​(Áp dụng cho các model DrayTek Vigor2912 / 2133n / 2925 / 2926 / 2952 / 3220 / 3910 sử dụng HĐH DrayOS)

Ngày nay với công nghệ VPN, các doanh nghiệp đã có thể kết nối giữa các chi nhánh với nhau 1 cách an toàn và chi phí rẻ nhất mà không cần phải thuê Lease Line, tuy nhiên việc cấu hình trên trên các router vẫn còn tương đối phức tạp đòi hỏi người quản trị phải có 1 trình độ nhất định và được đào tạo chuyên nghiệp. Nắm bắt được điều đó, DrayTek đã phát triển Router VPN Vigor series: dễ cấu hình, dễ sử dụng, an toàn, bảo mật và hiệu năng cao. Bài viết này sẽ giúp bạn thiết lập 1 kênh VPN giữa 2 chi nhánh 1 cách nhanh chóng và đơn giản nhất. Bài hướng dẫn này có thể áp dụng cho hầu hết các dòng Router Vigor hiện tại.

Mô hình kết nối

 

Chuẩn bị

  • Trên Pfsense: cần IP public để VPN hoạt động ổn định.Nếu bạn không thuê ip tĩnh, đừng lo, bạn vẫn có thể dùng tên miền động (DDNS)
  • Trên DrayTek: cần IP public để VPN hoạt động ổn định. Nếu bạn không thuê ip tĩnh, đừng lo, bạn vẫn có thể dùng tên miền động được cấp miễn phí cho mỗi thiết bị Draytek. Đăng ký và sử dụng dịch vụ tên miền động DrayDDNShttps://www.anphat.vn/quan-ly-thiet-bi-system-maintenance/huong-dan-kich-hoat-va-su-dung-drayddns
  • Địa chỉ mạng nội bộ ở 2 chi nhánh khác lớp mạng với nhau: Công nghệ VPN đòi hỏi địa chỉ ip ở 2 site không được trùng nhau, bài viết này Pfsense dùng lớp mạng 192.168.30.1/24Draytek lớp mạng 192.168.10.1/24 như sơ đồ

A. Trên Pfsense

Tạo Profile IPSec VPN

Bước 1: Tạo Phase 1 kênh VPN

Vào VPN >> IPSec

  • Nhấn Add P1 để tạo kênh VPN mới

  • Description: đặt tên profile

  • Key Exchange version: chọn IKEv1
  • Internet Protocol: chọn IPv4
  • Interface: chọn WAN
  • Remote gateway: điền tên miền router Draytek đầu xa hoặc IP tĩnh (nếu có)

  • Negotiation mode: chọn Main
  • Pre-Shared Key: điền key VPN
  • Encryption Algorithm: chọn chế độ mã hóa Phrase 1 (ví dụ 3DES- SHA256- Group 14)
  • Kéo xuống cuối, nhấn Save để lưu profile

Bước 2: cấu hình Phase 2 kênh VPN

Chọn Profile phase 1 đã cấu hình ở bước 1>> nhấn “Show phase 2 Entries (1)

  • Nhấn biểu tượng “Edit” để chỉnh thông tin Phase 2. Nếu chưa có >> nhấn Add P2

  • Đặt tên phase 2 như mong muốn hoặc để mặc định

  • Local Network: chọn LAN Subnet
  • Remote Network: điền lớp mạng đầu DrayTek (ví dụ 192.168.10.1/24)

  • Encryption Algorithms: chọn chế độ mã hóa Phase 2 (ví dụ 3DES- SHA256- Group chọn off)
  • Kéo xuống cuối nhấn Apply

  • Kiểm tra lại lần nữa thông số cấu hình kênh VPN

2. Tạo rule cho phép truy cập dịch vụ qua IPSec VPN

Vào Firewall >> Rule >> IPSec, nhấn “Add” để tạo rule

  • Action: chọn Pass
  • Interface: chọn IPSec
  • Address Family: chọn IPv4
  • Protocol: chọn Any

  • Source: Chọn Any cho phép tất cả lớp mạng truy cập VPN (hoặc Chọn Network và điền lớp mạng nội bộ được phép truy cập)
  • Destination: chọn Any cho phép truy cập tất cả lớp mạng VPN (hoặc Chọn Network và điền lớp mạng được phép truy cập)
  • Nhấn Save để lưu cấu hình

B. Trên DrayTek  (Dial-out)

1. Kích hoạt dịch vụ VPN

Vào VPN and Remote Access >> Remote Access Control, chọn Enable IPSEC VPN Service >> Nhấn OK, reboot khi có yêu cầu.

2. Tạo profile VPN

Vào VPN and Remote Access >> LAN to LAN nhấn Index 1

Tại Commont Settings

  • Check Enable this Profile
  • Profile Name: Đặt tên Profile
  • Call Direction: Chọn Dial- Out
  • Always on: check Enable

Tại Dial- Out  Setting

  • Type of Server I am Calling: chọn Ipsec Tunnel – IKEv1
  • Server IP/Host Name for VPN: Điền Tên miền Router Pfsense hoặc IP tĩnh (nếu có)
  • Mode: chọn Main mode
  • IKE- Presharekey: Điền Passwork IPsec VPN
  • Chọn thông số Phase 1 và phase 2 tương ứng như đã cấu hình trên Pfsense (ví dụ Phase 1: 3DES- SHA256-G14/ Phase 2: ESP - 3DES- SHA256)

Tại TCP/IP Network Settings

  • Local Network: Điền lớp mạng đầu xa (192.168.10.1/24)
  • Remote Network: Điền lớp mạng nội bộ (192.168.30.1/24)
  • Click OK

C. Kiểm tra kết nối

  • Trên Pfsense, Vào Status >> IPSec, kiểm tra kênh VPN đang online

  • Trên DrayTek, Vào VPN and Remote Access Control>> Connection Management, kiểm tra kênh VPN đang online