Xu Hướng 2/2023 # Hướng Dẫn Cấu Hình Vpn Client To Site Với L2Tp Trên Edgerrouter # Top 4 View | Uta.edu.vn

Xu Hướng 2/2023 # Hướng Dẫn Cấu Hình Vpn Client To Site Với L2Tp Trên Edgerrouter # Top 4 View

Bạn đang xem bài viết Hướng Dẫn Cấu Hình Vpn Client To Site Với L2Tp Trên Edgerrouter được cập nhật mới nhất trên website Uta.edu.vn. Hy vọng những thông tin mà chúng tôi đã chia sẻ là hữu ích với bạn. Nếu nội dung hay, ý nghĩa bạn hãy chia sẻ với bạn bè của mình và luôn theo dõi, ủng hộ chúng tôi để cập nhật những thông tin mới nhất.

Bài viết này hướng dẫn bạn cách cấu hình VPN sử dụng giao thức L2TP (Layer 2 Tunneling Protocol) server trên dòng EdgeRouter của Ubiquiti.

Trước khi cấu hình các bạn cần chú ý các yêu cầu sau:

Áp dụng cho EdgeOS firmware trên tất cả các dòng EdgeRouter

Cần biết cách sử dụng cấu hình qua lệnh (CLI) và có kiến thức về mạng căn bản.

Các bước cấu hình VPN Client to site với L2TP trên EdgerRouter

Cấu hình L2TP Server

Cài đặt L2TP trên thiết bị của người dùng

Cấu hình L2TP Server

Máy chủ EdgeRouter L2TP cung cấp quyền truy cập VPN vào mạng LAN (192.168.1.0/24) cho các máy của người dùng đã xác thực L2TP.

***Các bước cấu hình máy chủ L2TP VPN trên EdgeRouter:

Bước 1: Nhập lệnh vào mode cấu hình trên Router :

configure

Bước 2: Tạo các rule cho cho phép lưu lượng L2TP được vào local trong firewall

set firewall name WAN_LOCAL rule 30 action accept set firewall name WAN_LOCAL rule 30 description ike set firewall name WAN_LOCAL rule 30 destination port 500 set firewall name WAN_LOCAL rule 30 log disable set firewall name WAN_LOCAL rule 30 protocol udp

set firewall name WAN_LOCAL rule 40 action accept set firewall name WAN_LOCAL rule 40 description esp set firewall name WAN_LOCAL rule 40 log disable set firewall name WAN_LOCAL rule 40 protocol esp

set firewall name WAN_LOCAL rule 50 action accept set firewall name WAN_LOCAL rule 50 description nat-t set firewall name WAN_LOCAL rule 50 destination port 4500 set firewall name WAN_LOCAL rule 50 log disable set firewall name WAN_LOCAL rule 50 protocol udp

set firewall name WAN_LOCAL rule 60 action accept set firewall name WAN_LOCAL rule 60 description l2tp set firewall name WAN_LOCAL rule 60 destination port 1701 set firewall name WAN_LOCAL rule 60 ipsec match-ipsec set firewall name WAN_LOCAL rule 60 log disable set firewall name WAN_LOCAL rule 60 protocol udp

Chú ý: đảm bảo các rule trên không ghi đè lên bất kỳ rule nào hiện có trong firewall của Router

Bước 3: Cấu hình Server xác thực, trong bài hướng dẫn này sử dụng phương án xác thực local

set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret

set vpn l2tp remote-access authentication mode local

Bước 4: Xác định dải IP sẽ được sử dụng bởi các máy VPN client

set vpn l2tp remote-access client-ip-pool start 192.168.100.240 set vpn l2tp remote-access client-ip-pool stop 192.168.100.249

Chú ý: Dãi IP của máy VPN client phải không bị trùng với các địa chỉ IP đã tồn tại trên Router, trang trình trạng trùng IP

Bước 5: Xác dụng DNS server sẽ sử dụng cho máy VPN client , nên sử dụng DNS của Google

Bước 6: Xác định cổng WAN nhận yêu cầu L2TP từ các máy VPN, chỉ được chọn một trong các lệnh dưới

