Chưa được phân loại, IgniteNet, Khuyến Mại, Tin Tức

Hướng dẫn cấu hình Mikrotik LAN to LAN

Posted on by maytinhlion
30
Th9

Giải pháp nối mạng LAN giữa các chi nhánh – văn phòng

VPN cho phép các máy tính ở vị trí địa lý khác nhau có thể kết nối, chia sẻ dữ liệu như trong mạng LAN nội bộ. Các gói dữ liệu truyền qua môi trường Internet được mã hóa nhằm đảm bảo an toàn cũng như bảo mật thông tin.

Kết nối VPN

Về cơ bản có 2 cách thức kết nối VPN:

– Truy cập từ xa Remote Dial-in User: ứng dụng cho nhân viên làm việc từ xa, đi công tác cần truy cập, truyền tải dữ liệu về văn phòng, trụ sở

– Kết nối LAN to LAN: doanh nghiệp có chuỗi cửa hàng, chi nhánh, văn phòng cần trao đổi dữ liệu liên tục, ổn định về trụ sở chính hoặc giữa các văn phòng với nhau

Kết nối VPN phù hợp cho nhân viên làm việc từ xa, chi nhánh, văn phòng truyền tải dữ liệu liên tục, ổn định.

Ưu điểm VPN

Tiết kiệm chi phí hạ tầng

VPN giúp doanh nghiệp tiết kiệm đáng kể chi phí đầu tư hạ tầng mạng vì sử dụng ngay môi trường Internet hiện hữu truyền tải dữ liệu, tạo kênh kết nối riêng. Xét về mặt chi phí điều này hợp lý hơn so với việc thuê kênh kết nối riêng giá thành cao, đặc biệt với các doanh nghiệp có hệ thống chuỗi cửa hàng, chi nhánh. Ngoài ra, doanh nghiệp giảm việc đầu tư phần mềm, phần cứng chuyên dụng hỗ trợ quá trình kết nối và xác thực tài khoản, với bộ định tuyến Mikrotik tích hợp sẵn chức năng VPN rõ ràng đem lại lợi ích hơn hẳn.

Ứng dụng VPN

Trước tiên tham khảo một số tình huống mà doanh nghiệp có thể gặp phải:

– Doanh nghiệp có chuỗi cửa hàng, chi nhánh tại các tỉnh thành. Thông thường, giám đốc điều hành (CEO) muốn xem số liệu phải chờ cuối mỗi ngày dữ liệu từ các cửa hàng, chi nhánh đổ về, vì vậy việc phân tích và đưa ra các quyết định không theo kịp thay đổi hằng ngày của thị trường. CEO từng nghĩ đến kênh thuê riêng leased line nhưng nhận thấy chi phí vận hành khá cao.

VPN giúp hệ thống chuỗi cửa hàng, chi nhánh kết nối và chia sẻ dữ liệu nhanh chóng.

– Nhà máy, trạm quan trắc với các bộ điều khiển (cảm biến áp suất, lưu lượng, nhiệt độ,…) luôn yêu cầu truyền tải dữ liệu về trung tâm điều hành theo thời gian thực. Vấn đề đặt ra cách thức giao tiếp và truyền tải như thế nào để đảm bảo qui chuẩn kết nối, thời gian cũng như chi phí hợp lý.

Kết nối đa điểm, tạo kênh riêng VPN truyền tải dữ liệu từ các bộ điều khiển (cảm biến áp suất, lưu lượng, nhiệt độ) về trung tâm điều hành

– Chuỗi cung ứng, logistics với hệ thống kho bãi rộng khắp, yêu cầu đặt ra đảm bảo kết nối đa WAN, dự phòng đường truyền, truy cập dữ liệu máy chủ ERP ổn định, liên tục với kênh riêng; nhân viên làm việc từ xa dễ dàng kết nối, truyền tải dữ liệu an toàn về văn phòng, trụ sở.

VPN cho phép doanh nghiệp dễ dàng mở rộng hệ thống mạng, chia sẻ dữ liệu dù ở bất kỳ vị trí địa lý nào

Các tình huống đặt ra kể trên cho thấy kênh kết nối riêng VPN đang trở thành nhu cầu thiết yếu trong hoạt động của doanh nghiệp. Với xu hướng phát triển chuỗi cửa hàng, chi nhánh, kho vận, bộ định tuyến mạng Mikrotik tích hợp VPN giúp doanh nghiệp nhanh chóng triển khai hoạt động kinh doanh qua khả năng kết nối mạng, truy cập số liệu dù ở bất kỳ vị trí địa lý với chi phí vận hành hợp lý.

Bộ định tuyến Mikrotik tích hợp VPN đáp ứng các yêu cầu:Trao đổi dữ liệu giữa các cửa hàng, văn phòng, chi nhánh, trụ sở. Kết nối an toàn giữa nhân viên làm việc từ xa, nhân viên đi công tác với chi nhánh, trụ sở. Kết nối dữ liệu từ các bộ điều khiển (cảm biến áp suất, lưu lượng, nhiệt độ,…) về trung tâm điều hành. Truyền tải dữ liệu từ các máy bán hàng tự động POS về văn phòng, trụ sở.

