​(Áp dụng cho các model DrayTek Vigor2912 / 2133n / 2925 / 2926 / 2952 / 3220 / 3910 sử dụng HĐH DrayOS)

Hiện nay, việc cho nhân viên ra ngoài làm việc,  kết nối VPN về văn phòng, truy cập dữ liệu, sử dụng phần mềm đã không còn xa lạ gì. Tuy nhiên, làm sao để quản lý truy cập của user đó một cách hợp lý. Bài viết dưới đây mô tả cách giới hạn truy cập của Client VPN (chỉ cho phép user truy cập vào đúng server và dịch vụ cho phép, giới hạn băng thông của user đó)

A. Đặt IP cố định cho Account VPN

Để có thể giới hạn chính xác Client VPN, trước tiên bạn cần gán IP cố định cho từng user VPN. Khi đó, nhân viên bên ngoài kết nối về sẽ nhận được một IP cụ thể và bạn chỉ cần giới hạn theo IP đó là được.

Tham khảo hướng dẫn tạo Account VPN host to LAN cho Client tại:

https://www.anphat.vn/tin-cong-nghe/router-draytek-lua-chon-giao-thuc-vpn-tot-nhat-theo-nhu-cau

Để cố định IP cho Account , bạn vào trong Profile VPN của user đó, phần Subnet, chọn LAN và điền IP muốn đặt.

B. Giới hạn truy cập cho Client VPN host to LAN

Để giới hạn client Host-to-LAN, chỉ cho phép truy cập đúng server, dịch vụ yêu cần, tạo tạo rule firewall như sau

  • Rule 1: Cho phép Client truy cập server1 với dịch vụ cần thiết
  • Rule 2: Chặn Client truy cập tất cả các IP còn lại trong hệ thống

Các bước thực hiện:

Bước 1: tạo IP Object các client VPN Host to LAN

Bước 2: Add các đối tượng Client VPN vào Group (nếu các client này truy xuất cùng  server dịch vụ)

Bước 3: tạo IP Object các Server

Bước 4: Add các nhóm server vào group server (nếu các server sử dụng chung dịch vụ)

Bước 5: Tạo các dịch vụ Client VPN host to LAN được phép sử dụng

Bước 6: add các dịch vụ vào một nhóm (nếu server sử dụng nhiều dịch vụ)

Bước 7: Tạo rule

 

Tiến hành: 

Bước 1: tạo IP Object các client VPN Host to LAN

Giả sử ta có 2 Client VPN Host to LAN từ ngoài vào với 2 IP 192.168.111.251192.168.111.252, ta cần tạo 2 đối tượng IP cho 2 Client  VPN trên

Vào Objects Setting >> IP Object, chọn Index 1

  • Name                 :Đặt tên Đối tượng (ví dụ vpn1)
  • Interface           :Chọn Any
  • Address Type     :Chọn Single Address 
  • Start IP Address :Điền IP cố định Client VPN (IP của client vpn1 với IP 192.168.111.251)
  • Nhấn OK

  • Thực hiện tương tự cho Client vpn2 với ip 192.168.111.252

Bước 2: Add các đối tượng Client VPN vào Group (nếu các client này truy xuất cùng  server dịch vụ)

Vào Objects Setting >> IP Group, chọn Index1

  • Name          :Đặt tên group
  • Interface    :Chọn Any
  • Chuyển các IP Object từ bảng “Available IP Objects” sang “Selected IP Objects”
  • Nhấn OK

 

Bước 3: tạo IP Object các Server

Thực hiện tương tự  bước 1 để tạo IP Object cho các server

 

Bước 4: Add các nhóm server vào group server (nếu các server sử dụng chung dịch vụ)

Thực hiện tương tự  bước 2 để tạo Group IP cho các server

  • Thực hiện tương tự cho các dịch vụ còn lại

 

Bước 5: Tạo các dịch vụ Client VPN host to LAN được phép sử dụng

Giả sử client VPN Host to Lan từ bên ngoài cần truy cập remote desktop (port 3389) và share File (port 445) trên server, ta cần tạo 2 profile cho 2 dịch vụ này

