Welcome to An Phát - DrayTek VietNam >> IPSec VPN Security - Firewall Load Balance Voice over IP FTTH - Fiber

Router 5/3/18, 14)57

Click to use Flash

Ứng dụng SSL trên router DrayTek

Vigor2930, Vigor2950 và VigorPro5500/5510 là những router có hỗ trợ tính năng SSL cho phép người dùng có thể trồuy cập
được các máy chủ được bảo mật cao thông qua môi trường Internet. Chúng tôi cung cấp 1 ứng dụng dùng chung như một
tài liệu tham khảo bao gồm mô tả các trường hợp và cấu hình trên giao diện Web.

SSL bao gồm SSL Web Proxy và SSL VPN .

1. SSL Web Proxy:

Giới thiệu:

Để có thể truy cập vào máy chủ Web đứng phía sau 1 NAT Router, bạn có 2 cách sau:

Cách 1: Mở các Port liên quan (thường là Port 80) trên router.
Cách 2: Kết nối VPN truyền thống (PPTP, L2TP hoặc IPSec) đến router.

Nhược điểm của 2 cách làm trên:

1/ Nếu máy chủ Web mang tính riêng tư hoặc có các thông tin được giới hạn và chỉ có thẩm quyền mới được phép truy cập,
mở Port là lổ hổng cho những Hackers khai thác tấn công hoặc truyền dữ liệu. Trong trường hợp này, hầu hết các Admin
đều không chọn cách mở Port.

2/ Nếu nhân viên của bạn phải đi công tác xa, và muốn VPN về công ty để lấy thông tin. Thông thường trong trường hợp
này nhân viên của bạn sẽ không thể thực hiện được vì có thể bị ngăn chặn bởi tường lửa hoặc bởi các chính sách bảo mật
(ví dụ như tại sân bay hoặc khách sạn,…). Điều này sẽ ảnh hưởng tới công việc kinh doanh của bạn.

Ở đây chúng tôi sẽ giới thiệu cho các bạn một giải pháp tốt hơn, có thể giúp cho bạn giải quyết được vấn đề trên. Đó là giải
pháp sử dụng tính năng SSL Web Proxy.

Ưu điểm của “SSL Web Proxy”:

Có 2 chế độ hỗ trợ tính năng này là chế độ “Secured Port Redirection” và chế độ “SSL”.

Chế độ “Secured Port Redirection”: Hoạt động như “Open Port” nhưng router chỉ mở port ngẫu nhiên và tạm
thời. Port ngẫu nhiên này chỉ được mở khi phiên kết nối được thành lập và đóng lại khi ngắt kết nối.
Chế độ “SSL”: Sử dụng “HTTPS” để tạo thành 1 kết nối bảo mật, có thể chặn được các port thông thường (ví dụ:
port 80, 1723, 50, 51,…). Không “NAT” nếu không tương thích. Không yêu cầu phải có nhiều IP tĩnh, và 1 kết nối
Mr. Khanh Mr. Dũng VPN là không cần thiết.

Mô Hình Ứng Dụng:

Mr. Hà Mr. Chung

Mr. Linh Mr. Cường

Hotline: 0913 125 985

Mr. Hiển Mr. Nhựt

OTRS là 1 hệ thống làm việc, chỉ cho phép bộ phận Support được truy cập. Gforge là 1 hệ thống khác chỉ cho phép các bộ
Mr. Khoa Ms. Châu
phận Support, Sales, R&D .v.v…được truy cập. Cả 2 hệ thống này hoạt động dựa trên dịch vụ Web. User A thuộc bộ phận
support, User B thuộc bộ phận sales. Họ là những nhân viên thường xuyên đi công tác xa và cần truy cập vào hệ thống của
công ty.
Ms. Trang Mr. Hoằng
Trong trường này chúng tôi sử dụng Vigor2950 để thực hiện.

