OpenVPN là giải pháp kết nối mạng riêng ảo nguồn mở, có cách thúc hoạt động tương tự như VPN. Việc triển khai dịch vụ này trên pfSense cũng rất dể dàng và thuận lợi, giá rẻ phù hợp vối doanh nghiệp vừa và nhỏ có nhu cầu cho nhân viên kết nối từ xa. OpenVPN cũng được hổ trợ trên nhiều hệ điều hành client như MAC, Windows, Linux và Smartphone.
Ở phần trước, chúng ta đã làm quen với phương pháp chứng thực Local user và User trên Domain controller Windows. Trong phần này chúng ta sẽ sử dụng chứng thực RADIUS với User của Domain controller. Phần này còn tăng mức độ khó của mô hình và kết hợp nhiều kỹ thuật khác nhau.
- Cổng ngoài modem (Cisco 7200) nối với VMnet8 (NAT)
- Cổng trong modem (Cisco 7200) nối với pfSense thông qua VMnet1
- Hệ thống LAN kết nối với VMnet2
OpenVPN client:
Đề có thể kết nối đến OpenVPN server thì chúng ta cần cài đặt OpenVPN client trên các máy của remote user, phần mềm này hổ trợ rất nhiều hệ điều hành của máy tính cũng như di động. bạn có thể tải về tại:
- https://openvpn.net/index.php/open-source/downloads.html (trong demo ở bài này đang dùng)
- https://openvpn.net/index.php?option=com_content&id=357
- https://play.google.com/store/apps/details?id=net.openvpn.openvpn
- https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8
Video demo
Lưu ý: Trong mô hình có thể có máy DNS ISP server, máy này dùng để giả lập việc phân giải tên mà khi chúng ta đi mua tên miền gắn vào cho IP mặt ngoài của router, việc này chỉ là giúp các bạn có thể dể hình dung cách cấu hình. Nếu không làm server này thì bạn vẫn có thể cho kết nối bằng IP.
Cấu hình trên rouer 7200 (giả lập modem ADSL):
Việc thêm modem (router Cisco 7200) giúp các bạn hình dung thêm ngoài thực tế chúng ta sẽ mở port như thế nào, để tránh phức tạp, bạn có thể loại bỏ phần này. Bạn có thể tham khảo trong bài Chia sẻ internet trên router Cisco bằng NAT overload trên GNS3 và VMware
Sau khi thực hiện chia sẽ internet theo bài viết trên bạn tiến hành mở port OpenVPN trên thiết bị theo lệnh sau:
ip nat inside source static [tcp/udp] [IP server] [port dịch vụ] [IP mặt ngoài của router] [port dịch vụ] extendable
Ví dụ: ở đây dùng tcp và port là 1194, giả định IP mặt ngài của router là 192.168.174.250, IP của OpenVPN server (Pfsense) 192.168.10.253
ip nat inside source static tcp 192.168.10.253 1194 192.168.174.250 1194 extendable
Sửa đổi file config trên OpenVPN client:
Sau đó để client có thể kết nối tới OpenVPN server, chúng ta phải tiến hành thay đổi trong file config của OpenVPN client. Như chúng ta biết sau khi chúng ta thiết lập OpenVPN server thì hệ thống cho chúng ta export một gói chứa các thông tin kết nối để import vào client, sau khi chúng ta chạy để import gói này vào client, ta tiến hành chạy OpenVPN client:
Kế tiếp, chúng ta tiến hành thay đổi thông tin trong file config, bằng cách click chuột phải lên biểu tượng OpenVPN client trên thanh taskbar, chọn Edit Config
Chúng ta tiến hành thay đổi IP (của pfSense) có trong file cấu hình này, thay thế bằng IP mặt ngoài của router (ngoài thực tế là IP tỉnh mà chúng ta đi mua của các nhà cung cấp dịch vụ) hoặc là bằng tên miền được phân giải từ ISP DNS server (hay nói cách khác ngoài thực tế là tên miền chúng ta đi mua).
Sau khi hoàn tất thay đổi file config , bạn có thể tiến hành kết nối bình thường như trong video hướng dẩn.
