Các thiết bị định tuyến Router Mikrotik và Draytek được các văn phòng, doanh nghiệp, nhà máy lựa chọn sử dụng nhiều vì tính ổn định và chất lượng. Dưới đây Mikrotik Việt nam xin giới thiệu hướng dẫn cách cấu hình kết nối giữa 2 thiết bị Mikrotik và Draytek để kết nối giữa các chi nhánh với nhau, hoặc với trung tâm
1. Kết nối 2 mạng LAN qua 2 Router sử dụng đường hầm GRE.
– Phân tích hệ thống:
Các khách hàng của chúng tôi thường xuyên trao đổi dữ liệu giữa 2 mạng LAN tại mỗi chi nhánh. Với yêu cầu không cần mã hóa dữ liệu cao, chúng tôi cần xây dựng một phương pháp kết nối 2 mạng LAN qua môi trường Internet.
– Phương pháp hiện thực:
Chúng tôi thấy rằng, việc kết nối các mạng LAN sử dụng Tunnel sẽ tuyệt vời nhất, vì thế GRE Tunnel sẽ được chúng tôi xây dựng giữa 2 bên chi nhánh.
Tại sao lại chọn Tunnel và VPN ?
Thực ra, Tunnel là một đường hầm dùng để kết nối các mạng LAN từ xa qua Internet; trong khi đó VPN sử dụng nhiều trong mô hình kết nối thiết bị riêng lẻ từ bên ngoài vào mạng nội bộ có cơ chế bảo vệ mạnh mẽ hơn. Ngày nay, Tunnel đã có cơ chế bảo vệ qua IPSec nên dữ liệu trao đổi qua lại trên đường hầm được bảo mật cao. Router Mikrotik hỗ trợ cả 3 đường hầm khác nhau, bao gồm: EoIP Tunnel, IP Tunnel, GRE Tunnel.
3 bước để thiết lập đường hầm ?
- Khởi tạo kết nối đường hầm tại 2 chi nhánh.
- Gán IP cho điểm đường hầm
- Chỉ đường đi đến các mạng LAN ở 2 chi nhánh.
Sơ đồ đường hầm GRE kết nối.
Tại Router Mikrotik, chúng tôi khởi tạo một kết nối đường hầm về Router Draytek.
Tại Menu Interfaces – GRE Tunnel
Remote Address: Địa chỉ IP WAN của Router Draytek.
Name: Tên đường hầm
! Router Mikrotik không cần mục Local Address, nên chúng tôi không cần nhập.
Bước tiếp theo, chúng tôi gán IP đường hầm cho kết nối “Mikrotik >> Draytek” vừa khởi tạo bên trên, thông qua Menu IP – Address.
Điểm IP đường hầm tại Mikrotik: 172.16.1.1
! Tại Router Draytek, chúng tôi gán IP điểm đường hầm là 172.16.1.2
Cuối cùng, chúng tôi chỉ đường đến mạng LAN phía Draytek (192.168.10.0/24) trên Router Mikrotik, bằng cách qua Menu IP – Routes.
Hoàn tất tại Router Mikrotik.
Tại Router Draytek, chúng tôi di chuyển vào Menu VPN and Remote Access, và chọn thẻ LAN to LAN.
Sau đó, chúng tôi khởi tạo một kết nối từ xa, chẳng hạn chọn mục 1.
Lưu ý !
Với Router Draytek hiện tại, chúng tôi có thể khởi tạo lên tới 32 kết nối tới các mạng LAN khác nhau ở mỗi chi nhánh. Và chúng tôi chọn mục 1 để khởi tạo một kết nối về chi nhánh có Router Mikrotik.
Những thông tin mà chúng tôi sẽ phải có trong mục này.
Chúng tôi tích vào ô Enable this Profiles.
Tunnel Mode: GRE Tunnel
Tại mục 4. GRE Setting:
My GRE IP: IP điểm đường hầm đầu này (IP Đường hầm Draytek).
Peer GRE IP: IP điểm đường hầm đầu kia (IP Đường hầm Mikrotik).
Lưu ý!
