​(Áp dụng cho các model DrayTek Vigor2912 / 2133n / 2925 / 2926 / 2952 / 3220 / 3910 sử dụng HĐH DrayOS)

Hiện nay, việc cho nhân viên ra ngoài làm việc,  kết nối VPN về văn phòng, truy cập dữ liệu, sử dụng phần mềm đã không còn xa lạ gì. Tuy nhiên, làm sao để quản lý truy cập của user đó một cách hợp lý. Bài viết dưới đây mô tả cách giới hạn truy cập của Client VPN (chỉ cho phép user truy cập vào đúng server và dịch vụ cho phép, giới hạn băng thông của user đó)

Chuẩn bị

Để có thể giới hạn chính xác Client VPN, trước tiên bạn cần gán IP cố định cho từng user VPN. Khi đó, nhân viên bên ngoài kết nối về sẽ nhận được một IP cụ thể và bạn chỉ cần giới hạn theo IP đó là được.

Tham khảo hướng dẫn tạo Account VPN host to LAN cho Client tại:

https://www.anphat.vn/tin-cong-nghe/router-draytek-lua-chon-giao-thuc-vpn-tot-nhat-theo-nhu-cau

Để cố định IP cho Account , bạn vào trong Profile VPN của user đó, phần Subnet, chọn LAN và điền IP muốn đặt.

Đối với các User VPN host to LAN từ ngoài vào, ta có thể quy định, kiểm tra soát truy cập theo các trường hợp sau:

A. Giới hạn truy cập cho Client host to LAN ( chỉ cho phép truy cập đến một số Server, IP cố định, còn lại cấm hết)

B. Giới hạn băng thông cho Client VPN host to LAN

C. Quy định thời gian cho phép kết nối VPN

Thực hiện

A. Giới hạn truy cập cho Client VPN host to LAN ( chỉ cho phép truy cập đến một số Server, IP cố định, còn lại cấm hết)

Để giới hạn client Host-to-LAN, chỉ cho phép truy cập đúng server, dịch vụ yêu cần, tạo tạo rule firewall như sau

  • Rule 1: Cho phép Client truy cập server1 với dịch vụ cần thiết
  • Rule 2: Chặn Client truy cập tất cả các IP còn lại trong hệ thống

Các bước thực hiện:

Bước 1: tạo IP Object các client VPN Host to LAN

Bước 2: Add các đối tượng Client VPN vào Group (nếu các client này truy xuất cùng  server dịch vụ)

Bước 3: tạo IP Object các Server

Bước 4: Add các nhóm server vào group server (nếu các server sử dụng chung dịch vụ)

Bước 5: Tạo các dịch vụ Client VPN host to LAN được phép sử dụng

Bước 6: add các dịch vụ vào một nhóm (nếu server sử dụng nhiều dịch vụ)

Bước 7: Tạo rule

 

Tiến hành: 

Bước 1: tạo IP Object các client VPN Host to LAN

Giả sử ta có 2 Client VPN Host to LAN từ ngoài vào với 2 IP 192.168.111.251192.168.111.252, ta cần tạo 2 đối tượng IP cho 2 Client  VPN trên

Vào Objects Setting >> IP Object, chọn Index 1

  • Name                 :Đặt tên Đối tượng (ví dụ vpn1)
  • Interface           :Chọn Any
  • Address Type     :Chọn Single Address 
  • Start IP Address :Điền IP cố định Client VPN (IP của client vpn1 với IP 192.168.111.251)
  • Nhấn OK

  • Thực hiện tương tự cho Client vpn2 với ip 192.168.111.252

Bước 2: Add các đối tượng Client VPN vào Group (nếu các client này truy xuất cùng  server dịch vụ)

Vào Objects Setting >> IP Group, chọn Index1

  • Name          :Đặt tên group
  • Interface    :Chọn Any
  • Chuyển các IP Object từ bảng “Available IP Objects” sang “Selected IP Objects”
  • Nhấn OK

 

