Hướng dẫn cấu hình VPN trên Router Draytek Vigor

Để giúp khách hàng có những trải nghiệp tốt hơn trong quá trình sử dụng bộ định tuyến Draytek Vigor, Việt Tuấn sẽ hướng dẫn quý khách hàng cách cấu hình VPN trên thiết bị định tuyến Draytek Vigor. Chủ yếu tập trung vào cấu hình VPN trên các thiết bị định tuyến DrayTek Vigor. DrayTek Vigor là một dòng router được ưa chuộng với đa dạng tính năng, hiệu năng cao và khả năng bảo mật tốt. Cùng tìm hiểu chi tiết hơn qua bài viết sau đây nhé.

Hướng dẫn cấu hình giao thức IPSEC cho VPN LAN-to-LAN (Site to site)

Áp dụng cho các model DrayTek Vigor2912/2133n/2925/2926/2952/3220/3910 sử dụng HĐH DrayOS.

Ngày nay, công nghệ VPN cho phép các doanh nghiệp kết nối giữa các chi nhánh một cách an toàn và chi phí rẻ, không cần phải thuê Lease Line. Tuy nhiên, việc cấu hình trên các router vẫn tương đối phức tạp và yêu cầu người quản trị có trình độ và đào tạo chuyên nghiệp. Để đáp ứng nhu cầu đó, DrayTek đã phát triển dòng router Vigor series với tính năng dễ cấu hình, sử dụng, an toàn, bảo mật và hiệu năng cao. Bài viết này sẽ hướng dẫn bạn thiết lập kênh VPN giữa 2 chi nhánh một cách nhanh chóng và đơn giản nhất. Hướng dẫn này áp dụng cho hầu hết các dòng Router Vigor hiện tại do DrayTek sản xuất, trừ Vigor3300 và các dòng ADSL đời cũ đã ngừng sản xuất.

Chuẩn bị:

01 IP tĩnh: Bạn cần ít nhất 1 địa chỉ IP tĩnh công cộng để VPN hoạt động ổn định. Nếu bạn không sở hữu địa chỉ IP tĩnh, đừng lo, bạn vẫn có thể sử dụng tên miền động (DDNS).

Địa chỉ mạng nội bộ ở 2 chi nhánh phải khác lớp mạng nhau: Công nghệ VPN yêu cầu địa chỉ IP ở 2 chi nhánh không được trùng nhau. Trong bài viết này, chúng ta sử dụng lớp mạng 192.168.60.1/24 cho chi nhánh Hà Nội và lớp mạng 192.168.62.1/24 cho chi nhánh HCM.

Đăng ký và sử dụng dịch vụ tên miền động DrayDDNS.

Mô hình kết nối:

Cấu hình VPN

Dial-in:

• Chọn thiết bị có địa chỉ IP công cộng tĩnh làm Dial-in.
• Cấu hình pre-share key trên thiết bị Dial-in.
• Khai báo địa chỉ mạng nội bộ của chi nhánh Dial-out trên router Dial-in.

Dial-out:

• Khai báo pre-share key.
• Khai báo địa chỉ mạng nội bộ của chi nhánh mà mình sẽ Dial-in.

1. Cài đặt VPN Server (Dial-In) (Site HCM)

Bước 1: Truy cập vào VPN and Remote Access >> IPsec General Setup.

• Nhập Pre-shared Key: điền key cho IPsec VPN.
• Xác nhận Pre-Shared Key: điền lại key cho IPsec VPN.
• Nhấn OK.

Bước 2: Truy cập vào VPN and Remote Access >> LAN to LAN, sau đó nhấn vào Index.

Tại Cài đặt chung (Common Settings):

• Tên Hồ sơ (Profile Name): Đặt tên cho hồ sơ.
• Kiểm tra (Check) Enable this profile để kích hoạt hồ sơ này.
• Hướng gọi (Call Direction): Chọn Dial-IN.

