Tìm hiểu vpn và triển khai các giải pháp vpn mã nguồn mở trong linux

TỔNG QUAN VỀ VPN

ĐỊNH NGHĨA, CHỨC NĂNG VÀ ƯU ĐIỂM CỦA VPN

1.1 Khái niệm cơ bản về VPN

Khi Internet ngày càng phổ biến, nhiều doanh nghiệp đã đầu tư vào nền tảng này để quảng bá và mở rộng mạng lưới của mình Ban đầu, họ sử dụng các mạng nội bộ (Intranet) với các trang web bảo mật bằng mật khẩu, chỉ dành cho thành viên trong công ty.

Hình 1.1: Mô hình VPN cơ bản

VPN (mạng riêng ảo) là một mạng độc lập sử dụng Internet để kết nối các mạng riêng lẻ hoặc người dùng từ xa Thay vì sử dụng kết nối vật lý chuyên dụng như đường Leased Line, VPN tận dụng các kết nối ảo để liên kết mạng riêng của công ty với các nhân viên làm việc từ xa.

SV:NGUYỄN ĐÌNH DŨNG Page 13

Mạng riêng ảo (VPN) sử dụng các thiết bị như switch, router và firewall để hỗ trợ kết nối an toàn Những thiết bị này có thể được quản lý bởi công ty hoặc các nhà cung cấp dịch vụ internet (ISP) VPN được coi là mạng ảo vì nó cho phép thiết lập một mạng riêng trên nền tảng mạng công cộng thông qua các kết nối tạm thời, tạo ra các kết nối bảo mật giữa hai host, giữa host và mạng, hoặc giữa hai mạng.

VPN được xây dựng thông qua việc sử dụng "Đường hầm" và "Mã hoá", có thể hoạt động ở bất kỳ lớp nào trong mô hình OSI Nó là một cải tiến cho hạ tầng mạng WAN, giúp thay đổi và nâng cao tính chất của các mạng cục bộ.

VPN cung cấp ba chức năng chính:

Sự tin cậy trong truyền tải dữ liệu là rất quan trọng, vì người gửi có thể mã hóa các gói dữ liệu trước khi gửi qua mạng Việc mã hóa này đảm bảo rằng thông tin chỉ có thể được truy cập bởi những người được phép, và ngay cả khi dữ liệu bị đánh cắp, nó cũng sẽ không thể đọc được.

 Tính toàn vẹn dữ liệu ( Data Integrity): Người nhận có thể kiểm tra rằng dữ liệu đã được truyền qua mạng Internet mà không có sự thay đổi nào

 Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin

VPN có nhiều ưu điểm hơn so với các mạng leased-line truyền thống Nó bao gồm:

VPN giúp giảm chi phí so với mạng cục bộ bằng cách tối ưu hóa tổng chi phí sở hữu Người dùng chỉ cần chi trả ít hơn cho việc thuê băng thông, thiết bị mạng và hoạt động của hệ thống, từ đó giảm thiểu chi phí kết nối.

LAN-to-LAN giảm từ 20-30% so với việc sử dụng đường Leased-line truyền thống Còn đối với việc truy cập từ xa thì giảm tới từ 60-80%

VPN mang lại tính linh hoạt cho việc quản lý Internet, vượt trội hơn so với các mạng WAN truyền thống Nhờ vào khả năng mở rộng và tính mềm dẻo, doanh nghiệp có thể nhanh chóng và hiệu quả trong việc thiết lập hoặc hủy bỏ kết nối với các trụ sở xa, người dùng di động và mở rộng mối quan hệ với các đối tác kinh doanh khi cần thiết.

VPN giúp đơn giản hóa việc quản lý công việc so với việc sở hữu và vận hành mạng cục bộ Doanh nghiệp có thể tận dụng một phần hoặc toàn bộ dịch vụ của mạng WAN, cho phép họ tập trung vào các hoạt động kinh doanh chính thay vì quản lý mạng WAN hay mạng quay số từ xa.

 VPN cung cấp các kiểu mạng đường hầm và làm giả thiểu các công việc quản lý

Backbone IP sẽ thay thế các PVC (Permanent Virtual Circuit) cố định liên quan đến các giao thức như Frame Relay và ATM, giúp tạo ra một mạng lưới hoàn chỉnh Điều này không chỉ giảm thiểu độ phức tạp mà còn tiết kiệm chi phí cho hệ thống mạng.

Hình 1.3: Ưu điểm của VPN so với mạng truyền thống Một mạng VPN có được những ưu điểm của mạng cục bộ trên cơ sở hạ tầng của mạng

IP công cộng Các ưu điểm này bao gồm tính bảo mật và sử dụng đa giao thức

VPN là một mạng ảo được thiết lập thông qua các giao thức đường hầm trên kết nối IP tiêu chuẩn Ba phương thức đường hầm phổ biến bao gồm GRE (Generic Routing Protocol), L2TP (Layer 2 Tunneling Protocol) và IPSec.

