Cấu hình VPN Gateway
Sau khi VPN Gateway đã active, trang này hướng dẫn cấu hình IPsec connection để thiết lập tunnel site-to-site đến peer phía remote.
Bước 1. Mở dialog Cấu hình connection
Trên trang chi tiết VPN Gateway, bấm Cập nhật cấu hình. Dialog Cấu hình connection mở ra — định nghĩa các IPsec connection cho gateway. Mỗi tunnel = một Connection #N. Bấm + Thêm connection ở góc phải nếu cần thêm tunnel mới.
Bước 2. Endpoint và subnet
| Trường | Ý nghĩa | Ví dụ |
|---|---|---|
| IP remote gateway (bắt buộc) | IP công cộng của gateway phía bên kia | 203.0.113.10 |
| Left subnet (bắt buộc) | Dải CIDR phía này (LANIT) | 10.0.0.0/24 |
| Right subnet (bắt buộc) | Dải CIDR phía remote | 192.168.1.0/24 |
| Pre-shared key | Chuỗi PSK chia sẻ với peer | <PSK >= 32 ký tự ngẫu nhiên> |
Cả Left và Right subnet đều hỗ trợ nhiều dải — bấm nút + bên phải ô để thêm dải nữa (ví dụ phía LANIT có 2 subnet 10.0.1.0/24 và 10.0.2.0/24 cùng tunnel ra một remote).
Sinh Pre-shared Key an toàn
# 32 ký tự ngẫu nhiên — đủ entropy
openssl rand -base64 32
Không dùng PSK chứa từ điển hoặc thông tin có thể đoán. Không tái sử dụng PSK giữa nhiều connection.
Bước 3. Phiên bản IKE
LANIT Cloud chỉ hỗ trợ IKEv2 — phù hợp khuyến nghị bảo mật hiện đại, hầu hết peer phổ biến đều hỗ trợ.
Bước 4. IKE (Phase 1) — Key Exchange
| Tham số | Giá trị mặc định | Tùy chọn khả dụng |
|---|---|---|
| Encryption | aes256 | aes128, aes192, aes256, 3des |
| Digest | sha256 | sha1, sha256, sha384, sha512, md5 |
| DH group | modp2048 (14) | modp1024 (2), modp1536 (5), modp2048 (14), modp3072 (15), modp4096 (16), modp6144 (17), modp8192 (18) |
| Lifetime (giây) | 3600 (1 giờ) | Số nguyên |
Bước 5. ESP (Phase 2) — Data Encryption
Cùng bộ tham số như IKE nhưng áp dụng cho gói tin dữ liệu sau khi tunnel up.
| Tham số | Giá trị mặc định | Tùy chọn khả dụng |
|---|---|---|
| Encryption | aes256 | aes128, aes192, aes256, 3des |
| Digest | sha256 | sha1, sha256, sha384, sha512, md5 |
| DH group | modp2048 (14) | modp1024 (2) ... modp8192 (18) |
| Lifetime (giây) | 3600 (1 giờ) | Số nguyên |
Khuyến nghị cấu hình bảo mật
| Mức ưu tiên | Tham số | Giá trị |
|---|---|---|
| Tốt | Encryption | aes256 |
| Tốt | Digest | sha256 trở lên |
| Tốt | DH group | modp2048 (14) trở lên |
| Tốt | IKE Lifetime | 86400 (24 giờ) — giảm tần suất rekey |
| Tốt | ESP Lifetime | 28800 (8 giờ) |
| Tránh | Encryption | 3des — đã yếu, deprecated |
| Tránh | Digest | md5, sha1 — đã vỡ collision |
| Tránh | DH group | modp1024 (2), modp1536 (5) — yếu trước attacker hiện đại |
Bước 6. Bấm Xác nhận
Sau khi điền đủ Connection #1 (và các Connection #N khác nếu cần), bấm Xác nhận. Portal lưu cấu hình và áp dụng. Tunnel sẽ chuyển Connected khi peer phía remote up đúng.
Bước 7. Cấu hình peer phía remote
Phía remote (on-premise) cấu hình tương đương — đối xứng với phía LANIT:
| Trường LANIT | ↔ | Trường peer | Ghi chú |
|---|---|---|---|
Public IP gateway (ví dụ 161.248.199.97) | ↔ | Remote Peer IP | Lấy ở trang chi tiết gateway |
Left subnet 10.0.0.0/24 | ↔ | Remote Subnets | Phía peer thấy LANIT là remote |
Right subnet 192.168.1.0/24 | ↔ | Local Subnets | |
| Pre-shared key | ↔ | Pre-shared key | Phải giống hệt |
| IKEv2 | ↔ | IKE v2 | Bắt buộc khớp |
| IKE: aes256/sha256/modp2048/3600 | ↔ | Phase 1: phải khớp tất cả | |
| ESP: aes256/sha256/modp2048/3600 | ↔ | Phase 2: phải khớp tất cả |
Ví dụ cấu hình peer
strongSwan (Linux, /etc/ipsec.conf)
conn lanit-cloud
keyexchange=ikev2
left=%defaultroute
leftsubnet=192.168.1.0/24
right=161.248.199.97
rightsubnet=10.0.0.0/24
ike=aes256-sha256-modp2048!
esp=aes256-sha256-modp2048!
ikelifetime=24h
lifetime=8h
authby=secret
auto=start
/etc/ipsec.secrets:
192.168.1.10 161.248.199.97 : PSK "<paste-the-same-PSK-here>"
MikroTik RouterOS
/ip ipsec peer add address=161.248.199.97 exchange-mode=ike2 name=lanit secret="<PSK>"
/ip ipsec policy add src-address=192.168.1.0/24 dst-address=10.0.0.0/24 peer=lanit \
sa-src-address=<router-public-ip> sa-dst-address=161.248.199.97 tunnel=yes
/ip ipsec proposal add name=lanit auth-algorithms=sha256 enc-algorithms=aes-256-cbc \
pfs-group=modp2048 lifetime=8h
pfSense / OPNsense
Trong VPN → IPsec → Tunnels:
- Phase 1: Key Exchange version = IKEv2, Remote Gateway =
161.248.199.97, Encryption = AES-256, Hash = SHA-256, DH Group = 14, Lifetime = 86400. - Phase 2: Local Network =
192.168.1.0/24, Remote Network =10.0.0.0/24, Encryption = AES-256, Hash = SHA-256, PFS group = 14, Lifetime = 28800.
Bước 8. Định tuyến
VPN Gateway tự động đưa Right subnet vào bảng định tuyến của các Network gắn vào Router. Máy ảo trên LANIT chỉ cần giữ default route đi qua Router — không cần cấu hình thêm.
Phía remote cần đảm bảo route đến Left subnet (10.0.0.0/24 trong ví dụ) đi qua thiết bị VPN. Nếu thiết bị VPN không phải default gateway của mạng remote, thêm static route trỏ Left subnet về IP nội bộ của thiết bị VPN.
Nếu cần override hoặc thêm route đặc biệt, dùng Static Route trên Router.
Bước 9. Kiểm tra tunnel
Trên trang chi tiết VPN Gateway, danh sách Connection hiển thị từng tunnel với các cột:
- REMOTE GATEWAY — peer IP.
- RIGHT SUBNET — subnet phía remote.
- LEFT SUBNET — subnet phía LANIT.
- KEY EXCHANGE — phiên bản IKE.
- TRẠNG THÁI —
Connectedkhi tunnel up.
Khi cả hai phía cấu hình xong và up, trạng thái chuyển Connected. Test:
# Từ máy ảo LANIT
ping <IP-nội-bộ-phía-remote>
# Từ máy bên remote
ping <IP-nội-bộ-máy-ảo-LANIT>
Nếu cần buộc đóng và mở lại tunnel (sau khi đổi PSK hoặc khắc phục sự cố), bấm Reset connection ở góc phải trang chi tiết.
Khắc phục sự cố
| Triệu chứng | Nguyên nhân thường gặp | Cách xử lý |
|---|---|---|
| Trạng thái không chuyển Connected | Sai PSK, sai algorithms, peer IP không khớp | So lại từng tham số 2 phía, đặc biệt IKE / ESP / lifetime / DH group |
| Tunnel up nhưng không ping được | Routing/firewall phía remote chưa cho phép subnet LANIT | Mở firewall + thêm route trên peer |
| Ping được nhưng app không hoạt động | MTU mismatch | Đặt MTU 1400 trên máy ảo / interface VPN |
| Đứt định kỳ vài giờ | IKE/ESP lifetime quá ngắn hoặc lệch giữa 2 phía | Đặt IKE lifetime 86400, ESP lifetime 28800 ở cả hai bên |
| Throughput thấp | CPU thiết bị peer yếu hoặc thuật toán nặng | Dùng AES-128 thay AES-256 nếu yêu cầu bảo mật cho phép |
| Đổi cấu hình xong tunnel vẫn lỗi | Phiên IKE/ESP cũ còn chạy với cấu hình cũ | Bấm Reset connection để khởi tạo lại tunnel |
Bảo mật
- PSK dài, ngẫu nhiên (≥ 32 ký tự) — sinh bằng
openssl rand -base64 32. Không tái sử dụng PSK giữa nhiều connection. - IKEv2 + AES-256 + SHA-256 + DH group 14+ — bỏ qua
3des,md5,sha1,modp1024trừ khi peer cũ không hỗ trợ. - Giới hạn Security Group cho subnet remote — không vì có VPN mà mở
0.0.0.0/0cho mọi port. - Audit log — kiểm tra Lịch sử thao tác sau khi đổi cấu hình gateway.
Liên kết
- Khởi tạo VPN Gateway — nếu chưa có gateway.
- Quản lý Router — Router định tuyến traffic ra VPN Gateway.
- Security Group — kiểm soát firewall cho traffic qua VPN.