​(Áp dụng cho các model DrayTek Vigor2915 / 2927 / 2952 / 3220 / 2962 / 3910 sử dụng HĐH DrayOS)

Ngoài việc cho phép kết nối VPN từ máy tính client đến router, giữa các router với nhau. Router DrayTek còn cho phép kết nối giữa router DrayTek đến các nhà cung cấp dịch vụ VPN khác như NordVPN, ExpressVPN.

Sau đây chúng tôi xin giới thiệu ứng dụng đơn giản giúp tăng độ bảo mật của hệ thống mạng bằng cách tạo kết nối VPN giữa Router DrayTeK với NordVPN và định tuyến cho cách dịch vụ mong muốn truy cập qua kênh VPN.

Hướng dẫn gồm 2 phần

  • Phần A: cấu hình kết nối VPN giữa DrayTek với Nord VPN
  • Phần B: định hướng dịch vụ truy cập qua VPN, gồm có một vài trường hợp cụ thể như sau:
    • Trường hợp 1: quy định tất cả các dịch vụ đều qua VPN
    • Trường hợp 2: quy định chỉ một vài đối tượng, dịch vụ, quốc gia đi qua VPN. Các dịch vụ còn lại sẽ sử dụng internet bình thường.

A. cấu hình kết nối VPN giữa DrayTek với Nord VPN

Bước 1:  Đăng kí Account NordVPN trên (dùng thử 3 ngày)

Truy cập web https://free.nordvpn.com/

Bước 2:  Download  file  NordVPN root CA certificate

Truy cập websie https://downloads.nordvpn.com/certificates/root.der để download.

Bước 3: Lấy Domain  NordVPN server

Truy cập wbsite https://nordvpn.com/servers/

Bạn có thể nhận được gợi ý server bằng cách chọn địa đia điểm quốc gia.Trong hình bên dưới, host name server là de241.nordvpn.com 

 

Bước 4: Đăng nhập vàp router, vào Certificate Management >> Trusted CA Certificate page click “IMPORT”, chọn file “Root CA” để import

Bước 5: Chờ vài giây để Server tiến hành “Import”

 

Bước 6: Vào VPN and Remote Access >> IPsec Peer Identity, cấu hình thông tin cho NordVPN server.

Chọn Index trống (ví dụ Index1)

  • Check “Enable This Account
  • Profile name đặt tên profile
  • Chọn “Accept Any Peer ID”
  • Nhấn OK

 

Bước 7: Vào VPN and Remote Access >> LAN to LAN cấuhình Profile VPN

Chọn Index trống (ví dụ Index1)

7.1 Common Settings

  • Profile name, đặt tên profile
  • Check “Enable This Profile
  • Call Direction chọn “Dial – Out”
  • Check “Always ON”

 

7.2 Dial-Out Settings

  • Type of Server I am calling, chọn  IPsec Tunnel - IKEv2 EAP
  • Server IP/Host Name for VPN điền domain VPN server ví dụ: vn9.nordvpn.com
  • Username /password điền Account  NordVPN
  •  IKE Authentication Method >> PeerID chọn profile NordVPN đã tạo ở bước trên
  • IPsec Security Method chọn “AES with Authentication
  • Nhấn “Advanced”

 

  • IKE phase 1 proposal Encryption chọn “AES256
  • IKE phase 1 proposal ECDH Group chọn”G14
  • IKE phase 1 proposal Authentication chọn “SHA1
  • IKE phase 2 proposal chọn “AES256_SHA1”
  • IKE phase 1 key lifetime điền “3600
  • IKE phase 2 key lifetime điền “1200
  • Nhấn “OK

7.3: TCP/IP Network Settings

  • Remote Network Mask chọn 0.0.0.0/00
  • From First subnet to remote network, you have to do :chọn NAT
  • Nhấn “OK”

 

Bước 8: Kiểm tra trạng thái kết nối

  • Vào VPN and Remote Access >> Connection Management

 

  • Thực hiện tracert kiểm tra

B. định hướng dịch vụ truy cập qua VPN

B1. Trường hợp 1: quy định tất cả dịch vụ bên trong đều đi qua kênh VPN

Sau khi kết nối với Nord VPN, tất cả dịch vụ bên trong đã đi qua kênh VPN >> không cần thực hiện gì thêm.

B2. Trường hợp 2: quy định chỉ một vài đối tượng, dịch vụ, quốc gia đi qua VPN. Các dịch vụ còn lại sẽ sử dụng internet bình thường.

Vào Routing >> Load Balance/ Route Policy, chọn Index để tạo rule

Cần tạo 2 rule

Rule 1: cấu hình dịch vụ cần truy cập qua kênh VPN

  1. check Enable
  2. Comment: đặt tên rule
  3. Source: nhấn Edit để chọn đối tượng bên trong (IP/ dãy IP/ lớp mạng) cần định tuyến. Nếu muốn áp dụng cho toàn hệ thống >> chọn Any
  4. Destination: nhấn Edit để chọn dịch vụ cần định tuyến (IP/ tên miền / quốc gia).
  5. Interface chọn VPN và chọn Profile NordVPN
  6. Check “Failover to” WAN/LAN  chọn “Default WAN
  7. Nhấn Priority
  8. Kéo Priority của rule về vị ví nhỏ hơn 150 (ví dụ 130)
  9. Nhấn OK

Tham khảo hướng dẫn:

Rule 2: cấu hình các dịch vụ còn lại truy cập internet bình thường.

  1. check Enable
  2. Comment: đặt tên rule
  3. Source: chọn Any
  4. Destination:chọn Any
  5. Interface chọn WAN/LAN và chọn WAN kết nối internet (ví rụ WAN1)
  6. Nhấn Priority
  7. Kéo Priority của rule về vị ví nhỏ hơn 150 (ví dụ 130). Lưu Ý Priority rule 2 phải bằng Priority Rule 1 để policy được xét đúng
  8. Nhấn OK

Graphical user interfaceDescription automatically generated