Hướng dẫn thiết lập VPN IKEv2 Server với StrongSwan trên Ubuntu 20.04

12/05/2023
404
Lượt xem
Home

VPN cho phép mã hóa lưu lượng một cách an toàn khi truy cập mạng ở nơi công cộng như ở quán cà phê, tại các cuộc hội nghị hoặc ở sân bay. Còn Internet Key Exchange v2, hay IKEv2, là một giao thức cho phép tạo IPSec tunneling trực tiếp giữa server và client. Trong hướng dẫn này, bạn sẽ thiết lập server VPN IKEv2 bằng StrongSwan trên máy chủ Ubuntu 20.04, sau đó kết nối với client Windows, macOS, Ubuntu, iOS và Android.

Yêu cầu để thiết lập VPN IKEv2 Server với StrongSwan trên Ubuntu 20.04

Để thực hiện theo hướng dẫn này, bạn cần một máy chủ Ubuntu 20.04 với user non-root với quyền sudo và firewall UFW.

Bước 1: Cài đặt StrongSwan

Đầu tiên, bạn sẽ cài đặt StrongSwan, một IPSec mã nguồn mở được cấu hình làm server VPN. Đồng thời cài đặt hạ tầng cơ sở khóa công khai PKI để có thể tạo Certificate Authority (CA) nhằm xác thực cho cơ sở hạ tầng này.

Phần mềm StrongSwan
Phần mềm StrongSwan

Bắt đầu bằng cách cập nhật package cache cục bộ:

$ sudo apt update

Sau đó cài đặt phần mềm bằng lệnh:

$ sudo apt install  strongswan strongswan-pki libcharon-extra-plugins libcharon-extauth-plugins libstrongswan-extra-plugins

Package bổ sung libcharon-extauth-plugins được sử dụng để đảm bảo các client khác nhau có thể xác thực với server bằng username và password dùng chung.

Khi đã cài đặt StrongSwan, hãy chuyển sang tạo chứng chỉ.

Xem thêm: Hướng dẫn sử dụng Docker Compose để cài đặt Laravel đối với phiên bản Ubuntu 20.04

Bước 2: Tạo Certificate Authority

Server IKEv2 yêu cầu chứng chỉ để xác định IKEv2 với khách hàng. Package strongswan-pki đi kèm với tiện ích pki sẽ tạo CA và chứng chỉ server cần thiết.

Để bắt đầu, hãy tạo một vài thư mục lưu trữ bằng lệnh:

$ mkdir -p ~/pki/{cacerts,certs,private}

Sau đó khóa quyền truy cập để bảo mật cho các file riêng tư:

$ chmod 700 ~/pki

Khi đã có cấu trúc thư mục để lưu trữ mọi thứ, bạn có thể tạo root key. Hướng dẫn này sử dụng khóa RSA 4096 bit để ký (sign) root CA.

Thực hiện các lệnh dưới đây để tạo khóa:

$ pki --gen --type rsa --size 4096 --outform pem > ~/pki/private/ca-key.pem

Sau đó bạn có thể chuyển sang phần tạo root CA , sử dụng khóa trên để đánh dấu chứng chỉ gốc:

$ pki --self --ca --lifetime 3650 --in ~/pki/private/ca-key.pem \
$  --type rsa --dn "CN=VPN root CA" --outform pem > ~/pki/cacerts/ca-cert.pem

Cờ --lifetime 3650 đảm bảo rằng chứng chỉ gốc sẽ có hiệu lực trong vòng 10 năm. Chứng chỉ gốc của bên thẩm quyền thường không thay đổi vì chúng sẽ phân phối lại cho mọi server và client, do đó 10 năm là giá trị hết hạn an toàn.

Bạn có thể thay đổi giá trị DN (distinguished name) thành giá trị khác nếu muốn. Tên chung (CN-common name) thường không nhất thiết phải khớp với bất kì thành phần nào trong cơ sở hạ tầng của bạn.

Bây giờ khi đã thiết lập và kích hoạt root CA, bạn có thể tạo chứng chỉ mà server VPN sẽ sử dụng.

Xem thêm: Hướng dẫn cách cài đặt nền tảng IDE đám mây code-server trên Ubuntu 20.04

Bước 3: Tạo chứng chỉ cho server VPN

Bây giờ bạn sẽ tạo chứng chỉ và khóa cho server VPN. Chứng chỉ này sẽ giúp khách hàng xác minh độ tin cậy của server bằng chứng chỉ CA vừa tạo ở trên.

Đầu tiên, tạo khóa riêng cho server VPN bằng lệnh sau:

$ pki --gen --type rsa --size 4096 --outform pem > ~/pki/private/server-key.pem

Bây giờ hãy tạo và ký (sign) chứng chỉ của server VPN bằng khóa của CA mà bạn đã tạo ở bước 2. Thực hiện lệnh sau, thay đổi trường CN và trường SAN thành DNS hoặc địa chỉ IP của server VPN:

$pki --pub --in ~/pki/private/server-key.pem --type rsa \
$   | pki --issue --lifetime 1825 \
$      --cacert ~/pki/cacerts/ca-cert.pem \
$       --cakey ~/pki/private/ca-key.pem \
$       --dn "CN=server_domain_or_IP" --san server_domain_or_IP \
$       --flag serverAuth --flag ikeIntermediate --outform pem \
$  >  ~/pki/certs/server-cert.pem

Lưu ý: Nếu đang sử dụng địa chỉ IP thay vì tên DNS, bạn cần chỉ định nhiều mục nhập --san. Dòng --dn… chỉ định tên phân biệt cần được sửa đổi với mục bổ sung như sau:

--dn "CN=IP address" --san @IP_address --san IP_address \

Tùy chọn --flag serverAuth xác định chứng chỉ sẽ được sử dụng để xác thực server trước khi thiết lập mã hóa tunnel. Còn tùy chọn --flag ikeIntermediate có thể được dùng để hỗ trợ các client macOS cũ hơn.

Bây giờ bạn đã tạo tất cả các file TLS/SSL mà StrongSwan cần. Tiếp theo, di chuyển các file vào thư mục /etc/ipsec.d  bằng lệnh:

$ sudo cp -r ~/pki/* /etc/ipsec.d/

Trong bước này, bạn đã tạo một cặp chứng chỉ được sử dụng để bảo mật thông tin giữa client và server. Bạn cũng đã ký các chứng chỉ bằng khóa CA, vì vậy khách hàng có thể xác thực độ tin cậy của của server VPN bằng chứng chỉ này. Khi tất cả chứng chỉ đã sẵn sàng, bạn sẽ chuyển sang cấu hình phần mềm.