Cổng WAN của router đang chạy cấu hình mode DHCP Client

set vpn l2tp remote-access dhcp-interface eth0

Cổng WAN của router đang chạy IP Public tĩnh

Cổng WAN của router đang chạy mode quay PPPOE (đảm bảo IP wan nhận được không phải dạng IP NAT)

set vpn l2tp remote-access outside-address 0.0.0.0

Bước 7: Thực hiện chạy các lệnh đã nhập và lưu cấu hình

commit ; save

Chú ý : Các lệnh sau được sử dụng để xem lại cấu hình, kiểm tra user đã kết nối và session của VPN Client

Show configuration commandsshow vpn remote-accessshow vpn ipsec sa

Cấu hinh VPN L2TP với câu lệnh đầy đủ

configure

set firewall name WAN_LOCAL rule 30 action accept set firewall name WAN_LOCAL rule 30 description ike set firewall name WAN_LOCAL rule 30 destination port 500 set firewall name WAN_LOCAL rule 30 log disable set firewall name WAN_LOCAL rule 30 protocol udp set firewall name WAN_LOCAL rule 40 action accept set firewall name WAN_LOCAL rule 40 description esp set firewall name WAN_LOCAL rule 40 log disable set firewall name WAN_LOCAL rule 40 protocol esp set firewall name WAN_LOCAL rule 50 action accept set firewall name WAN_LOCAL rule 50 description nat-t set firewall name WAN_LOCAL rule 50 destination port 4500 set firewall name WAN_LOCAL rule 50 log disable set firewall name WAN_LOCAL rule 50 protocol udp set firewall name WAN_LOCAL rule 60 action accept set firewall name WAN_LOCAL rule 60 description l2tp set firewall name WAN_LOCAL rule 60 destination port 1701 set firewall name WAN_LOCAL rule 60 ipsec match-ipsec set firewall name WAN_LOCAL rule 60 log disable set firewall name WAN_LOCAL rule 60 protocol udp

set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret admin@123456@!@ set vpn l2tp remote-access authentication mode local set vpn l2tp remote-access authentication local-users username adminvpn password admin@vpn123! set vpn l2tp remote-access client-ip-pool start 192.168.100.240 set vpn l2tp remote-access client-ip-pool stop 192.168.100.249 set vpn l2tp remote-access dns-servers server-1 8.8.8.8 set vpn l2tp remote-access dns-servers server-2 8.8.4.4 set vpn l2tp remote-access outside-address 203.0.113.1

commit ; save

2. Cài đặt L2TP trên thiết bị của người dùng

Bước tiếp theo là cài đặt L2TP trên các máy của người dùng. Đảm bảo các thông tin phải khớp với nhau (user/password của VPN client “adminvpn”/ “admin@vpn123!”, pre-shared-secret “admin@123456@!@”)

Bước 1: Windows kết nối L2TP VPN

Trong bài này, mình dùng thiết bị Egderouter 4 và máy tính Windows 10 để kết nối VPN vào

VPN Provider: Windows (built-in) Connection name: L2TP Server name: 203.0.113.1 VPN Type: L2TP/IPsec with pre-shared key Pre-shared key: admin@123456@!@ Type of sign-in info: User name and password User name: adminvpn Password: admin@vpn123!

Trong giao diện cài đặt mạng của Windows 10 thay đổi giao thức bảo mật để cho phép kết nối VPN

Bước 2: MacOS L2TP client

Thêm kết nối VPN trong cài đặt mạng

Interface: VPN VPN Type: L2TP over IPSec Service name: VPN (L2TP)

Chỉnh sửa lại L2TP vừa tạo

Configuration: Default Server Address: 203.0.113.1 Account Name adminvpn

Thêm cài đặt xác thực

User Authentication: admin@vpn123! Machine Authentication: admin@123456@!@

Tùy chọn : Tất cả lưu lượng truy cập mạng sẽ đi qua VPN

Session Options: Send all traffic over VPN connection (checked)

Fanpage FPT – Thiết Bị Mạng: https://www.facebook.com/wifithietbifpt

Hỗ Trợ Kỹ Thuật: 028-7300-2222

Số máy lẻ (Ext): 89777 Hoặc 8654

Hướng Dẫn Cấu Hình Ipsec Vpn Site To Site Trên Router Cisco

Trong bài viết này mình sẽ hướng dẫn các bạn cấu hình IPSEC VPN Site to Site giữa 2 thiết bị định tuyến Router Cisco. Để cấu hình VPN thì router yêu cầu phải có License SEC để mã hóa DES/3DES. Mình sẽ sử dụng Packet Tracert để lap bài này.

