1.Overview
Với tính năng VPN Remote Access bạn có thể thiết lập các kết nối được mã hóa an toàn giữa các thiết bị như thiết bị di động, máy tính để bàn tại nhà và máy tính xách tay cũng như tổ chức thông qua Internet.
Để truy cập từ xa, bạn phải xác định người dùng trong hệ thống bằng thông tin đăng nhập và đặt quyền cho người dùng được chỉ định. Thiết bị phải có thể truy cập được từ Internet.
Các phương thức Checkpoint hỗ trợ để VPN:
Check Point VPN clients: Để kết nối máy tính xách tay và máy tính để bàn
Mobile client: Để kết nối điện thoại thông minh và máy tính bảng
SSLVPN: Để kết nối thông qua SSL VPN
Windows VPN Client: Để kết nối thông qua VPN Client (L2TP)
2. Network Diagram
Bài viết hôm nay sẽ hướng dẫn các bạn cấu hình VPN Remote Access cho người dùng truy cập từ xa vào mạng nội bộ sử dụng Checkpoint VPN Client cài đặt trên máy tính người dùng với Checkpoint Firewall.
3. Hướng dẫn cấu hình
Bước 1: Tạo tên DDNS cho IP PPPOE trên Modem.
Note: Như mô hình ở trên do Modem quay PPPOE, Checkpoint Firewall chỉ là lớp mạng local do Modem cấp nên ta không thể cấu hình VPN với IP WAN của Checkpoint Firewall.
Nên bạn cần tạo 1 tên miền DDNS cho IP PPPOE (IP: 115.78.xx.xx) này (Ex: vpncheckpoint.ddns.net), kể cả là IP động hay IP tĩnh để kết nối VPN thành công.
Note: Nếu là mô hình Checkpoint đứng ra quay số PPPOE thì không cần đăng kí tên miền này. Bạn có thể cấu hình VPN Remote Access từ Bước 3.
Bạn có thể tạo 1 tài khoản tạo tên miền DDNS miễn phí như No-IP để sử dụng.
Trong khi tạo tên miền DDNS bạn cần tạo username để add tên miền này lên Checkpoint Firewall.
Bước 2: Enable DDNS trên Checkpoint Firewall.
Trên giao diện quản trị của Checkpoint Firewall > Device > System > DDNS & Device Access.
Click chọn “Connect to the applicance by name from the Internet (DDNS)”.
Cung cấp các thông tin như hình dưới:
Provider: chọn no-ip
User name: Nhập tên user đã tạo trên tài khoản No-ip
Password: Nhập password đăng kí tài khoản No-IP
Host name: Nhập tên miền đã cấu hình với IP PPPOE ở bước 1.
Bước 3: Tạo User VPN Remote Access.
Trên giao diện quản trị của Checkpoint Firewall > VPN > Remote Access > Remote Access Users > Add.
Điền các thông số cho user như hình dưới.
Click chọn “Remote Access Permissions”. Click Apply.
Nếu bạn yêu cầu bảo mật cao bạn có thể đổi port của SSL VPN (mặc định: 443), còn không bạn có thể để mặc định. Tiếp tục Bước 4.
Bạn có thể đổi port SSL VPN, di chuyển đến Device > Advanced > Advanced Settings. Bạn search “SSL VPN“.
Tìm và click chọn dòng “VPN Remote Access – Remote Access Port“.
Bạn đổi port như hình dưới.
Nếu đã đổi port như mô hình ở trên ta cần mở port 4435 trên modem. Để modem có thể forwarding traffic VPN.
Check port đã mở thành công hay chưa với các trang web check port open như yougetsignal.com
“Port 4435 is open on….” là đã mở port thành công.
Bước 4: Tải và cài đặt Checkpoint VPN Clients.
Trên giao diện quản trị của Checkpoint Firewall > VPN > Remote Access > Remote Control. Click ON Remote Access.
Trong phần Checkpoint VPN Clients, click How to connect…
Tại đây sẽ hướng dẫn bạn cách cấu hình Checkpoint VPN Client. Click “here” để đi trang tải Checkpoint VPN Client.
Click chọn “Remote Access (VPN) Clients product page”.
Chuyển qua mục “Downloads” và chọn các trang gần cuối để tìm phiên bản Checkpoint VPN Client mới nhất
Click chọn “E86.30 Checkpoint…..for Windows”
Click chọn Download.
Mở phần mềm Checkpoint VPN Client vừa tải xuống để cài đặt xuống máy. Click Next.
Chọn Endpoint Security VPN. CLick Next.
Click Install.
Sau khi cài xong, click chọn Finish.
Bước 5: Cấu hình Site cho Checkpoint VPN Client.
Click chọn icon ổ khóa màu vàng trong taskbar, bảng thông báo hiện lên click Yes.
Click Next.
Trong Server address or Name: Điền tên miền DDNS + Port đã cấu hình ở bước 1. Click Next.
Bạn đợi để thiết lập site kết nối.
Chọn Next.
Chọn kiểu xác thực là Username and Password. Click Next.
Thiết lập site kết nối thành công. CLick Finish.
Click Yes.
Nhập Username và Password đã tạo ở bước 3. Click chọn Connect.
Bạn đợi để thiết lập kết nối.
VPN Remote Access đã kết nối thành công với status là “Connected”.
Bước 6: Kiểm tra.
Bạn có thể đăng nhập vào Checkpoint Firewall sau khi VPN thành công.
Check trên Checkpoint Firewall phần “Connected Remote Users” đã thấy xuất hiện user John kết nối.
Kiểm tra trên máy user John đã nhận đúng IP 172.16.10.2.