VPN – Virtual Private Network, hay mạng riêng ảo là một mạng riêng kết nối các máy tính của công ty, tổ chức thông qua mạng Internet. Các mô hình kết nối VPN là site to site với nhiều chi nhánh và remote access với nhu cầu VPN đơn giản. Viettelco sau đây giới thiệu cách cấu hình VPN site to site Draytek – Mikrotik đã triển khai thực tế cho khách hàng.
Nhu cầu và mô hình kết nối
Khách hàng của Viettelco có hai chi nhánh ở hai địa điểm khác nhau. Yêu cầu đặt ra là các nhân viên ở hai chi nhánh đều có thể truy cập được vào server nội bộ của nhau để lấy dữ liệu một cách an toàn, tiện lợi nhất.
Mô hình kết nối như sau:
Mô hình kết nối.
Khách hàng sử dụng Internet của VNPT với các router cân bằng tải Mikrotik 1009 và Draytek 2925. Giữa hai dòng router này ta có thể cấu hình VPN site to site sử dụng giao thức IPsec. Sau đây là phần hướng dẫn cấu hình VPN Draytek – Mikrotik.
Cấu hình VPN Draytek – Mikrotik
Cấu hình trên Mikrotik
Từ phần mềm winbox, truy cập vào Mikrotik ta chọn IP → IPsec và chọn tab Policy Proposals sau đó đặt tên và tích chọn như hình:
IPsec Policy Proposal.
Ta tạo profile trong tab Peer Profiles:
Peer Profile.
Sau đó trong tab Peers tích chọn như hình, với Address là IP WAN của site đối diện (Draytek), chọn profile, nhập Secret:
Peer Draytek.
Trong tab Policies tạo mới một Policy như hình, với Src. Address là IP LAN Mikrotik, Dst. Address là IP LAN phía site Draytek:
Ipsec Policy.
Chuyển sang tab Action, tích chọn Tunnel, SA Src. Address là IP WAN Mikrotik, SA Dst. Address là IP WAN Draytek, chọn proposal đã tạo:
Ipsec Policy.
Tiếp theo ta thêm 2 rule srcnat và dstnat trong IP → Firewall → NAT với action là accept mặc định và kéo lên trên rule NAT Internet:
NAT bypass.
Kéo rule lên hai vị trí đầu.
Cấu hình trên Draytek
Ta cấu hình trong mục VPN and Remote Access → LAN to LAN, thêm mới profile với các thông số như hình:
Cấu hình trên router Draytek.
Với phần Remote Network IP là IP ở site đối diện (site Mikrotik), Local Network IP là IP ở site hiện tại (site Draytek).
Kiểm tra phần kết nối trong Draytek thấy hiện xanh là đã thành công (ảnh chụp trong phần lab tại văn phòng Viettelco).
Site Draytek.
Phía Mikrotik, ta kiểm tra ở IP → IPsec, phần Active Peers có trạng thái established (đã thiết lập) là được.
Site Mikrotik với trạng thái đã thiết lập kết nối.