Mô hình

Vpn Site to Site mikrotik .png Router ở Office 1 và Office 2 được kết nối ra internet Các workstation ở phía trong và được NAT ra ngoài qua router. Office 1 : Public IP : 113.190.240.135 Local subnet : 10.0.1.0/24 Router : 10.0.1.254 Office 2 : Public IP : 14.176.232.181 Local subnet : 172.16.1.0/24 Router : 172.16.1.1

Tạo mới proposal

Auth.Algorithms : tick chọn md5 và sha1 Encr.Algorithms : 3des **Office 1 : ** Office1.1.png Office 2 : Office2.1.png

Cấu hình peer

Address : IP Wan của router kết nối đến Port : 500 (deafault) Auth.Method : pre shared key Secret : mật khẩu dùng để xác thực kết nối VPN Policy Tempalte Group : default Exchange Mode : main My ID : auto Proposal Check : obey Hash Algorithm : md5 Encryption Algorithm : 3des DH Group : modp1024 Generate Policy : no DPD Interval : 120 **Office 1 : ** Office1.2.png Office 2 : Office2.2.png Sau khi chúng ta đã có proposal và peer, bước tiếp theo chúng ta cần IpSec policy. Ở đây chúng ta muốn mã hoá traffic tới từ 172.16.1.0/24 tới 10.0.1.0/24 và ngược lại. Office 1 : Chain : forward Src Address : 10.0.1.0/24 Dst Address : 172.16.1.0/24 Action : encrypt Level : unique IPsec Protocols : esp Tick lựa chọn tunnel SA Src. Address : 113.190.240.135 SA Dst. Address : 14.176.232.181 Proposal : Chọn proposal vừa tạo ở trên Office1.4.1.png Office1.4.2.png Office 2 : Chain : forward Src Address : 172.16.1.0/24 Dst Address : 10.0.1.0/24 Action : encrypt Level : unique IPsec Protocols : esp Tick lựa chọn tunnel SA Src. Address : 14.176.232.181 SA Dst. Address : 113.190.240.135 Proposal : Chọn proposal vừa tạo ở trên Office2.3.1.png Office2.3.2.png

NAT bypass

Tại thời điểm này, nếu bạn thử thiết lập kết nối IpSec sẽ chưa hoạt động, các gói tin sẽ bị từ chối. Bởi vì cả 2 router có Nat rule thay đổi địa chỉ nguồn sau khi gói tin đã được mã hoá. Remote router nhận được gói tín mã hoá nhưng không thể giải mã bởi vì địa chỉ nguồn không khớp với địa chỉ nguồn đã định nghĩa trong cấu hình policy. Để fix chúng ta cần setup rule NAT bypass. Office 1 : Src. Add : 10.0.1.0/24 Dst. Add : 172.16.1.0/24 Action : accept Office1.6.png Office1.6.2.png Office 2 : Src. Add : 172.16.1.0/24 Dst. Add : 10.0.1.0/24 Action : accept Office2.4.1.png Office2.4.2.png Note: Nếu kết nối VPN đã được thiết lập trước khi thêm NAT bypass rule, bạn phải xoá kết nối đã tồn tại hoặc restart lại router. Một việc rất quan trọng nữa đó là bypass rule phải được đặt ở trên cùng của tất cả các NAT rule.

Kiểm tra kết nối

Các bạn vào menu Tool/Ping Office 1 : Ping đến router của Office 2 ping 172.16.png **Office 2 : ** Ping đến router của Office 1 Ping 10.0.1.254.png

Option

Trong quá trình setup mặc dù đã thực hiện tất cả những bước trên nếu vẫn chưa thành công các bạn hãy thử thêm những bước sau : Thêm rule dst NAT : Office1.7.1.png Office1.7.2.png Thêm mange rule : Office1.8.1.png Office1.8.2.png *Mọi chi tiết xin vui lòng liên hệ:     +  Vũ Anh Tuấn – SĐT : 0989.642.293 – 0936 082 293 –  Skypy : Tuanva_it   +  Nguyễn Khắc Thành – SĐT : 0979 821 281 –  Skypy : thanh.nguyen1281  

Cấu hình VPN Site-to-Site sử dụng IPSEC giữa 2 Router Mikrotik

 

Bước 1: Chuẩn bị

 

  • Đảm bảo rằng hai Router Mikrotik đã được cấu hình và kết nối internet.
  • Tạo một subnet cho mỗi địa chỉ IP của các mạng LAN.
  • Xác định địa chỉ IP và cấu hình cho các giao thức chính của IPSEC.

 

Bước 2: Cấu hình trên Router Mikrotik 1

 

  • Tạo một policy IPSEC
  • Cấu hình IPSEC phase 1
  • Cấu hình IPSEC phase 2
  • Tạo một policy route

 

 

 

 

 

 

 

 

 

Bước 3: Cấu hình trên Router Mikrotik 2

 

  • Tạo một policy IPSEC
  • Cấu hình IPSEC phase 1
  • Cấu hình IPSEC phase 2
  • Tạo một policy route

 

 

 

 

 

 

 

 

Bước 4: Kiểm tra kết nối

 

  • Kiểm tra trạng thái kết nối IPSEC trên cả hai Router Mikrotik.
  • Thử kết nối tới các địa chỉ IP trong mạng LAN từ hai bên.

 

Bước 5: Gỡ bỏ kết nối VPN

 

  • Gỡ bỏ cấu hình IPSEC phase 2 và phase 1 trên cả hai Router Mikrotik.
  • Gỡ bỏ policy IPSEC trên cả hai Router Mikrotik.
  • Xóa policy route trên cả hai Router Mikrotik.

Hướng dẫn cấu hình VPN site to site trên Router Mikrotik

maytinhlion

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Mr. Tuấn

Cảm ơn quý khách đã đặt hàng - Liên hệ với kinh doanh để được giá tốt nhất - Hotline : 0989 642 293 Bỏ qua