Virtual Private Networks (VPN) hay gọi theo tiếng Việt là Mạng Riêng Ảo, cho phép bạn mở rộng phạm vi mạng nội bộ bằng cách sử dụng lợi thế của internet.  Kỉ thuật VPN cho phép bạn kết nối với một host nằm xa hàng ngàn dặm với mạng LAN của bạn và làm cho nó trở thành một node hay một PC nữa trong mạng LAN.  Một đặc điểm nữa của VPN là sự kết nối giữa clients và mạng ảo của bạn khá an toàn như chính bạn đang ngồi trong cùng một mạng LAN.

Các hệ điều hành Windows 2000 Server cho phép bạn thiết lập VPN server bằng cách sử dụng lợi thế có sẳn trong RRAS (Remote Routing Access Service).  Sau khi thiết lập một server thành VPN server thì các clients có thể gọi vào và truy cập những tài nguyên trong mạng nội bộ hay còn gọi là LAN như là đang kết nối trực tiếp với network đó.

VPN Clients

Thế nào là VPN client?  VPN clients có thể là bất kì một computer nào sử dụng hệ điều hành từ Win9x, Windows NT Workstation hay là Windows 2000 Professional.  Ngay cả server cũng có thể là VPN clients.  Cách làm việc giữa client computer và server như thế nào?  Cách đơn giản và thong dụng nhất là client computer khởi tạo một kết nối với ISP bằng giao thức PPP (Point to Point Protocol).  Sau khi kết nối theo dạng này còn được gọi là “Non-Virtual” kết nối không ảo ở tầng datalink, client có thể sử dụng giao thức PPP này một lần nữa để thiết lập một kết nối ảo với VPN server và từ đây nó có thể trở thành một node hay một máy trạm trong hệ thống LAN.

Lưu ý: Khi client kết nối được với VPN server, thực tế nó vẫn đang kết nối với internet.  Tuy nhiên, sau khi thiết lập được kết nối VPN với VPN server, thì client hay máy trạm sẽ tự động tìm kiếm một địa chỉ IP mà địa chỉ IP này phải trùng hay nói đúng hơn là phải cùng subnet với mạng ảo mà nó kết nối tới, sự kết nối này sẽ tạo ra một interface ảo hay là một cạd mạng ảo.  Card mạng ảo này sẽ thiết lập một gateway mặc định.


Cách cài đặt VPN Server

Trước khi client có thể gọi vào hoặc có thể truy cập được vào mạng của bạn, bạn cần phải cài đặt VPN server.  Trong bài này chúng ta sẽ cùng nhau tìm hiểu cách cài đặt một VPN Server như thế nào cũng như sẽ điểm qua một vài vấn đề quan trọng trong hệ thống hạ tầng của giải pháp mạng ảo VPN.

Bước đầu tiên là enable Routing and Remote Access Service (RRAS).  Bước này thì bạn không cần phải cài đặt vì nó đã được cài đặt sẳn khi bạn cài đặt hệ điều hành Windows.  Tuy nhiên mặc dù đã được cài đặt theo windows nhưng nó chưa được enable, cho nên để có thể enable RRAS thì bạn có thể làm theo các bước sau đây:

 

1. Chọn start, chọn Programs, chọn Administrative Tools, chọn Routing and Remote Access (RRAS).

2. Trong Routing and Remote Access console, right click
   tên server của bạn, và chọn Enable Routing and
   Remote Access.  Sau khi chọn như ở trên nó cần khoảng vài giây để activate.

3. Sau đó RRAS Wizard sẽ khơi động. Trong phần này bạn nên chọn mục Manually configured server và click Next theo hình dưới đây.
   
    

4. Bạn cứ tiếp tục làm theo sự chỉ dẫn trên wizard cho tới khi bạn hoàn tất phần wizard, và cuối cùng là chọn Finish để hoàn tất phần enable RRAS.
5. Sau khi hoàn tất phần enable RRAS bạn cần phải restart service, bạn chỉ chọn Yes.

