Cấu hình VPN Site-to-Site trên thiết bị Vigor

  I/Định nghĩa VPN 

      Là một mạng riêng ảo được viết tắt của Virtual Private Network  để kết nối các máy tính lại với nhau thông qua mạng Internet công cộng. Những máy tính tham gia mạng riêng ảo sẽ "nhìn thấy nhau" như trong một mạng nội bộ.

  II/Các loại VPN Draytek Vigor hỗ trợ.
      1. Remote Dial-In User .
             Tương tự kết nối Client to Site (Cisco), kết nối người sử dụng ở bất kỳ đâu (có Internet) về Chi Nhánh/Văn Phòng để có thể sử dụng các dịch vụ trong local Chi Nhánh/ Văn Phòng đó (FTP Server, Mail Server, WEB server…).
       2. LAN to LAN.
             Tương tự Site to Site (Cisco) nhằm kết nối mạng Local ở hai Chi Nhánh/Công Ty với nhau nhằm mục đích chia sẻ tài liệu, tài nguyên giữa hai Chi Nhánh/Công Ty với nhau.
  III/ Cấu hình VPN – LAN to LAN.
      1. Mô hình 2 chi nhánh

Mô hình Site-to-Site

   Chi nhánh A 
            - Rotuer WAN IP: 118.69.74.2 (Server – Dial-In mode)
            - Router LAN IP: 118.69.73.17/29.
            - IP Sec Pre-share key: 12345678
   Chi nhánh B
            - Router WAN IP: 118.69.224.87 (Client – Dial-Out mode).
            - Router LAN IP: 192.168.1.1/24.
            - IP Sec Pre-share key: not required.

Mở IP Sec để có thể kết nối trên hai Chi Nhánh (làm trên cả hai Chi Nhánh)

  

Phần I: Cấu hình LAN-to-LAN Mode Server (Dial-In) trên Chi Nhánh A

Khai báo IP Sec Pre-share Key trên Dial-In Router

Chọn 1 Index để khai báo cấu hình Dial-In Router

Khai báo các thông số trong Common Settings

- Profile Name: Tên hiển thị của kết nối.

- Enable this Profile: Active profile này

- Call Direction: Mode của Router khi tham gia cấu hình LAN-to-LAN

Dial-Out Settings: Bỏ qua vì chúng ta đang cấu hình Dial-In mode

Khai báo các thông số trong Dial-In Settings

§  Allow Dial-In Type: Cho phép giao thức nào có thể kết nối khi sử dụng cấu hình LAN-to-LAN.

§  Usernam/Password: Khai báo khi sử dụng giao thức PPTP hoặc L2TP khi cấu hình LAN-to-LAN.

Khai báo các thông số trong TCP/IP Network Settings

§  Remote Network IP: IP LAN (đầu xa) của Chi Nhánh B.

§  Remote Network Mask: Subnet Mask (đầu xa) của Chi Nhánh B.

§  Local Network IP: IP LAN của Router Chi Nhánh đang cấu hình.

   Local Network Mask: Subnet Mask của Router Chi Nhánh đang cấu hình

Click OK để xác nhận cấu hình và sẽ được két quả như trên 

Phần II: Cấu hình LAN-to-LAN Mode Server (Dial-In) trên Chi Nhánh B

Khai báo IP Sec Pre-share Key trên Dial-In Router

Chọn 1 Index để khai báo cấu hình Dial-Out Router

Khai báo các thông số trong Common Settings

§  Profile Name: Tên hiển thị của kết nối.

§  Enable this profile: Active profile này.

§  Call Direction: Mode của Router khi tham gia cấu hình LAN-to-LAN.

§  VPN Dial-Out Through: Chọn cổng WAN để kết nối Dial-Out tới Router Dial-In.

Khai báo các thông số trong Dial-Out Settings

§  Type off Server I am calling: Chọn giao thức kết nối tới Dial-In Router.

§  Server IP/Host Name for VPN: IP/Domain Dial-In Router.

                     IKE Authentication Method: Phương thức chứng thực giữa Dial-Out Rotuer và Dial-In Router
    Username/Password: Chỉ có tác dụng khi sử dụng giao thức PPTP hoặc L2TP

Khai báo các thông số trong TCP/IP Network Settings

§  Remote Network IP: IP LAN (đầu xa) của Chi Nhánh A.

§  Remote Network Mask: Subnet Mask (đầu xa) của Chi Nhánh A.

§  Local Network IP: IP LAN của Router Chi Nhánh đang cấu hình.

