Tự thiết lập VPN không cần hỗ trợ từ phần mềm đắt tiền

Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn cách thiết lập máy chủ VPN trên Windows 7 hay Vista và thực hiện kết nối từ các máy khách từ xa Windows XP, Vista, hoặc Windows 7.

Nếu muốn truy cập an toàn với mạng công ty khi ở xa văn phòng làm việc của mình, bạn có thể thiết lập một mạng riêng ảo (VPN). Với mạng riêng ảo này, bạn có thể kết nối thông qua Internet và truy cập các file chia sẻ cũng như tài nguyên của mình một cách an toàn. Không phải mua máy chủ VPN đắt tiền nếu tổ chức của bạn không có nhiều người dùng. Hệ điều hành Windows cũng cho phép chúng ta có thể thiết lập một máy chủ và máy khách VPN.

Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn cách thiết lập máy chủ VPN trên Windows 7 hay Vista và kết nối với Windows XP, Vista, hoặc Windows 7. Dưới đây là cách thực hiện cụ thể:

Tránh xung đột IP

Do các kết nối VPN liên kết cùng với các mạng nên phải cẩn thận với việc đánh địa chỉ IP và subnet để sao cho chúng không xung đột lẫn nhau. Trên mạng hosting máy chủ VPN, bạn nên sử dụng địa chỉ IP khác với các địa chỉ IP của router, chẳng hạn như 192.168.50.1. Nếu có nhiều văn phòng, hãy gán cho mỗi văn phòng một IP/subnet riêng, chẳng hạn như 192.168.51.1, 192.168.52.1,…

Hình 1

Tạo kết nối incoming VPN trong Windows

Để cấu hình máy chủ Windows VPN, bạn cần tạo một kết nối incoming. Máy tính này sẽ là máy chủ hoặc host của VPN. Ngoài ra, cần chỉ định người dùng mà bạn muốn họ có thể thực hiện kết nối VPN. Thực hiện theo các bước sau để tạo kết nối incoming:

1. Kích phải vào biểu tượng mạng trong khay hệ thống và chọn Open Network and Sharing Center.
2. Kích Manage network connections (Windows Vista) hoặc Change adapter settings (Windows 7).
3. Nhấn phím Alt để hiển thị File Menu và kích File > New Incoming connection… .
4. Chọn người mà bạn thích cho phép truy cập VPN hoặc tạo các tài khoản tùy chỉnh bằng cách kích Add someone. Xem ví dụ trong hình 2. Khi tạo xong, kích Next.

Hình 2

5. Chọn Through the Internet và kích Next.
   Như thể hiện trong hình 3, chọn các giao thức muốn sử dụng cho kết nối này. Hãy chọn Internet Protocol Version 4 (TCP/IPv4) để người dùng từ xa sẽ nhận địa chỉ IP và có thể truy cập mạng hoặc Internet. Thêm vào đó, nếu muốn người dùng từ xa có thể truy cập file và máy in chia sẻ, chọn File and Printer Sharing for Microsoft Networks. Sau khi thực hiện xong, kích Allow access.

Hình 3 

6. Trong cửa sổ tiếp theo, kích Close.

Lúc này, hãy truy cập vào trang thuộc tính của kết nối incoming vừa được tạo và định nghĩa dải địa chỉ IP cho các máy khách VPN:

1. Trong cửa sổ Network Connections, kích đúp Incoming Connections.
2. Chọn tab Networking và kích đúp Internet Protocol Version 4 (TCP/IPv4).
3. Chọn Specify IP addresses sau đó nhập vào địa chỉ đầu và địa chỉ cuối của dải subnet cục bộ của bạn, tuy nhiên không được xung đột với dải DHCP. Cho ví dụ, nếu địa chỉ IP của router là 192.168.50.1, bạn có thể nhập từ 192.168.50.50 đến 192.168.50.59 như thể hiện trong hình 4, dải địa chỉ này hỗ trợ cho 10 máy khách. Nếu muốn các máy khách có thể tự gán địa chỉ IP, chọn tùy chọn đó.

Hình 4 

4. Kích OK trong hai hộp thoại để lưu các thay đổi.

Cấu hình tường lửa của các hãng thứ ba

Windows sẽ tự động cho phép các kết nối VPN thông qua Windows Firewall khi bạn cấu hình kết nối incoming trên máy tính host. Mặc dù vậy, nếu sử dụng tường lửa của hãng thứ ba trên máy tính này, bạn cần bảo đảm nó cho phép lưu lượng VPN này. Có thể bạn phải tự nhập vào số cổng 47 và 1723.

Cấu hình địa chỉ IP, DNS động và router

Để kích hoạt các kết nối VPN cho máy tính host từ Internet, bạn phải cấu hình sao cho router sẽ chuyển tiếp chúng đến máy tính Windows chấp nhận các kết nối gửi vào (incoming connection). Chỉ định máy host bằng cách nhập vào địa chỉ IP cục bộ của nó. Như vậy, trước khi thiết lập cổng chuyển tiếp, bạn nên bảo đảm địa chỉ IP sẽ không bị thay đổi.

Bắt đầu bằng cách đăng nhập vào giao diện điều khiển web của router. Sau đó vào thiết lập Network hoặc DHCP và xem có thể duy trì một địa chỉ IP cho máy tính để nó không bị thay đổi hay không. Điều này được gọi là DHCP reservation hoặc Static DHCP. Một số router không có tính năng này. Trong trường hợp đó, cần gán cho máy tính một IP tĩnh trong thiết lập TCP/IP của kết nối mạng trong Windows.

Khi đã chỉ định địa chỉ IP, tìm máy chủ ảo hoặc thiết lập chuyển tiếp cổng trong giao diện điều khiển web của router. Sau đó tạo entry chuyển tiếp cổng 1723 đến địa chỉ IP cục bộ của máy tính, như thể hiện trong hình 5. Không quên lưu lại các thay đổi!

Hình 5

Nếu kết nối Internet sử dụng địa chỉ IP động, bạn nên đăng ký và cấu hình một dịch vụ DNS động. Lý do ở đây là vì, khi cấu hình các máy khách từ xa, bạn phải nhập vào địa chỉ IP Internet của nơi nắm giữ máy host. Điều này sẽ gây ra vấn đề nếu IP thay đổi. Mặc dù vậy, bạn có thể đăng ký một dịch vụ miễn phí, chẳng hạn như từ No-IP và nhập các thông tin tài khoản vào router để nó cập nhật hostname với địa chỉ IP của bạn. Sau đó bạn sẽ có một hostname (chẳng hạn như yourname.no-ip.org) để nhập vào máy khách từ xa, hostname này sẽ luôn trỏ đến địa chỉ IP Internet hiện hành của máy host.

Lúc này mọi thứ bên phía máy chủ đã được cấu hình xong. Tiếp theo chúng ta cần thiết lập các máy khách.

Tạo kết nối VPN gửi ra trong Windows

Lúc này sau khi đã thiết lập xong máy chủ, chúng ta cần cấu hình các máy khách muốn truy cập từ xa qua kết nối VPN, được gọi là các máy khách VPN. Đây là cách thực hiện trong Windows Vista và Windows 7:

1. Kích phải vào biểu tượng mạng trong khay hệ thống và chọn Open Network and Sharing Center.
2. Kích Set up a connection or network (Windows Vista) hoặc Set up a new connection or network (Windows 7, như thể hiện trong hình 6).

Hình 6

3. Trên wizard, chọn Connect to a workplace và kích Next.
4. Chọn Use my internet connection (VPN).
5. Đánh địa chỉ IP Internet hoặc hostname vào Internet address và nhập thông tin mô tả trong phần Destination name. Xem ví dụ trong hình 7. Nên vô hiệu hóa các tùy chọn khác sau đó kích Next để tiếp tục.

Hình 7

6. Nhập User name và password đã được chọn khi tạo kết nối VPN gửi vào (incoming VPN) và kích Next để thử kết nối. Thao tác này sẽ thực hiện một cố gắng kết nối bằng cách sử dụng các giao thức sau: SSTP, PPTP, và sau đó là L2TP.
7. Khi kết nối thành công, kích Close.

Mặc định Windows sẽ gán kiểu kết nối là Public Network, đây là kiểu kết nối hạn chế tính năng chia sẻ. Vì vậy nếu muốn thay đổi điều này, bạn cần mở Network and Sharing Center kích Customize (Windows Vista) hoặc liên kết Public network bên dưới tên kết nối (Windows 7). Sau đó trên cửa sổ xuất hiện, chọn Work Network.

Đây là cách tạo kết nối VPN gửi đi trong Windows XP:

1. Mở cửa sổ Network Connections và kích Create a new connection.
2. Chọn Connect to the network at my workplace và kích Next.
3. Chọn Virtual Private Network connection và kích Next.
4. Nhập vào tên kết nối và kích Next.
5. Chọn Do not dial the initial connection và kích Next.
6. Đánh địa chỉ IP Internet hoặc hostname và kích Next.
7. Kích Finish.

Hạn chế lưu lượng VPN

Mặc định, tất cả lưu lượng Internet trên máy khách VPN sẽ được truyền tải qua VPN thay vì Internet cục bộ mà chúng kết nối đến. Đây là một kỹ thuật tuyệt vời nếu chúng ta sử dụng kết nối công cộng, kiểu như cổng truy cập nào đó ở khách sạn hoặc điểm truy cập Wi-Fi nào đó, lúc này nó sẽ giúp việc duyệt web trở nên riêng tư hơn. Mặc dù vậy, nếu các máy tính này nằm trong một mạng tin cậy, giống như tại nhà hoặc văn phòng từ xa thì cách thức này có thể gây lãng phí băng thông. Do đó chúng ta có thể hạn chế lưu lượng thông qua kết nối VPN:

1. Trên cửa sổ Network Connections, kích phải vào VPN connection và chọn Properties.
2. Chọn tab Network và kích đúp Internet Protocol (TCP/IP).
3. Kích nút Advanced và hủy chọn Use default gateway on remote network (xem hình 8).

Hình 8 

4. Kích OK trên các hộp thoại để lưu các thay đổi.

Lúc này máy khách VPN sẽ sử dụng kết nối Internet cục bộ khi duyệt web. Nó sẽ chỉ sử dụng kết nối VPN khi máy chủ hoặc địa chỉ IP không thể kết nối thông qua Internet, chẳng hạn như khi truy cập các file chia sẻ tên mạng hosting VPN.

Kết nối với VPN

Trong Windows XP, có thể kết nối và hủy kết nối bằng cách mở cửa sổ Network Connections và kích phải vào kết nối VPN. Trong Windows Vista, có thể kích biểu tượng mạng trong khay hệ thống, kích Connect to và chọn kết nối. Trong Windows 7, kích biểu tượng mạng trong khay hệ thống và chọn kết nối VPN.

Sau khi kết nối, bạn có thể truy cập các tài nguyên chia sẻ trên mạng hosting VPN. Cần lưu ý rằng: có thể bạn phải truy cập các thư mục chia sẻ một cách thủ công (chẳng hạn như: địa chỉ IP của máy tính hoặc file://computer_name/) thay vì duyệt trong My Network Places hoặc Network.