การติดตั้ง VPN Server แบบ Client To Site ด้วย MikroTik

การติดตั้ง VPN Server แบบ Client To Site ด้วย MikroTik

แนะนำการทำลิงค์แบบไคลเอ็นทูไซต์

ด้วยปัจจุบันเทคโนโลยีการเชื่อมต่ออินเตอร์เน็ตได้รับความนิยม และบ่อยครั้งที่หน่วยงาน ต้องการให้ผู้ใช้ ซึ่งเป็นพนักงาน หรือผู้เกี่ยวข้อง เช่น Outsource ก็ดี ต้อง Access เข้ามาใช้งานทรัพยากรในระบบ เช่น ต้องการให้พนักงานฝ่ายขาย เข้ามาคีย์ใบเสนอราคา ซึ่งเป็นเซอร์ฟเวอร์ ที่อยู่ใน Office ไม่ว่าจะเป็นรูปแบบของ Web Application หรือ เป็น Windows Application ที่ต้องการเชื่อมต่อฐานข้อมูล เช่น MYSQL หรือ MSSQL

ซึ่งในการทำงานรูปแบบดังกล่าวข้างตน หากใช้งานภายในเน็ตเวิร์คเดียวกัน ก็ไม่ติดปัญหาใดๆ แต่หาก พนักงานอยู่ด้านนอกบริษัทล่ะ ไม่สามารถทำได้แต่ ซึ่งอาจจะต้องใช้การ Forward พอร์ต แต่การทำแบบนี้ทำให้เกิดความเสี่ยง เมื่อเผยแพร่ออกสู่โลกภายนอก เราต้องคำนึงถึงความปลอดภัย

ดังนั้น ทางออกอีกทางหนึ่งคือ การใช้งานท่อเสมือน หรือ การทำ VPN ซึ่ง ถ้าพูดถึง VPN แล้วก็มีการทำงานในหลายๆ แบบ ทั้งแบบ Site to Site หรือ แบบ Client to Site และในบทความนี้จะกล่าวถึง Client to Site กัน

ตัวอย่างภาพการเชื่อมต่อที่จะนำเสนอในบทความนี้

vpn_mobile

Client to Site คือการอนุญาตให้อุปกรณ์ เช่น มือถือ หรือ คอมพิวเตอร์ ที่อยู่นอกหน่วยงาน หรือบริษัท สามารถเชื่อมต่อเข้ามาในบริษัทได้ โดยเปรียบเสมือนนั่งอยู่ในเน็ตเวิร์คเดียวกับบริษัท ทำให้สามารถเข้าถึง Access ทรัพยากรต่างๆ ของษัทได้ เช่น แชร์ไฟล์ เซิร์ฟเวอร์โปรแกรมต่างๆ ได้ทุกที่ ทุกเวลานั่นเอง

การเชื่อมต่อรูปแบบนี้ จะให้ความปลอดภัย เพราะเราหรือผู้ดูแลระบบสามารถกำหนดชื่อบัญชี ให้กับพนักงาน ในการเข้าใช้งานแต่ละคนได้ โดยที่หากพนักงานคนใดลาออกไป เราเพียงแค่ลบชื่อบัญชีนั้นนอก เขาก็ไม่สามารถเข้าสู่ระบบของเราได้แล้ว และที่สำคัญรูปแบบการใช้งานนี้ ทำให้เกิดความปลอดภัย เพราะจะเข้าสู่เน็ตเวิร์คจากภายนอกได้ ผู้ใช้ต้องทำการเชื่อมต่อท่อเสมือนก่อนทุกๆ ครั้ง ที่ต้องการใช้งาน

จากที่เกริ่นมาทั้งหมดด้านบน ผมขอนำเสนอการทำ VPN หรือท่อเสมือนแบบ Client to Site ด้วยอุปกรณ์ที่ปัจจุบันได้รับความนิยมอย่างมาก นั่นคือ MikroTik ซึ่งเป็นอุปกรณ์ที่เพรียบพร้อมในการใช้งาน ไม่ว่าจะเป็นเรื่อง Firewall Routing หรือ Tunneling ก็สามารถทำงานได้อย่างสบายๆ และที่สำคัญ สบายกระเป๋าด้วย สนใจก็ลองเข้าไปศึกษาเพิ่มเติมได้ที่เว็บ www.mikrotik.com ซึ่งหากต้องการสั่งซื้อสินค้าก็ลองเข้าไปดูที่เว็บ www.thaimikrotik.com ได้เลยครับ