Lưu ý: Chúng ta không sử dụng mục Virtual private network (VPN) server vì có một trở ngại là khi chọn mục này, nó sẽ bảo vệ cái interface mà bạn chọn bằng cách cài bộ lọc mà chỉ cho phép hai giao thức căn bản là L2TP và PPTP được quyền truyền tải dử liệu, RRAS sẽ không truyền tải nếu nó không phải là giao thức trên, đó là lý do nên sử dụng mục Manually configured server.

Khi RRAS bắt đầu làm việc thì bạn sẽ thấy như tấm hình dưới đây.



Phần General Tab

Right click vào server name của bạn và chọn Properties theo hình dưới đây.



Trong phần Properties trên bạn có thể chọn vào mục Router vì computer của bạn sẽ chịu trách nhiệm chuyển tải những yêu cầu từ VPN clients với lại mạng nội bộ LAN, đó là lý do bạn cần phải chọn vào mục router.  Phần làm việc của mục router này là route traffic trực tiếp giữa mạng LAN và những máy truy cập thông qua kết nối theo dạng demand-dial.  Nếu bạn muốn VPN theo dạng gateway-to-gateway VPN, bạn nên chọn mục Router và luôn cả mục LAN and demand-dial routing.

Bạn nhớ chọn thêm mục Remote access server.  Nếu bạn không chọn mục này thì VPN client không thể gọi vào được.


The Server "IP" Tab

Chọn vào mục IP tab như hình dưới đây.

Chọn vào mục Enable IP routing, mục này cho phép clients được quyền truy cập vào mạng nội bộ của bạn, nếu bạn không chọn mục này thì các clients chỉ có thể truy cập vào VPN server mà thôi.

Mục Allow IP-based remote access and demand-dial
connections phải được enable để các clients có thể cấp phát địa chỉ IP khi client truy cập.  Khi bạn chọn mục này có nghĩa là bạn cho phép giao thức điều khiển IP (IPCP), giao thức này được sử dụng để thiết lập kết nối theo dạng PPP.

Bước kế tiếp là bạn cần phải quyết định số IP cấp phát cho VPN clients như thế nào. Bạn có hai cách cấp phát IP

• Dynamic Host Configuration Protocol (DHCP) IP động.
• Static Address Pool IP Tĩnh

Theo kinh nghiệm thì nên chọn DHCP vì không cần phải mệt óc chia và cấp phát thế nào cho clients.  Khi DHCP server được configure với một scope địa chỉ IP cho card LAN của VPN server, thông thường by default RRAS/VPN server có khoảng 10 ports để cho phép tạo kết nối, vì vậy nó sẽ chôm khoảng 10 IP address của DHCP server và nó sẽ sử dụng một cho chính nó.  Nếu tất cả IP address đều được sử dụng hết bởi các kết nối VPN và nếu VPN server của bạn có nhiều hơn 10 ports thì nó sẽ lấy thêm 10 IP addresses nữa từ DHCP server để sơ cua cho các truy cập sau.


Cách dễ nhất để giải quyết địa chỉ IP cho client là đặt DHCP server trong cùng một subnet với VPN server interface.  Bạn có thể thiết lập DHCP Relay Agent, tuy nhiên phần này sẽ đề cập ở mục khác.

Nếu như bạn sử dụng IP tĩnh để cho phép client tạo kết nối thì phải bảo đảm rằng nó phải cùng subnet với mạng nội bộ của VPN server hay là internet interface của VPN server.  Còn không thì hơi phiền phức.

Ở phần cuối của hình dưới bạn chọn vào mục Use the following
adapter to obtain DHCP, DNS, and WINS addresses for dial-up
clients, ở đây bạn nên chọn NIC card còn lại của VPN server, vì là client khi kết nối với mạng VPN của bạn, nó cần phải nằm trong cùng mạng LAN, cho nên bạn phải chọn NIC card của RRAS server vì NIC card này sẽ chịu trách nhiệm cung cấp các thông tin về DHCP, DNS và WINS cho client.
 