Xem thêm: Hướng dẫn bật SFTP mà không cần truy cập shell trên Ubuntu 20.04

Bước 4: Cấu hình StrongSwan

StrongSwan có file cấu hình mặc định cho một số trường hợp nhưng bạn sẽ phải tự thực hiện hầu hết các cấu hình. Hãy sao lưu file tham khảo trước khi bắt đầu cấu hình StrongSwan:

$ sudo mv /etc/ipsec.conf{,.original}

Tạo và mở một file cấu hình mới bằng trình soạn thảo văn bản của bạn, ở đây sử dụng nano:

$ sudo nano /etc/ipsec.conf

Lưu ý: Khi thực hiện bước này để cấu hình server VPN, bạn sẽ gặp các cài đặt đề cập đến “left” và “right” của kết nối. Khi làm việc với IPSec VPN, “left” đề cập đến hệ thống cục bộ mà người dùng cấu hình, trong trường hợp này là server. Trong khi đó, “right” đề cập đến các client từ xa, như điện thoại và các máy tính khác.

Trước tiên, bạn sẽ yêu cầu StrongSwan ghi nhật kí trạng thái daemon để gỡ lỗi và cho phép các kết nối trùng lặp. Thêm những dòng dưới đây vào file:

config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

Sau đó, bạn sẽ yêu cầu StrongSwan tạo VPN Tunnels IKEv2 và tự động tải phần cấu hình cho VPN khi nó khởi động. Nối các dòng sau vào file:

. . .
conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes

Bạn cũng sẽ cấu hình phát hiện dead-peer để xóa mọi kết nối không ổn định (“dangling” connection) trong trường hợp client ngắt kết nối bất ngờ. Thêm vào file những dòng sau:

. . .
conn ikev2-vpn
    . . .
    dpdaction=clear
    dpddelay=300s
    rekey=no

Tiếp theo, bạn sẽ cấu hình các tham số IPSec bên “left”. Mỗi tham số dưới đây đảm bảo rằng server được cấu hình để nhận dạng chính xác và chấp nhận các kết nối từ client. Bạn sẽ thêm từng tham số này vào file /etc/ipsec.con:

  • left=%any: Giá trị %any đảm bảo server sử dụng các interface nhận kết nối để liên lạc đến client. Ví dụ, nếu bạn đang kết nối với client qua mạng riêng, server sẽ sử dụng địa chỉ IP của mạng riêng để tiếp tục kết nối.
  • leftid=@server_domain_or_IP: Tùy chọn này kiểm soát tên server hiển thị với khách hàng. Khi kết hợp với tùy chọn leftcert, tùy chọn này đảm bảo tên server được cấu hình khớp với DN trong chứng chỉ công khai.
  • leftcert=server-cert.pem: Tùy chọn này là đường dẫn đến chứng chỉ công khai cho server mà bạn đã cấu hình ở Bước 3. Nếu không có tùy chọn này, server không thể tự xác thực với client hoặc hoàn tất thiết lập IKEv2.
  • leftsendcert=always: Giá trị always đảm bảo bất kì client nào kết nối với server đều nhận được bản sao chứng chỉ công khai của server như một phần của thiết lập kết nối ban đầu.
  • leftsubnet=0.0.0.0/0: Tùy chọn này sẽ cho biết các subnet nào có thể truy cập được. Trong trường hợp này, 0.0.0.0/0 đại diện cho toàn bộ địa chỉ IPv4, nghĩa là server sẽ yêu cầu khách hàng gửi tất cả lưu lượng truy cập qua VPN theo mặc định.

Khi đã hiểu rõ về tất cả các tùy chọn bên trái, bạn sẽ thêm chúng vào file cấu hình như sau:

. . .
conn ikev2-vpn
    . . .
    left=%any
    leftid=@server_domain_or_IP
    leftcert=server-cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0

Lưu ý, khi cấu hình ID server (leftid), chỉ sử dụng kí tự @ khi server VPN của bạn được xác định bởi một domain:

    . . .    leftid=@vpn.example.com
    . . .

Nếu server được xác định bằng địa chỉ IP, cần đặt địa chỉ IP vào:

    . . .
    leftid=your_server_ip
    . . .

Tiếp theo, bạn có thể cấu hình các tham số IPSec bên phải của client. Mỗi tham số sau đây cho server biết cách chấp nhận kết nối từ client, cách client xác thực với server và dải địa chỉ IP riêng cũng như server DNS mà client sẽ sử dụng. Thêm từng cài đặt này vào file /etc/ipsec.conf:

  • right=%any: Tùy chọn %any cho server biết cách chấp nhận kết nối đến từ các client từ xa.
  • rightid=%any: Tùy chọn này đảm bảo server không từ chối kết nối từ client đã cung cấp danh tính khi thiết lập mã hóa tunnel.
  • rightauth=eap-mschapv2: Tùy chọn này cấu hình phương thức xác thực mà client sử dụng để xác thực với server. eap-mschapv2 với khả năng tương thích rộng có thể hỗ trợ đa dạng hệ điều hành từ các client như Windows, macOS và Android.
  • rightsourceip=10.10.10.0/24: Tùy chọn này hướng dẫn server gán địa chỉ IP riêng cho client từ nhóm IP 10.10.10.0/24 được chỉ định.
  • rightdns= 8.8.8.8,8.8.4.4: Các địa chỉ IP này là trình phân giải DNS công khai của Google. Bạn có thể thay đổi để sử dụng DNS khác.
  • rightsendcert=nerver: Tùy chọn này hướng dẫn server rằng khách hàng không cần gửi chứng chỉ để tự xác thực.

Khi đã hiểu rõ về các tùy chọn bên phải cần thiết cho VPN, hãy thêm các dòng sau vào file:

. . .
conn ikev2-vpn
    . . .
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightsourceip=10.10.10.0/24
    rightdns=8.8.8.8,8.8.4.4
    rightsendcert=never

Bây giờ bạn sẽ yêu cầu StrongSwan hỏi về thông tin đăng nhập của người dùng khi được kết nối:

. . .
conn ikev2-vpn
    . . .
    eap_identity=%identity

Cuối cùng, thêm các dòng sau để hỗ trợ client Linux, Windows, macOS, iOS và Android. Những dòng này chỉ định các thuật toán trao đổi khóa, băm, xác thực và mã hóa mà StrongSwan cho phép các client khác nhau sử dụng:

. . .
conn ikev2-vpn
    . . .
    ike=chacha20poly1305-sha512-curve25519-prfsha512,aes256gcm16-sha384-prfsha384-ecp384,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024!
    esp=chacha20poly1305-sha512,aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1!

Mỗi bộ mật mã sẽ phân biệt với các bộ khác bằng dấu phẩy. Các bộ mã được liệt kê ở trên đảm bảo phạm vi tương thích rộng nhất trên các client Windows, macOS, iOS, Android và Linux.

File cấu hình hoàn chỉnh như sau:

config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=@server_domain_or_IP
    leftcert=server-cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightsourceip=10.10.10.0/24
    rightdns=8.8.8.8,8.8.4.4
    rightsendcert=never
    eap_identity=%identity
    ike=chacha20poly1305-sha512-curve25519-prfsha512,aes256gcm16-sha384-prfsha384-ecp384,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024!
    esp=chacha20poly1305-sha512,aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1!

Lưu và đóng file sau khi đã thêm chính xác từng dòng. Nếu bạn sử dụng nano, hãy thoát bằng cách nhấn CTRL+X, Y, sau đó ENTER.

Bây giờ bạn đã cấu hình các tham số VPN, hãy chuyển sang tạo tài khoản người dùng để kết nối với server.

Bước 5: Cấu hình xác thực VPN

Server VPN hiện đã được cấu hình để chấp nhận kết nối từ client, nhưng chưa được cấu hình bất kì thông tin xác thực nào. Bạn cần thiết lập một vài thành phần trong file cấu hình đặc biệt ipsec.secrets. Để server VPN có thể xác thực với khách hàng, StrongSwan cần biết nơi tìm khóa riêng cho chứng chỉ server. Ngoài ra bạn cần thiết lập danh sách người dùng được phép kết nối với VPN.

Hãy mở file riêng để chỉnh sửa:

$ sudo nano /etc/ipsec.secrets

Trước tiên bạn sẽ cho StrongSwan biết vị trí khóa riêng và cách phân tích cú pháp của khóa:

: RSA "server-key.pem"

Sau đó, bạn sẽ xác định thông tin đăng nhập của người dùng, có thể sửa username và password theo ý muốn:

your_username : EAP "your_password"

Lưu và đóng tập tin. Bây giờ bạn sẽ khởi động lại VPN để áp dụng cấu hình:

$ sudo systemctl restart strongswan-starter

Giờ đây, server VPN đã được cấu hình đầy đủ với cả tùy chọn server và thông tin đăng nhập của người dùng. Bạn sẽ chuyển sang cấu hình phần quan trọng nhất – firewall.

Để đảm bảo quá trình cài đặt và thực hiện các thiết lập được diễn ra một cách thuận lợi và không gặp phải các rào cản, bạn cần phải sử dụng một máy chủ có khả năng mở rộng linh hoạt và toàn quyền quản trị. VPS Vietnix là một trong những giải pháp tối ưu cho nhu cầu của bạn, với những ưu điểm vượt trội như:

  • Khả năng mở rộng linh hoạt nhờ đa dạng gói VPS như VPS Giá Rẻ, VPS Phổ Thông, VPS Cao Cấp, VPS NVMe, VPS GPU được thiết kế giúp bạn dễ dàng phân chia tài nguyên và nâng cấp hệ thống mà không cần phải mất công cài đặt lại từ đầu.
  • Toàn quyền quản trị hệ thống, từ đó có thể tùy chỉnh và cấu hình máy chủ theo nhu cầu của bạn một cách dễ dàng và thuận tiện.
  • Tốc độ truy cập nhanh khi được trang bị cấu hình mạnh mẽ và các tài nguyên cao cấp, giúp tăng tốc độ truy cập và giảm thiểu thời gian chờ đợi đáng kể.
  • Hỗ trợ chuyên nghiệp, nhanh chóng và luôn túc trực 24/7 giúp bạn giải quyết mọi vấn đề một cách dễ dàng.

Liên hệ với Vietnix để được tư vấn gói cấu hình tối ưu nhất cho bạn.

Bước 6: Cấu hình firewall và chuyển tiếp IP Kernel

Khi hoàn tất cấu hình StrongSwan, bạn cần cấu hình firewall để cho phép lưu lượng VPN đi qua và chuyển tiếp.

Nếu chưa cấu hình UFW, bạn nên thêm quy tắc cho phép kết nối SSH qua firewall để session hiện tại không đóng khi bật UFW:

$ sudo ufw allow OpenSSH

Sau đó kích hoạt firewall:

$ sudo ufw enable

Thêm một quy tắc để cho phép lưu lượng UDP đến các cổng IPSec tiêu chuẩn 5004500:

$ sudo ufw allow 500,4500/udp

Tiếp theo, bạn sẽ mở một trong các file cấu hình của UFW để thêm một số chính sách low-level nhằm định tuyến và chuyển tiếp các packet IPSec. Trước khi mở file cấu hình, bạn cần tìm xem interface nào trên máy chủ được sử dụng để truy cập internet. Tìm interface này bằng cách truy vấn thiết bị được liên kết với đường truyền mặc định:

$ ip route show default

Interface công khai của bạn phải tuân theo từ khóa “dev”. Ví dụ, kết quả của lệnh trên hiển thị interface có tên eth0 như trong output dưới đây:

Output
default via your_server_ip dev eth0 proto static

Khi bạn có interface công khai, hãy mở file /etc/ufw/before.rules trong trình soạn thảo bằng lệnh sau:

$ sudo nano /etc/ufw/before.rules

Trước dòng *filter thêm khối cấu hình sau:

*nat
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -m policy --pol ipsec --dir out -j ACCEPT
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
COMMIT

*mangle
-A FORWARD --match policy --pol ipsec --dir in -s 10.10.10.0/24 -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
COMMIT

*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]
. . .

Thay đổi giá trị eth0 trong cấu hình trên để ip route khớp với tên interface bạn tìm thấy. Các dòng *nat tạo quy tắc để firewall có thể định tuyến và thao tác chính xác lưu lượng giữa các client VPN và internet. Dòng *mangle điều chỉnh kích thước tối đa của packet segment giúp ngăn sự cố tiềm ẩn với một số client VPN nhất định.

Tiếp theo, sau các dòng *filter, hãy thêm một đoạn cấu hình nữa:

. . .
*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]

-A ufw-before-forward --match policy --pol ipsec --dir in --proto esp -s 10.10.10.0/24 -j ACCEPT
-A ufw-before-forward --match policy --pol ipsec --dir out --proto esp -d 10.10.10.0/24 -j ACCEPT

Những dòng trên yêu cầu firewall chuyển tiếp lưu lượng ESP để các client VPN có thể kết nối. ESP cung cấp bảo mật bổ sung cho các packet VPN khi chúng đi qua mạng không đáng tin cậy.

Đóng file sau khi đã thêm chính xác từng dòng. Nếu bạn sử dụng nano, bấm tổ hợp CTRL+X, Y, sau đó nhấn ENTER để đóng.

Trước khi khởi động lại firewall, bạn cần thay đổi một số tham số trong file /etc/ufw/sysctl.conf để cho phép định tuyến từ interface này sang interface khác. Đầu tiên cần bật tính năng chuyển tiếp packet IPv4 để lưu lượng có thể di chuyển giữa VPN và các interface công khai trên máy chủ. Tiếp theo cần vô hiệu hóa Path MTU để ngăn sự cố phân mảnh packet. Cuối cùng bạn hãy chọn từ chối chuyển hướng ICMP cũng như không gửi chuyển hướng ICMP để ngăn căn tấn công “man-in -the-midle”.

Mở file cấu hình tham số kernel của UFW bằng nano:

$ sudo nano /etc/ufw/sysctl.conf

Thêm các cài đặt sau để bật chuyển tiếp packet giữa các interface:

. . .
net/ipv4/ip_forward=1

Block tiếp theo gửi và nhận các packet chuyển hướng ICMP bằng cách thêm các dòng sau vào cuối file:

. . .
net/ipv4/conf/all/accept_redirects=0
net/ipv4/conf/all/send_redirects=0

Cuối cùng tắt MTU bằng cách thêm dòng sau vào cuối file:

. . .
net/ipv4/ip_no_pmtu_disc=1

Lưu file khi bạn hoàn tất. Sau đó bạn có thể kích hoạt tất cả các thay đổi của mình bằng cách tắt và bật lại firewall:

$ sudo ufw disable
$ sudo ufw enable

Bạn sẽ nhận được thông báo xác nhận quy trình. Nhập Y để bật lại UFW với cài đặt mới.

