Bài viết này Việt Tuấn sẽ hướng dẫn bạn cách cấu hình VPN Client to Site sử dụng giao thức L2TP (Layer 2 Tunneling Protocol)/ IP Sec trên dòng thiết bị Router MikroTik để Remote Access từ xa.
Trong bài Lab này mình sử dụng phần mềm Winbox để cấu hình Mikrotik. Xem ngay hướng dẫn cấu hình Router MikroTik cơ bản.
1. VPN Client to Site là gì?
VPN client to site là kết nối VPN giúp cho 1 người dùng sử dụng các thiết bị máy tính bàn, laptop, máy tính bảng,... có thể kết nối đến 1 mạng riêng ở xa (công ty, chi nhánh văn phòng) thông qua 1 VPN server. Người dùng có thể ngồi từ bất cứ nơi đâu có mạng Internet truy xuất tới mạng đó để sử dụng tài nguyên, quản trị hay cấu hình cài đặt từ xa.
VPN Client to Site (Remote Access VPN) giúp người dùng có thể truy cập vào mạng riêng từ vị trí xa, đảm bảo truy cập mạng Internet an toàn, bảo mật thông qua kết nối VPN.
Xem thêm: Hướng dẫn cấu hình VPN Site to Site dùng IPSec trên Router Mikrotik
2. Giao thức L2TP/ IPSEC trên Router Mikrotik
Một trong những dịch vụ VPN được tìm thấy trong Mikrotik là L2TP (Layer 2 Tunnel Protocol - Giao thức đường hầm lớp 2). L2TP là sự phát triển của PPTP cộng với L2F. Giao thức bảo mật mạng và mã hóa được sử dụng để xác thực giống như PPTP.
Tuy nhiên, để liên lạc được, L2TP sử dụng cổng UDP 1701. Thông thường để bảo mật tốt hơn, L2TP kết hợp với IPSec, trở thành L2TP/ IPSec.
Ví dụ: Đối với hệ điều hành Windows sử dụng L2TP/ IPSec. Tuy nhiên, hậu quả, tất nhiên, cấu hình phải được thực hiện không hề đơn giản như PPTP. Phía khách hàng cũng phải hỗ trợ IPSec khi triển khai L2TP/ IPSec. Về mã hóa, tất nhiên mã hóa trên L2TP/ IPSec có mức bảo mật cao hơn PPTP sử dụng MPPE. Lưu lượng đi qua đường hầm L2TP sẽ trải qua 12% trên không.
L2TP thân thiện với tường lửa hơn so với các loại VPN khác như PPTP. Đây là một lợi thế lớn khi sử dụng giao thức này, vì hầu hết các tường lửa không hỗ trợ GRE. Nhưng đối với L2TP không có mã hóa nên chúng ta cần các dịch vụ bổ sung để hỗ trợ bảo mật cao hơn. Do đó, chúng ta sẽ kết hợp L2TP với IPSec.
Tìm hiểu thêm: Các thông tin về giao thức mạng IPSec qua bài viết IPSec là gì?
Mô hình thực tế hệ thống mạng công ty:
Mô hình công ty với một đường Internet (WAN chính) chính và một đường Internet (WAN phụ) dự phòng triển khai trên Router Mikrotik
- Địa chỉ IP Public của công ty: 171.242.232.148 hoặc có thể sử dụng tên miền động
- Mạng LAN Local trong công ty: 172.16.0.0/24
- Server dữ liệu trong công ty là một thiết bị NAS Synology có địa chỉ IP là: 172.16.0.21
Dù bạn ở nhà hoặc đang di chuyển bất kì đâu, có kết nối Internet khi sử dụng VPN đến Router Mikrotik vẫn truy cập được Server dữ liệu trên NAS Synology một cách nhanh chóng và bảo mật.
3. Các bước cấu hình VPN Client to site với L2TP/IPSEC trên Router Mikrotik
Bước 1
Thiết lập một dải IP bắt kì để cấp phát cho các thiết bị di động khi họ kết nối L2TP thành công.
Thẻ IP—>Pool
Bước 2
Khởi tạo nhóm thuộc tính cho các máy tính hoặc thiết bị di động từ ngoài Internet kết nối vào mạng của Công Ty
Lưu ý : Khi tạo nhóm thuộc tính bạn nên thực hiện gán băng thông cho mỗi kết nối.
Thẻ PPP—>Profle
Giới hạn băng thông: Thẻ Limits
Bước 3
Khởi tạo user/pass để truy cập VPN với Service là L2TP
Bước 4
Bật dịch vụ L2TP với mã khóa bí mật “IPsec Secret” thật mạng để lắng nghe các kết nối từ bên ngoài mạng Internet đến Router Mikrotik.
Thẻ PPP—>Interface “L2TP Server”
Bước 5
Bạn đã có đủ các thông tin để kết nối VPN L2TP về Công Ty
Thực hiện việc kết nối VPN/L2TP trên máy tính dùng Windows, điền các thông số theo trong ảnh ở Bước 5:
Trạng thái khi Connected thành công
Giờ đây ở bất cứ đâu bạn vẫn có thể truy cập được vào Server Dữ Liệu Nas Synology để làm việc từ xa khi đã kết nối VPN thành công.
Tổng kết
Trên đây là hướng dẫn cấu hình VPN/L2TP từ mạng ngoài Internet kết nối được mạng Local trên Router Mikrotik. Chúc các bạn cấu hình thành công.
Cảm ơn bạn đã theo dõi bài viết!
Đừng quên cập nhật Viettuans.vn thường xuyên để có thêm nhiều thông tin hữu ích về kiến thức mạng, quản trị mạng cũng như các kiến thức hướng dẫn sử dụng trong chuyên mục MikroTik.
VIỆT TUẤN - NHÀ PHÂN PHỐI THIẾT BỊ MẠNG, WIFI, THIẾT BỊ LƯU TRỮ NAS CHÍNH HÃNG
- Website: https://viettuans.vn
- Hotline: 0903.209.123
- Email: sales@viettuans.vn
- Văn phòng Hà Nội: Tầng 6, Số 23 Tô Vĩnh Diện, P. Khương Trung, Q. Thanh Xuân
- Fanpage: https://www.facebook.com/viettuans
Cho mình hỏi, tại sao khi kết nối VPN, thì máy Clien bị mất internet.