Chúng ta hãy xem xét đến Windows Server 2008 CMAK và cách bạn có thể sử dụng nó để tạo các connectoid (kết nối dial-up trong Windows) an toàn cho PPTP, L2TP và các kết nối VPN client truy cập từ xa SSTP.
Giống như các phiên bản trước của Windows Server, Windows Server 2008 cũng có bộ công cụ Connection Manager Administration Kit (CMAK) cho phép bạn có thể tạo các kết nối VPN connectoid mà người dùng có thể sử dụng để kết nối đến các máy chủ VPN Windows Server 2008 của bạn. Quả thực, bạn có thể sử dụng các connectoid để kết nối đến bất kỳ máy chủ VPN nào của Windows miễn là bạn sử dụng các giao thức được hỗ trợ.
Ưu điểm trong việc sử dụng CMAK là bạn có thể tạo một file thực thi để người dùng có thể download từ một website. Sau đó tất cả những gì họ cần thực hiện là kích đúp vào file đó và connectoid mà bạn đã cấu hình để chúng tự động được cài đặt trên các máy tính của họ. Người dùng chỉ cần kích đúp vào đối tượng connectoid trong thư mục Network Connections để quay số kết nối VPN. Cách thức này tránh nhiều phiền hà trong việc phải đào tạo người dùng tạo các kết nối VPN của chính họ.
CMAK là một tính năng của Windows Server 2008 mà bạn có thể cài đặt bằng Windows Server 2008 Server Manager. Chỉ cần kích đúp vào liên kết Features trong phần panel bên trái của giao diện, sau đó kích vào link Add Features. Trên cửa sổ Select Features bạn hãy chọn Connection Manager Administration Kit và hoàn tất cài đặt.
Sau đó bạn có thể mở CMAK từ menu của Administrative Tools. Thứ đầu tiên mà bạn sẽ thấy là trang Welcome to the Connection Manager Administration Kit Wizard. Kích Next.
Hình 1
Trong trang Select the Target Operation System, bạn chọn hệ điều hành muốn tạo connectoid. Một khác biệt lớn giữa Windows XP và Windows Vista là Vista hỗ trợ giao thức SSTP SSL VPN. Trong ví dụ này, chúng tôi sẽ chọn Windows Vista và kích Next.
Hình 2
Trên cửa sổ , bạn có thể chọn để tạo new profile hoặc Existing profile. Trong ví dụ này chúng tôi sẽ tạo một profile mới. Kích Next.
Hình 3
Trong trang Specify the Service Name and the File Name, bạn hãy đặt tên cho connectoid và tên file của gói CMAK. Trong ví dụ, chúng tôi sẽ sử dụng Service name của Corporate VPN. Tên này là những gì người dùng sẽ thấy sau khi cài đặt gói CMAK. Trong hộp File name, chúng ta sẽ nhập vào CorpVPN. Đây là tên của gói CMAK sẽ được tạo và tên của file mà người dùng sẽ download và cài đặt.
Hình 4
Trên cửa sổ Specify a Realm Name, bạn có thể nhập vào tên vùng cho tên người dùng. Tên này thường được sử dụng khi bạn đang sử dụng ISP như một gateway chứng thực cho máy chủ VPN. Chúng ta sẽ không sử dụng tên vùng trong ví dụ này, chính vì vậy sẽ kích Next.
Hình 5
Bạn có thể kết hợp thông tin từ các profile khác trong trang Merge Information from Other Profiles. Đây là sự khác biệt với các trang trước mà bạn có thể chọn tùy chọn để cập nhật một profile trước. Trang này cho phép chúng ta import các thông tin trong sổ điện thoại từ nhiều profile khác. Trong ví dụ này, chúng ta không có profile khác với các thông tin sổ điện thoại đó, chính vì vậy hãy kích Next.
Hình 6
Trong trang Add Support for VPN Connections, bạn có thể cấu hình VPN connectoid để kết nối với một VPN trực tiếp trên Internet, hoặc thông qua một kết nối dial-up. Các kết nối dial-up không được sử dụng nhiều ở đây vì vậy chúng ta sẽ cho phép kết nối VPN thông qua liên kết trực tiếp với Internet. Tích vào hộp kiểm Phone book from this profile sau đó chọn always use the same VPN server hoặc Allow the user to choose a VPN server before. Nếu bạn chọn Allow the user to choose a VPN server before connecting thì sẽ phải duyệt vào file .txt có các tên của các máy chủ đó, xem thể hiện trong hình bên dưới.