Mạng cục bộ đảm bảo độ tin cậy, tính toàn vẹn và xác thực, được gọi tắt là CIA Việc mã hóa dữ liệu và sử dụng giao thức IPSec giúp duy trì các đặc tính CIA cho dữ liệu khi truyền tải trên Web, tương tự như trong một mạng cục bộ.

1.4 Các yêu cầu cơ bản đối với một giải pháp VPN

Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo

Mỗi doanh nghiệp đều phát triển hệ thống mạng nội bộ và diện rộng của riêng mình, dựa trên các quy trình khác nhau mà không nhất thiết phải tuân theo tiêu chuẩn cụ thể từ nhà cung cấp dịch vụ.

Tính bảo mật cho khách hàng là yếu tố hàng đầu trong một giải pháp VPN, giúp người sử dụng yên tâm rằng dữ liệu của họ được bảo vệ với mức độ an toàn tương tự như trong một hệ thống mạng riêng do họ tự quản lý Để đảm bảo tính năng bảo mật hiệu quả, cần đạt được hai mục tiêu chính.

- Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu cho người sử dụng trong mạng và mã hoá dữ liệu khi truyền

Quản lý và sử dụng hệ thống cần phải đơn giản và thuận tiện cho cả người dùng lẫn quản trị viên mạng, từ quá trình cài đặt đến quản trị hệ thống.

Một giải pháp VPN cần thiết phải cung cấp được tính bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền

 Tiêu chu ẩ n v ề ch ất lượ ng d ị ch v ụ (QoS):

Tiêu chuẩn đánh giá mạng lưới đảm bảo chất lượng dịch vụ đầu cuối là rất quan trọng QoS liên quan đến khả năng duy trì độ trễ dịch vụ trong một khoảng thời gian nhất định, đồng thời cũng đề cập đến việc quản lý hiệu suất của mạng để đáp ứng nhu cầu người dùng.

1.5 Đường hầm và mã hóa

Chức năng chính của VPN đó là cung cấp sự bảo mật bằng cách mã hoá qua một đường hầm

CÁC KIỂU VPN

VPNs nhằm hướng vào 3 yêu cầu cơ bản sau đây :

Truy cập tài nguyên mạng dễ dàng mọi lúc mọi nơi thông qua điều khiển từ xa và điện thoại di động, giúp cải thiện khả năng liên lạc giữa các nhân viên trong tổ chức.

 Nối kết thông tin liên lạc giữa các chi nhánh văn phòng từ xa

Điều khiển truy cập tài nguyên mạng là cần thiết cho khách hàng, nhà cung cấp và các đối tượng quan trọng của công ty để thúc đẩy hợp tác kinh doanh hiệu quả.

Dựa trên những nhu cầu cơ bản trên, ngày nay VPNs đã phát triển và phân chia ra làm

2.1 Các VPN truy cập (Remote Access VPNs)

Remote Access VPNs cho phép nhân viên từ xa, bao gồm cả những người sử dụng thiết bị di động và các thiết bị truyền thông, truy cập tài nguyên mạng của tổ chức bất cứ lúc nào Điều này đặc biệt hữu ích cho những người dùng thường xuyên di chuyển hoặc các văn phòng chi nhánh nhỏ không có kết nối ổn định đến mạng Intranet.

VPN truy cập từ xa thường yêu cầu người sử dụng cài đặt một số phần mềm client trên máy tính của mình để thực hiện kết nối.

Hình 1.6: Mô hình mạng VPN truy cập Một số thành phần chính :

Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới

Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ở khá xa so với trung tâm

Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truy cập từ xa bởi người dùng

Hình 1.7: Cài đặt Remote Access VPN

Thu ậ n l ợ i chính c ủ a Remote Access VPNs :

 Sự cần thiết của RAS và việc kết hợp với modem được loại trừ

 Sự cần thiết hỗ trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bởi ISP

Việc quay số từ khoảng cách xa không còn được áp dụng nữa, mà sẽ được thay thế bằng các kết nối cục bộ để nâng cao hiệu quả kết nối.

 Giảm giá thành chi phí cho các kết nối với khoảng cách xa

Kết nối cục bộ mang lại tốc độ nhanh hơn so với kết nối đến những khoảng cách xa.

VPNs cải thiện khả năng truy cập vào trung tâm nhờ hỗ trợ dịch vụ truy cập tối thiểu, ngay cả khi số lượng kết nối đồng thời đến mạng tăng nhanh chóng.

