VPN Gateway to Gateway
 

Trong bài này chúng ta sẽ tiếp tục tìm hiểu và cấu hình VPN Gateway to Gateway với 2 mạng đã có ISA Server
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Giả sử tôi có 2 mạng hoàn toàn độc lập nhau trong đó:
- Mạng 172.16.2.0/24 là Internal Network của nhóm thứ 1 bao gồm máy PC01 & PC02
- Mạng 169.254.2.0/24 là Internal Network của nhóm thứ 2 bao gồm máy PC03 & PC04
- Máy PC01 & PC03 là 2 máy cài ISA Server và được Join vào 2 Domain thứ tự là gccom.net và kythuatvien.com
- PC02 & PC04 là 2 máy DC Server
- Mạng thứ 1 có IP mặt ngoài là 123.23.203.190
- Mạng thứ 2 có IP mặt ngoài là 222.212.80.180
Cấu hình IP các máy như sau:
Máy Đặc tính PC01 PC02 PC03 PC04
Name isa server isa server IP Address 192.168.1.5
192.168.1.10
Subnet Mask 255.255.255.0
255.255.255.0
Default gateway 192.168.1.1
192.168.1.1
Preferred DNS




Card Cross IP Address 172.16.2.1 172.16.2.2 169.254.2.1 169.254.2.2 Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 Default gateway
172.16.2.1
169.254.2.1 Preferred DNS 172.16.2.2 127.0.0.1 169.254.2.2 127.0.0.1 Card Lan: nối gián tiếp 2 máy PC01 & PC03 với nhau thông qua Switch
Card Cross: nối trực tiếp các cặp máy PC01 với PC02 Như vậy vấn đề đặt ra là làm sao từ máy PC02 tôi có thể truy cập vào máy PC04 là xem như thành công và ngược lại.
Trước tiên để cho các Gateway có thể truy cập được với nhau thông qua VPN chúng ta phải tạo tại mỗi Gateway một User và gán quyền Allow Remote Access cho User này, và tôi tạm gọi các User là VPN User (Xem lại bài VPN)
Tại máy DC Server (PC02) bật Active Directory Users and Computers lên tạo một User/Pass là Gateway1/123
Tại máy DC Server (PC04) bật Active Directory Users and Computers lên tạo một User/Pass là Gateway2/123
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Double click vào User Gateway1 chọn Tab Dial-in
Check tùy chọn Allow Access trong Remote Access Permission
http://www.gccom.net/blog/uploads/20...-gf-thumb2.jpg
Làm tương tự cho User Gateway2
1/ Cấu hình VPN Gateway tại mạng 172.16.2.0/24
Tại máy PC01 trong ISA Server bạn chọn Virtual Private Networks (VPN) chọn tiếp Tab Remote Sites
Tiếp tục nhấp vào Create VPN Site-to-Site Connection
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Bạn nhập VPN User của mạng đối tác trong này chính là Gateway2
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Chọn giao thức Point-to-Point Tunneling Protocol (PPTP)
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Tại Local Network VPN Settings bạn nhập một dãy IP để gán cho các máy VPN Client trong Static address pool ở ví dụ này là dãy số 10.0.0.1->10.0.0.200
Nếu hệ thống mạng của bạn đã có DHCP rồi thì bạn chọn tùy chọn thứ 2 là Dynamic Host Configuration Protocol (DHCP) bên dưới
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Trong Remote Site Gateway bạn nhập IP mặt ngoài của mạng đối tác trong ví dụ này này chính là 222.212.80.180
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Nhập chính xác VPN User của chính mạng mình vào cửa sổ Remote Authentication
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Tiếp tục trong cửa sổ Network Addresses bạn nhập nguyên dãy IP của mạng đối tác vào Address ranges. Nghĩa là nhập nguyên cả dãy IP của Internal Network mạng đối tác.
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Giữ nguyên giá trị mặc định trong cửa sổ Site-to-Site Network Rule
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Tùy theo bạn muốn các Gateway truy cập với thông qua các Protocol nào mà tại cửa sổ Site-to-Site Network Access Rule bạn Add chúng vào, trong này tôi Enable tất cả mọi Port nên chọn là All outbound traffic
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Màn hình sau khi hoàn tất
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Tiếp tục chọn Networks trong Configuration chọn tiếp Tab Network Rule
Bạn phải xác nhận rằng trong này xuất hiện thêm một Network Rule mới đây chính là con đường cho các truy cập từ Gateway đối tác sang Internal Network của chúng ta
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Chọn lại Firewall Policy bạn sẽ thấy xuất hiện thêm một Access Rule mới đây chính là quyền hạn đồng ý cho các truy cập từ Gateway đối tác sang Internal Network của chúng ta