Trong ví dụ này, chúng ta có một máy chủ VPN hoặc một máy chủ VPN đang sử dụng NLB và một địa chỉ IP, chính vì vậy chúng ta sẽ nhập vào địa chỉ IP đó trong hộp văn bản Always use the same VPN server. Kích Next.
Hình 7
Hình 8
Trong trang Create or Modify a VPN Entry, bạn có thể thiết lập cấu hình chi tiết cho kết nối VPN. Giá trị mặc định Corporate VPN Tunnel đã được tạo cho chúng ta. Kích nút Edit để tạo các thay đổi theo ý của bạn.
Hình 9
Trong tab General, bạn có thể chọn cho phép hoặc vô hiệu hóa tính năng chia sẻ file và máy in cho VPN client. Đây là một ý tưởng rất thú vị cho các kết nối VPN client, vì các host này có thể có các file và máy in được chia sẻ với các mạng kết nối với chúng. Bạn cũng có thể chọn kích hoạt cả IPv4 và IPv6, chỉ kết nối IPv4 hoặc chỉ IPv6 cho VPN client. Trong ví dụ này chúng tôi cho phép cả hai kết nối IPv4 và IPv6.
Hình 10
Trong tab IPv4, chúng ta có thể thiết lập các địa chỉ máy chủ DNS chính và thứ cấp. Hoặc bạn có thể thiết lập nó để máy khách nhận thông tin này từ máy chủ VPN. Trong hầu hết các trường hợp, bạn sẽ chọn VPN client để có được các thông tin này từ máy chủ VPN.
Bạn cũng có thể chọn để làm cho máy khách có thể sử dụng kết nối VPN như một cổng mặc định của client. Khithực hiện điều này, bạn sẽ vô hiệu hóa việc chia tách đường hầm. Mặc dù vậy nó cũng có nghĩa rằng nếu client cần kết nối với Internet thì sẽ cần phải thực hiện thông qua máy chủ VPN mà client được kết nối với, hoặc thông qua Winsock và Web Proxy server (như ISA Firewall) là một máy khác trong mạng. Trong khi cần phải nghiên cứu nhiều về kết nối Internet của bạn thì việc vô hiệu hóa chia tách đường hầm là một giải pháp kết nối mạng VPN tốt nhất và bạn sẽ trở nên an toàn hơn nếu nó được vô hiệu hóa.
Cuối cùng, bạn có thể kích hoạt hoặc vô hiệu hóa vấn đề nén header. Tính năng này thường được kích hoạt mặc định và nhìn chung nên được để ở trạng thái kích hoạt. Điều này sẽ cho phép bạn có thể tăng được thông lượng thông qua các kết nối VPN client truy cập từ xa.
Hình 11
Chúng ta sẽ bỏ qua tab IPv6
Trong tab Security, bạn có thể thiết lập mã hóa client. Bạn cũng có thể thiết lập VPN strategy, đây chính là cách VPN client sẽ kết nối với máy chủ VPN như thế nào. Bạn cũng sẽ thấy bạn co các tùy chọn dưới đây:
- Chỉ sử dụng giao thức đường hầm điểm – điểm (Point to Point Tunneling protocol - PPTP)
- Thực hiện giao thức PPTP trước
- Chỉ sử dụng giao thức L2TP (Layer Two Tunneling Protocol)
- Thực hiện L2TP trước
- Chỉ sử dụng giao thức SSTP (Secure Socket Tunneling Protocol)
- Thực hiện SSTP trước
VPN client sẽ thực hiện các giao thức VPN theo đúng thứ tự PPTP đầu tiên, L2TP/Ipsec thứ hai và SSTP thứ ba. Tuy vậy nếu bạn chọn thực hiện một giao thức khác trước, nó sẽ thay đổi thứ tự này. Cho ví dụ, nếu bạn check giao thức SSTP VPN trước, thì SSTP sẽ được thực hiện đầu tiên, sau đó là PPTP và L2TP/Ipsec.
Trong khung Logon security, bạn có thể chọn sử dụng Use Extensible Authentication Protocol hoặc Authentication methods. Nếu bạn chọn cái trước thì có thể cấu hình chứng thực EAP bạn muốn sử dụng còn nếu chọn cái sau thì bạn có thể tích vào các hộp kiểm cho các giao thức mà bạn muốn hỗ trợ trong đó gồm có PAP, CHAP và MS-CHAPv2.
