Home > MS WINDOWS SERVER > CẤU HÌNH VPN – SSTP (SECURE SOCKET TUNNELING PROTOCOL) TRÊN WINDOWS SERVER 2012

CẤU HÌNH VPN – SSTP (SECURE SOCKET TUNNELING PROTOCOL) TRÊN WINDOWS SERVER 2012

I. GIỚI THIỆU:

Trong các doanh nghiệp, đối với những người dùng có nhu cầu kết nối từ xa để truy cập mạng nội bộ, người quản trị thường cấu hình Virtual Private Network (VPN) cho phép người dung có thể kết nối vào mạng nội bộ từ một máy Client nào đó thông qua đường truyền Internet công cộng. Kỹ thuật VPN thông thường sử dụng Point to Point Tunneling Protocol (PPTP) hoặc Layer two Tunnneling Protocol (L2TP) kết hợp IPSEC. Tuy nhiên trong trường hợp người dùng ngồi trên 1 Client thuộc một mạng nội bộ khác truy cập Internet thông qua một Firewall, Firewall này không cho phép thiết lập kết nối PPTP hoặc L2TP thì người dùng sẽ không thể kết nối VPN vào mạng doanh nghiệp. Giải pháp trong tình huống này là sử dụng Secure Socket Tunneling Protocol (SSTP).

SSTP được giới thiệu từ Windows Server 2008 cho phép thiết lập kết nối VPN thông qua kênh mã hóa SSL của HTTPS, có nghĩa là kết nối sẽ chạy port 443, trong trường hợp này có thể thông qua các firewall cho phép truy cập Web.

Trong bài viết này tôi sẽ giới thiệu kỹ thuật kết nối VPN bằng SSTP trong môi trường Windows Server 2012

II. CÁC BƯỚC TRIỂN KHAI:

Mô hình bài lab bao gồm 3 máy:

+ DC2012: Domain Controller chạy Windows Server 2012 (domain mcthub.local.

+ Router: Windows Server 2012 đã join domain.

+ Client1: Windows 8 chưa join domain

Cấu hình TCP/IP cho 3 máy như trong bảng sau:

Interface

DC2012

Router

Client

Internal

IP Address

172.16.1.10

172.16.1.1

Disable

Subnet Mask

255.255.0.0

255.255.0.0

Default Gateway

172.16.1.1

Preffered DNS

172.16.1.10

172.16.1.10

Interface

DC2012

Router

Client

External

IP Address

Disable

123.1.1.1

123.1.1.100

Subnet Mask

255.0.0.0

255.0.0.0

Default Gateway

Preffered DNS

– Tạo OU VPN. Trong OU VPN, tạo user vpn.

Nguyen Tan Duy

– Cấp quyền Remote Access cho user vpn.

Nguyen Tan Duy

* Quy trình thực hiện:

1. Cài đặt Enterprise CA

2. Tạo Certificate Template và phát hành Certificate Template

3. Xin SSTP Certificate cho VPN Server

4. Cài đặt Remote Access

5. Cấu hình VPN Client-to-Gateway

6. Cấu hình NAT Inbound

7. Download CA Certificate

8. Cấu hình Trusted Root CA trên VPN Client

9. Tạo VPN Connection

10. Kiểm tra kết nối VPN-SSTP

III. TRIỂN KHAI CHI TIẾT:

1/ Cài đặt Enterprise CA

– Tại máy DC2012, logon MCTHUB\Administrator.

– Mở Server Manager, vào menu Manage, chọn Add Roles and Features.

Nguyen Tan Duy

– Màn hình Before You Begin, nhấn Next.

– Màn hình Select installation type, chọn Role-based or feature-based installation.

Nguyen Tan Duy

– Màn hình Select destination server, bạn chọn Server cần cài đặt là DC2012.MCTHUB.LOCAL.

Nguyen Tan Duy

– Màn hình Select server roles, bạn đánh dấu chọn vào ô Active Directory Certificate Services, sau đó nhấn Next.

Nguyen Tan Duy

– Màn hình yêu cầu xác nhận cài thêm các Feature cần thiết, bạn nhấn Add Features.

Nguyen Tan Duy

– Màn hình Select features, nhấn Next.

Nguyen Tan Duy

– Màn hình Active Directory Certificate Services, nhấn Next.

