DrayOS 5 - VPN Host to LAN với Wireguard VPN | VPN Host-to-LAN (Client to site) | DrayOS 5 (Vigor2136-1100)

: Viết bởi Hà Đặng; Chuyên mục: VPN Host-to-LAN (Client to site); 22 - 07 - 2024; 253 lượt xem

Sơ đồ

Phần hướng dẫn này sẽ giúp bạn tạo 1 tài khoản để người khác ở ngoài internet có thể kết nối VPN về router và khai thác dữ liệu trong mạng để có thể làm việc từ xa. Ứng dụng cho nhân viên, sếp đi ra ngoài muốn connect về công ty để lấy tài liệu, xem camera v.v…

Sau khi thiết lập kênh VPN thành công thì lúc đó bạn hoàn toàn làm những việc như là : lấy file share, xem camera, in bằng máy in của công ty, xem báo cáo v.v… như là bạn đang ở văn phòng của mình vậy.

Chuẩn bị

Máy tính, client phải có kết nối internet ,wifi, 3G, adsl v.v…
Router đặt tại văn phòng chính phải có ip public, nên có ip tĩnh.

Nếu không có ip tĩnh có thể dùng tên miền động (dynamic DNS), tham khảo link sau: https://www.anphat.vn/quan-ly-thiet-bi-system-maintenance/drayos-5-huong-dan-cau-hinh-dynamic-ddns-su-dung-ten-mien-dong-no-ip

Hoặc đăng kí và sử dụng dịch vụ tên miền động DrayDDNS do DrayTek cung cấp: https://www.anphat.vn/quan-ly-thiet-bi-system-maintenance/drayos-5-huong-dan-su-dung-dich-vu-ten-mien-dong-drayddns

Địa chỉ ip lớp mạng tại văn phòng nên đặt 1 lớp mạng lạ 1 chút để tránh bị trùng, nếu bị trùng sẽ không tạo kênh VPN được, các địa chỉ sau không nên đặt vì được sử dụng quá phổ biến:- 192.168.1.0/24- 192.168.0.0/24- 10.0.0.0/24

Trên Router

1. Cấu hình chung Wireguard VPN

Vào VPN >> General Setup >> Wireguard

Chọn Enable
Nhấn Generate để tạo KEY
Lưu lại thông tin Public key: (tạm gọi Router P.Key ) được dùng khai báo trên CLient khi kết nối VPN ). Lưu ý, chỉ Generate Key 1 lần. Mỗi lần generate Key lại, cần phải lưu lại thông tin và chỉnh sửa trên Client
Accept VPN connection: chọn ALL Interfaces (chấp nhận VPN từ tất cả các WAN).
VPN Access control Mode: chọn Allow All Connection (mặc định router cho phép VPN từ tất cả các IP bên ngoài). Bạn có thể chọn Allow list để cho phép một vài đối tượng IP hoặc Black list để chặn một vài đối tượng IP
Nhấn Apply

2. Tạo profile VPN

Vào VPN >> Teleworker VPN, nhấn +Add tạo profile mới

Username: đặt trên Profile
Usage: chọn IAM user (user dùng để VPN, xác thực 802.1x, usb … nhưng không dùng quản lý router)
Password: đặt password cho user
Chọn Tab General
Enable Email: chọn OFF
Enable SMS: chọn OFF
Chọn Tab Teleworker VPN

Enable Teleworker VPN: chọn ON
VPN Schedule: chọn Always ON
Allow VPN Protocol: chọn Wireguard
Public Key: điền Client Public key (tạm gọi Client P.Key), key này được tạo trên Client VPN. Mỗi profile trên client sẽ có một Client P.key riêng. Để có được Client Public key, mở Wireguard >> nhấn Add tunnel >> chọn Add Empty Tunnel

Generate PSK: chọn Generate
Pre-shared key: copy và lưu lại thông tin Pre-shared key để cấu hình trên client
Assign IP from: chọn lớp mạng VPN vào
Static IP: điền IP cấp cho client VPN
Assign DNS by: chọn LAN DHCP
Nhấm Apply

Trên Client

1. Download và Cài đặt Wireguard VPN

2. Mở Wireguard >> nhấn Add tunnel >> chọn Add Empty Tunnel

3. Edit profile Wireguard VPN theo mẫu với PrivateKey giữ nguyên bắt đầu từ phần Address và save lại

[Interface]

PrivateKey = ONsQUBPPKdCdKRWFph55zFtci4eBQD85ID50nNfSRnQ=

Address = 172.16.10.200/32

DNS = 8.8.8.8, 8.8.4.4

MTU = 1360

[Peer]

PublicKey = ZJfxSJzCGkeMf93516ImoeY+d4kBM3rELQ9TCsux5Dg=

PresharedKey = qJF4ZRCrxp3WuqA8TZKXG+eQT4sh8eYXoZf3SExiaWY=

AllowedIPs = 172.16.10.0/24

Endpoint = 123.30.76.152:51820

PersistentKeepalive = 60

Với

Address: là địa chỉ IP tĩnh được đặt trên VPN server (ví dụ 172.16.10.200/32)
PublicKey: là Router P.key đã tạo trên router
PresharedKey: là Pre-shared key đã tạo profile VPN của router
AllowedIPs: là lớp mạng router. Trường hợp router có nhiều lớp mạng thì thêm tất cả lớp mạng client muốn truy cập
Endpoint: là IP WAN hoặc tên miền động Router VPN server