Xác thực 2 yếu tố (Two-Factor Authentication - 2FA) đưa ra quy đình bảo mật yêu cầu 2 phương thức bảo mật khác nhau xác minh ID của bạn.

Sau đây, chúng tôi sẽ kích hoạt 2FA trên kết nối VPN của Router, giúp tăng độ bảo mật kênh VPN bằng cách kích hoạt  một trong các phương thức bên dưới:

  • Gởi code qua Email
  • Gởi code qua Email SMS
  • Xác thực thời gian Time-based One-time Password

Lưu ý rằng phương thức xác thực truyền thống sẽ bị thay đổi dù bạn sử dụng bất kì giao thức nào, mật khẩu cố định hay mật khẩu động. 2FA sẽ thêm lớp xác thực bổ sung để tăng cường bảo mật kết nối VPN trong tường hợp thông tin đăng nhập bị mất.

Phần dưới đây sẽ mô tả cách kích hoạt 2FA trong kết nối VPN Remote Dial-in (VPN host to lan)

Model hổ trợ:

  • Router: Vigor3910, Vigor2962, firmware version 4.3.2 hoặc mới hơn
  • Smart VPN Client: Windows version 5.6.0, iOS version 1.8.0, MacOS version 1.5.0
  • Hỗ trợ các giao thức VPN : PPTP, SSL, IKEv2 EAP, IPsec XAuth, L2TP, OpenVPN, WireGuard

A. Send via Email

  1. Vào Object Settings >> SMS/Mail Service Object, thiết lập Mail Server

Lưu ý: Mail server cần kích hoạt cho phép các dịch vụ kém bảo mật truy cập

  1. vào VPN and Remote Access >> Remote Dial-in User , cấu hình Profile VPN như sau:
    1. Check “Enable this account”
    2. Điền Username/ Password
    3. Allowed Dial-in Type: chọn giao thức VPN (ví dụ SSL)
    4. Two-Factor Authentication: check “ Send Authentication Code via Email”
    5. Notification: check “Send Email When VPN is up”, Chọn Mail Server đã cấu hình và điền email người nhận tại mục “Mail to”
    6. Nhấn OK.

  1. Mở Smart VPN Client, thêm Profile VPN như sau:
    1. Đặt tên Profile.
    2. Chọn giao thức VPN và port VPN (nếu đã đổi)
    3. IP or Hostname: Điền IP WAN hoặc tên miền router trung tâm
    4. Điền User Name/ Password.
    5. Nhấn OK.

  1. Chọn Profile vừa tạo và nhấn “Connect”. Điền lại User Name/ Password >> nhấn OK để kết nối VPN

  1. Xuất hiện two factor authentication điền mã xác thực mà router đã gởi vào hộp email (gồm 6 chữ số) >> nhấn OK

  1. Sau khi xác thực thành công, kết nối VPN được thành lập

B. Send via SMS

  1. Vào Object Settings >> SMS/Mail Service Object, cài đặt profile của nhà cung cấp SMS

  1. Vào VPN and Remote Access >> Remote Dial-in User, cấu hình profile VPN như bên dưới
    1. Check “Enable this account
    2. Điền Username/ Password
    3. Allowed Dial-in Type: chọn giao thức VPN (ví dụ SSL)
    4. Two-Factor Authentication: check “ Send Authentication Code via SMS
    5. Notification: check “Send SMS When VPN is up” ,Chọn Profile SMS đã cấu hình và điền số điền thoại người nhận tại mục “SMS to
    6. Nhấn OK.

  1. Mở Smart VPN Client, thêm Profile VPN như sau:
    1. Đặt tên Profile.
    2. Chọn giao thức VPN và port VPN (nếu đã đổi)
    3. IP or Hostname: Điền IP WAN hoặc tên miền router trung tâm
    4. Điền User Name/ Password.
    5. Nhấn OK.

  1. Chọn Profile vừa tạo và nhấn “Connect”. Điền lại User Name/ Password >> nhấn OK để kết nối VPN

  1. Xuất hiện two factor authentication điền mã xác thực mà router đã gởi vào SMS (gồm 6 chữ số) >> nhấn OK

  1. Sau khi xác thực thành công, kết nối VPN được thành lập

 

B. Time-based One-time Password (TOTP)

  1. Vào VPN and Remote Access >> Remote Dial-in User, cấu hình profile VPN như bên dưới
    1. Check “Enable this account
    2. Điền Username/ Password
    3. Allowed Dial-in Type: chọn giao thức VPN (ví dụ SSL)
    4. Two-Factor Authentication: check “ Time- based One-time Password (TOTP)”
    5. Nhấn “Copy” lưu dãy Secret hoặc download mã QR (sử dụng trên ứng dụng hổ trợ cấp mã TOTP)
    6. Nhấn OK.

  1. Mở ứng dụng hổ trợ cấp mã TOTP. (ví dụ Google Authenticator, TOTP Autheticator)
    1. Điền dãy Secret hoặc quét QR Code để tạo account

  1. Ứng dụng sẽ hiện thị mã xác thực

  1. Mở Smart VPN Client, thêm Profile VPN như sau:
    1. Đặt tên Profile.
    2. Chọn giao thức VPN và port VPN (nếu đã đổi)
    3. IP or Hostname: Điền IP WAN hoặc tên miền router trung tâm
    4. Điền User Name/ Password.
    5. Nhấn OK.

  1. Chọn Profile vừa tạo và nhấn “Connect”. Điền lại User Name/ Password >> nhấn OK để kết nối VPN

  1. Xuất hiện two factor authentication điền mã xác thực đang xuất hiện trên ứng dụng tạo mã TOTP (gồm 6 chữ số) >> nhấn OK

  1. Sau khi xác thực thành công, kết nối VPN được thành lập

 

D. Kết nối VPN từ thiết bị khác

Nếu thiết bị Remote Dial-in User không phải là Windows hoặc không sử dụng phần mềm Smart VPN Client (Windows), chúng ta vẫn có thể kích hoạt 2FA và điền mã xác thực với phương pháp thay thế

  1.  Truy cập web quản lý router
  • Mở trình duyệt web, gõ IP lan router để truy cập web quản lý
  • Điền mã xác thực (6 kí tự) >> nhấn Verify

  • Bây giờ kênh VPN đã kết nối thành công

  1. Truy cập đường dẫn liên kết URL từ thông báo.
  • Nhấn đường dẫn liên kết URL trong thông báo nhận được được ở Email hoặc SMS. Đường dẫn sẽ tự động hoàn thành việc xác thực.

  • Bây giờ kênh VPN đã kết nối thành công

Lưu ý:

  1. Mỗi mã xác thực TOTP có tác dụng trong 30s, và quá trình xác thực TOTP sẽ hoàn tất sau 180s, nếu xác thực Email/ SMS cần 300s.
  2. Nếu xác thực 2FA không hoàn tất, router sẽ ngắt kết nối VPN sau thời gian chờ, và ghi lại thông tin trong Syslog.