VPN Site to Site là gì?

IPSec VPN Site to Site là 1 giao thức được sử dụng để kết nối 2 chi nhánh, văn phòng, cho phép truyền dữ liệu, thoại, video… 1 cách an toàn giữa 2 site. IPSec VPN sẽ tạo 1 tunnel thông qua mạng internet và được mã hóa bằng các thuật toán mã hóa tiên tiến để cung cấp bảo mật cho dữ liệu khi truyền giữa 2 site.

Các bước cấu hình

Bước 1: Cấu hình access-list không cho NAT giữa IP nội bộ của 2 Site

Bước 2: Cấu hình ISAKMP, bật mã hóa và chứng thực cho VPN

Bước 3: Cấu hình access-list cho phép VPN Traffic

Bước 4: Tạo IPSec Transform

Bước 5: Tạo Crypto Map

Bước 6: Gán Crypto Map vào cổng nối ra internet

Cấu hình VPN Site to Site trên Router Cisco

Trong bài lab này mình sẽ sử dụng Packet Tracert để thực hiện. Mô hình gồm 2 site là HQ gồm 2 VLAN 10.0.0.0/24 và 10.0.1.0/24 và BR là 172.16.1.0/24 sử dụng NAT để truy cập Internet. Yêu cầu bài Lab là cấu hình IPSec VPN Site to site để tạo 1 tunnel cho phép 2 site có thể truy cập được lẫn nhau

Bước 1: Cấu hình access-list không cho NAT giữa IP nội bộ của 2 Site

Trong bài này 2 site được cấu hình Network Address Translation (NAT) để cho phép mạng nội bộ truy cập ra internet. Khi cấu hình IPSec VPN Tunnel, chúng ta tạo thêm access-list để không cho route NAT các gói tin VPN

HQ(config)#ip access-list extended NAT HQ(config-ext-nacl)#10 deny ip 10.0.0.0 0.0.0.255 172.16.1.0 0.0.0.255 HQ(config-ext-nacl)#20 deny ip 10.0.1.0 0.0.0.255 172.16.1.0 0.0.0.255 HQ(config-ext-nacl)#30 permit ip 10.0.0.0 0.0.0.255 any HQ(config-ext-nacl)#40 permit ip 10.0.1.0 0.0.0.255 any HQ(config-ext-nacl)#exit HQ(config)#ip nat inside source list NAT interface g0/0/1 overload

Bước 2: Cấu hình ISAKMP

HQ(config)#crypto isakmp policy 10 HQ(config-isakmp)#encryption 3des HQ(config-isakmp)#hash md5 HQ(config-isakmp)#authentication pre-share HQ(config-isakmp)#group 2 HQ(config-isakmp)#exit HQ(config)#crypto isakmp key cnttshop address 100.0.0.1

Bước 3: Cấu hình access-list cho phép VPN Traffic

HQ(config)#ip access-list extended VPN HQ(config-ext-nacl)#10 permit ip 10.0.0.0 0.0.0.255 172.16.1.0 0.0.0.255 HQ(config-ext-nacl)#20 permit ip 10.0.1.0 0.0.0.255 172.16.1.0 0.0.0.255

Bước 4: Tạo IPSec Transform

HQ(config)#crypto ipsec transform-set SET1 esp-3des esp-md5-hmac

Bước 5: Tạo Crypto Map

HQ(config)#crypto map MAP1 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.