Vào Object Settings >> Service Type Object

  • Name                            :Đặt tên dịch vụ (ví dụ Remote Desktop)
  • Protocol                         :Chọn giao thức dịch vụ
  • Destination Port           : Port dịch vụ server sử dụng (ví dụ 3389)
  • Nhấn OK

Thực hiện tương tự cho dịch vụ Share file ( port 445)

 

Bước 6: add các dịch vụ vào một nhóm (nếu server sử dụng nhiều dịch vụ)

Vào Object Settings >> Service Type Group

 

Bước 7: Tạo rule cho phép Client VPN host to LAN truy cập server với dịch vụ cần thiết

Cần tạo các rule như sau:

  • Rule 1: Cho phép Client truy cập server1 với dịch vụ cần thiết
  • Rule 2: Chặn Client truy cập tất cả các IP còn lại trong hệ thống

Lưu ý: khi tạo rule phải chọn Direction  là LAN/DMZ/RT/VPN à LAN/DMZ/RT/VPN để có thể giới hạn được client VPN host to LAN

 

Thực hiện

Rule1: Cho phép Client truy cập server1 với dịch vụ cần thiết

Vào Firewall>>IP Filter>> Default Data Fileter, chọn rule 2

  • Check “Enable”
  • Comments    :Đặt tên rule
  • Direction    :Chọn LAN/DMZ/RT/VPN → LAN/DMZ/RT/VPN
  • Source IP    : nhấn “Edit”  và Chọn Group vpn
  • Destination  IP    : nhấn “Edit”  và  Chọn Group server
  • Service Type           : nhấn “Edit”   và chọn Group Service
  • Filter    : Chọn Pass Imediately
  • Nhấn OK

 

Rule 2: Chặn Client truy cập tất cả các IP còn lại trong hệ thống

Vào Firewall>>IP Filter>> Default Data Fileter, chọn rule 3

  • Check “Enable”
  • Comments    :Đặt tên rule
  • Direction    :Chọn LAN/DMZ/RT/VPN → LAN/DMZ/RT/VPN
  • Source IP    : nhấn “Edit”  và Chọn Group vpn
  • Destination  IP    : chọn Any
  • Service Type           : Chọn Any
  • Filter    : Chọn Block Imediately
  • Nhấn OK

 

C. Giới hạn băng thông cho Client VPN host LAN

Trong trường hợp nhằm hạn chế việc chiếm dụng băng thông internet của client VPN host to LAN,bạn cũng có thểgiới hạn băng thông thiết bị Client đó .

Vào Bandwidth Management >> Bandwidth Limit

  • Nhấn “Enable”
  • Default Limit
    • TX Limit/ RX Limit:  Điền băng thông tối đa hệ thống,
  • Add Entry By                 :  chọn IP Range
  • Start IP / End IP             :Điền dãy IP được đặt cố định cho client VPN host to LAN (nếu chỉ có một IP thi Start IP và End IP như nhau)
  • Chọn Each hoặc Share với , “Each” là mỗi IP trong dãy đều được sử dụng tối đa băng thông quy định; “Share”  là tất cả IP trong dãy sử dụng tổng băng thông quy định.
  • TX Limit/ RX Limit                    :Điền băng thông giới hạn cho Client VPN Host to LAN
  • Nhấn Add để thêm IP/ dãy trên vào bảng Limitation List
  • Nhấn OK

 

Hãy liên lạc với chúng tôi để được hỗ trợ:

     Văn phòng TPHCM: (028) 3925 3789
     Chi nhánh miền Bắc: (024) 3781 5089
     Chi nhánh miền Trung: (0236) 367 9515

     Hotline Hỗ Trợ Kỹ Thuật: 1900 633 641
     Fanpage Hỗ Trợ Kỹ Thuật: facebook.com/AnPhat
     Kênh youtube Hỗ Trợ Kỹ Thuật: AnPhatITOfficial