Hướng Dẫn VPN Site-to-Site Với Router DrayTek

Ngày nay, công nghệ VPN đã cho phép các doanh nghiệp kết nối các chi nhánh với nhau một cách an toàn và tiết kiệm chi phí mà không cần phải thuê đường truyền Lease Line. Tuy nhiên, việc cấu hình VPN trên các router vẫn còn phức tạp và đòi hỏi người quản trị phải có kiến thức chuyên sâu. Để giải quyết vấn đề này, DrayTek đã phát triển dòng router Vigor series với tính năng dễ cấu hình, dễ sử dụng, an toàn, bảo mật và hiệu năng cao. Bài viết này sẽ hướng dẫn bạn thiết lập một kênh VPN giữa hai chi nhánh một cách nhanh chóng và đơn giản nhất. Hướng dẫn này áp dụng cho hầu hết các dòng router Vigor hiện tại của DrayTek, ngoại trừ Vigor3300 và các dòng ADSL cũ đã ngừng sản xuất.

Chuẩn Bị

• 01 IP tĩnh: Cần ít nhất một IP tĩnh public để VPN hoạt động ổn định. Nếu bạn không thuê IP tĩnh, bạn vẫn có thể sử dụng tên miền động (DDNS).
• Địa chỉ mạng nội bộ ở 2 chi nhánh: Địa chỉ IP ở hai site phải khác lớp mạng. Ví dụ, lớp mạng 172.16.10.0/24 cho chi nhánh Hà Nội và lớp mạng 192.168.1.0/24 cho chi nhánh HCM

Mô Hình Kết Nối

Cấu Hình

Dial-in

• Chọn thiết bị có IP public tĩnh làm Dial-in: Bài viết này chọn Vigor2910 ở chi nhánh HCM làm Dial-in.
• Cấu hình pre-share key trên thiết bị Dial-in.
• Khai báo địa chỉ mạng nội bộ của chi nhánh dial-out trên router Dial-in.

Dial-out

• Chọn Vigor2110Fn làm Dial-out.
• Khai báo pre-share key.
• Khai báo địa chỉ mạng nội bộ của chi nhánh mà mình sẽ Dial-in.

Cấu Hình Thiết Bị Dial-in

Vào mục VPN and Remote Access > LAN to LAN > Click chọn index 1.

Chọn các mục:

• Profile Name: Đặt tên profile để dễ quản lý.
• Enable: Kích hoạt profile.
• Dial-in: Để báo cho router biết chức năng của nó là Dial-In.

Chuyển xuống mục Dial-in settings: Chọn IPSec Tunnel để thiết lập kênh VPN theo giao thức IPsec.

Phần TCP/IP settings:

• Điền 172.16.10.1 vào khung Remote Network IP (địa chỉ LAN của modem đầu xa).
• Điền 255.255.255.0 vào khung Remote Network Mask.
• Điền 192.168.1.1 vào khung Local Network IP (địa chỉ LAN của modem).
• Click OK để lưu cấu hình.

Khai báo Pre-share key:

• Vào mục VPN and Remote Access > IPSec General Setup.
• Khai báo Pre-share key vào khung Pre-shared Key (ví dụ: 123abcvpn).
• Check các kiểu mã hóa cần thiết.

Cấu Hình Thiết Bị Dial-out

Vào mục VPN and Remote Access > LAN to LAN > Click chọn index 1.

Tick các mục:

• Profile Name: Đặt tên profile để dễ quản lý.
• Enable: Kích hoạt profile.
• Dial-out: Để báo cho router biết chức năng của nó là Dial-out.
• Always on: Để router tự động kết nối lại nếu bị mất kết nối VPN.

Chuyển xuống mục Dial-out settings:

• Chọn IPSec Tunnel để thiết lập kênh VPN theo giao thức IPsec.
• Điền địa chỉ IP public của HCM và Pre-share Key (123abcvpn).
• Chọn kiểu mã hóa High, 3DES with authentication.

Phần TCP/IP settings:

• Điền 192.168.1.0 vào khung Remote Network IP (địa chỉ LAN của modem đầu xa).
• Điền 255.255.255.0 vào khung Remote Network Mask.
• Điền 172.16.10.1 vào khung Local Network IP (địa chỉ LAN của modem).
• Click OK để lưu cấu hình

Kiểm Tra Trạng Thái Kết Nối

Vào mục VPN and Remote Access > Connection Management.

• Khi thấy kết nối đã thành công, tiến hành ping thử bằng IP nội bộ. Dùng một PC ở Vigor2910 ping đến IP LAN của Vigor2110F ở đầu xa.

Vào mục VPN and Remote Access > Connection Management.

• Khi thấy kết nối đã thành công, tiến hành ping ngược lại từ PC ở Vigor2110F đến IP LAN của Vigor2910 ở đầu xa.