Quản trị mạng – Trong phần một của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn các kiến thức tổng quan về cấu hình VPN trong TMG 2010.
Nhiều năm qua ISA và sau đó là máy chủ TMG VPN đã là người bạn thân thiết của các quản trị viên bất cứ khi nào họ rời văn phòng mình. Với ISA 2004, Microsoft đã có một thành công thực sự khi nói đến máy chủ VPN của họ. ISA VPN server là một giải pháp VPN truy cập từ xa mạnh mẽ và dễ dàng cấu hình. Những gì các bạn có thể cảm thấy thích nhất về ISA VPN server vì nó là một trong những giải pháp an toàn nhất trên thị trường. Khi nó đến truy cập từ xa, vấn đề bảo mật của nó là hoàn toàn đảm bảo.
Mặc dù vậy cần phải thừa nhận rằng khi cấu hình DirectAccess của mình được thiết lập và chạy, các bạn sẽ không sử dụng VPN nhiều. Tuy nhiên sẽ có nhiều lần ai đó cần sử dụng máy tính mà không có DirectAccess, vì vậy chúng ta vẫn phụ thuộc vào truy cập VPN để vào mạng của mình. Đó là lý do tại sao chúng ta vẫn cần có máy chủ TMG VPN trong văn phòng.
Trong loạt bài về máy chủ TMG VPN này, chúng tôi sẽ bắt đầu bằng giới thiệu tổng quan về cấu hình VPN, sau đó đi vào một số vấn đề cụ thể để kích hoạt sự truy cập L2TP/IPsec và SSTP. Nếu bạn hoàn toàn cảm thấy mới mẻ với ISA/TMG, thì phần này sẽ cung cấp cho bạn những kiến thức cơ bản về những gì đang diễn ra.
Chúng ta hãy bắt đầu bằng cách mở giao diện TMG firewall và kích nút Remote Access Policy (VPN) trong phần panel bên trái. Trong phần panel bên phải, trong danh sách VPN Clients Tasks, kích liên kết Enable VPN Client Access, như thể hiện trong hình bên dưới.
Hình 1
Nếu là một quản trị viên ISA VPN có kinh nghiệm thì chắc chắn bạn sẽ nhận ra hộp thoại này. Kích OK trong hộp thoại này và sửa vấn đề.
Hình 2
Trong phần panel bên phải của giao diện điều khiển, kích liên kết Define Address Assignments, xem thể hiện như hình bên dưới.
Hình 3
Trong hộp thoại Remote Access Policy (VPN) Properties, kích tab Address Assignment. Chọn tùy chọn Dynamic Host Configuration Protocol (DHCP). Thao tác này sẽ cấu hình tường lửa TMG để thu được các địa chỉ IP cho các máy khách VPN (và adapter RAS của chính nó) từ máy chủ DHCP. Lưu ý rằng chỉ thu được các địa chỉ IP từ máy chủ VPN. Bạn sẽ không có các tùy chọn DHCP. Để cung cấp các tùy chọn DHCP đến các máy khách VPN, bạn cần cấu hình máy chủ TMG VPN làm DHCP relay. Chúng tôi sẽ giới thiệu về cách thực hiện này trong một phần khác.
Lưu ý danh sách sổ xuống Use the following network to obtain DHCP, DNS and WINS services. Danh sách này gồm có tên của NIC đã được cài đặt trên TMG firewall. TMG firewall sẽ sử dụng các thiết lập DNS và các WINS trên NIC mà bạn chọn nhằm cung cấp các dịch vụ này cho máy khách VPN. Mặc dù vậy, nếu muốn tùy chỉnh cấu hình, bạn có thể kích nút Advanced.
Hình 4
Lúc này bạn sẽ thấy xuất hiện hộp thoại Name Resolution. Thiết lập mặc định là Obtain DNS server addresses using DHCP configuration. Mặc dù vậy, bạn có thể chọn các tùy chọn Use the following DNS server addresses và Use the following WINS server addresses để sử dụng các địa chỉ không có trong cấu hình trên các NIC trên TMG firewall.
Hình 5
Kích OK, sau đó kích Apply ở phía trên trong panel ở giữa để áp dụng những thay đổi cho Firewall Policy.
Lưu ý rằng vấn đề đánh địa chỉ cần được xử lý, vì vậy kích liên kết Enable VPN Client Access trong phần panel bên phải của giao diện điều khiển.
Hình 6
Kích Apply ở phía trên trong phần panel giữa để lưu các thay đổi đối với Firewall Policy.