สำหรับใครที่ต้องการติดตั้งระบบดังกล่าวใช้งาน ให้เตรียมอุปกรณ์ดังต่อไปนี้ (ตามตัวอย่าง Workshop นี้)

อุปกรณ์ที่ต้องเตรียม

  1. MikroTik RouterBoard เลือกรุ่นที่ต้องการ หากรุ่นใหญ่ๆ จะรองรับปริมาณการใช้งาน หรือ Throughput ได้มากขึ้น
  2. ออกแบบผังเน็ตเวิร์คให้เรียบร้อย

โดยเน็ตเวิร์คที่ผมออกแบบไว้ ตามตัวอย่างจะเป็นดังนี้

  1. เร้าเตอร์เชื่อมต่ออินเตอร์เน็ตแบบ PPPoE Client (โดยกำหนดเร้าท์เตอร์ของผู้ให้บริการเป็น Bridge)
  2. เน็ตเวิร์คภายใน กำหนดไอพีไว้ที่หมายเลข 192.168.2.0/24
  3. เน็ตเวิร์คสำหรับท่อเสมือน หรือ vpn ผมจะกำหนดไว้ที่หมายเลย 172.30.99.0/24

หมายเหตุ : สำหรับการเข้าคอนฟิกอุปกรณ์ MikroTik ให้โหลดโปรแกรม Winbox มาใช้งานนะครับ แนะนำให้เลือกใช้เวอร์ชั่นล่าสุด ได้เลย ดาวน์โหลดที่นี่

เริ่มการคอนฟิกกันเลย

เข้าสู่ Winbox ด้วย IP ของเร้าเตอร์ หรือเข้าด้วย Mac Address จากนั้นใส่ User & Pass แล้วกด connect เชื่อมต่อ

vpn_1

เริ่มกำหนดการเชื่อมต่ออินเตอร์เน็ตแบบ PPPoE Client โดยไปที่

  1. เลือกเมนู PPP
  2. เลือกแท็บ Interface
  3. เลือกที่ Add New [ + ]
  4. จากนั้นให้กำหนด Interface ที่คุณเชื่อมต่อระหว่าง โมเด็ม ของผู้ให้บริการ กับ พอร์ตไมโครติค ตัวอย่าง ผมเชื่อมต่อที่พอร์ต ETHER1-WAN-TOTO… เป็นต้น (เราสามารถเปลี่ยนชื่อ Interface ได้ กรณีนี้ผมเปลี่ยนไว้)

vpn_2

จากนั้นที่คลิกที่แท็บ Dial Out

5. ให้กรอก User & Password ที่คุณได้จากผู้ให้บริการ (กรณีไม่ได้ ให้โทรสอบถามนะครับ)
6. ให้ทำเครื่องหมายถูกที่หน้า Use Peer DNS และ Add Default Route
7. จากนั้นคลิกที่ OK

vpn_3

เมื่อเชื่อมต่อได้จะขึ้นตัว R ที่หน้า Interface ที่เราได้กำหนดไว้ ดังภาพ

vpn_4

เราสามารถตรวจสอบว่าการเชื่อมต่อดังกล่าว เราได้ไอพีหมายเลขอะไร จากผู้ให้บริการให้มา เข้าไปที่

8. เข้าไปที่เมนู IP
9. เลือก Address
10. จะสังเกตุว่ามี D ขึ้นด้านหน้าของรายการ คือ Dynamic หมายถึงรับไอพีมาอัตโนมัติเราจะไม่สามารถแก้ไขตรงนี้ได้

vpn_5

จบขั้นตอนการเชื่อมต่ออินเตอร์เน็ต หรือ WAN Interface

ต่อไปเราจะมากำหนดไอพี สำหรับแจก หรือใช้งานภายในสำนักงาน โดยเรากำหนดได้ดังขั้นตอนต่อไปนี้