Bước 7: Kiểm tra kết nối VPN trên Windows, macOS, Ubuntu, iOS và Android

Sau khi đã hoàn tất thiết lập VPN, bạn sẽ chạy thử server trên các hệ điều hành khác nhau. Trước tiên bạn cần sao chép và cài đặt chứng chỉ CA trên các client sẽ kết nối với VPN. Cách đơn giản nhất để thực hiện là đăng nhập vào server và xuất nội dung của file chứng chỉ:

$ cat /etc/ipsec.d/cacerts/ca-cert.pem

Bạn sẽ có output như sau:

Output
-----BEGIN CERTIFICATE-----
MIIFNDCCAxygAwIBAgIIHCsidG5mXzgwDQYJKoZIhvcNAQEMBQAwODELMAkGA1UE

. . .

H2YUdz8XNHrJHvMQKWFpi0rlEcMs+MSXPFWE3Q7UbaZJ/h8wpSldSUbQRUlphExJ
dJ4PX+MUJO/vjG1/ie6Kh25xbBAc3qNq8siiJZDwrg6vjEK7eiZ1rA==
-----END CERTIFICATE-----

Sao chép output trên vào máy tính của bạn và lưu vào một file có đuôi .pem, chẳng hạn ca-cert.pem. Ngoài ra, có thể sử dụng SFTP để truyền file từ remote ssh system vào máy tính của bạn.

Khi đã tải file ca-cert.pem xuống máy tính của mình, bạn có thể thiết lập kết nối với VPN.

Kết nối từ Windows

Có nhiều cách để nhập chứng chỉ gốc và cấu hình Windows để kết nối với VPN. Phương pháp đầu tiên sử dụng các công cụ đồ họa. Còn phương pháp thứ hai sử dụng các lệnh PowerShell và có thể sửa đổi để phù hợp với cấu hình VPN của bạn.

Lưu ý: Hướng dẫn này được thử nghiệm trên Windows 10, phiên bản 1903 và 1909.

Cấu hình Windows bằng công cụ đồ họa

Đầu tiên, nhập chứng chỉ gốc bằng cách làm theo các bước sau:

  1. Nhấn WINDOW+R để hiển thị hộp thoại Run và nhập mmc.exe để khởi chạy Windows Management Console.
  2. Từ mục File, điều hướng đến Add or Remove Snap-in, chọn mục Certificates từ danh sách các phần đính kèm có sẵn và nhấp vào Add.
  3. Để VPN hoạt động với mọi user, chọn Computer Account và nhấp vào Next.
  4. Chọn Local Computer, sau đó click vào Finish.
  5. Trong mục Console Root, mở rộng mục Certificates (Local Computer), mở rộng Trusted Root Certification Authorities, sau đó chọn mục Certificates.
Cấu hình Windows bằng công cụ đồ họa
Cấu hình Windows bằng công cụ đồ họa
  1. Từ menu Action, chọn All Tasks và click vào Import để hiển thị trình hướng dẫn nhập chứng chỉ. Nhấp vào Next để chuyển qua phần giới thiệu.
  2. Trên màn hình File to Import, nhấn vào nút Browse, đảm bảo bạn đã thay đổi định dạng file từ  “X.509 Certificate (.cer;.crt)” thành “All File (.)” và chọn file ca-cert.pem. Sau đó nhấp vào Next.
  3. Đảm bảo rằng Certificate Store được đặt thành Trusted Root Certificate Authorities và nhấp vào Next.
  4. Nhấp vào Finish để nhập chứng chỉ.

Sau đó cấu hình VPN theo các bước sau:

  1. Khởi chạy Control Panel, sau đó điều hướng đến Network and Sharing Center.
  2. Bấm vào Set up a new connection or network, sau đó chọn Connect to a workplace.
  3. Chọn Use my Internet connection (VPN).
  4. Nhập chi tiết server VPN. Nhập domain hoặc địa chỉ IP của server vào trường Internet address, sau đó điền Destination name bằng nội dung mô tả kết nối VPN. Cuối cùng bấm Done.

Cấu hình Windows bằng PowerShell

Để nhập chứng chỉ gốc CA bằng PowerShell, trước tiên hãy mở PowerShell prompt với đặc quyền admin bằng cách nhấp chuột phải vào biểu tượng Start và chọn Windows PowerShell (Admin). Bạn cũng có thể mở command prompt với tư cách quản trị viên và nhập powershell.

Tiếp theo, bạn sẽ nhập chứng chỉ bằng PowerShell cmdlet Import-Certificate. Trong lệnh sau, đối số -CertStoreLocation sẽ đảm bảo chứng chỉ được nhập vào kho lưu trữ Trusted Root Certificate Authorities nhằm giúp các chương trình và user có thể xác minh chứng chỉ của máy chủ VPN. Đối số -FilePath sẽ trỏ về vị trí người dùng sao chép chứng chỉ. Ví dụ như sau:

Import-Certificate `
    -CertStoreLocation cert:\LocalMachine\Root\ `
    -FilePath C:\users\sammy\Documents\ca-cert.pem

Lệnh trên sẽ xuất ra output sau:

Output
   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root

Thumbprint                                                                      Subject
----------                                                                             -------
DB00813B4087E9367861E8463A60CEA0ADC5F002       CN=VPN root CA

Khi cấu hình VPN bằng PowerShell, hãy chạy lệnh dưới đây, thay thế - ServeAddress bằng DNS hoặc địa chỉ IP của máy chủ:

Add-VpnConnection -Name "VPN Connection" `
    -ServerAddress "server_domain_or_IP" `
    -TunnelType "IKEv2" `
    -AuthenticationMethod "EAP" `
    -EncryptionLevel "Maximum" `
    -RememberCredential `

Nếu lệnh chạy thành công sẽ không có bất kì output nào. Để kiểm tra xem VPN được cấu hình chính xác hay không, sử dụng lệnh ghép:

Get-VpnConnection -Name "VPN Connection"

Bạn sẽ nhận được output như sau:

Output
Name                  : VPN Connection
ServerAddress         : your_server_ip
AllUserConnection     : False
Guid                  : {B055A1AB-175C-4028-B4A8-D34309A2B20E}
TunnelType            : Ikev2
AuthenticationMethod  : {Eap}
EncryptionLevel       : Maximum
L2tpIPsecAuth         :
UseWinlogonCredential : False
EapConfigXmlStream    : #document
ConnectionStatus      : Disconnected
RememberCredential    : True
SplitTunneling        : False
DnsSuffix             :
IdleDisconnectSeconds : 0

Theo mặc định, Windows sử dụng các thuật toán cũ và chậm hơn. Chạy lệnh ghép sau để nâng cấp các tham số mã hóa mà Windows sử dụng để trao đổi khóa IKEv2 và mã hóa các packet:

Set-VpnConnectionIPsecConfiguration -Name "VPN Connection" `
    -AuthenticationTransformConstants GCMAES256 `
    -CipherTransformConstants GCMAES256 `
    -DHGroup ECP384 `
    -IntegrityCheckMethod SHA384 `
    -PfsGroup ECP384 `
    -EncryptionMethod GCMAES256

Lưu ý: Nếu muốn xóa kết nối VPN và cấu hình lại với các tùy chọn khác nhau, bạn có thể chạy lệnh sau:

Remove-VpnConnection -Name "VPN Connection" -Force

Cờ -Force sẽ bỏ qua thông báo xác nhận việc xóa. Bạn phải ngắt kết nối khỏi VPN nếu muốn xóa kết nối bằng lệnh trên.

