A. Mô hình kết nối
B. Chuẩn bị
- 01 IP tĩnh: cần ít nhất 1 ip tĩnh public để VPN hoạt động ổn định.Nếu bạn không thuê ip tĩnh, đừng lo, bạn vẫn có thể dùng tên miền động (DDNS), Đăng ký và sử dụng dịch vụ tên miền động DrayDDNS: https://www.anphat.vn/quan-ly-thiet-bi-system-maintenance/huong-dan-kich-hoat-va-su-dung-drayddns
- Địa chỉ mạng nội bộ ở 2 chi nhánh khác lớp mạng với nhau: Công nghệ VPN đòi hỏi địa chỉ ip ở 2 site không được trùng nhau, bài viết này dùng lớp mạng 192.168.60.1/24 cho chi nhánh Hà Nội và lớp mạng 192.168.62.1/24 cho chi nhánh HCM.
C. Cấu hình VPN giữa 2 router DrayTek
- Thực hiện, Chọn một trong 2 thiết bị để làm Dial-in (Server)
Dial-in
- Chọn thiết bị có ip public tĩnh làm Dial-in.
- Cấu hình pre-share key trên thiết bị dial-in.
- Khai báo địa chỉ mạng nội bộ của chi nhánh dial-out trên router Dial-in.
Dial-out:
- Khai báo pre-share key.
- Khai báo địa chỉ mạng nội bộ của chi nhánh mà mình sẽ Dial-in.
C.1 VPN Server (Dial-In) Settings ( Site HCM)
- Vào VPN and Remote Access >> remote Access Control, check Enable giao thức VPN cần kích hoạt. (ví dụ: kích hoạt tất cả các giao thức VPN) >> nhấn OK reboot thiết bị
- Vào VPN and Remote Access >> IPsec General Setup, cấu hình Key IPSEC VPN
- Pre-shared Key : điền key Ipsec VPN
- Confirm Pre-Shared Key: điền lại key Ipsec VPN
- OK
- Vào VPN and Remote Access >> LAN to LAN nhấn Index
Tại Commont Settings
- Profile Name: Đặt tên Profile
- Check Enable this profile
- Call Direction: Chọn Dial- IN
Tại Dial- In Settings
- Allow Type VPN: Chọn IPSEC Tunnel
Tại TCP/IP Network Settings
- Remote Network: Điền lớp mạng nội bộ Client (192.168.60.1/24)
- Local Network: Điền lớp mạng nội bộ Server (192.168.62.1/24)
- Click OK
C.2 VPN Client (Dial-Out) Settings (site Hà Nội)
- Vào VPN and Remote Access >> remote Access Control, check Enable giao thức VPN cần kích hoạt. (ví dụ: kích hoạt tất cả các giao thức VPN) >> nhấn OK reboot thiết bị
- Vào VPN and Remote Access >> LAN to LAN
Tại Common Settings
- Profile Name :Đặt tên Profile
- Check Enable this Profile
- Call Direction :Chọn Dial- Out
- Check Always all
Tại Dial- Out Setting
- Type of Server I am Calling : chọn Ipsec Tunnel – IKEv1
- Server IP/Host Name for VPN. :Điền IP WAN hoặc Tên miền Router Văn phòng
- IKE- Presharekey :Điền Passwork Ipsec VPN
Tại TCP/IP Network Setting
- Remote Network IP :Điền lớp mạng nội bộ Server(192.168.62.1/24)
- Local Network IP :Điền lớp mạng nội bộ Client (192.168.60.1/24)
Nhấn OK
- Vào VPN and Remote Access >> Connection Management, Kiểm tra kết nối VPN
D. Cấu hình Định tuyến qua VPN
D1. Trường hợp 1: quy định tất cả dịch vụ bên trong chi nhánh đều đi qua kênh VPN
Trên Router chi nhánh:
Vào Routing >> Load Balance/ Route Policy, chọn index1
- Check “Enable”
- Comment: đặt tên rule
- Interface chọn VPN và chọn kênh VPN cần định tuyến
- Check “Failover to” WAN/LAN chọn “Default WAN”
- Packet forwarding to WAN/LAN via: chọn NAT
- Nhấn “OK”
D2. Trường hợp 2: quy định chỉ một vài đối tượng, dịch vụ, quốc gia đi qua VPN. Các dịch vụ còn lại sẽ sử dụng internet bình thường.
Trên router chi nhánh, Cần tạo 2 rule
- Rule 1: quy định các dịch vụ cần định tuyến qua kênh VPN
- Rule 2: quy định các dịch vụ còn lại sử dụng qua lệnh internet
Thực hiện
Vào Routing >> Load Balance/ Route Policy, chọn Index để tạo rule
Rule 1: cấu hình dịch vụ cần truy cập qua kênh VPN
- check Enable
- Comment: đặt tên rule
- Source: nhấn Edit để chọn đối tượng bên trong (IP/ dãy IP/ lớp mạng) cần định tuyến. Nếu muốn áp dụng cho toàn hệ thống >> chọn Any
- Destination: nhấn Edit để chọn dịch vụ cần định tuyến (IP/ tên miền / quốc gia).
- Interface chọn VPN và chọn Profile VPN cần định tuyến
- Check “Failover to” WAN/LAN chọn “Default WAN”
- Nhấn Priority
- Kéo Priority của rule về vị ví nhỏ hơn 150 (ví dụ 130)
- Nhấn OK
Tham khảo hướng dẫn:
- Định tuyến truy cập theo quốc gia: https://www.anphat.vn/can-bang-tai-load-balance-dinh-tuyen-gioi-han-bang-thong/huong-dan-cau-hinh-dinh-tuyen-theo-country-quoc-gia?template=1
- Định hướng truy cập theo tên miền: https://www.anphat.vn/can-bang-tai-load-balance-dinh-tuyen-gioi-han-bang-thong/cau-hinh-dinh-tuyen-can-bang-tai-theo-ten-mien-domain-/-url
Rule 2: cấu hình các dịch vụ còn lại truy cập internet bình thường.
- check Enable
- Comment: đặt tên rule
- Source: chọn Any
- Destination:chọn Any
- Interface chọn WAN/LAN và chọn WAN kết nối internet (ví rụ WAN1)
- Nhấn Priority
- Kéo Priority của rule về vị ví nhỏ hơn 150 (ví dụ 130). Lưu Ý Priority rule 2 phải bằng Priority Rule 1 để policy được xét đúng
- Nhấn OK