Mạng riêng ảo VPN là gì?
VPN là viết tắt của từ Virtual Private Network hay còn được gọi với cái tên là mạng riêng ảo, VPN là một mạng bao gồm các máy tính được kết nối với nhau ngay cả khi chúng nằm ở những vị trí địa lí cách xa nhau, hoặc khi chúng sử dụng các phương pháp kết nối mạng khác nhau.
Tại các cơ quan chính phủ, các doanh nghiệp lớn và các cơ sở giáo dục thường sử dụng công nghệ VPN để cho phép người dùng từ xa có thể kết nối an toàn đến mạng riêng của cơ quan mình.
Để có thể truy cập vào một hệ thống VPN, thì cần có một tài khoản được xác thực (phải có username và password từ hệ thống VPN).
VPN dùng để làm gì?
VPN thường được dùng để giúp các thiết bị ở xa truy cập vào một mạng riêng nào đó (ví dụ, mạng LAN nội bộ của công ty) thông qua kết nối Internet công cộng. Một khi đã truy cập thành công thì máy đó cũng trở thành một phần của LAN y như khi bạn đang ở công ty. Và bởi vì phải dùng kết nối công cộng nên VPN tạo ra các "đường ống" (tunneling) kết hợp với cơ chế mã hóa để truyền tải dữ liệu giữa thiết bị ở xa với mạng riêng nhằm đảm bảo an toàn. Các gói dữ liệu đi trong đường ống này sẽ không bị xem trộm bởi những tác nhân xấu bên ngoài.
Giúp truy cập vào hệ thống mạng doanh nghiệp khi ở xa:
Ở trường hợp này, VPN thường được sử dụng bởi những doanh nhân thường làm việc ở xa doanh nghiệp. Họ có thể truy cập vào hệ thống mạng của doanh nghiệp mình, từ đó họ làm việc hoặc truy cập, thao tác các dữ liệu của công ty khi họ đang đi công tác xa, đi trên đường hoặc đang đi du lịch,... Nhờ đó các nguồn thông tin dữ liệu trong hệ thống VPN của doanh nghiệp không tiếp xúc trực tiếp với Internet, vì vậy làm tăng thêm tính bảo mật cho thông tin của doanh nghiệp.
Giúp truy cập mạng gia đình, dù khi không ở nhà:
Bạn cũng có thể thiết lập một hệ thống VPN riêng cho mạng Internet ở nhà để truy cập khi không có ở nhà. Ở trường hợp này VPN giúp bạn có thể truy cập từ xa thông qua Internet hoặc sử dụng các tập tin được chia sẻ trong mạng nội bộ.
Duyệt web ẩn danh:
Khi duyệt web với VPN, thiết bị mà bạn dùng để truy cập một trang web nào đó thông qua kết nối VPN được mã hóa. Mọi thông tin dữ liệu, yêu cầu hoặc trao đổi giữa bạn và website sẽ được truyền tải trong một kết nối an toàn. Nếu bạn đang sử dụng mạng Wifi công cộng và đang truy cập vào những trang web không phải dạng https thì tính an toàn của dữ liệu khi trao đổi trong mạng sẽ dễ bị lộ. Vì vậy, nếu muốn ẩn những hoạt động khi duyệt web của mình để các thông tin dữ liệu được bảo mật hơn thì bạn nên kết nối VPN khi sử dụng. Khi đó, mọi thông tin truyền tải qua mạng khi đó sẽ được mã hóa và bảo mật an toàn.
Truy cập tới những website bị chặn vì giới hạn địa lý:
Bạn cũng có thể sử dụng Internet giống như đang ở vị trí của VPN, điều này mang lại một số lợi ích khi truy cập và sử dụng kết nối Wifi công cộng hoặc truy cập một trang web bị chặn và bị giới hạn địa lý. VPN giúp bạn vượt qua được tường lửa hoặc truy cập vào một website mà website đó chặn lượt truy cập tới từ một số quốc gia mà họ đã định sẵn. Ví dụ như bạn sử dụng VPN tại Mĩ để truy cập vào trang web xem phim như Netflix, thì Netflix sẽ thấy kết nối của bạn đến từ Mĩ.
Tải tập tin:
Khi bạn tải một file torrent nào đó trên VPN thì sẽ giúp tăng tốc độ tải file.