Kết nối với VPN

Khi đã nhập chứng chỉ và cấu hình VPN bằng một trong hai phương pháp trên, kết nối VPN mới của bạn sẽ hiển thị trong danh sách mạng. Chọn VPN và nhấp vào Connect. Bạn sẽ nhập username và password, nhấp vào OK và kết nối đã sẵn sàng.

Kết nối từ macOS

Thực hiện các bước sau để nhập chứng chỉ:

  1. Nhấn đúp vào file chứng chỉ. Keychain Access sẽ khởi động với thông báo “Keychain Access is trying to modify the system Keychain. Enter your password to allow this”.
  2. Nhập mật khẩu của bạn, sau đó nhấp vào Modify Keychain.
  3. Bấm đúp vào chứng chỉ VPN vừa được nhập. Thao tác trên sẽ mở một cửa sổ nơi bạn chỉ định mức độ tin cậy. Đặt IP Security (IPSec) thành Always Trust và bạn sẽ nhận được thông báo nhập lại mật khẩu của mình. Cài đặt này sẽ tự động lưu sau khi nhập mật khẩu.

Bây giờ chứng chỉ đã được nhập và được tin cậy, hãy cấu hình kết nối VPN theo các bước sau:

  1. Chuyển đến System Preferences và chọn Network.
  2. Nhấp vào dấu cộng ở phía dưới bên trái danh sách mạng.
  3. Khi xuất hiện cửa sổ mới, đặt Interface thành VPN, đặt VPN Type thành IKEv2 và đặt tên cho kết nối.
  4. Trong trường ServerRemote ID, hãy nhập domain hoặc địa chỉ IP của máy chủ. Để trống Local ID.
  5. Nhấp vào Authentication Settings, chọn Username và nhập username và password cho user VPN. Sau đó bấm OK.

Cuối cùng, nhấp vào Connect để kết nối với VPN.

Kết nối từ Ubuntu

Để kết nối tới Ubuntu, bạn có thể thiết lập và quản lí StrongSwan dưới dạng dịch vụ hoặc sử dụng lệnh chạy một lần (one-off command) mỗi khi muốn kết nối.

Quản lí StrongSwan như một dịch vụ

Để quản lí StrongSwan như một dịch vụ, bạn cần thực hiện các bước cấu hình sau.

Trước tiên, cập nhật package cache cục bộ:

$ sudo apt update

Tiếp theo, cài đặt StrongSwan và các plugin để xác thực:

$ sudo apt install strongswan libcharon-extra-plugins

Bạn cần một bản sao chứng chỉ CA trong thư mục /etc/ipsec.d/ca-certs để khách hàng của bạn có thể xác minh danh tính của máy chủ. Chạy lệnh sau để sao chép file ca-cert.pem vào vị trí:

$ sudo cp /tmp/ca-cert.pem /etc/ipsec.d/cacerts

Để đảm bảo VPN chỉ chạy theo yêu cầu, hãy sử dụng lệnh sau để tắt chạy StrongSwan tự động:

$ sudo systemctl disable --now strongswan-starter

Tiếp theo bạn sẽ cấu hình username và password sử dụng để xác thực với server VPN. Chạy lệnh sau:

$ sudo nano /etc/ipsec.secrets

Thêm dòng sau, chỉnh sửa giá trị username và password để khớp với giá trị bạn đã cấu hình trên server:

your_username : EAP "your_password"

Cuối cùng, chỉnh sửa file /etc/ipsec.conf để cấu hình client phù hợp với cấu hình của server:

config setup

conn ikev2-rw
    right=server_domain_or_IP
    # This should match the `leftid` value on your server's configuration
    rightid=server_domain_or_IP
    rightsubnet=0.0.0.0/0
    rightauth=pubkey
    leftsourceip=%config
    leftid=username
    leftauth=eap-mschapv2
    eap_identity=%identity
    auto=start

Để kết nối với VPN, hãy nhập:

$ sudo systemctl start strongswan-starter

Để ngắt kết nối, nhập lệnh:

$ sudo systemctl stop strongswan-starter

Sử dụng charon-cmd client cho các kết nối một lần

Để quản lí StrongSwan như một dịch vụ, bạn cần thực hiện các bước cấu hình sau.

Trước tiên, hãy cập nhật package cache bằng lệnh sau:

$ sudo apt update

Tiếp theo, cài đặt StrongSwan và các plugin cần thiết để xác thực:

$ sudo apt install strongswan libcharon-extra-plugins

Bạn cần một bản sao chứng chỉ CA trong thư mục /etc/ipsec.d/ca-certs để khách hàng của bạn có thể xác minh danh tính của máy chủ. Chạy lệnh sau để sao chép file ca-cert.pem vào vị trí:

$ sudo cp /tmp/ca-cert.pem /etc/ipsec.d/cacerts

Tại thời điểm này bạn có thể kết nối với server VPN bằng charon-cmd sử dụng chứng chỉ CA của server, địa chỉ IP của VPN server và username mà bạn đã cấu hình.

Chạy lệnh sau khi bạn muốn kết nối với VPN:

$ sudo charon-cmd --cert ca-cert.pem --host vpn_domain_or_IP --identity your_username

Khi có thông báo, hãy cung cấp mật khẩu của user VPN và bạn sẽ kết nối thành công với VPN. Để ngắt kết nối, nhấn CTRL+C vào terminal và đợi kết nối đóng lại.

Kết nối từ iOS

Để cấu hình kết nối VPN trên thiết bị iOS, hãy làm theo các bước sau:

  1. Gửi một email có đính kèm chứng chỉ gốc.
  2. Mở email trên thiết bị iOS của bạn và nhấn vào file chứng chỉ đi kèm, sau đó nhấn Install và nhập passcode của bạn. Sau khi cài đặt file chứng chỉ xong, nhấn Done.
  3. Chuyển đến Settings, General, VPN và nhấn Add VPN Configuration. Thao tác này sẽ hiển thị màn hình cấu hình kết nối VPN.
  4. Nhấn vào Type và chọn IKEv2.
  5. Trong trường Description, nhập tên cho kết nối VPN.
  6. Trong trường ServerRemote ID, hãy nhập domain hoặc địa chỉ IP của máy chủ. Trường Local ID có thể để trống.
  7. Nhập username và password vào phần Authentication, sau đó nhấn vào Done.
  8. Chọn kết nối VPN mà bạn vừa tạo, chạm vào switch ở đầu trang để kết nối.

