- Sơ đồ
Phần hướng dẫn này sẽ giúp bạn tạo 1 tài khoản để người khác ở ngoài internet có thể kết nối VPN về router và khai thác dữ liệu trong mạng để có thể làm việc từ xa. Ứng dụng cho nhân viên, sếp đi ra ngoài muốn connect về công ty để lấy tài liệu, xem camera v.v…
Sau khi thiết lập kênh VPN thành công thì lúc đó bạn hoàn toàn làm những việc như là : lấy file share, xem camera, in bằng máy in của công ty, xem báo cáo v.v… như là bạn đang ở văn phòng của mình vậy.
Chuẩn bị
- Máy tính, client phải có kết nối internet ,wifi, 3G, adsl v.v…
- Router đặt tại văn phòng chính phải có ip public, nên có ip tĩnh.
Nếu không có ip tĩnh có thể dùng tên miền động (dynamic DNS), tham khảo link sau: https://www.anphat.vn/quan-ly-thiet-bi-system-maintenance/drayos-5-huong-dan-cau-hinh-dynamic-ddns-su-dung-ten-mien-dong-no-ip
Hoặc đăng kí và sử dụng dịch vụ tên miền động DrayDDNS do DrayTek cung cấp: https://www.anphat.vn/quan-ly-thiet-bi-system-maintenance/drayos-5-huong-dan-su-dung-dich-vu-ten-mien-dong-drayddns
- Địa chỉ ip lớp mạng tại văn phòng nên đặt 1 lớp mạng lạ 1 chút để tránh bị trùng, nếu bị trùng sẽ không tạo kênh VPN được, các địa chỉ sau không nên đặt vì được sử dụng quá phổ biến:- 192.168.1.0/24- 192.168.0.0/24- 10.0.0.0/24
A. Trên Router
- Đồng bộ thời gian
Vào System Maintenance >> Device settings, tại Tab Time, chọn UTC +7 >> nhấn Apply
- Cấu hình chung OpenVPN
Vào VPN >> General Setup >> OpenVPN
- Chọn Enable
- Chọn Router Generate certificates
- Nhấn Generate
- Accept VPN connection: chọn ALL Interfaces (chấp nhận VPN từ tất cả các WAN).
- VPN Access control Mode: chọn Allow All Connection (mặc định router cho phép VPN từ tất cả các IP bên ngoài). Bạn có thể chọn Allow list để cho phép một vài đối tượng IP hoặc Black list để chặn một vài đối tượng IP
- Nhấn Apply
- Tạo profile VPN
Vào VPN >> Teleworker VPN, nhấn +Add tạo profile mới
- Username: đặt trên Profile
- Usage: chọn IAM user (user dùng để VPN, xác thực 802.1x, usb … nhưng không dùng quản lý router)
- Password: đặt password cho user
- Chọn Tab General
- Enable Email: chọn OFF
- Enable SMS: chọn OFF
- Chọn Tab Teleworker VPN
- Enable Teleworker VPN: chọn ON
- VPN Schedule: chọn Always ON
- Allow VPN Protocol: chọn OpenVPN
- Assign IP By: chọn LAN DHCP hoặc Static IP và điền IP cấp cho client VPN tại mục Static IP
- Assign IP from: chọn lớp mạng VPN vào
- Assign DNS by: chọn LAN DHCP
- Nhấm Apply
- Tạo file OpenVPN Client
Vào VPN >> Teleworker VPN, nhấn OpenVPN Config Generator
- Specify Server URL:
- Chọn WAN IP: khi có IP tĩnh
- Chọn DNS Profile, khi sử dụng tên miền (trong trường hợp này chọn DDNS profile)
- DDNS Profile: chọn profile tên miền đã cấu hình trước đó
- Set VPN as default gateway: On nếu có nhu cầu tất cả các dịch vụ đều sử dụng qua kênh VPN, OFF nếu không có nhu cầu
- Transport protocol: chọn TCP
- Export Configuration by: chọn Download Zip file
- Nhấn Download configuration
- Nhấn Apply
B. Trên Client
Download và cài đặt SmartVPN Client bản mới nhất
https://www.draytek.com/support/resources/?parent=4677%2C7464&resources=7495
Mở SmartVPN Client
Tại giao diện chính, nhấn Add tạo profile mới hoặc chọn Profile đã có sẵn nhấn Edit
Type: chọn OpenVPN
Nhấn Import
Username/ Password: điền tài khoản VPN
Nhấn OK
Tại Active Profile: chọn profile VPN vừa tạo >> nhấn Connect
Chờ vài phút thực hiện kết nối, khi Status báo Connected là đã kết nối thành công
Lưu ý:
Trường hợp muốn định tuyết tất cả các traffic qua kênh VPN, khi tạo profile Trên SmartVPN, chọn thêm Advanced Setting >> Chọn ON option Route All traffic Through VPN >> nhấn OK
Trường hợp hệ thống server có nhiều lớp mạng, Client cần truy cập các lớp mạng bên trong. Có thể thực hiện theo 2 cách
Chọn Route All Traffic through VPN như trên
Nhấn More và add các lớp mạng đầu xa. Ví dụ: có 2 lớp mạng đầu xa gồm 10.10.10.1/ 24 và 172.16.10.1/24 ta thực hiện như sau
C. Kiểm tra trạng thái
- Trên Router Vigor1100ax
Vào VPN >> VPN connection Status, chọn Tab Teleworker VPN >> sẽ thấy client đang kết nối
- Trên client
Ping IP router đầu xa kiểm tra