HQ(config-crypto-map)#set peer 100.0.0.1 HQ(config-crypto-map)#set transform-set SET1 HQ(config-crypto-map)#match address VPN

Bước 6: Gán Crypto Map vào cổng nối ra internet

Tương tự cấu hình cho Router tại site BR

BR(config)# crypto isakmp policy 10

BR(config-isakmp)#encryption3des

BR(config-isakmp)#hash md5

BR(config-isakmp)#authentication pre-share

BR(config-isakmp)#group 2

BR(config-isakmp)#exit BR(config)# crypto isakmp keycnttshopaddress 100.0.0.100

BR(config)# ip access-list extended VPN

BR(config-ext-nacl)# 10 permit ip 172.16.1.00.0.0.255 10.0.0.0 0.0.0.255 BR(config-ext-nacl)#20 permit ip 172.16.1.0 0.0.0.255 10.0.1.0 0.0.0.255

BR(config-ext-nacl)# exit

BR(config)# crypto ipsec transform-set SET1esp-3des esp-md5-hmac

BR(config)# crypto mapMAP110 ipsec-isakmp

BR(config-crypto-map)# set peer 100.0.0.100

BR(config-crypto-map)# set transform-set SET1

BR(config-crypto-map)# match address VPN BR(config-crypto-map)# exit

BR(config)# interface g0/0/0

BR(config- if)# crypto map MAP1

Kiểm tra kết nối VPN Tunnel

Từ PC 172.16.1.10 tại site BR ping đến 2 server 10.0.1.10 và 10.0.0.10 tại HQ

Tương tự từ Server 10.0.0.10 ở HQ ping đến PC 172.16.1.10 tại BR

Show crypto isakmp sa

show crypto ipsec sa

HQ#sh crypto ipsec sa

interface: GigabitEthernet0/0/1

Crypto map tag: MAP1, local addr100.0.0.100

protected vrf: (none) local ident (addr/mask/prot/port): (10.0.0.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0) current_peer100.0.0.1port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 13, #pkts encrypt: 13, #pkts digest: 0 #pkts decaps: 21, #pkts decrypt: 21, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0

local crypto endpt.:100.0.0.100, remote crypto endpt.:100.0.0.1 path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/1 current outbound spi: 0x21F222F3(569516787)

inbound ah sas:

inbound pcp sas:

outbound ah sas:

outbound pcp sas:

local crypto endpt.: 100.0.0.100, remote crypto endpt.:100.0.0.1 path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/1 current outbound spi: 0x52AD046A(1387070570)

inbound ah sas:

inbound pcp sas:

outbound ah sas:

outbound pcp sas:

Hướng Dẫn Cài Đặt Vpn Client To Site Với Giao Thức Pptp

1. Tạo User và cấp quyền VPN

a) Tạo User để kết nối VPN

b) Cấp quyền VPN cho user

2. Cài đặt và cấu hình dịch vụ RRAS

a) Cài đặt dịch vụ Routing and Remote Access

b) Cấu hình VPN client to site

3. Tạo kết nối VPN trên VPN client

– 1 máy windows server 2008 tên HT-DC đã nâng cấp lên DC với domain hoangthongit.com

– 1 máy windows server 2008 tên HT-SRV-01 đã join vào domain dùng để cài đặt VPN Server.

– 1 máy Windows 7 tên Client1 dùng làm VPN Client.

Máy HT-DC có một card mạng (đặt card này ở chế độ Vmnet 2 trên phần mềm Vmware)

Máy HT-SRV-01 có 2 card mạng:

+ Card Int nối với máy HT-DC (đặt card này ở chế độ Vmnet 2 trên phần mềm Vmware) có địa chỉ IP như sau:

+ Card Ext nối với máy Client1 (đặt card này ở chế độ Vmnet 3 trên phần mềm Vmware) có địa chỉ IP như sau:

Máy Client 1 có 1 card mạng nối với máy HT-SRV-01 (đặt card này ở chế độ Vmnet 3 trên phần mềm Vmware) có địa chỉ IP như sau:

Chuột phải vào User vpn_user mới tạo chọn Properties.

Thực hiện trên máy HT-SRV-01

Đăng nhập bằng tài khoản administrator domain hoangthongit.com

Trên cửa sổ welcome chọn Next.

Trên cửa sổ Configuration tick chọn Remote access dial-up or VPN sau đó chọn Next.

Trên cửa sổ Remote Access tick chọn VPN sau đó Next.

Trên cửa sổ VPN Connection tick chọn card Ext, đây là card bên ngoài của máy VPN Server. Sau đó chọn Next.

Trên cửa sổ IP Address Assignment tick chọn From a specified of addresses sau đó chọn Next.

Gán giải địa chỉ IP mà các máy Client sẽ nhận. Có thể gán bất kì 1 giải nào sau đó chọn OK.

Tick chọn No, use Routing and Remote Access to authenticate connection requests và sau đó chọn Next.

Ta có kết quả như hình trên.

Thực hiện trên máy Client1

Vào Network and Sharing Center, chọn Set up a new connection or network.

Tick chọn Connect to workplace, sau đó chọn Next.

Điền địa chỉ IP public của máy VPN Server, ở bài lab này là địa chỉ của card Ext sau đó chọn Next.

Điền user name, password, domain như hình dưới sau đó chọn Create. (tick chọn Remember this password để ghi nhớ mật khẩu)

Vào Network connection ta thấy 1 biểu tượng kết nối VPN đã được tạo ra.

Chọn Connect để kết nối.

Kết nối VPN thành công với giao thức PPTP

Ping vào máy HT-DC thấy thành công.

Hướng Dẫn Cấu Hình Vpn Server

TRÊN WINDOWS SERVER 2003 MỤC LỤC

Cài đặt windows server 2003 và update các service pack

Cấu hình VPN server

Cấu hình Nat

Cấu hình Filter

Do nhu cầu bảo mật khi truy cập vào các server của công ty từ các mạng public không đáng tin cậy của các thành viên trong công ty. Một kênh kết nối mã hóa dữ liểu cần được thiết lập trên các mạng public không đáng tin cậy cần được xây dựng, giúp cho dữ liệu mà các thành viên truyền đi trên mạng khi truy cập vào các server của công ty được mã hóa. Vì thế, yêu cầu đặt ra là cấu hình một VPN server + NAT và thông qua VPN server này các remote client có thể truy cập các tài nguyên công ty trên mạng public được an toàn.

Nhấp phải trên CONGDAT (local) chọn Configure And Enable Routing And Remote Access.

Sau khi màn hình Welcome to the routing and remote access server setup winzard hiện ra, ta nhấnNext.

Chọn mục Remote access (dial-up or vpn). Tiếp tục Nhấn Next

Tại đây ta config server VPN nên ta chọn mục VPN như hình trên, tiếp tục nhấn Next

Tại cửa sổ tiếp theo này, wizard đưa ra các lựa chọn cho ta chọn card mạng nào là card mạng external (card mạng đó đi được internet). Và cũng tại cửa sổ này, ta có thể enable hoặc disable security trên interface external ( Enable security on the select interface by setting up static packet filters), nếu ta check mục này, thì tất cả client không the kết nối được vào vpn server vì mặc định, firewall sẽ chặn tấ cả các kết nối của client vào vpn sever. Vì thế tại mục tùy chọn này ,ta có thể uncheck (ta có thể cấu hình mục này sau khi đã cấu hình VPN hoàn tất ), để dể dàng debug lỗi. Tiếp tục nhấn nút Next.

Tại đây, ta có thể cấu hình để server VPN cấp ip mạng Internal cho client khi client kết nối vpn vào thành công, có 2 tùy chọn ở đây

Automatically : Nếu mạng internal có sẳn một DHCP, thì ta chọn tùy chọn này để DHCP đó cấp luôn ip cho các client khi client kết nối VPN vào. Nếu chọn tùy chọn này, bạn phải khai báo DHCP server trong mục DHCP relay agent sau khi đã cấu hình vpn hoàn tất.

From a specified range of addresses : chọn tùy chọn này giúp ta chỉ định một dãy ip sẽ được cấp cho client khi client kết nối vào vpn server.

Trong cả 2 trường hợp, các ip cấp cho client khi client kết nối vpn vào là dãy ip internal của vpn server.

Tại đây ta chọn From a specified range of addresses. Nhấp Next để đến cửa sổ kế tiếp.

