Trong bài viết này mình sẽ hướng dẫn mọi người cấu hình VPN đến 1 site bất kì và cho phép traffic đi qua VPN đó.
Tại sao có bài viết này?
– Cách đây rất lâu, KTV bên mình có nhận được 1 case từ khách hàng, khách hàng có vẻ rất cuống cuồng vì sự cố xảy ra tại dự án của khách hàng.
– Khách hàng triển khai Wifi Marketing với qui mô rất lớn tại các KTX trong nước. Hôm đó, tập điểm chính của nhà mạng Viettel tại khu vực đó gặp sự cố khiến toàn bộ đường tuyền không hoạt động được.
– Hệ thống khách hàng vẫn chạy với các đường truyền dự phòng của nhà mạng VNPT. Tuy nhiên với lượng sinh viên rất lớn nên lượng băng thông không đáp ứng được.
– Khách hàng báo còn rất nhiều dự án nằm rải rác ở khắp nơi. Từ chi tiết này KTV đã hướng dẫn KH VPN từ dự án đang gặp sự cố về 1 dự án khác để đảm bảo băng thông cho sinh viên tại KTX.
– Khi cấu hình thành công thì đường VPN giống như 1 đường truyền Internet bình thường và có thể cân bằng tải traffic đi qua nó.
Và bài lab bên dưới đây mình sẽ dựa vào đó để cho phép traffic đi Quốc Tế đi qua đường VPN đó và đi ra Internet nhé!
Bắt đầu nào!
Như cũ, vẫn là Topology Network
Giải thích về Topology Network
– Về phần Router đến Internet thì đơn giản là mô hình DHCP Server và DHCP Client. Internet sẽ là DHCP Server và cấp phát địa chỉ IP cho cả 2 Site(HN và HCM). Cả 2 Site sẽ trỏ Gateway về 192.168.123.2 để có thể truy cập Internet.( Mọi người để ý chổ này, lát nữa mình sẽ kiểm tra đường đi của host đi đúng đường không nhé!)
– Đường chấm đỏ thế hiện kết nối VPN với giao thức PPTP.
– Đường màu tím thể hiện đường đi của host khi truy cậpTrong Nước.
– Đường màu xanh lá thể hiện đường đi của host khi truy cập Quốc Tế.
– Về LAN: mình sẽ tạo 1 bridge và thêm port eth2 vào là xong(áp dụng trên cả 2 Site).
Mọi người cấu hình cơ bản trên 2 Site trước nhé! Tham khảo cấu hình cơ bản tại đây nhé!
1. Cấu hình trên SiteHN
– Cấu hình PPTP Server: Để cấu hình trước tiên mọi người tạo cho mình 1 cái pool hay còn gọi là dãy địa chỉ IP, dãy địa chỉ này sẽ được PPTP Server cấp phát cho PPTP Client sau khi bước xác thực thành công.
– Tiếp theo mình sẽ tạo 1 Profile, Profile này sẽ chỉ định địa chỉ IP hoặc 1 dãy địa chỉ IP nào đó sẽ được gán cho PPTP Server và Client sau khi xác thực thành công. Có nghĩa là khi PPTP Client xác thực thành công thì trên PPTP Server sẽ khởi tạo 1 Interface để có thể giao tiếp với PPTP Client. Và 2 IP ở 2 Interface ở 2 Site sẽ được chỉ định ở 2 thông số Local Address và Remote Address trong Profile này. Mọi người có thể gán tĩnh hoặc có thể dùng pool đã tạo bên trên cho 2 thông số Local Address, Remote Address
– Tiếp theo, tạo tài khoản PPTP để PPTP Client xác thực.
– Và cuối cùng là cho phép PPTP Server chạy.
->Như vậy là xong việc cấu hình ở SiteHN nhé.Quá đơn giản đúng không nào?
2. Cấu hình trên SiteHCM
– Trước tiên, mình cần tạo Interface VPN với giao thức PPTP đến SiteHN. Mọi người tạo Interface PPTP Client như sau:
– Sau khi tạo xong mọi người thực hiện Dial với thông tin user/pass như đã cấu hình bên SiteHN nhé!
– Thông tin tài khoản PPTP: User: pptp, Pass: pptp, Địa chỉ IP WAN SiteHN: 192.168.123.101
– Sau bước này, các thông số hợp lý kết nối sẽ thiết lập thành công. Ở hình bên dưới, Status: Connected sẽ thể hiện việc có kết nối thành công hay không? Kết nối thành công sẽ được như hình trên.
– Tiếp theo, cấu hình NAT cho phép mạng nội bộ truy cập Internet qua PPTP mới kết nối.
– Tiếp theo, tạo chính sách đánh dấu tất cả các kết nối đến Quốc Tế và định tuyến đi qua đường VPN PPTP.
Làm sao để phân biệt traffic Trong Nước(TN) và traffic Quốc Tế(QT)?
– Để phân biệt được chúng ta cần có danh sách các địa chỉ IP Public TN( VietNam)
Như mọi người cũng biết thì khi 1 người nào đó trong mạng nội bộ truy cập ra internet thì trong gói tin gửi đến Router sẽ có thông tin Source IP Address( địa chỉ IP nguồn) và Destination IP Address( địa chỉ IP đích). Router phân biệt traffic TN và QT dựa vào thông tin địa chỉ đích.
– Danh sách địa chỉ IP Public TN lấy ở đâu? Lúc trước mình tìm kiếm với từ khoá “Domestic IP” là ra, nhưng giờ không còn nữa, mọi người có thể truy cập thẳng vào trang của VNNIC để lấy danh sách này nhé! Trang này chắc không xa lạ gì với ae rồi. Ngoài ra mọi người cũng có thể tham khảo hoặc tải file của mình ở cuối bài viết.
Lưu ý: danh sách tải về ở dạng text, chỉ có thông tin IP, chưa thể thêm vào Router Mikrotik, mọi người có thể cơ động dùng Excel hay chỉnh sửa sao đó để có thể thêm vào Mikrotik nhé! Mình hay dùng Excel để chỉnh sửa.
– Sau khi hoàn thành việc chỉnh sửa thì mọi người đổi tên file lại với định dạng: [ten-file].rsc để có thể import trên thiết bị Mikrotik.
– Tiếp theo chúng ta sẽ thêm file này vào Router mikrotik. Trên Router Mikrotik mọi người mở Files, sau đó chọn và giữ chuột ở file mà chúng ta đã chỉnh sửa xong lúc nãy và kéo nó vào trong cửa sổ Files trên Mikrotik và nhả chuột ra là xong.
Sau khi kéo vào thành công chúng ta được như hình dưới.
-Tiếp theo chúng ta cần import tất cả các địa chỉ IP Public nằm trong file này bằng dòng lệnh bên dưới hình, thực tế là nó chạy các dòng lệnh có trong file này để thêm địa chỉ IP Public vào IP->Firewall->Address Lists
– Kiểm tra danh sách địa IP Public TN sau khi thêm vào Address Lists
– Tiếp theo, đánh dấu tất cả kết nối từ mạng nội bộ đến địa chỉ đích, mà địa chỉ đích đó không nằm trong danh sách địa chỉ IP Public TN thì sẽ được đánh dấu kết nối mới với tên là “QT-conn”. Tiếp đến, đánh dấu định tuyến mới cho các kết nối này với tên “QT-route”.Tổng cổng chúng ta có 2 chính sách. Mọi người có thể rút gọn 2 chính sách này bằng 1 chính sách đánh dấu định tuyến luôn cũng được.
Tiếp theo, mọi người chỉ định định tuyến mới đó đi đúng đường của VPN-PPTP là xong.
3. Kiểm tra
– Để kiểm tra mình dùng lệnh tracert, tracert đến các trang TN như: zing.vn, tinhte.vn và vnexpress.net.
-> Từ kết quả bên trên cho chúng ta thấy khi truy cập TN thì host sẽ đi qua Gateway(192.168.22.1) và sau đó đi ra Internet(192.168.123.2)
– Tiếp theo, mình kiểm tra traffic đi QT nhé! Mình tracert đến google.com, fb.com và youtube.com.
-> Từ kết quả ở hình trên cho chúng ta thấy truy cập QT thì host sẽ đi qua Gateway(192.168.22.1) sau đó đi qua VPN( 192.168.12.1) rồi ra Internet(192.168.123.2).