PCWVN - Theo dõi băng thông và chất lượng dịch vụ (QoS) trên dòng router dùng Tomato firmware, kết hợp với 2 công cụ là IPTables Bandwidth Monitor của Mark Vejvoda và Script Generator của Robert "Robson" Mytkowski.

Trừ phi bạn mua bộ định tuyến (router) đắt tiền giá khoảng chục triệu, còn không, với các router giá vài triệu chạy Linux khó hy vọng có sẵn các tính năng quản lý băng thông. Tuy nhiên, bạn có thể làm được chuyện đó nhờ các phiên bản Linux tuỳ biến.

Trong bài, người viết sử dụng Linksys WRT54GL version 1.1 giá tầm 1,2 triệu đồng. Để mua đúng thiết bị chạy Tomato (nhân Linux) thì bạn nên biết về các loại router sử dụng chipset của Broadcom có đủ bộ nhớ flash (thường phải từ 4MB trở lên) và RAM (từ 16MB trở lên). Bạn có thể tìm mua những dòng router tương thích với Tomato được nhắc đến trên website của Tomato (http://www.polarcloud.com/tomato).

Routers that are known to work with Tomato:

• Linksys WRT54GL v1.x, WRT54G v1-v4, WRT54GS v1-v4, WRTSL54GS (no USB support)
  
• Buffalo WHR-G54S, WHR-HP-G54, WZR-G54, WBR2-G54, WBR-G54, WZR-HP-G54, WZR-RS-G54, WZR-RS-G54HP, WVR-G54-NF, WHR2-A54-G54, WHR3-AG54
  
• Asus WL520GU (no USB support), WL500G Premium (no USB support), WL500GE
  
• Sparklan WX6615GT, Fuji RT390W, Microsoft MN-700
  

Giới thiệu về Tomato

Đây là phiên bản firmware nhỏ gọn và đơn giản với giao diện web dễ sử dụng - một lợi thế của Tomato vì khi nghe nhắc đến router chạy Linux thì nhiều người e ngại sự phức tạp của việc dùng dòng lệnh để thiết lập cấu hình. Dĩ nhiên với các bạn đã biết qua OpenWRT với phiên bản X-WRT kèm theo hay với DD-WRT thì giao diện web không phải là mới. Nhưng Tomato có giao diện theo người viết là thân thiện hơn vì sử dụng AJAX và mô tả băng thông với tính năng đồ họa. Tomato không yêu cầu bạn phải khởi động lại router mỗi lần thay đổi cấu hình. 

Người viết tin chắc hầu hết các bạn sẽ thấy ấn tượng với giao diện theo dõi băng thông của nó. Bạn có thể tham khảo thêm đoạn video clip tại: http://www.polarcloud.com/v/scbwm.htm. Tomato còn rất nhiều tính năng khác. Hữu ích hay không… phải tùy theo nhu cầu của bạn. Nếu bạn muốn một danh sách các tính năng của Tomato, có thể xem ở: http://en.wikipedia.org/wiki/Tomato_(firmware)#Features 

Cài đặt Tomato không khó. Trên website của Tomato có hướng dẫn khá đầy đủ hoặc trong file readme.htm đi kèm với firmware mà bạn tải về. Tuy nhiên Tomato sẽ sử dụng lại cấu hình có sẵn của router nên việc cài đặt sẽ giống như một lần nâng cấp, chỉ có điều sau đó thì bạn sẽ có một giao diện mới với nhiều tính năng hơn. 

Nếu bạn đã đọc tới đây thì người viết tin chắc bạn không lạ gì với tính năng cơ bản trong giao diện của các router như LAN, WAN, Administration, Firewall hay Status… Giao diện của Tomato có thêm phần Bandwidth để theo dõi băng thông, QoS để quản lý chất lượng dịch vụ (người viết tin rằng nhiều bạn sẽ đánh giá cao mục View Details của phần QoS, cho phép theo dõi các địa chỉ IP trên mạng của mình đang truy cập địa chỉ nào, dùng port nào để truy cập), Access Restriction cho phép tạo các rule để quản lý truy cập… theo từng TCP/UDP port và hạn chế download P2P (peer to peer) hay theo giờ sử dụng. Phần Administration của Tomato có một số lựa chọn khác với các firmware có sẵn của các loại router thông thường như Debugging (khá quen thuộc với các bạn đã làm việc với IOS của Cisco). Hay mục CIFS Client và JFFS2 để truy cập các thư mục chia sẻ trên mạng nội bộ hay sử dụng bộ nhớ flash làm thư mục chứa file. Ngoài ra, mục Scripts và Scheduler là nơi để bạn thêm các tính năng mà Tomato chưa có, nếu bạn biết khai thác. Như để theo dõi băng thông bình thường thì Tomato đã có sẵn theo thời gian thực hay từng ngày, từng tuần, từng tháng. Nhưng nếu muốn theo dõi băng thông theo từng địa chỉ IP hay hạn chế/tùy biến download của người dùng thì bạn sẽ phải kết hợp 2 mục Scripts và Scheduler với 2 công cụ sẽ được giới thiệu sau đây.
 
Theo dõi băng thông theo từng địa chỉ IP

Tại sao bạn lại cần theo dõi băng thông sử dụng theo từng địa chỉ IP? Người viết nghĩ bạn tự trả lời được câu hỏi này. 

Để sử dụng IPTables Bandwidth Monitor của Mark Vejvoda với Tomato, bạn phải sử dụng Static Lease của dịch vụ DHCP để cố định địa chỉ IP của người dùng. Việc này làm rất dễ dàng với Tomato, chỉ cần vào mục Device List, chọn từng địa chỉ IP của người dùng rồi nhấn chữ [static] ngay bên dưới, giao diện của Static DHCP sẽ hiện ra, bạn có thể gõ tên người dùng hoặc tên computer vào mục Hostname, nhấn Add và thế là xong cho một người dùng. Cứ lặp lại việc này cho đến khi hết danh sách người dùng của bạn.

Bạn cần thiết lập một thư mục chia sẻ để chứa log và các file cần thiết cho gói IPTables Bandwidth Monitor. Bạn có thể sử dụng bộ nhớ flash, nhưng để đơn giản, bạn có thể bắt đầu với CIFS Client trước. Bạn hãy tạo một thư mục chia sẻ trên một máy tính trong mạng nội bộ, cấp quyền truy cập write cho một username trên máy tính. Sau đó sử dụng username và password để khai báo trong mục CIFS Client. Đường dẫn UNC nên sử dụng tên máy theo địa chỉ IP, dạng: \\xxx.xxx.xxx.xxx\sharedfolder. Nếu bạn làm đúng, sau khi nhấn Save và đợi Tomato khởi động lại các dịch vụ cần thiết, mục Total/Free Size sẽ hiện lên dung lượng tối đa và còn trống của thư mục chia sẻ nói trên.

Tiếp theo bạn cần tải về gói phần mềm IPTables Bandwidth Monitor từ địa chỉ: https://launchpad.net/ipt-parse và bung file ipt-parse.7z bằng 7-zip hay WinRAR để lấy thư mục tên là tomato_files. Chép nội dung của thư mục này vào thư mục chia sẻ nói trên.

Trong trang wiki hướng dẫn của Mark Vejvoda có hướng dẫn 2 cách: sử dụng logfile hoặc sử dụng SQLITE database. Bài viết này chỉ đề cập đến cách thứ hai. Bạn hãy vào mục Scripts bên dưới phần Administration, chọn tab Firewall và gõ dòng lệnh như sau vào ô trống: /cifs1/ipt-parse 6.

Nhấn Save và để cho Tomato khởi động lại dịch vụ cần thiết. Sau đó vào mục Scheduler, chọn phần Custom 1, nhấn lên Enable. Chọn Time là “Every 15 minutes” và đảm bảo là bạn chọn Everyday ở mục Days. Trong ô Command bạn gõ những dòng lệnh như sau:
cd /cifs1
./ipt-parse 2 BANDWIDTH "iptables -L traffic_all -vnx" "iptables -Z traffic_all"
./ipt-parse 4 today today BANDWIDTH flags=morehostinfo > dailybandwidthlive.html
./ipt-parse 4 today-7 today BANDWIDTH flags=morehostinfo > weeklybandwidthlive.html

(Bạn có thể vào trang wiki của Mark Vejvoda để copy and paste các dòng lệnh)
Nhấn Save và chờ Tomato khởi động lại dịch vụ. Nếu bạn làm đúng, và username để truy cập trong CIFS Client có đủ quyền, sau thời gian 15 phút trong thư mục chia sẻ sẽ xuất hiện 2 file có đuôi .html có các thông tin về băng thông sử dụng của từng địa chỉ IP mà bạn đã khai báo trong Static Lease của DHCP. 

Nếu đã thành công và vẫn muốn tìm tòi thêm, trang wiki có hướng dẫn cách đưa 2 trang report ở trên lên router. Lúc đó bạn sẽ truy cập 2 trang đó theo địa chỉ của router với dạng như sau: http://xxx.xxx.xxx.xxx/ext/dailybandwidthlive.asp với các chữ x là địa chỉ IP của router. Hoặc bạn có thể đưa thẳng nội dung của thư mục tomato_files vào bộ nhớ flash, không cần phải sử dụng thư mục chia sẻ.

QoS

Tomato cung cấp các giao diện như sau để bạn quản lý chất lượng dịch của lưu lượng băng thông trên mạng. Như ở trên đã đề cập, phần View Details rất hữu ích để bạn nắm được ai-đang-làm-gì-ở-đâu trên mạng của mình. Từ đó bạn có thể điều chỉnh, hoặc thậm chí hạn chế với các rule trong phần Access Restriction.

Tuy nhiên, công cụ Script Generator của Robson cho bạn nhiều quyền lực hơn những tính năng sẵn có của Tomato. Thử nhìn vào hình sau: 

Bạn có thể quy định đến từng địa chỉ IP, hay dãy địa chỉ IP, hay port, hay thậm chí một dãy port có băng thông riêng, bao nhiêu kết nối… Thậm chí ưu tiên cho một loại traffic nào đó.

Script Generator chỉ đơn giản là viết lệnh Linux thay cho bạn, sau khi bạn đã thiết lập các rule phục vụ nhu cầu của bạn, theo hướng dẫn của nó. Sau đó nó sẽ xuất ra thành các dòng lệnh. Bạn chỉ việc copy và paste chúng vào mục Scripts, trong tab Firewall. Save và nếu được nên khởi động lại router.

Thiết lập máy chủ VPN trên Router Tomato (Phần 1)

webso - Thiết lập một mạng riêng ảo là cách mà bạn không phải mua các thiết bị đắt tiền mà vẫn cho phép người dùng có thể truy cập từ xa hoặc kết nối các văn phòng với nhau một cách an toàn. Những ưu điểm của mạng riêng ảo còn mang lại rất nhiều lợi ích cho các doanh nghiệp có kích thước trung bình và nhỏ.

Microsoft cung cấp cho bạn chức năng máy khách và máy chủ VPN ngay bên trong hệ điều hành Windows; mặc dù vậy tập các tính năng này còn rất nhiều hạn chế, chỉ có các phiên bản Vista và các phiên bản sau này có mức độ bảo mật tốt hơn. Tuy nhiên có một phương pháp khác mà chúng tôi sẽ giới thiệu ở đây là cài đặt một phần mềm thay trên Router không dây được load với máy chủ và máy khách OpenVPN miễn phí. Các bạn chắc đã biết đến cách thực hiện này qua phần mềm DD-WRT, tuy nhiên trong bài này chúng tôi sẽ giới thiệu cho các bạn một phần mềm khác, một biến thể của TomatoVPN.

Tìm Router tương thích

Chúng ta không thể sử dụng phần mềm Tomato trên bất cứ Router không dây nào. Cần phải bảo đảm rằng bạn có một Router tương thích với nó. Các hãng có Router hỗ trợ cho phần mềm này gồm có Linksys, Buffalo và Asus. Bạn có thể kiểm tra sự tương thích của model và phiên bản cụ thể tại đây.

Khi đã thẩm định Router của bạn có khả năng tương thích, hãy download và cài đặt phần mềm.

Trong hướng dẫn này chúng tôi dựa trên việc sử dụng phát hành 1.27vpn3.6 của TomatoVPN, sử dụng máy chủ và máy khách OpenVPN 2.1.1. Sau đó trên một máy tính (PC), sẽ sử dụng OpenVPN 2.1.4 để tạo các chứng chỉ SSL và tạo hoạt động của máy khách VPN trên các máy tính.

Đăng nhập ban đầu

Bắt đầu bằng cách kết nối với Router TomatoVPN và đăng nhập vào giao diện điều khiển web. Mở trình duyệt và nhập vào địa chỉ IP mặc định 192.168.1.1 của Router. Sau đó đăng nhập bằng username và password mặc định, cả hai đều là "admin".

Trước khi thực hiện bất cứ thao tác nào với các tính năng VPN, cần bảo đảm cấu hình những vấn đề cơ bản về bảo mật: các thiết lập không dây (bảo mật WPA hay WPA2) và mật khẩu của Router cho panel điều khiển.

Thay đổi Subnet và IP của Router

Do các kết nối VPN sẽ liên kết các mạng với nhau, do đó chúng ta phải cẩn thận với subnet và IP để không xảy ra hiện tượng xung đột. Địa chỉ IP mặc định của TomatoVPN là 192.168.1.1 và đây đôi khi là nguyên nhân gây ra vấn đề. Hãy sử dụng một địa chỉ khác, chẳng hạn như 192.168.50.1 để tránh gặp phải vấn đề xung đột. Nếu bạn có nhiều văn phòng, hãy gán cho mỗi văn phòng một IP/subnet khác nhau, chẳng hạn như 192.168.51.1 và 192.168.52.1.

