• Test với Vigor2927 firmware 4.2.2
• Một số dòng cũ hơn có thể không xác thực được

Ngoài việc cho phép kết nối VPN từ máy tính client đến router, giữa các router với nhau. Router DrayTek còn cho phép kết nối giữa router DrayTek đến các nhà cung cấp dịch vụ VPN khác như NordVPN, ExpressVPN.

Sau đây chúng tôi xin giới thiệu ứng dụng đơn giản giúp tăng độ bảo mật của hệ thống mạng bằng cách tạo kết nối VPN giữa Router DrayTeK với NordVPN và định tuyến cho cách dịch vụ mong muốn truy cập qua kênh VPN.

Hướng dẫn gồm 2 phần

• Phần A: cấu hình kết nối VPN giữa DrayTek với Nord VPN
• Phần B: định hướng dịch vụ truy cập qua VPN, gồm có một vài trường hợp cụ thể như sau:
  • Trường hợp 1: quy định tất cả các dịch vụ đều qua VPN
  • Trường hợp 2: quy định chỉ một vài đối tượng, dịch vụ, quốc gia đi qua VPN. Các dịch vụ còn lại sẽ sử dụng internet bình thường.

A. cấu hình kết nối VPN giữa DrayTek với Nord VPN

Bước 1:  Đăng kí Account NordVPN trên (dùng thử 3 ngày)

Truy cập web https://free.nordvpn.com/

Bước 2:  Download  file  NordVPN root CA certificate

Truy cập websie https://downloads.nordvpn.com/certificates/root.der để download.

Bước 3: Lấy Domain  NordVPN server

Truy cập website https://nordvpn.com/servers/

• Nhấn Recommended server

Bạn có thể nhận được gợi ý server bằng cách chọn địa đia điểm quốc gia.Trong hình bên dưới, host name server là de241.nordvpn.com 

Bước 4: Đăng nhập vàp router, vào Certificate Management >> Trusted CA Certificate page click “IMPORT”, chọn file “Root CA” để import

• Chờ vài giây để Server tiến hành “Import”

Bước 5. Kiểm tra kích hoạt giao thức VPN, Vào VPN and remote access >> Remote Access Control, check giao thức VPN cần sử dụng  (IPsec)>> nhấn OK. Reboot thiết bị nếu được yêu cầu.

Bước 6: Vào VPN and Remote Access >> IPsec Peer Identity, cấu hình thông tin cho NordVPN server.

Chọn Index trống (ví dụ Index1)

• Check “Enable This Account”
• Profile name đặt tên profile
• Chọn “Accept Any Peer ID”
• Nhấn OK

Bước 7: Vào VPN and Remote Access >> LAN to LAN cấuhình Profile VPN

Chọn Index trống (ví dụ Index1)

7.1 Common Settings

• Profile name, đặt tên profile
• Check “Enable This Profile”
• Call Direction chọn “Dial – Out”
• Check “Always ON”

7.2 Dial-Out Settings

• Type of Server I am calling, chọn  IPsec Tunnel - IKEv2 EAP
• Server IP/Host Name for VPN điền domain VPN server ví dụ: vn9.nordvpn.com
• Username /password điền thông tin VPN của NordVPN
  • ​Để có thông tin này, cần truy cập web https://free.nordvpn.com/  >> Vào NordVPN  >>  Advanced Configuration. Copy Username/ pass sử dụng
  • 
•  IKE Authentication Method >> PeerID chọn profile NordVPN đã tạo ở bước trên
• IPsec Security Method chọn “AES with Authentication”
• Nhấn “Advanced”

• IKE phase 1 proposal Encryption chọn “AES256”
• IKE phase 1 proposal ECDH Group chọn”G14”
• IKE phase 1 proposal Authentication chọn “SHA1”
• IKE phase 2 proposal chọn “AES256_SHA1”
• IKE phase 1 key lifetime điền “28800”
• IKE phase 2 key lifetime điền “3600”
• Nhấn “OK”

7.3: TCP/IP Network Settings

• Remote Network Mask chọn 0.0.0.0/00
• From First subnet to remote network, you have to do :chọn NAT
• Nhấn “OK”

Bước 8: Kiểm tra trạng thái kết nối

• Vào VPN and Remote Access >> Connection Management

• Thực hiện tracert kiểm tra

B. định hướng dịch vụ truy cập qua VPN

B1. Trường hợp 1: quy định tất cả dịch vụ bên trong đều đi qua kênh VPN

Vào Routing>> Route Policy, chọn index1

• Check “Enable”
• Interface chọn VPN và chọn Profile chọn kênh VPN vừa cấu hình
• Check “Failover to” WAN/LAN  chọn “Default WAN”
• Nhấn “OK”

B2. Trường hợp 2: quy định chỉ một vài đối tượng, dịch vụ, quốc gia đi qua VPN. Các dịch vụ còn lại sẽ sử dụng internet bình thường.

Vào Routing >> Load Balance/ Route Policy, chọn Index để tạo rule

Cần tạo 2 rule

Rule 1: cấu hình dịch vụ cần truy cập qua kênh VPN

1. check Enable
2. Comment: đặt tên rule
3. Source: nhấn Edit để chọn đối tượng bên trong (IP/ dãy IP/ lớp mạng) cần định tuyến. Nếu muốn áp dụng cho toàn hệ thống >> chọn Any
4. Destination: nhấn Edit để chọn dịch vụ cần định tuyến (IP/ tên miền / quốc gia).
5. Interface chọn VPN và chọn Profile NordVPN
6. Check “Failover to” WAN/LAN  chọn “Default WAN”
7. Nhấn Priority
8. Kéo Priority của rule về vị ví nhỏ hơn 150 (ví dụ 130)
9. Nhấn OK

Tham khảo hướng dẫn:

• Định tuyến truy cập theo quốc gia: https://www.anphat.vn/can-bang-tai-load-balance-dinh-tuyen-gioi-han-bang-thong/huong-dan-cau-hinh-dinh-tuyen-theo-country-quoc-gia?template=1
• Định hướng truy cập theo tên miền: https://www.anphat.vn/can-bang-tai-load-balance-dinh-tuyen-gioi-han-bang-thong/cau-hinh-dinh-tuyen-can-bang-tai-theo-ten-mien-domain-/-url

Rule 2: cấu hình các dịch vụ còn lại truy cập internet bình thường.

1. check Enable
2. Comment: đặt tên rule
3. Source: chọn Any
4. Destination:chọn Any
5. Interface chọn WAN/LAN và chọn WAN kết nối internet (ví rụ WAN1)
6. Nhấn Priority
7. Kéo Priority của rule về vị ví nhỏ hơn 150 (ví dụ 130). Lưu Ý Priority rule 2 phải bằng Priority Rule 1 để policy được xét đúng
8. Nhấn OK