A. Trường hợp không thể kết nối VPN
Thường do các lỗi sau:
1. Chưa kích hoạt giao thức VPN cần thiết
Kiểm tra:
Vào VPN and Remote Access Control >> Remote Access Control, kích hoạt giao thức VPN mong muốn >> nhấn OK và Reboot thiết bị
2. IP WAN của thiết bị là IP sau NAT, bên ngoài không thể kết nối về được
Một số trường hợp nhà mạng cấp cho bạn một IP WAN sau NAT, bên ngoài không thể kết nối tới được >>Liên hệ nhà mạng kiểm tra, yêu cầu cấp IP Internet trực tiếp.
Kiểm tra IP WAN đầu server/ Dial có phải là IP trực tiếp interet hay không
- Vào WAN>> Online status, xem IP WAN thiết bị
- Vào trang What is my IP kiểm tra IP internet tế : https://www.whatismyip.com/
Nếu IP WAN trên thiết bị và IP nhìn thấy trên trang Whatismyip không giống nhau, nghĩa là IP WAN của bạn không phải IP internet trực tiếp>>Liên hệ nhà mạng kiểm tra, yêu cầu cấp IP Internet trực tiếp.
- Trường hợp bạn có nhiều đường truyền, cần rút ra, chỉ chừa lại từng đường truyền muốn VPN để kiểm tra
3. Mất kết nối internet giữa 2 đầu VPN
Trong một số trường hợp, 2 đầu VPN đều có internet. Tuy nhiên vẫn có các trường hợp ngoại lệ, 2 đầu VPN thông với nhau. Lúc này phải liên hệ nhà mạng nhờ họ xử lý.
Kiểm tra:
- Cấu hình cho phép ping IP WAN từ ngoài internet
Vào System Maintenance >> Management, bỏ check Disable Ping from the Internet, nhấn OK 2 lần reboot thiết bị
- Ping qua lại IP WAN 2 đầu thiết bị.
- Thực hiện tracert IP WAN đầu xa nếu không ping được
Nếu Ping không tới, tracert không đến được server/ dial in à liên hệ nhà mạng báo lỗi, nhờ nhà mạng xử lý
- Giao thức VPN bị chặn
Trong trường hợp đã ping thông IP WAN 2 đầu nhưng vẫn không VPN được. Để tránh trường hợp bị giới hạn truy cập từ ngoài Internet.
Hãy Thử VPN bằng giao thức khác như SSL VPN/ PPTP/L2TP /IPSec. Trong đó, giao thức VPN SSL VPN là ít bị hạn chế nhất. Nếu VPN bằng giao thực khác thành công hoặc không có giao thức nào kết nối được thì liên hệ nhà mạng, nhờ họ kiểm tra.
Lưu ý, nếu VPN bằng giao thức SSL VPN, kiểm tra tra Port SSL VPN để điền chính xác
5. Firmware lỗi
Một số thiết bị sử dụng firmware quá cũ, bị lỗi không VPN được hoặc không tương thích với các thiết bị có firmware mới hơn, cần nâng cấp firmware cho thiết bị đó
- backup cấu hình hiện tại: https://www.anphat.vn/quan-ly-thiet-bi-system-maintenance/drayos-huong-dan-backup-va-restore-cau-hinh
- Nâng cấp firmware thiết bị: https://www.anphat.vn/quan-ly-thiet-bi-system-maintenance/drayos-nang-cap-firmware-cho-draytek-router-vigor
B. Trường hợp đã kết nối VPN nhưng không truy cập được dữ liệu
B.1. VPN Host to LAN
1. Bị trùng lớp mạng
Đối với trường hợp trùng lớp mạng, thường sẽ không kết nối VPN thành công hoặc kết nối được nhưng không truy cập được >> đổi lớp mạng một trong 2 bên.
2. Do Firewall / MSS
Ngoại trừ các nguyên nhân như do tường lửa thì nguyên nhân phổ biến đó là do kích thước MSS / MTU của dịch vụ VPN chưa phù hợp
Bạn có thể điều chỉnh bằng cách chỉnh MTU của WAN hoặc MTU của từng loại giao thức VPN: https://www.anphat.vn/vpn-host-to-lan-client-to-site/drayos-huong-dan-doi-thong-so-mtu-vpn-tren-router-draytek
3. Không truy cập được bằng tên máy
Trong các trường hợp khi VPN, chúng tôi đề nghị bạn nên dùng địa chỉ IP hoặc tên dạng domain (VD: host01.abc.com) để kết nối
- Router DrayTek có tuỳ chọn cho phép bạn chuyển tiếp tên NetBIOS Name. Vào profile VPN, chọn Pass Netbios Name Packet.
- Nếu vẫn không được, cần triển khai máy chủ WINS Server để đảm bảo khả năng kết nối.
4. Trường hợp router chính có nhiều lớp mạng, không truy cập được lớp mạng khác của router.
Có 2 cách:
Cách 1: chuyển default gateway về đường VPN:
- Trên Windown: https://www.anphat.vn/vpn-cac-huong-dan-khac/chuyen-doi-default-gateway-cua-may-tinh-khi-ket-noi-vpn-host-to-lan
- Trên Smart VPN client: vào Advanced option, chọn ON mục Use default gateway on Remote Network
Cách 2: điền thêm lớp mạng đầu xa vào profile VPN
Trên Smart VPN Client, add thêm lớp mạng đầu xa.
Vào phần Advances Options >> “More” trên SmartVPN
B.2. VPN LAN to LAN
1. Không ping được qua lại giữa 2 đầu
- Hầu hết các trường hợp sau khi VPN site to site thành công mà không truy cập được máy tính ở mạng bên kia, là do Firewall mặc định của Windows hoặc các chương trình bảo mật khác Kaspersky Internet Security, Norton 360, …
- Nguyên nhân là do các Firewall sẽ chặn truy cập của các lớp mạng khác đến nó
- Ping IP LAN 2 đầu thiết bị
- Tắt tất cả Firewall và chương trình diệt virus trên 2 máy tính muốn truy cập lẫn nhau.
Đổi MSS/ MTU VPN: https://www.anphat.vn/vpn-host-to-lan-client-to-site/drayos-huong-dan-doi-thong-so-mtu-vpn-tren-router-draytek
2. Trường hợp router chính có nhiều lớp mạng, không truy cập được lớp mạng khác của router.
Giả sử
- Đầu A có 2 lớp mạng LAN1: 192.168.123.1/ 24 và LAN2: 172.16.123.1/24
- Đầu B có 1 lớp mạng 10.11.12.1/24
- Đầu B VPN Lan to LAN với lớp LAN1 đầu A
Để đầu B có thể truy cập được cả 2 lớp mạng của đầu A, cần phải add thêm lớp LAN2 đầu A
Trong profile VPN đầu B, mục 5. TCP/IP Network Settings, nhấn nút More, add thêm lớp LAN2 của đầu A >> ngắt /kết nối lại VPN.