Announcement

**ducnq2910** · 28-11-2006, 08:55 PM

Bạn đăng ký account trên no-ip, rồi cài đặt DUC về máy chủ 2003 server của mình. Tiếp theo là cấu hình VPN trên ISA 2004 và mở port 1723(PPTP) và tiến hành forwarding port 1723 vào máy chủ ISA 2004. Cái này mình cũng vừa làm xong, có gì mail cho mình nhé, sẽ trao đổi trực tiếp thì chắc là dễ hơn vì mình ko có khả năng viết văn mà :). YM:ducncq291083

**ngd** · 30-11-2006, 11:25 AM

Theo mình thấy thì cứ cấu hình phần DMZ trong Modem chỉ thẳng đến thằng ISA là hay nhất. Về sau muốn public service gì ra thì public trên ISA luôn, khỏi phải qua thằng Modem làm gì cho mất công.

**camaptrang** · 02-12-2006, 10:45 PM

Originally posted by ngd View Post

Theo mình thấy thì cứ cấu hình phần DMZ trong Modem chỉ thẳng đến thằng ISA là hay nhất. Về sau muốn public service gì ra thì public trên ISA luôn, khỏi phải qua thằng Modem làm gì cho mất công.

Bó tay với bác ...
- file dưới bác mở bằng winrar nhé, vì vnpro không cho up file .rar nên phải đổi thành zip

Attached Files

Site To Site Vpn In Isa Server 2004.zip (213.1 KB, 995 views)

**ngd** · 03-12-2006, 09:36 PM

To: Camaptrang
Tài liệu bạn gửi lên rất hay.
Nhưng mình chưa hiểu ý bạn lắm.
Khi ducnq2910 có hướng dẫn việc forwarding port 1723 ra để cấu hình VPN. Thì mình cũng chỉ góp ý là nên cấu hình trong phần DMZ (hay Misc Configuration - tùy thuộc loại Modem) để public ISA ra ngoài. Về sau, nếu có muốn public các service khác như FTP, Mail, Web Server ra ngoài Internet thì chỉ cần cấu hình trên ISA chứ không cần thêm 1 bước là lại chui vào Modem cấu hình port forwarding nữa.

Do mình cũng đã triển khai ISA 2004 (chưa có điều kiện nc ISA 2006) ở cty rồi. Cấu hình VPN, public FTP, Web, Mail Server ra ngoài. Nên muốn thảo luận chút thôi mà.

Rất mong được trao đổi.

**camaptrang** · 03-12-2006, 10:35 PM

mình hiểu ý bạn làm để isa trong dmz cho đơn giản dễ config và nếu bạn có bản isa 2k6 enter thì việc cấu hình mấy thứ ấy đã được Template trong bản này.
ý mình là không nên đặt tất tần tật trên cái isa này mà kiếm một con PIV làm DMZ và confiz trên ISA với 3 NIS (trong isa 2k4 cũng hướng dẫn như vậy) vì khi bị attack thì con dmz này hứng chịu còn cái isa nó bảo vệ LAN bên trong. hoặc không bạn có thể dựng thêm một con firewall bên trong nữa để bảo vệ LAN bên trong (để tớ tranh thủ send cho bạn mấy cái tài liệu này)

**iti** · 03-12-2006, 10:51 PM

Đúng rồi, nếu đưa ISA ra ngoài vùng DMZ của modem thì coi như ISA đã nằm ngoài Internet rồi, đỡ phải forward này nọ trên modem, mà nếu chỉ forward mỗi cổng TCP 1723 từ modem vào ISA thì hình như chưa đủ, không hiểu bạn ducnq2910 cấu hình như thế nào nhỉ ?

**ngd** · 04-12-2006, 01:16 AM

Capmaptrang có thể nói rõ hơn về "Kiếm 1 con PIV làm DMZ và config trên ISA với 3 NIS" được ko?

Originally posted by camaptrang View Post

mình hiểu ý bạn làm để isa trong dmz cho đơn giản dễ config và nếu bạn có bản isa 2k6 enter thì việc cấu hình mấy thứ ấy đã được Template trong bản này.

Theo như bạn nói thì mình thấy, bạn đang nghĩ đến khái niệm DMZ trong FW? Ý mình ở đây là cấu hình DMZ host trong Modem thay cho việc cấu hình port forwarding hay virtual server trong modem để public từng service.

Originally posted by camaptrang

hoặc không bạn có thể dựng thêm một con firewall bên trong nữa để bảo vệ LAN bên trong

Mình nghĩ, hệ thống mạng của 1 công ty nhỏ, hay 1 cá nhân muốn thử nghiệm thì như sau: LAN ---- ISA --- Modem ----Internet. Chứ nếu thêm 1 con FW nữa mình e là kinh phí cũng là 1 vấn đề đấy. Hơn nữa, hệ thống FW 2 lớp như bạn nói thường được dùng cho các hệ thống lớn khi muốn tách biệt việc bảo vệ Appication Server và DB Server. Đối với 1 hệ thống nhỏ thì dùng 2 FW có thừa ko?

Originally posted by iti

Đúng rồi, nếu đưa ISA ra ngoài vùng DMZ của modem thì coi như ISA đã nằm ngoài Internet rồi, đỡ phải forward này nọ trên modem, mà nếu chỉ forward mỗi cổng TCP 1723 từ modem vào ISA thì hình như chưa đủ, không hiểu bạn ducnq2910 cấu hình như thế nào nhỉ ?

Cái này mình đã thử. Chỉ public 1 port 1723 là OK.

Mình mới học về mấy cái này, nếu có gì sai sót xin bỏ qua nhé :)

**iti** · 04-12-2006, 10:08 AM

À, ý mình nói cái mô hình ISA đặt sau modem (k phải DMZ) mà chỉ forward vậy thì mình thử chưa được, ít nhất cũng phải thêm cái GRE (IP protocol 47) nữa, còn mô hình ISA nằm ngoài DMZ của modem thì OK :)
Mô hình của bác camaptrang thì tốt thôi nhưng tốn quá :D

**ducnq2910** · 04-12-2006, 02:30 PM

Cái này trước khi em làm em cũng đã hỏi nhiều rồi tuy nhiên cũng không được trả lời gãy gọn lắm. Với những công ty nhỏ thì thêm 1 con FW cũng oải lắm. Đôi khi mạng có vấn đề thì sếp hỏi "Why?" nhưng khi trình bày mua thêm máy và thiết bị thì lại hơi khó khăn. Còn việc public port 1723 thì không có vấn đề gì cả, hầu như router nào cũng support mà!

**camaptrang** · 04-12-2006, 04:00 PM

Originally posted by linhtxdhcn

May chu minh cai Windows 2003 server, cai dat ISA server 2004, may chu co 2 card mang, 1 card noi ra mang internet, 1 card noi vao mang noi bo, minh muon cau hinh de lam sao cho cac may o mang ben ngoai thiet lap VPN de va truyen ftp vao trong mot may trong mang noi bo. su dung ADSL dia chi IP dong de thiet lap, hay huong dan minh cach NAT bang NoIP tren mo dem, de co the cau hinh VPN.

Minh cung co mot he thong dang lam mo hinh giong ban va phuong phap su ly cung nhu la ducnq2910 (theo minh ban lam nhu vay la OK roi), vi khong khi nao minh public cai Isa ra ngoai tat tan tat.

Originally posted by ducnq2910 View Post

Bạn đăng ký account trên no-ip, rồi cài đặt DUC về máy chủ 2003 server của mình. Tiếp theo là cấu hình VPN trên ISA 2004 và mở port 1723(PPTP) và tiến hành forwarding port 1723 vào máy chủ ISA 2004. Cái này mình cũng vừa làm xong, có gì mail cho mình nhé, sẽ trao đổi trực tiếp thì chắc là dễ hơn vì mình ko có khả năng viết văn mà :). YM:ducncq291083

Minh chi khac ban cho la tren Isa minh lam cai card DMZ va dat mot may trong DMZ de can public cai gi thi pub cai do ... hien tren do dang pub : web, webmail, ftp, forum ... rat nhieu thu khac... di nhien la tren cai modem phai open port cho moi dich vu... ban hay lam nhu DUC .

**kimlong** · 07-01-2007, 10:09 AM

hướng dẫn cài vpn trên isa. tài liệu của newhorizon.

Attached Files

VPN-IPSEC.NOIDUNG.doc (296.0 KB, 142 views)

Announcement

VPN thông qua ISA server 2004

VPN thông qua ISA server 2004

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment