Port Knocking là một tính năng bảo mật được thiết kế để bảo vệ các dịch vụ VPN của Vigor Router khỏi truy cập trái phép. Tính năng này hoạt động bằng cách yêu cầu một chuỗi “gõ cửa” (knock) cụ thể — tức là các lần thử kết nối đến những cổng (port) được định trước — trước khi cho phép truy cập vào cổng dịch vụ mong muốn.

Để tăng cường bảo mật, Vigor Router sử dụng TOTP (Time-Based One-Time Password – mật khẩu dùng một lần theo thời gian) để tính toán các cổng knock. Điều này khiến các cổng này trở nên động (thay đổi theo thời gian) và khó bị đoán hoặc sao chép hơn nhiều.

Khi được bật, Port Knocking sẽ giữ cho cổng VPN ẩn khỏi truy cập công khai cho đến khi nhận được đúng chuỗi knock. Cơ chế này giúp ngăn chặn các cuộc quét cổng trái phép và giảm đáng kể nguy cơ tấn công brute-force (thử mật khẩu hàng loạt).

Các model được hỗ trợ và phiên bản firmware tối thiểu

• Vigor2136, C510, C410 và Vigor2767: firmware phiên bản 5.3.6*
   
• Vigor3912, Vigor3910 và Vigor2962: firmware phiên bản 4.4.5
   
• SmartVPN Client cho Windows: v5.7.2
   
• SmartVPN Client cho Android: v1.6.4 trở lên
   
• SmartVPN Client cho iOS: v1.9.8 trở lên

Lưu ý:

• Tất cả các kết nối VPN đi vào router DrayOS5 — bao gồm cả LAN-to-LAN và Host-to-LAN — đều sẽ được bảo vệ bởi Port Knocking.
   
• Với firmware hiện tại 5.3.6, Port Knocking không áp dụng cho L2TP.

1. Cấu hình trên router

1. Chỉnh mốc thời gian

Vào System Maintenance / Device Settings / Time, Đảm bảo router có thời gian hệ thống chính xác.

2. Tạo user AIM

Vào IAM / Users & Groups / Users → nhấn +Add.

• Username: Đặt tên người dùng
• Teleworker VPN: chọn Enable
• Password (mật khẩu).
• Bật tùy chọn Teleworker VPN.

• Vào tab Teleworker VPN và cấu hình các thiết lập VPN tương ứng

• Quay lại tab General, bật Port Knocking, nhập First Knock Port, sau đó nhấp chuột phải vào Open with Port Knocking Tool → Open the link with a new tab.
• Nhấn Apply để tiếp tục thiết lập TOTP

• Một cửa sổ TOTP Secret sẽ xuất hiện — hãy sao chép mã TOTP secret

• Truy cập trang web Port Knocking Tool, dán TOTP secret vào, sau đó hệ thống sẽ tạo ra một mã xác thực gồm 6 chữ số.

• Quay lại cửa sổ TOTP Secret, dán mã 6 chữ số vào rồi nhấn Verify.
• Chờ thông báo OK xuất hiện ở góc trên bên phải. Khi đó, việc thiết lập người dùng IAM / Teleworker với Port Knocking đã hoàn tất.

Tham khảo thêm các hướng dẫn VPN với từng giao thức khác nhau

• OpenVPN: https://www.anphat.vn/vpn-host-to-lan-client-to-site/drayos-5-vpn-host-to-lan-voi-openvpn
• Wireguard VPN: https://www.anphat.vn/vpn-host-to-lan-client-to-site/drayos-5-vpn-host-to-lan-dung-wireguard-vpn
• IPsec IKEv2: https://www.anphat.vn/vpn-host-to-lan-client-to-site/drayos5-thiet-lap-vpn-ikev2-tu-ios-den-router-vigor

3. Áp dụng Port Knocking cho các dịch vụ VPN

Vào VPN / General Setup và cấu hình:

• Bật Enforce Port Knocking
• Chọn các loại VPN cần được bảo vệ bằng Port Knocking
• Allow All Connections là chế độ mặc định; nếu dùng Allow List mode, các địa chỉ IP nằm trong danh sách có thể bỏ qua Port Knocking.

2. Cấu hình trên VPN Client

B1. Kết nối EasyVPN từ Smart VPN Client trên Windows.

• Mở Smart VPN CLient
• Chỉnh sửa một profile VPN hiện có, bật Port Knocking, sau đó nhập First Knock Port và TOTP key

• Nhấn OK để lưu, sau đó chuyển Connect sang ON. Khi đó SmartVPN Client sẽ bắt đầu gõ các cổng (port knocking).

• Khi thành công, Smart VPN Client sẽ thiết lập một đường hầm VPN (VPN tunnel) tới Vigor Router

B2. Kết nối WireGuard VPN từ ứng dụng Smart VPN trên Android.

• Chỉnh sửa một Profile VPN hiện có hoặc tạo profile mới.
• Description: Nhập tên/mô tả profile
• Type: chọn EasyVPN (WireGuard),
• Server: nhập IP hoặc tên miền của máy chủ VPN
• username và password: Điền account VPN
• Đánh dấu Use Port Knocking, nhập 1st Port và dán TOTP key.
• Nhấn SAVE để áp dụng các thiết lập.

• Nhấn Connect. Khi kết nối thành công, một đường hầm VPN WireGuard sẽ được thiết lập

B3. Kết nối VPN IKEv2 EAP từ ứng dụng Smart VPN trên iOS.

• Mở SmartVPN client
• Thêm một profile VPN mới,
• Type chọn IKEv2 EAP,
• Profile: đặt tên profile
• Server: điền tên miền VPN
• Username và password: điền username/ mật khẩu VPN
• Bật Port Knocking, nhập First Port và dán TOTP key.
• Nhấn Save

• Chọn Profile VPN>>  bật Enabled, sau đó bật Status. Khi kết nối thành công, một đường hầm VPN IKEv2 EAP sẽ được thiết lập

3. Troubeshoot

1. Kiểm tra Port Knocking Status Table trên VPN server để xem địa chỉ IP của client có xuất hiện hay không.
2. Nếu IP không có trong danh sách, client sẽ không nhận được phản hồi. Các nguyên nhân có thể gồm:

• Địa chỉ IP Internet của client đã thay đổi
• Tường lửa (Firewall) chặn các kết nối TCP
• Các vấn đề mạng khác