Phuong MSP

CẤU HÌNH SSTP VPN SERVER VÀ ISA SERVER

Normal 0 false false false MicrosoftInternetExplorer4

Normal 0 false false false MicrosoftInternetExplorer4 Normal 0 false false false MicrosoftInternetExplorer4

Windows Server 2008 tích hợp giao thức SSTP VPN. Cơ bản, SSTP, Secure Socket Tunnel Protocol, là PPP (Point-To-Point Protocol – Giao thức liên kết điểm) trên SSL (Secure Sockets Layer). SSTP cho phép người dùng kết nối tới máy chủ VPN qua cổng 443 của TCP, cũng giống như những kết nối SSL khác, và nó làm việc với những Web Proxy chưa thẩm định quyền, do đó dù điểm truy cập sử dụng một hệ thống tường lửa ISA cho truy cập ngoài thì những kết nối SSTP sẽ vẫn hoạt động bình thường.

Trong bài viết này chúng ta sẽ cấu hình máy chủ SSTP VPN và cấu hình ISA Firewall để cho phép máy trạm SSTP VPN kết nối trở lại máy chủ SSTP VPN. ISA Firewall sẽ được cấu hình với hai Publishing Rule.

• một Server Publishing Rule cho phép kết nối trở lại máy chủ SSTP
• một Web Publishing Rule cho phép thực hiện kết nối trở lại điểm phân phối CRL (CDP).

Trước tiên chúng ta sẽ cấu hình hệ thống mạng theo hình này:

Chúng ta cần chú ý hai kết nối dữ liệu. Đầu tiên, một kết nối SSTP cần phải thực hiện qua ISA Firewall sẽ kết thúc tại máy chủ SSTP SSL VPN. Kết nối thứ hai cần thực hiện hai bước truyền qua hệ thống mạng (bước đầu tiên là một kết nối HTTP thực hiện qua ISA Firewall, và bước thứ hai được thực hiện qua cổng nối SSL VPN tới CDP). Để hỗ trợ tiến trình này chúng ta cần cấu hình cổng nối SSL VPN trở thành một máy chủ NAT thực hiện đảo chiều NAT để cho phép truy cập tới CDP phía sau máy chủ VPN.
Lưu ý, máy trạm SSTP VPN phải sử dụng phiên bản Windows Vista SP1. Phiên bản Vista RTM không hỗ trợ SSTP.

Trong ví dụ này, ISA Firewall không phải là một thành viên của miền vì thành viên miền không cần thiết trong trường hợp này. Nếu muốn kết nạp ISA Firewall làm thành viên miền chúng ta sẽ phải cấu hình ISA Firewall sử dụng một router phía sau giao tiếp nội bộ của ISA Frirewall vì giao tiếp nội bộ miền không thực hiện với các thiết bị NAT trong kết nối này. Router này sẽ được đặt cùng với máy chủ VPN, do đó giao tiếp ngoài và giao tiếp nội bộ sẽ xuất hiện trên những ID mạng phản chiếu những giao tiếp này trên hệ thống cổng nối SSTP VPN.
Cổng nối SSTP VPN là một thành viên miền do đó chúng ta có thể tận dụng được quá trình thẩm định quyền của Windows. Nếu không muốn cổng nối SSTP VPN là một thành viên miền, chúng ta có thể cài đặt một Network Policy Server trên mạng tập thể và cấu hình máy chủ VPN sử dụng nó để thẩm định quyền và tính toán (máy chủ Network Policy Server trong Windows Server 2008 thay thế cho máy chủ ISA trong Windows Server 2003).
Máy tính CDP trên mạng nội bộ là một Domain Controller cho miền msfirewall.org. Những máy chủ chức năng được cài đặt trên máy tính này bao gồm Active Directory Certificate Services, DHCP Server, DNS Server, Active Directory Domain Services, và tính năng WINS Server.
Chúng ta cần phải thực hiện các bước sau:

• Cài đặt IIS trên máy chủ VPN.
• Yêu cầu một chứng nhận hệ thống cho máy chủ VPN sử dụng IIS Certificate Request Wizard.
• Cài đặt máy chủ chức năng RRAS trên máy chủ VPN. 
• Kích hoạt máy chủ RRAS rồi cấu hình nó trở thành một máy chủ NAT và VPN. 
• Cấu hình máy chủ NAT xuất bản CRL. 
• Cấu hình User Account cho phép các kết nối dial-up. 
• Cấu hình IIS trên Certificate Server cho phép các kết nối HTTP cho thư mục CRL. 
• Cấu hình ISA Firewall với một máy chủ PPTP VPN, máy chủ SSL VPN và Web Publishing Rule của CDP. 
• Cấu hình file HOSTS trên máy trạm VPN. 
• Sử dụng PPTP để kết nối tới máy chủ VPN. 
• Tạo một CA Certificate từ Enterprise CA. 
• Cấu hình ISA Firewall với một Publishing Rule của máy chủ SSL VPN và CDP. 
• Cấu hình máy trạm sử dụng SSTP và kết nối tới máy chủ VPN sử dụng SSTP.

Normal 0 false false false MicrosoftInternetExplorer4

Bài Lab cấu hình từng bước cụ thể các bạn xem thêm trong file đính kèm.

Kết Luận:

Normal 0 false false false MicrosoftInternetExplorer4 Normal 0 false false false MicrosoftInternetExplorer4 Normal 0 false false false MicrosoftInternetExplorer4 Trong phần này chúng ta đã tìm hiểu qua một số nhược điểm của truy cập VPN từ xa tại các điểm công cộng và phương pháp giao thức SSTP giúp khắc phục những vấn đề này bằng cách cho phép các kết nối VPN thực hiện qua một kết nối SSL qua TCP cổng 443 được cho phép qua mọi tường lửa trong những môi trường này. Ngoài ra, chúng ta cũng nắm được các bước cấu hình cụ thể SSTP VPN Server và ISA Firewall.

Normal 0 false false false MicrosoftInternetExplorer4

(Hết)

Tài Liệu Tham Khảo:

1. www.3c.com.vn

Kim Phuong Tran

Normal 0 false false false MicrosoftInternetExplorer4