Ở cửa sổ kế tiếp, ta khai báo dãy ip internal sẽ cấp cho client khi client kết nối vào vpn. Nhấn next để đến cửa sổ kế tiếp.

Nếu trong mạng hiện thời có sẳn một RADIUS server dùng để xác thực remote client, ta có thể chọn Yes, ngược lại chọn NO, vì Routing And Remote Access có thể tự xác thực các remote client khi client kế nối vào VPN server. ở đây ta chọn No, use Routing and Remote Access to authenticate connection requests

Nhấn next để đến cửa sổ kế tiếp.

Nhấn Finish để hoàn tất.

Chọn như hình vẽ, client khi connect vao vpn server sẽ phải đổi lại password của acount đó và client sẽ tự quản lý password account của mình.

Trên panel bên phải, nhấp phải vào user testvpn mà ta mới vừa tạo, chọn Properties.

Trong hộp thọai Properties.

Trong phần Remote access permission (Dial-in or VPN chọn Allow Access

Trong phần Assign a static ip address : Chon check box này và nhập địa chỉ ip sẽ được cấp cho client (ip internal)

Trong phần chọn check box này và nhấp vào Button Static routes. Cửa sổ Static routes hiện ra, nhập địa mạng và subnet mạng của network internal.

Luu ý : phải chọn check box static routes và nhập địa chỉ mạng, thì khi đó, cácclient kến nối vào VPN server mới được cấp địa chỉ ip mà đã set ở trên.

Để client có thể đi internet thông qua kết nối vpn vừa setup ở trên, ta cần phải setup Nat trên VPN server, khi client kết nối vào VPN server thành công, các remote client trên cơ bản trở thành một thành viên của mạng Local Area Network, vì thế khi các client đi internet, cần qua một con Nat tên VPN server.

Trong mục IP Routing, nhấp phải chuột lên General chọn New Routing Protocol

Trong cửa sổ New Routing Protocol, chọn Nat/Basic Firewall, chọn Ok.

Trên Panel bên trái, trong mục IP routing. Chọn Nat/Basic Firewall, trên panel bên phải, nhấp phải chuột trên vùng trống chọn New Interface

Trong cửa sổ New interface, lần lượt chọn tất cả các interface. Đầu tiên chọn interface Wan và nhấn Ok, sau đó chọn như hình bên dưới

Ta chọn như trên vì interface này là interface wan kết nối với internet, nên Nat sẽ chạy trên interface này.

Tương tự cho các interfacecòn lại: Internal và Local area network nhưng để các tùy chọn mặc định và nhấn ok.

Cấu hình firewall là một trong những yêu cầu trong việc cấu hình VPN server.

Ở đây, ta chỉ cấu hình ở mức căn bản(Basic Firewall) mà Windows service 2003 cho phép trên Nat.

Yêu cầu của việc cấu hình Firewall.

Trên interface External

Chặn tất cả các port, chỉ cho phép các port sau đi thông qua:

+ Port: 1723, port của VPN

+ Protocol47: Protocol GREdùng để xác thực remote client

+ Port 3389: port remote desktop, chỉ cho phép các ip đáng tin cậy sử dụng port này

+ ICMP: chỉ cho phép các ip đáng tin cậy mới có thể ping tới VPN server

Cấu hình

Trên Panel bên trái, chọn mở rộng IP Routing, chọn mục Nat/Basic Firewall, trên Panel bên phải, nhấp phải chuột trên interface Wan, chọn Properties, cửa sổ Properties hiện ra, nhấp Button Inbound Filters

Nhấn Button New để lần lượt setup các rule mà cho phép các gói tin nào được đi thông qua interface wan, sau khi đã setup hoàn tất, chọn radio button Drop all packets except those that meet the criteria below.

Cập nhật thông tin chi tiết về Hướng Dẫn Cấu Hình Vpn Client To Site Với L2Tp Trên Edgerrouter trên website Uta.edu.vn. Hy vọng nội dung bài viết sẽ đáp ứng được nhu cầu của bạn, chúng tôi sẽ thường xuyên cập nhật mới nội dung để bạn nhận được thông tin nhanh chóng và chính xác nhất. Chúc bạn một ngày tốt lành!