Để thay đổi Router TomatoVPN, kết nối và triệu gọi giao diện điều khiển web bằng cách nhập địa chỉ IP mặc định 192.168.1.1 vào trình duyệt web. Tiếp tục kích Basic > Network (xem trong hình 1). Thay đổi Router IP Address, chẳng hạn 192.168.50.1 và điều chỉnh IP Address Range theo, chẳng hạn 192.168.50.100 - 192.168.50.149. Sau đó kích Save.

Lúc này bạn phải sử dụng IP mới để đăng nhập vào giao diện điều khiển TomatoVPN

Đăng ký và cấu hình dịch vụ DNS động

Nếu kết nối Internet nơi bạn muốn thiết lập máy chủ VPN sử dụng một địa chỉ IP động, khi đó bạn cần sử dụng dịch vụ DNS động. Bằng không bạn sẽ phải tự đi tìm IP của kết nối Internet và cập nhật nó trên các máy khách khi địa chỉ này thay đổi.

Đăng ký một dịch vụ DNS động, chẳng hạn như từ No-IP. Sau đó trên Router TomatoVPN, kích Basic > DDNS, nhập các thông tin chi tiết cho dịch vụ. Router của bạn lúc này sẽ tự động cập nhật hostname để trỏ vào địa chỉ IP hiện hành của bạn. Bạn chỉ cần nhập vào hostname trên cấu hình VPN máy khách thay cho địa chỉ IP.


Tạo chứng chỉ máy chủ và máy khách

Do OpenVPN sử dụng SSL nên bạn phải tạo và cài đặt các chứng chỉ SSL trên máy chủ và khách. Chọn một máy tính an toàn để tạo và quản lý PKI, sau đó download và cài đặt OpenVPN bằng Windows Installer. Lưu ý cần phải quay trở lại máy tính này để tạo các chứng chỉ khách bổ sung trong tương lai.

Khi cài đặt OpenVPN, bạn có thể bắt đầu công việc dưới đây:

1. Mở Command Prompt: Kích Start, đánh cmd và nhấn Enter.
2. Chuyển sang thư mục easy-rsa: cd C:Program FilesOpenVPNeasy-rsa.
3. Chạy file batch để tạo các file cấu hình: init-config (xem trong hình 2
4. Để mở cửa sổ Command Prompt để sử dụng sau này.

Tiếp theo, vào thư mục dưới đây trong Windows: C:Program FilesOpenVPNeasy-rsa. Sau đó kích phải vào file vars.bat và kích Edit. Bạn phải thay đổi các giá trị mặc định của tất cả các thiết lập dưới đây:

• KEY_COUNTRY
• KEY_PROVINCE
• KEY_CITY
• KEY_ORG
• KEY_EMAIL

Nếu mở file bằng Notepad mà không có bất cứ dòng nào trả về thì lúc này mọi thứ đang OK. Bạn chỉ cần chỉnh sửa các giá trị thiết lập nằm giữa dấu bằng và từ “set”. Để rõ hơn, chúng ta có thể download và sử dụng bộ soạn thảo như VIM.


Lúc này quay trở lại cửa sổ Command Prompt và khởi tạo PKI bằng cách nhập vào các lệnh dưới đây:

Vars
clean-all
build-ca

Khi thấy nhắc nhở nhập vào các tham số (xem hình 3), chỉ thiết lập trong file vars.bat, nhấn Enter để chấp nhận chúng. Có thể để trắng phần Organizational Unit Name. Tuy nhiên chúng ta cần phải nhập vào phần Common Name. Đây sẽ là tên của chứng chỉ CA sẽ được cài đặt vào máy chủ và tất cả các máy khách. Chọn một tên nào đó, chẳng hạn như "ABC_Corp-VPN-CA".

Lúc này bạn có thể tạo một chứng chỉ và khóa bảo mật cho máy chủ bằng lệnh:

build-key-server server

Chúng ta sẽ thấy nhắc nhở nhập các tham số lần nữa. Chấp nhận các giá trị mặc định cho những thứ yêu cầu trong vars.bat. Với Common Name, nhập vào tên giống như "ABC_Corp-VPN-Server". Cần bảo đảm nhập vào mật khẩu bảo mật và bạn có thể nhớ hoặc lưu ở địa điểm an toàn nào đó. Khi được nhắc nhở để ký và cất giữ chứng chỉ, hãy xác nhận các thông tin chi tiết và sau đó nhấn “y”.


Tiếp đến, bạn có thể tạo các chứng chỉ máy khách cho các máy tính và Router sẽ kết nối từ xa với máy chủ VPN của bạn. Cũng phải tạo một chứng chỉ riêng cho mỗi máy khách. Nhập "build-key" vào Command Prompt, sau đó là một dấu cách và tên của chứng chỉ. Cho ví dụ, với ba máy khách:

build-key client1
build-key client2
build-key client3

Bạn có thể muốn có thêm nhiều chi tiết cho phần tên, do đó hãy chỉ định người hoặc Router sẽ sử dụng nó.
Nhắc nhở nhập các tham số có thể xuất hiện lần nữa. Chọn một Common Name duy nhất cho mỗi tham số. Có thể tùy chọn tạo mật khẩu.

Lưu ý: Nếu phải tạo các chứng chỉ máy khách bổ sung trong tương lai, hãy trở về thư mục easy-rsa trong Command Prompt, đánh "vars", sau đó sử dụng lệnh build-key, chẳng hạn như build-key client2.
Lúc này bạn phải tạo các tham số Diffie Hellman bằng cách nhập:

build-dh

Cuối cùng, bạn sẽ thấy các chứng chỉ của mình trong thư mục dưới đây:

C:Program FilesOpenVPNeasy-rsakeys

Cần lưu ý: CA, máy chủ và tất cả các khóa máy khách cần được giữ riêng tư và bảo mật.

(Theo Serverwatch)

Thiết lập máy chủ VPN trên Router Tomato (Phần 2)

webso - Trong phần trước của loạt bài này, chúng ta đã nâng cấp Router không dây bằng phần mềm TomatoVPN và bắt đầu chuẩn bị sử dụng máy chủ VPN của nó. Đây là cách rất kinh tế và an toàn để người dùng từ xa có thể truy cập vào mạng của bạn hoặc có thể kết nối nhiều văn phòng với nhau. Trong phần này, chúng ta sẽ cùng nhau đi tìm hiểu cách cấu hình máy chủ và máy khách VPN, sau đó đi test toàn bộ quá trình.

Cấu hình máy chủ VPN

Lúc này bạn đã có mọi thứ cần thiết để cấu hình máy chủ VPN trên Router TomatoVPN. Kết nối đến Router và mở giao diện điều khiển web. Sau đó kích VPN Tunneling > Server (xem hình 1). Ở đây là các thiết lập ví dụ:

• Start with WAN: Checked
• Interface Type: TAP
• Protocol: UDP
• Port: 1194
• Firewall: Automatic
• Authorization Mode: TLS
• Extra HMAC authorization: Disabled


Với Client Address Pool, hủy chọn mục này và bảo đảm rằng dải địa chỉ IP nằm trong cùng subnet với Router. Cho ví dụ, nếu bạn thay đổi địa chỉ IP của Router thành 192.168.50.1, khi đó hãy đặt dải địa chỉ IP của bạn là 192.168.50 đến 192.168.50.55. Khi đó hệ thống của bạn có thể hỗ trợ được 6 máy khách VPN cùng lúc. Bạn hoàn toàn có thể tăng dải này lên nếu có nhiều máy khách hơn số lượng này. Ở đây không được nhầm lẫn với dải được phân định trước cho người dùng cục bộ, cho ví dụ 192.168.50.100 đến 192.168.50.149.

Kích Save để lưu các thay đổi.

Tiếp đó, kích tab Advanced. Đối với phần Compression, chọn Disabled. Nếu bạn muốn tất cả lưu lượng Internet của các máy khách đi qua VPN, chẳng hạn như để bảo vệ lưu lượng trên các mạng công cộng, hãy tích mục Direct clients to redirect Internet traffic.Để cho phép các máy khách VPN có thể truy cập vào các tài nguyên của nhau, tích Manage Client-Specific Options và Allow Client<->Client. Bằng không, các máy khách VPN sẽ có thể truy cập vào các tài nguyên chia sẻ của các máy tính được kết nối trực tiếp đến mạng nội bộ của Router TomatoVPN cấu hình máy chủ. Sau khi thực hiện bước này, kích Save để lưu các thay đổi.


Lúc này kích tab Keys (xem hình 3) và điền vào các trường bằng cách copy trong các nội dung của các file mà bạn đã tạo trong thư mục easy-rsakeys:

• Certificate Authority - ca.crt
• Server Certificate - server.crt
• Server Key - server.key
• Diffie Hellman parameters - dh1024.pem


Mở các file này trong Notepad để xem và copy nội dung. Một số file bạn có thể kích phải, chọn Open With, Notepad.

Đối với chứng chỉ máy chủ, không tích hợp phần đầu tiên của file. Tương tự như các file khác, bắt đầu với -----BEGIN CERTIFICATE----- và kết thúc -----END CERTIFICATE-----.

Sau khi thực hiện xong, kích Save.

Khởi chạy máy chủ VPN

Lúc này bạn đã hoàn toàn sẵn sàng cho việc chạy máy chủ VPN. Trên bất cứ tab nào của máy chủ, nhấn nút Start Now. Nếu thành công, nút này sẽ thay đổi thành Stop Now và bạn sẽ thấy phần thống kê nói chung (General Statistics) trên tab Status.

Cấu hình máy khách trên các máy tính

Thời điểm này bạn có thể cấu hình các máy khách mà bạn muốn kết nối với máy chủ VPN. Bắt đầu bằng cách download và cài đặt OpenVPN trên mỗi máy tính. Tiếp đến, mở Notepad và dán vào đoạn mã dưới đây:

remote XXX.XXX.XXX.XXX 1194
client
dev tun0
proto udp
resolv-retry infinite
nobind
persist-key
persist-tun
float
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server

Thay thế địa chỉ từ xa ở phần đầu bằng địa chỉ IP Internet hoặc WAN của bạn. Cách khác bạn có thể sử dụng hostname, chẳng hạn từ một dịch vụ DNS động, nếu kết nối Internet của bạn không có IP tĩnh. Ngoài ra cần bảo đảm rằng filename của chứng chỉ khách và key phải đúng.

Lưu file Notepad với đuôi .ovpn vào địa chỉ sau: C:Program FilesOpenVPNconfig.

Copy chứng chỉ CA (ca.crt) và chứng chỉ lẫn key máy khách (client1.crt & client1.key) từ máy tính mà bạn đã tạo PKI ở trên vào cùng một địa điểm (C:Program FilesOpenVPNconfig) trên máy khách.

Các thiết lập máy khách đã được thiết lập xong để bạn có thể kết nối lúc này. Kích Start > All Programs > OpenVPN > OpenVPN GUI.Sau đó kích phải vào biểu tượng trong khay hệ thống và kích Connect.

Cấu hình máy khách trên các Router TomatoVPN bổ sung

Nếu muốn kết nối toàn bộ với máy chủ VPN, bạn có thể thiết lập các Router TomatoVPN phụ tại các địa điểm khác. Có thể sử dụng máy khách VPN trên Router để tất cả người dùng trên mạng từ xa có thể truy cập.

Kết nối đến Router và mở giao diện điều khiển web. Sau đó kích VPN Tunneling > Client. Trên tab Basic (xem hình 4), chắc chắn bạn sẽ muốn kích hoạt Start with WAN để máy khách VPN có thể tự động khởi chạy khi Router khởi động. Nhập vào địa chỉ WAN hay địa chỉ IP Internet của Router TomatoVPN đang hosting máy chủ VPN đối với phần Server Address. Cách khác bạn có thể sử dụng là dùng hostname, trường hợp sử dụng dịch vụ DNS động khi không có địa chỉ IP tĩnh. Các thiết lập khác có thể để mặc định. Sau đó kích Save để lưu các thay đổi.

Kích Advanced, đối với phần Compression, chọn Disabled. Sau đó kích Save.
Tiếp theo, kích tab Keys và điền vào các trường bằng cách copy nội dung trong các file mà bạn đã tạo trong thư mục easy-rsakeys:

• Certificate Authority - ca.crt
• Client Certificate - i.e. client1.crt
• Client Key - i.e. client1.key

Đối với phần chứng chỉ máy khách, không chèn vào phần đầu tiên của file. Tương tự với các thành phần khác, bắt đầu với -----BEGIN CERTIFICATE - và kết thúc với -----END CERTIFICATE-----.


Sau khi thực hiện xong, kích Save. Tiếp đó để kết nối, kích Start Now. Nếu thành công, nút này sẽ thay đổi thành Stop Now và bạn sẽ thấy thống kê nói chung trên tab Status.

Kiểm tra lần cuối

Sau khi đã kết nối, bạn có thể truy cập vào các tài nguyên mạng cũng như các chia sẻ trên mạng cục bộ của Router TomatoVPN đang hosting máy chủ.

Nếu muốn test cài đặt của mình mà không cần rời vị trí, hãy kết nối với Router TomatoVPN đang hosting máy chủ VPN từ cổng WAN/Internet đến cổng Ethernet trên Router khác. Để test kết nối máy khách trên một máy tính nào đó, hãy kết nối đến Router khác và cấu hình máy khách VPN với địa chỉ WAN IP của Router TomatoVPN. Thao tác này sẽ mô phỏng cho một kết nối đến từ Internet. Sau khi thực hiện xong, muốn sử dụng nó thông qua Internet, hãy lấy Router TomatoVPN và nối trực tiếp nó với modem Internet.

(Theo Serverwatch)

Tăng hiệu suất mạng bằng cách cài đặt Tomato trên Router

Guide: https://code.google.com/p/tomato-sdhc-vlan/wiki/MultiSSIDHOWTOForWRT54GL

Quản Trị Mạng – Router vốn là một thiết bị có rất nhiều khả năng mạnh mẽ, nhưng đáng tiếc là nhà sản xuất thường làm giảm khả năng của nó bằng cách chỉ kích hoạt một số tính năng hạn chế. Bài viết sau chúng tôi sẽ hướng dẫn các bạn thủ thuật để khai thác sức mạnh của Router với một firmware mã nguồn mở.

Ở đây chúng tôi sử dụng firmware có tên Tomato, đây là lựa chọn thay thế cho firmware DD-WRT mà các bài viết trước đã đề cập tới.


Tại sao lại là Tomato?

Tomato thực sự là một firmware rất mạnh mẽ và thân thiện với đầy đủ các tính năng, nó hoàn toàn có thể thay thế cho bản firmware của Router.

Ban đầu, firmware được cài trên Router khi xuất xưởng và đến tay người dùng chỉ được đi kèm với những tính năng cơ bản. Còn đối với Tomato, nó cung cấp một phạm vi rộng lớn hớn rất nhiều với các tính năng như giám sát băng thông... Bạn không cần phải tận dụng toàn bộ tính năng của Tomato mới có thể thưởng thức nó, mà ngay cả người mới bắt đầu cũng có thể trải nghiệm bởi Tomato rất dễ sử dụng.

Các điều kiện tiên quyết

1. Bài hướng dẫn này yêu cầu bạn có kiến thức căn bản về mạng và sử dụng hệ điều hành Windows.

2. Phần minh họa sau chúng tôi sử dụng router Linksys WRT54GL, nếu bạn đang dùng model khác cần kiểm tra để đảm bảo nó tương thích với Tomato.

Lưu ý: Trong bài này máy tính của chúng tôi chạy Windows 7, nếu bạn đang dùng Linux hay Mac OS X có thể có đôi chút khác biệt, tuy nhiên sẽ không gây trở ngại tới kết quả cuối cùng.

3. Tomato chỉ làm việc với những router nhất định, hãy chắc chắn rằng router của bạn nằm trong danh sách liệt kê dưới đây. Sau đó mới tiến hành cài đặt Tomato.

Các router có thể làm việc với Tomato:

Cài đặt Tomato

Đầu tiên bạn cần thiết lập router của mình trên mạng. Theo mặc định, hầu hết các router có địa chỉ IP nội bộ là 192.168.1.1. Mở trình duyệt của bạn lên và nhập vào địa chỉ IP này. Tiếp theo bạn sẽ được yêu cầu nhập vào username và password. Mặc định tài khoản của router Linksys WRT54GL là “admin” và “admin”. Bạn đăng nhập xong tạm thời để nguyên cửa sổ đó hoặc thu nhỏ lại (không được đóng lại) và thực hiện bước tiếp theo.


Vào trang chủ của Polarcloud để tải về phiên bản mới nhất của Tomato. Ở đây có bản Tomato_1_28.zip mặc dù đã phát hành cách đây 1 năm, nhưng đó vẫn là bản mới nhất đã được tích hợp bản vá lỗi phần mềm và bản cập nhật của Dnsmasq (một DNS gọn nhẹ và máy chủ DHCP).

Bây giờ bạn giải nén tập tin Tomato_1_28.zip vừa tải về, bạn sẽ thấy 9 file trong đó.

Trở lại với cửa sổ trình duyệt của bạn, chuyển sang tab Administration, chọn tiếp Firmware Upgrade ngay bên dưới.


Kích vào nút Browse và điều hướng tới thư mục chứa các file Tomato vừa giải nén. Chọn file phù hợp với router của bạn, ở đây chúng tôi cài đặt trên router Linksys WRT54GL, vì vậy chọn file WRT54G_WRT54GL.bin. Sau đó kích vào nút Upgrade. Router của bạn sẽ được cài đặt Tomato, quá trình này mất khoảng vài phút để hoàn thành.


Cài đặt xong router sẽ tự khởi động lại, và máy tính của bạn sẽ tìm cách nắm bắt địa chỉ IP từ máy chủ DHCP. Khởi động lại trình duyệt của bạn lần nữa để nhìn thấy giao diện đầu tiên của Tomato.


Vậy là đã tương đối thành công. Tiếp theo chúng ta cần bảo mật cho kết nối mạng không dây của mình để tránh bị kẻ trộm nhòm ngó. Ở phần menu bên trái bạn kích chọn Basic, nhìn sang màn hình bên phải và kéo xuống dưới mục Wireless, thay đổi mục Security thành WPA2 Personal. Bạn có thể chọn chế độ mã hóa khác, nhưng khuyến cáo nên chọn WPA2 Personal để tăng độ bảo mật lên rối đa. Đừng quên thay đổi SSID của bạn thành một cái gì đó sáng tạo hơn như “Pretty Fly For A WiFi” hay “FBI Surveillance Van”.


Nếu muốn bạn cũng có thể cấu hình lại địa chỉ IP của DHCP server và kênh WiFi. Để xác định kênh WiFi tốt nhất có thể sử dụng, bạn nhấn nút Scan bên cạnh menu thả xuống của mục Channel.


Bạn sẽ thấy một danh sách các mạng WiFi với các kênh mà họ đang sử dụng. Hãy chọn một kênh chưa được ai dùng đến để tránh bị nhiễu tần số.


Chỉ vài thao tác cơ bản trên bạn sẽ thấy yêu thích Tomato bởi giao diện người dùng sạch sẽ và các tính năng mạnh mẽ.


Tham khảo:
- Thiết lập máy chủ VPN trên Router Tomato
- Kết nối mạng mọi nơi với OpenVPN và Tomato
- 5 thủ thuật giúp sử dụng tối ưu Tomato trên Router

XHTT - Nếu bạn thấy tầm với của tín hiệu Wi-Fi chưa đủ lớn, hãy làm theo hướng dẫn trong bài, sử dụng các router (bộ định tuyến) hỗ trợ firmware Tomato, để mở rộng mạng không dây của mình.

1. Chuẩn bị

Đối với hướng dẫn này, bạn sẽ cần 2 router Wi-Fi đã cài firmware Tomato (hướng dẫn cài có tại đây).

2. Bắt đầu cấu hình router chính, router mở rộng mạng

Để giảm sự nhầm lẫn, router mà kết nối Internet được cắm vào gọi là router chính, router bạn đang cấu hình thành thiết bị mở rộng (extender) mạng gọi là Node. Cả 2 router đều đã được cắm điện.


Trong giao diện quản trị của Node, điều hướng đến Administration > Admin Access > Color Scheme. Chọn một màu cho Node (chúng tôi chọn màu xanh). Trong menu phụ Admin Access, cuộn xuống và thay đổi mật khẩu truy cập trên router > nhấp Save ở phía dưới để lưu thay đổi.

Tiếp theo, cấu hình Node để thành điểm truy cập WDS. Trên Node, điều hướng đến Basic > Network và thực hiện một vài thay đổi trong phần này.


Đầu tiên, trong phần WAN / Internet, chuyển Type thành Disabled. Thứ hai, thay đổi các giá trị trong phần LAN như sau:

- Router IP Address: 192.168.1.2 (giả định Router IP Address của router chính là 192.168.1.1)
- Subnet Mask: 255.255.255.0
- Default Gateway: 192.168.1.1 (IP của router chính)
- Static DNS: 191.168.1.1.
- DCHP Server: không chọn.


Trong phần Wireless, cấu hình các thiết lập sau:

- Enable Wireless: Chọn.
- Wireless Mode: Access Point + WDS
- Wireless Network Mode: G Only
- SSID: SSID của router chính, ví dụ linksys hoặc wireless.
- Broadcast: Chọn.
- Channel: Channel của router chính, ví dụ 6 – 2.437.
- Security: WPA Personal (đây là phương pháp mạnh nhất mà bạn có thể sử dụng với WDS)
- Encryption: AES
- Shared Key: Nhập khóa Wi-Fi được sử dụng bởi các cài đặt bảo mật trên router chính của bạn.
- Group Key Renewal: 3600
- WDS: Link With…
- MAC Address: Trong ô đầu tiên, điền địa chỉ Wi-Fi MAC của router chính.

Nhấp Save ở phía dưới để khóa tất cả các thay đổi mà bạn vừa thực hiện.


Giờ là lúc cấu hình router chính và hoàn thành kết nối. Đăng nhập và tìm đến Basic > Network (giống như bạn đã làm trên Node) > cuộn xuống phần Wireless > thay đổi các thiết lập sau:

- Wireless Mode: Access Point + WDS
- Wireless Network Mode: G Only
- WDS: Link With…
- MAC Address: Trong ô đầu tiên, điền địa chỉ Wi-Fi MAC của Node.

Lưu ý: Nếu trên Node bạn không đặt Security là WPA Personal, Encryption là AES và đưa vào các giá trị mới thì những thiết lập đó cũng phải được đặt trên router chính > nhấp vào Save.

Thế là xong. Bạn có thể tầng mang Node lên trên hoặc qua phòng khác trong nhà của mình để có tín hiệu Wi-Fi mạnh mẽ hơn.