Cấu hình VPN Client-to-Site trên Firewall Meraki MX-Series

Thảo luận trong 'Firewall Cisco Meraki' bắt đầu bởi nhatquangit, 29/11/19.

Tags:
  1. nhatquangit

    nhatquangit Member

    Bài viết này cung cấp những hướng dẫn cấu hình dịch vụ Client VPN thông qua Dashboard của thiết bị Firewall Meraki MX-Series.

    Client VPN:
    Dịch vụ Client VPN sử dụng giao thức hầm L2TP và có thể triển khai không cần bất kì phần mềm nào khác trên thiết bị Client, từ khi tất cả các hệ điều hành nguyên bản hỗ trợ kết nối L2TP VPN.
    !Lưu ý:
    • Các nền tảng Linux OS có thể hỗ trợ kết nối client VPN rất tốt, thông qua những bản đóng gói thích hợp cần thiết để hỗ trợ cho L2TP/.
    • Thiết lập một kết nối client VPN khi client đang ở trong nội bộ LAN của MX không được hỗ .

    Phương pháp mã hóa:
    Client VPN sử dụng giao thức L2TP, cùng với việc mã hóa và thuật toán mã băm: 3DES và SHA1 cho “Phase 1”, AES128/3DES và SHA1 cho “Phase 2”.
    Trong trường hợp tố nhất, mật mã được chia sẽ không nên chứa bất cứ ký tự đặc biệt ở bắt đâu hoặc cuối cùng.

    Cài đặt Client VPN Server:
    Để kích hoạt Client VPN, chọn Enabled từ menu Client VPN server tại trang Security Appliance > Configure > Client VPN. Bạn có thể cấu hình theo các tùy chọn Client VPN:
    • Client VPN subnet: Lớp mạng con này sẽ được sử dụng cho các kết nối Client VPN. Lớp mạng này nên là lớp mạng riêng chưa được sử dụng trong hệ thống mạng của mạng. Thiết bị Meraki MX-Series sẽ mặc định Gateway trên lớp mạng này và sẽ định tuyến gói tin đến và từ lớp mạng này.
    • DNS Nameservers: Các Server VPN Client sẽ sử dụng phân giải tên miền DNS. Bạn có thể chọn từ Google Public DNS, OpenDNS, hoặc tùy chọn DNS servers bằng địa chỉ IP.
    • WINS: Nếu bạn muốn kết nối Client VPN bằng WINS để phân giải tên NetBIOS.
    • Secret: Mật khẩu bạn sẽ sử dụng để triển khai kết nối Client VPN.
    • Authentication: Cách các Client VPN Clients sẽ được xác thực.
    • Systems Manager Sentry VPN security: Cấu hình cài đặt cho các thiết bị đã được ghi danh trong hệ thống quản lý nên nhận một cấu hình để đến Client VPN.

    Cơ chế xác thực:
    Meraki Client VPN sử dụng cả trên xác thực pre-shared key và xác thực user. Để cài đặt cơ chế xác thực user, bạn sẽ cần chọn phương thức xác thực của bạn.

    Xác thực bằng Meraki cloud:
    Sử dụng tính năng này nếu bạn không có AD hoặc RADIUS server, hoặc nếu bạn mong muốn quản lý users VPN thông qua Meraki cloud. Để thêm hoặc bổ users, sử dụng phần User Management tại cuối trang cài đặt. Thêm user bằng cách click vào "Add new user" và nhập theo các thông tin:
    • Name: Nhập user name.
    • Email: Nhập địa chỉ email của user.
    • Password: Nhập mật khẩu cho người dụng hoặc click “Generate" để tự động tạo mật khẩu.
    • Authorized: Chọn quyền hạn cho người dụng Client VPN.

    Để thay đổi thông tin về người dụng đã tồn tại, click vào user bên dưới phần User Management.
    Để xóa user, click dấu “X” kế bên user ở phía bên phải của danh sách user.
    [​IMG]

    Khi sử dụng xác thực trên host Meraki, địa chỉ email là username được sử dụng để xác thực.
    [​IMG]


    RADIUS:
    Sử dụng tùy chọn này để người dùng xác thực trên RADIUS server. Click Add a RADIUS server để cấu hình server được sử dụng. Bạn sẽ cần nhập địa chỉ IP của, số port, và mật khẩu của RADIUS server.
    [​IMG]


    Active Direct:
    Sử dụng tính năng này nếu bạn muốn xác thực người dùng cùng thông tin AD Domain. Bạn sẽ cần cung cấp một số thông tin:
    • Short domain: Tên rút gọn của Active Directory domain.
    • Server IP: Địa chỉ IP cả Active Directory server trong MX LAN.
    • Domain admin: Tài khoản quản trị viên.
    • Password: Mật khẩu của Domain admin.
    Ví dụ: Bạn mong muốn xác thực người dùng trong conside “test.compfollowi” sử dụng Active Directory server với IP 172.16.1.10. Người dùng thông thường log vào domain sử dụng theo 'test/username' và bạn tạo tài khoản quản trị viện với username 'vpnadmin' và password 'vpnpassword'.
    • Short domain sẽ là: 'test'.
    • Địa chỉ IP: 172.16.1.10.
    • Tài khoản Domain admin: 'vpnadmin'.
    • Mật khải: 'vpnpassword'.
    [​IMG]
    !Lưu ý: Vào lúc này, thiết bị MX không hỗ trợ ánh xạ các nhóm chính sách thông qua AD cho các user kết nối vào thông qua Client VPN.

    Hệ thống quản lý Bảo vệ VPN security
    Khi sử dụng xác thực bằng Meraki cloud, Hệ thống quản lý Bảo vệ VPN security có thể được cấu hình nếu tổ chức Dashboard của bạn có chứa một hoặc nhiều mạng MDM. "Systems Manager Sentry VPN security" cho phép các thiết bị của bạn ghi danh vào trong hệ thống quản lý để nhận cấu hình kết nối đến Client VPN thông qua profile trên thiết bị.
    Để kích hoạt "Systems Manager Sentry VPN security", chọn Enabled từ menu Client VPN server trong trang Security Appliance > Configure > Client VPN. Bạn có thể cấu hình các tùy chọn sau:
    • Install Scope: Cài đặt phạm vi cho phép bạn được chọn các tag cho mạng MDM cụ thể. Các thiết bị cùng các tag được áp dụng trong hệ thông quản lý mạng sẽ nhận cấu hình kết nối đến mạng Client VPN server thông qua profile.
    • Send All Traffic: Toàn bộ lưu lượng VPN của clien nên được gửi đến MX.
    • Proxy: Cấu hình Proxy cho kết nối VPN.
    [​IMG]
    !!! Khi sử dụng tính năng "Systems Manager Sentry VPN security", user & password dùng để kết nối đến client VPN được tạo tự động bằng Meraki cloud.
    !!!Usernames được tạo tự động dựa vào hàm băm của một định danh duy nhất trên thiết bị và username của thiết bị. Passwords được tạo ngẫu nhiên.

    Thiết lập kết nối Client VPN đến mạng MX LAN trên Windows 10
    Khi sử dụng thiết bị Meraki MX làm host xác thực, cài đặt VPN tài khoản/user name trên các thiết bị client là tài khoản email đã nhập tại Dashboard.
    Mở Start Menu > Search "VPN" > Click Change virtual private networks (VPN)
    [​IMG]


    Trong trang cài đặt VPN, click Add a VPN connection.
    [​IMG]


    Trong bảng Add a VPN connection:
    • Chọn VPN provider"Windows (built-in)".
    • Connection name: đặt tên cho kết nối VPN.
    • Điền địa chỉ IP public (có thể xem trong Dashboard của Firewall Meraki MX-series, trong Security appliance > Monitor > Appliance status > Uplink ) hoặc hostname cho Tên Server hoặc address.
    • Trong mục VPN type chọn "L2TP/IPsec with pre-shared key".
    • Cung cấp User namePassword.
    [​IMG]


    Sau khi kết nối VPN được tạo, click Change adapter options dưới Related settings.
    [​IMG]


    Chuột phải vào VPN Connection trong danh sach các cổng mạng và click Properties.
    [​IMG]


    Trong tab Security, chọn "Require encryption (disconnect if sever declines)" bên dưới Data encryption.
    Sau đó, chọn cho phép các giao thức dưới Authentication. Từ dánh sách các giao thức, check "Unencrypted password (PAP)", và bỏ check tất cả các tùy chọn khác.
    !!! Mặc dù được đặt "Unencrypted PAP", mật khẩu của các clien được gửi mã hóa thông qua IPsec tunnel giữa thiết bị người dùng và MX. Mật khẩu có đủ tính bảo mật và không bao giờ gửi ở dang clear text giữ WAN hoặc LAN.
    [​IMG]


    Click vào "Advanced settings"
    Trong hộp thoại Advanced Properties, chọn "Use preshared key for authentication" và nhập trùng khớp với mật khẩu được tạo cho cài đặt client VPN trong Dashboard.
    [​IMG]


    Quay lại cửa sổ Network Connections, right-click trên VPN connection và click Connect / Disconnect.
    [​IMG]


    Tìm đến profile VPN của bạn và click Connect.
    [​IMG]

    Nhập username password của.
    Click OK.
    [​IMG]

    *Bài hướng dẫn cấu hình VPN Client-to-Site cho Firewall Meraki MX-Series đến đây là kết thúc*
    ***Chúc các bạn thực hiện thành công***
     
    nhatquangit, 29/11/19
    #1

trang này