Bởi vì việc bảo mật đường hầm qua IPSec trên Router Draytek có đôi chút khác biệt, vì thế chúng tôi sẽ kích hoạt tính năng Enable IPSec Dial-out… cho các mô hình mạng tiếp theo sau.
Tại mục 5. TCP/IP Network Settings:
My WAN IP: Địa chỉ IP WAN của Router Draytek
Remote Gateway IP: Địa chỉ IP WAN của Router Mikrotik
Remote Network: Mạng LAN của Router Mikrotik.
Remote Network Mask: Subnet Mask của mạng LAN trên Router Mikrotik.
Local Network IP: Mạng LAN của Router Draytek.
Local Network Mask: Subnet Mask của mạng LAN trên Router Draytek.
Cuối cùng, chúng tôi xác nhận lại các thông tin vừa nhập trên Router Draytek.
Nhấn OK để lưu lại thông tin.
Kết thúc quá trình cài đặt trên Router Draytek.
Để kiểm tra đường hầm,
Tại Router Mikrotik, chúng tôi theo dõi thông tin tại thẻ GRE Tunnel.
Tại Router Draytek, chúng tôi theo dõi thông tại tại thẻ Connection Management.
2. Kết nối 2 mạng LAN qua 2 Router qua VPN PPTP.
Với yêu cầu không cần mã hóa dữ liệu cao, lần này chúng tôi cần xây dựng một phương pháp kết nối 2 mạng LAN qua môi trường Internet thông qua phương pháp VPN PPTP.
Phương pháp thực hiện:
Do đặc tính của VPN theo phương pháp PPTP, đòi hỏi cần một Router luôn chạy dịch vụ (giống như máy chủ) và các Router khác, thiết bị khác kết nối về (giống như máy khách).
Trong tình huống này,
- Chúng tôi sử dụng Router Draytek máy chủ PPTP.
- Chúng tôi sử dụng Router Mikrotik và các thiết bị khác máy khách.
Tại Router Draytek.
Chúng tôi đi vào Menu VPN & Remote Access > LAN to LAN và chọn mục 1.
Tại Mục Profile Index : 1 và Mục 2. Dial-Out Settings.
Bời Router Draytek đóng vai trò là máy chủ PPTP nên chúng tôi sẽ Chọn Dial-in (lắng nghe kết nối từ bên ngoài Internet). Mục VPN Dial-Out Through: WAN 1 First để sử dụng đường WAN 1 làm đường Internet để lắng nghe các kết nối PPTP từ bên ngoài Internet.
Tại mục 3. Dial-In Settings, chúng tôi bật PPTP và tạo một tài khoản anz/anz
Lưu ý !
Tài khoản anz/anz được sử dụng để kết nối PPTP trên Router Mikrotik.
Kế tiếp, tại Mục 4. GRE Setting và 5. TCP/IP Network Setting
Chúng tôi sẽ chỉ dẫn đường đi tới lớp mạng phía Router Mikrotik tại mục Remote Network IP kèm theo Remote Network Mask.
Các giá trị My WAN IP và Remote Gateway IP chúng tôi để giá trị mặc định
Kết thúc cài đặt trên Router Draytek.
Thận trọng !
Trong Menu VPN and Remote Access > Remote Dial-In User.
Thẻ này được sử dụng khi bạn kết nối các thiết bị đơn lẻ ngoài
mạng Internet vào mạng Draytek, trong khi đó, thẻ LAN to LAN
được sử dụng để kết nối các mạng LAN qua môi trường Internet.
Nghĩa là:
Remote Dial-In User: Sử dụng cho thiết bị đơn lẻ kết nối vào
LAN to LAN: Sử dụng cho mạng LAN từ Internet kết nối vào.
Tại Router Mikrotik.
Chúng tôi vào Menu PPP – Interfaces > Chọn PPTP Client
Sử dụng thông tin:
– User: anz
– Password: anz
– Connect To: 12.13.14.19 – Địa chỉ IP Public Router Draytek.
Kết thúc cài đặt.
Kiểm thử cài đặt.
