Giải pháp Virtual Private Network (VPN) Windows Server 2019
Virtual Private Network là giải pháp kết nối cho mạng riêng ảo (viết tắt VPN). VPN có thể được định nghĩa như là một dịch vụ mạng ảo được triển khai trên cơ sở hạ tầng của hệ thống mạng công cộng. VPN được dùng để kết nối các văn phòng chi nhánh, người dùng lưu động từ xa kết nối về văn phòng chính.
VPN (Virtual Private Network) là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí. Cách đây vài năm, để truy cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access quay số dựa trên mạng điện thoại. Phương thức này vừa tốn kém vừa không an toàn.
VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu. Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một Header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng Internet và đến được máy nhận, các gọi tin được truyền qua các các đường ống riêng được gọi là Tunnel.
VPN Server
- VPN Server là một máy chủ vật lý hoặc máy ảo (VM) được cài đặt và cấu hình dịch vụ VPN server. Tuy nhiên, VPN server thường có nhiều Port giao tiếp logic và vật lý hơn. VPN server cung cấp kết nối và dịch vụ VPN cho các máy khách VPN từ xa và/hoặc máy khách VPN cục bộ.
- VPN Client là thiết bị vật lý có nhu cầu kết nối vào hệ thống VPN thông qua đường truyền Internet. Người dùng có thể sử kết nối VPN thông qua ứng dụng mặc định trên hệ điều hành hoặc ứng dụng thứ 3 từ nhà cung cấp.
Mô hình triển khai VPN
Có 2 mô hình cơ bản khi triển khai dịch vụ VPN: Site-to-Site và Client to site (Client to Gateway)
- Site to site VPN là mô hình dùng để kết nối các hệ thống mạng ở các nơi khác nhau tạo thành một hệ thống mạng thống nhất. Ở loại kết nối này thì việc chứng thực ban đầu phụ thuộc vào thiết bị đầu cuối ở các Site, các thiết bị này hoạt động như Gateway và đây là nơi đặt nhiều chính sách bảo mật nhằm truyền dữ liệu một cách an toàn giữa các Site.
- Client to site cho phép truy cập bất cứ lúc nào bằng PC, Laptop, mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức. Người dùng ở xa sử dụng các phần mềm VPN để truy cập vào mạng Intranet của công ty thông qua gateway. Client to gateway được triển khai cho nhân viên có nhu cầu làm việc lưu động hay làm việc ở nhà kết nối vào mạng doanh nghiệp một cách an toàn.
Giải pháp VPN tiết kiệm chi phí doanh nghiệp
- Chi phí đầu tư xây dựng và thiết lập triển khai giải pháp VPN tương đối thấp so với các giải pháp kết nối khác
- Tính linh hoạt : VPN xóa bỏ mọi rào cản về vị trí địa lý, kết nối các mạng với nhau thông qua môi trường Internet.
- Tính bảo mật : Các dữ liệu quan trọng sẽ được che giấu đối với những người được phép truy cập VPN . VPN sử dụng các giao thức, thuật toán mã hóa các phương pháp chứng thực để bảo mật dữ liệu trong quá trình truyền tin.
- Bảo mật về địa chỉ IP : Các thông tin được gửi đi trên VPN đã được mã hóa, địa chỉ IP bên trong mạng riêng được che giấu, và chỉ sử dụng các IP ở bên ngoài Internet.
- Giải pháp VPN phụ thuộc nhiều vào chất lượng và tốc độ truyền tải môi trường mạng Internet
Một số giao thức sử dụng trong dịch vụ VPN
Giao thức PPTP
Được phát triển bởi nhóm thành viên được ủng hộ bởi Microsoft Corporation, Point-to-Point Tunneling (PPTP) tạo hệ thống riêng ảo dựa trên kết nói quay số (dial-up) còn gọi là VPN.
Và kể từ khi nó xuất hiện PPTP được sử dụng rộng rãi như là một chuẩn protocol VPNs. cũng là VPN protocol đầu tiê được hỗ trợ bởi Windows, PPTP hoạt động dựa vào các chuẩn xác thực như MS_CHAP v2 là chuẩn phổ biến nhất hiện nay.
