VPN, hay Mạng riêng ảo, là dịch vụ thiết lập đường hầm được mã hóa giữa vị trí máy tính của bạn và máy chủ ở xa
Tất cả lưu lượng truy cập internet của bạn được định tuyến qua đường hầm này, về cơ bản che giấu vị trí thực của bạn, vì địa chỉ IP của máy chủ VPN sẽ xuất hiện trên thiết bị của bạn
Ngoài ra, tất cả lưu lượng được mã hóa để thông tin của bạn luôn được bảo mật, ngay cả khi tin tặc hoặc quản trị viên mạng của bạn chặn thông tin đó
Mạng riêng ảo (VPN) mở rộng mạng riêng qua mạng công cộng, cho phép bạn truy cập dữ liệu của mình từ xa một cách an toàn qua mạng công cộng. Bằng cách sử dụng máy chủ VPN làm máy chủ proxy, bạn cũng có thể sử dụng VPN để bảo vệ hoạt động internet của mình
Bài viết này sẽ hướng dẫn bạn từng bước cách thiết lập VPN trên máy tính Windows Server. Để thiết lập máy chủ VPN của riêng bạn, hãy làm theo các hướng dẫn đơn giản sau
== CÁCH SỬ DỤNG VPN CLIENT TRÊN VPS WINDOWS CỦA BẠN ==
Việc thiết lập máy chủ VPN được sử dụng rộng rãi trong các môi trường nhỏ sẽ được thảo luận trong bài viết này. Đối với mục đích kinh doanh, chúng tôi khuyên bạn nên sử dụng Truy cập trực tiếp
Để xây dựng một máy chủ VPN, có rất nhiều chương trình có thể được sử dụng. Chúng tôi sẽ sử dụng OpenVPN trong bài đăng này, cung cấp một giải pháp rất linh hoạt
Trên các hệ điều hành khác nhau, từ Windows cho đến Linux hay MacOS đều có thể cài đặt OpenVPN. Nó có thông số kỹ thuật thiết bị rất thấp, vì vậy VPS rẻ nhất có đủ tài nguyên để chạy hiệu quả. Địa chỉ IP tĩnh chuyên dụng phải có trong danh sách của bạn
Chúng tôi sẽ sử dụng VPS CentOS 7.6 với 2 lõi CPU và 2 GB RAM, nhưng nếu muốn, bạn có thể sử dụng thấp hơn nữa. Thực hiện cập nhật hệ thống chung trước khi cài đặt để đảm bảo rằng tất cả các gói được cập nhật lên phiên bản mới nhất của chúng
Chọn một nhà cung cấp dịch vụ Dynamic DNS. Chúng tôi khuyên dùng no-ip.org, rất phù hợp với VPS Windows của chúng tôi. Sau khi đăng nhập, bạn sẽ có thể chọn tên máy chủ sẽ được sử dụng để kết nối với Windows VPS của mình. Xin lưu ý rằng bạn sẽ không yêu cầu VPN của mình phải hoạt động để sử dụng tên máy chủ, vì nó cũng sẽ truy xuất IP chính hãng của VPS. Sau khi bạn đã đăng ký, bạn sẽ cần tải xuống và định cấu hình ứng dụng khách DNS động của mình với thông tin đăng nhập mặc định được liệt kê trong biểu mẫu đăng ký, như bạn muốn (bao gồm cả tốc độ làm mới hữu ích cho IP VPN động)
Bạn nên trực tiếp thử tên máy chủ trong ứng dụng máy tính từ xa của mình sau khi cài đặt và thiết lập để đảm bảo rằng nó hoạt động chính xác cho đến khi miền được phép. Nếu bạn đã xác minh rằng Dynamic DNS của mình đang hoạt động chính xác, bạn có thể nhấp vào nút kết nối trên VPN của mình. Mạng riêng ảo là cách kết nối với mạng riêng (chẳng hạn như mạng văn phòng của bạn) thông qua mạng công cộng (chẳng hạn như Internet). VPN kết hợp các ưu điểm của liên kết quay số đến máy chủ quay số với sự tiện lợi và linh hoạt của kết nối Internet
Bạn có thể bay quốc tế bằng cách sử dụng kết nối Internet và ở hầu hết các khu vực, kết nối với văn phòng của bạn bằng một cuộc gọi nội hạt đến số điện thoại gần nhất để truy cập Internet. Nếu máy tính và văn phòng của bạn có kết nối Internet tốc độ cao (chẳng hạn như cáp hoặc DSL), bạn có thể liên lạc với văn phòng của mình ở tốc độ Internet tối đa, nhanh hơn nhiều so với bất kỳ kết nối quay số nào sử dụng modem analog. Công nghệ này cho phép một công ty liên lạc thông qua mạng công cộng tới các văn phòng chi nhánh của mình hoặc tới các công ty khác trong khi vẫn duy trì liên lạc an toàn. Về mặt logic, liên kết VPN trên Internet hoạt động như một kết nối mạng diện rộng (WAN) chuyên dụng
Để đảm bảo rằng chỉ những người dùng được phê duyệt mới có thể kết nối với mạng của bạn, mạng riêng ảo sử dụng kết nối được xác thực. Giao tiếp VPN sử dụng Giao thức đường hầm điểm-điểm (PPTP) hoặc Giao thức đường hầm lớp hai (L2TP) để mã hóa dữ liệu nhằm đảm bảo dữ liệu an toàn khi truyền qua mạng công cộng. Trên các máy chủ chạy Windows Server 2003, VPN bao gồm máy chủ VPN, máy khách VPN, liên kết VPN (phần kết nối nơi dữ liệu được mã hóa) và đường hầm (phần kết nối trong đó dữ liệu được đóng gói)
Một trong những giao thức tạo đường hầm được cung cấp cùng với các máy chủ chạy Windows Server 2003, cả hai đều được cài đặt Định tuyến và Truy cập Từ xa, sẽ hoàn tất quá trình tạo đường hầm. Dịch vụ Định tuyến và Truy cập Từ xa được cài đặt tự động trong quá trình cài đặt Windows Server 2003 của bạn. Tuy nhiên, dịch vụ Định tuyến và Truy cập Từ xa bị tắt theo mặc định
== Cách cài đặt và cấu hình máy chủ mạng riêng ảo trong Windows Server ==
Một phương pháp phổ biến để cho phép người dùng truy cập từ xa vào mạng nội bộ là mạng riêng ảo. Đường hầm VPN có thể cung cấp quyền truy cập an toàn trên hầu hết mọi liên kết, tùy thuộc vào cách chúng được định cấu hình. Bạn có thể thiết lập một mạng riêng ảo nếu muốn truy cập an toàn vào mạng của mình khi không có mặt tại văn phòng (VPN). Bạn có thể giao tiếp qua Internet và truy cập các tệp và tài nguyên được chia sẻ của mình một cách an toàn. Nếu bạn không có nhiều người dùng, bạn không cần phải mua một máy chủ VPN đắt tiền. Các tính năng máy chủ và máy khách VPN thực sự được hỗ trợ bởi Windows
Thật dễ dàng để gắn kết và định cấu hình máy chủ VPN bằng Windows Server 2016. Bạn có thể cài đặt máy chủ VPN rolt chỉ trong vài phút bằng cách làm theo hướng dẫn trong bài viết này. VPN cung cấp quyền truy cập an toàn vào dữ liệu nội bộ và ứng dụng của tổ chức cho khách hàng và thiết bị sử dụng Internet. Để giới thiệu và duy trì đúng môi trường VPN trong tổ chức của mình, bạn cần hiểu cách chọn giao thức đường hầm phù hợp, định cấu hình xác thực VPN và định cấu hình vai trò máy chủ để hỗ trợ cấu hình bạn đã chọn
Từ quan điểm của VPN, thách thức lớn nhất là nó cho phép tất cả các máy khách (những người đã kết nối thành công) chuyển tất cả các vấn đề của họ sang mạng công ty. Chia đường hầm là khả năng của máy khách VPN để "tương tác"với các mạng khác trong khi vẫn giữ lại một đường hầm VPN xuyên qua mạng trong quá trình hoạt động. Nếu chia đường hầm được cho phép, máy khách thiết lập đường hầm VPN sẽ có thể duy trì quyền truy cập vào các mạng không an toàn như mạng LAN công cộng hoặc Internet
Công nghệ VPN (mạng riêng ảo) cho phép một thiết bị truy cập mạng riêng thông qua một "đường hầm"được bảo vệ giữa máy đó và mạng bằng kết nối internet công cộng. Điều này bảo vệ dữ liệu khỏi bị các tác nhân độc hại nhìn thấy hoặc giả mạo. Các hệ thống VPN trên thị trường cho phép các cá nhân lướt web riêng tư từ nhà hoặc môi trường công cộng và các giải pháp định hướng kinh doanh cho phép nhân viên liên kết từ xa với mạng công ty một cách an toàn là 2 trường hợp sử dụng thường xuyên nhất
Bước đầu tiên là xóa mọi ứng dụng máy khách VPN hiện tại mà bạn không cần. Về mặt lý thuyết, các khách hàng VPN sẽ có thể hoạt động cùng nhau, nhưng các khách hàng cạnh tranh cũng có thể là nguồn gốc của các vấn đề, vì vậy tốt hơn là loại bỏ chúng. Bây giờ cũng là một nơi hoàn hảo để bắt đầu định cấu hình mạng Bạn có thể cần dành nhiều thời gian hơn để định cấu hình máy khách VPN nếu bạn định cài đặt VPN cho nhân viên truy cập các dịch vụ trực tuyến theo nhiều cách khác nhau, chẳng hạn như modem Wireless Fidelty và 5G, và kết nối có dây. Có thể hữu ích để giảm bớt mạng bằng cách ngắt kết nối thiết bị không sử dụng
Thay thế ứng dụng khách từ nhà cung cấp VPN của bạn là cách nhanh nhất để thiết lập và chạy VPN của bạn. Tuy nhiên, họ không cung cấp ứng dụng cho mọi nền tảng, chẳng hạn như Windows, iOS và Android, mà bạn cần. Mặc dù họ không cài đặt, nhưng tốt nhất trước tiên bạn nên cài đặt những gì họ bán và sau đó kiểm tra xem cấu hình VPN của bạn có đang chạy đúng cách không. Tìm trên trang web của nhà cung cấp VPN của bạn để biết tab "tải xuống". Vì bạn muốn bảo mật các kết nối từ càng nhiều thiết bị càng tốt, bạn cũng có thể tải xuống các ứng dụng dành cho thiết bị di động mà nhân viên của bạn sử dụng
== Cách cài đặt VPN bằng RRAS (Truy cập từ xa và định tuyến) ==
VPN là một loại mạng riêng ảo ngắn gọn cung cấp cho chúng tôi quyền riêng tư, ẩn danh và bảo vệ trên Internet công cộng. IP ISP của chúng tôi được che bởi một dịch vụ VPN, vì vậy các hoạt động trực tuyến của bạn về cơ bản là không thể theo dõi được. VPN cũng có thể được sử dụng để liên kết các máy tính thông qua Internet hoặc mạng trung gian khác với các mạng máy tính từ xa, bị cô lập thường không khả dụng
Dịch vụ định tuyến và truy cập từ xa là một chức năng máy chủ độc quyền của Windows hỗ trợ Mạng riêng ảo (VPN) hoặc kết nối quay số cho người dùng từ xa hoặc kết nối giữa các trang. Do đó, chúng tôi có thể chuyển đổi Máy chủ Windows tiêu chuẩn thành máy chủ VPN bằng RRAS. Máy chủ Microsoft RRAS và máy khách VPN hỗ trợ các kết nối VPN dựa trên PPTP, L2TP/IPSec, SSTP và IKEv2
Trong bài viết này, chúng tôi thảo luận về cách cài đặt VPN bằng RRAS trên Windows Server và cách cho phép kết nối internet để máy khách có thể truy cập trang web thông qua máy chủ VPN ngay cả khi chúng ở trên mạng nội bộ nhỏ
Theo mặc định, các kết nối VPN được tạo bằng PPTP (Giao thức đường hầm điểm-đến-điểm), nhưng chúng tôi cũng đang nâng cấp máy chủ VPN của mình lên hỗ trợ SSTP
Chúng tôi đang triển khai RRAS trên máy chủ VPS được cài đặt Windows Server 2012 r2 Standard Edition. Đối với Windows Server 2016 hoặc 2019, bạn cũng có thể làm theo các bước tương tự. Máy chủ VPS này chỉ có một thẻ NIC và không được kích hoạt NAT khi được định cấu hình với địa chỉ IP tĩnh công cộng. Vì là máy chủ VPS nên sử dụng địa chỉ IP public của VPS, chúng ta mới có quyền truy cập RDP. Vì vậy, hãy bắt đầu
