(Áp dụng cho các model DrayTek Vigor2912 / 2133n / 2925 / 2926 / 2952 / 3220 / 3910 sử dụng HĐH DrayOS)
Bài viết sa đây sẽ hướng dẫn bạn cấu hình router DrayTek của bạn trở thành một sever VPN cho phép các thiết bị chạy hệ điều hành IOS như iPhone, Ipad truy cập mạng cục bộ bằng giao thức SSL VPN Tunnel. Bài viết bao gồm 2 phần chính là hướng dẫn cấu hình trên router Vigor và hướng dẫn sử dụng phần mềm Smart VPN Client để tiến hành kết nối trên thiết bị IOS.
Chuẩn bị:
- Đăng ký và sử dụng dịch vụ tên miền động DrayDDNS: https://www.anphat.vn/quan-ly-thiet-bi-system-maintenance/huong-dan-kich-hoat-va-su-dung-drayddns
- Tạo và áp dụng chứng chỉ Let Encrypt trên router: https://www.anphat.vn/quan-ly-thiet-bi-system-maintenance/huong-dan-ap-dung-chung-chi-let-s-encrypt-tren-router-draytek
Thực hiện
A. Trên router Vigor
Đảm bảo rằng router của bạn được kết nối với Internet và có địa chỉ IP WAN public để các máy khách VPN trên Internet có thể truy cập được.
Bước 1: Tại VPN and Remote Access >> Remote Access Control
- Enable SSL VPN Service
Bước 2: Tạo profile SSL VPN Tunnel
- Đi đến VPN and Remote Access >> Remote Dial-in User
- User Accout and Authentication: Check Enable this Acoount
- Allowed Dial-In Type: Check SSL Tunnel
- Điền Username/Password
- Click "OK" để hoàn tất
Bước 3: chỉnh Certificate sử dụng kết nối SSL
Có 2 trường hợp như sau, thực hiện chỉnh server xác thực Certificate tùy theo từng trường hợp
a. Hệ thống sử dụng tên miền DrayDDNS và chứng chỉ Let’ Encryption
Vào VPN and Remote Access >> SSL General Setup, chọn Server Certificate là DrayDDNS.
b. Hệ thống có IP tĩnh và truy cập bằng IP tĩnh hoặc sử sử dụng tiền khác có CA
- Vào VPN and Remote Access >> SSL General Setup, chọn Server Certificate là Self- Signed
B. Trên thiết bị IOS
Bước 1. Cài đặt phần mềm DrayTek SmartVPN
Download bản Smart VPN Client tại: https://www.draytek.com/products/utility/
Bước 2:
- Đến Settings >> Certificate
- Verify Level: Chọn Basic
Bước 3: Thêm profile VPN
- Tại giao diện chính >> Clcik vào "+"
Bước 4: Cấu hình Profile
- Profile: Điền tên profile
- Sever: Điền domain name hoặc IP của sever VPN
- Port: 443
- Username/Password: Điền thông tin lúc cấu hình trên router
- Nhấn "Save" để hoàn tất.
LƯU Ý:
- Trong trường hợp bình thường, hệ thống trung tâm chỉ có duy nhất một lớp mạng,
Client chỉ cần truy cập server, kết nối dữ liệu:Khi cấu hình VPN trên Client, trong Profile, nhấn Advanced Options và chọn OFF “Use default gateway on remote network”
- Trong hệ thống có một lớp mạng nhưng Client có như cầu chuyển tất cả mọi traffic đều phải về trung tâm rồi ra ngoài internet hoặc hệ thống trung tâm có nhiều lớp mạng, client có nhu cầu truy cập các lớp mạng trung tâm >> trong Profile VPN, chọn ON “Use default gateway on remote network”
Bước 5: Allow Smart VPN to add VPN confirmation trên thiết bị
Bước 6: Tại giao diện chính
- Chọn profile VPN vừa tạo
Bước 7: Tiến hành kết nối
- Tại Status >> Enable
B. TroubleShoot
- Kiểm tra port SSL đang sử dụng
Vào VPN and Remote Access >> SSL General Setup, kiểm tra port 443
- kiểm tra CA đang sử dụng
a.Hệ thống sử dụng tên miền DrayDDNS
- Vào VPN and Remote Access >> SSL General Setup, chọn Server Certificate là DrayDDNS.
b. Hệ thống có IP tĩnh, và truy cập bằng IP tĩnh hoặc sử sử dụng tiền khác
- Vào VPN and Remote Access >> SSL General Setup, chọn Server Certificate là Self- Signed
b. Kiểm tra thời gian có hiệu lực CA
- Mở trình duyệt web, truy cập IP, trên miền bằng dịch vụ HTTPS (ví dụ: https://anphatvn )
- Nhấn vào ổ khóa trước IP/ tên miền >> chọn Certificate
- Kiểm tra thời gian có CA có hiệu lực tạo Valid From:
- Nếu CA đã hết hiệu lực cần phải renew CA hoặc đăng kí CA mới.
b1. Dùng CA Let’ Encrypt:
Vào Application >> Dynamic DNS, chọn profile tên miền DrayDDNS và nhấn Auto Update. Router sẽ tự động làm mới certificate khi certificate cũ gần hết hạn (Yêu cầu HTTP port 80 luôn luôn mở)
b2. Thuê tên miền có CA >> liên hệ bên cung cấp