Cấu hình VPN với mikrotik
Sử dụng VPN site to site để kết nối từ Head Office đến các Datacenter của bạn, hay kết nối giữa các Datacenter với nhau là một use case khá phổ biến nhằm đảm bảo cho việc giao tiếp an toàn và bảo mật giữa các server trong mạng private thông qua đường truyền VPN.
Với Cloud của Bizfly cũng vậy. Với việc sử dụng Cloud của Bizfly, bạn sẽ có một Datacenter ảo trên Cloud với các dải mạng private để kết nối các máy ảo giống như Datacenter thật vậy.
Và với Datacenter ‘ảo’ trên Bizfly Cloud đó, giả sử bạn gặp phải các trường hợp sau:
– Kết nối VPN giữa Bizfly Cloud với Head Office của bạn nhằm mục đích: giúp cho các máy trong local Office có thể giao tiếp trực tiếp với các máy ảo trên Cloud thông qua IP Private, hay thực hiện backup từ Cloud về server backup đặt ở local Office
– Kết nối VPN giữa Bizfly Cloud và các Data Center của bạn đặt ở những nơi khác, để các server private đặt tại Datacenter có thể thông đến mạng Private của các máy ảo trên Cloud
Bizfly VPN sẽ giúp bạn giải quyết 2 bài toán trên một cách dễ dàng.
Bạn sẽ thực hiện kết nối theo mô hình như sau:
)
Như mô hình trên, bạn sẽ cần có 1 thiết bị làm VPN gateway tại Office hay Datacenter của mình. Thiết bị này có thể là các thiết bị phần cứng như router Cisco, các thiết bị cân bằng tải như Draytek… có hỗ trợ kết nối IPsec, hay cũng có thể là một server vật lý, được cài đặt phần mềm hỗ trợ kết nối IPsec như Strongswan, Openswan….
Và các thiết bị này sẽ phải có 1 card mạng WAN để kết nối đến Bizfly VPN gateway và 1 card mạng LAN để kết nối thông đến dải mạng Private bên trong của bạn.
Bài viết này sẽ hướng dẫn các bạn kết nối Bizfly VPN với thiết bị Mikrotik.
Bước 1: Tạo kết nối VPN phía Bizfly Cloud
Các bạn click vào ô Tạo IP để tạo IP WAN cho Bizfly VPN gateway
Lưu ý ở đây là, để có thể kết nối VPN IPsec thành công, bộ tham số kết nối của IKE và IPsec phải đồng nhất với nhau. Các bạn thực hiện tạo ipsec policy với các tham số như hình sau:
Sau đó tạo IKE policy
Lưu lại Pre-shared Key đã được Bizfly Cloud generate sẵn, hoặc bạn có thể điền Pre-Shared key theo ý mình. Pre-shared Key này sẽ cần để điền bên phía Mikrotik
Điền IP WAN với dải Subnet phía Mikrotik và khởi tạo VPN
Kết nối tạo xong sẽ ở trạng thái DOWN, chúng ta sẽ cần thiết lập trên thiết bị Mikrotik để hoàn tất kết nối VPN
Bước 2: Truy cập vào trang quản trị thiết bị Mikrotik thông qua giao diện web bằng địa chỉ: http://<WAN_IP> hoặc http://<LAN_IP>
Sau khi đăng nhập bắt đầu khởi tạo VPN site to site.
Truy cập IP –> IPSec
Khởi tạo Peer đến Bizfly Cloud bằng cách truy cập tab Peers
Điền địa chỉ tên Peer, địa chỉ IP của VPN phía Bizfly Cloud và exchange mode là IKEv2
Thiết lập identity ở tab Identities
Chọn Peer bizflycloud, auth method preshared-key và điền key đã được cấu hình ở Bizfly Cloud lúc trước.
Cấu hình Proposals
Chọn các thông số cấu hình auth sha1, encr aes-128-cbc
Cấu hình Profiles
Chọn hash sha1, Encrypt aes-128 và DHGroup modp1536
Khởi tạo Policies để kết nối với Bizfly Cloud
Cấu hình các tham số:
– Peer: Chọn peer bizflycloud-vpn đã khởi tạo trước đó
– Tick chọn Tunnel
– Src Address: Dải IP local muốn kết nối tới Bizfly Cloud
– Dst Address: Dải IP local ở Bizfly Cloud
Sau đó chọn OK
Sau khi khởi tạo VPN xong chúng ta sẽ thấy kết nối với Bizfly Cloud ở trạng thái established
Lúc này connection bên Bizfly Cloud cũng đã ở trạng thái ACTIVE
Truy cập Firewall để khởi tạo rule NAT
Vào tab NAT để thực hiện khởi tạo rule
– Chain: src nat
– Src Address: Dải IP local muốn kết nối tới Bizfly Cloud
– Dst Address: Dải IP local ở Bizfly Cloud
– Action: ACCEPT
Sau khi khởi tạo rule xong, di chuyển rule ACCEPT NAT lên trước rule MASQUERADE
Vậy là chúng ta đã hoàn thành setup VPN site-to-site giữa **Bizfly Cloud **và thiết bị Mikrotik!