Cổng RRAS nhiều bên thuê. Bạn có thể triển khai RRAS dưới dạng cổng và bộ định tuyến phần mềm dựa trên máy ảo (VM) cho phép Nhà cung cấp dịch vụ đám mây (CSP) và Doanh nghiệp cho phép trung tâm dữ liệu và lưu lượng truy cập mạng đám mây định tuyến giữa các mạng ảo và mạng vật lý, bao gồm cả Internet, cho dù bạn đang sử dụng Hyper-V Network Virtualization hoặc bạn có mạng VM được triển khai với VLAN. Với RRAS Multitenant Gateway, trong trung tâm dữ liệu từ mọi nơi, người thuê có thể VPN tới tài nguyên mạng VM của họ. Bạn cũng có thể tạo kết nối VPN giữa các trang web cho người thuê giữa các trang web từ xa của họ và trung tâm dữ liệu của bạn có thể truy cập được
Ngoài ra, bạn có thể định cấu hình Cổng đa bên RRAS với Giao thức cổng viền để định tuyến động và bạn có thể bật Dịch địa chỉ mạng (NAT) để cung cấp quyền truy cập Internet cho máy ảo trên mạng máy ảo
Đăng nhập vào máy chủ Remote Desktop của bạn, nơi bạn muốn cài đặt VPN Open Server Manager, sau đó nhấn Add Roles and Functions. Đối với trình hướng dẫn cài đặt, hãy làm theo các bước. Chọn Loại cài đặt: 'Cài đặt dựa trên vai trò hoặc dựa trên tính năng.'Kiểm tra 'Chọn Máy chủ từ Nhóm Máy chủ'trong vùng chọn máy chủ. Bạn có thể thấy tên của máy chủ máy tính của mình trong nhóm máy chủ. Trong Vai trò máy chủ, chọn vị trí Truy cập từ xa và nhấn nút Tiếp theo. Không thay đổi bất kỳ tính năng nào và nhấp vào Tiếp theo
Chọn Truy cập trực tiếp và VPN, Dịch vụ định tuyến, rồi nhấp vào Tiếp theo bên dưới Dịch vụ chức năng. Xem lại tab cài đặt và khi bạn đã sẵn sàng, hãy nhấp vào cập nhật
Nhấp vào 'Mở Trình hướng dẫn Bắt đầu'sau khi quá trình cài đặt hoàn tất. Xem trình hướng dẫn 'Thiết lập Truy cập Từ xa'. Chỉ cần nhấp vào Triển khai VPN. Bạn có thể xem MMC dành cho Định tuyến và Truy cập Từ xa. Nhấp chuột phải vào tên máy chủ của bạn và nhấp vào 'Định cấu hình và Cho phép Định tuyến và Truy cập Từ xa.'Bây giờ, hãy làm theo hướng dẫn từ trình hướng dẫn cài đặt. Trên trình hướng dẫn Chào mừng, nhấp vào Tiếp theo
Chọn 'Truy cập vào Mạng riêng ảo (VPN) và NAT'trong Trình hướng dẫn cấu hình và nhấp vào Tiếp theo. Trong Liên kết VPN, chọn giao diện mạng có kết nối Internet thích hợp với địa chỉ IP công cộng, sau đó nhấp vào Tiếp theo. Chọn 'Từ danh sách địa chỉ đã cho'trong Chỉ định địa chỉ IP và chọn Tiếp theo. Trong Gán dải địa chỉ, chọn Mới và thêm dải địa chỉ IP cục bộ (đảm bảo rằng địa chỉ IP Bắt đầu giống với địa chỉ IP chính của mạng nội bộ của bạn)
Điều này được sử dụng để gán địa chỉ IP cho các máy khách được kết nối từ xa với máy chủ VPN này. Chọn Tiếp theo để tiếp tục sau khi bạn đã thêm một bộ IP. Chọn 'Không, sử dụng Định tuyến và Truy cập Từ xa để xác thực các yêu cầu liên kết'trong Quản lý Nhiều Máy chủ Truy cập Từ xa và nhấp vào Tiếp theo. Nhấp vào Kết thúc để hoàn thành trình hướng dẫn. Bạn sẽ được nhắc gửi một tin nhắn đến đại lý chuyển tiếp DHCP bằng cách nhấp vào Ok cho tin nhắn này
Tìm hiểu thêm:
