- Test với Vigor2927 firmware 4.2.2
- Một số dòng cũ hơn có thể không xác thực được
Ngoài việc cho phép kết nối VPN từ máy tính client đến router, giữa các router với nhau. Router DrayTek còn cho phép kết nối giữa router DrayTek đến các nhà cung cấp dịch vụ VPN khác như NordVPN, ExpressVPN.
Sau đây chúng tôi xin giới thiệu ứng dụng đơn giản giúp tăng độ bảo mật của hệ thống mạng bằng cách tạo kết nối VPN giữa Router DrayTeK với NordVPN và định tuyến cho cách dịch vụ mong muốn truy cập qua kênh VPN.
Hướng dẫn gồm 2 phần
- Phần A: cấu hình kết nối VPN giữa DrayTek với Nord VPN
- Phần B: định hướng dịch vụ truy cập qua VPN, gồm có một vài trường hợp cụ thể như sau:
- Trường hợp 1: quy định tất cả các dịch vụ đều qua VPN
- Trường hợp 2: quy định chỉ một vài đối tượng, dịch vụ, quốc gia đi qua VPN. Các dịch vụ còn lại sẽ sử dụng internet bình thường.
A. cấu hình kết nối VPN giữa DrayTek với Nord VPN
Bước 1: Đăng kí Account NordVPN trên (dùng thử 3 ngày)
Truy cập web https://free.nordvpn.com/
Bước 2: Download file NordVPN root CA certificate
Truy cập websie https://downloads.nordvpn.com/certificates/root.der để download.
Bước 3: Lấy Domain NordVPN server
Truy cập website https://nordvpn.com/servers/
- Nhấn Recommended server
Bạn có thể nhận được gợi ý server bằng cách chọn địa đia điểm quốc gia.Trong hình bên dưới, host name server là de241.nordvpn.com
Bước 4: Đăng nhập vàp router, vào Certificate Management >> Trusted CA Certificate page click “IMPORT”, chọn file “Root CA” để import
- Chờ vài giây để Server tiến hành “Import”
Bước 5. Kiểm tra kích hoạt giao thức VPN, Vào VPN and remote access >> Remote Access Control, check giao thức VPN cần sử dụng (IPsec)>> nhấn OK. Reboot thiết bị nếu được yêu cầu.
Bước 6: Vào VPN and Remote Access >> IPsec Peer Identity, cấu hình thông tin cho NordVPN server.
Chọn Index trống (ví dụ Index1)
- Check “Enable This Account”
- Profile name đặt tên profile
- Chọn “Accept Any Peer ID”
- Nhấn OK
Bước 7: Vào VPN and Remote Access >> LAN to LAN cấuhình Profile VPN
Chọn Index trống (ví dụ Index1)
7.1 Common Settings
- Profile name, đặt tên profile
- Check “Enable This Profile”
- Call Direction chọn “Dial – Out”
- Check “Always ON”
7.2 Dial-Out Settings
- Type of Server I am calling, chọn IPsec Tunnel - IKEv2 EAP
- Server IP/Host Name for VPN điền domain VPN server ví dụ: vn9.nordvpn.com
- Username /password điền thông tin VPN của NordVPN
- Để có thông tin này, cần truy cập web https://free.nordvpn.com/ >> Vào NordVPN >> Advanced Configuration. Copy Username/ pass sử dụng
- IKE Authentication Method >> PeerID chọn profile NordVPN đã tạo ở bước trên
- IPsec Security Method chọn “AES with Authentication”
- Nhấn “Advanced”
- IKE phase 1 proposal Encryption chọn “AES256”
- IKE phase 1 proposal ECDH Group chọn”G14”
- IKE phase 1 proposal Authentication chọn “SHA1”
- IKE phase 2 proposal chọn “AES256_SHA1”
- IKE phase 1 key lifetime điền “28800”
- IKE phase 2 key lifetime điền “3600”
- Nhấn “OK”
7.3: TCP/IP Network Settings
- Remote Network Mask chọn 0.0.0.0/00
- From First subnet to remote network, you have to do :chọn NAT
- Nhấn “OK”
Bước 8: Kiểm tra trạng thái kết nối
- Vào VPN and Remote Access >> Connection Management
- Thực hiện tracert kiểm tra
B. định hướng dịch vụ truy cập qua VPN
B1. Trường hợp 1: quy định tất cả dịch vụ bên trong đều đi qua kênh VPN
Vào Routing>> Route Policy, chọn index1
- Check “Enable”
- Interface chọn VPN và chọn Profile chọn kênh VPN vừa cấu hình
- Check “Failover to” WAN/LAN chọn “Default WAN”
- Nhấn “OK”
B2. Trường hợp 2: quy định chỉ một vài đối tượng, dịch vụ, quốc gia đi qua VPN. Các dịch vụ còn lại sẽ sử dụng internet bình thường.
Vào Routing >> Load Balance/ Route Policy, chọn Index để tạo rule
Cần tạo 2 rule
Rule 1: cấu hình dịch vụ cần truy cập qua kênh VPN
- check Enable
- Comment: đặt tên rule
- Source: nhấn Edit để chọn đối tượng bên trong (IP/ dãy IP/ lớp mạng) cần định tuyến. Nếu muốn áp dụng cho toàn hệ thống >> chọn Any
- Destination: nhấn Edit để chọn dịch vụ cần định tuyến (IP/ tên miền / quốc gia).
- Interface chọn VPN và chọn Profile NordVPN
- Check “Failover to” WAN/LAN chọn “Default WAN”
- Nhấn Priority
- Kéo Priority của rule về vị ví nhỏ hơn 150 (ví dụ 130)
- Nhấn OK
Tham khảo hướng dẫn:
- Định tuyến truy cập theo quốc gia: https://www.anphat.vn/can-bang-tai-load-balance-dinh-tuyen-gioi-han-bang-thong/huong-dan-cau-hinh-dinh-tuyen-theo-country-quoc-gia?template=1
- Định hướng truy cập theo tên miền: https://www.anphat.vn/can-bang-tai-load-balance-dinh-tuyen-gioi-han-bang-thong/cau-hinh-dinh-tuyen-can-bang-tai-theo-ten-mien-domain-/-url
Rule 2: cấu hình các dịch vụ còn lại truy cập internet bình thường.
- check Enable
- Comment: đặt tên rule
- Source: chọn Any
- Destination:chọn Any
- Interface chọn WAN/LAN và chọn WAN kết nối internet (ví rụ WAN1)
- Nhấn Priority
- Kéo Priority của rule về vị ví nhỏ hơn 150 (ví dụ 130). Lưu Ý Priority rule 2 phải bằng Priority Rule 1 để policy được xét đúng
- Nhấn OK