Ngoài nh ữ ng thu ậ n l ợi trên, VPNs cũng tồ n t ạ i m ộ t s ố b ấ t l ợi khác như :

 Remote Access VPNs cũng không bảo đảm được chất lượng phục vụ

 Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể đi ra ngoài và bị thất thoát

Do sự phức tạp của thuật toán mã hóa và overhead của giao thức, quá trình xác nhận gặp nhiều khó khăn Hơn nữa, việc nén dữ liệu IP và PPP-based diễn ra rất chậm và không hiệu quả.

2.2 Các VPN nội bộ (Intranet VPNs):

Internet Đường hầm Đường hầm

Người dùng từ xa xa

Sử dụng di đô động

Intranet VPNs được sử dụng để kết nối các chi nhánh văn phòng với Corporate Intranet thông qua campus router Mô hình này tốn kém do yêu cầu sử dụng hai router, và việc triển khai, bảo trì cũng như quản lý mạng Intranet Backbone phụ thuộc vào lưu lượng mạng và phạm vi địa lý của toàn bộ hệ thống.

Intranet VPNs là giải pháp VPN nội bộ giúp bảo mật kết nối giữa các địa điểm của công ty, cho phép truy cập vào các nguồn dữ liệu được phép trên toàn mạng Các VPN này liên kết trụ sở chính, văn phòng và các chi nhánh qua một hạ tầng chung với kết nối mã hóa Thông thường, kiểu VPN này được cấu hình dưới dạng VPN Site-to-Site.

Hình 1.8: Mô hình mạng VPN nội bộ

Nh ữ ng thu ậ n l ợ i chính c ủ a Intranet setup d ự a trên VPN:

 Hiệu quả chi phí hơn do giảm số lượng router được sử dụng theo mô hình WAN backbone

 Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, các trạm ở một số remote site khác nhau

Kết nối nhanh chóng và hiệu quả hơn nhờ vào việc kết nối trực tiếp đến nhà cung cấp dịch vụ, giúp khắc phục vấn đề khoảng cách và giảm thiểu chi phí cho việc triển khai Intranet trong tổ chức.

Nh ữ ng b ấ t l ợ i chính k ế t h ợ p v ớ i cách gi ả i quy ế t :

Dữ liệu vẫn có nguy cơ bị rò rỉ trong quá trình chia sẻ trên Internet, và các cuộc tấn công như từ chối dịch vụ (denial-of-service) vẫn tiếp tục đe dọa an toàn thông tin.

Trong một số tình huống, đặc biệt khi xử lý dữ liệu cao cấp như các tập tin đa phương tiện, tốc độ trao đổi dữ liệu có thể trở nên chậm chạp do việc truyền tải qua Internet.

2.3 Các VPN mở rộng (Extranet VPNs):

Khác với Intranet và Remote Access, Extranet không hoàn toàn tách biệt với thế giới bên ngoài Nó cho phép các đối tác kinh doanh như khách hàng, nhà cung cấp và đối tác quan trọng truy cập vào các tài nguyên mạng cần thiết.

Mạng Extranet có chi phí cao do cần kết hợp nhiều đoạn mạng riêng biệt trên Intranet, dẫn đến khó khăn trong việc triển khai và quản lý Sự phức tạp này cũng gây trở ngại cho việc bảo trì và quản trị bởi số lượng mạng lớn.

GIAO THỨC ĐƯỜNG HẦM VPN

Giao thức đường hầm là nền tảng quan trọng trong VPN, giúp đóng gói và vận chuyển gói tin qua mạng công cộng Hiện nay, có ba giao thức đường hầm phổ biến được sử dụng, bao gồm Giao thức tầng hầm chuyển tiếp lớp 2 (L2F), Giao thức đường hầm điểm tới điểm (PPTP) và Giao thức tầng hầm lớp 2 (Layer 2 Tunneling Protocol).

Nội dung mục này bao gồm:

 Giới thiệu các giao thức đường hầm

Dịch vu 1 Nhà cung cấp

 Giao thức đường hầm điểm tới điểm

 Giao thức chuyển tiếp lớp 2

 Giao thức đường hầm lớp 2

3.1 Giao thức đường hầm điểm tới điểm (PPTP)

Giao thức này được phát triển bởi một công ty chuyên về thiết bị công nghệ viễn thông, nhằm tách biệt các chức năng chung và riêng trong việc truy cập từ xa Nó tận dụng cơ sở hạ tầng Internet hiện có để thiết lập kết nối đường hầm an toàn giữa người dùng và mạng riêng ảo.

