobucket.com/albums/a...y/VPN1/h41.jpg

http://i852.photobucket.com/albums/a...gcohay/h42.jpg

Kiểm tra  tại máy ISA HN mở RRAS: start  Programs  Administrative Tools  Routing and Remote Access.

http://i852.photobucket.com/albums/a...gcohay/h43.jpg

http://i852.photobucket.com/albums/a...gcohay/h48.jpg

http://i852.photobucket.com/albums/a...gcohay/h49.jpg

Kiểm tra  tại máy ISA HCM mở RRAS: start  Programs  Administrative Tools  Routing and Remote Access.
http://i852.photobucket.com/albums/a...gcohay/h50.jpg

http://i852.photobucket.com/albums/a...gcohay/h51.jpg

http://i852.photobucket.com/albums/a...gcohay/h52.jpg


Tại máy DC HN ping địa chỉ máy DC HCM: ping 10.0.1.2 –t
Kết quả: Ok đã thông mạng rồi.

http://i852.photobucket.com/albums/a...gcohay/h54.jpg

Truy cập vào máy DC HCM lấy dữ liệu: start  Run: \\10.0.1.2  Kết quả: thành công
http://i852.photobucket.com/albums/a...gcohay/h55.jpg

Thành công!

Tương tự ở nhánh HCM truy cập thử nhánh HN
http://i852.photobucket.com/albums/a...gcohay/h56.jpg

http://i852.photobucket.com/albums/a...gcohay/h57.jpg

Thành công!

Nếu như gặp sự cố gì đó thì ta có thể kiểm tra lại

http://i852.photobucket.com/albums/a...gcohay/h45.jpg

http://i852.photobucket.com/albums/a...gcohay/h46.jpg

Như vậy là tôi đã làm xong VPN site to site bằng ISA 2006

Cám ơn các bạn đã xem bài viết

------------------------------------
Duong Dinh Dan
Phòng Giáo dục & Đào tạo Q.TB
97 Trường Chinh F12 Q.TB
dddan1978xt@gmail.com
------------------------------------

TMG2010 21-09-2010 23:11

Máy PC04 GW sai, sao ping được tuốt luốt, hay vậy bạn ? :nea:


Múi giờ GMT +7. Hiện tại là 18:19

Powered by: vBulletin Version 3.8.7
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.
Ad Management by RedTyger