|
02-11-2011, 09:02 AM
|
|
57991135 Cạch !
|
|
Tham gia: Feb 2008
Äến từ: VN
Bà i gởi: 1,152
Thá»i gian online: 3 tuần 0 ngà y 14 giá»
Thanks: 359
Thanked 1,686 Times in 186 Posts
|
|
Thiết láºp máy chủ VPN trên Router Tomato
Phần 1
Thiết láºp má»™t mạng riêng ảo là cách mà bạn không phải mua các thiết bị đắt tiá»n mà vẫn cho phép ngÆ°á»i dùng có thể truy cáºp từ xa hoặc kết nối các văn phòng vá»›i nhau má»™t cách an toà n. Những Æ°u Ä‘iểm của mạng riêng ảo còn mang lại rất nhiá»u lợi Ãch cho các doanh nghiệp có kÃch thÆ°á»›c trung bình và nhá». Microsoft cung cấp cho bạn chức năng máy khách và máy chủ VPN ngay bên trong hệ Ä‘iá»u hà nh Windows; mặc dù váºy táºp các tÃnh năng nà y còn rất nhiá»u hạn chế, chỉ có các phiên bản Vista và các phiên bản sau nà y có mức Ä‘á»™ bảo máºt tốt hÆ¡n. Tuy nhiên có má»™t phÆ°Æ¡ng pháp khác mà chúng tôi sẽ giá»›i thiệu ở đây là cà i đặt má»™t phần má»m thay trên Router không dây được load vá»›i máy chủ và máy khách OpenVPN miá»…n phÃ. Các bạn chắc đã biết đến cách thá»±c hiện nà y qua phần má»m DD-WRT, tuy nhiên trong bà i nà y chúng tôi sẽ giá»›i thiệu cho các bạn má»™t phần má»m khác, má»™t biến thể của TomatoVPN.
Tìm Router tÆ°Æ¡ng thÃch
Chúng ta không thể sá» dụng phần má»m Tomato trên bất cứ Router không dây nà o. Cần phải bảo đảm rằng bạn có má»™t Router tÆ°Æ¡ng thÃch vá»›i nó. Các hãng có Router há»— trợ cho phần má»m nà y gồm có Linksys, Buffalo và Asus. Bạn có thể kiểm tra sá»± tÆ°Æ¡ng thÃch của model và phiên bản cụ thể tại đây.
Khi đã thẩm định Router của bạn có khả năng tÆ°Æ¡ng thÃch, hãy download và cà i đặt phần má»m.
Trong hÆ°á»›ng dẫn nà y chúng tôi dá»±a trên việc sá» dụng phát hà nh 1.27vpn3.6 của TomatoVPN, sá» dụng máy chủ và máy khách OpenVPN 2.1.1. Sau đó trên má»™t máy tÃnh (PC), sẽ sá» dụng OpenVPN 2.1.4 để tạo các chứng chỉ SSL và tạo hoạt Ä‘á»™ng của máy khách VPN trên các máy tÃnh.
Äăng nháºp ban đầu
Bắt đầu bằng cách kết nối vá»›i Router TomatoVPN và đăng nháºp và o giao diện Ä‘iá»u khiển web. Mở trình duyệt và nháºp và o địa chỉ IP mặc định 192.168.1.1 của Router. Sau đó đăng nháºp bằng username và password mặc định, cả hai Ä‘á»u là "admin".
TrÆ°á»›c khi thá»±c hiện bất cứ thao tác nà o vá»›i các tÃnh năng VPN, cần bảo đảm cấu hình những vấn Ä‘á» cÆ¡ bản vá» bảo máºt: các thiết láºp không dây (bảo máºt WPA hay WPA2) và máºt khẩu của Router cho panel Ä‘iá»u khiển.
Thay đổi Subnet và IP của Router
Do các kết nối VPN sẽ liên kết các mạng vá»›i nhau, do đó chúng ta phải cẩn tháºn vá»›i subnet và IP để không xảy ra hiện tượng xung Ä‘á»™t. Äịa chỉ IP mặc định của TomatoVPN là 192.168.1.1 và đây đôi khi là nguyên nhân gây ra vấn Ä‘á». Hãy sá» dụng má»™t địa chỉ khác, chẳng hạn nhÆ° 192.168.50.1 để tránh gặp phải vấn Ä‘á» xung Ä‘á»™t. Nếu bạn có nhiá»u văn phòng, hãy gán cho má»—i văn phòng má»™t IP/subnet khác nhau, chẳng hạn nhÆ° 192.168.51.1 và 192.168.52.1.