Kết nối từ Android

Thực hiện các bước sau để nhập chứng chỉ ở thiết bị Android:

  1. Gửi một email có đính kèm chứng chỉ CA. Lưu chứng chỉ CA vào thư mục tải xuống của bạn.
  2. Tải xuống ứng dụng StrongSwan VPN client từ Play Store.
  3. Mở ứng dụng. Nhấn vào biểu tượng “thêm” (…) ở góc trên bên phải. Chọn CA certificates.
  4. Nhấn lại biểu tượng “thêm” (…) và chọn Import certificate.
  5. Mở chứng chỉ CA trong thư mục tải xuống của bạn và tải nó lên ứng dụng.

Bây giờ chứng chỉ đã được nhập vào StrongSwan, bạn có thể cấu hình kết nối VPN theo các bước sau:

  1. Trong ứng dụng, chạm vào ADD VPN PROFILE ở trên cùng.
  2. Điền vào mục Server bằng domain hoặc địa chỉ IP công khai của server VPN.
  3. Đảm bảo IKEv2 EAP (Username/ Password) được chọn làm loại VPN.
  4. Điền vào mục UsernamePassword bằng thông tin đăng nhập bạn đã xác định trên server.
  5. Bỏ chọn Select automatically trong phần CA certificate và nhấp vào Select CA certificate.
  6. Nhấn vào tab IMPORTED ở đầu màn hình và chọn CA bạn đã nhập (CA này sẽ có tên là “VPN root CA”) nếu bạn không thay đổi DN trước đó.
  7. Thay đổi Profile name nếu bạn muốn.

Khi bạn muốn kết nối với VPN, hãy nhấn vào cấu hình bạn vừa tạo trong ứng dụng StrongSwan.

Khắc phục sự cố

Nếu bạn không thể nhập chứng chỉ, chỉnh sửa phần mở rộng của file là .pem chứ không phải .pem.txt .

Nếu bạn không thể kết nối đến VPN, hãy kiểm tra tên máy chủ hoặc địa chỉ IP mà bạn đã sử dụng. Domain hoặc địa chỉ IP của máy chủ phải khớp với CN trong khi tạo chứng chỉ. Nếu domain hoặc địa chỉ IP không khớp với CN thì kết nối VPN sẽ không hoạt động. Ví dụ, CN là vpn.example.com thì khi máy chủ cũng phải sử dụng vpn.example.com. Kiểm tra kĩ lệnh bạn sử dụng để tạo chứng chỉ và các giá trị đã sử dụng khi tạo kết nối VPN.

Cuối cùng, hãy kiểm tra kĩ cấu hình VPN để đảm bảo giá trị leftid được cấu hình bằng kí hiệu @ nếu bạn đang sử dụng một domain. Nếu bạn đang sử dụng địa chỉ IP, bỏ @:

    leftid=@vpn.example.com

Ngoài ra, hãy đảm bảo rằng khi bạn tạo file server-cert.pem, bạn đã bao gồm cả hai cờ --san @IP_address--san IP_address.

Vietnix là nhà cung cấp giải pháp hosting, VPS, tên miền,… với hơn 10 năm kinh nghiệm và đã phục vụ cho hơn 50.000 khách hàng cá nhân và doanh nghiệp. Ngoài ra, tới thời điểm hiện tại, chúng tôi đã kích hoạt hơn 100.000 dịch vụ, cho thấy sự đáng tin cậy và chuyên nghiệp của đội ngũ Vietnix.

Không chỉ vậy, sau khi sử dụng dịch vụ tới 97% khách hàng đã giới thiệu Vietnix cho người khác, chứng tỏ chất lượng và dịch vụ của Vietnix được hầu hết khách hàng đánh giá cao. Chính vì vậy, nếu bạn đang cần một giải pháp hosting, VPS, tên miền,… cho doanh nghiệp hoặc cá nhân, Vietnix là một lựa chọn đáng tin cậy và chuyên nghiệp.

Mọi vấn đề thắc mắc cần tư vấn, quý khách vui lòng liên hệ:

  • Địa chỉ: 265 Hồng Lạc, Phường 10, Quận Tân Bình, Thành Phố Hồ Chí Minh
  • Hotline: 1800 1093 – 07 088 44444
  • Email: sales@vietnix.com.vn

Lời kết

Trên đây là toàn bộ hướng dẫn xây dựng server VPN sử dụng giao thức IKEv2. Bên cạnh đó, bạn cũng biết được cách cấu hình để Window, macOS, iOS, Android và Linux kết nối VPN. Chúc các bạn cài đặt thành công và bảo mật mọi hoạt động trực tuyến của mình trên môi trường internet. Hãy để lại bình luận bên dưới bài viết về thiết lập VPN IKEv2 Server với StrongSwan trên Ubuntu 20.04 nếu bạn có thắc mắc trong quá trình cài đặt để được giải đáp nhanh chóng.

Chia sẻ lên

Theo dõi trên

Logo Google new

Đánh giá

5/5 - (96 bình chọn)

Hưng Nguyễn

Kết nối với mình qua

Icon Quote

Tôi là Nguyễn Hưng (Bo Vietnix) là Co-Founder tại Vietnix. Tôi đã có hơn 10 năm làm việc trong mảng System, Network, Security đã trải nghiệm và đạt các chứng chỉ như CCNP, CISSP, CISA, đặc biệt là chống tấn công DDoS.

Icon Quote
Đăng ký nhận tin
Để không bỏ sót bất kỳ tin tức hoặc chương trình khuyến mãi từ Vietnix

Bình luận

Theo dõi
Thông báo của
guest
0 Comments
Phản hồi nội tuyến
Xem tất cả bình luận

Chỉ số tăng trưởng

Điểm Desktop

100 (+39)

Điểm Mobile

100 (+67)

Core Web Vitals

Passed

Lĩnh vực

Ecommerce

Chỉ số tăng trưởng

Điểm Desktop

99 (+28)

Điểm Mobile

100 (+50)

Core Web Vitals

Passed

Lĩnh vực

SEO

Chỉ số tăng trưởng

Điểm Desktop

99 (+26)

Điểm Mobile

98 (+59)

Core Web Vitals

Passed

Lĩnh vực

Ecommerce

Chỉ số tăng trưởng

Điểm Desktop

100 (+8)

Điểm Mobile

98 (+35)

Core Web Vitals

Passed

Lĩnh vực

Giáo Dục

Chỉ số tăng trưởng

Điểm Desktop

100 (+61)

Điểm Mobile

100 (+61)