Tại Cài đặt Dial-In:

• Allow Type VPN: Chọn IPSEC Tunnel.

Tại Cài đặt Mạng TCP/IP:

• Remote Network: Nhập địa chỉ mạng của chi nhánh từ xa (192.168.60.1/24)
• Local Network: Nhập địa chỉ mạng nội bộ (192.168.62.1/24)
• Nhấn OK.

Cài đặt VPN Client (Dial-Out) (site Hà Nội)

Bước 1: Truy cập vào VPN and Remote Access >> LAN to LAN

Tại Cài đặt chung (Common Settings):

• Tên Hồ sơ (Profile Name): Đặt tên cho hồ sơ.
• Kiểm tra (Check) Enable this profile để kích hoạt hồ sơ này.
• Hướng gọi (Call Direction): Chọn Dial-Out.
• Kiểm tra (Check) Always all.

Tại Cài đặt Dial-Out (Dial-Out Settings):

• Loại máy chủ tôi đang kết nối (Type of Server I am Calling): chọn IPsec Tunnel - IKEv1.
• IP/Host Name máy chủ VPN (Server IP/Host Name for VPN): Nhập địa chỉ IP WAN hoặc tên miền của Router Văn phòng.
• Khóa chia sẻ IKE (IKE Presharekey): Nhập mật khẩu cho IPsec VPN.

Tại Cài đặt Mạng TCP/IP:

• IP Mạng từ xa (Remote Network IP): Nhập địa chỉ mạng của chi nhánh từ xa (192.168.62.1/24)
• IP Mạng Nội bộ (Local Network IP): Nhập địa chỉ mạng nội bộ (192.168.60.1/24)
• Nhấn OK.

Bước 2: Truy cập vào VPN and Remote Access >> Quản lý Kết nối (Connection Management), kiểm tra kết nối VPN.

Hướng dẫn cấu hình VPN Load Balancing (Tăng băng thông VPN với nhiều kết nối cùng lúc) - VPN LAN-to-LAN (Site to site)

Áp dụng cho các model DrayTek Vigor2925/2926/2952/3220/3910 sử dụng HĐH DrayOS.

Với những router có nhiều giao diện WAN, VPN trunk cho phép Quản trị mạng thiết lập hai kết nối VPN đến cùng một mạng từ xa và cân bằng lưu lượng VPN qua hai đường hầm VPN. Bài viết này sẽ hướng dẫn cách thiết lập VPN Trunk để cân bằng tải giữa hai Router Vigor với cấu hình mạng như sau.

Cấu hình Router Dial-in (VPN Server)

Bước 1: Truy cập vào VPN and Remote Access >> IPsec General Setup, nhập Pre-Shared Key để xác thực VPN IPsec. Nhấn OK để lưu.

Bước 2: Truy cập vào VPN and Remote Access >> LAN to LAN và nhấp vào một chỉ mục có sẵn:

• Đặt tên cho hồ sơ (profile) và kích hoạt.
• Chọn "Dial-In" cho Call Direction.

• Cho phép "IPsec Tunnel" trong Cài đặt Dial-In
• Kích hoạt chức năng IPsec Dial-Out GRE over IPsec
• Gán một địa chỉ GRE IP tùy ý cho địa điểm cục bộ và từ xa
• Nhập địa chỉ IP LAN của Router Dial-Out (VPN Client) cho Remote Network IP.

Bước 3: Tạo một LAN-to-LAN profile với Network settings nhưng có địa chỉ GRE IP khác nhau.

Cấu hình Router Dial-out (VPN Server)

Bước 1: Trên Router Dial-out, truy cập vào VPN and Remote Access >> LAN to LAN và nhấp vào một chỉ mục có sẵn:

• Đặt tên cho hồ sơ và kích hoạt nó
• Chọn "Dial-Out" cho Hướng gọi và kích hoạt "Always On"
• Chọn "WAN1 Only" cho VPN Dial-Out Through
• Chọn "IPsec Tunnel" làm loại VPN trong Cài đặt Dial-Out
• Nhập địa chỉ IP WAN1 của Router Dial-In cho Server IP
• Nhập Pre-Shared Key để xác thực VPN IPsec, điều này nên giống như đã được cài đặt trên Router Dial-In trong bước 1.