Äể thay đổi Router TomatoVPN, kết nối và triệu gá»i giao diện Ä‘iá»u khiển web bằng cách nháºp địa chỉ IP mặc định 192.168.1.1 và o trình duyệt web. Tiếp tục kÃch Basic > Network (xem trong hình 1). Thay đổi Router IP Address, chẳng hạn 192.168.50.1 và điá»u chỉnh IP Address Range theo, chẳng hạn 192.168.50.100 - 192.168.50.149. Sau đó kÃch Save.
Lúc nà y bạn phải sá» dụng IP má»›i để đăng nháºp và o giao diện Ä‘iá»u khiển TomatoVPN
Äăng ký và cấu hình dịch vụ DNS Ä‘á»™ng
Nếu kết nối Internet nÆ¡i bạn muốn thiết láºp máy chủ VPN sá» dụng má»™t địa chỉ IP Ä‘á»™ng, khi đó bạn cần sá» dụng dịch vụ DNS Ä‘á»™ng. Bằng không bạn sẽ phải tá»± Ä‘i tìm IP của kết nối Internet và cáºp nháºt nó trên các máy khách khi địa chỉ nà y thay đổi.
Äăng ký má»™t dịch vụ DNS Ä‘á»™ng, chẳng hạn nhÆ° từ No-IP. Sau đó trên Router TomatoVPN, kÃch Basic > DDNS, nháºp các thông tin chi tiết cho dịch vụ. Router của bạn lúc nà y sẽ tá»± Ä‘á»™ng cáºp nháºt hostname để trá» và o địa chỉ IP hiện hà nh của bạn. Bạn chỉ cần nháºp và o hostname trên cấu hình VPN máy khách thay cho địa chỉ IP.
Hình 1: Tomato VPN Router Tạo chứng chỉ máy chủ và máy khách
Do OpenVPN sá» dụng SSL nên bạn phải tạo và cà i đặt các chứng chỉ SSL trên máy chủ và khách. Chá»n má»™t máy tÃnh an toà n để tạo và quản lý PKI, sau đó download và cà i đặt OpenVPN bằng Windows Installer. LÆ°u ý cần phải quay trở lại máy tÃnh nà y để tạo các chứng chỉ khách bổ sung trong tÆ°Æ¡ng lai.
Khi cà i đặt OpenVPN, bạn có thể bắt đầu công việc dưới đây:
1. Mở Command Prompt: KÃch Start, đánh cmd và nhấn Enter.
2. Chuyển sang thư mục easy-rsa: cd C:Program FilesOpenVPNeasy-rsa.
3. Chạy file batch để tạo các file cấu hình: init-config (xem trong hình 2
4. Äể mở cá»a sổ Command Prompt để sá» dụng sau nà y.
Tiếp theo, và o thÆ° mục dÆ°á»›i đây trong Windows: C:Program FilesOpenVPNeasy-rsa. Sau đó kÃch phải và o file vars.bat và kÃch Edit. Bạn phải thay đổi các giá trị mặc định của tất cả các thiết láºp dÆ°á»›i đây:
• KEY_COUNTRY
• KEY_PROVINCE
• KEY_CITY
• KEY_ORG
• KEY_EMAIL
Nếu mở file bằng Notepad mà không có bất cứ dòng nà o trả vá» thì lúc nà y má»i thứ Ä‘ang OK. Bạn chỉ cần chỉnh sá»a các giá trị thiết láºp nằm giữa dấu bằng và từ “setâ€. Äể rõ hÆ¡n, chúng ta có thể download và sá» dụng bá»™ soạn thảo nhÆ° VIM.