Core Web Vitals

Passed

Lĩnh vực

Giáo Dục

Võ Thiên Tòng

25 Tháng 2 lúc 21:09

·

Mình muốn gửi lời cảm ơn chân thành đến Team Vietnix, anh Hưng Nguyễn, anh Vietnix Trung, em Quốc Huy đã hỗ trợ tối ưu Page Speed Insight (PSI) cho website vanvoiminhhoa.vn của mình.
Biết đến anh Hưng đã lâu nhưng chưa có duyên sử dụng dịch vụ bên anh. Tình cờ thấy được bài Post của anh về việc hỗ trợ tối ưu PSI miễn phí chỉ với vài Slot, thấy AE cmt khá nhiều nên cũng không nghĩ tới lượt mình. Hôm sau đánh liều inbox 1 phen xem sao thì may mắn được đưa vào danh sách. Vài ngày sau được Team Vietnix liên hệ và hỗ trợ.
Kết quả đạt được:
• Điểm xanh lè xanh lét
• Tốc độ tải trang nhanh hơn hẳn
• Các chỉ số cũng được cải thiện đáng kể
• Và mình tin rằng với việc PSI được cải thiện cũng thúc đẩy những thứ khác đi lên theo!
Mình thực sự hài lòng với dịch vụ của Vietnix và muốn giới thiệu đến tất cả mọi người:
• Dịch vụ Wordpress Hosting: Tốc độ nhanh, ổn định, bảo mật cao, hỗ trợ kỹ thuật 24/7. (https://vietnix.vn/wordpress-hosting/)
• Dịch vụ Business Hosting: Dung lượng lớn, phù hợp cho website có lượng truy cập cao, tích hợp nhiều tính năng cao cấp. (https://vietnix.vn/business-hosting/)
Đặc biệt, Vietnix đang có chương trình ưu đãi:
• Giảm giá 20% trọn đời khi nhập code THIENTONG_PAGESPEED tại trang thanh toán (Chu kỳ 12 tháng trở lên)
• Tặng 1 lần tối ưu điểm Page Speed Insight cho 1 website
Cám ơn Vietnix một lần nữa!
#Vietnix #Vanvoiminhhoa #Pagespeedinsight
Trước khi tối ưu
Sau khi tối ưu
Thiện Nguyễn - CEO SEO Dạo

5 Tháng 3 lúc 16:21

·

CORE WEB VITAL YẾU TỐ XẾP HẠNG TÌM KIẾM SEO
Core Web Vitals là một tập hợp các chỉ số đo lường hiệu suất của trang web từ góc độ người dùng, được Google sử dụng để đánh giá trải nghiệm người dùng trên các trang web. Các chỉ số chính bao gồm:
– Largest contentful paint (LCP): Tốc độ render của page. Mục tiêu là dưới 2,5 giây.
– First input delay (FID): Tốc độ phản hồi của website với tương tác của người dùng. Mục tiêu là dưới 100ms.
– Cumulative Layout Shift (CLS): Độ ổn định của bố cục trang. Mục tiêu là dưới 0.1.
Tất cả các chỉ số này đo lường các khía cạnh quan trọng của trải nghiệm người dùng trên trang web. Google đã công bố rằng từ tháng 5 năm 2021, các Core Web Vitals sẽ được sử dụng làm một trong các yếu tố đánh giá trong việc xếp hạng trang web trên kết quả tìm kiếm. Do đó, hiểu và cải thiện các Core Web Vitals là rất quan trọng đối với SEO.
Tóm lại, Core Web Vitals không chỉ giúp cải thiện hiệu suất và xếp hạng trang web trên công cụ tìm kiếm, mà còn cải thiện trải nghiệm của người dùng khi họ truy cập và tương tác với trang website.
P/s: mình đang có gói hỗ trợ đặc biệt cho anh em tối ưu tốc độ bên VIETNIX:
– Giảm 20% lifetime dịch vụ Hosting Business và Hosting Wordpress chu kỳ 12 tháng trở lên.
– Tặng 1 lần tối ưu điểm Page Speed Insight cho 1 website.
Anh em có nhu cầu đăng ký qua bạn Vietnix Trung này nhé và nhập mã SEODAO_PAGESPEED để được ưu đãi nhé.😁
Trước khi tối ưu
Sau khi tối ưu SEO Dạo
Icharm review

5 Tháng 3 lúc 15:43

·

[Mình vừa được hỗ trợ tối ưu page speed website]
Trước khi được tối ưu, web của mình điểm rất thấp, đặc biệt là mobile chỉ có 39. Cơ duyên thế nào lúc lướt face lại va phải chương trình tối ưu pagespeed bên Vietnix.
Sau khi được Trần Hoàng Phúc và team Vietnix hỗ trợ nhiệt tình, điểm web vọt lên 98 99 (như hình bên dưới). Dùng thử web thì thấy quá là mượt, 10 điểm cho team Vietnix.
Nói thật thì mình thật sự ấn tượng về sự nhiệt huyết, tận tâm và rất chuyên nghiệp bên Vietnix.
Anh em có nhu cầu về hosting hay có vấn đề về website như:
1. Web load chậm
2. Khách rời web vì đợi tải nội dung, hình ảnh lâu
3. Hay tất tần tật mọi thứ về website
THÌ LIÊN HỆ NGAY VIETNIX NHÉ!
Và đừng quên dùng pass “ICHARM_PAGESPEED” để được giảm 20% trọn đời hosting business và wp hosting. Quả code này còn được tặng 1 lần tối ưu pagespeed nữa nhé, ưu đãi chắc cũng phải nhất nhì thị trường luôn.
Trước khi tối ưu
Sau khi tối ưu
Hoàng Nguyễn

29 Tháng 2 lúc 17:04

·

Xin chào mọi người! Vừa rồi mình có sử dụng dịch vụ tối ưu website, tăng tốc độ tải trang pagespeed của Vietnix kết quả trên cả tuyệt vời nên mình viết bài này để chia sẻ thông tin với các bạn.
Lý do mình chọn dịch vụ tối ưu tốc độ website của Vietnix:
✅ Đội ngũ chuyên gia giàu kinh nghiệm: Đã tối ưu thành công cho hàng nghìn website trong nhiều lĩnh vực khác nhau. Các bạn nhân viên rất thân thiện, nhiệt tình và chủ động trong quá trình làm việc để cập nhật tiến độ.
✅ Quy trình chuyên nghiệp:
– Kiểm tra và phân tích: Vietnix sử dụng các công cụ tiên tiến để kiểm tra và phân tích tốc độ website của bạn.
– Xác định nguyên nhân: Vietnix xác định nguyên nhân khiến website tải chậm và đưa ra giải pháp tối ưu phù hợp.
– Tối ưu hóa website: Vietnix áp dụng các kỹ thuật tối ưu tiên tiến nhất để tăng tốc độ tải trang.
– Báo cáo kết quả: Vietnix cung cấp báo cáo chi tiết về kết quả tối ưu hóa website.
Công nghệ tiên tiến: Vietnix sử dụng các công nghệ tối ưu mới nhất như LiteSpeed, LSCache, Memcached, Redis, v.v.
✅ Cam kết kết quả: Vietnix cam kết tăng tốc độ website của bạn lên tối thiểu 90%.
✅ Giá cả cạnh tranh: Vietnix cung cấp dịch vụ tối ưu tốc độ website với mức giá cạnh tranh nhất trên thị trường.
📣 Để đăng ký sử dụng dịch vụ tối ưu tốc độ website và các dịch vụ khác như hosting, vps, domain… các bạn có thể đăng ký tại https://portal.vietnix.vn/aff.php?aff=57 hoặc Inbox cho sếp Vietnix Trung nhé.
Các bạn có thể kiểm tra tốc độ trang của mình https://lasan.edu.vn hoặc một vài trang khác đã sử dụng dịch vụ của Vietnix như sau:
https://pagespeed.web.dev/…/https…/v8beqewyt2…
https://pagespeed.web.dev/…/https…/etiohjvtl4…
https://pagespeed.web.dev/…/https…/yczuqpw6d1…
https://pagespeed.web.dev/…/https…/xf9y65kuzk…
https://pagespeed.web.dev/…/https…/fdrsms15en…
https://pagespeed.web.dev/…/https…/s7p9cgzeri…
Trước khi tối ưu
Sau khi tối ưu
Dũng cá xinh

30 Tháng 1 lúc 19:09

·

[Đỉnh]
Em có dùng hosting, vps, cloud vps, cloud server, dedicated server của rất nhiều bên từ trong nước đến nước ngoài để hosting khoảng 2,000+ domain. Mỗi bên đều có ưu nhược khác nhau, nhưng có 1 số bên đặc biệt “bá đạo”, trong đó có: Vietnix!!!!

