Monday, April 6, 2020

Kết nối VPN an toàn từ ngoài văn phòng cho nhóm nhân viên

Giải pháp Kết nối VPN an toàn từ ngoài văn phòng cho nhóm nhân viên

Giả sử, công ty bạn có nhu cầu cho nhóm nhân viên ở bên ngoài, cần truy xuất dữ liệu,sử dụng phần, mềm, in ấn,…ở Văn Phòng, Chi nhánh. Đồng thời để đảm bảo tính bảo mật và dễ sử dụng, Công ty có thể cấp cho nhóm nhân viên một router DrayTek (Ví dụ Vigor2133n/ Vigor2912n) để thực hiện VPN, kết nối về văn phòng sử dụng.



DrayOS - Hướng dẫn kết hợp Vigor2912 giúp truy cập mạng nội bộ từ xa qua SSL VPN Tunnel


Giải pháp có thể chia thành các bước như sau:


  • VPN giữa 2 site văn phòng và chi nhánh/ Kho (trong bài này hướng dẫn VPN theo giao thức SSL VPN).
  • Kết hợp tính năng bảo mật như:

          o Đổi password, port login đăng nhập Vigor
          o Bind IP to MAC: chỉ cho một vài thiết bị nhân viên cụ thể sử dụng
​          o Tăng cường bảo mật bằng cách kiểm soát kết nối VPN

Lợi ích:


  • IT không cần phải cấp account VPN cho từng người.
  • Thông tin VPN không bị lộ vì đã cấu hình sẳn trên DrayTek mang đi
  • Nhân viên không cần phải cấu hình VPN trên thiết bị
  • Bảo mật cao, dễ sử dụng Mô hình


Thực hiện ... :D
A. Cấu hình VPN site to site trên giữa văn phòng và Router cấp cho nhân viên
1. Site Văn Phòng (Dial- In)
  • Vào SSL >> General Setup, Port đổi thành port khác (ví dụ 4434) 

  •  Vào VPN and Remote Access>> LAN to LAN , nhấn index tạo profile VPN
    o Tại Commont Settings
      + Check Enable this Profile
      + Profile Name                        :Đặt tên Profile
      + Call Direction                      :Chọn Dial- IN
    o Tại Dial- In Settings
      + Allow Type VPN                   :Chọn SSL VPN
      + Username                             :Điền Username cho phép VPN site to Site
      + Password                             :Điền Password xác thục VPN Site to Site
    o
    Tại TCP/IP Network Settings
      +  Local Network                     :Điền lớp mạng nội bộ (192.168.111.1/24)
      +  Remote Network                :Điền lớp mạng đầu xa (192.168.222.1/24)
    o Nhấn OK

 :D
2. Site chi nhánh/ kho (Dial - Out)

  • Vào WAN >> Internet Access, Access Mode chọn Static or Dynamic IP >> nhấn Details Page


        o Chọn Enable
        o Chọn Obtain an IP Address Automatically (thiết bị sẽ tự động nhận DHCP từ router cấp internet)
        o Nhấn OK


  • Vào LAN>> General SetupLAN 1 nhấn Details Page (đổi lớp mạng Router thành lớp mạng ít sử dụng)


  • Network configuration
          IP Address               :Điền IP lớp mạng (ví dụ 192.168.222.1/24) 
  • DHCP Server Configuration 
        Start IP Address                 :Điền IP bắt đầu cấp (ví dụ 192.168.222.10) 
        IP Pool count                      :Điền số  lượng IP sẽ cấp 
        Gateway IP Addres            :Điền IP router (ví dụ 192.168.222.1) 
  • DNS Server IP Address    :Điền DNS sẽ cấp cho mạng nội bộ (ví dụ DNS Google 8.8.8.8/ 8.8.4.4) 
  • Nhấn OK  


:D
  • Vào Wireless LAN >> General Setupcấu hinh tên Wi-FiCheck Enable Wireless LAN  đặt tên Wi-Fi tại SSID1nhấn OK 


  • Vào Wirless LAN >> Securitychọn SSID1chọn chế độ  hóa WPA/PSK tại mode điền  mật khẩu tại Pre-Shared Key (PSK) >> nhấn OK 

:D

  • Vào VPN and Remote Access>> LAN to LAN , nhấn index tạo profile VPN
    - Tại Common Settings 
       + Profile Name                                    :Đặt tên Profile 
       + Check Enable this Profile 
       + Call Direction                                  :Chọn Dial- Out 
       + Check Always all  
    Tại Dial- Out  Setting
       + Type of Server I am Calling         : chọn SSL VPN 
       + Server IP/Host Name for VPN.    :Điền IP WAN hoặc Tên miền Router Văn phòng 
       + Server Port (for SSL Tunnel)      :Điền port SSL VPN đã đổi (4434) 
       + Username                                     :Điền Username VPN site to Site 
       + Password                                     :Điền Password xác thục VPN Site to Site 
    - Tại TCP/IP Network Setting 
       + Remote Network IP            :Điền lớp mạng đầu xa (192.168.111.1/24) 
       + Local Network IP                :Điền lớp mạng nội bộ (192.168.111.1/24) 
    - Nhấn OK  

  • Kiểm tra kết nối VPN 

 :D
B. Kết hợp tính năng bảo mật trên thiết bị client   
1. Đổi mật khẩu thiết bị   
Vào System Maintenance >> Administrator Password   
  • Old Password         :điền password cũ 
  • New Password/ Confirm Password      :Điền password mới 
  • Nhấn OK 
2. Sử dụng tính năng Bind IP to MAC để quản lý thiết bị kết nối
- Vào LAN >> Bind IP to MAC 
   + Chọn Enable 
   + Chọn Stricbind (chỉ có những thiết bị có trong danh sách IP bind list mới được kết nối) 
   + Apply Strict Bind to Subnet, nhấn Edit>> chọn LAN1  
   + Add/ Update to IP Bind List ( thêm tất cả các thiết bị cho phép kết nối  vào, kể cả máy đang cấu hình)
          * IP Address               :Điền IP muốn cấp 
          *  MAC Address          :Điền MAC thiết bị 
          * Comment                  :Đặt tên thiết bị  
          * Nhấn Add 
          * Thực hiện tương tự để thêm tất cả các thiết bị cho phép kết nối  vào 

   + Nhấn OK 
   

Chúc các bạn thành công !




SHARE THIS

Author:

Chia sẻ đam mê, kết nối thành công.

0 comments: