Mr. Khanh
Mr. Khanh

Mr. Dũng
Mr. Dũng

Mr. Hà
Mr. Hà

Mr. Chung
Mr. Chung

Mr. Linh
Mr. Linh

Mr. Cường
Mr. Cường

Hotline: 0913 125 985

Mr. Hiển

Mr. Nhựt

Mr. Khoa

Ms. Châu

Ms. Trang

Mr. Hoằng

Mr. Tài
K.Doanh

Mr. Tín
Mr. Tín

      Kinh doanh miền Bắc
K.Doanh HN1
K.Doanh HN2

     Kinh doanh miền Trung
Ms Thùy
K.Doanh DNG2





 
501,000,728
 
 

Ứng dụng SSL trên router DrayTek

Vigor2930, Vigor2950 và VigorPro5500/5510 là những router có hỗ trợ tính năng SSL cho phép người dùng có thể trồuy cập được các máy chủ được bảo mật cao thông qua môi trường Internet. Chúng tôi cung cấp 1 ứng dụng dùng chung như một tài liệu tham khảo bao gồm mô tả các trường hợp và cấu hình trên giao diện Web.

SSL bao gồm SSL Web ProxySSL VPN .

1. SSL Web Proxy:

Giới thiệu:


Để có thể truy cập vào máy chủ Web đứng phía sau 1 NAT Router, bạn có 2 cách sau:
  • Cách 1: Mở các Port liên quan (thường là Port 80) trên router.
  • Cách 2: Kết nối VPN truyền thống (PPTP, L2TP hoặc IPSec) đến router.

Nhược điểm của 2 cách làm trên:

1/ Nếu máy chủ Web mang tính riêng tư hoặc có các thông tin được giới hạn và chỉ có thẩm quyền mới được phép truy cập, mở Port là lổ hổng cho những Hackers khai thác tấn công hoặc truyền dữ liệu. Trong trường hợp này, hầu hết các Admin đều không chọn cách mở Port.

2/ Nếu nhân viên của bạn phải đi công tác xa, và muốn VPN về công ty để lấy thông tin. Thông thường trong trường hợp này nhân viên của bạn sẽ không thể thực hiện được vì có thể bị ngăn chặn bởi tường lửa hoặc bởi các chính sách bảo mật (ví dụ như tại sân bay hoặc khách sạn,…). Điều này sẽ ảnh hưởng tới công việc kinh doanh của bạn.

Ở đây chúng tôi sẽ giới thiệu cho các bạn một giải pháp tốt hơn, có thể giúp cho bạn giải quyết được vấn đề trên. Đó là giải pháp sử dụng tính năng SSL Web Proxy.


Ưu điểm của “SSL Web Proxy”:

Có 2 chế độ hỗ trợ tính năng này là chế độ “Secured Port Redirection” và chế độ “SSL”.

  • Chế độ “Secured Port Redirection”: Hoạt động như “Open Port” nhưng router chỉ mở port ngẫu nhiên và tạm thời. Port ngẫu nhiên này chỉ được mở khi phiên kết nối được thành lập và đóng lại khi ngắt kết nối.
  • Chế độ “SSL”: Sử dụng “HTTPS” để tạo thành 1 kết nối bảo mật, có thể chặn được các port thông thường (ví dụ: port 80, 1723, 50, 51,…). Không “NAT” nếu không tương thích. Không yêu cầu phải có nhiều IP tĩnh, và 1 kết nối VPN là không cần thiết.
Mô Hình Ứng Dụng:
 

OTRS là 1 hệ thống làm việc, chỉ cho phép bộ phận Support được truy cập. Gforge là 1 hệ thống khác chỉ cho phép các bộ phận Support, Sales, R&D .v.v…được truy cập. Cả 2 hệ thống này hoạt động dựa trên dịch vụ Web. User A thuộc bộ phận support, User B thuộc bộ phận sales. Họ là những nhân viên thường xuyên đi công tác xa và cần truy cập vào hệ thống của công ty.

Trong trường này chúng tôi sử dụng Vigor2950 để thực hiện.

Các bước cấu hình trên Router Vigor2950:

Bước 1: Mở trang cấu hình của Router chọn “SSL VPN” >> “SSL Web Proxy” và thiết lập 2 mục.



Bước 2:  Nhập tên cho hệ thống OTRS. Nếu máy chủ Web đã cho phép truy cập trực tiếp thông qua địa chỉ IP, bạn có thể nhập vào theo định dạng http://ip/directory trong mục “URL”. Trường hợp này là http://172.17.1.40/login.pl

Nếu bạn nhập vào địa chỉ IP trong mục “URL” , bạn không cần thiết lập mục “Host IP Address”.



Bước 3: Nhập tên cho hệ thống Gforge. Nếu như máy chủ Web bị giới hạn và phải truy bằng tên miền, bạn phải nhập vào “URL” theo định dạng http://domain_name/directory. Trong trường hợp này là http://swm.gforge.com. Nhập địa chỉ IP của máy chủ Web trong mục “Host IP Address”.



Bước 4: click chọn mục “SSL VPN” >> “User Account”, tạo 2 tài khoản cho User A và User B.



Bước 5: Kích hoạt tài khoản. Nhập “user name/password” cho User A. Nếu bạn chỉ muốn user này sử dụng tính năng “SSL Web Proxy”, bạn có thể vô hiệu hóa hết tất cả dịch vụ VPN trong “Profile” này. Nếu không người dùng có thể VPN tới Router của bạn bằng user này. Kích hoạt “SSL Web Proxy”, sau đó kích hoạt các máy chủ Web (trong trường hợp này là cả 2 hệ thống OTRS và Gforge) cho User A.



Bước 6: Kích hoạt tài khoản. Nhập “username/password” cho User B. Nếu bạn chỉ muốn user này chỉ sử dụng tính năng “SSL Web Proxy”, bạn có thể vô hiệu hóa hết tất cả dịch vụ VPN trong “Profile” này. Nếu không người dùng có thể VPN tới Router của bạn bằng user này. Kích hoạt “SSL Web Proxy”, sau đó kích hoạt các máy chủ Web (trong trường hợp này là chỉ có 1 hệ thống Gforge) cho User B.



Bước 7:System Maintenance” >> “Management”. Kích hoạt “HTTPS Server”, nếu bạn không muốn sử dụng Port mặc định “TCP 443”, bạn có thể thay đổi. Trong trường hợp này chúng tôi đổi sang “Port 44443”.



Hướng dẫn các bước User A sử dụng “Web Proxy”


Bước 1: Mở trình duyệt Web (I.E hoặc Firefox), truy cập theo địa chỉ https://210.243.151.187:4443.
Bước 2: I.E 6 sẽ hiển thị “Security alert”theo bên dưới, bạn hãy chấp nhận và chọn “Yes”.



I.E7 sẽ hiển thị “Security alert” theo bên dưới, bạn hãy chấp nhận và chọn “Continue to this website (not recommended)”.



Bước 3: Xuất hiện cửa sổ đăng nhập, nhập thông tin “username/password” cho User A.



Bước 4: Nếu đăng nhập thành công, bạn sẽ thấy cửa sổ như hình bên dưới.



Bước 5: Trang này sẽ liệt kê tất cả các site mà bạn cho phép truy cập. Trong trường hợp này là OTRS và Gforge cho User A. Nhưng bạn vẫn không có thể truy cập chúng tại thời điểm này.



Bước 6: Sau khi ấn nút “Acitive”, nút này sẽ chuyển sang “Deactive”. OTRS và Gforge sẽ chuyển thành OTRS và Gforge. Bây giờ bạn có thể truy cập đến hệ thống OTRS và Gforge bằng cách Click vào đường Link OTRS và Gforge.



Hệ thống OTRS



Hệ thống Gforge



Bước 7: Sau khi truy cập, để đóng phiên làm việc và Port thì bạn phải ấn nút “Deactive” hoặc đơn giản hơn là đóng trình duyệt web.




Các bước sử dụng “Web Proxy” cho User B


Các bước tương tự như trên, chỉ thông báo rằng sau khi đăng nhập thành công, trang “SSL Web Proxy” chỉ hiển thị hệ thống Gforge cho User B. Giới hạn của “Secure Port Redirection”. Chỉ hỗ trợ cho dịch vụ Web, những máy chủ Web phải nằm cùng lớp mạng với Router Vigor. Và những máy chủ Web đó phải trỏ “Default Gateway” về Router. Trong trường hợp này Router Vigor là 1 “SSL Web Proxy”.

Mô Hình Ứng Dụng



OTRS là hệ thống làm việc được kết nối trực tiếp với phía sau Router và nằm cùng lớp mạng Vigor2950. Máy chủ Web Mail là 1 hệ thống khác đứng phía sau Router hoặc bên ngoài Internet và nằm ở 1 lớp mạng khác với Vigor2950.User A là nhân viên thường xuyên đi công tác và cần truy cập vào cả 2 hệ thống từ bên ngoài Internet.

Các bước cấu hình router

Bước 1: Từ trang cấu hình của Vigor2950, chọn “SSL VPN” >> “SSL Web Proxy” thiết lập 2 mục.



Bước 2: Nhập tên cho hệ thống OTRS. Nếu máy chủ Web cho phép truy cập trực tiếp thông qua đại chỉ IP, bạn có thể nhập theo định dạng http://ip/directory trong mục “URL”.Trong trường hợp này http://172.17.1.40/login.pl. Nếu bạn nhập vào IP trong mục “URL” thì bạn không cân nhập vào mục “Host IP Address”.


Bước 3: Nhập tên cho Web Mail. Nếu máy chủ Web chỉ truy cập bằng tên miền, bạn phải nhập theo định dạng http://domain_name/directory trong mục “URL”. Trong trường hợp này là http://ms.mailserver.com. Nhập địa chỉ IP của Web Mail trong mục “Host IP Address”. Chọn “SSL”.



Bước 4: Vào trang cấu hình của Vigor2950, tại “SSL VPN” >> “User Account” tạo tài khoản cho User A.



Bước 5: Kích hoạt tài khoản. Nhập “username/password” cho User A. Nếu không cần thiết bạn có thể vô hiệu hóa tất cả các dịch vụ của VPN trong “Profile” này. Nếu không những người dùng đó vẫn có thể kết nối VPN đến Router của bạn bằng tài khoản này. Kích hoạt “SSL Web Proxy”, sau đó kích hoạt những máy chủ Web liên quan (trong trường hợp này là cả 2 hệ thống OTRS và WebMail) cho User A.



Bước 6: Tại “System Maintenance” >> “Management” kích hoạt “HTTPS Server”. Nếu bạn không muốn sử dụng Port mặc định, bạn có thể thay đổi sang “Port 4443”.



Hướng dẫn sử dụng cho User A

Bước 1: Mở trình duyệt Web (I.E hoặc Firefox), truy cập vào trang https://218.242.130.126: 4443.
Bước 2: Nếu là trình duyệt I.E6 sẽ hiển thị thông báo. Bạn chấp nhận và chọn nút “Yes”.



Nếu là I.E7 sẽ hiển thị thông báo. Bạn chấp nhận và chọn “Continue to this website (not recommended)”.



Bước 3: Tại cửa sổ đăng nhập, nhập tài khoản và mật khẩu cho User A.



Bước 4: Nếu đăng nhập thành công, bạn sẽ nhìn thấy cửa sổ như bên dưới.



Bước 5: Trang này sẽ liệt kê tất cả các Web Sites mà bạn cho phép truy cập. Trong trường hợp này là OTRS và WebMail cho User A. Bây giờ bạn có thể truy cập bằng cách click chuột vào Links.



Hệ thống OTRS



Hệ thống WebMail



So sánh “Secured Port Redirection” và “SSL”.
  • Cả 2 đều chỉ hỗ trợ dịch vụ Web.
  • Chế độ “Secued Port Redirection” chỉ làm việc nếu những máy chủ Web nằm cùng lớp mạng với “SSL Web Proxy”. Chế độ “SSL” thì không có giới hạn này.
  • Nếu máy chủ Web chứa trình điều khiển “AxtiveX”, tốt hơn bạn nên chọn chế độ “Secured Port Redirection” .

2. SSL Tunnel: Bạn có thể tham khảo ở đây

Mọi vướng mắc trong quá trình cài đặt thiết bị, vui lòng liên lạc với chúng tôi qua:
Website : http://www.draytek.com.vn
Email: support@draytek.com.vn
Số VoIP: 8122263, 8122264
Số điện thoại: (08) 925.3789
Hotline: 01666 332 018