Thiết lập VPN
Để sử dụng VPN thì ta có nhiều cách khác nhau, dưới đây là hướng dẫn thiết lập VPN trên router Vigor 2912:
1. Mô hình kết nối
2. Tạo tài khoản VPN
Phần hướng dẫn này sẽ giúp bạn tạo 1 tài khoản để người khác ở ngoài internet có thể kết nối VPN về router và khai thác dữ liệu trong mạng để có thể làm việc từ xa. Ứng dụng cho nhân viên, sếp đi ra ngoài muốn connect về công ty để lấy tài liệu, xem camera v.v…
Sau khi thiết lập kênh VPN thành công thì lúc đó bạn hoàn toàn làm những việc như là : lấy file share, xem camera, in bằng máy in của công ty, xem báo cáo v.v… như là bạn đang ở văn phòng của mình vậy.
3. Chuẩn bị
\Máy tính, laptop, PDA của client phải có kết nối internet ,wifi, 3G, adsl v.v…• Router đặt tại văn phòng chính phải có ip public, nên có ip tĩnh. Nếu không có ip tĩnh có thể dùng tên miền động (dynamic DNS, No-IP).
Địa chỉ ip lớp mạng tại văn phòng nên đặt 1 lớp mạng lạ 1 chút để tránh bị trùng, nếu bị trùng sẽ không tạo kênh VPN được, các địa chỉ sau không nên đặt vì được sử dụng quá phổ biến: 192.168.1.0/24, 192.168.0.0/24, 10.0.0.0/24
VPN Host to Site
VPN Host to Site, VPN Client to Site, VPN Host to LAN, Remote Access VPN là những tên gọi khác nhau nhưng đều chung một ý nghĩa hỗ trợ kết nối VPN từ xa. Trên Vigor thường được biết đến với tên gọi VPN Host to LAN và hỗ trợ những giao thức sau: SSL VPN, IPSec (IKEv1), L2TP over IPSec, PPTP. Mỗi giao thức đi cùng với các phương thức xác thực, mã hóa dữ liệu khác nhau mang đến giải pháp riêng phù hợp cho từng trường hợp. Các phương thức xác thực mã hóa này thường tỉ lệ nghịch với tốc độ truyền dữ liệu qua kênh VPN. Dựa vào bảng công bố dưới đây của Draytek cho Vigor 2912,2925 cũng như hiệu năng của router, nhu cầu sử dụng, giao thức VPN mà các OS hỗ trợ để đưa ra lựa chọn tối ưu nhất.
SSL VPN
Mở dịch vụ SSL VPN
- Vào VPN and Remote Access >> Remote Access Control Setup
- Check “Enable SSL VPN Service”
- Nhấn OK
Tạo tài khoản VPN
Vào VPN and Remote Access >> Remote Dial-in User, chọn Index 1
- Check “Enable this account”
- Idle Timeout: kênh VPN sẽ ngắt kết nối nếu không có lưu lượng trong 300s.
- Check “SSL Tunnel”
- Username : tên tài khoản truy cập VPN
- Password : mật khẩu tài khoản truy cập
- VPNSubnet : chọn dải mạng cấp IP động cho host
- Check “Assign Static IP Address” : gán IP tĩnh cho host
- Nhấn OK
* Lưu ý:
Dải IP LAN tại VPN Server nên đặt dải mạng không phổ biến để tránh bị trùng với dải IP LAN phía host, nếu bị trùng sẽ không tạo kênh VPN được.