Nguyen Tan Duy

– Màn hình Select roles services, bạn đánh dấu chọn vào ô Certification AuthorityCertificate Authority Web Entrollment.

Nguyen Tan Duy

– Cửa  sổ Add Roles and Features Wizard, bạn nhấn Add Features.

Nguyen Tan Duy

– Màn hình Web Server Role (IIS), bạn nhấn Next.

Nguyen Tan Duy

– Màn hình Select role services, do xin Certificate thông qua giao diện Web nên cài đặt thêm Web Services.

Nguyen Tan Duy

– Màn hình Confirm installation selections, bạn nhấn Install để tiến hành cài đặt.

Nguyen Tan Duy

– Màn hình Installation progress, kiểm tra quá trình cài đặt thành công. Bạn nhấn vào mục Configure Active Directory Certificate Services on the destination server.

Nguyen Tan Duy

– Màn hình Credentials, chấp nhận User Account dùng để cấu hình là MCTHUB/Administrator.

Nguyen Tan Duy

– Màn hình Role Services, bạn đánh dấu chọn vào ô Certification AuthorityCertification Authority Web Enrollment.

Nguyen Tan Duy

– Màn hình Setup Type, chọn loại CA là Enterprise CA.

Nguyen Tan Duy

– Màn hình CA Type, do đây là CA Server đầu tiên và duy nhất trong hệ thống nên tôi chọn Root CA.

Nguyen Tan Duy

– Màn hình Private Key, bạn chọn ô Create a new private key, sau đó nhấn Next.

Nguyen Tan Duy

– Màn hình Cryptography for CA, bạn chấp nhận thuật toán mã hoá mặc định là RSA, sau đó nhấn Next.

Nguyen Tan Duy

– Màn hình CA Name, đặt tên cho CA Server là: MCTHUB-CA, nhấn Next.

Nguyen Tan Duy

– Màn hình Validity Period, chấp nhận thời gian hoạt động của CA Server là 5 năm, nhấn Next.

Nguyen Tan Duy

– Màn hình CA Database, nhấn Next.

Nguyen Tan Duy

– Màn hình Confirmation, bạn nhấn nút Configure để tiến hành cấu hình.

Nguyen Tan Duy

– Màn hình Results, nhấn nút Close khi hoàn tất.

Nguyen Tan Duy

Sau khi cấu hình CA Server, bạn Restart máy ROUTER để máy này tự động Trust CA Server trên DC2012.

2/ Tạo Certificate Template và phát hành Certificate Template

– Vào Run, gõ MMC. Tiếp theo bạn vào menu File, chọn Add/Remove Snap-in…

Nguyen Tan Duy

– Trong cửa sổ Add or Remove Snap-in, chọn công cụ Certification Authority, chọn Add.

Nguyen Tan Duy

– Màn hình Certification Authority, chọn Local Computer. Sau đó bạn nhấn FinishOK.

Nguyen Tan Duy

– Trong cửa sổ Certification Authority, chuột phải Certificate Templates, chọn Manage.

Nguyen Tan Duy

– Trong cửa sổ Certificate Templates Console, bạn sẽ sao chép Certificate Template này thành một Certificate Template mới. Chuột phải vào IPSec, chọnDuplicate Template.

Nguyen Tan Duy

– Tại tab General, ở mục Template Display Name, bạn đặt tên cho Certificate Template mới (ở đây tôi đặt là SSTP).

Nguyen Tan Duy

– Qua tab Request Handling, đánh dấu chọn vào ô Allow private key to be exported để có thể Export Certificate để phòng trường hợp bị mất Certificate.

Nguyen Tan Duy

– Màn hình Certificate Templates, nhấn OK.

Nguyen Tan Duy

– Qua tab Subject Name, chọn Supply in the request  (cấp Certificate  cho Authenticated Users)

Nguyen Tan Duy

– Qua tab Extensions, chọn Application Policies, nhấn Edit.

Nguyen Tan Duy

– Trong cửa sổ Edit Application Policies Extension, nhấn Add.

Nguyen Tan Duy

– Trong cửa sổ Add Application Policy, chọn Server Authentication, nhấn OK.

Nguyen Tan Duy

– Trong cửa sổ Edit Application Policies Extension, chọn Server Authentication, nhấn OK.