Lần đầu tiên em được cả CEO Hưng Nguyễn lẫn Master về dev Vietnix Trung của 1 đơn vị hàng đầu liên quan đến Hosting, Server support từ A – Z (từ Zalo, Tele, đến FB và cả Phone)

Em có khá nhiều web dạng Big Data (bài, ảnh, database, data) lên đến hàng trăm Gb. Càng to thì nó càng có nhiều vấn đề về phần phản hồi ban đầu (nhược điểm cố hữu của php wordpress so với nativejs, reactjs, html, headless,…), và anh em Vietnix có nhã ý hỗ trợ xử lý phần Speed Insight này.

Kết quả thực sự kinh ngạc, từ cách trao đổi đến xử lý vấn đề, cut off những cái cần cut off, xử lý rất sâu vấn đề và gợi ý rất nhiều ý tưởng optimize hệ thống!!!! Thực sự quá hài lòng về kết quả cũng như cách tương tác của các đầu tầu bên Vietnix ^^!!!

Nhân cơ duyên được kết nối với những cao thủ của Vietnix, em xin chia sẻ và lan tỏa để nhiều anh em có cơ hội được sử dụng những dịch vụ tốt nhất với giá vô cùng hợp lý!!!!

1 – Với anh em chưa có hosting, em đặc biệt recommend sử dụng hosting bên Vietnix:
– Sử dụng mã DUNGCAXINH_PAGESPEED sẽ được giảm 20% trọn đời (lifetime luôn)
– Áp dụng các gói Hosting Business, Hosting wordpress và reg 1 năm trở lên
– Anh em chưa biết cách reg thì còm men hoặc ib để em hướng dẫn hoặc nhờ các bạn bên Vietnix support từ A – Z

2 – Anh em có hosting rồi và muốn build blog hoặc web = wordpress mà chưa có giao diện thì nhân tiện em đang có tài khoản Premium bên Envato, em sẽ tặng bất kỳ giao diện nào có trên Envato Themes (Link em để dưới còm men) ạ. Cả nhà còm hoặc ib em Themes mà mọi người “chim ưng”, em sẽ cho anh em tải về, up drive và gửi ạ!!! (Chương trình này kéo dài đến ngày 29 tết âm lịch ạ)

3 – BEST NHẤT luôn!!!! Anh em nào mua hosting dùng mã DUNGCAXINH_PAGESPEED sẽ được tối ưu 100 điểm tốc độ cho 1 web (đây là ưu đãi riêng của CEO Hưng Nguyễn dành cho bạn bè của #dungcaxinh ^^) (Giá trị nhất là cái vụ số 3 này anh chị em nhé ^^), cơ hội vàng để move về đơn vị hosting uy tín là đây ^^!!!!

Một lần nữa xin chân thành cám ơn 2 đồng chí em: Hưng Nguyễn và Vietnix Trung đã giải được một bài toán khó cho các trang WP Big data mà anh loay hoay bao lâu nay chưa tìm ra đáp án!!! Chúc Vietnix ngày càng phát triển và có một năm 2024 đại đại thắng nhé ^^ !!!!!
#SEO #Vietnix #dungcaxinh

Trước khi tối ưu
Sau khi tối ưu
Hiếu AI

2 Tháng 2 lúc 21:06

·

UY TÍN – TẬN TÂM – TỐC ĐỘ

3 từ trên là vẫn chưa đủ để nói về quy trình làm việc cực chuyên nghiệp của team Vietnix.Chuyện là mình có con website chính đang có lượt truy cập organic hàng ngày cũng tương đối (hình 1)

Vấn đề là, con site này đang nằm trên hosting dùng chung nên tốc độ load chưa nhanh, tốc độ load chưa nhanh thì trải nghiệm visitor chưa tốt, trải nghiệm visitor chưa tốt thì tỷ lệ chuyển đổi ra đơn hàng kiểu gì thì kiểu cũng sẽ bị ảnh hưởng.

Biết rõ là đang mất tiền nhưng không biết xử lý như lào, nghĩ mà cay.

Đang loay hoay thì vận may nó tới, hôm qua đang lướt phở bò thấy a Nguyễn Việt Dũng đăng bài, rảnh nên thả cái comment hóng hớt, ai ngờ ngoằng phát thấy ông Dũng tạo nhóm với Vietnix Trung luôn.

Ae Vietnix thì siêu tốc độ, lập tức lấy thông tin vào việc, không hỏi han lằng nhằng, không kỳ kèo chốt đơn dù lúc đấy cũng đang đêm muộn.
Sáng hôm sau dậy vẫn còn đang lơ ngơ mở điện thoại check tin nhắn thì đã thấy ae Vietnix báo xong việc, trong khi mình vẫn chưa biết có chuyện gì xảy ra @@.

Được cái bấm thử website thì thấy load siêu nhanh, chưa tới một giây là thông tin các thứ hiện hết. Quá phê, thả con ảnh trước sau (hình 2,3) để ace tiện đối chiếu nhé. Thế này thì mình gửi gắm nốt 15 em website còn lại cho team Vietnix thôi chứ không cần nghĩ ngợi gì nữa. 10/10.

Nên là:

  1. Anh chị em muốn có một con website tốc độ load nhanh như tốc độ trở mặt của nyc – Dùng ngay dịch vụ hosting của Vietnix
  2. Anh chị em có website rồi muốn tìm bên hosting uy tín, chuyên nghiệp hỗ trợ không quản ngày đêm – Liên hệ ngay Vietnix Trung
  3. Anh chị em quan tâm đến trải nghiệm khách hàng, từ những cái nhỏ nhất như tăng tốc độ website – Better call Vietnix Trung

Và đừng quên dùng pass “HIEUAI_PAGESPEED” để được giảm 20% trọn đời hosting business và wp hosting, quả code này còn được tặng 1 lần tối ưu pagespeed nữa nhé, ưu đãi chắc cũng phải nhất nhì thị trường luôn.
#SEO #Vietnix #hieuai

Website
Trước khi tối ưu
Sau khi tối ưu

Chỉ số tăng trưởng

Điểm Desktop

100 (+43)

Điểm Mobile

100 (+74)

Core Web Vitals

Passed

Lĩnh vực

AI