Avainsana-arkisto: Vigor

SSL VPN:n käyttöönotto DrayTek Vigor 2960 reitittimessä

Esimerkin kuvat on otettu DrayTek Vigor 2960 firmware versio 1.4.4:n käyttöliittymästä.

  1. Jotta voit käyttää VPN:ää, tarvitset kiinteän IP-osoitteen tai voit käyttää Dynaamista DNS:ää, esimerkiksi DrayDDNS.
  2. Aktivoidaan SSL palvelu: Remote Access => Remote Access Control, täppä kohtaan Enable SSL Tunnel Service
  1. Aktivoidaan reititin kuuntelemaan SSL porttia WAN:in puolelta: System Maintenance => Access Control => Access Control, täppä kohtaan HTTPS Allow: Enable. SSL VPN:n lisäksi tästä muutoksesta seuraa reitittimen hallintasivulle pääsy internetin puolelta.

    Vaikka portin vaihtaminen ei pääsyä hallintasivulle estä ja porttiskannauksen tekeminen on helppoa avoimen portin löytämiseksi, HTTPS portin vaihtaminen 443 => esim. 4430 voi parantaa hieman turvallisuutta (DrayTek:in suositus).

    Access List:in käyttö estää hallintasivulle pääsyn, mutta se estää myös SSL VPN yhteydet. Tästä ominaisuudesta on hyötyä vain, jos päätelaitteella on käytössä kiinteä julkinen IP (matkaava WLAN:ien käyttäjä ei tällaista päivää näe).

    Reitittimen hallintasivun salasana on syytä olla vahva, vaihtoehtoisesti voi käyttää mOTP (mobile One-Time-Password) ominaisuutta, jossa salasana vaihtuu minuutin välein.
  1. Koska IP osoitteiden rajoittaminen ei ole mahdollista, voi reitittimen määritellä pistämään IP osoitteet jäähylle määräajaksi, jotka ovat syöttäneet salasanan väärin x kertaa peräkkäin. System Maintenance => Access Control => Fail to Ban, täppä Enable Fail to Ban:iin, sekä muihin Enableihin.
  1. Luodaan käyttäjäprofiili, eli käyttäjätunnus ja salasana: User Management => User Profile. Määritellään käyttäjänimi, aktivoidaan tili (Enable), salasana, sekä sallitaan SSL tunnelin käyttö ko. käyttäjälle.

Reitittimen pään asetukset ovat tässä.

Päätelaitteella, esimerkiksi matkapuhelimessa tulee enää määritellä VPN palvelimen osoite, portti (443), käyttäjätunnus, salasana sekä yhteyden tyyppi (SSL).

Pääteohjelmia eri alustoille löytyy DtayTekin sivuilta.

Ilmaisen DrayDDNS käyttäminen DrayTek Vigor 2960 reitittimessä

Esimerkin kuvat on otettu DrayTek Vigor 2960 firmware versio 1.4.4:n käyttöliittymästä, sekä 1.1.2020 käytössä olleelta https://myvigor.draytek.com/ -sivulta.

  1. Kirjaudu reitittimen hallintasivulle, ja rekisteröi tuotteesi ’Product Registration’ -painiketta painamalla (DrayTekin nettisivu aukeaa)
  1. Kun rekisteröinti on tehty, pääset ’My Information’ -napin kautta näkemään kaikki rekisteröimäsi laitteet. Valitse laite, jolle haluat DrayDDNS:n aktivoida, ja paina ’Activate’ -nappia.
  1. Lue EULA ja hyväksy ehdot (2 täppää). Jatka painamalla ’Next’.
  1. Voit määritellä lisenssin aktivointipäivän, joka tapauksessani on 1.1.2020. Halunnet aktivoida palvelun saman tien käyttöön (jotta voit testata sen toimivuuden). Paina lopuksi ’Register’.
  1. Tämän jälkeen siirry takaisin reitittimen hallintasivulle. Applications => Dynamic DNS => DrayDDNS License -sivulla pitäisi nyt näkyä juuri aktivoimasi lisenssi. Lisenssi on voimassa vuoden kerrallaan.
  1. Siirry takaisin rekisteröintisivulle, jossa niin ikään näkyy juuri aktivoimasi lisenssi. Paina ’Edit DDNS settings’ -painiketta määritelläksesi domain -soitteesi.
  1. Määritä ’Domain Name’ -kohtaan haluamasi domain nimi, esimerkiksi munomaosoite.drayddns.com. Paina Create.
  1. Siirrytään jälleen takaisin reitittimen asetussivulle. Mene Applications => Dynamic DNS => Settings. Valitse haluamasi profiili (kuvassa ensimmäinen, ddns1) ja paina ’Edit’.
  1. Määritä asetukset kuvan mukaisesti, ja paina lopuksi ’Apply’.
  1. Reititin varoittaa, että se lähettää WAN -soitteesi DDNS -palvelun tarjoajalle (DrayTek). Paina OK ja konfigurointi on valmis.
  1. Tarkista, että IP-osoite on saatu onnistuneesti lähetettyä DrayDDNS palveluun Applications => Dynamic DNS => Status sivun kautta. Mikäli konfiguroimasi profiilin Status -kohdalla (kuvassa ddns1) lukee Update Success, on WAN osoitteesi saatu onnistuneesti lähetettyä palveluun.
  1. Tarkista lopuksi komentokehotteen kautta PING komennon avulla (ping munomaosoite.drayddns.com ja lopuksi paina Enter), että määrittämäsi domain vastaa (Reply from …). IP-osoitteen tulisi olla sama kuin reitittimesi WAN osoite. Tämän voit tarkistaa reitittimen asetussivun kautta => Online Status ja etsimällä profiilin wan1 ja sen IP:n. Vaihtoehtoisesti voit tarkistaa osoitteesi esimerkiksi osoitteesta https://www.showmyip.com/ . Käytit kumpaa tapaa tahansa, ping:in palauttama IP osoitteen pitäisi olla sama.

Tämän jälkeen olet vapaa luomaan esimerkiksi VPN palvelun päästäksesi tiedostoihisi käsiksi mistä päin maailmaa tahansa.