Vào VPN and Remote Access >> PPP General Setup
- IP Address Assignment for Dial-In Users: IP bắt đầu cấp cho host nếu
- DHCP tắt trên Vigor
- Check “Remote Dial-in User” : sử dụng dữ liệu trong Remote Dial-in User
- Nhấn OK
Lựa chọn WAN và port SSL VPN
Vào SSL VPN >> General Setup
- Bind to WAN : WAN dùng cho kết nối SSL VPN
- Port : port dùng cho kết nối SSL VPN
- Nhấn OK
Cài đặt SSL VPN trên host
CÀI ĐẶT TRÊN WINDOWS
- Bước 1: Cài đặt phần mềm Smart VPN Client https://www.draytek.com/products/smart-vpn-client/
- Bước 2: Vào Profiles >> Add
- Profiles Name : Đặt tên cho cấu hình VPN
- Type : chọn SSL VPN Tunnel
- IP or Hostname: IP WAN hoặc tên miền VPN Server
- Authentication Type: chọn Username and Password
- Username: tên tài khoản truy cập VPN
- Password: mật khẩu tài khoản truy cập VPN
- Remember My Credentials: lưu thông tin tài khoản SSL VPN
- Use default gateway on remote network: cho phép sử dụng internet qua gateway của VPN Server
Bước 3: Vào Connection >> Connect để kết nối SSL VPN
CÀI ĐẶT TRÊN IOS
- Bước 1: Cài đặt phần mềm Smart VPN trên iOS
- Bước 2: Tab Home >> chọn + : thêm cấu hình VPN
-
- Bước 3: Tab Setting >> Verify Level : chọn basic
- Bước 4: Tab Home >> Kết nối SSL VPN với cấu hình vừa tạo
CÀI ĐẶT TRÊN ANDROID
- Bước 1: Cài đặt phần mềm Smart VPN trên Android
- Bước 2: Trong màn hình chính chọn + : thêm cấu hình VPN
- Bước 3: Trong màn hình chính >> Kết nối SSL VPN với cấu hình vừa tạo
KẾT QUẢ
Trên vigor hiển thị thông tin kết nối SSL VPN thành công
Trên PC kết nối SSL VPN sẽ lựa chọn defaul route có metric bé hơn để kết nối internet qua gateway phía VPN Server.
IPSec VPN
Mở dịch vụ IPSec VPN
- Vào VPN and Remote Access >> Remote Access Control Setup
- Check “Enable IPSec VPN Service”
- Nhấn OK
Tạo Pre-Share Key
- Vào VPN and Remote Access >> IPsec General Setup
- Pre-Share Key: mã khóa dùng để xác thực kênh IPSec
- Confirm Pre-Shared Key: nhập lại mã khóa
- Nhấn OK
Tạo tài khoản VPN
- Vào VPN and Remote Access >> Remote Dial-in User, chọn Index 1
- Check “Enable this account”
- Idle Timeout: kênh VPN sẽ ngắt kết nối nếu không có lưu lượng trong 300s.Check “IPsec Tunnel”
- Subnet : chọn dải mạng cấp IP động cho host
- Check “Assign Static IP Address” : gán IP tĩnh cho host
- Nhấn OK
Cài đặt IPSec VPN trên hostcc
CÀI ĐẶT TRÊN WINDOWS
- Bước 1: Cài đặt phần mềm Smart VPN Client trên Windows
- Bước 2: Vào Profiles >> Add
- Profiles Name : Đặt tên cho cấu hình VPN.
- Type : chọn IPSec Tunnel.
- IP or Hostname: IP WAN hoặc tên miền VPN Server.
- IP Propertys: check “Standard IPSec Tunnel
- Remote Subnet: địa chỉ mạng LAN của VPN Server.
- Remote Subnet Mark: Subnet Mark mạng LAN của VPN Server.
- Advanced Options: check “Pre-Shared Key” nhập mã khóa xác thực kênh IPSec.
- Nhấn OK
- Bước 3: Vào Connection >> Connect để kết nối IPSec VPN
CÀI ĐẶT TRÊN IOS
- Bước 1: Vào Cài Đặt VPN trên iOS
- Bước 2: Thêm Cấu hình VPN
- Bước 3: Kết nối IPSec IKEv2 với cấu hình vừa tạo
KẾT QUẢ
Trên vigor hiển thị thông tin kết nối IPSec VPN thành công.