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Như vậy để cho các VPN Gateway truy cập được Internal Network với nhau trong ISA Server của mỗi Gateway phải tồn tại song song cả 2 Network Rule và Access Rule.
Tại ISA Server bạn chọn Virtual Private Networks (VPN) chọn tiếp Tab VPN Clients
Mặc định khi cài đặt hoàn tất ISA Server sẽ không bật VPN Clients lên nên bạn tiếp tục chọn Enable VNP Client Access trong bước cài đặt thứ 1 để bật tính năng này.
http://www.gccom.net/blog/uploads/20...-gf-thumb3.jpg
Check vào tùy chọn Enable VPN client access
Lưu ý là giá trị trong ô Maximum number of VPN clients allowed phải nhỏ hơn dãy số IP mà ta gán cho các VPN Clients
http://www.gccom.net/blog/uploads/20...-gf-thumb3.jpg
Như vậy đến đây chúng ta đã hoàn tất cấu hình VPN Gateway to Gateway tạ mạng thứ nhất 172.16.2.0/24
2/ Cấu hình VPN Gateway tại mạng 169.254.2.0/24
Các thao tác bạn làm tương tự như đã làm tại Gateway1 (mạng 172.16.2.0/24)
Bạn nhập VPN User của mạng đối tác trong này chính là Gateway1
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Tại Local Network VPN Settings bạn nhập một dãy IP để gán cho các máy VPN Client trong Static address pool ở ví dụ này là dãy số 10.0.0.1->10.0.0.200
Nếu hệ thống mạng của bạn đã có DHCP rồi thì bạn chọn tùy chọn thứ 2 là Dynamic Host Configuration Protocol (DHCP) bên dưới
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Trong Remote Site Gateway bạn nhập IP mặt ngoài của mạng đối tác trong ví dụ này này chính là 123.23.103.190
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Nhập chính xác VPN User của chính mạng mình vào cửa sổ Remote Authentication
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Tiếp tục trong cửa sổ Network Addresses bạn nhập nguyên dãy IP của mạng đối tác vào Address ranges. Nghĩa là nhập nguyên cả dãy IP của Internal Network mạng đối tác.
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Giữ nguyên giá trị mặc định trong cửa sổ Site-to-Site Network Rule
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Tùy theo bạn muốn các Gateway truy cập với thông qua các Protocol nào mà tại cửa sổ Site-to-Site Network Access Rule bạn Add chúng vào, trong này tôi Enable tất cả mọi Port nên chọn là All outbound traffic
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Màn hình sau khi hoàn tất
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Tiếp tục chọn Networks trong Configuration chọn tiếp Tab Network Rule
Bạn phải xác nhận rằng trong này xuất hiện thêm một Network Rule mới đây chính là con đường cho các truy cập từ Gateway đối tác sang Internal Network của chúng ta
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Chọn lại Firewall Policy bạn sẽ thấy xuất hiện thêm một Access Rule mới đây chính là quyền hạn đồng ý cho các truy cập từ Gateway đối tác sang Internal Network của chúng ta
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Như vậy để cho các VPN Gateway truy cập được Internal Network với nhau trong ISA Server của mỗi Gateway phải tồn tại song song cả 2 Network Rule và Access Rule.
Tại ISA Server bạn chọn Virtual Private Networks (VPN) chọn tiếp Tab VPN Clients
Mặc định khi cài đặt hoàn tất ISA Server sẽ không bật VPN Clients lên nên bạn tiếp tục chọn Enable VNP Client Access trong bước cài đặt thứ 1 để bật tính năng này.
http://www.gccom.net/blog/uploads/20...-gf-thumb4.jpg
Check vào tùy chọn Enable VPN client access
Lưu ý là giá trị trong ô Maximum number of VPN clients allowed phải nhỏ hơn dãy số IP mà ta gán cho các VPN Clients
http://www.gccom.net/blog/uploads/20...-gf-thumb4.jpg
Như vậy đến đây chúng ta đã hoàn tất cấu hình VPN Gateway to Gateway tạ mạng thứ nhì 169.254.2.0/24
Từ máy PC04 ping thử máy PC02 thấy rất tốt
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
Truy cập thành công Folder Shared
http://www.gccom.net/blog/uploads/20...-gf-thumb1.jpg
OK mình vừa trình bày xong phần VPN Gateway to Gateway - ISA Server trong 70-351 của MCSA.


have a fun

Bai Viet 2:

http://www.docstoc.com/docs/1524811/THI%E1%BA%BET-L%E1%BA%ACP-M%C3%94-H%C3%8CNH-VPN-Gateway-Gateway


:battay: