Mục lục
Cài đặt VPN server cho windows
Để kết nối từ bên ngoài vào hệ thống mạng công ty an toàn, chúng ta sẽ sử dụng dich vụ VPN, ngày nay các loại router có tính năng VPN đã khá phổ biến, giúp chúng ta tạo tài khoản vpn để người dùng truy cập dễ dàng
Tuy nhiên, với những công ty nhỏ, chỉ được trang bị 1 modem của nhà mạng thì sẽ không có tính năng VPN hỗ trợ, do đó chúng ta cần tự xây dựng 1 vpn server để sử dụng
Nếu bạn có 1 máy chủ windows server, thì thường chúng ta sẽ tận dụng tính năng cài đặt vpn trên windows server sử dụng Giao thức Point-To-Point Tunneling Protocol (PPTP). Đây là 1 cách đơn giản, nhưng lại không an toàn, ngoài ra 1 số modem không hỗ trợ giao thức GRE, vì vậy sẽ không sử dụng được. Ngoài ra vẫn còn những giao thức khác an toàn hơn, tuy nhiên việc cấu hình khá khó khăn, có thể yêu cầu thêm chứng chỉ SSL/ TSL
OpenVPN
OpenVPN là một phần mềm VPN mã nguồn mở có thể chạy trên nhiều nền tảng, windows, linux và macOS,…
Nếu mạng nội bộ của bạn không có 1 router có sẵn VPN, không có máy chủ windows server hay một máy chủ linux thì sao?
Đừng lo các bạn vẫn có thể xây dựng 1 vpn server trên windows client như windows 10, windows 11 bằng cách sử dụng OpenVPN
Hướng dẫn cài đặt OpenVPN Server trên Windows
Đầu tiên các bạn tải openVPN mới nhất tại đây
Trên máy tính ở cty ( đóng vai trò là máy chủ VPN)
Sau khi tải về, các bạn chạy file để cài đặt
Ở màn hình dưới đây, chọn customize
Chọn cài đặt thêm EasyRSA 3 ….. (mặc định cái này không được cài đặt)
Sau khi cài đặt xong chúng ta tiến hành tạo chữ ký số và chứng chỉ bảo mật SSL cho kết nối VPN của người dùng
Mở CMD với quyền admin
Chạy lệnh sau:
cd "C:\Program Files\OpenVPN\easy-rsa"
Chạy các lệnh sau:
EasyRSA-Start.bat./easyrsa init-pki./easyrsa clean-allTạo chứng chỉ và key
Chạy các lệnh sau
./easyrsa build-ca nopass./easyrsa build-server-full server nopass./easyrsa build-client-full Client1 nopassVới client1, các bạn có thể đặt tên người dùng để quản lý và sử dụng
Tiếp tục chạy lệnh sau
./easyrsa gen-dhSau khi hàn thành các bạn đóng màn hình cmd
Chúng ta sẽ có các chứng chỉ và khóa được tạo ra tương ứng với các thư mục dưới đây
CA certificate → C:\Program Files\OpenVPN\easy-rsa\pki
Diffie-Hellman parameters → C:\Program Files\OpenVPN\easy-rsa\pki
Client and Server keys → C:\Program Files\OpenVPN\easy-rsa\pki\private
Client and Server certificates → C:\Program Files\OpenVPN\easy-rsa\pki\issued
Tiếp theo, copy các file dưới đây vào thư mục này: “C:\Program Files\OpenVPN\config-auto”
| C:\Program Files\OpenVPN\easy-rsa\pki\ca.cert |
| C:\Program Files\OpenVPN\easy-rsa\pki\dh.pem |
| C:\Program Files\OpenVPN\easy-rsa\pki\issued\server.cert |
| C:\Program Files\OpenVPN\easy-rsa\pki\private\server.key |
Tiếp theo, copy file server.ovpn từ C:\Program Files\OpenVPN\sample-config vào C:\Program Files\OpenVPN\config-auto
Mở file server.ovpn với Notepad, xóa hết toàn bộ nội dung và thêm vào nội dung dưới đây
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.50.8.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
Lưu lại file.
Tạo 1 rule trên windows firewall cho phép port của OpenVPN hoạt động
Mở CMD với quyền admin và chạy lệnh dưới đây
netsh advfirewall firewall add rule name="OpenVPN" dir=in localport=1194 remoteport=0-65535 protocol=UDP action=allow remoteip=any localip=anyTiếp theo chạy các lệnh dưới đây
net stop openvpnservice
net start openvpnserviceCopy 3 file dưới đây qua máy tính Client
| C:\Program Files\OpenVPN\easy-rsa\pki\ca.cert |
| C:\Program Files\OpenVPN\easy-rsa\pki\issued\client.crt |
| C:\Program Files\OpenVPN\easy-rsa\pki\issued\client.key |
Trên máy tính client
Cài đặt OpenVPN, tuy nhiên chúng ta chỉ cần chọn install now, không cần cài đặt RSA
Copy 3 file ở server vào thư mục sau: C:\Program Files\OpenVPN\config\
Copy file Client.ovpn từ C:\Program Files\OpenVPN\sample-config vào C:\Program Files\OpenVPN\config\
Mở lên với notepad và chỉnh sửa như sau
Tìm dòng : remote my-server-1 1194
Thay my-server-1 bằng IP wan của bạn (Check IP Wan)
Ví dụ: remote 116.126.112.23 1194
Sửa tiếp các dòng dưới đây
Xóa dấu # trước dòng này
Lưu lại file
Tiếp theo, đăng nhập vào modem nhà mạng và tạo 1 rule NAT Port 1194 tới máy chủ OpenVPN server
Sau khi xong, chúng ta tiến hành kết nối với vpn server
Như vậy là mình đã hướng dẫn xong cách tạo OpenVPN để kết nối vào mạng cty một cách an toàn.
Chúc các bạn thành công