บทความสำหรับ: ผู้ที่มีความรู้เกี่ยวกับระบบเครือข่ายในระดับเบื้องต้นถึงปานกลาง (v1.1)
โดย วิทวัส โฉมประเสริฐ, ศุภสิทธิ์ ศิริพานิชกร
คำถาม
1. ถ้าต้องการเชื่อมต่อ VPN Site to Site ระหว่างกันโดยใช้ Zyxel P-661H-D1 ต้องทำอย่างไรบ้าง ?
คำตอบ
อุปกรณ์ Zyxel P-661H-D1 เป็นอุปกรณ์ที่รอง Modem Router ซึ่งเป็นแบบ ADSL2 ADSL2 READSL ซึ่งข้อเด่นของตัวอุปกรณ์รองรับการทำ VPN แบบ IP SEC ระหว่างสำนักงานและสาขาสูงสุด 2 สาขา โดยใช้ Zyxel P-661H-D1 ร่วมกัน ซึ่งถือว่าเป็นอุปกรณ์สำหรับเชื่อมต่อวีพีเอ็นระหว่างสาขา และสำนักงานขนาดเล็ก + ใช้แชร์การใช้งานอินเตอร์เน็ตในระบบเครือข่าย สามารถควบคุมความเร็วการใช้งานภายในองค์กร
ขั้นตอนการตั้งค่า VPN Zyxel P-661H-D1 ทางฝั่งสำนักงานหลัก (HQ)
- เชือมต่อคอมพิวเตอร์เข้าที่พอร์ทแลนของ Zyxel P-661H-D1 ซึ่งในที่นี้ได้เปลี่ยน IP ของ Zyxel P-661H-D1ใหม่โดยไปที่เมนู Network -> LAN เปลี่ยนเป็น 192.168.10.30 แทน
*วงของการทำ VPN จะต้องอยู่กันคนละ Subnet กัน* - เช็ค IP Address ว่าได้รับการแจกไอพีจาก Zyxel P-661H-D1 วง 192.168.10.30 หรือยังโดยดูที่ Default Gateway
- เปิด Web Browser พิมพ์ IP ของตัว Zyxel P-661H-D1 : 192.168.10.30
- ระบบจะให้ใส่รหัสผ่านโดน Default จะเป็น
Password : 1234
"Login" - ตัว Zyxel P-661H-D1 จะให้ผู้ใช้งานตั้งรหัสความปลอดภัยใหม่
New Password : xxxxx
Retype to Confirm : xxxx
"Apply" - ตัว Zyxel P-661H-D1 จะให้ผู้ใช้งานเลือกประเภทเครื่องมือใช้งานในที่นี้เลือก
"Go to Advanced Setup"
"Apply" - ตั้งค่าการเชื่อมต่อ Internet
ไปที่เมนู
Network -> WAN (Internet Cinnection)
Name : ชื่อการเชื่อมต่อ
Mode : โหมดการใ้ช้งาน Routing
Encapsulation : PPPOE
User Name : ชื่อผุ้ใช้จาก ISP
Password : รหัสผู้ใช้จาก ISP
Multiplexing : LLC
VPI : ค่าจะแตกต่างกันขึ้นอยู่กับ ISP ที่ใช้
VCI : ค่าจะแตกต่างกันขึ้นอยู่กับ ISP ที่ใช้
"Apply" - ตรวจสอบการเชื่อมต่อ Internet สถานะไฟของ Zyxel P-661H-D1 เมื่อต่อสาย ADSL ไปแล้ว DSL : ติด , Internet : ติด
หรือไปที่เมนู Status เพื่อดูค่า WAN IP Address ว่ามีตัวเลยจาก ISP มาให้หรือยัง - กรณี ISP ที่เราของเป็นแบบ Dynamic ไม่ใช่แบบ FIX ปัญหาของ VPN ก็คือ WAN IP Address ที่เราทำ VPN มีการเปลี่ยน IP Address อยู่เสมอทำให้ผู้ใช้ต้องสมัครใช้งาน dyndns เพื่อสร้างชื่อ Host เอาไปผูกไว้ที่ Zyxel P-661H-D1 เพื่อ VPN ของ สนง - สาขา สามารถชี้ Host ที่ dynanmic กันเจอ
แต่ถ้าเป็นแบบผู้ใช้งานของ ISP เป็นแบบ Fix IP ก็จะทำให้ WAN IP ของทั้ง 2 ฝั่ง โอกาสหลุดน้อยลง เพราะเราจะไม่ต้องไปผูก Host เมื่อเวลาการ Update WAN IP ของ Zyxel P-661H-D1 ไป update ช้า
การตั้งค่า Dyndns ไปที่เมนู
Advanced -> Dynamic DNS - ทดสอบว่า การ update dyndns ที่ใส่ที่บน Zyxel P-661H-D1 Reply ip มาตรงกับ WAN IP หรือไม่
- ตั้งค่า VPN ของฝั่งสำนักงานไปที่เมนู
Security -> VPN
เลือก Edit ทางฝั่งของ VPN Tunnel 1 - ตั้งค่าดังนี้
IP SEC SETUP
Active : enable
Keep Alive : Enable
Name : HQ to BR
IP Sec Key Mode : IKE
Nagotiation Mode : Main
Encapsulation Mode : Tunnel
DNS Server : 0.0.0.0
LOCAL (ฝั่ง HQ ด้าน LAN)
Local Address Type : Subnet
IP Address Start : 192.168.10.0
Subnet mask : 255.255.255.0
REMOTE (ฝั่ง BR ด้าน LAN)
Remote Address Type : Subnet
IP address Start : 192.168.1.0
Subnet Mask : 255.255.255.0
Address Information (ฝั่ง HQ-BR ด้าน WAN)
Local ID Type : DNS
Content : DNS ทางฝั่ง HQ หรือ WAN IP ของฝั่ง HQ
My IP Address : 0.0.0.0
Peer ID Type : DNS
Content : DNS ทางฝั่ง BR หรือ WAN IP ของฝั่ง BR
Secure Gateway Address : DNS ทางฝั่ง BR หรือ WAN IP ของฝั่ง BR
Security Protocol (ความปลอดภัยที่ใช้งานบน VPN Tunnel)
VPN Protocol : ESP
Pre-Shared Key : รหัสความปลอดภัยของ HQ -> BR
Encryption Algorithm : DES
Authentication Algorithm : SHA1
"Advanced"
Phase 1 - ความปลอดภัยระดับ 1
Negotiation Mode : Main
Pre-Shared Key : รหัสความปลอดภัยของ HQ -> BR
Encryption Algorithm : DES
Authentication Algorithm : MD5
SA Life TIme : 28800
Key Group : DH1
Phase 2 - ความปลอดภัยระดับ 2
Active Protocol : ESP
Encryption Algorithm : DES
Authentication Algorithm : SHA1
SA Life TIme : 28800
Encapsulation : Tunnel
perfact Forward Secrecy : NONE
"Apply" - เสร็จสิ้นการตั้ง VPN ทางฝั่ง HQ
ขั้นตอนการตั้งค่า VPN Zyxel P-661H-D1 ทางฝั่งสาขา (BR)
- เชือมต่อคอมพิวเตอร์เข้าที่พอร์ทแลนของ Zyxel P-661H-D1 ซึ่งในที่นี้ใช้ วงIP ของ Zyxel P-661H-D1ที่เป็นค่า Default
*วงของการทำ VPN จะต้องอยู่กันคนละ Subnet กัน* - เช็ค IP Address ว่าได้รับการแจกไอพีจาก Zyxel P-661H-D1 วง 192.168.1.1 หรือยังโดยดูที่ Default Gateway
- กรณี ISP ที่เราของเป็นแบบ Dynamic ไม่ใช่แบบ FIX ปัญหาของ VPN ก็คือ WAN IP Address ที่เราทำ VPN มีการเปลี่ยน IP Address อยู่เสมอทำให้ผู้ใช้ต้องสมัครใช้งาน dyndns เพื่อสร้างชื่อ Host เอาไปผูกไว้ที่ Zyxel P-661H-D1 เพื่อ VPN ของ สนง - สาขา สามารถชี้ Host ที่ dynanmic กันเจอ
แต่ ถ้าเป็นแบบผู้ใช้งานของ ISP เป็นแบบ Fix IP ก็จะทำให้ WAN IP ของทั้ง 2 ฝั่ง โอกาสหลุดน้อยลง เพราะเราจะไม่ต้องไปผูก Host เมื่อเวลาการ Update WAN IP ของ Zyxel P-661H-D1 ไป update ช้า
การตั้งค่า Dyndns ไปที่เมนู
Advanced -> Dynamic DNS - ตั้งค่า VPN ของฝั่งสำนักงานไปที่เมนู
Security -> VPN
เลือก Edit ทางฝั่งของ VPN Tunnel 1 - ตั้งค่าดังนี้
IP SEC SETUP
Active : enable
Keep Alive : Enable
Name : BR to HQ
IP Sec Key Mode : IKE
Nagotiation Mode : Main