Mr. Tài Mr. Tín Các bước cấu hình trên Router Vigor2950:

Bước 1: Mở trang cấu hình của Router chọn “SSL VPN” >> “SSL Web Proxy” và thiết lập 2 mục.

http://www.draytek.com.vn/documentdetails.aspx?id=129 Page 1 of 11
Welcome to An Phát - DrayTek VietNam >> IPSec VPN Security - Firewall Load Balance Voice over IP FTTH - Fiber Router 5/3/18, 14)57

Kinh doanh miền Bắc

K.Doanh HN1 K.Doanh HN2

Kinh doanh miền Trung

Ms Thùy K.Doanh DNG2

Click to use Flash

Bước 2: Nhập tên cho hệ thống OTRS. Nếu máy chủ Web đã cho phép truy cập trực tiếp thông qua địa chỉ IP, bạn có thể
nhập vào theo định dạng http://ip/directory trong mục “URL”. Trường hợp này là http://172.17.1.40/login.pl

Nếu bạn nhập vào địa chỉ IP trong mục “URL” , bạn không cần thiết lập mục “Host IP Address”.

Click to use Flash

11998,506

Bước 3: Nhập tên cho hệ thống Gforge. Nếu như máy chủ Web bị giới hạn và phải truy bằng tên miền, bạn phải nhập vào
“URL” theo định dạng http://domain_name/directory. Trong trường hợp này là http://swm.gforge.com. Nhập địa
chỉ IP của máy chủ Web trong mục “Host IP Address”.

Bước 4: click chọn mục “SSL VPN” >> “User Account”, tạo 2 tài khoản cho User A và User B.

http://www.draytek.com.vn/documentdetails.aspx?id=129 Page 2 of 11
Welcome to An Phát - DrayTek VietNam >> IPSec VPN Security - Firewall Load Balance Voice over IP FTTH - Fiber Router 5/3/18, 14)57

Bước 5: Kích hoạt tài khoản. Nhập “user name/password” cho User A. Nếu bạn chỉ muốn user này sử dụng tính năng “SSL
Web Proxy”, bạn có thể vô hiệu hóa hết tất cả dịch vụ VPN trong “Profile” này. Nếu không người dùng có thể VPN tới Router
của bạn bằng user này. Kích hoạt “SSL Web Proxy”, sau đó kích hoạt các máy chủ Web (trong trường hợp này là cả 2 hệ
thống OTRS và Gforge) cho User A.

Bước 6: Kích hoạt tài khoản. Nhập “username/password” cho User B. Nếu bạn chỉ muốn user này chỉ sử dụng tính năng
“SSL Web Proxy”, bạn có thể vô hiệu hóa hết tất cả dịch vụ VPN trong “Profile” này. Nếu không người dùng có thể VPN tới
Router của bạn bằng user này. Kích hoạt “SSL Web Proxy”, sau đó kích hoạt các máy chủ Web (trong trường hợp này là chỉ
có 1 hệ thống Gforge) cho User B.

http://www.draytek.com.vn/documentdetails.aspx?id=129 Page 3 of 11
Welcome to An Phát - DrayTek VietNam >> IPSec VPN Security - Firewall Load Balance Voice over IP FTTH - Fiber Router 5/3/18, 14)57

Bước 7: “System Maintenance” >> “Management”. Kích hoạt “HTTPS Server”, nếu bạn không muốn sử dụng Port
mặc định “TCP 443”, bạn có thể thay đổi. Trong trường hợp này chúng tôi đổi sang “Port 44443”.

Hướng dẫn các bước User A sử dụng “Web Proxy”

Bước 1: Mở trình duyệt Web (I.E hoặc Firefox), truy cập theo địa chỉ https://210.243.151.187:4443.
Bước 2: I.E 6 sẽ hiển thị “Security alert”theo bên dưới, bạn hãy chấp nhận và chọn “Yes”.

http://www.draytek.com.vn/documentdetails.aspx?id=129 Page 4 of 11
Welcome to An Phát - DrayTek VietNam >> IPSec VPN Security - Firewall Load Balance Voice over IP FTTH - Fiber Router 5/3/18, 14)57

I.E7 sẽ hiển thị “Security alert” theo bên dưới, bạn hãy chấp nhận và chọn “Continue to this website (not
recommended)”.