Sau khi bạn chọn xong thì click OK để tiếp tục phần configure ports như hình dưới đây.

Configuring the VPN Ports

Trong phần RRAS Console, bạn right click vào Ports, chọn Properties như hình dưới đây.




Configuring the VPN Ports

Trong phần Ports Properties như hình dưới đây.  Chọn VPN interface mà bạn muốn enable, ví dụ như bạn muốn enable giao thức PPTP để client có thể tạo kết nối với mạng VPN, giao thức PPTP tương đối là đơn giản nhất, cho nên bạn nên bắt đầu bằng giao thức này bằng cách chọn WAN Miniport (PPTP) sau đó nhấn vào mục Configure như hình dưới đây.



Trong phần configure WAN Miniport (PPTP) như hình dưới, bạn nên chọn mục Remote access connections (inbound only) để clients có thể tạo kết nối với VPN server.

Mục Demand-dial routing connections (inbound and outbound) cho phép RRAS server được phép khởi tạo hoặc là chấp nhận kết nối đến và từ demand-dial routers.  Nếu bạn muốn thực hiện giải pháp gateway-to-gateway VPN solution, thì bạn nên chọn mục này, nhưng nếu bạn chỉ muốn cho phép nhận kết nối từ clients thôi thí bạn có thể disable thư mục này.

Trong hộp Phone number for this device, nhập vào địa chỉ IP của VPN server interface như hình dưới.

Ở mục Maximum ports box, bạn có thể nhập vào bao nhiêu ports cũng được tùy theo nhu cầu của bạn, ports thì có tổng cộng khoảng 16384 ports, cho nên nếu bạn có nhu cầu nhiều hơn số lượng ports đó thì bạn phải cần thêm một VPN server.




Click OK. Nếu bạn chọn ít hơn số port mặc định thì bạn sẽ gặp lời cảnh cáo như hình dưới đây, nhưng không sao bạn cứ việc click Yes.  Sau đó click Apply trong phần Port Properties.



Bước cuối cùng là cho phép truy cập qua Remote Access Policy. Chọn vào thư mục Remote Access Policy, bên tay phải bạn right click vào mục Allow access if dial-in permission is enable chọn properties như hình dưới.

Trong phần Allow access if dial-in permission is enable Properties, chọn vào mục Grant remote access permission.  Mục này cho phép users truy cập bất cứ lúc nào miễn là khớp với điều kiện đặt ra của Policy Change the If a user matches the conditions setting to
Grant remote access permission như hình dưới sau đó.

Click Apply and then click OK.




Kết luận

Trong bài viết này chúng ta đã cùng nhau lướt qua cách thiết lập một VPN server.  Thật ra cách thiết lập một VPN server như chúng ta vừa làm thuộc dạng đơn giản đủ để cho phép clients tạo các kết nối với VPN server.  Tuy nhiên một khi bạn đã có thể bảo đảm rằng VPN server của bạn đã làm việc một cách tốt đẹp bằng cách bạn tạo một kết nối thử nghiệm từ ngoài vào, nếu thành công thì bạn hãy bước một bước kế tiếp kỉ thuật hơn cũng như gia tăng bảo mật.

Windows 2000 RRAS Server rất mạnh và cũng là một chương trình phần mềm chẳng đơn giản chút nào.  Có rất nhiều options trong cái RRAS console này, nếu bạn biết cách phát huy hay sử dụng nó đúng thì sẽ tạo cho bạn rất nhiều thích thú.  Tốt nhất khi thiết lập bất cứ server loại nào, điều bạn nên nhớ đầu tiên là cố gắng đơn giản việc thiết lập để chắc chắn rằng những cái chúng ta vừa thiết lập đã hoạt động căn bản rồi