Encapsulation Mode : Tunnel
DNS Server : 0.0.0.0
LOCAL (ฝั่ง BR ด้าน LAN)
Local Address Type : Subnet
IP Address Start : 192.168.1.0
Subnet mask : 255.255.255.0
REMOTE (ฝั่ง HQ ด้าน LAN)
Remote Address Type : Subnet
IP address Start : 192.168.10.0
Subnet Mask : 255.255.255.0
Address Information (ฝั่ง BR-HQ ด้าน WAN)
Local ID Type : DNS
Content : DNS ทางฝั่ง BR หรือ WAN IP ของฝั่ง BR
My IP Address : 0.0.0.0
Peer ID Type : DNS
Content : DNS ทางฝั่ง HQ หรือ WAN IP ของฝั่ง HQ
Secure Gateway Address : DNS ทางฝั่ง HQ หรือ WAN IP ของฝั่ง HQ
Security Protocol (ความปลอดภัยที่ใช้งานบน VPN Tunnel)
VPN Protocol : ESP
Pre-Shared Key : รหัสความปลอดภัยของ HQ -> BR
Encryption Algorithm : DES
Authentication Algorithm : SHA1
"Advanced"
Phase 1 - ความปลอดภัยระดับ 1
Negotiation Mode : Main
Pre-Shared Key : รหัสความปลอดภัยของ HQ -> BR
Encryption Algorithm : DES
Authentication Algorithm : MD5
SA Life TIme : 28800
Key Group : DH1
Phase 2 - ความปลอดภัยระดับ 2
Active Protocol : ESP
Encryption Algorithm : DES
Authentication Algorithm : SHA1
SA Life TIme : 28800
Encapsulation : Tunnel
perfact Forward Secrecy : NONE
"Apply" - เสร็จสิ้นการตั้ง VPN ทางฝั่ง BR
ขั้นตอนการทดสอบการเชื่อมต่อ VPN Zyxel P-661H-D1 HQ to BR
หลังจากที่ตั้งค่า VPN ระหว่าง HQ-BR เรียบร้อยแล้วมาตรวจเช็ค Tunnel ว่าสามารถมองเห็นกันหรือยังดังนี้
- เพื่อความสะดวกตั้ง Remote เอาไว้ก่อนเผื่อสามารถเ้ข้าไป remote Zyxel P-661H-D1 จาก WAN เข้าไป
ไปที่เมนู
Advanced -> Remote MGMT (WWW)
port : พทร์ทในการ Access
Access Status : เลือก LAN&WAN ในการ Remote - เช็ค VPN ทางฝั่ง HQ ไปที่เมนู
Security -> VPN (Monitor)
จะแสดงสถานะการเชื่อมต่ิอ VPN - เช็ค VPN ทางฝั่ง BR ไปที่เมนู
Security -> VPN (Monitor)
จะแสดงสถานะการเชื่อมต่ิอ VPN - ทดสอบ ping จากฝั่ง HQ
ไปที่หน้าจอ Windows
Start -> RUN พิมพ์ cmd (ENTER)
พิมพ์
ipconfig (ตรวจสอบ local ที่ใช้งานอยู่ HQ)
ping 192.168.10.30 (ตรวจสอบ IP Gateway HQ Zyxel P-661H-D1 ว่าเจอไหม)
ping 192.168.1.1 (ตรวจสอบ IP Gateway BR ที่ VPN ไปหา Zyxel P-661H-D1 อีกฝั่งว่าเจอไหม)
ping 192.168.1.35 (ตรวจสอบ IP Computer หรือเครื่องปลายทางว่าเจอไหม) - ทดสอบ ping จากฝั่ง BR
ไปที่หน้าจอ Windows
Start -> RUN พิมพ์ cmd (ENTER)
พิมพ์
ipconfig (ตรวจสอบ local ที่ใช้งานอยู่ BR)
ping 192.168.1.1 (ตรวจสอบ IP Gateway BR Zyxel P-661H-D1 ว่าเจอไหม)
ping 192.168.10.30 (ตรวจสอบ IP Gateway HQ ที่ VPN ไปหา Zyxel P-661H-D1 อีกฝั่งว่าเจอไหม)
ping 192.168.10.152 (ตรวจสอบ IP Computer หรือเครื่องปลายทางว่าเจอไหม)
จบบทความ
รายละเอียดการให้บริการจากทีมงาน SYS2U.COM Xpert Zone