Hình 12
Nếu chọn tùy chọn PEAP bạn có thể áp đặt client để hợp lệ hóa chứng chỉ máy chủ, và cũng áp đặt client để kết nối với một máy chủ nào đó như đã được định nghĩa bởi tên common/subject trên chứng chỉ máy chủ đã hiện diện đối với client bởi máy chủ VPN. Bạn cũng có thể hạn chế những Trusted Root Certification Authorities nào được tin cậy. Lưu ý rằng chúng tôi đã chọn PEAP trong ví dụ này, tuy nhiên từ những gì chúng tôi thấy được trên TechNet qua một vài bài báo về PEAP thì thấy rằng PEAP không được hỗ trợ trên các VPN client. Có lẽ đây là hạn chế của Windows Server 2003, hoặc một lỗi trong giao diện CMAK.
Tuy nhiên PEAP-MS-CHAPv2 được hỗ trợ cho các kết nối truy cập từ xa với VPN client.
Hình 13
Trong tab Advanced, bạn có thể nhập vào hậu tố DNS mà kết nối VPN sẽ sử dụng để đăng ký với DDNS trên mạng bên trong nếu có DDNS đã được kích hoạt cho các client này.
Hình 14
Trong tab Add a Customer Phone Book, bạn có thể nhóm các số đã được kết nối đến máy chủ dial-up trước đó trước khi kết nối VPN được thiết lập. Vì chúng ta không sử dụng các máy chủ dial-up trong kịch bản này nên sẽ không tạo một sổ điện thoại tùy chỉnh.
Hình 15
Trong trang Specify Routing Table Updates, bạn có thể chọn nâng cấp bảng định tuyến trên client VPN truy cập từ xa để nó biết được các tuyến trên mạng mà nó được kết nối đến. Nếu bạn chọn tùy chọn Define a routing table update thì sẽ cần phải cung cấp một file định tuyến bằng cách sử dụng định dạng đã được mô tả ở đây.
Nếu bạn để một entry trong URL to a route file, thì các entry của bảng định tuyến sẽ được cập nhật dựa trên entry đã được nhóm vào file có thể truy cập thông qua URL.
Kích Next.
Hình 16
Trong trang Configure Proxy Settings for Internet Explorer, bạn có thể thiết lập địa chỉ Web proxy để trình duyệt nên sử dụng khi nó được kết nối với VPN. Lưu ý rằng đây là một địa chỉ khác để client có thể sử dụng khi nó không được kết nối với VPN. Tùy chọn là:
- Không cấu hình các thiết lập proxy
- Tự động copy các thiết lập Internet Explorer proxy cho người dùng hiện hành vào giao diện đường hầm. Điều này yêu cầu người dùng đã cấu hình các thiết lập Web proxy trong Internet Explorer rồi, nó mặc định điểm tự động cấu hình của VPN client.
- Tự động cấu hình các thiết lập proxy
Tùy chọn cuối cùng yêu cầu bạn tạo một file văn bản có các thiết lập Web proxy đã được cấu hình. URL này có thông tin chi tiết về các yêu cầu cần thiết cho file văn bản này.
Việc cấu hình máy chủ Web proxy rất có ích khi bạn muốn một VPN client sử dụng máy chủ Web proxy trên máy tính khác với máy chủ VPN mà VPN client được kết nối. Thêm vào đó, hầu hết các Web proxy đều được sử dụng bởi các công ty có khả năng lọc nội dung, như vậy sẽ tăng được khả năng bảo mật. Kích Next.
Hình 17
Có một số các hành động tùy chỉnh bạn có thể cấu hình VPN client để tiến hành. Ví dụ, bạn có thể cấu hình một số hành động diễn ra trước khi kết nối được thành lập, một số hành động được tiến hành sau khi kết nối được thành lập và một số được tiến hành sau khi client hủy kết nối. Điều này yêu cầu một số chuyên môn của các chuyên gia, nhưng nếu bạn quan tâm đến các kiểu hành động này, hãy tham khảo các thông tin chi tiết tại đây.
Hình 18
Trong trang Display a Custom Logon Bitmap, bạn có thể nhóm một đồ họa tùy chỉnh sẽ xuất hiện trong cửa sổ kết nối VPN client. Nếu bạn tạo một đồ họa tùy chỉnh, nó phải có kích thước 330x140 pixel. Sử dụng nút Browse để tìm đồ họa tùy chỉnh. Chúng tôi sẽ không sử dụng đồ họa này trong kịch bản chính vì vậy sẽ chấp nhận thiết lập mặc định, Default graphic, và kích Next.
Hình 19
Bạn cũng có thể tạo một đồ họa tùy chỉnh cho Phone Book. Đồ họa này cần có kích thước 114x309 pixel. Chúng tôi không có Phone Book trong ví dụ này chính vì vậy sẽ chấp nhập thiết lập mặc định, Default graphic, và kích Next.
Hình 20
Bạn có thể tạo các file biểu tượng tùy chỉnh sẽ xuất hiện trong thư mục Network Center or Network Connection. Đây là các file biểu tượng (.ico) sẽ được sử dụng thay cho các biểu tượng mặc định. Chúng tôi không có các file biểu tượng tùy chỉnh này trong ví dụ chính vì vậy sẽ chấp nhận giá trị mặc định, Default icons, và kích Next.
Hình 21
Nếu bạn có một file trợ giúp tùy chỉnh dưới định dạng .chm thì có thể nhóm file này trong trang Include a Custom Help File. Chúng tôi không có file trợ giúp này trong ví dụ nên hãy kích Next.
Hình 22
Trong trang Display Custom Support Information, bạn nhóm một số điện thoại mà người dùng có thể gọi để yêu cầu hỗ trợ kỹ thuật. Kích Next.
Hình 23
Trong trang Display a Custom License Agreement, bạn có thể nhóm một file văn bản đăng ký mà người dùng sẽ thấy khi cài đặt VPN connectoid. Chúng tôi không có file này chính vì vậy chúng ta hãy kích Next.
Hình 24
Trong trang , bạn nhóm các file bổ sung có thể được sử dụng trong các hành động tiền kết nối, gửi kết nối hoặc hủy kết nối disconnection. Ví dụ, nếu bạn sử dụng tính năng Windows Remote Access Quarantine Control thì sẽ nhóm các thành phần của giải pháp đó như một phần của profile. Chúng tôi không có các file bổ sung nên chúng ta hãy kích Next.
Hình 25
Profile được hoàn tất và file cài đặt đã sẵn sàng được biên dịch. Kích Finish để tạo file cài đặt CMAK.
Hình 26
Cửa sổ Windows Explorer sẽ mở thư mục có file cài đặt. Cũng có trong thư mục này là các file mà bạn có thể sử dụng trong tương lai để nâng cấp gói. Copy file .exe vào điểm mà người dùng có thể download, ví dụ như một thư mục chia sẻ hoặc một website, sau đó cho mọi người biết ai yêu cầu kết nối VPN để có được các file và cài đặt nó trên máy tính của họ.
Hình 27
Hãy chạy file và xem cảm nhận như thế nào đối với người dùng. Thứ đầu tiên mà họ sẽ thấy là một hộp thoại hỏi xem có muốn cài đặt Corporate VPN không. Không phải điều này được dựa trên tên mà bạn nhóm lúc ban đầu của CMAK. Kích Yes.
Người dùng sẽ có một lựa chọn tạo kết nối có sẵn cho All users hoặc My use only. Một thứ mà người dùng cần phải biết ở đây là nếu họ muốn đăng nhập thông qua kết nối dial-up thì họ cần tạo connectoid có sẵn đối với All users. Nếu người dùng không đăng nhập thông qua kết nối dial-up thì họ có thể chọn My use only để có được cấu hình an toàn hơn.
Hình 28
Hộp thoại đăng nhập xuất hiện. Nhập vào tên người dùng, mật khẩu và miền, nếu máy chủ VPN là một thành viên miền của miền bạn đang sử dụng RADIUS cho chứng thực miền. Kích Connect. Lúc này người dùng sẽ kết nối với VPN.
Hình 29
Kết luận
Connection Manager Administration Kit cung cấp cho bạn một cách tương đối dễ dàng để tạo các profile dịch vụ kết nối cho các người dùng VPN. Người dùng sẽ không cần biết các thông tin chi tiết của cấu hình, sẽ không cần nhớ tên của máy chủ VPN và không phải nghiên cứu về các giao thức VPN để sử dụng kết nối máy chủ VPN. Điều này đã giảm được các yêu cầu hỗ trợ kỹ thuật về các vấn đề xảy ra đối với người dùng có liên quan đến việc cấu hình VPN connectoids. Lưu ý rằng khi cấu hình được xây dựng trước cho người dùng thì họ vẫn có thể tạo những thay đổi cho cấu hình này chính vì vậy rất linh động với cấu hình ứng dụng.