  1. ไปที่เมนู IP
  2. ไปที่ Address
  3. เลิอกที่ Add New [ + ]
  4. จากนั้นให้กำหนดรายละเอียดของไอพีที่เราต้องการใช้งาน ตัวอย่าง ผมกำหนด Address = 192.168.2.1/24 แล้วเชื่อมที่อินเตอร์เฟส ที่ 4 คือ ether4
  5. จากนั้นคลิกที่ OK

vpn_6

เพียงแค่นี้ เครื่องลุกค้าที่อยู่ภายในเน็ตเวิร์ค ท่านต้องไป Fixed IP Address ให้กับเครื่อง หรือไม่ก็ทำ DHCP Server ซึ่งผมจะไม่ขอกล่าวในบทความนี้นะครับ

เริ่มกำหนดค่าสำหรับ VPN Server ให้กำหนดค่าตามขั้นตอนดังต่อไปนี้

  1. ให้ทำการสร้าง POOL VPN ขึ้นมาก่อน (คืออะไร ?? มันคือ การสร้างกลุ่มไอพีที่เราต้องการแจกให้ vpn เมื่อมีการเชื่อมต่อเข้ามา จะเป็นรูปแบบ เหมือน dhcp เลย คือกำหนดว่าจะแจกระหว่างไอพีหมายเลขอะไร ถึงอะไร)
  2. สร้าง Profiles สำหรับ VPN
  3. เปิดใช้งาน PPTP VPN Server
  4. สร้างชื่อบัญชี สำหรับการเชื่อมต่อ

เรามาเลยสร้างกันทีละขั้นตอน ข้างต้นกันเลย

การสร้าง POOL VPN

  1. เข้าไปที่เมนู IP
  2. เลือก Pool
  3. ที่แท็บ Pool ให้คลิก Add New [ + ]
  4. ให้กำหนดค่าดังต่อไปนี้ Name : คือชื่อ Pool ที่ต้องการให้งาน กำหนดชื่อได้ตามใจชอบ Address : คือ หมายเลขไอพีที่ต้องการให้จ่ายให้ vpn client ที่เชื่อมต่อเข้ามา ตัวอย่าง ผมกำหนดเป็น 172.30.99.2-172.30.99.100 (เอาง่ายๆ คือ แจกไป 99 หมายเลข มากกว่านี้ก็แล้วแต่ตามสบายเลยนะครับ)
  5. คลิกที่ OK

vpn_7

จากนั้นมาขั้นตอนที่ 2 ครับ สร้าง Profiles (คือมันสามารถกำหนดได้หลายๆ แบบ) ทำตามขั้นตอนดังต่อไปนี้

  1. ไปที่เมนู PPP
  2. เลือกที่ Profiles
  3. เลือกที่ Add New [ + ]
  4. กำหนดชื่อ Profile Name : กำหนดตามใจชอบ ครับ ตัวอย่างผมกำหนดเป็น PROFILE-VPN-SITE2SITE จากนั้น Local Address : กำหนดเป็น 172.30.99.1 (หากดูย้อนไปข้อแรก ผมแจกไอพีตั้งแต่เบอร์ 172.30.99.2 ดังนั้น ไม่ควรกำหนดให้คล่อมกันนะครับ) และที่ Remote Address ให้กำหนดเป็นชื่อ POOL ที่เราได้สร้างไว้ ในขั้นตอนก่อนหน้า ครับ ตัวอย่างเลือกเป็น POOL-VPN-CLIENT-TO-SITE
  5. จากนั้นคลิกที่ OK

vpn_8

เปิดใช้งาน PPTP VPN Server ซึ่งใน MikroTik มี VPN ให้เลือกหลายๆแบบ ในบทความนี้ผมเสนอ PPTP VPN ก่อนแล้วกัน

ทำตามขั้นตอนดังต่อไปนี้

  1. ไปที่เมนู PPP
  2. ไปที่เมนู Interface
  3. จากนั้นคลิกที่ PPTP Server
  4. ให้ทำเครื่องหมายถูกหน้า Enabled
  5. แล้วคลิกที่ OK

vpn_9

เพียงแค่นี้ก็เสร็จสิ้นการสร้าง VPN Server ล่ะ ง่ายไหม ฮ่าๆๆๆ MikroTik คลิกๆ ก็ได้ล่ะ

ต่อไปมาสร้างชื่อบัญชี ที่จะให้ผู้ใช้ ใช้สำหรับการเชื่อมต่อเข้าสู่ระบบของเรากันเลย