§ Local Network Mask: Subnet Mask của Router Chi Nhánh đang cấu hình 

Kết quả, nếu status là Online thì cấu hình đã đúng trên cả hai Chi Nhánh

  2. Mô hình nhiều chi nhánh

Mô hình kết nối nhiều Chi Nhánh

   Việc cấu hình VPN kết nối giữa A và B, A và C thì chúng ta cấu hình bình thường như mục 4.1, ta được như sau:

B to A

C to A

A to B và A to C

      Nếu đã cấu hình thành công được như thế này thì việc truy cập từ A đến B và C đã thành công, B đến A thành công và C đến A thành công nhưng từ B đến C chưa thành công. Chúng ta phải khai báo đường Route Chi Nhánh còn lại trong mục cấu hình Lan to Lan (cấu hình tại B thì khai báo subnet LAN của C và ngược lại) như sau:

Cấu hình trên Router B

    Với: 192.168.100.1 là IP LAN của Router C, /24 là subnet của IP LAN trên.

    Làm tương tự cho Router C thì chúng ta đã kết nối 3 Chi Nhánh với nhau thành công.

  Test bằng cách đứng tại từng Chi Nhánh ping IP LAN các Chi Nhánh còn lại, nếu reply thì ok, not reply thì kiểm tra lại cấu hình.

   Tương tự cho n Chi Nhánh thì chúng ta chỉ việc add Router Subnet khi muốn các Chi Nhánh con nào muốn truy cập dữ liệu với nhau.

Cấu hình VPN trên thiết bị Vigor Client-to-Server

  I/Định nghĩa VPN 

      Là một mạng riêng ảo được viết tắt của Virtual Private Network  để kết nối các máy tính lại với nhau thông qua mạng Internet công cộng. Những máy tính tham gia mạng riêng ảo sẽ "nhìn thấy nhau" như trong một mạng nội bộ.

  II/Các loại VPN Draytek Vigor hỗ trợ.

1. Remote Dial-In User.

Tương tự kết nối Client to Site (Cisco), kết nối người sử dụng ở bất kỳ đâu (có Internet) về Chi Nhánh/

Văn Phòng để có thể sử dụng các dịch vụ trong local Chi Nhánh/ Văn Phòng đó (FTP Server, Mail Server, WEB server…).

2. LAN to LAN.

Tương tự Site to Site (Cisco) nhằm kết nối mạng Local ở hai Chi Nhánh/Công Ty với nhau nhằm mục đích chia sẻ tài liệu, tài nguyên giữa hai Chi Nhánh/Công Ty với nhau.

   III/  Cấu hình VPN – Remote Dial-In User. 

Mô hình

B1. Bật các dịch vụ VPN trên Vigor 2925.

B2. Chọn Index muốn cấu hình Remote Dial-In User.

B3. Khai báo các thông tin cần thiết:

-          Username/Password.

-          Giao thức kết nối (PPTP, L2TP, SSL…).

-          IP khi kết nối vào (LANx hay Static IP).

B4. Kiểm tra kết quả

Kiểm tra bằng cách thiết lập kết nối VPN trên máy tính, nếu kết nối thành công thì mục Staus sẽ hiển hiển thị màu xanh lá: LAN1-DHCP.
IV/ Cấu hình VPN – LAN to LAN.

Cấu hình Port Forwarding trên vigor 2925 điều khiển máy tính qua internet

Trong quá trình tham gia  đào tạo và làm việc FreeHome nhận thấy  một số kiến thức cơ bản nhưng a/e chưa nắm được, chưa thao tác được hoặc  làm rất tốt nhưng chưa hiểu rõ bản chất. Hôm nay Freehome xin chia sẻ lại phần PortFowarding và cách check port để a/e nắm rõ hơn.

1. Định nghĩa:

Port forwarding là gì? Port Forwarding là quá trình chuyển tiếp một port cụ thể từ mạng này đến mạng khác. Kỹ thuật chuyển tiếp này cho phép người dùng bên ngoài có thể truy cập vào mạng bên trong bằng cách sử dụng port đó từ bên ngoài thông qua bộ định tuyến (đã mở NAT -Network Address Translation).

2. Áp dụng vào trường hợp nào

- Có 1 hệ thống camera ở công ty, chúng ta muốn giám sát camera khi ở nhà hay ở một vị trí bất kì thông qua hệ thống mạng internet.

- Khi chúng ta xây dựng một web server/mailserver/ application server/ game server trong hệ thống mạng nội bộ. Chúng ta muốn tất cả mọi người có thể truy cập được web, chơi được game, sử dụng được mail thông qua hệ thống mạng internet

- Trường hợp bên dưới FreeHome sẽ cấu hình Portfowarding để có thể điều khiển máy tính thông qua mạng internet. (Remote Desktop)

3. Cấu hình Portforwarding trên Vigor 2925:

4. Kiểm tra port đã Open/Close bằng website Ping.eu

5. Kiểm tra Port đã Open/Close bằng website: Canyouseeme.org

6. Lưu ý:

- Website: ping.eu  hỗ trợ chúng ta kiểm tra tình trạng port tại nhiều vị trí (Vd: Ngồi máy tính tại công ty chúng ta có thể kiểm trang tỉnh trạng port tại nhà mình bằng cách gõ chính xác IPWAN và Port WAN đã được cấu hình trên modem.