PC đã truy cập được mạng nội bộ phía VPN Server
L2TP over IPSec
Mở dịch vụ L2TP over IPSEC
- Vào VPN and Remote Access >> Remote Access Control Setup
- Check “Enable IPSec VPN Service”
- Check “Enable L2TP VPN Service”
- Nhấn OK
Tạo Pre-Share Key
- Vào VPN and Remote Access >> IPsec General Setup
- Pre-Share Key: mã khóa dùng để xác thực kênh IPSec
- Confirm Pre-Shared Key: nhập lại mã khóa
- Nhấn OK
Tạo tài khoản VPN
- Vào VPN and Remote Access >> Remote Dial-in User, chọn Index 1
- Check “Enable this account”Idle Timeout: kênh VPN sẽ ngắt kết nối nếu không có lưu lượng trong 300s
- Check “L2TP with IPsec Policy Must”
- Username : tên tài khoản truy cập VPN
- Password : mật khẩu tài khoản truy cập VPN
- Subnet : chọn dải mạng cấp IP động cho host
- Check “Assign Static IP Address” : gán IP tĩnh cho host
- Nhấn OK
Cài đặt L2TP over IPSec trên host
CÀI ĐẶT TRÊN WINDOWS
- Bước 1: Cài đặt phần mềm Smart VPN Client
- Bước 2: Vào Profiles >> Add
- Profiles Name : Đặt tên cho cấu hình VPN
- Type : chọn L2TP over IPSec
- IP or Hostname: IP WAN hoặc tên miền VPN Server
- Authentication Type: chọn Username and Password
- Username: tên tài khoản truy cập VPN
- Password: mật khẩu tài khoản truy cập VPN
- Pre-share Key: nhập mã khóa xác thực kênh IPSec
- Nhấn OK
- Bước 3: Vào Connection >> Connect để kết nối L2TP over IPSec
CÀI ĐẶT TRÊN IOS
- Bước 1: Vào Cài Đặt VPN trên IOS
- Bước 2: Thêm Cấu hình VPN
- Bước 3: Kết nối L2TP VPN với cấu hình vừa tạo
CÀI ĐẶT TRÊN ANDROID
- Bước 1: Vào Cài Đặt VPN trên Android
- Bước 2: Thêm Cấu hình VPN
- Bước 3: Kết nối L2TP VPN với cấu hình vừa tạo
KẾT QUẢ
Trên vigor hiển thị thông tin kết nối L2TP over IPSec thành công.
PPTP
Mở dịch vụ PPTP
- Vào VPN and Remote Access >> Remote Access Control Setup
- Check “Enable PPTP VPN Service”
- Nhấn OK
Tạo tài khoản VPN
- Vào VPN and Remote Access >> Remote Dial-in User, chọn Index 1
- Check “Enable this account”Idle Timeout: kênh VPN sẽ ngắt kết nối nếu không có lưu lượng trong 300s.
- Check “PPTP”
- Username : tên tài khoản truy cập VPN
- Password : mật khẩu tài khoản truy cập VPN
- Subnet : chọn dải mạng cấp IP động cho host
- Check “Assign Static IP Address” : gán IP tĩnh cho host
- Nhấn OK
Cài đặt PPTP trên host
CÀI ĐẶT TRÊN WINDOWS
- Bước 1: Cài đặt phần mềm Smart VPN Client trên Windows
- Bước 2: Vào Profiles >> Add
- Profiles Name : Đặt tên cho cấu hình VPN
- Type : chọn PPTP
- IP or Hostname: IP WAN hoặc tên miền VPN Server
- Authentication Type: chọn Username and Password
- Username: tên tài khoản truy cập VPN
- Password: mật khẩu tài khoản truy cập VPN
- Nhấn OK
- Bước 3: Vào Connection >> Connect để kết nối PPTP
CÀI ĐẶT TRÊN ANDROID
- Bước 1: Vào Cài Đặt VPN trên Android
- Bước 2: Thêm Cấu hình VPN
- Bước 3: Kết nối PPTP VPN với cấu hình vừa tạo
KẾT QUẢ
Trên vigor hiển thị thông tin kết nối PPTP thành công.
Giới thiệu mOTP
mOTP (Mobile One Time Password) mật khẩu sử dụng một lần có thể sử dụng để tạo mật khẩu xác thực tài khoản trong VPN.
Cài đặt mOTP trên điện thoại
Bước 1: Tìm kiếm và cài đặt phần mềm mOTP trên điện thoại
- Bước 2: Vào phần mềm DroidOTP tạo một profile mới
- Bước 3: Tạo mã khóa bí mật.
- Bước 4: Điền mã pin và tạo OTP tồn tại trong 30s
Cài đặt mOTP trên Vigor
Vào VPN and Remote Access >> Remote Dial-in User, chọn Index 1
- Check “Enable Mobile One-Time Passwords(mOTP)”
- Check “PIN Code” : mã PIN điền trên phần mềm DroidOTP
- Check “Secret” : mã khóa bí mật trên phần mềm DroidOTP
- Nhấn OK
.jpg)
Việc tạo mOTP dựa theo thời gian thực nên cần đồng nhất ngày giờ giữa VPN Server và VPN client.
Chúc các bạn cài đặt thành công !
Xem thêm
Trong trường hợp gặp khó khăn, các bạn có thể liên lạc đến phòng kỹ thuật DNTECH, chúng tôi đã có kinh nghiệm gần 10 năm về cung cấp thiết bị, cài đặt một mạng LAN ảo chất lượng cao, đáp ứng đúng yêu cầu kỹ thuật và sử dụng của Quí khách hàng.
