# VPN Site-to-Site sử dụng IPSec
1. **Cấu hình phía site A**
Trong mục IPSec VPN -> IPSec -> Encryption Proposals tạo mới 2 phase để cấu hình các bộ mật mã đề xuất cho IKE và ESP
* Tạo phase 1 : Cấu hình các bộ mật mã cho IKE
Trong IPSec VPN -> IPSec -> Encryption Proposals -> Nhập tên -> Thêm
ESP : Không tích chọn (Ở đây bộ đề xuất mã hóa cho IKE)
Encryption Algorithm : Thuật toán mã hóa (Ví dụ : aes256)
Hash Algorithm : Thuật toán hàm băm (Ví dụ : sha256)
Diffie-Hellman Group : Tạo khóa chung bảo mật giữa 2 bên (Ví dụ : modp3072)
PRF Algorithm : Thuật toán sinh số ngẫu nhiên
\*\*\*Lưu ý các thuật toán được chọn của 2 site phải giống nhau
* Tạo phase 2 : Cấu hình các bộ mật mã dùng cho ESP
Trong IPsec VPN -> Nhập tên -> Thêm
ESP : Tích chọn
Encryption Algorithm : Thuật toán mã hóa (Ví dụ : aes256)
Hash Algorithm : Thuật toán hàm băm (Ví dụ : sha256)
Diffie-Hellman Group : Tạo khóa chung bảo mật giữa 2 bên (Ví dụ : modp3072)
PRF Algorithm : Thuật toán sinh số ngẫu nhiên
*\*\*\*Lưu ý các thuật toán được chọn của 2 site phải giống nhau*
Sau khi tạo các bộ mật mã đề xuất cho các quá trình IKE và ESP , ta tiến hành tạo 1 tunnel mã hóa dùng để truyền dữ liệu bảo mật giữa 2 site
Trong IPsec VPN -> Tunnel Configuration -> Nhập tên -> Thêm
* Local Subnet : Dải mạng nội bộ (LAN) của phía local sẽ được mã hóa và truyền qua IPsec tunnel
* Remote Subnet : Dải mạng nội bộ (LAN) của phía bên kia (peer) mà bạn muốn truy cập qua IPsec tunnel
* Loại NAT : Chỉ định xem có sử dụng NAT hay không. (Có thể để trống)
* XFRM interface ID : Dùng để gán IPsec policy cho một interface ảo, giúp quản lý lưu lượng qua tunnel dễ dàng hơn. (Có thể để trống)
* Start Action : Hành động khi thiết bị khởi động (Ở đây để trap )
* Close Action : Hành động khi VPN ngắt kết nối hoặc thiết bị tắt đi (Có thể để trống)
* Crypto Proposal (Phase 2) : Tập hợp các thông số bảo mật được dùng để mã hóa và xác thực dữ liệu (ESP). (Chọn các bộ mật mã đề xuất được tạo ở Encryption Proposals )
Sau khi tạo xong Tunnel Configuration tiếp theo sẽ tạo Remote Configuration để thực hiện kết nối IPsec với site khác
Trong IPsec VPN -> Remote Configuration -> Nhập tên -> Thêm
Trong mục Cài đặt chung
* Kích hoạt : Tích chọn để enable kết nối IPsec với site khác
* Gateway (Remote Endpoint) : IP public của site B
* Local Gateway : IP public của site A
* Local Source IP : Yêu cầu một IP ảo từ phía peer (Virtual IP) (Có thể để trống)
* Local IP : IP mà thiết bị local sử dụng để gửi yêu cầu IKE (Có thể để trống)
* Crypto Proposal : Bộ thuật toán mã hóa bạn đã tạo ở Encryption Proposals
* Tunnel : Cấu hình Tunnel IPsec đã tạo trong Remote Configuration
Trong mục Xác thực
Local Key : Ở đây nếu dùng Pre-shared Key thì không cần điền Local Key
* Authentication Method : Phương thức xác thực
* Local Identifier : Định danh của site A
* Remote Identifier : Định danh của site B
* Pre-Shared Key : Khóa bí mật của 2 site , nếu chọn Authentication Method là Pre-shared Key
Sau khi cấu hình xong ở site A ta tiến hành thêm 1 số luật traffic rule để mở kết nối VPN IPsec.
Cho phép giao thức IKE (Internet Key Exchange) đi qua từ WAN vào thiết bị (dùng để thương lượng kết nối VPN IPsec).
Cho phép NAT-Traversal, tức là khi VPN client ở sau NAT , gói IPsec được đóng gói lại qua UDP 4500 để đảm bảo truyền qua NAT.