- Website: Canyouseeme.org hỗ trợ chúng ta kiểm tra tình trạng port tại vị trí modem đang liên kết trực tiếp. (VD:  Ở công ty thì chỉ có thể kiểm tra tình trạng port tại modem của công ty, không thể kiểm tra tình trạng port tại nhà mình)

Chuyển Mode Bridge trên modem G97D2 FPT

Hôm nay  FreeHome xin đưa ra 1 trường hợp rất hữu ích và thường xuyên được áp dụng: Mode Bridge (SFU).

Mode Bridge là gì?
- Khi cấu hình PPPoE trên G93RG1/G97D2 thì nó sẽ có 2 nhiệm vụ chính:
+ Chuyển đổi tín hiệu (Bridge): Chuyển đổi tín hiệu quang sang tín hiệu điện và truyền dẫn qua các cổng LAN
+ Định tuyến/ xử lý gói (Router): Xử lý dữ liệu, gói tin, định tuyến…
--> Lúc này G93RG1/G97D2 thiết bị kết nối, chứng thực, nhận IPWAN trực tiếp từ BRAS

- Khi G93RG1/G97D2 chuyển sang Mode Bridge:
+ G93RG1/G97D2 chỉ có nhiệm vụ duy nhất là chuyển tín hiệu quang sang tín hiệu điện và truyền dẫn tín hiệu trực tiếp qua cổng LAN.
+ Cấu hình PPPoE trên Access Point biến nó thành một router để xử lý, định tuyến đường đi cho gói tin.
--> Lúc này Acess Point là thiết bị kết nối, chứng thực, nhận IPWAN trực tiếp từ BRAS.

Áp dụng khi nào? - Nhu cầu của người dùng vượt quá công suất cho phép (nhà sản xuất) của thiết bị G93RG1/G97D2
- Người dùng có thêm 1 modem tốt hơn, đáp ứng được nhu cầu sử dụng.
- Không có thiết bị G97C1 (ONU).

Làm thế nào để chuyển sang Mode Bridge?
Trên thiết bị G93RG1 thì anh/em thường xuyên thao tác. Hôm nay FreeHome sẽ hướng dẫn cách chuyển G97D2 trở thành thiết bị Bridge. 

Cấu Hình Filter Port trên TPlink khi bị Camera Spam

Tình trạng mạng chậm, chập chờn khi kết nối từ camera vào modem xảy ra trên tất cả nhà mạng FPT, Vietel, VNPT...Nguyên nhân chính là do các loại đầu ghi có xuất xứ không rõ nguồn gốc (có thể là trung quốc) spam port liên tục ra bên ngoài internet làm cho modem tràn session dẫn đến tình trạng treo modem. Giải pháp là các đại lý camera không ngừng tìm kiếm firmware mới cho đầu ghi để vá lỗi, bên cạnh đó các nhà cung cấp dịch vụ mạng cũng đã tìm mọi cách để hạn chế tình trạng spam port từ đầu ghi. Sau đây tôi xin được chia sẻ các bước xử lý và đã được thử nghiệm trên rất nhiều ca vụ thành công.

1. Log in vào modem để kiểm tra port mà đầu ghi spam ra bên ngoài, Nếu modem đang trong tình trạng treo không đăng nhập vào được thì áp dụng 2 port thường gặp 23 & 2323

2. Reboot modem và đầu ghi

3. Thay đổi mật khẩu đăng nhập vào đầu ghi và modem

4. Tắt UpnP trên các thiết bị: modem ...

5. Cấu hình Filter Port theo Video bên dưới

Cấu hình bandwidth Control trên Modem router wifi Tplink

Bandwidth Control là gì? Là một tính năng điều khiển băng thông dựa theo IP/Port/Giao thức. Tính năng này được tích hợp trên các dòng modem/router, mỗi modem/router có cách cấu hình khác nhau.

Tại sao phải cấu hình Bandwidth Control? Để quản lý tài quyên băng thông hiệu quả hơn, hạn chế các trường hợp một hoặc vài máy ngốn hết băng thông của cả hệ thống bằng cách dùng chương trình IDM/Torrent/Cococ… download.

Sử dụng ở mô hình/trường hợp nào? Được áp dụng trong ở các quán café, phòng trọ, nhà nghỉ, khách sạn, internet game, gói cước băng thông thấp.

Hôm nay PTC sẽ sử dụng tính năng Bandwidth Control trên thiết bị Acher C2, áp dụng cho gói cước 32Mbps và quán café  số lượng thiết bị truy cập cùng lúc tối đa là 20 thiết bị. Đa số các thiết bị truy cập lướt web, facebook, zalo, viber, youtube, xem phim online. Bài này PTC chia làm 3 bước:

Bước 1: Định nghĩa các Rules

Bước 2: Thêm các Rules vào danh sách Bandwidth

Bước 2: Cấu hình DHCP