Esimerkin kuvat on otettu DrayTek Vigor 2960 firmware versio 1.4.4:n käyttöliittymästä.
- Jotta voit käyttää VPN:ää, tarvitset kiinteän IP-osoitteen tai voit käyttää Dynaamista DNS:ää, esimerkiksi DrayDDNS.
- Aktivoidaan SSL palvelu: Remote Access => Remote Access Control, täppä kohtaan Enable SSL Tunnel Service
![](http://vahamartti.fi/blog/wp-content/uploads/2020/01/SSL_enable_service-1024x328.png)
- Aktivoidaan reititin kuuntelemaan SSL porttia WAN:in puolelta: System Maintenance => Access Control => Access Control, täppä kohtaan HTTPS Allow: Enable. SSL VPN:n lisäksi tästä muutoksesta seuraa reitittimen hallintasivulle pääsy internetin puolelta.
Vaikka portin vaihtaminen ei pääsyä hallintasivulle estä ja porttiskannauksen tekeminen on helppoa avoimen portin löytämiseksi, HTTPS portin vaihtaminen 443 => esim. 4430 voi parantaa hieman turvallisuutta (DrayTek:in suositus).
Access List:in käyttö estää hallintasivulle pääsyn, mutta se estää myös SSL VPN yhteydet. Tästä ominaisuudesta on hyötyä vain, jos päätelaitteella on käytössä kiinteä julkinen IP (matkaava WLAN:ien käyttäjä ei tällaista päivää näe).
Reitittimen hallintasivun salasana on syytä olla vahva, vaihtoehtoisesti voi käyttää mOTP (mobile One-Time-Password) ominaisuutta, jossa salasana vaihtuu minuutin välein.
![](http://vahamartti.fi/blog/wp-content/uploads/2020/01/SSL_https_allow-1-1024x884.png)
- Koska IP osoitteiden rajoittaminen ei ole mahdollista, voi reitittimen määritellä pistämään IP osoitteet jäähylle määräajaksi, jotka ovat syöttäneet salasanan väärin x kertaa peräkkäin. System Maintenance => Access Control => Fail to Ban, täppä Enable Fail to Ban:iin, sekä muihin Enableihin.
![](http://vahamartti.fi/blog/wp-content/uploads/2020/01/SSL_fail2ban.png)
- Luodaan käyttäjäprofiili, eli käyttäjätunnus ja salasana: User Management => User Profile. Määritellään käyttäjänimi, aktivoidaan tili (Enable), salasana, sekä sallitaan SSL tunnelin käyttö ko. käyttäjälle.
![](http://vahamartti.fi/blog/wp-content/uploads/2020/01/SSL_user.png)
Reitittimen pään asetukset ovat tässä.
Päätelaitteella, esimerkiksi matkapuhelimessa tulee enää määritellä VPN palvelimen osoite, portti (443), käyttäjätunnus, salasana sekä yhteyden tyyppi (SSL).
Pääteohjelmia eri alustoille löytyy DtayTekin sivuilta.