Cấu hình kết nối mạng riêng ảo (VPN) AnyConnect với bộ định tuyến Cisco RV34x Series

Discussion in 'Basic Network' started by noinho16546, May 18, 2018.

Tags:
  1. noinho16546

    noinho16546 New Member

    Mục tiêu của tài liệu này là hướng dẫn bạn cách định cấu hình kết nối VPN AnyConnect trên Bộ định tuyến RV34x Series.

    Ưu điểm của việc sử dụng AnyConnect Secure Mobility Client:

    1. Kết nối an toàn và bền bỉ
    2. Bảo mật liên tục và thực thi chính sách
    3. Có thể triển khai từ Công cụ bảo mật thích ứng (ASA) hoặc từ Hệ thống triển khai phần mềm doanh nghiệp
    4. Có thể tùy chỉnh và có thể dịch
    5. Dễ dàng cấu hình
    6. Hỗ trợ cả Bảo mật giao thức Internet (IPSec) và Lớp cổng bảo mật (SSL)
    7. Hỗ trợ giao thức Internet Key Exchange phiên bản 2.0 (IKEv2.0

    Kết nối Mạng riêng ảo (VPN) cho phép người dùng truy cập, gửi và nhận dữ liệu đến và từ mạng riêng bằng cách đi qua mạng công cộng hoặc mạng chia sẻ như Internet nhưng vẫn đảm bảo kết nối an toàn với cơ sở hạ tầng mạng bên dưới để bảo vệ mạng riêng và tài nguyên của nó.

    Máy khách VPN (VPN Client) là phần mềm được cài đặt và chạy trên máy tính muốn kết nối với mạng từ xa. Phần mềm máy khách này phải được thiết lập với cấu hình giống như cấu hình của máy chủ VPN, chẳng hạn như địa chỉ IP và thông tin xác thực. Thông tin xác thực này bao gồm tên người dùng (user name) và khóa chia sẻ (pre-shared key) trước sẽ được sử dụng để mã hóa dữ liệu. Tùy thuộc vào vị trí thực của mạng được kết nối, máy khách VPN cũng có thể là một thiết bị phần cứng. Điều này thường xảy ra nếu kết nối VPN được sử dụng để kết nối hai mạng ở các vị trí riêng biệt.

    Cisco AnyConnect Secure Mobility Client là một ứng dụng phần mềm để kết nối với VPN hoạt động trên các hệ điều hành và cấu hình phần cứng khác nhau. Ứng dụng phần mềm này giúp cho các tài nguyên từ xa của một mạng khác có thể truy cập được như thể người dùng được kết nối trực tiếp với mạng của mình, nhưng theo một cách an toàn. Cisco AnyConnect Secure Mobility Client cung cấp một phương pháp mới sáng tạo để bảo vệ người dùng di động trên nền tảng máy tính hoặc điện thoại thông minh, mang lại trải nghiệm liền mạch hơn, luôn được bảo vệ cho người dùng cuối và thực thi chính sách toàn diện cho quản trị viên CNTT.

    Trên bộ định tuyến RV34x Series, bắt đầu với phiên bản chương trình cơ sở 1.0.3.15 trở đi, cấp phép AnyConnect là không cần thiết. Sẽ chỉ tính phí cho giấy phép khách hàng (client licenses).

    Để biết thêm thông tin về cấp phép AnyConnect trên bộ định tuyến RV340, vui lòng xem bài viết về: Cấp phép AnyConnect cho Bộ định tuyến RV340.

    [​IMG]

    Thiết bị và phần mềm dung trong bài viết:

    · Ứng dụng khách di động an toàn Cisco AnyConnect | 4.4 (Download latest)

    · Dòng RV34x | 1.0.03.15 (Download latest)

    Cấu hình kết nối VPN AnyConnect trên RV34x

    Cấu hình SSL VPN trên RV34x

    Bước 1. Truy cập tiện ích dựa trên web của bộ định tuyến và chọn VPN> SSL VPN.
    [​IMG]
    Bước 2. Nhấp vào nút On để bật Máy chủ VPN SSL của Cisco.
    [​IMG]
    Cài đặt Gateway bắt buộc

    Các cài đặt cấu hình sau (từ bước 3 à bước 9) là bắt buộc:

    Bước 3. Chọn Giao diện Cổng từ danh sách thả xuống. Đây sẽ là cổng sẽ được sử dụng để chuyển lưu lượng truy cập qua các Đường hầm VPN SSL. Các tùy chọn là:
    • WAN1
    • WAN2
    • USB1
    • USB2
    [​IMG]
    Lưu ý: Trong ví dụ này, WAN1 được chọn.