Hình 2: File cấu hình Tomato VPN Router Lúc nà y quay trở lại cá»a sổ Command Prompt và khởi tạo PKI bằng cách nháºp và o các lệnh dÆ°á»›i đây:
Vars
clean-all
build-ca
Khi thấy nhắc nhở nháºp và o các tham số (xem hình 3), chỉ thiết láºp trong file vars.bat, nhấn Enter để chấp nháºn chúng. Có thể để trắng phần Organizational Unit Name. Tuy nhiên chúng ta cần phải nháºp và o phần Common Name. Äây sẽ là tên của chứng chỉ CA sẽ được cà i đặt và o máy chủ và tất cả các máy khách. Chá»n má»™t tên nà o đó, chẳng hạn nhÆ° "ABC_Corp-VPN-CA".
Lúc nà y bạn có thể tạo má»™t chứng chỉ và khóa bảo máºt cho máy chủ bằng lệnh:
build-key-server server
Chúng ta sẽ thấy nhắc nhở nháºp các tham số lần nữa. Chấp nháºn các giá trị mặc định cho những thứ yêu cầu trong vars.bat. Vá»›i Common Name, nháºp và o tên giống nhÆ° "ABC_Corp-VPN-Server". Cần bảo đảm nháºp và o máºt khẩu bảo máºt và bạn có thể nhá»› hoặc lÆ°u ở địa Ä‘iểm an toà n nà o đó. Khi được nhắc nhở để ký và cất giữ chứng chỉ, hãy xác nháºn các thông tin chi tiết và sau đó nhấn “yâ€.
Hình 3: Các tham số Tomato VPN Router Tiếp đến, bạn có thể tạo các chứng chỉ máy khách cho các máy tÃnh và Router sẽ kết nối từ xa vá»›i máy chủ VPN của bạn. CÅ©ng phải tạo má»™t chứng chỉ riêng cho má»—i máy khách. Nháºp "build-key" và o Command Prompt, sau đó là má»™t dấu cách và tên của chứng chỉ. Cho và dụ, vá»›i ba máy khách:
build-key client1
build-key client2
build-key client3
Bạn có thể muốn có thêm nhiá»u chi tiết cho phần tên, do đó hãy chỉ định ngÆ°á»i hoặc Router sẽ sá» dụng nó.
Nhắc nhở nháºp các tham số có thể xuất hiện lần nữa. Chá»n má»™t Common Name duy nhất cho má»—i tham số. Có thể tùy chá»n tạo máºt khẩu.
Lưu ý: Nếu phải tạo các chứng chỉ máy khách bổ sung trong tương lai, hãy trở vỠthư mục easy-rsa trong Command Prompt, đánh "vars", sau đó sỠdụng lệnh build-key, chẳng hạn như build-key client2.
Lúc nà y bạn phải tạo các tham số Diffie Hellman bằng cách nháºp:
build-dh
Cuối cùng, bạn sẽ thấy các chứng chỉ của mình trong thư mục dưới đây:
C:Program FilesOpenVPNeasy-rsakeys
Cần lÆ°u ý: CA, máy chủ và tất cả các khóa máy khách cần được giữ riêng tÆ° và bảo máºt.
Phần 2
Trong phần trÆ°á»›c của loạt bà i nà y, chúng ta đã nâng cấp Router không dây bằng phần má»m TomatoVPN và bắt đầu chuẩn bị sá» dụng máy chủ VPN của nó. Äây là cách rất kinh tế và an toà n để ngÆ°á»i dùng từ xa có thể truy cáºp và o mạng của bạn hoặc có thể kết nối nhiá»u văn phòng vá»›i nhau. Trong phần nà y, chúng ta sẽ cùng nhau Ä‘i tìm hiểu cách cấu hình máy chủ và máy khách VPN, sau đó Ä‘i test toà n bá»™ quá trình.