Phương thức đóng gói PPTP đóng gói những frame PPP (Point-to-Point Protocol – PPP) vào trong một IP datagrams để truyền thông xuyên qua mạng internet trên nền IP. Kết nối TCP (cổng 1723) được sử dụng để duy trì kênh thông tin và GRE (Protocol 47) thì dùng cho việc đóng gói những frame PPP cho dữ liệu trong kênh. User name và password sử dụng để xác thực.
Ưu điểm của PTTP là khả năng thiết lập dễ dàng và không tốn nhiều tài nguyên hệ thống. Và đây là lý do mà nhiều doanh nghiệp lựa chọn VPN này như là giải pháp.
Mặc dù sử dụng chuẩn mã hóa 128-bit, nhưng PPTP chỉ có vài lỗ hỏng nhỏ trong đó đáng lưu ý là khả năng giải mã MS-CHAP v2 Authentication là lỗi nghiêm trọng nhất. Vì vậy, PPTP có thể bị bẻ khóa trong vòn 2 đây.
Mặc dù lổ hổng đã được khăc phục bởi Microsoft nhưng người khổng lồ công nghệ này cũng khuyến nghị người dùng sử dụng các giao thức thay thế như SSTP hoặc L2TP.
Do khả năng bảo mật chưa cao nên không quá bất ngờ khi giải mã các gói dữ liệu PPTP là công việc hằng ngày tai NSA. tuy vậy, rủi ro đáng ngại hơn còn nằm ở chỗ là khả năng có thể giải mã hàng loạt các dữ liệu cũ hơn được mã hóa bởi PPTP khi nhiều chuyên gia khuyến nghị đây là giao thức bảo mật.
- Kết nối và truyền tải nhanh.
- Hỗ trợ kết nối từ nhiều nền tảng HĐH
- Thiết lập cấu hình dễ dàng.
Giao thức L2TP và L2TP/IPsec
Layer 2 Tunnel Protocol không giống các VPN protocol khác khi nó không mã hóa các dữ liệu đi qua nó mà phải nhờ vào một bộ protocol có tên là IPsec để mã hóa dữ liệu trước khi gửi.
L2TP/IPsec hoạt động trên Port 1702, 500, 4500. Tất cả thiết bị tương thích và hệ điều hành đều được cài đặt sẵn chuẩn L2TP/IPsec. Quá trình thiết lập cũng dễ dàng như PPTP nhưng giao thức này lại sử dụng cổng UDP port 500, nên thường bị tường lửa NAT firewall trong hệ thống chặn lại.
Dó đó, bạn sẽ cần chuyên tiếp cổng trong trường hợp này. L2TP/IPsec sử dụng User name và password sử dụng để chứng thực kênh kết nối.
Ngoài ra, do LT29/IPsec đóng gói tới 2 lần dữ liệu nên được đánh giá là không hiệu quả bằng SSL và kéo theo tốc độ chậm hơn so với các VPN protocols khác.
Giao thức SSTP
SSTP là một công nghệ độc quyền ban đầu được phát triển bởi Microsoft. Nó tượng trưng cho an toàn giao thức socket Tunneling và lần đầu tiên được giới thiệu trong Microsoft Vista.
Bây giờ, bạn có thể dễ dàng kết nối với một SSTP VPN trên các phiên bản phổ biến của Windows (và Linux). Thiết lập SSTP VPN Ubuntu cho Windows không phải là quá phức tạp là tốt. Trong hướng dẫn này, chúng tôi sẽ dạy bạn làm thế nào để thiết lập SSTP VPN MikroTik và so sánh nó với các giao thức phổ biến khác là tốt.
Secure Socket Tunneling Protocol là một giao thức VPN sử dụng rộng rãi, có thể được sử dụng để tạo VPN của riêng bạn. Công nghệ này được phát triển bởi Microsoft và có thể được triển khai với các thiết bị Router
SSTP sử dụng Port 443, kết nối bằng SSL. Do đó, nó có thể giải quyết vấn đề NAT firewall và Proxy. Các SSTP VPN sử dụng chứng chỉ xác thực chuyên dụng và một mã hóa 2048-bit, SSTP nâng cao bảo mật hơn cho giải pháp VPN.
