6 tháng Hai năm 2019, nhằm ngày Mùng 2 Tết Âm Lịch

Nắng đẹp, trời trong xanh không một gợn mây.

Hôm nay tôi sẽ trình bày bài lab về cấu hình VPN theo mô hình Site to Site trên môi trường Windows Server 2016. Trước tiên, ta quan sát sơ đồ triển khai của bài lab này.

VPN Client to Site Diagram-thuongvt

Từ lâu tôi đã có một nhận định chung, sau kha khá mệt mỏi với các bài lab ở trên Internet: một bài lab không có sơ đồ triển khai là một bài lab cực kỳ lười biếng, giấu nghề, vô giá trị. Chí ít cũng phải nói rõ, tóm tắt nội dung mình làm là cái gì để người xem, người đọc theo dõi được. Bạn thao thao bất tuyệt về một vấn đề mà chỉ có mỗi một mình bạn hiểu thì chắc chắn người ta cũng sẽ đứng dậy đi chỗ khác hết thôi.

Cập nhật: Ở bài trước, hướng dẫn cấu hình thực tế VPN Client to Site trên Windows Server 2016, tôi đã có thêm vào video hướng dẫn các bước làm.

https://minhthuongeh.wordpress.com/2019/02/01/cau-hinh-vpn-client-to-site-tren-windows-server-2016/

Quay trở lại bài lab này, tôi nói một chút về các bước chuẩn bị.

Quan sát trong sơ đồ, ta thấy mô hình VPN Site to Site này đòi hỏi 2 hệ thống mạng khác nhau. Khác với bài VPN Client to Site, tôi không thể cấu hình thực tế được mà chỉ làm lab, là vì tôi không có đủ tài nguyên hệ thống để minh họa cho vấn đề này. Chỉ có một IP tĩnh và một hệ thống thôi. Nếu muốn thì chắc cũng có cách đó, nhưng thôi không bàn tới vì nó đi ra khỏi phạm vi bài viết này rồi.

Tôi làm toàn bộ trên môi trường ảo hóa VMware vSphere. Các máy ảo đều được cài đặt bình thường, không tinh chỉnh gì đặc biệt.

Có tổng cộng 2 site khác nhau, chưa có mối liên kết nào: chocopie.local và orion.local. Do đây là nhãn hiệu bánh mà tôi rất thích ăn ngày Tết (ngày bình thường khi thèm tôi cũng hay xách tiền đi mua để ăn cho đã thèm) nên tôi dùng nó để đặt tên luôn 😀

Ở mỗi site tôi sẽ triển khai các máy sau:

  • Một máy chủ Active Directory.
  • Một máy chủ VPN.
  • Một máy client (ở đây tôi dùng Windows 10).

Đáng lẽ sẽ có thêm một máy chủ File Server nữa, để thực tế hóa mô hình này hơn. Tức là người dùng ở site này kết nối VPN tới site kia thì sẽ được phân quyền để truy cập vào một chỗ nhất định trên File Server để lấy tài liệu chẳng hạn. Nhưng do tôi chỉ muốn minh họa trước phần cấu hình VPN này thôi, nên tôi chưa dựng máy chủ File Server. Có thể là ở bài lab nâng cao tiếp theo, hoặc có thể là không tùy vào độ lười của tôi.

Nếu bạn triển khai trên thực tế, thì bạn phải cấu hình cho 2 thiết bị router như trong mô hình tôi vẽ thấy được nhau, thì lúc ấy cấu hình bên trong hệ thống không có gì khác với bài lab này nữa.

Ở site chocopie.local, tôi có thiết lập các thông số như sau:

  • Máy chủ Active Directory (có cài kèm dịch vụ DNS) có địa chỉ: 10.0.2.10/24.
  • Máy chủ VPN có 2 card mạng. Một card tôi đặt tên là LAN (Local Area Network) để sử dụng giao tiếp với mạng nội bộ trong site. Card còn lại tôi đặt tên Internet để sử dụng cho mục đích VPN. IP của card LAN là 10.0.2.100/24. IP của card Internet là 10.0.5.1/30. Ở chỗ này, tại sao subnet mask lại là “/30”? Cái này tôi thấy trong thực tế, nếu chỉ sử dụng với mục đích VPN giao tiếp giữa 2 đầu kết nối, thì sử dụng subnet như thế này để giới hạn dãy địa chỉ IP lại chỉ còn 2 IP Address thôi. Quá hoàn hảo! Địa chỉ Gateway của card Internet tôi cho trỏ về 10.0.5.2/30, tức là địa chỉ IP Internet bên máy VPN của site orion.local.
  • Máy client tôi đặt tĩnh IP là 10.0.2.50/24 và trỏ Gateway về địa chỉ LAN của máy VPN là 10.0.2.100.

