Port Knocking là một tính năng bảo mật được tích hợp trong router Vigor nhằm bảo vệ các dịch vụ VPN khỏi các truy cập trái phép. Tính năng này hoạt động dựa trên nguyên tắc chỉ cho phép truy cập khi người dùng thực hiện một chuỗi kết nối (gọi là “Knocking”) đến các cổng được chỉ định trước theo đúng thứ tự.

Điểm đặc biệt của Vigor là sử dụng TOTP (Time-Based One-Time Password) – mật khẩu sử dụng một lần dựa trên thời gian – để tạo ra các cổng gõ một cách động. Nhờ đó, chuỗi cổng gõ luôn thay đổi theo thời gian, khiến cho việc đoán hay tái tạo chuỗi này trở nên rất khó khăn.

Khi Port Knocking được kích hoạt, cổng VPN sẽ bị ẩn hoàn toàn với bên ngoài và chỉ mở ra sau khi nhận đúng chuỗi “Knocking”. Điều này giúp router tránh bị phát hiện khi quét cổng và giảm thiểu đáng kể nguy cơ bị tấn công brute-force hoặc các cuộc tấn công tự động khác từ Internet.

Phiên bản model, phần mềm áp dụng:

• Vigor3912, Vigor3910, and Vigor2962 Firmware 4.4.5* trở đi 
• Smart VPN Client Window 5.7.1
• SmartVPN Client Android v1.6.0 trở đi 
• SmartVPN Client iOS v1.9.7 trở đi 

Lưu ý: khi sử dụng Port Knocking, Router cần kết nối trực tiếp internet, điền thông tin internet username/ password đường truyền.

Thực hiện

1. Trên Router

1. Đồng bộ mốc thời gian 

Vào system maintenance >>> Time and date chỉnh lại cho đúng múi giờ Việt Nam (GMT+7)

2. Cấu hình Port Knocking

Vào NAT >> Port Knocking, chọn index (ví dụ index 1)

• Nhấn Enable
• Service Name: đặt tên Profile
• WAN: chọn WAN cần NAT (mặc định chọn ALL, tất cả các WAN)
• 1st Knocking Port: điền port knocking đầu tiên (port ngẫu nhiên từ 1~65535).
• Nhấn Generate để tạo mã QR. Mã này dùng để quét tạo mã xác thực trên phần mềm tạo mã TOTP và cấp cho người được phép sử dụng khi có nhu cầu.
• Validation code: Mở phần mềm Google Authenticator trên điện thoại ( hoặc công cụ Port Knocking tool DrayTek download tại đây) và quét mã QR >>Điền mã TOTP xác thực có hiệu lực nhận được trên Google Authenticator
• Nhấn Verify >> Khi nhận được thông báo “verify successfully, you can save the config” là đã xác thực thành công
•  (Lưu lại mã QR code dùng để quét TOTP sau này; Nhấn copy lưu lại chuỗi TOTP, dùng khi cấu hình trên Smart VPN Client)
• Nhấn OK để lưu cấu hình

Lưu ý:  

Sau khi mã xác thực (validation code) được xác minh thành công, không nên nhấn nút "Generate" thêm lần nữa. Mỗi lần nhấn "Generate", router sẽ tạo một mã TOTP mới, đồng nghĩa với việc các cấu hình đã thiết lập trước đó sẽ trở nên không hợp lệ và cần cấu hình lại từ đầu.

Để tránh mất thời gian và lỗi kết nối, chỉ tạo mã TOTP một lần duy nhất trong quá trình thiết lập ban đầu.

3. Kích hoạt Port Knocking cho VPN

VPN and Remote Access >> Remote Access Control

• Chọn giao thức VPN cần kích hoạt
• Check Enable Port Knocking cho giao thức cần kích hoạt Port Knocking 
• Chọn Profile Port Knocking áp dụng đã cấu hình trước đó (ví dụ VPN)
• Nhấn OK

4. Tạo Profile VPN

Tạo Profile VPN Host to LAN với Protocol tương ứng, tham khảo hướng dẫn bên dưới

• VPN host to LAN với giao thức PPTP: https://www.anphat.vn/windows-vpn-den-vigor-router/windowssmartvpn-huong-dan-cau-hinh-vpn-pptp-host-to-lan 
• VPN host to LAN với giao thức SSL: https://www.anphat.vn/windows-vpn-den-vigor-router/windowskhuyen-dung-huong-dan-cau-hinh-ssl-vpn-host-to-lan 
• VPN host to LAN với giao thức Openvpn: https://www.anphat.vn/windows-vpn-den-vigor-router/windowsbao-mat-huong-dan-cau-hinh-openvpn-host-to-lan 
• VPN host to LAN với giao thức Wireguard: https://www.anphat.vn/windows-vpn-den-vigor-router/window-wireguard-vpn-host-to-lan 
• VPN host to LAN với easy VPN: https://www.anphat.vn/vpn-host-to-lan-client-to-site/drayos4-huong-dan-cau-hinh-easyvpn 

B. Trên Client 

1. SSL VPN với Windows Smart VPN Client

Chỉnh sửa một cấu hình VPN hiện có và bật tính năng Port Knocking. Nhập 1st Port và khóa TOTP đã lưu khi cấu hình router

• Nhấn OK để lưu thay đổi cấu hình.
• Gạt công tắc Connect sang ON.

• SmartVPN Client sẽ bắt đầu thực hiện quá trình gõ cổng (Port Knocking).

• Khi thực hiện thành công, Smart VPN Client sẽ thiết lập một kế nối SSL VPN đến Router Vigor

2. WireGuard VPN với Android Smart VPN App

Chỉnh sửa một cấu hình profile VPN hiện có hoặc tạo thêm profile mới hình mới. 

• Description: đặt tên/ mô tả profile,
• Type: chọn loại VPN (trong ví dụ này là EasyVPN (WireGuard)
• Server: điền địa chỉ IP hoặc tên miền của VPN Server,
• Username/ password: điền tên người dùng và mật khẩu.
• Check use Port Knocking
• Nhập 1st Port và dán khóa TOTP. (Khóa TOTP có thể được quản trị viên cung cấp qua email hoặc các phương thức khác.)
• Nhấn SAVE để áp dụng các thiết lập.

Nhấn nút Kết nối. Khi kết nối thành công, ứng dụng Smart VPN sẽ thiết lập một kênh VPN WireGuard tới bộ định tuyến Vigor.

3. IKEv2 EAP VPN từ iOS Smart VPN App

• Thêm profile VPN mới. 
• Type VPN: Chọn IKEv2 EAP làm loại VPN
• Profile: đặt tên cho cấu hình
• Server: điền Tên miền VPN server (Server Domain Name)
• Username/ password: điền Tên người dùng (Username) và Mật khẩu (Password) VPN
• Enable Port Knocking: chọn ON
• First Port  và điền khóa TOTP (Khóa TOTP có thể được quản trị viên cung cấp qua email hoặc các phương thức khác.)

•     Nhấn Save để áp dụng các cài đặt.

Bật tùy chọn Enabled, sau đó chuyển Status sang ON. Khi kết nối thành công, ứng dụng Smart VPN sẽ thiết lập một kênh VPN IKEv2 EAP tới bộ định tuyến Vigor