Cho phép giao thức ESP (Encapsulated Security Payload) – đây là giao thức chính để truyền dữ liệu mã hóa trong IPsec.\
\
2\. **Cấu hình phía site B**
Trong mục IPSec VPN -> IPSec -> Encryption Proposals tạo mới 2 phase để cấu hình các bộ mật mã đề xuất cho IKE và ESP
* Tạo phase 1 : Cấu hình các bộ mật mã cho IKE
Trong IPSec VPN -> IPSec -> Encryption Proposals -> Nhập tên -> Thêm
ESP : Không tích chọn (Ở đây bộ đề xuất mã hóa cho IKE)
Encryption Algorithm : Thuật toán mã hóa (Ví dụ : aes256)
Hash Algorithm : Thuật toán hàm băm (Ví dụ : sha256)
Diffie-Hellman Group : Tạo khóa chung bảo mật giữa 2 bên (Ví dụ : modp3072)
PRF Algorithm : Thuật toán sinh số ngẫu nhiên
*\*\*\*Lưu ý các thuật toán được chọn của 2 site phải giống nhau*
* Tạo phase 2 : Cấu hình các bộ mật mã dùng cho ESP
Trong IPsec VPN -> Nhập tên -> Thêm
ESP : Tích chọn
Encryption Algorithm : Thuật toán mã hóa (Ví dụ : aes256)
Hash Algorithm : Thuật toán hàm băm (Ví dụ : sha256)
Diffie-Hellman Group : Tạo khóa chung bảo mật giữa 2 bên (Ví dụ : modp3072)
PRF Algorithm : Thuật toán sinh số ngẫu nhiên
*\*\*\*Lưu ý các thuật toán được chọn của 2 site phải giống nhau*
Sau khi tạo các bộ mật mã đề xuất cho các quá trình IKE và ESP , ta tiến hành tạo 1 tunnel mã hóa dùng để truyền dữ liệu bảo mật giữa 2 site
Trong IPsec VPN -> Tunnel Configuration -> Nhập tên -> Thêm
* Local Subnet : Dải mạng nội bộ (LAN) của phía local sẽ được mã hóa và truyền qua IPsec tunnel
* Remote Subnet : Dải mạng nội bộ (LAN) của phía bên kia (peer) mà bạn muốn truy cập qua IPsec tunnel
* Loại NAT : Chỉ định xem có sử dụng NAT hay không. (Có thể để trống)
* XFRM interface ID : Dùng để gán IPsec policy cho một interface ảo, giúp quản lý lưu lượng qua tunnel dễ dàng hơn. (Có thể để trống)
* Start Action : Hành động khi thiết bị khởi động (Ở đây để trap )
* Close Action : Hành động khi VPN ngắt kết nối hoặc thiết bị tắt đi (Có thể để trống)
* Crypto Proposal (Phase 2) : Tập hợp các thông số bảo mật được dùng để mã hóa và xác thực dữ liệu (ESP). (Chọn các bộ mật mã đề xuất được tạo ở Encryption Proposals )
Sau khi tạo xong Tunnel Configuration tiếp theo sẽ tạo Remote Configuration để thực hiện kết nối IPsec với site khác
Trong IPsec VPN -> Remote Configuration -> Nhập tên -> Thêm
Trong mục Cài đặt chung
* Kích hoạt : Tích chọn để enable kết nối IPsec với site khác
* Gateway (Remote Endpoint) : IP public của site B
* Local Gateway : IP public của site A
* Local Source IP : Yêu cầu một IP ảo từ phía peer (Virtual IP) (Có thể để trống)
* Local IP : IP mà thiết bị local sử dụng để gửi yêu cầu IKE (Có thể để trống)
* Crypto Proposal : Bộ thuật toán mã hóa bạn đã tạo ở Encryption Proposals
* Tunnel : Cấu hình Tunnel IPsec đã tạo trong Remote Configuration
Trong mục Xác thực
* Authentication Method : Phương thức xác thực
* Local Identifier : Định danh của site A
* Remote Identifier : Định danh của site B
* Pre-Shared Key : Khóa bí mật của 2 site , nếu chọn Authentication Method là Pre-shared Key
* Local Key : Ở đây nếu dùng Pre-shared Key thì không cần điền Local Key
Sau khi cấu hình xong ở site B ta tiến hành thêm 1 số luật traffic rule để mở kết nối VPN IPsec(tương tự như bên site A).
Cho phép giao thức IKE (Internet Key Exchange) đi qua từ WAN vào thiết bị (dùng để thương lượng kết nối VPN IPsec).
Cho phép NAT-Traversal, tức là khi VPN client ở sau NAT , gói IPsec được đóng gói lại qua UDP 4500 để đảm bảo truyền qua NAT.
Cho phép giao thức ESP (Encapsulated Security Payload) – đây là giao thức chính để truyền dữ liệu mã hóa trong IPsec.\
\
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://help.safegate.network/safegate-office/vpn/vpn-site-to-site-su-dung-ipsec.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.