• Kích hoạt chức năng IPsec Dial-Out GRE over IPsec
• Nhập địa chỉ GRE IP phù hợp với thiết lập hồ sơ VPN1 của Router Dial-In trong bước 2.
• Nhập địa chỉ IP LAN của Router Dial-In cho Remote Network IP.

Bước 2: Tạo một hồ sơ LAN-to-LAN tương tự nhưng điều chỉnh các thiết lập sau đây khác nhau:

• Chọn "WAN2 Only" làm Dial-Out Through
• Nhập địa chỉ IP WAN2 của Router Dial-In cho Server IP.

• Nhập địa chỉ GRE IP phù hợp với thiết lập hồ sơ VPN2 của Router Dial-In.

Cấu hình Cân bằng Tải trên Router Dial-Out

Bước 1: Trên Router Dial-Out, truy cập vào VPN and Remote Access >> Quản lý VPN TRUNK >> Cài đặt chung.

• Đặt tên hồ sơ và kích hoạt nó
• Chọn các hồ sơ VPN đã tạo cho cân bằng tải VPN làm Member1 và Member2
• Chọn Cân bằng Tải làm Chế độ hoạt động và nhấp vào Thêm (Add).

Bây giờ, chúng ta có thể kiểm tra trạng thái VPN sau khi VPN trunk được thiết lập thành công trên trang VPN and Remote Access >> Quản lý Kết nối (Connection Management), và chúng ta sẽ thấy cả hai kết nối VPN đều đã hoạt động và có lưu lượng thông tin.

Thuật toán cân bằng tải VPN mặc định là round robin, điều này có nghĩa là lưu lượng VPN lần lượt đi qua hai kết nối VPN. Chính sách cân bằng tải chi tiết, chẳng hạn như trọng số, địa chỉ IP nguồn, địa chỉ IP đích hoặc cổng đích, có thể được cấu hình bằng cách nhấp vào Tùy chọn Nâng cao (Advanced) trong Quản lý VPN TRUNK >> Danh sách Hồ sơ Cân bằng Tải (Load Balance Profile List).

Hướng dẫn cấu hình SSL VPN cho VPN LAN-to-LAN trên các bộ định tuyến Draytek

(Áp dụng cho các model DrayTek Vigor2912/2915/2133n/2925/2926/2952/3220/3910 sử dụng hệ điều hành DrayOS)

Ngày nay, các doanh nghiệp thường sử dụng giải pháp VPN để kết nối các Văn phòng với nhau. VPN không chỉ giúp giảm chi phí (thay vì thuê kênh riêng) mà còn tăng tính bảo mật dữ liệu cho doanh nghiệp. DrayTek luôn nghiên cứu và đưa ra thị trường những sản phẩm tích hợp VPN với các giao thức bảo mật cao như IPSEC (Internet Protocol Security), SSL (Secure Socket Layer).

Trong bài viết này, chúng tôi sẽ hướng dẫn các bạn cách cấu hình VPN SSL lan to lan với thiết bị DrayTek và phân tích những ưu điểm và khuyết điểm của nó để bạn có sự lựa chọn tối ưu nhất cho doanh nghiệp của mình.

Ưu điểm của SSL VPN

• Dễ dàng vượt qua firewall: Do sử dụng duy nhất 1 port TCP/443 để tạo VPN Tunnel. TCP/443 là cổng thông dụng luôn được các tường lửa cho phép truyền qua.
• Không phụ thuộc vào khả năng "PassThrough VPN" của Thiết bị NAT (Trường hợp nằm sau Thiết bị NAT)
• Thích hợp khi tạo VPN LAN-to-LAN giữa mạng 3G và ADSL/FTTH (Mạng 3G thường đứng sau Thiết bị NAT của nhà cung cấp dịch vụ, nên nếu sử dụng PPTP hay IPsec có thể gặp khó khăn)
• Bảo mật cao do sử dụng chuẩn SSL 3.0
• Băng thông VPN cao (Tùy theo model dao động từ 50 ~ 500Mbps)
• Hỗ trợ cả Host-to-LAN và LAN-to-LAN

Nhược điểm của SSL VPN

SSL VPN LAN-to-LAN chỉ hỗ trợ DrayTek -to-DrayTek

Sơ đồ như sau: 

Thông tin:

Vigor2960

IP WAN: 113.172.144.133

Lớp mạng LAN: 192.168.10.1/24 (255.255.255.0)

Vigor2925

IP WAN: 113.172.175.127

Lớp mạng LAN: 192.168.20.1/24 (255.255.255.0)

Chuẩn bị:

• Đăng ký và sử dụng dịch vụ tên miền động DrayDDNS.
• Hướng dẫn cấu hình:
• Với VPN LAN-to-LAN, sẽ có một thiết bị làm Dial-out và một thiết bị làm Dial-in.
• Nên chọn thiết bị có IP Public (Tĩnh hoặc động) làm Dial-in. Thiết bị đứng sau NAT device làm Dial-out.

Hướng dẫn bên dưới sẽ chia thành 2 trường hợp:

Trường hợp 1: Vigor2925 (Dial-out) ---- Vigor2960 (Dial-in)

Cấu hình Vigor2960 (Dial-in):

Tạo User profile cho tài khoản VPN:

• Vào Quản lý Người dùng (User Management) >>> User profile
• Tên đăng nhập (Username): Điền tên người dùng
• Chọn tích Enable
• Mật khẩu (Password): Điền mật khẩu cho người dùng
• SSL tunnel: Chọn Enable
• Nhấn Apply.

Tạo VPN profile:

• Truy cập vào VPN and Remote Access >>> Hồ sơ VPN >>> Tab SSL Dial-in >>> Nhấn Thêm (Add)
• Hồ sơ (Profile): Đặt tên cho hồ sơ VPN
• Chọn tích Enable để kích hoạt
• Tên Người dùng SSL (SSL User Name): Chọn User profile vừa mới tạo ở bước trên
• Địa chỉ IP/ Subnet Mask Cục bộ (Local IP/ Subnet Mask): Điền IP và Subnet mạng LAN của Vigor2960
• Địa chỉ IP/ Subnet Mask Từ xa (Remote IP/ Subnet Mask): Nhấn nút Thêm (Add), điền IP và Subnet LAN của Vigor2925 >>> chọn Lưu (Save)
• Nhấn Áp dụng (Apply).

Cho phép https cho SSL VPN: Truy cập vào Bảo trì Hệ thống (System Maintenance) >>> Kiểm soát Truy cập (Access Control) >>> chọn Kích hoạt Cho phép Https (Enable Https allow).

Cấu hình Vigor2925 (Dial-out)

Tạo VPN profile:

• Truy cập vào VPN and Remote Access >>> LAN to LAN
• Cài đặt chung (Common Settings)
• Tên hồ sơ (Profile name): Điền tên cho hồ sơ VPN
• Chọn kích hoạt hồ sơ này (Enable This Profile)
• Hướng gọi (Call Direction): Chọn Dial out
• Chọn Luôn kết nối (Always on)

Cài đặt Dial-out:

• Chọn SSL Tunnel
• IP/Host Name máy chủ VPN (Server IP/Host Name for VPN): Điền IP Wan hoặc DDNS của Vigor2960
• Tên đăng nhập (Username): Điền Tên người dùng đã tạo ở Vigor2960
• Mật khẩu (Password): Điền Mật khẩu đã tạo ở Vigor2960

