Phòng Thông tin và truyền thông

Trường Đại học Khoa học Tự nhiên

A. Sử dụng OpenVPN để truy cập mạng Trường

1. Các cá nhân cần sử dụng VPN và các dịch vụ có thể sử dụng

2. Cài đặt OpenVPN

3. Yêu cầu cấp 1 file chứa chứng chỉ và khóa riêng tư từ Ban QLM Trường

4. Thực hiện kết nối VPN vào mạng Trường

1. Kết nối dùng công cụ OpenVPN GUI

2. Kết nối dùng file .ovpn

5. Thay đổi mật khẩu bảo vệ file khóa riêng tư dùng công cụ OpenVPN GUI

6. Hướng dẫn cài đặt và sử dụng OpenVPN GUI

B. Sơ lược về VPN

*******************************

A. Sử dụng OpenVPN để truy cập các máy chủ trong mạng Trường

Dịch vụ OpenVPN cho phép người dùng kết nối từ xa vào mạng Trường qua Internet để truy cập một số dịch vụ trong nội bộ mà bình thường không thể truy cập từ bên ngòai. Các dịch vụ này có thể là:

♦ Check mail bằng POP3 và gửi mail dùng SMTP với máy chủ mail của Trường.

♦ Truy cập file chia sẻ qua Windows Explorer

♦ Truyền file qua FTP

♦ Dùng Secure shell truy cập các máy chủ khác

♦ v.v...

Hiện tại vì lý do bảo mật chỉ cho phép dùng VPN để truy cập dịch vụ mail sau:

♦ DNS

♦ SSH

♦ SMTP

♦ POP3

♦ FTP

♦ WWW

♦ Web proxy

♦ Windows Remote Desktop

Hiện nay Ban QLM Trường đã triển khai máy chủ OpenVPN và sử dụng OpenCA để cấp chứng chỉ cho các cá nhân có nhu cầu kết nối vào mạng Trường.Các cá nhân này có thể là:

♦ Cán bộ của Trường đi học tập, nghiên cứu ở nước ngòai cần truy cập các máy chủ trong nội bộ mạng Trường.

♦ Cán bộ của Trường đi công tác hoặc ở nhà cần truy cập các máy chủ trong nội bộ mạng Trường.

♦ Các cá nhân bên ngoài đang tham gia các dự án của Trường hoặc các đối tác nước ngòai khác cần truy cập các máy chủ của dự án.

Để dùng OpenVPN kết nối vào mạng Trường cần phải thực hiện các bước sau:

1. Cài đặt OpenVPN (thực hiện 1 lần)

2. Yêu cầu cấp 1 file chứa chứng chỉ và khóa riêng tư từ Ban QLM Trường (thực hiện 1 lần)

3. Thực hiện kết nối VPN vào mạng Trường (thực hiện mỗi khi cần kết nối)

Bước 1. Cài đặt OpenVPN: OpenVPN có thể chạy được trên nhiều HĐH như:

♦ Windows : Windows 2000, Windows XP, Windows 2003 trở lên

♦ Linux kernel 2.2 trở lên

♦ Solaris

♦ OpenBSD 3.0+ (kèm với OpenSSL và TUN devices có sẵn)

♦ Mac OS X Darwin

♦ FreeBSD

♦ NetBSD

Sau đây là huớng dẫn cài đặt OpenVPN trên Windows, các HĐH khác xin xem tại Web site địa chỉ: http://openvpn.net/install.html

♦ Sử dụng trình duyệt Web vào địa chỉ sau: http://ftp.hcmuns.edu.vn/pub/Windows/Softwares/Networking/VPN/OpenVPN/

♦ Sau đó download file openvpn-2.0.7-gui-1.0.3-install.exe. Đây là file cài đặt OpenVPN và công cụ quản lý OpenVPN GUI. Công cụ quản lý OpenVPN GUI cho phép thay đổi mật khẩu bảo vệ khóa riêng tư và quản lý các kết nối OpenVPN rất dễ dàng và tiện lợi.

♦ Chạy file openvpn-2.0.7-gui-1.0.3-install.exe. Màn hình sau xuất hiện: using_1.gif

♦ Nhấn nút Next

♦ Nhấn nút I Agree để chấp nhận các yêu cầu về License. Màn hình kế sẽ xuất hiện:

♦ Đây là các thành phần của phần mềm OpenVPN. Bỏ tùy chọn OpenVPN Service và nhấn nút Next. Có thể đánh dấu chọn "Hide the TAP-Win32 Virtual Ethernet Adpter" để giấu biểu tượng card mạng ảo của OpenVPN. Màn hình sau sẽ xuất hiện:

♦ Chấp nhận đường dẫn mặc định và nhấn nút Install. Màn hình sau xuất hiện:

♦ Trình cài đặt sẽ copy các file cần thiết vào thư mục đã chọn. Quá trình cài đặt có yêu cầu cài 1 card mạng ảo tên là TAP-Win32 dùng cho kết nối VPN. Khi đó Hệ điều hành có thể sẽ xuất hiện màn hình sau:

♦ Màn hình này yêu cầu xác nhận cho phép cài 1 card mạng ảo này. Nhấn nút Continue Anyway để tiếp tục. Nếu máy bạn có cài 1 chương trình chống Spyware, Vd Windows AntiSpyware, thì phần mềm chống Spyware có thể yêu cầu cho phép card mạng ảo được dùng để kết nối mạng. Ví dụ màn hình sau là cảnh báo của Windows AntiSpyware khi cài card mạng ảo

.

♦ Trường hợp này ta bỏ qua cảnh báo bằng cách nhấn nút Ignore.

♦ Sau khi copy các file và cài card mạng ảo thành công, màn hình sau sẽ xuất hiện:

♦ Nhấn nút Next để tiếp tục. Màn hình sau sẽ xuất hiện:

♦ Nhấn nút Finish để kết thúc việc cài đặt. Trên thanh công cụ trạng thái nằm dưới màn hình xuất hiện biểu tượng của OpenVPN GUI. Đồng thời cũng có thể xuất hiện biểu tượng card mạng có dấu chéo đỏ . Đây là card mạng dùng cho kết nối VPN, dấu chéo đỏ nghĩa là ở trạng thái chưa kết nối. Trường hợp có đánh dấu chọn "Hide the TAP-Win32 Virtual Ethernet Adpter" ở trên thì sẽ không xuất hiện biểu tượng này.

Bước 2. Yêu cầu một file chứa chứng chỉ và khóa riêng tư:

♦ Quý Thầy/Cô, Anh/Chị liên lạc trực tiếp với Ban QLM Trường để yêu cầu cấp chứng chỉ. Các thông tin cần thiết để có thể tạo chứng chỉ là:

ο Họ tên

ο Đơn vị công tác

ο Thời gian cần sử dụng chứng chỉ

ο Các máy chủ và dịch vụ trong mạng Trường cần truy cập

♦ Dựa vào các thông tin trên, Ban QLM sẽ tạo file chứa chứng chỉ và khóa riêng tư. Để bảo vệ khóa riêng tư, khóa này được mã hóa bằng một mật khẩu. Ban QLM sẽ cung cấp file này và mật khẩu bảo vệ cho người gửi yêu cầu. Các file này được nén lại ở dạng .zip. ♦ Thầy/Cô, Anh/Chị bung file .zip vào thư mục đã cài đặt OpenVPN, thường là C:\Program Files\OpenVPN\Config.