Chúng tôi sử dụng một máy tính trong mạng LAN Router Mikrotik
và thử gửi lệnh ping để kiểm tra.
3. Kết nối 2 mạng LAN qua 2 Router qua VPN L2TP/IPSec.
Sau khi có sự phức tạp hóa trong quá trình triển khai VPN theo kiểu PPTP trên Draytek, trong tình huống này, chúng tôi sử dụng Router Mikrotik để cài đặt trước tiên.
3 bước để cài đặt L2TP/IPSec.
- Khởi tạo dịch vụ L2TP/IPSec.
- Khởi tạo tài khoản.
- Kiểm tra đường hầm (Nếu bật).
Tại Router MikroTIK
Đầu tiên, chúng tôi mở dịch vụ L2TP trên Router Mikrotik thông qua Menu PPP > Interfaces và chọn mục L2TP Server.
Chìa khóa đường hầm: ahuAsx09A
Bước tiếp theo, chúng tôi khởi tạo dải IP để cấp cho các thiết bị, bằng cách vào Menu PPP > Thẻ Profiles và khởi tạo một nhóm.
Sau đó, chúng tôi vào lại thẻ Secret để tạo một tài khoản L2TP,
Cuối cùng, chúng tôi chỉ dẫn đường đi tới mạng LAN 192.168.10.0/24 trên Router Mikrotik, bằng cách sử dụng Menu IP – Routes.
Kết thúc cài đặt trên Router Mikrotik.
Tại Router Draytek
Chúng tôi chọn vào Menu VPN and Remote Access và chọn thẻ LAN to LAN
Lưu ý !
Thẻ LAN to LAN được sử dụng để kết nối các mạng LAN
Thẻ Remote Dial-In User được sử dụng để kết nối các thiết
bị từ bên ngoài Internet vào Router Draytek. |
Chúng tôi chọn mục 1., chẳng hạn
Tại Mục 1. Common Settings.
Kết nối VPN sẽ đi qua đường WAN 1, tại mục VPN Dial-Out Through: WAN 1 First. Mục Call Direction: Dial-Out
Tại Mục 2. Dial-Out Setting.
Chúng tôi chọn phương thức kết nối VPN về Router Mikrotik bằng L2TP With IPSec Policy.
– Tài khoản sử dụng L2TP: anz / anz
– Chiếc chìa khóa đường hầm: Pre-Shared Key = ahuAsx09A
– Phương thức bảo mật đường hầm: IPSec Security Method
Thận trọng !
Hầu hết các sự cố L2TP hoặc IPSec đều bị lỗi tại mục này:
IPSec Security Method
– Do tính chất đặc thù, mỗi hàng đều có những phương pháp
bảo mật mặc định riêng. Vì thế, nếu để giá trị mặc định giữa
các Router, khả năng lỗi có thể xảy ra.
Một sự so sánh nhỏ của chúng tôi về giá trị mặc định trong IPSec giữa Draytek Router và Mikrotik Router.
Chúng tôi sẽ có một số sự nhất trí trong cài đặt IPSec trên Draytek Router.
Những phương pháp bảo mật IPSec trên Draytek Router được chúng tôi hiện thực trong Mikrotik Router, bằng cách:
Lưu ý !
Chúng tôi cố gắng đồng bộ các phương pháp xác thực & mã hóa trên Router Draytek với Router Mikrotik.
Các thẻ điều chỉnh IPSec trong Mikrotik Router thuộc Menu IP – IPSec.
Kiểm tra.
Mặc định, kết nồi L2TP/IPSec trên Router Draytek sẽ không thể thực hiện tự động. Để thực hiện kết nối này, chúng tôi vào lại Menu VPN & Remote Access > Thẻ Connection Management. Nhấn vào mục Dial để bắt đầu kết nối & nhấn Refresh để xem thông tin trạng thái.
Để duy trì các kết nối này liên tục, chúng tôi có 2 cách.
Cách 1. Hiệu chỉnh thông tin kết nối trên Router Draytek theo mục Always on
Cách 2. Hiệu chỉnh trong Dịch vụ L2TP Server trên Router Mikrotik.