Bước 3: tạo IP Object các Server

Thực hiện tương tự  bước 1 để tạo IP Object cho các server

 

Bước 4: Add các nhóm server vào group server (nếu các server sử dụng chung dịch vụ)

Thực hiện tương tự  bước 2 để tạo Group IP cho các server

  • Thực hiện tương tự cho các dịch vụ còn lại

 

Bước 5: Tạo các dịch vụ Client VPN host to LAN được phép sử dụng

Giả sử client VPN Host to Lan từ bên ngoài cần truy cập remote desktop (port 3389) và share File (port 445) trên server, ta cần tạo 2 profile cho 2 dịch vụ này

Vào Object Settings >> Service Type Object

  • Name                            :Đặt tên dịch vụ (ví dụ Remote Desktop)
  • Protocol                         :Chọn giao thức dịch vụ
  • Destination Port           : Port dịch vụ server sử dụng (ví dụ 3389)
  • Nhấn OK

Thực hiện tương tự cho dịch vụ Share file ( port 445)

 

Bước 6: add các dịch vụ vào một nhóm (nếu server sử dụng nhiều dịch vụ)

Vào Object Settings >> Service Type Group

 

Bước 7: Tạo rule cho phép Client VPN host to LAN truy cập server với dịch vụ cần thiết

Cần tạo các rule như sau:

  • Rule 1: Cho phép Client truy cập server1 với dịch vụ cần thiết
  • Rule 2: Chặn Client truy cập tất cả các IP còn lại trong hệ thống

Lưu ý: khi tạo rule phải chọn Direction  là LAN/DMZ/RT/VPN à LAN/DMZ/RT/VPN để có thể giới hạn được client VPN host to LAN

 

Thực hiện

Rule1: Cho phép Client truy cập server1 với dịch vụ cần thiết

Vào Firewall>>IP Filter>> Default Data Fileter, chọn rule 2

  • Check “Enable”
  • Comments    :Đặt tên rule
  • Direction    :Chọn LAN/DMZ/RT/VPN → LAN/DMZ/RT/VPN
  • Source IP    : nhấn “Edit”  và Chọn Group vpn
  • Destination  IP    : nhấn “Edit”  và  Chọn Group server
  • Service Type           : nhấn “Edit”   và chọn Group Service
  • Filter    : Chọn Pass Imediately
  • Nhấn OK

 

Rule 2: Chặn Client truy cập tất cả các IP còn lại trong hệ thống

Vào Firewall>>IP Filter>> Default Data Fileter, chọn rule 3

  • Check “Enable”
  • Comments    :Đặt tên rule
  • Direction    :Chọn LAN/DMZ/RT/VPN → LAN/DMZ/RT/VPN
  • Source IP    : nhấn “Edit”  và Chọn Group vpn
  • Destination  IP    : chọn Any
  • Service Type           : Chọn Any
  • Filter    : Chọn Block Imediately
  • Nhấn OK

 

B. Giới hạn băng thông cho Client VPN host LAN

Trong trường hợp nhằm hạn chế việc chiếm dụng băng thông internet của client VPN host to LAN,bạn cũng có thểgiới hạn băng thông thiết bị Client đó .

Vào Bandwidth Management >> Bandwidth Limit

  • Nhấn “Enable”
  • Default Limit
    • TX Limit/ RX Limit:  Điền băng thông tối đa hệ thống,
  • Add Entry By                 :  chọn IP Range
  • Start IP / End IP             :Điền dãy IP được đặt cố định cho client VPN host to LAN (nếu chỉ có một IP thi Start IP và End IP như nhau)
  • Chọn Each hoặc Share với , “Each” là mỗi IP trong dãy đều được sử dụng tối đa băng thông quy định; “Share”  là tất cả IP trong dãy sử dụng tổng băng thông quy định.
  • TX Limit/ RX Limit                    :Điền băng thông giới hạn cho Client VPN Host to LAN
  • Nhấn Add để thêm IP/ dãy trên vào bảng Limitation List
  • Nhấn OK

C. quy định thời gian kết nối VPN

Bước 1. Chỉnh múi giờ Việt Nam

Vào System Maintenance >> Time and Date, chỉnh múi giờ Việt Nam (GMT+7). Nhấn OK>> Reboot lại thiết bị

Bước 2. Tạo profile Schedule được phép

Giả sử quy định các profile VPN không được phép truy cập trong khoảng thời gian từ 18:00 đến 8:00 sáng hôm sau, ta cấu hình profile thời gian như sau:

Vào Applications >> Schedule, chọn index 1

  • Check Enable Schedule Setup
  • Comment: Đặt tên profile
  • Start time: chọn thời gian bắt đầu (ví dụ 18:00)
  • Duration time: chọn thời gian kéo dài (ví dụ 14:00)
  • Action: chọn Force Down
  • Chọn Weekdays, check tất cả các ngày trong tuần
  • Nhấn OK

  • Kiểm tra khung giờ

Vào Applications >> Schedule, ta thấy như sau

Bước 3. Cấu hình giới hạn thời gian kết nối VPN

a. Đối với các VigorRouter đời mới

-Vigor3910/Vigor2962 từ firmware version 3.9.6 trở đi
-Vigor2927/Vigor2865/Vigor2866/Vigor2765/Vigor2766 từ firmware version 4.3.1 trở đi

Vào VPN and Remote Access >> Remote Dial-in User, chọn Account VPN cần giới hạn thời gian kết nối. Tại Schedule Profile, chọn profile thời gian vừa tạo>> nhấn OK (như hình)

b. Đối với Router cũ

Vào Firewall>> Fiter Setup>> Default data Filter, nhấn index 2

1. tạo IP Object các client VPN Host to LAN

Giả sử ta có 2 Client VPN Host to LAN từ ngoài vào với 2 IP 192.168.111.251 và 192.168.111.252, ta cần tạo 2 đối tượng IP cho 2 Client  VPN trên

Vào Objects Setting >> IP Object, chọn Index 1

  • Name                 :Đặt tên Đối tượng (ví dụ vpn1)
  • Interface           :Chọn Any
  • Address Type     :Chọn Single Address 
  • Start IP Address :Điền IP cố định Client VPN (IP của client vpn1 với IP 192.168.111.251)
  • Nhấn OK

  • Thực hiện tương tự cho Client vpn2 với ip 192.168.111.252

2: Add các đối tượng Client VPN vào Group (nếu các client này truy xuất cùng  server dịch vụ)

Vào Objects Setting >> IP Group, chọn Index1

  • Name          :Đặt tên group
  • Interface    :Chọn Any
  • Chuyển các IP Object từ bảng “Available IP Objects” sang “Selected IP Objects”
  • Nhấn OK

3. Tạo rule firewall cấm truy cập ngoài giờ làm việc

Vào Firewall>> Fiter Setup>> Default data Filter, nhấn index 2

  • Check Enable
  • Comments: Đặt tên rule
  • Schedule Profile: chọn profile thời gian đã tạo
  • Direction: chọn LAN/DMZ/RT/VPNà LAN/DMZ/RT/VPN
  • Source IP/ Country: nhấn Edit
    • Address Type: chọn Group and Objects
    • IP Group: chọn Group các profile vpn đã tạo
    • Nhấn OK
  • Filter: chọn Block Immediately
  • Nhấn OK

 

Hãy liên lạc với chúng tôi để được hỗ trợ:

     Văn phòng TPHCM: (028) 3925 3789
     Chi nhánh miền Bắc: (024) 3781 5089
     Chi nhánh miền Trung: (0236) 367 9515

     Hotline Hỗ Trợ Kỹ Thuật: 1900 633 641
     Fanpage Hỗ Trợ Kỹ Thuật: facebook.com/AnPhat
     Kênh youtube Hỗ Trợ Kỹ Thuật: AnPhatITOfficial