♦ Kết quả sẽ tạo ra 1 thư mục con tên là username. Thư mục này chứa 3 file sau:

ο File chứng chỉ của máy chủ CA của Trường tên là : hcmuns-cacert.crt

ο File chứa chứng chỉ của người dùng với tên là : <username>.crt

ο File chứa khóa riêng tư của người dùng đã được mã hóa với tên là : <username>.pem

ο File cấu hình OpenVPN cho máy trạm tên là: <username>-client.ovpn

Bước 3. Kết nối VPN vào mạng Trường: Kết nối OpenVPN dùng công cụ OpenVPN GUI Click chuột phải trên biểu tượng "OpenVPN GUI" dưới màn hình, xuất hiện pop-up menu, trong đó có dòng "Connect" (nếu chỉ có 1 file cấu hình cho 1 kết nối OpenVPN) hoặc <username>=>Connect (nếu có nhiều file cấu hình cho nhiều kết nối OpenVPN). Chọn chức năng Connect, kết quả xuất hiện màn hình yêu cầu nhập mật khẩu. Nếu đúng thì việc kết nối OpenVPN sẽ được thực hiện và kết quả xuất hiện trong màn hình log.

Ngắt kết nối OpenVPN dùng công cụ OpenVPN GUI Click chuột phải trên biểu tượng "OpenVPN GUI" dưới màn hình, xuất hiện pop-up menu, trong đó có dòng "Disconnect" (nếu chỉ có 1 file cấu hình cho 1 kết nối OpenVPN) hoặc <username>=>Disonnect (nếu có nhiều file cấu hình cho nhiều kết nối OpenVPN). Chọn chức năng Disconnect thì kết nối OpenVPN tương ứng sẽ bị ngắt.

Kết nối dùng file .ovpn Mở thư mục đã cài OpenVPN, thường là C:\Program Files\OpenVPN\config. Nhấn chuột phải trên file client.opvn và chọn "Start OpenVPN on this config file"

Màn hình xuất hiện cửa sổ sau:

Nhập mật khẩu bảo vệ khóa riêng tư vào. Chú ý mật khẩu đã được Ban QLM cung cấp và cần phải ghi nhớ cũng như không để lộ. Sau khi nhập xong, nếu đúng thì chương trình OpenVPN sẽ kết nối vào máy chủ OpenVPN của Trường. Nếu kết nối thành công, màn hình sẽ có dạng như sau:

đồng thời biểu tượng card mạng VPN trên thanh công cụ trạng thái (nằm ở góc dưới màn hình) sẽ mất dấu chéo đỏ , nghĩa là ở trạng thái đang kết nối. Sau khi kết nối thành công, Thầy/Cô, Anh/Chị sử dụng các phần mềm thích hợp để truy cập các dịch vụ tại các máy chủ trong mạng Trường, ví dụ như check mail bằng POP3, truy cập file chia sẻ qua Windows Explorer, truyền file qua FTP, dùng Secure shell v.v... Để tránh vấn đề đụng độ tên miền DNS giữa bên trong và bên ngòai mạng Trường, nên sử dụng địa chỉ IP khi truy cập. Ngắt kết nối VPN vào mạng Trường: Sau khi sử dụng nếu muốn ngắt kết nối, chỉ cần đóng cửa sổ trên bằng cách click vào dấu chéo ở góc phải cửa số . Khi đó biểu tượng card mạng VPN trên thanh công cụ sẽ xuất hiện dấu chéo đỏ

Thay đổi mật khẩu bảo vệ file khóa riêng tư: Ta có thể sử dụng công cụ OpenVPN GUI để đổi mật khẩu bảo vệ file khóa riêng tư. Chú ý chỉ đổi được nếu file chứng chỉ chứa khóa công khai và file khóa riêng tư là 2 file độc lập. Click chuột phải trên biểu tượng"OpenVPN GUI"dưới màn hình, xuất hiện pop-up menu, trong đó có dòng "Change password". Chọn chức năng này, kết quả xuất hiện màn hình sau:

Nhập vào mật khẩu hiện thời, mật khẩu mới có xác nhận và nhấn OK. Nếu đúng thì mật khẩu sẽ được đổi và có tác dụng cho các lần sử dụng sau này.

Hướng dẫn cài đặt và sử dụng OpenVPN GUI Hiện nay cộng đồng OpenVPN có cung cấp 1 công cụ đa năng hổ trợ thêm cho phần mềm OpenVPN, tên là OpenVPN GUI. Công cụ này có thể thực hiện các chức năng như:

Thay đổi mật khẩu bảo vệ file khóa riêng tư

Mở 1 hay nhiều kết nối OpenVPN

Đóng kết nối OpenVPN

tất cả đều thực hiện thông qua giao diện đồ họa. Chú ý nếu đã cài openvpn-2.0.7-gui-1.0.3-install.exe thì công cụ này đã có sẵn.

1. Download công cụ OpenVPN GUI: Vào địa chỉ sau: http://ftp.hcmuns.edu.vn/pub/Windows/Softwares/Networking/VPN/OpenVPN/ sau đó download file openvpn-gui-1.0.3.exe về máy mình và chạy file này. Kết quả xuất hiện 1 biểu tượng nhỏ nằm trên thanh công cụ "OpenVPN GUI"dưới màn hình. Chú ý rằng công cụ này không cần cài đặt, mỗi lần muốn sử dụng chỉ cần chạy file này mà thôi.

2. Thay đổi mật khẩu bảo vệ file khóa riêng tư: Để có thể thay đổi mật khẩu bảo vệ file khóa riêng tư, cần tách để chứng chỉ và khóa riêng tư thành 2 file khác nhau, nếu để chung thì sẽ bị hư cả 2 file này. Cách làm như sau: Giả sử thư mục C:\Program Files\OpenVPN\config đang chứa các file cấu hình sau:

trong đó file client.pem là file chứa cả chứng chỉ và khóa riêng tư. Thực hiện các bước sau để tách 2 phần này thành 2 file riêng biệt:

♦ Mở file client.pem. File này có 2 phần là "CERTIFICATE" và "ENCRYPTED PRIVATE KEY" như sau:

♦ Cắt và dán phần "CERTIFICATE", tức là phần giữa 2 dòng "-----BEGIN CERTIFICATE-----" và dòng "-----END CERTIFICATE-----" vào 1 file khác đặt trong cùng thư mục, giả sử đặt là client.crt. Sau đó ghi lại file client.pem. Như vậy ta có 2 file:

ο File client.crt: chứa certificate

ο File client.pem: chứa khóa riêng tư đã mã hóa

♦ Kế tiếp ta cần sửa lại file cấu hình OpenVPN client, đó là file client.opvn. Mở file này và sửa ở dòng sau:

với client.crt là file chứa certificate và tạo. Các dòng còn lại để nguyên. Kết quả thư mục C:\Program Files\OpenVPN\config chứa các file cấu hình sau:

Bây giờ ta có thể đổi mật khẩu bảo vệ file khóa riêng tư. Click chuột phải trên biểu tượng "OpenVPN GUI" dưới màn hình, xuất hiện pop-up menu, trong đó có dòng "Change password". Chọn chức năng này, kết quả xuất hiện màn hình sau:

Nhập vào mật khẩu hiện thời, mật khẩu mới có xác nhận và nhấn OK. Nếu đúng thì mật khẩu sẽ được đổi và có tác dụng cho các lần sử dụng sau này.

3. Kết nối OpenVPN dùng công cụ OpenVPN GUI Click chuột phải trên biểu tượng "OpenVPN GUI"dưới màn hình, xuất hiện pop-up menu, trong đó có dòng "Connect" (nếu chỉ có 1 file cấu hình cho 1 kết nối OpenVPN) hoặc <username>=>Connect (nếu có nhiều file cấu hình cho nhiều kết nối OpenVPN). Chọn chức năng Connect, kết quả xuất hiện màn hình yêu cầu nhập mật khẩu. Nếu đúng thì việc kết nối OpenVPN sẽ được thực hiện và kết quả xuất hiện trong màn hình log.

4. Ngắt kết nối OpenVPN dùng công cụ OpenVPN GUI Click chuột phải trên biểu tượng "OpenVPN GUI" dưới màn hình, xuất hiện pop-up menu, trong đó có dòng "Disconnect" (nếu chỉ có 1 file cấu hình cho 1 kết nối OpenVPN) hoặc <username>=>Disonnect (nếu có nhiều file cấu hình cho nhiều kết nối OpenVPN). Chọn chức năng Disconnect thì kết nối OpenVPN tương ứng sẽ bị ngắt

. B. Sơ lược về VPN

VPN là từ viết tắt của Virtual Private Network, tạm dịch là "Mạng riêng ảo".

Về bản chất, VPN là tập hợp các công cụ cho phép các mạng riêng ở các vị trí khác nhau có thể kết nối một cách an tòan với nhau thông qua một mạng công cộng (như Internet).

Để bảo mật dữ liệu khi truyền qua mạng công cộng, VPN sử dụng các phương pháp mã hóa như: IPSec, PPTP/MPPE, L2TP/IPSec ...

Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel. Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ này, các gói tin được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa trường hợp "trộm" gói tin trên đường truyền.

Hiện nay VPN được triển khai rộng rãi để làm việc từ xa hay liên kết các chi nhánh trong cùng công ty hoặc giữa các mạng của các công ty đối tác với nhau. Hình vẽ sau minh họa việc sử dụng VPN cho các dạng kết nối này:

Các mô hình VPN:

♦ Remote-Access (Truy cập từ xa VPN)

Hay cũng được gọi là Mạng quay số riêng ảo (Virtual Private Dial-up Network) hay VPDN, đây là dạng kết nối User-to-LAN áp dụng cho các công ty mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa và bằng các thiết bị khác nhau.

Khi VPN được triển khai, các nhân viên chỉ việc kết nối Internet thông qua các ISPs và sử dụng các phần mềm VPN phía khách để truy cập mạng công ty của họ. Các truy cập từ xa VPN đảm bảo các kết nối được bảo mật, mã hóagiữa mạng riêng rẽ của công ty với các nhân viên từ xa qua một nhà cung cấp dịch vụ thứ ba (third-party)

Với remote-access VPN, các nhân viên di động và nhân viên làm việc ở nhà chỉ phải trả chi phí cho cuộc gọi nội bộ để kết nối tới ISP và kết nối tới mạng riêng của công ty, tổ chức.

♦ Site-to-Site

Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công cộng như Internet. Các mạng Site-to-site VPN có thể thuộc một trong hai dạng sau: Intranet VPN hoặc Extranet VPN.

SSL VPN:

SSL VPN là một kỹ thuật VPN mới, sử dụng giao thức Secure Socket Layer để bảo mật dữ liệu khi truyền qua mạng. SSL dùng cơ chế mã hóa khóa riêng tư/khóa công khai (private key/public key). Cơ chế này yêu cầu người dùng bảo vệ khóa riêng tư, còn khóa công cộng thì phổ biến ra ngòai.

OpenVPN là một phần mềm dạng SSL VPN, sử dụng chứng chỉ số để xác thực giữa client và server. Bản chất chứng chỉ số (certificate) là một tài liệu điện tử sử dụng xác định một user, server, công ty, hay nói cách khác là chứng chỉ liên kết tên với một khoá công khai. Nội dung của chứng chỉ bao gồm các thông tin liên quan nhằm xác định ra đối tượng sở hữu chứng chỉ, khoá công khai, và các thông tin phụ đi kèm theo.

Mỗi người dùng OpenVPN cần phải đăng ký để có một khóa riêng tư và cấp một chứng chỉ số. Chứng chỉ này họat động như một giấy thông hành cho phép người dùng kết nối vào mạng.

**********************

Tài liệu tham khảo:

Bách khoa toàn thư mở Wikipedia http://vi.wikipedia.org/wiki

How does VPN work? http://www.alliancedatacom.com/how-vpn-works.asp OpenVPN web site:http://openvpn.net/

Trang chủ Kết nối từ xa Sử dụng OpenVPN để truy cập vào mạng trường