Nguyen Tan Duy

– Quay lại màn hình Certification Authority,tiến hành phát hành Certificate, chuột phải Certificate Templates, chọn New, sau đó chọn Certificate Templates to Issue.

Nguyen Tan Duy

– Cửa sổ Enable Certificate Templates, chọn SSTP Templates, nhấn OK.

Nguyen Tan Duy

– Kiểm tra SSTP Templates đã được phát hành trong Certification Authority.

Nguyen Tan Duy

3/ Xin SSTP Certificate cho VPN Server

– Tại máy Router, vào Run, gõ: MMC, tạo một Console để quản lý Certificate cho Local Computer.

Nguyen Tan Duy

– Cửa sổ Console1, vào menu File, chọn Add/Remove Snap-in.

Nguyen Tan Duy

– Chọn Certificates, nhấn Add.

Nguyen Tan Duy

– Màn hình Certificate Snap-in, chọn Computer Account, nhấn Next.

Nguyen Tan Duy

– Màn hình Select Computer, chọn Local Computer.

Nguyen Tan Duy

– Cuối cùng bạn nhấn FinishOK.

Nguyen Tan Duy

– Trong cửa sổ Console, chuột phải Personal, chọn All Tasks, chọn Request New Certificate.

Nguyen Tan Duy

– Màn hình Before You Begin, nhấn Next.

Nguyen Tan Duy

– Màn hình Select Certificate Enrollment Policy, nhấn Next.

Nguyen Tan Duy

– Màn hình Request Certificates, đánh dấu chọn vào ô SSTP, chọn “More information is required to enroll….”

Nguyen Tan Duy

– Màn hình Certificate Properties, trong khung Subject Name, bạn chọn các thông số sau:

+ Type: Common Name

+ Value: VPN.MCTHUB.COM (Lưu ý trên thực tế bạn cần có một Internet Domain Name, ví dụ MCTHUB.COM và đã tạo Host tên tùy ý (ví dụ VPN) trỏ về IP Public của VPN Server.

– Sau đó nhấn Add, chọn OK.

– Trong khung Type, chọn Common Name.

Nguyen Tan Duy

– Trong khung Value nhập tên VPN.MCTHUB.COM và nhấn nút Add.

Nguyen Tan Duy

– Nhấn OK để xác nhận thông tin Certificate.

Nguyen Tan Duy

– Quay lại cửa sổ Request Certificates, bạn nhấn vào nút Enroll.

Nguyen Tan Duy

– Kiểm tra kết quả xin Certificate thành công và nhấn nút Finish.

Nguyen Tan Duy

– Trong cửa sổ Console1, vào Personal, chọn Certificate, double click VPN.MCTHUB.COM.

Nguyen Tan Duy

– Kiểm tra Certificate vừa xin cho VPN Server.

Nguyen Tan Duy

4/ Cài đặt Remote Access.

– Tại máy Router, mở Server Manager. Vào menu Manage, chọn Add Roles and Features.

Nguyen Tan Duy

– Màn hình Before You Begin, nhấn Next.

Nguyen Tan Duy

– Màn hình Select installation type, chọn Role-based or feature-based installation

Nguyen Tan Duy

– Màn hình Select destination server, bạn chọn Server cần cài đặt là DC2012.MCTHUB.LOCAL

Nguyen Tan Duy

– Màn hình Select server roles, đánh dấu chọn vào ô Remote Access, nhấn Next.

Nguyen Tan Duy

– Màn hình yêu cầu xác nhận cài thêm các Feature cần thiết, bạn nhấn Add Features.

Nguyen Tan Duy

– Màn hình Select features, nhấn Next.

Nguyen Tan Duy

– Màn hình Remote Access, nhấn Next.

Nguyen Tan Duy

– Màn hình Select role services, đánh dấu chọn vào ô Routing, nhấn Next.

Nguyen Tan Duy

– Màn hình Confirm installation selections, đánh dấu chọn vào ô Restart the destination server automaticcally, sau đó bạn nhấn Install.

Nguyen Tan Duy

– Nhấn Close khi quá trình cài đặt hoàn tất.

Nguyen Tan Duy

5/ Cấu hình VPN Client-to-Gateway

– Tại máy Router, mở Routing and Remote Access từ Server Manager, chuột phải Router, chọn Configure and Enable Routing and Remote Access.

Nguyen Tan Duy

– Màn hình Configuration, bạn chọn Custom Configuration.

