Chuẩn bị: (nếu đã có IP tĩnh hoặc tên miền động>> bỏ qua bước này)
- Đăng ký và sử dụng dịch vụ tên miền động DrayDDNS: https://www.anphat.vn/quan-ly-thiet-bi-system-maintenance/linux-huong-dan-kich-hoat-va-su-dung-drayddns
- Tạo và áp dụng chứng chỉ Let Encrypt trên router: https://www.anphat.vn/quan-ly-thiet-bi-system-maintenance/huong-dan-ap-dung-chung-chi-let-s-encrypt-tren-router-draytek
A. Trên DrayOS
Bước 1: Tại VPN and Remote Access >> Remote Access Control
- Enable SSL VPN Service
Bước 2: Tạo profile SSL VPN Tunnel
- Đi đến VPN and Remote Access >> Remote Dial-in User , nhấn index bất kì tạp profile (ví dụ Index1)
- User Accout and Authentication: Check Enable this Acoount
- Allowed Dial-In Type: Check SSL Tunnel
- Điền Username/Password
- Click "OK" để hoàn tất
Bước 3: chỉnh Certificate sử dụng kết nối SSL
Có 2 trường hợp như sau, thực hiện chỉnh server xác thực Certificate tùy theo từng trường hợp
a. Hệ thống sử dụng tên miền DrayDDNS và chứng chỉ Let’ Encryption
Vào VPN and Remote Access >> SSL General Setup, chọn Server Certificate là DrayDDNS.
b. Hệ thống có IP tĩnh và truy cập bằng IP tĩnh hoặc sử sử dụng tiền khác
tham khảo hướng dẫn sử dụng khởi tạo và sử dụng Self- Signed Certificate tại https://www.anphat.vn/vpn-cac-huong-dan-khac/drayos-khac-phuc-loi-khong-the-ket-noi-ssl-vpn-khi-nang-cap-ios/-macos (cách 2)
- Vào VPN and Remote Access >> SSL General Setup, chọn Server Certificate là Self- Signed
B. Trên thiết bị Client
1. Cài đặt phần mềm DrayTek SmartVPN
Download bản Smart VPN Client tại: https://www.draytek.com/products/utility/
2. Khởi động phần mềm, nhấn biểu tương setting sau đó chọn "Basic" trong Certificate verify level.
3. Click '+' để tạo VPN profile
- Đặt profile name
- Điền IP WAN hoặc tên miền Router Vigor
- Chọn SSL VPN port, 443 (port đã đổi trên router Draytek)
- Điền Username
- Click Authentication Settings
4. Chọn "Password" trong User Authentication và điền password >> nhấn OK.
5. Nhấn Connect và cho phép truy cập thông
6. Sau khi VPN, chúng ta có thể thấy trạng tháo VPN như sau
B. TroubleShoot
- Kiểm tra port SSL đang sử dụng
Vào VPN and Remote Access >> SSL General Setup, kiểm tra port 443
- kiểm tra CA đang sử dụng
a.Hệ thống sử dụng tên miền DrayDDNS
- Vào VPN and Remote Access >> SSL General Setup, chọn Server Certificate là DrayDDNS.
b. Hệ thống có IP tĩnh, và truy cập bằng IP tĩnh hoặc sử sử dụng tiền khác
- Vào VPN and Remote Access >> SSL General Setup, chọn Server Certificate là Self- Signed
b. Kiểm tra thời gian có hiệu lực CA
- Mở trình duyệt web, truy cập IP, trên miền bằng dịch vụ HTTPS (ví dụ: https://anphatvn )
- Nhấn vào ổ khóa trước IP/ tên miền >> chọn Certificate
- Kiểm tra thời gian có CA có hiệu lực tạo Valid From:
- Nếu CA đã hết hiệu lực cần phải renew CA hoặc đăng kí CA mới.
b1. Dùng CA Let’ Encrypt:
Vào Application >> Dynamic DNS, chọn profile tên miền DrayDDNS và nhấn Auto Update. Router sẽ tự động làm mới certificate khi certificate cũ gần hết hạn (Yêu cầu HTTP port 80 luôn luôn mở)
b2. Thuê tên miền có CA >> liên hệ bên cung cấp
c. Trường hợp hệ thống có chia nhiều VLAN hoặc có nhiều lớp mạng bên trong. Client cần chỉ Default gateway về Router
- Trong Smart VPN >> chọn Profile>> nhấn Advanced
- Nhấn chọn "Send all traffic through this tunnel">> nhấn OK
- Ngắt kết nối và kết nối lại
Văn phòng TPHCM: (028) 3925 3789
Chi nhánh miền Bắc: (024) 3781 5089
Chi nhánh miền Trung: (0236) 367 9515
Hotline Hỗ Trợ Kỹ Thuật: 1900 633 641