Hướng dẫn sử dụng VPN Site to Site trong Portal Cloud Gdata
Giới thiệu
VPN Site to Site trong Portal Cloud Gdata cho phép kết nối mạng nội bộ của doanh nghiệp (On-Premises) với hệ thống Cloud Gdata thông qua giao thức IPSec VPN.
Giải pháp này giúp các máy chủ, ứng dụng và dịch vụ ở hai đầu kết nối có thể trao đổi dữ liệu an toàn thông qua Internet mà không cần sử dụng địa chỉ IP Public trực tiếp cho từng máy chủ.
Điều kiện trước khi thực hiện
• Có tài khoản Portal Cloud Gdata.
• Đã được cấp quyền sử dụng dịch vụ VPN.
• Có ít nhất một dải mạng Public để tạo VPN Gateway.
• Có thiết bị VPN Gateway hoặc Firewall tại đầu kết nối bên ngoài.
• Xác định trước các dải mạng nội bộ cần kết nối.
• Có địa chỉ IP Public của thiết bị VPN phía đối tác.
Nguyên nhân phổ biến
VPN Site to Site thường được sử dụng trong các trường hợp sau:
• Kết nối mạng văn phòng với hệ thống Cloud Gdata.
• Kết nối giữa Datacenter và Cloud Gdata.
• Kết nối nhiều chi nhánh doanh nghiệp thông qua hạ tầng Cloud.
• Truy cập tài nguyên Private Network trên Cloud từ hệ thống nội bộ.
• Đồng bộ dữ liệu giữa hệ thống On-Premises và Cloud.
Hướng dẫn thực hiện
Bước 1: Truy cập dịch vụ VPN
Mô tả
Truy cập chức năng quản lý VPN trên Portal Cloud Gdata.
Thực hiện:
• Đăng nhập Portal Cloud Gdata.
• Chọn menu Network.
• Chọn VPN.
• Màn hình hiển thị danh sách VPN Gateway hiện có.
Kiểm tra:
• Hệ thống hiển thị màn hình Danh sách VPN Gateway.
• Nếu chưa có VPN nào, danh sách sẽ trống.
Lưu ý:
• Mỗi tài khoản hiện chỉ được phép tạo một VPN Gateway.
Bước 2: Tạo VPN Gateway
Mô tả
VPN Gateway là đầu mối tiếp nhận kết nối VPN từ hệ thống bên ngoài vào Cloud Gdata.
Thực hiện:
• Nhấn nút Tạo.
• Nhập Tên VPN Gateway.
• Chọn Dải mạng Public.
• Chọn thời gian thuê bao.
• Kiểm tra thông tin đơn hàng.
• Nhấn Xác nhận.
Ví dụ:
• Tên VPN Gateway: demo-vpn
• Dải mạng Public: Public-VLAN1066
• Gói thuê bao: Trả trước 1 tháng
Kiểm tra:
• Hệ thống hiển thị thông báo tạo thành công.
• VPN Gateway xuất hiện trong danh sách.
• Trạng thái hiển thị Đang hoạt động.
• Hệ thống cấp phát Public IP cho VPN Gateway.
Lưu ý:
• Tên VPN chỉ được sử dụng chữ thường, số, dấu gạch ngang.
• Độ dài tên từ 3 đến 15 ký tự.
Bước 3: Xem thông tin VPN Gateway
Mô tả
Sau khi tạo thành công, người dùng có thể xem chi tiết VPN Gateway.
Thực hiện:
• Nhấn vào tên VPN Gateway.
• Truy cập màn hình Chi tiết Gateway.
• Kiểm tra thông tin được cấp phát.
Kiểm tra:
• Thời gian tạo.
• Public IP.
• Trạng thái hoạt động.
• Danh sách kết nối VPN.
Lưu ý:
• Public IP này sẽ được sử dụng để cấu hình trên thiết bị VPN phía đối tác.
Bước 4: Cấu hình kết nối VPN Site to Site
Mô tả
Tạo cấu hình IPSec VPN giữa Cloud Gdata và hệ thống bên ngoài.
Thực hiện:
• Trong màn hình Chi tiết Gateway chọn Cập nhật Config.
• Chọn Thêm Config.
• Khai báo các thông tin kết nối.
Gateway IP
Nhập địa chỉ IP Public của thiết bị VPN phía đối tác.
Ví dụ:
• 123.34.254.254
Left Subnets
Khai báo dải mạng phía Cloud Gdata.
Ví dụ:
• 10.10.10.0/24
Lưu ý:
• Không khai báo 0.0.0.0/0 nếu không sẽ lỗi network của dải IP LAN đang sử dụng cho các VM.
Right Subnets
Khai báo dải mạng phía đối tác.
Ví dụ:
• 192.168.100.0/25
• 192.168.99.0/24
Preshare Key
Nhập khóa bí mật dùng để xác thực IPSec VPN.
IKE Version
Chọn:
• ikev2
IKE Parameters
Encryption:
• aes128
• aes192
• aes256
• 3des
Digest:
• sha1
• sha256
• sha384
• sha512
• md5
DH Group:
• modp1024 (2)
• modp1536 (5)
• modp2048 (14)
• modp3072 (15)
• modp4096 (16)
• modp6144 (17)
• modp8192 (18)
Lifetime:
• Mặc định 3600 giây
ESP Parameters
Encryption:
• aes128
• aes192
• aes256
• 3des
Digest:
• sha1
• sha256
• sha384
• sha512
• md5
DH Group:
• modp1024 (2)
• modp1536 (5)
• modp2048 (14)
• modp3072 (15)
• modp4096 (16)
• modp6144 (17)
• modp8192 (18)
Lifetime:
• Mặc định 3600 giây
Sau khi hoàn tất cấu hình:
• Nhấn Xác nhận.
Kiểm tra:
• Hệ thống hiển thị thông tin kết nối trong Danh sách kết nối.
• Gateway IP hiển thị chính xác.
• Left Subnet và Right Subnet hiển thị đúng.
• Key Exchange hiển thị IKEv2.
Lưu ý:
• Thông số IPSec phải giống hoàn toàn trên cả hai đầu kết nối.
• Preshare Key phân biệt chữ hoa và chữ thường.
Bước 5: Kiểm tra và khởi tạo kết nối
Mô tả
Sau khi cấu hình hoàn tất, tiến hành đồng bộ kết nối VPN.
Thực hiện:
• Kiểm tra cấu hình trên thiết bị VPN phía đối tác.
• Nhấn Reset kết nối nếu cần khởi tạo lại tunnel.
• Chờ hệ thống đồng bộ trạng thái.
Kiểm tra:
• Danh sách kết nối hiển thị trạng thái hoạt động.
• Có thể Ping hoặc truy cập tài nguyên giữa hai hệ thống.
Nếu không phản hồi cần kiểm tra:
• Gateway IP.
• Preshare Key.
• Left Subnets.
• Right Subnets.
• Thuật toán IKE.
• Thuật toán ESP.
• Firewall tại hai đầu kết nối.
Kết quả sau khi thực hiện
Kết quả:
Sau khi cấu hình thành công, VPN Site to Site sẽ tạo đường hầm IPSec bảo mật giữa Cloud Gdata và hệ thống bên ngoài.
Các máy chủ thuộc Left Subnets và Right Subnets có thể giao tiếp trực tiếp với nhau thông qua kết nối VPN mà không cần sử dụng IP Public.
Các lỗi thường gặp
Lỗi: Trạng thái kết nối hiển thị Không xác định
Nguyên nhân:
• Thiết bị VPN phía đối tác chưa được cấu hình.
• Thiết bị VPN chưa kết nối Internet.
• Sai địa chỉ Gateway IP.
Cách xử lý:
• Kiểm tra IP Public của đối tác.
• Kiểm tra cấu hình VPN phía đối tác.
• Thực hiện Reset kết nối.
Lỗi: Tunnel VPN không lên
Nguyên nhân:
• Sai Preshare Key.
• Sai thuật toán mã hóa.
• Sai thông số DH Group.
Cách xử lý:
• Kiểm tra lại toàn bộ thông số IKE và ESP.
• Đảm bảo hai đầu sử dụng cùng một cấu hình.
Lỗi: Kết nối VPN lên nhưng không truyền dữ liệu
Nguyên nhân:
• Sai khai báo Left Subnets.
• Sai khai báo Right Subnets.
• Firewall chặn lưu lượng.
Cách xử lý:
• Kiểm tra lại CIDR của các dải mạng.
• Kiểm tra Security Policy trên Firewall.
• Kiểm tra định tuyến tại hai đầu kết nối.
Khuyến nghị và lưu ý bảo mật
• Sử dụng IKEv2 thay cho IKEv1 để tăng cường bảo mật. (Mặc định Gdata chỉ hỗ trợ IKEv2)
• Ưu tiên sử dụng AES256 và SHA256 hoặc cao hơn.
• Sử dụng DH Group từ modp2048 (14) trở lên.
• Đặt Preshare Key có độ dài tối thiểu 16 ký tự.
• Thay đổi Preshare Key định kỳ.
• Chỉ khai báo các dải mạng thực sự cần kết nối.
• Theo dõi trạng thái VPN thường xuyên để phát hiện sự cố kịp thời.