Sơ đồ
Phần hướng dẫn này sẽ giúp bạn tạo 1 tài khoản để người khác ở ngoài internet có thể kết nối VPN về router và khai thác dữ liệu trong mạng để có thể làm việc từ xa. Ứng dụng cho nhân viên, sếp đi ra ngoài muốn connect về công ty để lấy tài liệu, xem camera v.v…
Sau khi thiết lập kênh VPN thành công thì lúc đó bạn hoàn toàn làm những việc như là : lấy file share, xem camera, in bằng máy in của công ty, xem báo cáo v.v… như là bạn đang ở văn phòng của mình vậy.
Chuẩn bị
Máy tính, client phải có kết nối internet ,wifi, 3G, adsl v.v…
Router đặt tại văn phòng chính phải có ip public, nên có ip tĩnh.
Nếu không có ip tĩnh có thể dùng tên miền động (dynamic DNS), tham khảo link sau: https://www.anphat.vn/quan-ly-thiet-bi-system-maintenance/drayos-5-huong-dan-cau-hinh-dynamic-ddns-su-dung-ten-mien-dong-no-ip
Hoặc đăng kí và sử dụng dịch vụ tên miền động DrayDDNS do DrayTek cung cấp: https://www.anphat.vn/quan-ly-thiet-bi-system-maintenance/drayos-5-huong-dan-su-dung-dich-vu-ten-mien-dong-drayddns
Địa chỉ ip lớp mạng tại văn phòng nên đặt 1 lớp mạng lạ 1 chút để tránh bị trùng, nếu bị trùng sẽ không tạo kênh VPN được, các địa chỉ sau không nên đặt vì được sử dụng quá phổ biến:- 192.168.1.0/24- 192.168.0.0/24- 10.0.0.0/24
Trên Router
1. Cấu hình chung Wireguard VPN
Vào VPN >> General Setup >> Wireguard
Chọn Enable
Nhấn Generate để tạo KEY
Lưu lại thông tin Public key: (tạm gọi Router P.Key ) được dùng khai báo trên CLient khi kết nối VPN ). Lưu ý, chỉ Generate Key 1 lần. Mỗi lần generate Key lại, cần phải lưu lại thông tin và chỉnh sửa trên Client
Accept VPN connection: chọn ALL Interfaces (chấp nhận VPN từ tất cả các WAN).
VPN Access control Mode: chọn Allow All Connection (mặc định router cho phép VPN từ tất cả các IP bên ngoài). Bạn có thể chọn Allow list để cho phép một vài đối tượng IP hoặc Black list để chặn một vài đối tượng IP
Nhấn Apply
2. Tạo profile VPN
Vào VPN >> Teleworker VPN, nhấn +Add tạo profile mới
Username: đặt trên Profile
Usage: chọn IAM user (user dùng để VPN, xác thực 802.1x, usb … nhưng không dùng quản lý router)
Password: đặt password cho user
Chọn Tab General
Enable Email: chọn OFF
Enable SMS: chọn OFF
Chọn Tab Teleworker VPN
- Enable Teleworker VPN: chọn ON
- VPN Schedule: chọn Always ON
- Allow VPN Protocol: chọn Wireguard
- Public Key: điền Client Public key (tạm gọi Client P.Key), key này được tạo trên Client VPN. Mỗi profile trên client sẽ có một Client P.key riêng. Để có được Client Public key, mở Wireguard >> nhấn Add tunnel >> chọn Add Empty Tunnel
- Generate PSK: chọn Generate
- Pre-shared key: copy và lưu lại thông tin Pre-shared key để cấu hình trên client
- Assign IP from: chọn lớp mạng VPN vào
- Static IP: điền IP cấp cho client VPN
- Assign DNS by: chọn LAN DHCP
- Nhấm Apply
Trên Client
1. Download và Cài đặt Wireguard VPN
2. Mở Wireguard >> nhấn Add tunnel >> chọn Add Empty Tunnel
3. Edit profile Wireguard VPN theo mẫu với PrivateKey giữ nguyên bắt đầu từ phần Address và save lại
[Interface]
PrivateKey = ONsQUBPPKdCdKRWFph55zFtci4eBQD85ID50nNfSRnQ=
Address = 172.16.10.200/32
DNS = 8.8.8.8, 8.8.4.4
MTU = 1360
[Peer]
PublicKey = ZJfxSJzCGkeMf93516ImoeY+d4kBM3rELQ9TCsux5Dg=
PresharedKey = qJF4ZRCrxp3WuqA8TZKXG+eQT4sh8eYXoZf3SExiaWY=
AllowedIPs = 172.16.10.0/24
Endpoint = 123.30.76.152:51820
PersistentKeepalive = 60
Với
Address: là địa chỉ IP tĩnh được đặt trên VPN server (ví dụ 172.16.10.200/32)
PublicKey: là Router P.key đã tạo trên router
PresharedKey: là Pre-shared key đã tạo profile VPN của router
AllowedIPs: là lớp mạng router. Trường hợp router có nhiều lớp mạng thì thêm tất cả lớp mạng client muốn truy cập
Endpoint: là IP WAN hoặc tên miền động Router VPN server
4. Nhấn Active profile VPN
5. Kiểm tra trạng thái
Trên Wireguard, status báo active
Ping IP router đầu xa kiểm tra
6. Lưu lại cấu hình wireguard sử dụng sau này:
Nhấn vào biểu tượng như hình bên dưới để lưu file cấu hình wireguard