3.1.1 Nguyên tắc hoạt động của PPTP

PPTP là một giao thức phổ biến cho việc truy cập Internet và các mạng IP, hoạt động ở lớp liên kết dữ liệu trong mô hình OSI Nó bao gồm các phương thức đóng gói và tách gói IP, cho phép truyền dữ liệu qua kết nối điểm đến điểm giữa các máy.

PPTP cho phép thiết lập một mạng IP giữa PPTP khách và máy chủ PPTP thông qua kết nối trực tiếp với máy chủ qua mạng NAS Khi kết nối thành công, người dùng sẽ được xác nhận, mặc dù đây là giai đoạn tùy chọn trong PPP, nhưng luôn được cung cấp bởi ISP Quá trình xác thực trong kết nối PPTP sử dụng các cơ chế xác thực đặc thù của PPTP, bao gồm nhiều phương thức khác nhau.

 Giao thức xác thực mở rộng EAP

 Giao thức xác thực có thử thách bắt tay CHAP

 Giao thức xác định mật khẩu PAP

Kênh điều khiển là cần thiết để thiết lập đường hầm giữa máy khách và máy chủ PPTP Máy chủ PPTP sử dụng giao thức PPTP, kết nối với Internet qua một giao diện và với Intranet qua giao diện khác Phần mềm client có thể được cài đặt trên máy tính của người dùng từ xa hoặc trên các máy chủ ISP.

3.1.2 Nguyên tắc thực hiện gói tin dữ liệu tại đầu cuối đường hầm PPTP

Khi nhận được được dữ liệu đường hầm PPTP, máy trạm và máy chủ PPTP, sẽ thực hiện các bước sau

 Xử lý và loại bỏ gói phần tiêu đề và đuôi của lớp liên kết dữ liệu hay gói tin

 Xử lý và loại bỏ tiêu đề IP

 Xử lý phần tải tin để nhận hoặc chuyển tiếp

3.1.3 Triển khai VPN dựa trên PPTP

Khi triển khai VPN sử dụng giao thức PPTP, hệ thống tối thiểu cần có các thành phần thiết bị như đã chỉ ra trong hình trên.

 Một máy chủ truy nhập mạng dùng cho phương thức quay số truy nhập bảo mật VPN

 Máy trạm PPTP với phần mềm client cần thiết

Mạng riêng đuợc bảo vệ

Máy chủ mạng PPTP Máy chủ mạng PPTP Internet

Bộ tập trung truy cấp mạng PPTP

Kết n ối Clie nt - L AN

Hình 1.12: Các thành phần hệ thống cung cấp VPN dựa trên PPTP

Máy chủ PPTP có hai chức năng chính: kết nối đường hầm PPTP và chuyển gói tin đến các mạng LAN riêng Nó xử lý gói tin PPTP để định hướng đến địa chỉ mạng đích Ngoài ra, máy chủ PPTP còn có khả năng lọc gói, cho phép quản lý quyền truy cập Internet và mạng riêng, đảm bảo an toàn và kiểm soát hiệu quả.

3.2 Giao thức chuyển tiếp lớp 2 (L2F)

Giao thức L2F là một trong những phương pháp truyền thống đầu tiên được nghiên cứu và phát triển, cho phép người dùng truy cập từ xa vào mạng doanh nghiệp thông qua các thiết bị.

3.2.1 Nguyên tắc hoạt động của L2F

Giao thức chuyển tiếp L2F đóng gói những gói tin lớp 2, sau đó truyền chúng đi qua mạng Hệ thống sử dụng L2F gồm các thành phần sau

Máy trạm truy nhập mạng NAS có khả năng hướng lưu lượng dữ liệu giữa các máy khách từ xa và Home Gateway Hệ thống ERX có thể được sử dụng như một giải pháp NAS hiệu quả.

 Đường hầm: Định hướng đường đi giữa NAS và Home Gateway Một đường hầm gồm một số kết nối

 Điểm đích: Là điểm kết thúc ở đầu xa của đường hầm Trong trường hợp này thì Home Gateway là đích

Người dùng truy nhập từ xa

Mạng của ISP Mạng riêng

Hình 1.13: Hệ thống sử dụng L2F

3.2.2 Những ƣu điểm và nhƣợc điểm của L2F

Mặc dù L2F đòi hỏi mở rộng xử lý với các LCP và phương pháp tùy chọn khác nhau, nhưng nó được ưa chuộng hơn PPTP do là một giải pháp chuyển hướng khung ở cấp thấp Hơn nữa, L2F cung cấp nền tảng giải pháp VPN tốt hơn PPTP cho mạng doanh nghiệp.

Những thuận lợi chính của việc triển khai giải pháp L2F bao gồm:

 Nâng cao bảo mật cho quá trình giao dịch

 Có nền tảng độc lập

 Không cần những sự lắp đặt đặc biệt với ISP

 Hỗ trợ một phạm vi rộng rãi các công nghệ mạng như ATM, IPX, NetBEUI, và Frame Relay

Những khó khăn của việc triển khai L2F bao gồm:

 L2F yêu cầu cấu hình và hỗ trợ lớn

 Thực hiện L2F dựa trên ISP Nếu trên ISP không hỗ trợ L2F thì không thể triển khai L2F được

3.3 Giao thức đường hầm lớp 2 L2TP ( Layer 2 Tunneling Protocol)

L2TP là sự trộn lẫn cả hai đặc tính của PPTP và L2F, bao gồm:

 L2TP hỗ trợ đa giao thức và đa công nghệ mạng như IP, ATM, FR, và PPP

 L2TP cho phép người dùng từ xa truy cập vào mạng từ xa thông qua mạng công cộng với một địa chỉ IP chưa đăng ký (hoặc riêng tư)

3.3.2 Các thành phần của L2TP

Quá trình giao dịch L2TP đảm nhiệm 3 thành phần cơ bản, một Network Access Server (NAS), một L2TP Access Concentrator (LAC), và một L2TP Network Server (LNS)

L2TP NASs là thiết bị truy cập điểm-điểm, cung cấp kết nối Internet theo yêu cầu cho người dùng từ xa, những người sử dụng quay số qua PSTN hoặc ISDN với kết nối PPP.

Bộ tập kết truy cập L2TP

LACs đóng vai trò quan trọng trong công nghệ tạo hầm L2TP, thiết lập đường hầm qua mạng công cộng như PSTN, ISDN hoặc Internet đến LNS tại điểm cuối mạng chủ Chúng hoạt động như điểm kết thúc của môi trường vật lý giữa client và LNS trong mạng chủ.

3.3.3 Những thuận lợi và bất lợi của L2TP

Thuận lợi chính của L2TP được liệt kê theo danh sách dưới đây:

LNS Đường hầm L2TP Kết nối PPP

L2TP là một giải pháp mạng đa năng, hoạt động như một nền tảng độc lập và hỗ trợ nhiều công nghệ mạng khác nhau Nó cho phép thực hiện giao dịch qua kết nối WAN không sử dụng IP, mang lại tính linh hoạt cho người dùng.

 L2TP tunneling trong suốt đối với ISP giống như người dùng từ xa Do đó, không đòi hỏi bất kỳ cấu hình nào ở phía người dùng hay ở ISP

Ngoài ra việc triển khai L2TP cũng gặp một số bất lợi sau:

 L2TP chậm hơn so với PPTP hay L2F bởi vì nó dùng IPSec để xác nhận mỗi gói dữ liệu nhận được

 Mặc dù PPTP được lưu chuyển như một giai pháp VPN dựng sẵn, một Routing and Remote Access Server (RRAS) cần có những cấu hình mở rộng

 Giao thức mạng đa giao thức này đóng gói IP, CLNP, và bất kỳ các gói dữ liệu giao thức khác vào bên trong các đường hầm IP

Giao thức tạo đường hầm GRE cho phép một Router tại mỗi điểm đóng gói các gói dữ liệu của một giao thức cụ thể vào trong mạng IP, tạo ra một kết nối ảo điểm-điểm tới các Router khác trong đám mây mạng IP, nơi mà mạng IP sẽ được loại bỏ.

 GRE không cung cấp sự mã hoá và có thể được giám sát bằng một công cụ phân tích giao thức

3.5 Giao thức bảo mật IP (IP Security Protocol)

IPSec không phải là một giao thức mà là một khung các tập giao thức chuẩn mở nhằm cung cấp xác thực, tính toàn vẹn và sự tin cậy của dữ liệu Hoạt động ở lớp 3, IPSec sử dụng IKE để thiết lập SA giữa các đối tượng ngang hàng, với các đối tượng cần được thiết lập là phần quan trọng trong quá trình thiết lập SA.

THIẾT LẬP VPN

MÔ HÌNH TỔNG QUÁT

Hình 2-1: Mô hình VPN client-to-site

VAI TRÒ VÀ CHỨC NĂNG CỦA CÁC THIẾT BỊ TRONG MÔ HÌNH

- Máy winserver 2008 làm máy chủ VPN

The VPN server is equipped with two network interfaces: the LAN interface, designated as the Internal card, and the WAN interface, designated as the External card The LAN interface has an address of 172.16.1.1/24, while the WAN interface is assigned an address of 192.168.1.1/24.

- Sử dụng một máy cài Windows 7 làm máy client Địa chỉ máy client là: 192.168.1.11/24

TỔNG QUAN CÁC BƯỚC THỰC HIỆN

Bước 1: Đặt địa chỉ IP cho các máy như trong mô hình

Bước 2: Kiểm tra kết nối từ máy client tới máy VPN Server

Bước 3: Cấu hình dịch vụ VPN trên VPN server

Bước 4: Cấu hình đăng nhập vào VPN trên máy Client

Bước 5: Kiểm tra kết quả.