Cấu hình máy chủ VPN
Lúc nà y bạn đã có má»i thứ cần thiết để cấu hình máy chủ VPN trên Router TomatoVPN. Kết nối đến Router và mở giao diện Ä‘iá»u khiển web. Sau đó kÃch VPN Tunneling > Server (xem hình 1). Ở đây là các thiết láºp và dụ:
• Start with WAN: Checked
• Interface Type: TAP
• Protocol: UDP
• Port: 1194
• Firewall: Automatic
• Authorization Mode: TLS
• Extra HMAC authorization: Disabled
Hình 1: Cấu hình máy chủ VPN Vá»›i Client Address Pool, hủy chá»n mục nà y và bảo đảm rằng dải địa chỉ IP nằm trong cùng subnet vá»›i Router. Cho và dụ, nếu bạn thay đổi địa chỉ IP của Router thà nh 192.168.50.1, khi đó hãy đặt dải địa chỉ IP của bạn là 192.168.50 đến 192.168.50.55. Khi đó hệ thống của bạn có thể há»— trợ được 6 máy khách VPN cùng lúc. Bạn hoà n toà n có thể tăng dải nà y lên nếu có nhiá»u máy khách hÆ¡n số lượng nà y. Ở đây không được nhầm lẫn vá»›i dải được phân định trÆ°á»›c cho ngÆ°á»i dùng cục bá»™, cho và dụ 192.168.50.100 đến 192.168.50.149.
KÃch Save để lÆ°u các thay đổi.
Tiếp đó, kÃch tab Advanced. Äối vá»›i phần Compression, chá»n Disabled. Nếu bạn muốn tất cả lÆ°u lượng Internet của các máy khách Ä‘i qua VPN, chẳng hạn nhÆ° để bảo vệ lÆ°u lượng trên các mạng công cá»™ng, hãy tÃch mục Direct clients to redirect Internet traffic. Äể cho phép các máy khách VPN có thể truy cáºp và o các tà i nguyên của nhau, tÃch Manage Client-Specific Options và Allow Client<->Client. Bằng không, các máy khách VPN sẽ có thể truy cáºp và o các tà i nguyên chia sẻ của các máy tÃnh được kết nối trá»±c tiếp đến mạng ná»™i bá»™ của Router TomatoVPN cấu hình máy chủ. Sau khi thá»±c hiện bÆ°á»›c nà y, kÃch Save để lÆ°u các thay đổi.
Hình 2: Tab Advanced Lúc nà y kÃch tab Keys (xem hình 3) và điá»n và o các trÆ°á»ng bằng cách copy trong các ná»™i dung của các file mà bạn đã tạo trong thÆ° mục easy-rsakeys:
• Certificate Authority - ca.crt
• Server Certificate - server.crt
• Server Key - server.key
• Diffie Hellman parameters - dh1024.pem
Hình 3: Tab Keys Mở các file nà y trong Notepad để xem và copy ná»™i dung. Má»™t số file bạn có thể kÃch phải, chá»n Open With, Notepad.
Äối vá»›i chứng chỉ máy chủ, không tÃch hợp phần đầu tiên của file. TÆ°Æ¡ng tá»± nhÆ° các file khác, bắt đầu vá»›i -----BEGIN CERTIFICATE----- và kết thúc -----END CERTIFICATE-----.
Sau khi thá»±c hiện xong, kÃch Save.
Khởi chạy máy chủ VPN
Lúc nà y bạn đã hoà n toà n sẵn sà ng cho việc chạy máy chủ VPN. Trên bất cứ tab nà o của máy chủ, nhấn nút Start Now. Nếu thà nh công, nút nà y sẽ thay đổi thà nh Stop Now và bạn sẽ thấy phần thống kê nói chung (General Statistics) trên tab Status.
Cấu hình máy khách trên các máy tÃnh
Thá»i Ä‘iểm nà y bạn có thể cấu hình các máy khách mà bạn muốn kết nối vá»›i máy chủ VPN. Bắt đầu bằng cách download và cà i đặt OpenVPN trên má»—i máy tÃnh. Tiếp đến, mở Notepad và dán và o Ä‘oạn mã dÆ°á»›i đây:
remote XXX.XXX.XXX.XXX 1194
client
dev tun0
proto udp
resolv-retry infinite
nobind
persist-key
persist-tun
float
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
Thay thế địa chỉ từ xa ở phần đầu bằng địa chỉ IP Internet hoặc WAN của bạn. Cách khác bạn có thể sỠdụng hostname, chẳng hạn từ một dịch vụ DNS động, nếu kết nối Internet của bạn không có IP tĩnh. Ngoà i ra cần bảo đảm rằng filename của chứng chỉ khách và key phải đúng.