Nguyen Tan Duy

– Màn hình Custom Configuration, bạn đánh dấu chọn vào 3 ô: VPN Server, NAT, Lan Routing.

Nguyen Tan Duy

– Màn hình Completing the Routing and Remote Access Server Setup Wizard, bạn nhấn Finish.

Nguyen Tan Duy

– Màn hình Start the service, bạn nhấn nút Start service.

Nguyen Tan Duy

– Chuột phải Router, chọn Properties.

Nguyen Tan Duy

– Qua tab Security, mục SSL Certificate Binding, bung ra chọn Certificate VPN.MCTHUB.COM

Nguyen Tan Duy

– Cửa sổ Routing and Remote Access, chọn Yes.

Nguyen Tan Duy

– Qua tab IPv4, chọn Static Address Pool, nhấn Add.

Nguyen Tan Duy

– Khai báo Range IP cấp cho VPN Client, nhấn OK.

Nguyen Tan Duy

6/ Cấu hình NAT Inbound

Do Client muốn kết nối phải Trust CA Server, nếu Client thuộc mạng nội bộ có thể tự động Trust CA Server. Trong trường hợp Client  bên ngoài, muốn Trust CA Server cần tải Certificate của CA Server để Import vào Trusted Root Certification Authority. Để Client có thể truy cập vào CA Server để tải Certificate, bạn cần NAT Inbound port 80 vào CA Server.

– Tại máy Router, mở Routing and Remote Access từ Server Manager. Mở rộng mục Router, chọn IPv4, chuột phải NAT, chọn New Interface…

Nguyen Tan Duy

– Cửa sổ New Interface for IPNAT, chọn Card External, nhấn OK.

Nguyen Tan Duy

– Màn hình Network Address Translation Properties, tab NAT, chọn Public interface connected to the Internet, đánh dấu chọn vào ô Enable NAT on this interface.

Nguyen Tan Duy

– Qua tab Services and Ports, bạn chọn vào ô Web Server (HTTP). Sau đó nhấn nút Edit.

Nguyen Tan Duy

– Cửa sổ Edit Services, mục Private addres, bạn nhập vào IP 172.16.1.10, sau đó nhấn OK.

Nguyen Tan Duy

– Cuối cùng bạn nhấn ApplyOK.

Nguyen Tan Duy

7/ DownLoad CA Certificate

– Tại máy Client1, mở Internet Explore, truy cập http://10.10.0.1/certsrv.

– Khai báo User/Pass bằng quyền user VPN, Add địa chỉ http://10.10.0.1 vào Trusted Site.

Nguyen Tan Duy

– Cửa sổ Welcome, chọn Download a CA certificate, certificate chain, or CRL.

Nguyen Tan Duy

– Cửa sổ Download a CA Certificate, Certificate Chain, or CRL, chọn Download CA Certificate.

Nguyen Tan Duy

– Hộp thoại Save As, lưu file certnew.cer vào ổ đĩa C:\, chọn Save.

Nguyen Tan Duy

– Kiểm tra trong ổ C:\ có certificate vừa download.

Nguyen Tan Duy

8/ Cấu hình Trusted Root CA trên VPN Client

– Tại máy Client1, vào Run, gõ MMC.

Nguyen Tan Duy

– Trong cửa sổ Console1, vào menu File, chọn Add/Remove Snap-in.

Nguyen Tan Duy

– Trong cửa sổ Add or Remove Snap-in, chọn Certificates, nhấn Add, chọn OK.

Nguyen Tan Duy

– Cửa sổ Certificates Snap-in, chọn Computer Account, nhấn Next.

Nguyen Tan Duy

– Cửa sổ Select Computer, chọn Local Computer.

Nguyen Tan Duy

– Bạn nhấn OK.

Nguyen Tan Duy

– Trong cửa sổ Console1, bung Trusted Root Certificate Authority, chuột phải Certificates, chọn All Tasks, chọn Import.

Nguyen Tan Duy

– Hộp thoại Welcome to the Certificate Import Wizard, nhấn Next.

Nguyen Tan Duy

– Hộp thoại File to Import, chọn Browse, trỏ đường dẫn đến C:\certnew.cer, nhấn Next.

Nguyen Tan Duy

-  Hộp thoại Certificate Store, giữ nguyên cấu hình mặc định, nhấn Next.

