CẤU HÌNH SSL VPN LAN-to-LAN

Hiện nay các doanh nghiệp thường sử dụng giải pháp VPN để kết nối các Văn phòng với nhau. VPN không những làm giảm chi phí (Thay vì thuê kênh riêng) mà còn giúp tăng tính bảo mật dữ liệu cho doanh nghiệp. Draytek luôn nghiên cứu đưa ra thị trường những sản phẩm tích hợp VPN với các giao thức bảo mật cao như IPSEC (Internet Protocol Security), SSL (Secure Socket Layer) .

Trong bài viết này sẽ hướng dẫn các bạn cách cấu hình VPN SSL lan to lan với thiết bị Draytek và phân tích những ưu điểm khuyết điểm của nó để bạn có sự lựa chọn tối ưu nhất cho doanh nghiệp của mình.

Ưu điểm của SSL VPN

- Dễ dàng vượt tường lửa: Do sử dụng duy nhất 1 port TCP/443 để tạo VPN Tunnle. TCP/443 là port thông dụng luôn được các tường lửa cho phép đi qua.

- Không phụ thuộc vào khả năng PassThrough VPN của NAT Device (Trường hợp nằm sau NAT Device)

- Thích hợp khi tạo VPN LAN-to-LAN giữa 3G và ADSL/FTTH (3G là mạng đứng sau 1 NAT device của ISP nên nếu sử dụng PPTP hay IPsec sẽ gặp phải khó khăn)

- Bảo mật cao do sử dụng chuẩn SSL 3.0

- Băng thông VPN cao (Tùy model dao động từ 50 ~ 500Mbps)

- Hỗ trợ cả Host-to-LAN và LAN-to-LAN

Khuyết điểm:

- SSL VPN LAN-to-LAN chỉ hỗ trợ DrayTek -to-DrayTek

Các model hiện tại đã hỗ trợ SSL VPN:

Vigor2860 (Firmware 3.8.1RC6)

Vigor2925 (Firmware 3.8.2RC3)

Vigor2960 (Firmware 1.1.0.1)

Vigor3900 (Firmware 1.1.0)

Sơ đồ

Thông tin ban đầu

IP WAN

Lớp mạng LAN

Vigor2960

113.172.144.133

192.168.10.1/24 (255.255.255.0)

Vigor2925

113.172.175.127

192.168.20.1/24 (255.255.255.0)

Chuẩn bị:

- Đăng ký và sử dụng dịch vụ tên miền động DrayDDNS: https://www.anphat.vn/quan-ly-thiet-bi-system-maintenance/linux-huong-dan-kich-hoat-va-su-dung-drayddns

Hướng dẫn cấu hình:

- Với VPN LAN-to-LAN, sẽ có một thiết bị làm Dial-out và 1 thiết bị làm Dial-in

- Nên chọn Thiết bị có IP Public (Tĩnh hoặc động) làm Dial-in. Thiết bị đứng sau NAT device làm Dial-out

- Hướng dẫn bên dưới chia làm 2 trường hợp

TH1: V2925 (out) --- V2960 (in)

TH2: V2960 (out) --- V2925 (in)

- Nếu bạn sử dụng V2925 cho cả 2 Site thì cấu hình V2925-1 làm dial-out và V2925-2 làm dial-in

  • Trường hợp 1: Vigor2925 (Dial-out)  ---- Vigor2960 (Dial-in)
  • Cấu hình Vigor2960 (Dial-in)
  • Tạo User profile cho account VPN:
    • Vào User Management >>> User profile
    • Username    : Điền tên user
    • Tích chọn Enable
    • Password    : Điền pass cho user
    • SSL tunnel    : Chọn Enable
    • Chọn Apply

  • Tạo Profile VPN:
    • Vào VPN and Remote Access >>> VPN profile >>> tab SSL Dial_in >>> Click Add
    • Profile    : Đặt tên cho profile vpn
    • Tích chọn Enable
    • SSL User Name    : Chọn User profile vừa mới tạo ở bước trên
    • Local IP/ Subnet Mask    : Điền IP và Subnet mạng LAN của Vigor2960
    • Remote IP/ Subnet Mask    : Click nút Add, điền IP và Subnet LAN của Vigor2925 >>> chọn Save
    • Click Apply

  • Allow https cho SSL VPN: Vào System Maintenance >>> Access Control >>> chọn Enable Https allow

  • Cấu hình Vigor2925 (Dial-out)
  • Tạo profile VPN:
      • Vào VPN and Remote Access >>> Lan to lan
  • Common Settings
      • Profile name    : Điền tên cho profile vpn
      • Chọn Enable This Profile
      • Call Direction    : Chọn Dial out
      • Chọn Always on

  • Dial-out settings
      • Chọn SSL Tunnel
      • Server IP/Host Name for VPN    : Điền IP Wan hoặc DDNS của Vigor2960
      • Username    : Điền Username đã tạo ở Vigor2960
      • Password    : Điền Password đã tạo ở Vigor2960

  • TCP/IP Netword Settings
      • Remote Network IP    : Điền IP của Vigor2960
      • Remote Network Mask    : Điền Subnet của Vigor2960
      • Local IP    : Điền IP của Vigor2925
      • Local Network Mask    : Điền Subnet của Vigor2925
  • Nhấn Ok

  • Kiểm tra kết quả
  • Trên Vigor2925: Vào VPN and Remote Access >>> Connection Management

  • Trên Vigor2960: Vào VPN and Remote Access >>> Connection Management

  • Trường hợp 2: Vigor2960 (Dial-out)  ---- Vigor2925 (Dial-in)
  • Cấu hình Vigor2925 (Dail-in)
  • Cấu hình VPN profile:
      • Vào VPN and Remote Access >>> Lan To Lan
  • Common Settings
      • Profile name    : Điền tên cho profile vpn
      • Chọn Enable This Profile
      • Call Direction    : Chọn Dial in

  • Dial-in settings
      • Chọn SSL tunnel
      • Username    : Tạo Username cho Account SSL VPN
      • Password    : Điền Password cho Account SSL VPN

  • TCP/IP Netword Settings
      • Remote Network IP    : Điền IP của Vigor2960
      • Remote Network Mask    : Điền Subnet của Vigor2960
      • Local IP    : Điền IP của Vigor2925
      • Local Network Mask    : Điền Subnet của Vigor2925
  • Nhấn OK

  • Cấu hình Vigro2960 (Dial-out)
  • Vào VPN and Remote Access >>> VPN profile >>> tab SSL Dial_in >>> Click nút Add
    • Profile    : Đặt tên cho profile vpn
    • Chọn Enable
    • Always on    : Chọn Enable
    • Dial_out through    : Chọn Wan để kết nối VPN (VD: WAN 1)
    • Server IP/Host name    : Điền IP và Subnet mạng LAN của Vigor2925
    • SSL User Name    : Điền Username SSL VPN đã tạo trên Vigor2925
    • SSL password    : điền Username SSL VPN đã tạo trên Vigor2925
    • Local IP/ Subnet Mask    : Điền IP và Subnet mạng LAN của Vigor2960
    • Remote IP/ Subnet Mask    : Click nút Add, điền IP và Subnet LAN của Vigor2925 >>> chọn Save
    • Click Apply

  • Kết quả
  • Trên Vigor2925: Vào VPN and Remote Access >>> Connection Management

  • Trên Vigor2960: Vào VPN and Remote Access>>> Connection Management