Xem tiếp trang 2
Như được đề cập từ trước, TMG firewall sẽ thu được địa chỉ IP từ DHCP server. Đây là cách nó làm việc: TMG firewall không thu được các địa chỉ này tại một thời điểm mà thay vào đó, nó yêu cầu các địa chỉ IP trong các nhóm 10. Rõ ràng bạn cần phải có một DHCP server trên mạng để thực hiện công việc này. Chúng tôi đã cài đặt một DHCP server trên domain controller trong mạng thử nghiệm của mình. Khi kiểm tra giao diện điều khiển DHCP, bạn sẽ thấy TMG firewall đã “chộp” được 10 địa chỉ IP từ DHCP server, xem thể hiện trong hình bên dưới.
Hình 7
Kích liên kết Configure VPN Client Access trong phần panel bên phải của giao diện.
Hình 8
Trong hộp thoại VPN Clients Properties, trong tab General, bạn sẽ thấy hộp kiểm Enable VPN client access đã được tích và Maximum number of VPN clients allowed được thiết lập là 100. Với Standard Edition, bạn sẽ bị hạn chế ở 1000 kết nối, với Enterprise Edition bạn sẽ không bị hạn chế (có thể chỉ bị hạn chế về phần cứng và mạng hỗ trợ).
Hình 9
Kích tab Groups. Ở đây bạn có thể cấu hình thông qua Active Directory nhóm người dùng nào có thể kết nối đến VPN server. Bạn chọn các nhóm bằng cách sử dụng nút Add. Các tài khoản User thuộc về các nhóm miền này cần phải được cấu hình truy cập VPN trong các tùy chọn tài khoản “dial-in” được thiết lập để kiểm soát sự truy cập thông qua chính sách. Điều này được thiết lập mặc định cho các miền của Windows Server 2008, chính vì vậy chúng ta không cần thực hiện bất cứ thứ gì trong Active Directory để bảo đảm cho nó làm việc. Tuy nhiên nếu sử dụng Windows Server 2003, bạn nên kiểm tra các thiết lập đó.
Hình 10
Khi kích nút Add, hộp thoại Select Groups sẽ xuất hiện. Trong phần From this location, bảo đảm rằng bạn đã chọn miền. Mặc định sẽ là máy tính nội bộ, và bạn không cần phải chọn cho điều đó. Trong ví dụ này, chúng tôi đã chọn miền msfirewall.org và cho phép tất cả người dùng trong miền có thể kết nối đến VPN, vì vậy sẽ phải nhập Domain Users trong hộp văn bản Enter the object names to select. Kích OK để lưu các thay đổi.
Hình 11
Lúc này bạn có thể thấy nhóm xuất hiện trong danh sách trên tab Groups, như thể hiện trong hình bên dưới.
Hình 12
Kích tab Protocols. Ở đây bạn có thể chọn giao thức VPN nào có thể được sử dụng để kết nối đến máy chủ TMG VPN. Các tùy chọn gồm có:
- Enable PPTP
- Enable L2TP/IPsec
- Enable SSTP
Tùy chọn Enable PPTP được kích hoạt mặc định và sẽ làm việc không cần cấu hình bổ sung nào trên các máy khách VPN, chỉ cần cấu hình bổ sung tối thiểu trên máy chủ TMG VPN. Mặc dù vậy, nếu chọn tùy chọn L2TP/IPsec hoặc SSTP, bạn sẽ cần xử lý một số vấn đề có liên quan đến các chứng chỉ (về vấn đề này bạn có thể sử dụng khóa tiền chia sẻ với L2TP/Ipsec, nhưng đó là cách làm không an toàn). Chúng ta sẽ đi vào các yêu cầu cấu hình và các thủ tục cho hai giao thức VPN này sau.
Hình 13
Trong tab User Mapping, bạn có một tùy chọn cho phép bạn bản đồ hóa các máy khách VPN từ các không gian tên non-Windows (chẳng hạn như những người dùng đã được thẩm định RADIUS hoặc EAP) đến không gian tên Windows. Điều này có nghĩa rằng nếu không tích hợp sự thẩm định cho các máy khách VPN, sử dụng RADIUS hoặc EAP, thì bạn không thể lợi dụng các nhóm Windows Active Directory một cách tự động. Vì vậy, nếu việc bản đồ hóa người dùng không được kích hoạt, bạn sẽ phải tạo một tập người dùng trên TMG firewall và sử dụng người dùng thông thường đã được thiết lập khi cấu hình rule tường lửa để kiểm soát sự truy cập các máy khách VPN. Rõ ràng, để làm việc, TMG firewall phải là một thành viên miền. Chúng tôi sẽ không sử dụng User Mapping trong ví dụ này vì không sử dụng thẩm định RADIUS hoặc EAP.
Hình 14
Xem tiếp trang 3
Có hai lựa chọn chính ở đây sau khi bạn kích hoạt điều khiển cách ly: Quarantine according to RADIUS server policies and Quarantine VPN clients according to TMG policies. Đầu tiên là tùy chọn NAP và sau đó là tùy chọn kiểm soát cách ly truy cập từ xa. Lưu ý rằng bạn cũng có các tùy chọn cho việc điều khiển thời gian đợi là bao lâu trước khi hủy kết nối các máy khách VPN được cách ly và cũng có thể cấu hình danh sách người dùng được miễn giám sát cách ly. Chúng tôi sẽ không đi sâu vào giới thiệu các chi tiết kiểm soát cách ly trong phần này mà sẽ giới thiệu sau.
Hình 15
Lúc này hãy chuyển sang phần General VPN Configuration trong panel phải của giao diện điều khiển. Kích liên kết Select Access Networks, như thể hiện trong hình bên dưới.
Hình 16
Trong tab Access Networks, chọn Networks mà trong mạng đó bạn muốn VPN server lắng nghe các kết nối. Mặc định, tùy chọn default External Network sẽ được chọn. Tuy nhiên bạn có thể sử dụng các tùy chọn khác hoặc kết hợp các tùy chọn mà bạn thích. Lưu ý rằng bạn không thể gán các địa chỉ IP cụ thể; tất cả các địa chỉ IP của NIC cho mạng bạn chọn sẽ lắng nghe các kết nối gửi đến. Nếu bạn cho phép các kết nối gửi vào cho người dùng VPN, điều đó không có nghĩa rằng địa chỉ IP sẽ được sử dụng. Không có một sự thuận lợi bảo mật thực sự nào cho việc hạn chế truy cập VPN đối với một địa chỉ IP trên một giao diện cụ thể.
Hình 17
Kích tab Address Assignment. Khi đó bạn sẽ gặp một cửa sổ khá quen vì chúng ta đã thấy trước đó. Nếu quyết định sử dụng địa chỉ tĩnh, bạn có thể tạo thay đổi vấn đề đó ở đây. Một ví dụ cho việc thay đổi địa chỉ tĩnh là khi bạn muốn cấu hình mảng các máy chủ TMG VPN. Trong trường hợp đó, mỗi thành viên của mảng cần có một bộ sưu tập riêng các địa chỉ IP. Chúng tôi sẽ giới thiệu cách cấu hình mảng TMG VPN server trong các phần sau. Trong ví dụ này, chúng ta chỉ có một máy chủ.
Hình 18
Trong tab Authentication, bạn có thể cấu hình kiểu thẩm định người dùng. Thiết lập mặc định là MS-CHAPv2. Mặc định bạn có thể sử dụng EAP, CHAP và PAP, nhưng nhìn chung chỉ có một số tùy chọn mà bạn chắc sẽ muốn sử dụng là MS-CHAPv2 hoặc EAP. Lưu ý rằng có một tùy chọn thẩm định máy tính ở phía dưới. Khi tích vào hộp kiểm Allow customer IPsec policy for L2TP, bạn sẽ có thể nhập vào khóa tiền chia sẻ. Đây là phương pháp “con nhà nghèo” cho việc bảo vệ Ipsec với các kết nối L2TP/Ipsec, nó cho phép bạn có thể thiết lập kết nối mà không cần triển khai chứng chỉ. Chúng tôi sẽ giới thiệu cách triển khai các chứng chỉ trong phần tiếp theo của loạt bài này để bạn có thể sử dụng phương pháp được tiến cử (an toàn hơn) cho L2TP/IPsec.
Hình 19
Trong tab RADIUS, bạn có thể cấu hình các máy chủ RADIUS sử dụng cho việc thẩm định VPN hoặc ghi chép. Lưu ý rằng bạn có thể sử dụng RADIUS để thẩm định hoặc ghi chép, hoặc cả hai. Chúng tôi sẽ không giới thiệu thẩm định RADIUS server hoặc việc ghi chép trong loạt bài này.
Hình 20
Kết luận
Giống như ISA, TMG firewall có thể đóng vai trò như một máy chủ VPN truy cập xa. Nếu là một quản trị viên ISA VPN server có nhiều kinh nghiệm thì rất có thể các bạn sẽ không thấy nhiều điểm mới trong cấu hình máy chủ TMG VPN – ngoại trừ sự tích hợp SSTP. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu những gì bạn cần thực hiện để làm cho các kết nối L2TP/Ipsec hoạt động, sử dụng các chứng chỉ máy tính và các khóa tiền chia sẻ. Trong phần sau chúng tôi cũng sẽ giới thiệu một số vấn đề tường lửa mà bạn biết nếu muốn chuẩn hóa cấu hình máy khách VPN truy cập từ xa L2TP/Ipsec.