CÁC BƯỚC THỰC HIỆN

- Đặt địa chỉ cho card mạng LAN: Đây là card mạng trên máy chủ VPN để đi vào mạng LAN

Hình 2.2: Địa chỉ cho card mạng LAN

- Đặt địa chỉ cho card mạng WAN: Card mạng này kết nối với máy client ở xa

Hình 2.3: Địa chỉ cho card mạng WAN

- Đặt địa chỉ cho máy Client: Nó phải có cùng miền mạng với card WAN trên máy VPN Server

Hình 2.4: Địa chỉ cho máy client

- Cài đặt dịch vụ Routing And Remote Access:

Hình 2.5: Cài đặt dịch vụ Routing

After installing the Routing and Remote Access service, the next step is to configure the VPN service Right-click and select "Configure and Enable Routing and Remote Access."

Hình 2.6: Chọn configure and Enable

Click Next and select Virtual Private Network (VPN) access and NAT: This allows remote client machines to connect to the VPN server over the Internet, while internal client machines can access the Internet using a public IP address.

Hình 2.7: Nhấn Next và chọn Viritual Private Network

- Cấu hình dãy IP cấp phát cho các máy client ở xa:

Hình 2.8: Cấp phát địa chỉ IP

- Nhấn Finish để kết thúc:

Hình 2.9: Finish để kết thúc

- Tạo user để đăng nhập vào VPN: đây là user các máy client ở xa sẽ sử dụng để đăng nhập vào VPN Server

Hình 2.10: Tạo user để đăng nhập

- Cấp quyền truy cập VPN cho user vừa tạo này:

Hình 2.11:Cấp quyền truy cập VPN

- Thiết lập kết nối tới máy VPN Server trên máy client: Vào Network and Sharing Center -> chọn Setup a new connection Network -> Chọn Connect to a Workplace

Hình 2.12: Thiết lập kết nối tới máy VPN Server

- Chọn Use my Internet connection (VPN):

Hình 2.13: Cửa sổ connect to a workplace

- Nhập vào địa chỉ card WAN của máy VPN Server:

Hình 2.14: Địa chỉ card mạng WAN

- Nhập username và password đã tạo trên máy VPN Server:

Hình 2.15: Username và password đã tạo

- Xong phần cấu hình đăng nhập Giờ ta kết nối tới VPN Server bằng user trên:

Hình 2.16: Kết nối tới VPN Server

Hình 2.17: Quá trình kết nối thành công

PHÁP MÃ NGUỒN MỞ OPENVPN TRÊN LINUX

TÌM HIỂU VÀ CẤU HÌNH OPENVPN

Năm 2003, James Yonan nhận thấy rằng việc kết nối qua các ISP ở châu Á và Nga không đảm bảo an toàn, từ đó ông xác định hai mục tiêu chính của hệ thống VPN là tính an toàn và khả dụng Mặc dù Ipsec có thể chấp nhận được về mặt an toàn, nhưng cấu trúc phức tạp của nó khiến nó dễ bị tấn công Để giải quyết vấn đề này, James đã sử dụng thiết bị card mạng ảo TUN/TAP trong hệ điều hành Linux, mang lại tính linh hoạt mà các giải pháp VPN khác không có Khác với các giải pháp VPN SSL/TLS cần trình duyệt để kết nối, OpenVPN hoạt động như một mạng thực sự, gán hầu hết các hoạt động của mạng Tên gọi OpenVPN được chọn để tôn vinh các thư viện và chương trình của dự án Open SSI, đồng thời nhấn mạnh tính chất mã nguồn mở và miễn phí OpenVPN sử dụng TUN/TAP và OpenSSL để xác thực, mã hóa và giải mã dữ liệu giữa hai bên trong cùng một mạng.

Hình 3.1: James Yonan cha đẻ của OpenVPN

OpenVPN là phần mềm mạng riêng ảo mã nguồn mở, cho phép tạo các đường ống điểm-tới-điểm được mã hóa giữa các máy chủ Được phát triển bởi James Yonan, OpenVPN được phát hành dưới giấy phép GNU GPL.

OpenVPN cho phép xác thực lẫn nhau giữa các máy đồng đẳng thông qua khóa bí mật chia sẻ, chứng chỉ mã công khai, hoặc tên người dùng/mật khẩu Phần mềm này tương thích với các hệ điều hành như Solaris, Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X, và Windows 7/XP, mang lại nhiều tính năng bảo mật và kiểm soát Tuy nhiên, OpenVPN không phải là một mạng riêng ảo web và không tương thích với IPsec hay các gói VPN khác Toàn bộ phần mềm bao gồm một file nhị phân cho cả client và server, một file cấu hình không bắt buộc, cùng với một hoặc nhiều file khóa tùy theo phương thức xác thực được sử dụng.

Hình 3.3: Trang web hiện nay của OpenVPN

1.3 Ƣu điểm và nhƣợc điểm của OpenVPN

 Bảo vệ người làm việc bên ngoài bằng bức tường lửa nội bộ

Kết nối OpenVPN có khả năng vượt qua hầu hết các tường lửa và proxy, cho phép truy cập vào các trang web HTTPS một cách hiệu quả Việc thiết lập đường hầm OpenVPN bị cấm là điều rất hiếm gặp, và OpenVPN cũng hỗ trợ đầy đủ các tính năng ủy quyền, bao gồm cả xác thực.

OpenVPN hỗ trợ cả giao thức UDP và TCP, cho phép cấu hình linh hoạt trên máy chủ và khách hàng Khi hoạt động như một máy chủ, OpenVPN sẽ chờ đợi yêu cầu kết nối từ khách hàng, và kết nối này sẽ được thiết lập dựa trên cấu hình của khách hàng.

OpenVPN 2.0 cho phép nhiều kết nối vào qua một cổng TCP hoặc UDP duy nhất, chỉ cần mở một cổng trong tường lửa Điều này giúp duy trì các cấu hình khác nhau cho từng kết nối.

OpenVPN hoạt động hiệu quả với NAT, cho phép cả máy chủ và máy khách nằm trong cùng một mạng và sử dụng địa chỉ IP riêng Mỗi tường lửa có khả năng chuyển tiếp lưu lượng đến điểm cuối của đường hầm, đảm bảo kết nối an toàn và ổn định.

Giao diện ảo hỗ trợ các quy tắc tường lửa, cho phép chia sẻ tất cả các quy tắc, cơ chế chuyển tiếp và NAT qua đường hầm OpenVPN Đồng thời, giao thức này cũng có khả năng tạo ra các đường hầm VPN khác như IPsec bên trong đường hầm OpenVPN.

OpenVPN mang lại độ linh hoạt cao với khả năng mở rộng đa dạng cho các kịch bản kết nối Người dùng có thể thiết lập nhiều điểm trong quá trình kết nối để phục vụ cho các mục đích khác nhau, bao gồm xác thực, chuyển đổi dự phòng và nhiều ứng dụng khác.

Hỗ trợ hoạt động liên tục cho IP động, hai đầu đường hầm có khả năng sử dụng IP động với sự thay đổi ít Trong trường hợp IP bị thay đổi, các phiên làm việc của Windows Terminal Server và Secure Shell (SSH) chỉ bị gián đoạn trong vài giây và tiếp tục hoạt động bình thường.

 Cài đặt đơn giản trên bất kỳ hệ thống nào: Đơn giản hơn nhiều so với IPsec

Do OpenVPN là mã nguồn mở, hệ điều hành không tích hợp sẵn tính năng quản lý người dùng VPN Vì vậy, cần cài đặt thêm gói phần mềm quản lý người dùng VPN để sử dụng hiệu quả cùng với OpenVPN.

1.4 Cài đặt OpenVPN trong Linux

OpenVPN cung cấp nhiều phiên bản cho hệ điều hành Linux trên trang web OpenVPN.net Trong báo cáo này, tôi sẽ trình bày cách triển khai OpenVPN trên hệ điều hành CentOS 64bit.

1.4.1 Những hiểu biết cơ bản về hệ điều hành Linux và CentOS

Linux là một hệ điều hành máy tính nổi tiếng, đồng thời cũng là tên gọi của hạt nhân hệ điều hành Đây là một ví dụ điển hình về phần mềm tự do và phát triển mã nguồn mở.

Linux được phát triển lần đầu bởi Linus Torvalds vào năm 1991 khi ông còn là sinh viên tại Đại học Helsinki, Phần Lan Sau ba năm nỗ lực, phiên bản Linux 1.0 ra mắt vào năm 1994 Hệ điều hành này được phát hành dưới giấy phép GNU General Public License, cho phép người dùng tải về và xem mã nguồn của Linux.

Linux bắt đầu được phát triển cho vi xử lý 386, nhưng hiện nay đã hỗ trợ nhiều kiến trúc vi xử lý khác nhau Hệ điều hành này được ứng dụng rộng rãi, từ máy tính cá nhân cho đến siêu máy tính và các thiết bị nhúng, bao gồm cả điện thoại di động.

Hình 3.5: Biểu tượng của hệ điều hành CentOS

CẤU HÌNH OPENVPN CLIENT TRÊN MACOS VỚI TUNNELBLICK

Ứng dụng Tunnelblick là một client OpenVPN dành cho hệ điều hành MacOS Đây là phần mềm mã nguồn mở, miễn phí và có thể được tải xuống tại địa chỉ https://code.google.com/p/tunnelblick/.

2.1 Tạo thƣ mục để kết nối

Để kết nối với server mong muốn trên hệ điều hành MacOS, bạn cần tạo một thư mục trên màn hình nền với tên trùng khớp Ví dụ, bạn có thể đặt tên thư mục là “dung”.

2.2 Tinh chỉnh file cấu hình

Tinh chỉ file cấu hình client với các thông số cần thiết để kết nối đến server File cấu hình có tên config.ovpn

Hình 3.27: Chỉnh file cấu hình

 Sao chép chứng nhận key

Sao chép tất cả các chứng nhận,key liên quan đến user vào thư mục trên

Hình 3.28: Copy chứng nhận key

 Đổi tên Đổi tên phần mở rộng của thư mục thành tblk

Hình 3.29: Đổi tên thư mục

Nhấp đôi chuột vào thư mục dung.tblk để thực hiện việc cài đặt

Hình 3.30: Cửa sổ cài đặt

 Đăng nhập đăng nhập với user của mac os

Sau khi hoàn tất quá trình, bạn sẽ nhận được một tệp tin cài đặt định dạng tblk của Tunnelblick Khi cài đặt thành công, Tunnelblick sẽ sao chép "thư mục cấu hình" mà bạn vừa tạo vào một vị trí khác trên máy tính để đảm bảo an toàn cho cấu hình của client.

Hình 3.32: Kết nối đến server

Hình 3.33: Kết nối đến server thành công

Kết quả chúng ta đã kết nối thành công đến server

CẤU HÌNH OPENVPN CLIENT TRÊN WIN 7 VỚI OPENVPN GUI

3.1 Giới thiệu phần mềm openVPN của window

Hiện nay, có hai ứng dụng OpenVPN client miễn phí cho Windows là OpenVPN client và OpenVPN GUI Để thuận tiện cho việc thực hành, tôi sẽ chọn cài đặt ứng dụng OpenVPN GUI trên hệ điều hành Windows 7.

Hình 3.34: Giao diện OpenVPN GUI

3.2 Copy các key cần cấu hình từ server

OpenVPN GUI cung cấp sẵn cho ta một thư mục config để chứa các tệp tin cấu hình

Việc cấu hình cho client trở nên dễ dàng khi chỉ cần sao chép các tệp tin xác thực và key vào thư mục cùng với file cấu hình có phần mở rộng là "keys".

Hình 3.35: Thư mục chứa các file cấu hình của OpenVPN GUI

3.3 Chỉnh sửa file cấu hình

Mở wordpad với run administrator tìm đến file client.ovpn chỉnh sửa như sau:

Sau khi cấu hình thành công ta tiến hành kết nối đến máy chủ server

Hình 3.37: Bắt đầu kết nối

Sau khi kết nối thành công chúng ta show được kết quả như sau:

Hình 3.38: Kết nối thành công Quá trình kết nối tới máy chủ trên Windows 7 thành công.

CẤU HÌNH OPENVPN CLIENT TRÊN ANDRPOID VỚI OPENVPN CONNECT

IV: CẤU HÌNH OPENVPN CLIENT TRÊN ANDROID VỚI OPENVPN CONNECT Ứng dụng client cho giải pháp OpenVPN trên hệ điều hành Android có tên là OpenVPN Đây là một ứng dụng mã nguồn mở được cung cấp miễn phí tại địa chỉ http://android.down.vn/openvpn-connect-for-android-download

4.1 Cấu hình cho Openvpn connect:

Hình 3.39: Phần mềm Openvpn connect

4.2 Sao chép các file cần cấu hình

Copy các file ca.crt, client1.key, client1.crt vào hệ điều hành android

Vào import tìm đến import profile và add các file vừa copy sang

Hình 3.40: Cấu hình phần mềm

Hình 3.41: Các file cần cấu hình

 Chọn server cần kết nối

Chọn proxy là tên server cần kết nối đến

Hình 3.42: Chọn server kết nối

 Bắt đầu quá trình kết nối ta sẽ connect đến server Báo kết quả như sau:

Hình 3.43: Bắt đầu quá trình kết nối

Kiểm tra kết quả với lệnh: netcfg xem IP được cấp bởi server là: 10.8.0.6

Ta ping đến máy chủ:

Hình 3.44: Kiểm tra kết quả

Định dạng
Số trang	60
Dung lượng	2,03 MB