• Cài đặt Mạng TCP/IP
• Remote Network IP: Điền IP của Vigor2960
• Remote Network Mask: Điền Subnet của Vigor2960
• Local IP: Điền IP của Vigor2925
• Local Network Mask: Điền Subnet của Vigor2925
• Nhấn OK

Kiểm tra kết quả:

Trên Vigor2925: Truy cập vào VPN and Remote Access >>> Quản lý Kết nối (Connection Management)

Trên Vigor2960: Truy cập vào VPN and Remote Access >>> Quản lý Kết nối (Connection Management)

Trường hợp 2: Vigor2960 (Dial-out) ---- Vigor2925 (Dial-in)

Cấu hình Vigor2925 (Dial-in)

Cấu hình hồ sơ VPN:

• Truy cập vào VPN and Remote Access >>> LAN to LAN
• Cài đặt chung (Common Settings)
• Tên hồ sơ (Profile name): Điền tên cho hồ sơ VPN
• Chọn kích hoạt hồ sơ này (Enable This Profile)
• Hướng gọi (Call Direction): Chọn Dial in

Cài đặt Dial-in:

• Chọn SSL Tunnel
• Tên đăng nhập (Username): Tạo Tên người dùng cho Tài khoản SSL VPN
• Mật khẩu (Password): Điền Mật khẩu cho Tài khoản SSL VPN

Cài đặt Mạng TCP/IP:

• Remote Network IP: Điền IP của Vigor2960
• Remote Network Mask: Điền Subnet của Vigor2960
• Local IP: Điền IP của Vigor2925
• Local Network Mask: Điền Subnet của Vigor2925
• Nhấn OK

Cấu hình Vigor2960 (Dial-out):

• Truy cập vào VPN and Remote Access >>> Hồ sơ VPN >>> Tab SSL Dial_in >>> Nhấn nút Thêm (Add)
• Hồ sơ (Profile): Đặt tên cho hồ sơ VPN
• Chọn kích hoạt hồ sơ này (Enable)
• Luôn kết nối (Always on): Chọn kích hoạt
• Kết nối qua (Dial_out through): Chọn Wan để kết nối VPN (VD: WAN 1)
• IP/Máy chủ Mạng Đích (Server IP/Host name): Điền IP và Subnet mạng LAN của Vigor2925
• Tên Người dùng SSL (SSL User Name): Điền Tên người dùng SSL VPN đã tạo trên Vigor2925
• Mật khẩu SSL (SSL password): Điền Mật khẩu SSL VPN đã tạo trên Vigor2925
• Địa chỉ IP/Mặt nạ Mạng Cục bộ (Local IP/ Subnet Mask): Điền IP và Subnet mạng LAN của Vigor2960
• Địa chỉ IP/Mặt nạ Mạng Đầu xa (Remote IP/ Subnet Mask): Nhấn nút Thêm (Add), điền IP và Subnet LAN của Vigor2925 >>> chọn Lưu (Save)
• Nhấn Áp dụng (Apply)

Trên Vigor2925: Truy cập vào VPN and Remote Access >>> Quản lý Kết nối (Connection Management)

Trên Vigor2960: Truy cập vào VPN and Remote Access >>> Quản lý Kết nối (Connection Management)

Tổng kết

Trên đây Việt Tuấn đã vừa hướng dẫn quý khách hàng cách cấu hình VPN trên thiết bị định tuyến của Draytek Vigor. Hy vọng những hướng dẫn chi tiết trên sẽ giúp ích cho khách hàng trong quá trình tìm hiểu, trải nghiệm và sử dụng sản phẩm. Ngoài ra, nếu còn bất kỳ thắc mắc nào về sản phẩm, hãy nhanh chóng liên hệ với Việt Tuấn thông qua số điện thoại bộ phận hỗ trợ kỹ thuật trên website để được hỗ trợ tận tình nhất mọi vấn đề liên quan.