Lâu rồi không viết về kỹ thuật, nhân dịp đang rảnh rỗi những ngày giáp Tết, thôi thì lục ra bài lab nào mình thấy hay thì làm lại. Tôi không giải thích lại khái niệm VPN và phân loại, ứng dụng, chuẩn mã hóa,… các kiểu. Mọi thứ bạn có thể tìm đọc tại đây:

https://oktot.net/vpn-la-gi-phan-loai-vpn/

Và bài lab làm giả lập trên môi trường ảo hóa:

https://oktot.net/vpn-clients-site-tren-windows-server/

Thật ra bài viết này của tôi chỉ là cải tiến của bài lab phía trên mà thôi. Thay vì làm lab trên môi trường ảo hóa, 1 card NAT và 1 card Host-only này nọ thì tôi quyết định làm thật luôn để sử dụng.

Trước khi bắt đầu vào chi tiết, ta quan sát lại sơ đồ triển khai của bài lab mẫu kia.

Lab-VPN-Client-to-Site (1).png

Trong bài lab trên, làm hoàn toàn giả lập môi trường Internet bằng một IP WAN là card mạng khác trong VMware Workstation. VPN Clients muốn kết nối vào phải đặt địa chỉ Gateway trỏ về IP WAN trên máy VPN Server. Đồng thời từ VPN Clients phải ping được tới VPN Server. Làm như vậy là hoàn hảo cho môi trường lab, nhưng triển khai trong thực tế thì không hẳn làm giống như vậy. Một điều nữa là trong bài lab sử dụng mô hình WORKGROUP, với tài khoản local để chứng thực.

Tôi cải tiến một chút trong bài viết của tôi:

  • Xây dựng môi trường tập trung với domain: chocopie.local
  • VPN Server thuộc môi trường domain.
  • Người dùng kết nối VPN tới hệ thống là tài khoản domain.
  • Sử dụng môi trường thực tế với một đường mạng có IP tĩnh riêng, cố định.

Trước khi đi vào chi tiết các bước làm, ta điểm qua các bước thực hiện. Dưới đây là sơ đồ triển khai của tôi.

VPN Client to Site Diagram1.gif

– Xây dựng một máy chủ Active Directory (AD) với domain tùy ý. Tôi đặt chocopie.local vì tôi thích bánh Chocopie thôi. Để tiện lợi, tôi cài cả dịch vụ DNS trên máy AD này luôn.

– Xây dựng thêm một máy chủ khác, sử dụng 2 card mạng với 2 địa chỉ IP khác nhau và cho join vào domain chocopie.local ở trên.

– Máy VPN Server này có địa chỉ IP như sau:

  • IP LAN: 10.0.1.199/24 trỏ DNS Server về máy AD.
  • IP Internet (hoặc cũng có thể đặt là IP WAN): 10.0.2.2/24 kèm subnet. Ngoài ra các giá trị khác để trống.

– Trên máy VPN Server, tiến hành cài đặt như sau:

  • Server Manager -> Manage -> Add Roles and Features -> trong mục Server Roles : chọn “Remote Access”
  • Kế tiếp trong “Role Services” : Chọn “DirectAccess and VPN (RAS)” và “Routing” -> Add Features -> tiếp theo nhấn Install.
  • Trong cửa sổ Server Manager vào menu Tools -> Routing and Remote Access.
  • Trong cửa sổ mới mở ra nhấn chuột phải vào tên server và chọn Configure and Enable Routing and Remote Access -> Next -> Chọn “Remote access (dial-up or VPN)” -> Remote Access : Chọn VPN – VPN Connections : Chọn địa chỉ IP 10.0.2.2 (Card kết nối ra Internet khi nãy đặt tên là Internet)
  • IP Address Assignment : Chọn “From a specified range of addresses” -> Address Range Assignment : Nhấn vào New…
  • Start IP address : 192.168.0.10, End IP address : 192.168.0.254 -> Next -> Chọn tiếp “No, use Routing and Remote…” -> Finish -> OK.

Bạn có thắc mắc vì sao một loạt các bước cài đặt và cấu hình tôi chỉ gom có nhiêu đó không? Vì lúc tôi cấu hình, nó thất bại trên dưới 10 lần, mặc dù chuyện này chẳng có gì khó khăn =)))) Chung quy là tôi không có quay phim hay chụp hình lại gì nên tôi lười làm lại, rồi ngồi cắt, chụp hình.

Sau khi đã cấu hình xong VPN Server, ta chuyển sang máy AD:

  • Server Manager -> Tools -> Active Directory Users and Computers -> chocopie.local -> IT DEPT OU (Organization Unit) – Nhấn chuột phải vào tài khoản thuongvt -> Properties -> Dial-in tab -> Network Access Permission : Allow access -> OK.

Sau cùng, để có thể làm thao tác kết nối VPN từ ngoài Internet thật, ra phải NAT trên router địa chỉ IP Internet với port 1723. Đây là port mà dịch vụ Remote Access của Windows Server sử dụng.

Do bước này là tùy vào thiết bị router mà môi trường thực tế của bạn làm, nên không thể áp dụng của tôi vào cho tất cả được. Do hiện tại tôi đang sử dụng router Mikrotik nên tôi sẽ minh họa bằng câu lệnh sau:

ip firewall nat add chain=dstnat dst-address=<ĐỊA CHỈ IP TĨNH NHÀ MẠNG CUNG CẤP> dst-port=1723 action=dst-nat protocol=tcp to-address=<ĐỊA CHỈ IP INTERNET TRÊN VPN SERVER> to-port=1723

Sau cùng, tôi sử dụng một mạng khác để kết nối VPN về hệ thống mạng vừa cấu hình.

connect vpn windows server.jpg

Sau khi thiết lập xong điểm kết nối VPN, bạn vào Change adapter settings và chọn vào điểm VPN vừa thiết lập:

connect vpn windows server1.jpg

Nếu để Type of VPN là Automatic thì khả năng cao là sẽ không kết nối được.

Tới đây thì bạn đã hoàn tất xong việc cấu hình VPN Client-to-Site trên Windows Server 2016 rồi đấy.

Video hướng dẫn các bước làm của bài này:

VÕ TÌNH THƯƠNG

votinhthuong9@gmail.com