Cấu hình IPsec VPN giữa Mikrotik và Draytek Vigor Router

- Bài viết giới thiệu tới bạn cách cấu hình IPsec LAN-to-LAN giữa thiết bị Mikrotik Router (RouterOS v6.47) và DrayTek Vigor Router.

​

Trước khi cài đặt IPsec VPN:
- Trên Mikrotik Router, vào đường dẫn IP > Address, cài đặt và kiểm tra LAN IP.

​

CẤU HÌNH MIKROTIK ROUTER:
1. Vào phần IP > IPsec > Proposals

a. Click Enabled
b. Nhập tên cho profile Name
c. Chọn sha1 cho Auth. Algorithms
d. Chọn des, 3des, aes-128 cbc, aes-192 cbc, aes-256 cbc cho Encr. Algorithms
e. Chọn modp cho PFS Group
f. Click OK.​

​

2. Tiếp theo đến IP > IPsec > Policies

a. Tạo một file và click Enabled
b. Nhập vào Mạng LAN trong Mikrotik Router cho ô Src. Address
c. Nhập vào Mạng LAN trong DrayTek Router cho ô Dst. Address
d. Chọn encrypt cho Action.
e. Chọn esp cho IPsec Protocols
f. Chọn tên Proposal bạn đã tạo ở Bước 1.
g. Click OK.​

​

3. Tạo profile

• Nhập tên profile này vào ô Name
• Chọn sha1 cho Hash Algorithm
• Chọn 3des, aes-128, aes-192, aes-256 cho Encryption Algorithm
• Chọn modp1024 cho DH Group
• Chọn obey cho Proposal Check
• Tích Enable NAT Traversal
• Click OK.

​

4. Vào tiếp phần IP > IPsec > Peers.

a. Click Enabled
b. Nhập tên vào ô Name
c. Nhập Địa chỉ WAN IP của Mikrotik Router cho ô Local Address
d. Chọn Profile đã tạo ở Bước 3.
e. Chọn main ở phần Exchange Mode.
f. Passive tích chọn Enable
g. SEND INITIAL_CONTACT chọn Enable.
h. Click OK.​

​

5. Đến phần IP > IPsec > Identities

a. Click Enabled
b. Chọn Peer bạn đã tạo ở bước 4
c. Chọn pre shared key cho Auth. Method
d. Nhập mật khảo của pre-shared key cho Secret
e. Chọn remote id cho Match By
f. Chọn port override cho Generate Policy
g. Click OK.​

​

6. Tiếp đến vào trong IP > Firewall > Filter Rules

Rule 1:

a. Click Enabled
b. Chọn forward
c. Nhập Mạng LAN của Draytek Router cho Src. Address
d. Nhập Mạng LAN của Mikrotik Router cho Dst. Address
e. Phần tùy chọn Connection State tích chọn established, related
f. Chọn accept cho Action
g. Click OK.​

​

Rule 2:

a. Click Enabled
b. Chọn forward
c. Nhập Mạng LAN của Mikrotik Router cho Src. Address
d. Nhập Mạng LAN của Draytek Router cho Dst. Address
e. Phần tùy chọn Connection State tích chọn established, related
f. Chọn accept cho Action
g. Click OK.​

​

CẤU HÌNH DRAYTEK ROUTER:
1. Vào trang VPN and Remote Access > LAN to LAN, và chọn một Index khả dụng bất kỳ.

​

2. Trong cấu hình Profile Index,

Common Settings:
a. Nhập tên Name cho index
b. Tích chọn Enable this profile
c. Chọn cổng WAN interface để VPN gọi ra
d. Chọn Dial-out
e. Tích chọn Always on​

​

Dial-Out Settings
a. Chọn IPsec Tunnel và IKEv1
b. Nhập Địa chỉ WAN của Mikrotik Router hoặc Host Name cho Server IP
c. Nhập pre-shared key bạn đặt trên Mikrotik Router.
d. Click Advanced
e. Chọn Main mode
f. Chọn AES128 cho phase 1 proposal Encryption
g. Chọn G2 cho phase 1 proposal ECDH Group
h. Chọn SHA1 cho phase 1 proposal Authentication
i. Chọn AES128_SHA1 cho phase 2 proposal
j. Thiết lập 86400 giây làm phase 1 key lifetime (do phía Mikrotik đặt là 1 day)
k. Thiết lập 2700 giây làm phase 2 key lifetime (do phía Mikrotik đặt làm 45 phút)
l. Có thể tich chọn thêm Enable cho Perfect Forward Secret
m. Click OK​

​

TCP/IP Network Settings
a. Nhập Địa chỉ mạng LAN của Mikrotik Router vào phần Remote Network IP
b. Nhập Địa chỉ mạng LAN của Draytek Router vào phần Remote Network IP
c. Chọn Route
d. Click OK.​

​

3. Click Dial và VPN sẽ được kết nối.

---o0o---​