(Áp dụng cho các model DrayTek Vigor2962/ 3910)
Mô hình kết nối
Chuẩn bị
- Trên Pfsense: cần ít nhất 1 ip tĩnh public để VPN hoạt động ổn định.Nếu bạn không thuê ip tĩnh, đừng lo, bạn vẫn có thể dùng tên miền động (DDNS)
- Trên DrayTek: cần ít nhất 1 ip tĩnh public để VPN hoạt động ổn định. Nếu bạn không thuê ip tĩnh, đừng lo, bạn vẫn có thể dùng tên miền động được cấp miễn phí cho mỗi thiết bị Draytek. Đăng ký và sử dụng dịch vụ tên miền động DrayDDNS: https://www.anphat.vn/quan-ly-thiet-bi-system-maintenance/huong-dan-kich-hoat-va-su-dung-drayddns
- Địa chỉ mạng nội bộ ở 2 chi nhánh khác lớp mạng với nhau: Công nghệ VPN đòi hỏi địa chỉ ip ở 2 site không được trùng nhau, bài viết này Pfsense dùng lớp mạng 192.168.30.1/24 và Draytek lớp mạng 192.168.10.1/24 như sơ đồ
A. Trên Pfsense
1. Tạo Profile WireGuard VPN
1.1 Tạo kênh VPN
Vào VPN >> WireGuard
- Nhấn Add Tunnel để tạo kênh VPN mới
- Check Enable Tunnel
- Description: đặt tên profile
- Nhấn Generate để tạo Public key
- Nhấn Copy để lấy Public key, sử dụng khi khai báo cấu hình trên DrayTek
- Kéo xuống, nhấn “Save tunnel”
1.2 Tạo Peer kênh VPN
Tại tunnel VPN vừa tạo, nhấn biểu tượng “Add Peer” như hình
- Check Enable Peer
- Description: đặt tên peer
- Dynamic Endpoint: bỏ check Enable
- Endpoint: điền tên miền động của router DrayTek hoặc IP tĩnh (nếu có)
- Public Key: điền public key được khởi tạo trên DrayTek
Tại Address configuration, phần Allow IPs cần điền lớp mạng tunnel GRE và lớp mạng nội bộ của DrayTek
- Điền Network/ Subnet Mask/ đặt tên gợi nhớ lớp mạng tunnel GRE
- Nhấn Add Allowed IP
- Điền Network/ Subnet Mask/ đặt tên gợi nhớ lớp mạng nội bộ DrayTek
- Kéo xuống nhấn Save Peer
1.3 Tạo Interface cho kênh VPN
Vào Interfaces >> Assignments
- Tại Available network Points: Chọn tên tunnel “tun_wg0” vừa tạo
- Nhấn Add tạo Interface
- Nhấn Save để lưu Interface
1.4 Cấu hình Interface cho kênh VPN
Vào Interfaces, chọn Interface mới vừa được tạo
- Chọn Enable Interfacce
- Description: đặt tên Interface
- IPv4 Configuration Type: chọn Static IPv4
- IPv4 Address: điền IP GRE tunnel của Pfsense Tunnel
- Nhấn Add a New Gateway để tạo gateway tunnel
- Gateway IP: điền IP GRE tunnel của DrayTek
- Description: điền mô tả
- Nhấn Add
- IPv4 Upstream gateway: Chọn gateway vừa tạo
- Nhấn Save
2. Tạo rule cho phép kênh VPN
2.1 Tạo Rule Pass dịch vụ Wireguard
Vào Firewall >> Rule >> Wireguard, nhấn “Add” để tạo rule
- Action: chọn Pass
- Interface: chọn Wireguard
- Protocol: chọn TCP/UDP
- Source: chọn WAN Address
- Destination: chọn Any
- Destination Port Range: điền port Wireguad 51820
- Nhấn Save để lưu cấu hình
2.2 Tạo rule pass Kênh VPN
Vào Firewall >> Rule >> chọn Interface Tunnel vừa mới tạo, nhấn “Add” để tạo rule
- Action: chọn Pass
- Address Family: chọn IPv4
- Protocol: chọn Any
- Source: chọn Any
- Destination: chọn Any
- Nhấn Save
3. Cấu hình Static Route cho lớp mạng Router Draytek
Vào System>> Routing, chọn Tab Static Routes, nhấn Add
- Destination network: điền IP/subnet mask LAN DrayTek
- Gateway: chọn Gateway tunnel Draytek (10.10.10.1) đã tạo ở trên
- Description: đặt tên route
- Nhấn Save
B. Trên DrayTek (Dial-out)
Vào VPN and Remote Access >> LAN to LAN nhấn Index
Tại Commont Settings
- Check Enable this Profile
- Profile Name: Đặt tên Profile
- Call Direction: Chọn Dial- Out
- Always on: check Enable
Tại Dial- Out Setting
- Type of Server I am Calling: chọn Wireguard
- Server IP/Host Name for VPN: Điền Tên miền Router Pfsense hoặc IP tĩnh (nếu có)
- Tại Wireguard Settings
- Tại Interface:
- Nhân General a Key Pair
- Nhấn Copy to Clipboard để lấy public key, sử dụng khai báo cấu hình trên Pfsense
- Tại Peer
- Public key: điền thông tin public key được khởi tạo trên Pfsense
- Tại Tunnel Settings
- Check enable IPSec Dial-out function GRE over IPSec
- Tunnel Local IP: điền IP GRE DrayTek
- Tunnel Remote IP: điền IP GRE Pfsense
Tại TCP/IP Network Settings
- Local Network: Điền lớp mạng đầu xa (192.168.10.1/24)
- Remote Network: Điền lớp mạng nội bộ (192.168.30.1/24)
- Click OK
C. Kiểm tra kết nối
- Trên Pfsense, Vào Status >> Wireguard, kiểm tra kênh VPN đang online, nhấn “Show Peer” để xem trạng thái bắt tay
- Trên DrayTek, Vào VPN and Remote Access Control>> Connection Management, kiểm tra kênh VPN đang online
Lưu ý: Sau khi cấu hình xong, chỉ có bên site router DrayTek có thể truy cập Site Pfsense. Không thể truy cập ngược lại từ Pfsense sang DrayTek.