    Bước 4. Nhập số port được sử dụng cho cổng SSL VPN trong trường Cổng cổng nằm trong khoảng từ 1 đến 65535.
    [​IMG]
    Lưu ý: Trong ví dụ này, 8443 port được sử dụng.

    Bước 5. Chọn Certificate File từ danh sách thả xuống. Chứng chỉ này xác thực những người dùng cố gắng truy cập tài nguyên mạng thông qua các đường hầm SSL VPN. Danh sách thả xuống chứa chứng chỉ mặc định và các chứng chỉ được nhập.
    [​IMG]
    Lưu ý: Trong ví dụ này, Mặc định được chọn.

    Bước 6. Nhập địa chỉ IP của dãi địa chỉ máy khách vào Nhóm địa chỉ máy khách. Nhóm này sẽ là dải địa chỉ IP sẽ được cấp cho các máy khách VPN từ xa.

    Lưu ý: Đảm bảo rằng dải địa chỉ IP không trùng lặp với bất kỳ địa chỉ IP nào trên mạng cục bộ.
    [​IMG]

    Lưu ý:     Trong ví dụ này, 192.168.0.0 được sử dụng.

    Bước 7. Chọn Client Netmask từ danh sách thả xuống.
    [​IMG]
    Lưu ý: Trong ví dụ này, 255.255.255.128 được chọn.

    Bước 8. Nhập tên miền máy khách vào trường Miền máy khách. Đây sẽ là tên miền sẽ được đẩy cho các máy khách SSL VPN.
    [​IMG]
    Lưu ý: Trong ví dụ này, WideDomain.com được sử dụng làm tên miền máy khách.

    Bước 9. Nhập văn bản sẽ xuất hiện dưới dạng biểu ngữ đăng nhập vào trường Biểu ngữ đăng nhập. Đây sẽ là biểu ngữ sẽ được hiển thị mỗi khi khách hàng đăng nhập.
    [​IMG]
    Lưu ý: Trong ví dụ này, Chào mừng bạn đến với Widedomain! được sử dụng làm Biểu ngữ Đăng nhập.

    (Còn nữa)
     
    noinho16546, May 18, 2018
    #1
  2. tringuyen

    tringuyen Member

    Cấu hình kết nối mạng riêng ảo (VPN) AnyConnect (tiếp theo)

    Cài đặt Gateway (tùy chọn)

    Các cài đặt cấu hình sau là tùy chọn:

    Bước 1. Nhập một giá trị tính bằng giây cho Thời gian chờ không hoạt động trong khoảng từ 60 đến 86400. Đây sẽ là khoảng thời gian mà phiên SSL VPN có thể duy trì ở chế độ chờ.
    [​IMG]
    Lưu ý: Trong ví dụ này, 3000 được sử dụng.

    Bước 2. Nhập giá trị tính bằng giây vào trường Thời gian chờ của phiên. Đây là khoảng thời gian cần thiết để phiên Giao thức điều khiển truyền (TCP) hoặc Giao thức sơ đồ người dùng (UDP) hết thời gian chờ được chỉ định. Phạm vi là từ 60 đến 1209600.
    [​IMG]
    Lưu ý: Trong ví dụ này, 60 được sử dụng.

    Bước 3. Nhập một giá trị tính bằng giây vào trường Thời gian chờ của ClientDPD nằm trong khoảng từ 0 đến 3600. Giá trị này chỉ định việc gửi định kỳ các bản tin HELLO / ACK để kiểm tra trạng thái của đường hầm VPN.
    Lưu ý: Tính năng này phải được bật ở cả hai đầu của đường hầm VPN.
    [​IMG]
    Lưu ý: Trong ví dụ này, 350 được sử dụng.

    Bước 4. Nhập một giá trị tính bằng giây vào trường GatewayDPD Timeout nằm trong khoảng từ 0 đến 3600. Giá trị này chỉ định việc gửi định kỳ các bản tin HELLO / ACK để kiểm tra trạng thái của đường hầm VPN.
    Lưu ý: Tính năng này phải được bật ở cả hai đầu của đường hầm VPN.
    [​IMG]
    Lưu ý: Trong ví dụ này, 360 được sử dụng.

    Bước 5. Nhập một giá trị tính bằng giây vào trường Keep Alive nằm trong khoảng từ 0 đến 600. Tính năng này đảm bảo rằng bộ định tuyến của bạn luôn được kết nối với Internet. Nó sẽ cố gắng thiết lập lại kết nối VPN nếu nó bị rớt.
    [​IMG]
    Lưu ý: Trong ví dụ này, 40 được sử dụng.

    Bước 6. Nhập giá trị tính bằng giây cho khoảng thời gian đường hầm được kết nối trong trường Thời gian thuê. Phạm vi là từ 600 đến 1209600.
    [​IMG]
    Lưu ý: Trong ví dụ này, 43500 được sử dụng.

    Bước 7. Nhập kích thước gói tin theo byte có thể được gửi qua mạng. Phạm vi là từ 576 đến 1406.
    [​IMG]
    Lưu ý: Trong ví dụ này, 1406 được sử dụng.

    Bước 8. Nhập khoảng thời gian chuyển tiếp vào trường Rekey Interval. Tính năng Rekey cho phép các khóa SSL thương lượng lại sau khi phiên đã được thiết lập. Phạm vi từ 0 đến 43200.
    [​IMG]
    Lưu ý: Trong ví dụ này, 3600 được sử dụng.

    Bước 9. Nhấp vào Áp dụng.
    [​IMG]
    (Còn nữa)
     
    tringuyen, May 14, 2021
    #2
  3. vinhpham

    vinhpham Member

    Cấu hình kết nối VPN AnyConnect trên bộ định tuyến Router Cisco RV34x Series (tiếp theo)

    Cấu hình Group Policies

    Bước 1. Nhấp vào tab Group Policies.
    [​IMG]
    Bước 2. Nhấp vào nút Thêm trong Bảng Nhóm SSL VPN để thêm chính sách nhóm.
    [​IMG]
    Lưu ý: Bảng SSL VPN Group sẽ hiển thị danh sách các chính sách nhóm trên thiết bị. Bạn cũng có thể chỉnh sửa chính sách nhóm đầu tiên trong danh sách, được đặt tên là SSLVPNDefaultPolicy. Đây là chính sách mặc định do thiết bị cung cấp.

    Bước 3. Nhập tên chính sách ưa thích của bạn vào trường Tên chính sách.
    [​IMG]
    Lưu ý: Trong ví dụ này, Chính sách Nhóm 1 được sử dụng.

    Bước 4. Nhập địa chỉ IP của DNS chính vào trường được cung cấp. Theo mặc định, địa chỉ IP này đã được cung cấp.
    [​IMG]
    Lưu ý: Trong ví dụ này, 192.168.1.1 được sử dụng.

    Bước 5. (Tùy chọn) Nhập địa chỉ IP của DNS phụ vào trường được cung cấp. Điều này sẽ phục vụ như một bản sao lưu trong trường hợp DNS chính bị lỗi.
    [​IMG]
    Lưu ý: Trong ví dụ này, 192.168.1.2 được sử dụng.

    Bước 6. (Tùy chọn) Nhập địa chỉ IP của WINS chính vào trường được cung cấp.
    [​IMG]
    Lưu ý: Trong ví dụ này, 192.168.1.1 được sử dụng.

    Bước 7. (Tùy chọn) Nhập địa chỉ IP của WINS phụ vào trường được cung cấp.
    [​IMG]
    Lưu ý: Trong ví dụ này, 192.168.1.2 được sử dụng.

    Bước 8. (Tùy chọn) Nhập mô tả chính sách vào trường Mô tả.
    [​IMG]
    Lưu ý: Trong ví dụ này, Group Policy với đường hầm phân tách được sử dụng.

    Bước 9. (Tùy chọn) Nhấp vào nút để chọn Chính sách proxy của IE để kích hoạt cài đặt proxy của Microsoft Internet Explorer (MSIE) để thiết lập đường hầm VPN. Các tùy chọn là:
    • None (Không có) - Cho phép trình duyệt không sử dụng cài đặt proxy.
    • Auto (Tự động) - Cho phép trình duyệt tự động phát hiện cài đặt proxy.
    • Bypass-local (Bỏ qua cục bộ) - Cho phép trình duyệt bỏ qua cài đặt proxy được định cấu hình trên người dùng từ xa.
    • Disabled (Đã tắt) - Tắt cài đặt proxy MSIE.
    [​IMG]
    Lưu ý: Trong ví dụ này, Disabled được chọn. Đây là thiết lập mặc định.

    Bước 10. (Tùy chọn) Trong khu vực Cài đặt đường hầm phân tách, chọn hộp kiểm Bật đường hầm phân tách để cho phép gửi trực tiếp lưu lượng truy cập trên Internet mà không mã hóa ra Internet. Full Tunneling gửi tất cả lưu lượng truy cập đến thiết bị cuối, sau đó nó được chuyển đến tài nguyên đích, loại bỏ mạng công ty khỏi đường dẫn truy cập web.
    [​IMG]
    Bước 11. (Tùy chọn) Nhấp vào nút để chọn bao gồm hoặc loại trừ lưu lượng truy cập khi áp dụng đường hầm phân tách.
    [​IMG]
    Lưu ý: Trong ví dụ này, Bao gồm Lưu lượng truy cập được chọn.

    Bước 12. Trong Split Network Table, nhấp vào nút Thêm để thêm Network ngoại lệ.
    [​IMG]
    Bước 13. Nhập địa chỉ IP của mạng vào trường được cung cấp.
    [​IMG]
    Lưu ý: Trong ví dụ này, 192.168.1.0 được sử dụng.

    Bước 14. Trong Bảng DNS phân tách, nhấp vào nút Thêm để thêm DNS ngoại lệ phân tách.
    [​IMG]
    Bước 15. Nhập Tên miền vào trường được cung cấp và sau đó nhấp vào Áp dụng.
    [​IMG]

    (Còn nữa)
     
    vinhpham, May 14, 2021
    #3
  4. vuthang

    vuthang Member

    Cấu hình kết nối VPN AnyConnect (tiếp theo và finish)

    Trong các phần trước chúng ta đã hoàn tất việc cấu hình thiết bị Router Cisco RV34x Series làm VPN server.
    Trong phần này chúng ta sẽ kiểm chứng việc cấu hình và kết nối đến VPN server bằng phần mền Cisco AnyConnect Client cài trên PC hay thiết bị di động.

    Xác minh kết nối VPN AnyConnect

    Bước 1. Nhấp vào biểu tượng AnyConnect Secure Mobility Client trên máy PC Client
    [​IMG]
    Bước 2. Trong cửa sổ AnyConnect Secure Mobility Client, nhập địa chỉ IP và port được phân tách bằng dấu hai chấm :)), sau đó nhấp vào Kết nối.
    [​IMG]
    Lưu ý: Trong ví dụ này, 10.10.10.1:8443 được sử dụng. Bây giờ phần mềm sẽ hiển thị rằng nó đang liên lạc với mạng từ xa.
    [​IMG]
    Bước 3. Nhập tên người dùng và mật khẩu vào các trường tương ứng và sau đó nhấp vào OK.
    Lưu ý: Trong ví dụ này, người dùng Group1 được sử dụng làm Tên người dùng.

    Bước 4. Ngay sau khi kết nối được thiết lập, Biểu ngữ Đăng nhập sẽ xuất hiện. Nhấp vào Chấp nhận.
    [​IMG]
    Cửa sổ AnyConnect bây giờ sẽ cho biết kết nối VPN đã thành công.
    [​IMG]
    Bước 5. (Tùy chọn) Để ngắt kết nối mạng, hãy nhấp vào Disconnect.

    Đến đây bạn đã cấu hình kết nối thành công VPN AnyConnect với Bộ định tuyến Router Cisco RV34x Series.

    Cám ơn các bạn đã theo dõi. Chúc các bạn thực hiện thành công!
     
    vuthang, May 14, 2021
    #4

Share This Page