  1. ไปที่เมนู PPP
  2. คลิกที่ Secrets
  3. คลิก Add New [  + ]
  4. กำหนดรายละเอียดการเชื่อมต่อได้เลย เช่น Name : คือชื่อบัญชีที่เราต้องการ เช่น otiknetwork และรหัสผ่าน จากนั้นให้เลือก Profile ชื่อที่เราสร้างไว้ก่อนหน้า
  5. เลือกที่ OK เสร็จ จบ

vpn_10

เสริมให้อีกนิด ในการเชื่อมต่อ VPN ของ client นั้นจำเป็นต้องเชื่อมต่อผ่าน HOST ซึ่ง จะเป็น IP หรือ HOST ก็ได้ MikroTik เอง เพื่อให้การใช้งานสะดวก เขาจึงให้เรามาเลย แต่ชื่อจำยากนิดนะครับ ไปที่

IP > Cloud > Enabled – Update Time > OK

ให้คุณจำ DNS Name : ไว้ให้ดีๆ นะครับ ตรงนี้แหละที่เราจะใช้สำหรับการเชื่อมต่อจากเครื่องลูกค่าย

vpn_11

จบขั้นตอนการเชื่อมต่อในส่วนของ MikroTik เรียบร้อยแล้ว ต่อไป มาดูฝั่งของ client หรือเครื่องลูกข่ายกันบ้าง ว่าจะเชื่อมต่ออย่างไร

ยกตัวอย่าง Windows 8.1 นะครับ ให้คุณไปที่ Start > Control Panel แล้วเลือกที่ Network and Sharing Center

vpn_14

จากนั้นให้เลือกที่ Setup a new connection or network

vpn_15

จากนั้นก็ Next ไปเรื่อยๆ จนถึง How do you want to connect ? ให้เลือก Use my Internet connect (VPN)

vpn_16

จากนั้นให้เอาชื่อ HOST ของ Cloud Mikrotik มาใส่ที่ช่อง Internet address ครับ จำได้หรือไม่ ไปดูด้านบนครับ กล่าวไว้แล้วและบอกด้วยว่า ให้จำตรงนี้ด้วย อิอิ

vpn_17

จากนั้นลองคลิกทำการเชื่อมต่อ เขาจะให้เราใส่ User & password สำหรับการเชื่อมต่อ ก็จัดเลยครับ User ที่สร้างไว้ ผมสร้างไว้ชื่อ otiknetkwork หรัสผ่าน อะไรไม่รู้จำไม่ได้ล่ะ ฮ่าๆๆๆๆ จากนั้น OK โล๊ด

vpn_18

หากไม่ผิดพลาดเชื่อมต่อได้ จะขึ้น vpn connection (connected) เย้ เชื่อมได้แล้วเด้อพี่น้อง

vpn_19

มาดูสิว่าเราได้ไอพีเบอร์อะไร สังเกตุ หมายเลขไอพีที่ได้ ตามที่เรากำหนดใน Pool เลยแม่นบ่ครับ อิอิ

vpn_20

จากนั้นทดสอบ ping ไปยัง Server ภายในของ Office เราเลยครับ (เขาต้องเปิดเครื่องไว้น่ะ) หากไม่ผิดพลาดจะสามารถเชื่อมต่อได้ครับ

vpn_21

พิมพ์มาจนมือหงิก ใช้เวลาพอควร ไม่เข้าใจตรงไหน หรือทำแล้วไม่ได้ โทร 02-538-4378 ได้เลยครับ ผมรับจ้างเซ็ตอัปครับ ไม่ทำฟรีนะครับ ติดต่อได้เลย ฮ่าๆๆๆๆๆ

สุดท้าย ขอบคุณ สวัสดี
อำนวย ปิ่นทอง

 

7 comments

  1. ใช้โปรแกรมบัญชี Easy-Acc
    สำนักงานใหญ่ใช้ 3BB Fix IP 200/200
    สาขาใช้ TOT 50/30
    แนะนำใช้ Mikrotik รุ่นไหนครับ
    ความเร็ว อินเตอร์เน็ต พอเพียงมั้ยครับ
    ขอบพระคุณครับ

ส่งความเห็นที่ อำนวย ปิ่นทอง ยกเลิกการตอบ

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *