Cấu hình VPN Site-to-Site như thế nào?

Site-to-site VPN là một giải pháp cho phép kết nối những máy tính bên trong mạng private thuộc nhiều văn phòng ở xa với nhau, các kết nối này sẽ thông qua mạng internet. Client ko cần cài đặt các software client, client gởi nhận các gói tin TCP/IP thông qua VPN gateway.

Step 1: Tab VPN, chọn Create VPN

Step 2: Tạo VPN Site-to-site thông qua những bước sau

Step 2.1: Quá trình khởi tạo IKE là quá trình đàm phán giữa hai đầu VPN gateway về các chứng chỉ, thuật toán và phương thức mã hoá để trao đổi dữ liệu. IKE được khởi tạo gồm 2 bước: IKE Phase 1 và IKE Phase 2. Mỗi phase sử dụng các thuật toán mã hoá được định nghĩa trong các profile lần lượt goi là: IKE crypto profile và IPSec crypto profile. Kết thúc quá trình đàm phán IKE, hai đầu VPN gateway sẽ có những thoải thuật bảo mật về key trao đổi và thuật toán mã hoá được gọi là Security Association (SA). SA sẽ được các VPN peer sử dụng để thống nhất quá trình truyền nhận gói tin. 

Sau đây là các tham số cấu hình của IKE crypto – IKE Phase 1

Bạn có thể tìm hiểu thêm về các tham số của IKE phase 1.

  • Name: Tên của IKE
  • Description: Mô tả về IKE 
  • Authorization algorithm: là thuật toán dùng để xác thực đảm bảo tính toàn vẹn trong quá trình trao đổi thông tin để hình thành security association (SA), chỉ support sha1.
  • Encryption algorithm: thuật toán để mã hoá dữ liệu truyền, support 3des,aes-128,aes-192,aes-256.
  • IKE version: support version 1, version 2. 
  • Lifetime units for IKE keys: đơn vị để chỉ thời gian tồn tại của IKE, tính bằng giây (s).
  • Lifetime value for IKE keys: thời gian tồn tại của IKE
  • Perfect Forward Secrecy: là Diffie-Hellman (DH) group cho biết modulus size (chiều dài key) sẽ dùng cho quá trình trao đổi key, support group2, group5, group14.
  • IKE Phase1 negotiation mode: chỉ support main mode.

Step 2.2: Tab Add IPSec Policy để cấu hình các tham số của IPsec profile. Đây là IKE phase 2.

Bạn có thể tìm hiểu thêm về các tham số của IPsec policy.

  • Name: tên IPsec policy.
  • Description: mô tả của IPsec policy.
  • Authorization algorithm: là thuật toán dùng để xác thực đảm bảo tính toàn ven trong quá trình truyền data, chỉ support sha1.
  • Encapsulation mode: là mode mà IPsec sẽ sử dụng , support tunnel.
  • Encryption algorithm: là thuật toán dùng để mã hóa trong quá trình tuyền data giữa 2 VPN gateway, support 3des,aes-128,aes-192,aes-256.
  • Lifetime units: đơn vị dùng để cấu hình thời gian hết hạn cho IKE key, support second (s).
  • Lifetime value for IKE keys: bao lâu thì IKE key sẽ hết hạn.
  • Perfect Forward Secrecy: là Diffie-Hellman (DH) group cho biết modulus size (chiều dài key) sẽ dùng cho quá trình trao đổi key, support group2, group5, group14.
  • Transform Protocol: là cách thức đóng gói packet, cái mà sẽ truyền qua tunnel.

Step 2.3: Sau khi chọn các thông số phù hợp cho IPsec thì chuyển sang tab Add IPSec Site Connection để tạo kết nối VPN từ Cloud Servers đến server private của bạn.

  • Name:là tên để quản lý IPsec VPN connection.
  • Description: dùng để mô tả IPsec VPN connection.
  • Peer gateway public IPv4/IPv6 Address or FQDN: ip hoặc FQDN của VPN gateway ở site bên kia.
  • Peer router identity for authentication (Peer ID): ip hoặc FQDN của VPN gateway ở site bên kia.
  • Remote peer subnet(s): những subnet ở site còn lại.
  • Pre-Shared Key (PSK) string: là chuỗi dùng trong quá trình chứng thực để tạo nên IPsec tunnel.
  • Maximum Transmission Unit size for the connection: là MTU sẽ được dùng trong quá trình truyển dữ liệu giữa 2 gateway.
  • Dead peer detection actions: cách xử lý của gateway khi phát hiện gateway đầu còn lại dead.
  • Dead peer detection interval: thời gian mà gateway sẽ dùng để check định kỳ trạng thái gateway còn lại.
  • Dead peer detection timeout: khi không nhận được trạng thái của gateway đầu bên kia thì sau khoảng thời gian này gateway sẽ xác định đầu bên kia đã dead.
  • Initiator state: cách thiết lập kết nối giữa 2 gateway.

Sau khi finish, bạn đã có thể kết nối từ server Private của bạn đến Cloud Servers bằng IP Private. VPN Site-to-Site sẽ đảm bảo đường truyền riêng ảo cho việc trao đổi dữ liệu giữa server Private của bạn và Cloud Servers.

Comments

comments