SSL VPN:n käyttöönotto DrayTek Vigor 2960 reitittimessä

Esimerkin kuvat on otettu DrayTek Vigor 2960 firmware versio 1.4.4:n käyttöliittymästä.

  1. Jotta voit käyttää VPN:ää, tarvitset kiinteän IP-osoitteen tai voit käyttää Dynaamista DNS:ää, esimerkiksi DrayDDNS.
  2. Aktivoidaan SSL palvelu: Remote Access => Remote Access Control, täppä kohtaan Enable SSL Tunnel Service
  1. Aktivoidaan reititin kuuntelemaan SSL porttia WAN:in puolelta: System Maintenance => Access Control => Access Control, täppä kohtaan HTTPS Allow: Enable. SSL VPN:n lisäksi tästä muutoksesta seuraa reitittimen hallintasivulle pääsy internetin puolelta.

    Vaikka portin vaihtaminen ei pääsyä hallintasivulle estä ja porttiskannauksen tekeminen on helppoa avoimen portin löytämiseksi, HTTPS portin vaihtaminen 443 => esim. 4430 voi parantaa hieman turvallisuutta (DrayTek:in suositus).

    Access List:in käyttö estää hallintasivulle pääsyn, mutta se estää myös SSL VPN yhteydet. Tästä ominaisuudesta on hyötyä vain, jos päätelaitteella on käytössä kiinteä julkinen IP (matkaava WLAN:ien käyttäjä ei tällaista päivää näe).

    Reitittimen hallintasivun salasana on syytä olla vahva, vaihtoehtoisesti voi käyttää mOTP (mobile One-Time-Password) ominaisuutta, jossa salasana vaihtuu minuutin välein.
  1. Koska IP osoitteiden rajoittaminen ei ole mahdollista, voi reitittimen määritellä pistämään IP osoitteet jäähylle määräajaksi, jotka ovat syöttäneet salasanan väärin x kertaa peräkkäin. System Maintenance => Access Control => Fail to Ban, täppä Enable Fail to Ban:iin, sekä muihin Enableihin.
  1. Luodaan käyttäjäprofiili, eli käyttäjätunnus ja salasana: User Management => User Profile. Määritellään käyttäjänimi, aktivoidaan tili (Enable), salasana, sekä sallitaan SSL tunnelin käyttö ko. käyttäjälle.

Reitittimen pään asetukset ovat tässä.

Päätelaitteella, esimerkiksi matkapuhelimessa tulee enää määritellä VPN palvelimen osoite, portti (443), käyttäjätunnus, salasana sekä yhteyden tyyppi (SSL).

Pääteohjelmia eri alustoille löytyy DtayTekin sivuilta.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

This site uses Akismet to reduce spam. Learn how your comment data is processed.