(Áp dụng cho các model DrayTek Vigor2912 / 2133n / 2925 / 2926 / 2952 / 3220 / 3910 sử dụng HĐH DrayOS)
Ngày nay với công nghệ VPN, các doanh nghiệp đã có thể kết nối giữa các chi nhánh với nhau 1 cách an toàn và chi phí rẻ nhất mà không cần phải thuê Lease Line, tuy nhiên việc cấu hình trên trên các router vẫn còn tương đối phức tạp đòi hỏi người quản trị phải có 1 trình độ nhất định và được đào tạo chuyên nghiệp. Nắm bắt được điều đó, DrayTek đã phát triển Router VPN Vigor series: dễ cấu hình, dễ sử dụng, an toàn, bảo mật và hiệu năng cao. Bài viết này sẽ giúp bạn thiết lập 1 kênh VPN giữa 2 chi nhánh 1 cách nhanh chóng và đơn giản nhất. Bài hướng dẫn này có thể áp dụng cho hầu hết các dòng Router Vigor hiện tại.
Mô hình kết nối
Chuẩn bị
- Trên Pfsense: cần ít nhất 1 ip tĩnh public để VPN hoạt động ổn định.Nếu bạn không thuê ip tĩnh, đừng lo, bạn vẫn có thể dùng tên miền động (DDNS)
- Trên DrayTek: cần ít nhất 1 ip tĩnh public để VPN hoạt động ổn định. Nếu bạn không thuê ip tĩnh, đừng lo, bạn vẫn có thể dùng tên miền động được cấp miễn phí cho mỗi thiết bị Draytek. Đăng ký và sử dụng dịch vụ tên miền động DrayDDNS: https://www.anphat.vn/quan-ly-thiet-bi-system-maintenance/huong-dan-kich-hoat-va-su-dung-drayddns
- Địa chỉ mạng nội bộ ở 2 chi nhánh khác lớp mạng với nhau: Công nghệ VPN đòi hỏi địa chỉ ip ở 2 site không được trùng nhau, bài viết này Pfsense dùng lớp mạng 192.168.30.1/24 và Draytek lớp mạng 192.168.10.1/24 như sơ đồ
A. Trên Pfsense
1. Tạo Profile IPSec VPN
Bước 1: Tạo Phase 1 kênh VPN
Vào VPN >> IPSec
- Nhấn Add P1 để tạo kênh VPN mới
- Description: đặt tên profile
- Key Exchange version: chọn IKEv1
- Internet Protocol: chọn IPv4
- Interface: chọn WAN
- Remote gateway: điền tên miền router Draytek đầu xa hoặc IP tĩnh (nếu có)
- Negotiation mode: chọn Aggressive
- Pre-Shared Key: điền key VPN
- Encryption Algorithm: chọn chế độ mã hóa Phrase 1 (ví dụ AES- 256 bit- SHA256- Group 14)
- Kéo xuống cuối, nhấn Save để lưu profile
Bước 2: cấu hình Phase 2 kênh VPN
Chọn Profile phase 1 đã cấu hình ở bước 1>> nhấn “Show phase 2 Entries (1)”
- Nhấn biểu tượng “Edit” để chỉnh thông tin Phase 2
- Đặt tên phase 2 như mong muốn hoặc để mặc định
- Local Network: chọn LAN Subnet
- Remote Network: điền lớp mạng đầu DrayTek (ví dụ 192.168.10.1/24)
- Encryption Algorithms: chọn chế độ mã hóa Phase 2 (ví dụ AES- SHA256-Group chọn Off)
- Kéo xuống cuối nhấn Apply
- Kiểm tra lại lần nữa thông số cấu hình kênh VPN
2. Tạo rule cho phép truy cập dịch vụ qua IPSec VPN
Vào Firewall >> Rule >> IPSec, nhấn “Add” để tạo rule
- Action: chọn Pass
- Interface: chọn IPSec
- Address Family: chọn IPv4
- Protocol: chọn Any
- Source: Chọn Any cho phép tất cả lớp mạng truy cập VPN (hoặc Chọn Network và điền lớp mạng nội bộ được phép truy cập)
- Destination: chọn Any cho phép truy cập tất cả lớp mạng VPN (hoặc Chọn Network và điền lớp mạng được phép truy cập)
- Nhấn Save để lưu cấu hình
B. Trên DrayTek (Dial-out)
1. Kích hoạt dịch vụ VPN
Vào VPN and Remote Access >> Remote Access Control, chọn Enable IPSEC VPN Service >> Nhấn OK, reboot khi có yêu cầu.
2. Tạo profile VPN
Vào VPN and Remote Access >> LAN to LAN nhấn Index
Tại Commont Settings
- Check Enable this Profile
- Profile Name: Đặt tên Profile
- Call Direction: Chọn Dial- Out
- Always on: check Enable
Tại Dial- Out Setting
- Type of Server I am Calling: chọn Ipsec Tunnel – IKEv1
- Server IP/Host Name for VPN: Điền Tên miền Router Pfsense hoặc IP tĩnh (nếu có)
- Mode: chọn Aggressive mode
- IKE- Presharekey: Điền Passwork IPsec VPN
- Chọn thông số Phase 1 và phase 2 tương ứng như đã cấu hình trên Pfsense (ví dụ Phase 1: AES- SHA256-G14/ Phase 2: ESP - AES- SHA256)
Tại TCP/IP Network Settings
- Local Network: Điền lớp mạng đầu xa (192.168.10.1/24)
- Remote Network: Điền lớp mạng nội bộ (192.168.30.1/24)
- Click OK
C. Kiểm tra kết nối
- Trên Pfsense, Vào Status >> IPSec, kiểm tra kênh VPN đang online
- Trên DrayTek, Vào VPN and Remote Access Control>> Connection Management, kiểm tra kênh VPN đang online