Nguyen Tan Duy

– Hộp thoại Completing the Certificate Import Wizard, nhấn Finish.

Nguyen Tan Duy

– Quan sát thấy certificate vừa được import.

Nguyen Tan Duy

9/ Tạo VPN Connection

Trong môi trường thực tế, khi Client kết nối Internet sẽ phân giải được tên VPN.MCTHUB.COM ra IP Public của VPN Server. Để giả lập môi trường này, bạn cần khai báo file HOSTS để Client có thể phân giải tên VPN.MCTHUB.COM

– Tại máy Client1, mở Windows Explore, vào đường dẫn C:\ Windows\System32\Driver\etc, mở file Hosts

Nguyen Tan Duy

– Bạn nhập thêm nội dung sau:

123.1.1.1    VPN.MCTHUB.COM

Nguyen Tan Duy

Tới bước này ta cần hiểu thêm về Certificate Revocation, mỗi một Certificate được tạo ra đều có một khoảng thời gian biệu lực (validity period) nhất định và thường từ 1 đến 2 năm. Khi vượt ra khỏi khoảng thời gian này thì nó sẽ hết hạn và không có giá trị nữa. Thông tin này được chứa trong bản thân Certificate gồm giá trị valid from và valid to, nên cần được kiểm tra trước khi quyết định có nên tiến hành giao dịch.

Certificate Revocation List là danh sách các Certificate bị thu hồi và không còn được tin dùng nữa. Trong quá trình giao dịch giữa Server và Client, thì Client sẽ tiến hành download Certificate Revocation List được publish trên Server và tiến hành import, ở đây tôi sẽ chỉnh Registry để Client không cần kiểm tra CRL khi thực hiện kết nối.

– Vào Run, gõ Regedit.

Nguyen Tan Duy

-  Trong cửa sổ Registry Editor, bạn tìm đến khóa sau Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSTPSVC\Parameters. Chuột phảiParameters, chọn New, sau đó chọn DWORD (32-bit) Value.

Nguyen Tan Duy

– Bạn đặt tên cho DWORD là NoCertRevocationCheck, chuột phải DWORD vừa tạo chọn Modify.

Nguyen Tan Duy

– Cửa sổ Edit DWORD (32-bit) Value, ở khung Value data, bạn sửa lại giá trị là 1

Nguyen Tan Duy

– Mở Network and Sharing Center, chọn Setup a new connection or network.

Nguyen Tan Duy

– Hộp thoại Choose a connection options, chọn Connect to a workplace, nhấn Next.

Nguyen Tan Duy

– Hộp thoại How to you want to connect, chọn Use my Internet connection (VPN).

Nguyen Tan Duy

-  Hộp thoại Do you want to setup an Internet connection before continuing, chọn I’ll setup an Internet Connection later.

Nguyen Tan Duy

-  Hộp thoại Type the internet address to connect to, nhập User Account được phép kết nối (trong bài lab này là VPN.MCTHUB.LOCAL).

Nguyen Tan Duy

– Trong cửa sổ Network Sharing Center, bạn chọn Change Adapter Settings.

Nguyen Tan Duy

-  Cửa sổ Network Connections, chuột phải VPN Connection, chọn Properties.

Nguyen Tan Duy

-  Qua tab Security, type of VPN: Serure Socket Tunneling Protocol (SSTP), kiểu kết nối VPN SSTP .

Nguyen Tan Duy

– Để kết nối VPN, bạn chuột phải lên VPN Connections, chọn Connect / Disconnect.

Nguyen Tan Duy

– Cửa sổ Networks, trong mục MCTHUB bạn chọn Connect để tiến hành kết nối.

Nguyen Tan Duy

-  Trong cửa sổ Network Authentication, khai báo Username và Password chứng thực.

Nguyen Tan Duy

-  Kiểm tra Connect VPN thành công.

Nguyen Tan Duy

– Kiểm tra nhận được IP và sử dụng kết nối là Protocol SSTP do VPN Server cung cấp.

Nguyen Tan Duy

Nguyen Tan Duy

-  Truy cập địa chỉ \\172.16.1.10.

Nguyen Tan Duy

– Kiểm tra truy cập thành công hệ thống mạng nội bộ bên trong.

Nguyen Tan Duy

Advertisements
  1. No comments yet.
  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: