​(Áp dụng cho các model DrayTek Vigor2912 / 2133n / 2925 / 2926 / 2952 / 3220 / 3910 sử dụng HĐH DrayOS)

Chuẩn bị:

- Đăng ký và sử dụng dịch vụ tên miền động DrayDDNS: https://www.anphat.vn/quan-ly-thiet-bi-system-maintenance/huong-dan-kich-hoat-va-su-dung-drayddns

1. Mô hình kết nối

H1 SSL VPN hostto LAN
2. Tạo tài khoản VPN
Phần hướng dẫn này sẽ giúp bạn tạo 1 tài khoản để người khác ở ngoài internet có thể kết nối VPN về router và khai thác dữ liệu trong mạng để có thể làm việc từ xa. Ứng dụng cho nhân viên, sếp đi ra ngoài muốn connect về công ty để lấy tài liệu, xem camera v.v…
Sau khi thiết lập kênh VPN thành công thì lúc đó bạn hoàn toàn làm những việc như là : lấy file share, xem camera, in bằng máy in của công ty, xem báo cáo v.v… như là bạn đang ở văn phòng của mình vậy.

3. Chuẩn bị
- Máy tính, laptop, PDA của client phải có kết nối internet ,wifi, 3G, adsl v.v…• Router đặt tại văn phòng chính phải có ip public, nên có ip tĩnh. Nếu không có ip tĩnh có thể dùng tên miền động (dynamic DNS, No-IP).
- Địa chỉ ip lớp mạng tại văn phòng nên đặt 1 lớp mạng lạ 1 chút để tránh bị trùng, nếu bị trùng sẽ không tạo kênh VPN được, các địa chỉ sau không nên đặt vì được sử dụng quá phổ biến: 192.168.1.0/24, 192.168.0.0/24, 10.0.0.0/24

4. Cấu Hình router DrayTek làm VPN server
4.1. Tạo User VPN SSL trên router DrayTek

Vào SSL VPN >> User Account, chọn index bất kì để tạo VPN Profile

H2 SSL VPN hostto LAN

4.2. Cấu hình VPN profile
- Check “Enable this account”để kích hoạt profile
- Tạo thông tin “Username and Password” để client đăng nhập
- Allow Dial-in Type :Chọn SSL tunnel
- Nhấn OK

H3 SSL VPN hostto LAN

4.3. Kiểm tra lại account đã tạo

H4 SSL VPN hostto LAN

5. Tiến hành kết nối VPN từ xa
Client có thể là PC/Laptop/ điện thoại sử dụng phần mềm SmartVPN Client
5.1. PC/ Laptop sử dụng SmartVPN Client
Bước 1: Khởi động the Smart VPN Client, click Insert để tạo VPN profile


 
Bước 2: Cấu hình VPN profile như sau:
- Profile Name: Đặt tên Profile
- Type of VPN: Chọn mã hóa “SSL VPN Tunnel”
- VPN Server IP/Host Name: Điền IP WAN hoặc tên miền
- Username/password: điền Username/password đã cấu hình trên router

 

- Nhấn Advanced Option >> chọn Enable Fast SSL >> nhấn OK

Lưu ý:

TH1: Trong trường hợp bình thường, hệ thống trung tâm chỉ có duy nhất một lớp mạng,

  1. Client chỉ cần truy cập server, kết nối dữ liệu:  Khi cấu hình VPN trên Client, trong Profile, nhấn Advanced Options và chọn OFF “Use default gateway on remote network”

  1. Client có như cầu chuyển tất cả mọi traffic đều phải về trung tâm rồi ra ngoài internet: Khi cấu hình VPN trên Client, trong Profile, nhấn Advanced Options và chọn ON “Use default gateway on remote network”

TH2: Trong trường hợp hệ thống trung tâm có nhiều lớp mạng, client có nhu cầu truy cập các lớp mạng trung tâm

 Khi cần truy cập các lớp mạng (subnet) khác bên trong DrayTek, thì phải thêm các lớp mạng đó vào phần Advances Options >> "More" trên SmartVPN


Bước 3: Thực hiện VPN
Trên SmartVPN Client, Chọn Profile “SSL VPN” đã tạo>> nhấn “Connect


Bước 4: Kiểm tra lại Username/ Password đã cấu hình



Bước 5: Kiểm tra trạng thái kết nối VPN





6. Kiểm tra kết nối
- Trên client, thực hiện ping địa chỉ IP LAN router, hoặc vào VPN and Remote Access >> Connection Management kiểm tra trạng thái kết nối

H14 SSL VPN hostto LAN
 

H15 SSL VPN hostto LAN

7. TroubleShoot

- Kiểm tra port SSL đang sử dụng

Vào VPN and Remote Access >> SSL General Setup, kiểm tra port 443

- kiểm tra CA đang sử dụng 

a.Hệ thống sử dụng tên miền DrayDDNS

- Vào VPN and Remote Access >> SSL General Setup, chọn Server Certificate là DrayDDNS.

b. Hệ thống có IP tĩnh, và truy cập bằng IP tĩnh hoặc sử sử dụng tiền khác 

- Vào VPN and Remote Access >> SSL General Setup, chọn Server Certificate là Self- Signed