Thay vì IPSec, nó hỗ trợ truyền SSL. Điều này cho phép Roaming thay vì chỉ truyền point-to-point của dữ liệu. Hạn chế duy nhất của SSTP VPN là nó không cung cấp hỗ trợ cho các thiết bị di động như Android và iPhone.
Giao tức IKEv2
Reconnect VPN
IKEv2 là viết tắc của cụm từ tiếng anh Internet Key Exchange Version 2 một giao thức dựa theo công nghệ VPN IPsec, được phát triển bởi Cisco và Microsoft. Giao thức này hiện xuất hiện trên Windows 7 trở đi cũng như Linux và các nền tảng khác bao gồm cả Blackberry.
Giao thức này còn có tên khác là VPN Connect theo cách gọi của Microsoft Corporation. IKEv2 có tác dụng tạo lại kết nối VPN một cách tự động khi kết nối bị ngắt tạm thời.
IKEv2 còn được biêt đến với tên là Mobility and Multi-homing protocol là một chuẩn hóa giúp thay đổi mạng một cách dễ dàng. Ngoài ra, nó cũng khá hữu dụng với thiết bị Blackberry vì nó là số ít giao thức hỗ trợ cho nền tảng này. Mặc dù hỗ trợ ít hệ điều hành hơn nếu so với IPsec nhưng IKEv2 lại không thua kém về tính ổn định, bảo mật và hiệu suất.
Cực kỳ bảo mật-Hỗ trợ nhiều mật mã như 3DES, AES, AES 256. Ổn định hơn đặc biệt khi gặp phải trình trạng rớt mạng (Wifi) hoặc chuyển mạng. Tốc độ nhanh hơn so với L2TP, PPTP and SSTP.
Cài đặt triển khai dịch vụ VPN (Client to Gateway)
1- Cấu hình Địa chỉ IP
Trên SRV1 cấu hình IP Address:
Trên SRV2 cấu hình IP Address: (2 NIC)
NIC1: Internal
NIC2: Internet (WAN)
Trên Client PC01 cấu hình IP Address:
2- Trên SRV2 cài đặt dịch vụ Remote Access
Vào Server Manager, chọn Add roles and feature
Giao diện Before you begin. Next 3 lần
Cửa sổ Select server roles, đánh dấu chọn Remote Access, và chọn Next 3 lần
Tại giao diện Select role services, chọn DirectAccess and VPN (RAS), chọn Add
Tại giao diện Confirm installation selections, chọn Install
Quá trình cài đặt đang thực hiện. Sau khi hoàn tất chọn Close
3- Trên SRV2 cấu hình VPN Server
Trên SVR2, vào Server Manager, Mục Tools, Chọn Routing and Remote Access
Giao diện Routing and Remote Access, R_Click SVR2, chọn Configure and Enable Routing
and Remote Access
Giao diện Welcome to the Routing and Remote Access…, chọn Next
Giao diện Configuration, chọn Custom configuration, và chọn Next
Giao diện Custom Configuration chọn:
- VPN access,
- Demand-dial connections,
- LAN Routing
Chọn Next, và chọn Finish
Start the service, chọn Start service
Giao diện Routing and Remote Access, R_Click SVR2, chọn Properties
SVR2 (local) Properties, qua tab IPv4, chọn Static address pool, và chọn Add
New IPv4 Address Range, nhập thông số như hình bên dưới, và chọn OK
4- Cấu hình Network Access Permission
Tại SRV1. Vào Server Manager > Tools, chọn Active Directory Users and Computers
R_Click vào User (trong bài Lab kd1) có nhu cầu kết nối VPN. Chọn Propertives. Tab Dial-in chọn Allow access. Chọn OK
5- Tạo và cấu hình VPN Connections
Trên PC1 vào Start menu, chọn biểu tượng Setttings. Chọn Network & Internet
Giao diện Settings, chọn VPN, và chọn Add a VPN Connection
Tại giao diện Add a VPN connection, nhập thông tin như hình bên dưới và chọn Save
Kiểm tra kết nối VPN trên PC01
Đảm bảo trạng thái kết nối: Connected
Kiểm tra IP Address trên PC01
PC01 được VPN Server cấp thêm địa chỉ IP: 10.10.0.2
Kiểm tra kết nối đến dịch vụ File Server trong hệ thống mạng Adatum từ PC01
Đảm bảo truy cập File Server thành công
