​(Áp dụng cho các model DrayTek Vigor2912 / 2133n / 2925 / 2926 / 2952 / 3220 / 3910 sử dụng HĐH DrayOS)

Giả sử, công ty bạn có như cầu cho nhân viên / nhóm nhân viên ở bên ngoài, cần truy xuất dữ liệu,sử dụng phần mềm, in ấn,…ở Văn Phòng, Chi nhánh. Đồng thời để đảm bảo tính bảo mật và dễ sử dụng, Công ty có thể cấp cho nhân viên/ nhóm nhân viên một router DrayTek (Ví dụ Vigor2133n/ Vigor2912n) để thực hiện VPN, kết nối về văn phòng sử dụng.

Giải pháp có thể chia thành các bước như sau:

  • VPN giữa 2 site văn phòng và chi nhánh/ Kho (trong bài này hướng dẫn VPN theo giao thức SSL VPN).
  • Kết hợp tính năng bảo mật như:
    o Đổi password, port login đăng nhập Vigor
    o Bind IP to MAC: chỉ cho một vài thiết bị nhân viên cụ thể sử dụng
    ​o Tăng cường bảo mật bằng cách kiểm soát kết nối VPN

Lợi ích:

  • IT không cần phải cấp account VPN cho từng người.
  • Thông tin VPN không bị lộ vì đã cấu hình sẵn trên DrayTek mang đi
  • Nhân viên không cần phải cấu hình VPN trên thiết bị
  • Bảo mật cao, dễ sử dụng Mô hình

Thực hiện 
 
A. Cấu hình VPN site to site trên giữa văn phòng và Router cấp cho nhân viên
 
1. Site Văn Phòng (Dial- In)
  • Đổi port web HTTPS Management trên Vigor

Vào System Maintenance >> Management, HTTPS Port đổi thành port khác (ví dụ 4433) >> nhấn OK

 

  • Vào VPN and Remote Access>> LAN to LAN , nhấn index tạo profile VPN
    o Tại Comment Settings
      + Check Enable this Profile
      + Profile Name                        :Đặt tên Profile
      + Call Direction                      :Chọn Dial- IN
    o Tại Dial- In Settings
      + Allow Type VPN                   :Chọn SSL VPN
      + Username                             :Điền Username cho phép VPN site to Site
      + Password                             :Điền Password xác thực VPN Site to Site
    o
    Tại TCP/IP Network Settings
      +  Local Network                     :Điền lớp mạng nội bộ (192.168.111.1/24)
      +  Remote Network                :Điền lớp mạng đầu xa (192.168.222.1/24)
    o Nhấn OK

 

2. Site chi nhánh/ kho (Dial - Out)
  • Vào WAN >> Internet Access, Access Mode chọn Static or Dynamic IP >> nhấn Details Page

 

        o Chọn Enable
        o Chọn Obtain an IP Address Automatically (thiết bị sẽ tự động nhận DHCP từ router cấp internet)
        o Nhấn OK
  • Vào LAN>> General Setup, LAN 1 nhấn Details Page (đổi lớp mạng Router thành lớp mạng ít sử dụng)

  • Network configuration
          IP Address               :Điền IP lớp mạng (ví dụ 192.168.222.1/24) 
  • DHCP Server Configuration 
        Start IP Address                 :Điền IP bắt đầu cấp (ví dụ 192.168.222.10) 
        IP Pool count                      :Điền số  lượng IP sẽ cấp 
        Gateway IP Address            :Điền IP router (ví dụ 192.168.222.1) 
  • DNS Server IP Address    :Điền DNS sẽ cấp cho mạng nội bộ (ví dụ DNS Google 8.8.8.8/ 8.8.4.4) 
  • Nhấn OK  
  • Vào Wireless LAN >> General Setupcấu hình tên Wi-FiCheck Enable Wireless LAN  đặt tên Wi-Fi tại SSID1nhấn OK 

  • Vào Wireless LAN >> Securitychọn SSID1chọn chế độ  hóa WPA/PSK tại mode điền  mật khẩu tại Pre-Shared Key (PSK) >> nhấn OK 

  • Vào VPN and Remote Access>> LAN to LAN , nhấn index tạo profile VPN
    - Tại Common Settings 
       + Profile Name                                    :Đặt tên Profile 
       + Check Enable this Profile 
       + Call Direction                                  :Chọn Dial- Out 
       + Check Always all  
    Tại Dial- Out  Setting
       + Type of Server I am Calling         : chọn SSL VPN 
       + Server IP/Host Name for VPN.    :Điền IP WAN hoặc Tên miền Router Văn phòng 
       + Server Port (for SSL Tunnel)      :Điền port SSL VPN đã đổi (443) 
       + Username                                     :Điền Username VPN site to Site 
       + Password                                     :Điền Password xác thực VPN Site to Site 
    - Tại TCP/IP Network Setting 
       + Remote Network IP            :Điền lớp mạng đầu xa (192.168.111.1/24) 
       + Local Network IP                :Điền lớp mạng nội bộ (192.168.111.1/24) 
    - Nhấn OK  

  • Kiểm tra kết nối VPN 

 

B. Kết hợp tính năng bảo mật trên thiết bị clien

1. Đổi mật khẩu thiết bị 

Vào System Maintenance >> Administrator Password 

  • Old Password         :điền password cũ 
  • New Password/ Confirm Password      :Điền password mới 
  • Nhấn OK 

2. Sử dụng tính năng Bind IP to MAC để quản lý thiết bị kết nối
- Vào LAN >> Bind IP to MAC 
   + Chọn Enable 
   + Chọn Strict Bind (chỉ có những thiết bị có trong danh sách IP bind list mới được kết nối) 
   + Apply Strict Bind to Subnet, nhấn Edit>> chọn LAN1  
   + Add/ Update to IP Bind List ( thêm tất cả các thiết bị cho phép kết nối  vào, kể cả máy đang cấu hình)
          * IP Address               :Điền IP muốn cấp 
          *  MAC Address          :Điền MAC thiết bị 
          * Comment                  :Đặt tên thiết bị  
          * Nhấn Add 
          * Thực hiện tương tự để thêm tất cả các thiết bị cho phép kết nối  vào 

   + Nhấn OK 
   + Tham khảo hướng dẫn chi tiết tại Link: https://www.anphat.vn/internet-iptv-wan-lan-nat-port-co-ban/cap-ip-theo-dia-chi-mac 

 

3. Kết hợp IP Filter chỉ cho phép VPN sử dụng dịch vụ cho phép

Tham khảo hướng dẫn link: https://www.anphat.vn/vpn-lan-to-lan-site-to-site/huong-dan-quan-ly-truy-cap-vpn-lan-to-lan

 
Hãy liên lạc với chúng tôi để được hỗ trợ:

     Văn phòng TPHCM: (028) 3925 3789
     Chi nhánh miền Bắc: (024) 3781 5089
     Chi nhánh miền Trung: (0236) 367 9515
    Hotline Hỗ Trợ Kỹ Thuật: 1900 633 641
     Fanpage Hỗ Trợ Kỹ Thuật: facebook.com/AnPhat
     Kênh youtube Hỗ Trợ Kỹ Thuật: AnPhatITOfficial