Hướng dẫn cấu hình WireGuard VPN - VPN Site to Site trên thiết bị Firewall Netgate

VPN Site to Site là mô hình VPN được nhiều doanh nghiệp lựa chọn sử dụng hiện nay để kết nối nhiều mạng với nhau thông qua một liên kết mã hóa và bảo mật. Thông thường mô hình này được các doanh nghiệp, tổ chức có nhiều chi nhánh lựa chọn sử dụng do khả năng truyền tải dữ liệu lớn mà vẫn giữ được tính ổn định. Bài viết ngay sau đây, Việt Tuấn sẽ hướng dẫn các bạn cấu hình WireGuard VPN - VPN Site to Site giữa thiết bị Firewall Netgate và Router Teltonika. Hãy đón xem nhé!

1. Thiết lập trên Firewall Netgate

Bước 1: Tải về giao thức VPN WireGuard

Để có thể cấu hình VPN qua giao thức WireGuard, bạn cần kiểm tra xem thiết bị của mình đã có giao thức này chưa.

Nếu chưa có thì ta có thể truy cập vào phần System -> Package Manager để tải giao thức WireGuard về.

Bước 2: Truy cập vào giao thức

Sau khi tải giao thức thành công, bạn truy cập vào giao thức để tiến hành thiết lập. Bạn truy cập vào tab VPN -> WireGuard và chọn Add Tunnel để thiết lập giao thức.

Bước 3: Khai báo Tunnel

Ở tab Tunnels, bạn sẽ cần khai báo các thông tin sau:

• Enable: Kích hoạt Tunnel

• Description: Mô tả cho Tunnel

• Listen Port: Port cho Tunnel (Port mặc định sẽ là 51820)

• Interface Keys: Phần này mình sẽ chọn Generate để hệ thống tự động tạo các đoạn key

• Interface Addresses: Dải IP dành cho Tunnel

Bước 4: Kích hoạt giao thức WireGuard

Bạn chuyển sang tab Settings và tích vào phần Enable WireGuard.

2. Thiết lập trên Router Teltonika

Bước 1: Truy cập vào giao thức

Trên thiết bị Router Teltonika, bạn truy cập vào Services -> VPN -> WireGuard để truy cập vào giao thức.

Bước 2: Khai báo Tunnel

Ở phần Add new instance, bạn nhập tên cho Tunnel và chọn Add để tiến hành tạo mới.

Bước 3: Thiết lập Tunnel

Ở phần thiết lập, bạn cần lưu ý những thông tin sau:

• Enable: Kích hoạt Tunnel
• Private key: Key cá nhân
• Public key: Key để kết nối với Firewall
• IP addresses: Dải IP dành cho VPN (Cần cùng dải với IP VPN trên Firewall)

3. Thiết lập Peer để kết nối giữa Firewall và Router

Sau khi khai báo Tunnel trên Firewall và Router, ta tiến hành thiết lập Peer để cho 2 thiết bị có thể kết nối với nhau.

3.1. Thiết lập Peer trên Firewall

Bạn truy cập lại phần VPN WireGuard trên Firewall, chọn tab Peers và chọn Add Peer.

Sau đó bạn thiết lập các thông số sau và chọn Save Peer để lưu lại:

• Enable: Kích hoạt Peer
• Tunnel: Lựa chọn Tunnel đã tạo sẵn
• Dynamic Endpoint: Nếu Firewall là điểm đích cho các Router truy cập đến thì bạn có thể tích vào phần Dynamic
• Public Key: Public Key của Router Teltonika
• Allowed IPs: Dải mạng cho phép truy cập

Khi thiết lập Peer thành công, bạn truy cập vào Interface -> Assignments, chọn Add để thêm Interface của VPN vào hệ thống.

Sau khi Add vào hệ thống, ta truy cập vào Interface OPT3 và tiến hành thiết lập các thông số sau và lưu lại:

• Enable: Kích hoạt Interface
• IPv4 Configuration Type: Lựa giao thức IPv4 Static
• IPv4 Address: Đặt IP đúng với IP đã khai báo ở Tunnel

Tiếp theo ta sẽ cần tạo Route cho phép dải IP của Firewall có thể nhìn thấy dải IP của Router. Bạn truy cập vào System -> Routing để thiết lập.

Ở tab Gateways, bạn chọn Add để tạo Gateways cho Router.

Bạn cần thiết lập các thông số sau:

• Interface: Lựa chọn Interface VPN
• Address Family: Chọn giao thức IPv4
• Name: Đặt tên cho Gateway
• Gateway: IP VPN của Router (10.0.0.2)

Chuyển sang tab Static Routes, bạn chọn Add để khai báo Route. Sau đó thiết lập các thông số sau và lưu lại:

• Destination network: Nhập vào dải IP LAN của Router (192.168.10.0) chọn subnet 24
• Gateway: Chọn đến Gateway vừa tạo

3.2. Thiết lập Peer trên Router

Ở Tunnel đã thiết lập, bạn kéo xuống phía dưới sẽ thấy phần khai báo Peer cho Tunnel. Bạn đặt tên cho Peer và chọn Add để thêm.

Bạn điền các thông số sau và lưu lại:

• Public key: Public key của Firewall
• Endpoint host: Do Firewall sẽ làm đích đến nên ta sẽ sử dụng IP WAN của Firewall
• Allowed IPs: Dải mạng cho phép truy cập

Để cho phép các dải ip của Router và Firewall có thể nhìn thấy nhau, bạn cần thiết lập thêm 1 Route từ Router tới Firewall. Bạn chọn phần Network -> Routing -> Static Routes.

Sau đó, ta cần khai báo các thông số sau và lưu lại:

• Interface: Lựa chọn Interface là VPN
• Target: Dải ip LAN của Firewall
• IPv4-Netmask: Subnet của dải IP
• IPv4-Gateway: IP của giao thức VPN trên Firewall đã khởi tạo (10.0.0.1)

Ta vào phần Network -> Firewall -> General Settings và chọn Accept cho các Zone.

Khi thiết lập thành công, các thiết bị được Router cấp mạng có thể truy cập vào Firewall thông qua dải IP của Firewall.

Trên đây là bài viết hướng dẫn cấu hình WireGuard VPN - VPN Site to Site trên thiết bị Firewall Netgate. Hy vọng những chia sẻ trên sẽ giúp các bạn có thể dễ dàng cấu hình cũng như thuận tiện hơn trong việc quản lý các thiết bị mạng của mình. Đừng quên theo dõi Việt Tuấn để nhận được những thông tin mới nhất về các thiết bị mạng cũng như giải pháp dành cho doanh nghiệp, gia đình… Xin cảm ơn!