Bước 3: Xuất hiện cửa sổ đăng nhập, nhập thông tin “username/password” cho User A.

Bước 4: Nếu đăng nhập thành công, bạn sẽ thấy cửa sổ như hình bên dưới.

Bước 5: Trang này sẽ liệt kê tất cả các site mà bạn cho phép truy cập. Trong trường hợp này là OTRS và Gforge cho User
A. Nhưng bạn vẫn không có thể truy cập chúng tại thời điểm này.

http://www.draytek.com.vn/documentdetails.aspx?id=129 Page 5 of 11
Welcome to An Phát - DrayTek VietNam >> IPSec VPN Security - Firewall Load Balance Voice over IP FTTH - Fiber Router 5/3/18, 14)57

Bước 6: Sau khi ấn nút “Acitive”, nút này sẽ chuyển sang “Deactive”. OTRS và Gforge sẽ chuyển thành OTRS và Gforge.
Bây giờ bạn có thể truy cập đến hệ thống OTRS và Gforge bằng cách Click vào đường Link OTRS và Gforge.

Hệ thống OTRS

Hệ thống Gforge

Bước 7: Sau khi truy cập, để đóng phiên làm việc và Port thì bạn phải ấn nút “Deactive” hoặc đơn giản hơn là đóng trình
duyệt web.

http://www.draytek.com.vn/documentdetails.aspx?id=129 Page 6 of 11
Welcome to An Phát - DrayTek VietNam >> IPSec VPN Security - Firewall Load Balance Voice over IP FTTH - Fiber Router 5/3/18, 14)57

Các bước sử dụng “Web Proxy” cho User B

Các bước tương tự như trên, chỉ thông báo rằng sau khi đăng nhập thành công, trang “SSL Web Proxy” chỉ hiển thị hệ
thống Gforge cho User B. Giới hạn của “Secure Port Redirection”. Chỉ hỗ trợ cho dịch vụ Web, những máy chủ Web phải nằm
cùng lớp mạng với Router Vigor. Và những máy chủ Web đó phải trỏ “Default Gateway” về Router. Trong trường hợp này
Router Vigor là 1 “SSL Web Proxy”.

Mô Hình Ứng Dụng

OTRS là hệ thống làm việc được kết nối trực tiếp với phía sau Router và nằm cùng lớp mạng Vigor2950. Máy chủ Web Mail
là 1 hệ thống khác đứng phía sau Router hoặc bên ngoài Internet và nằm ở 1 lớp mạng khác với Vigor2950.User A là nhân
viên thường xuyên đi công tác và cần truy cập vào cả 2 hệ thống từ bên ngoài Internet.

Các bước cấu hình router

Bước 1: Từ trang cấu hình của Vigor2950, chọn “SSL VPN” >> “SSL Web Proxy” thiết lập 2 mục.

Bước 2: Nhập tên cho hệ thống OTRS. Nếu máy chủ Web cho phép truy cập trực tiếp thông qua đại chỉ IP, bạn có thể nhập
theo định dạng http://ip/directory trong mục “URL”.Trong trường hợp này http://172.17.1.40/login.pl. Nếu bạn
nhập vào IP trong mục “URL” thì bạn không cân nhập vào mục “Host IP Address”.

http://www.draytek.com.vn/documentdetails.aspx?id=129 Page 7 of 11
Welcome to An Phát - DrayTek VietNam >> IPSec VPN Security - Firewall Load Balance Voice over IP FTTH - Fiber Router 5/3/18, 14)57

Bước 3: Nhập tên cho Web Mail. Nếu máy chủ Web chỉ truy cập bằng tên miền, bạn phải nhập theo định dạng
http://domain_name/directory trong mục “URL”. Trong trường hợp này là http://ms.mailserver.com. Nhập địa chỉ
IP của Web Mail trong mục “Host IP Address”. Chọn “SSL”.

Bước 4: Vào trang cấu hình của Vigor2950, tại “SSL VPN” >> “User Account” tạo tài khoản cho User A.

Bước 5: Kích hoạt tài khoản. Nhập “username/password” cho User A. Nếu không cần thiết bạn có thể vô hiệu hóa tất cả
các dịch vụ của VPN trong “Profile” này. Nếu không những người dùng đó vẫn có thể kết nối VPN đến Router của bạn bằng
tài khoản này. Kích hoạt “SSL Web Proxy”, sau đó kích hoạt những máy chủ Web liên quan (trong trường hợp này là cả 2 hệ
thống OTRS và WebMail) cho User A.

http://www.draytek.com.vn/documentdetails.aspx?id=129 Page 8 of 11
Welcome to An Phát - DrayTek VietNam >> IPSec VPN Security - Firewall Load Balance Voice over IP FTTH - Fiber Router 5/3/18, 14)57

Bước 6: Tại “System Maintenance” >> “Management” kích hoạt “HTTPS Server”. Nếu bạn không muốn sử dụng Port
mặc định, bạn có thể thay đổi sang “Port 4443”.

Hướng dẫn sử dụng cho User A

Bước 1: Mở trình duyệt Web (I.E hoặc Firefox), truy cập vào trang https://218.242.130.126: 4443.
Bước 2: Nếu là trình duyệt I.E6 sẽ hiển thị thông báo. Bạn chấp nhận và chọn nút “Yes”.

http://www.draytek.com.vn/documentdetails.aspx?id=129 Page 9 of 11
Welcome to An Phát - DrayTek VietNam >> IPSec VPN Security - Firewall Load Balance Voice over IP FTTH - Fiber Router 5/3/18, 14)57

Nếu là I.E7 sẽ hiển thị thông báo. Bạn chấp nhận và chọn “Continue to this website (not recommended)”.

Bước 3: Tại cửa sổ đăng nhập, nhập tài khoản và mật khẩu cho User A.

Bước 4: Nếu đăng nhập thành công, bạn sẽ nhìn thấy cửa sổ như bên dưới.

Bước 5: Trang này sẽ liệt kê tất cả các Web Sites mà bạn cho phép truy cập. Trong trường hợp này là OTRS và WebMail
cho User A. Bây giờ bạn có thể truy cập bằng cách click chuột vào Links.

http://www.draytek.com.vn/documentdetails.aspx?id=129 Page 10 of 11
Welcome to An Phát - DrayTek VietNam >> IPSec VPN Security - Firewall Load Balance Voice over IP FTTH - Fiber Router 5/3/18, 14)57

Hệ thống OTRS

Hệ thống WebMail

So sánh “Secured Port Redirection” và “SSL”.

Cả 2 đều chỉ hỗ trợ dịch vụ Web.

Chế độ “Secued Port Redirection” chỉ làm việc nếu những máy chủ Web nằm cùng lớp mạng với “SSL Web Proxy”.
Chế độ “SSL” thì không có giới hạn này.
Nếu máy chủ Web chứa trình điều khiển “AxtiveX”, tốt hơn bạn nên chọn chế độ “Secured Port Redirection” .

2. SSL Tunnel: Bạn có thể tham khảo ở đây

Mọi vướng mắc trong quá trình cài đặt thiết bị, vui lòng liên lạc với chúng tôi qua:
Website : http://www.draytek.com.vn
Email: [email protected]
Số VoIP: 8122263, 8122264
Số điện thoại: (08) 925.3789
Hotline: 01666 332 018

Copyright by An Phat Co., Ltd - 2007 All rights reserved

http://www.draytek.com.vn/documentdetails.aspx?id=129 Page 11 of 11