Lưu file Notepad với đuôi .ovpn và o địa chỉ sau: C:Program FilesOpenVPNconfig.
Copy chứng chỉ CA (ca.crt) và chứng chỉ lẫn key máy khách (client1.crt & client1.key) từ máy tÃnh mà bạn đã tạo PKI ở trên và o cùng má»™t địa Ä‘iểm (C:Program FilesOpenVPNconfig) trên máy khách.
Các thiết láºp máy khách đã được thiết láºp xong để bạn có thể kết nối lúc nà y. KÃch Start > All Programs > OpenVPN > OpenVPN GUI. Sau đó kÃch phải và o biểu tượng trong khay hệ thống và kÃch Connect.
Cấu hình máy khách trên các Router TomatoVPN bổ sung
Nếu muốn kết nối toà n bá»™ vá»›i máy chủ VPN, bạn có thể thiết láºp các Router TomatoVPN phụ tại các địa Ä‘iểm khác. Có thể sá» dụng máy khách VPN trên Router để tất cả ngÆ°á»i dùng trên mạng từ xa có thể truy cáºp.
Kết nối đến Router và mở giao diện Ä‘iá»u khiển web. Sau đó kÃch VPN Tunneling > Client. Trên tab Basic (xem hình 4), chắc chắn bạn sẽ muốn kÃch hoạt Start with WAN để máy khách VPN có thể tá»± Ä‘á»™ng khởi chạy khi Router khởi Ä‘á»™ng. Nháºp và o địa chỉ WAN hay địa chỉ IP Internet của Router TomatoVPN Ä‘ang hosting máy chủ VPN đối vá»›i phần Server Address. Cách khác bạn có thể sá» dụng là dùng hostname, trÆ°á»ng hợp sá» dụng dịch vụ DNS Ä‘á»™ng khi không có địa chỉ IP tÄ©nh. Các thiết láºp khác có thể để mặc định. Sau đó kÃch Save để lÆ°u các thay đổi.
KÃch Advanced, đối vá»›i phần Compression, chá»n Disabled. Sau đó kÃch Save.
Tiếp theo, kÃch tab Keys và điá»n và o các trÆ°á»ng bằng cách copy ná»™i dung trong các file mà bạn đã tạo trong thÆ° mục easy-rsakeys:
• Certificate Authority - ca.crt
• Client Certificate - i.e. client1.crt
• Client Key - i.e. client1.key
Äối vá»›i phần chứng chỉ máy khách, không chèn và o phần đầu tiên của file. TÆ°Æ¡ng tá»± vá»›i các thà nh phần khác, bắt đầu vá»›i -----BEGIN CERTIFICATE - và kết thúc vá»›i -----END CERTIFICATE-----.
Hình 4: Tab Basic
Sau khi thá»±c hiện xong, kÃch Save. Tiếp đó để kết nối, kÃch Start Now. Nếu thà nh công, nút nà y sẽ thay đổi thà nh Stop Now và bạn sẽ thấy thống kê nói chung trên tab Status.
Kiểm tra lần cuối
Sau khi đã kết nối, bạn có thể truy cáºp và o các tà i nguyên mạng cÅ©ng nhÆ° các chia sẻ trên mạng cục bá»™ của Router TomatoVPN Ä‘ang hosting máy chủ.
Nếu muốn test cà i đặt của mình mà không cần rá»i vị trÃ, hãy kết nối vá»›i Router TomatoVPN Ä‘ang hosting máy chủ VPN từ cổng WAN/Internet đến cổng Ethernet trên Router khác. Äể test kết nối máy khách trên má»™t máy tÃnh nà o đó, hãy kết nối đến Router khác và cấu hình máy khách VPN vá»›i địa chỉ WAN IP của Router TomatoVPN. Thao tác nà y sẽ mô phá»ng cho má»™t kết nối đến từ Internet. Sau khi thá»±c hiện xong, muốn sá» dụng nó thông qua Internet, hãy lấy Router TomatoVPN và nối trá»±c tiếp nó vá»›i modem Internet.
Các chủ đỠkhác cùng chuyên mục nà y:
|
|
| |