Ở site orion.local, tôi có thiết lập các thông số như sau:

  • Máy chủ Active Directory (có cài kèm dịch vụ DNS) có địa chỉ: 10.0.3.10/24.
  • Máy chủ VPN có 2 card mạng. Cũng tương tự site chocopie.local, IP của card LAN là 10.0.3.100/24. IP của card Internet là 10.0.5.2/30. Địa chỉ Gateway của card Internet tôi cho trỏ về 10.0.5.1/30, tức là địa chỉ IP Internet bên máy VPN của site chocopie.local.
  • Máy client tôi đặt tĩnh IP là 10.0.3.50/24 và trỏ Gateway về địa chỉ LAN của máy VPN là 10.0.3.100.

Các bước cấu hình như sau:

– Ở cả hai site, tôi đều tạo ra một OU riêng, đặt tên là “VPN” để chứa các user được phép truy cập VPN. Nhấp chuột phải vào các user này, chọn Properties -> Dial-in -> Network Access Permission: Allow access.

– Việc cấu hình VPN Site to Site là giống nhau ở cả 2 site, chỉ khác nhau thông số đăng nhập nên tôi chỉ nói một lần thôi.

Cụ thể, ta cài đặt Server Roles là “Remote Access” -> Routing.

Tới bước Configure and Enable Routing and Remote Access, chọn VPN access và Demand-dial connections.

Thiết lập dãy địa chỉ IP cho người dùng VPN ở chỗ Static address pool.

Nhấp chuột phải vào Network Interfaces và chọn New Demand-dial Interface… -> Interface name: VPNChocopie (hoặc VPNOrion tùy site đang cấu hình) -> Connect using virtual private networking (VPN) -> Point to point Tunneling Protocol (PPTP) -> Host name or IP address: chỗ này nếu bạn đang cấu hình bên chocopie.local thì trỏ về IP Internet của VPN server bên orion.local, và ngược lại nếu đang cấu hình ở site orion.local.

Nhập tiếp thông tin của domain bên site cần VPN tới và thông tin của account được phép VPN ở site bên kia vào. Cụ thể, trong bài lab này tôi thiết lập chocopie.local tôi có cho phép user thuongvt@chocopie.local được phép VPN, bên orion.local tôi có cho user namnv@orion.local được phép VPN.

Vậy khi cấu hình tới bước này, ở chocopie.local tôi sẽ nhập thông tin domain của orion và user là namv. Còn ở orion.local, tôi sẽ nhập domain là chocopie và user là thuongvt.

Trong cửa sổ Routing and Remote Access ta cấu hình VPN, tôi sẽ nhấp chuột phải vào card vừa tạo và chọn Connect. Nếu không gặp trục trặc gì, tầm 4 giây sau là sẽ kết nối tới site bên kia. Làm như thế cho site còn lại.

Sau cùng, ở máy client tôi tạo một kết nối VPN tới site bên kia. Lưu ý, sau khi tạo xong VPN card, bạn phải vào Properties -> chọn thẻ Security và chọn PPTP chứ không để Automatic như mặc định. Nếu không làm bước này, bạn không thể nào kết nối được VPN.

Các bước lưu ý chính tôi đã viết tóm tắt trên đây. Thông số tôi cũng đã giải thích chi tiết. Chỉ cần bạn xem thêm video bên dưới là sẽ hiểu được nguyên lý của bài lab này.

Một lưu ý nữa là các máy trong cùng một site nên join domain hết cho đúng tính chất.

VÕ TÌNH THƯƠNG

votinhthuong9@gmail.com