ไอ้หนึ่งออนไลน์.คอม

วิธีการเซ็ต VPN บน DG834G แบบ Site-to-Site

October 21, 2007 – 8:17 pm

VPN ย่อมาจากคำว่า Virtual Private Network หรือถ้าแปลเป็นภาษาไทยแบบตรงตัวก็คือการสร้างระบบเครือข่ายส่วนตัวเสมือน ซึ่งจะมีการสร้างท่อ VPN (VPN Tunnel) ตั้งแต่จุดสองจุดขึ้นไปเพื่อทำให้เสมือนว่า ระบบ LAN ของสองฝั่งนั้นเป็นระบบเครือข่ายเดียวกัน ดังนั้นประโยชน์จากการทำ VPN นั่นก็คือการที่เราสามารถติดต่อกับอุปกรณ์ในระบบเครือข่ายทั้งสองที่เสมือนนั่งอยู่ที่ที่เดียวกันนั่นเอง ซึ่งโดยทั่วไปแล้ว การสร้างการเชื่อมต่อแบบ VPN นั้น จะแบ่งออกเป็นสองกรณีด้วยกันคือ…

1. การเชื่อมต่อแบบ Client to Gateway: การเชื่อมต่อแบบนี้ จะเป็นการเชื่อมต่อ VPN แบบที่ฝั่งหนึ่งฝั่งใด จะต้องมีอุปกรณ์ที่เป็น VPN Router อาธิเช่น NETGEAR DG834G หรือ FVS318, FVX538 เป็นต้น โดยที่อีกฝั่งนึงจะต้องมีการติดตั้ง VPN Client Software อาธิเช่น NETGEAR VPN Client Software เพื่อทำการเชื่อมต่อเข้ามายังตัว VPN end-point ดังกล่าว ซึ่งจะเป็นการเหมาะสำหรับผู้ที่ทำงานอยู่นอก office บ่อยๆ และต้องการเชื่อมต่อกลับมายังระบบเครือข่ายในบริษัทเป็นต้น
2. การเชื่อมต่อแบบ Gateway to Gateway: การเชื่อมต่อแบบนี้ จะเป็นการเชื่อมต่อ VPN โดยที่ทั้งสองฝั่งจะต้องมีอุปกรณ์จำพวก VPN Router อาธิเช่น NETGEAR DG834G, FVS318 หรือ FVX538 นั่นเอง โดยวิธิดังกล่าวนี้ เครื่องคอมพิวเตอร์ที่อยู่หลังตัว VPN Router ไม่จำเป็นที่จะต้องติดตั้ง VPN Client Software เลย ซึ่งคู่มือนี้จะบอกวิธีการติดตั้ง VPN แบบ Gateway to Gateway นั่นเอง

ทีนี้เราลองมาดูวิธีการเซ็ตอัพแบบ Step-by-Step กันเลยนะครับ?

อ่านก่อน

• คู่มือนี้ อธิบายการสร้าง VPN แบบ Gateway to Gateway จาก DG834G ไปยัง DG834G โดยอาจจะใช้ IP จริงในการอ้างอิงหรือใช้ชื่อที่สมัครจาก Dynamic DNS มาใช้ในการอ้างอิง โดยตัวอย่างในคู่มือฉบับนี้จะอ้างอิงโดยการใช้ชื่อที่สมัครจาก Dynamic DNS
• โปรดทำการสมัครขอใช้บริการ Dynamic DNS สองชื่อเป็นอย่างน้อยเพื่อใช้ในการติดตั้ง VPN แบบ Gateway to Gateway
• ดาวน์โหลดคู่มือการเซ็ตแบบ pdf fileได้จาก ที่นี่ เลยนะครับ

ภาพรวมของระบบ

รูปที่ 1 ภาพรวมคร่าวๆ ของระบบ VPN แบบ Gateway to Gateway

ก่อนทำการเริ่ม คุณจะต้องรู้ค่าต่างๆ ของระบบเครือข่ายคุณดังนี้

• IP LAN และ IP WAN (หรือ ชื่อ Dynamic DNS ที่ขอมา ของทั้งสองฝั่ง
• Network pre-shared key ที่จะใช้ในการยืนยันระหว่าง VPN Router ทั้งสองตัว ซึ่งในตัวอย่างในคู่มือนี้ใช้ 123456789 เป็น pre-shared key

เมื่อคุณมีข้อมูลดังกล่าวนี้ คุณจำเป็นต้อง Login เข้าไปใน VPN router แต่ละตัวและทำการสร้างการเชื่อมต่อ VPN โดยใช้หน้าจอ VPN Wizard

ตารางที่ 1 ข้อมูลที่จำเป็นต้องทราบก่อนการสร้างการเชื่อมต่อ VPN

1. การปรับแต่งตัวอุปกรณ์สำหรับฝั่ง LAN A

1.1 Login โดยใช้ username และ password ของคุณ

1.2 เข้าหน้าจอ VPN Wizard หลังจากนั้นให้กด [NEXT]

1.3 ใส่ค่า

• What is the new Connection Name? VPNtoOffice
• What is the pre-shared key? 123456789
• This VPN tunnel will connect to: A remote VPN Gateway

หลังจากนั้นให้กด [Next] เพื่อทำงานต่อ

1.4 ในหน้าถัดไป ให้ใส่ WAN IP ของ ระบบเครือข่าย B ซึ่งนั่นก็คือ 22.23.24.25 แต่ถ้าคุณไม่มี IP จริงก็ให้สมัครขอใช้บริการ DynamicDNS (dynamicdns.com) แล้วนำชื่อที่ได้มาใช้ได้เช่นเดียวกัน ดังจะเห็นในรูปด้านล่าง

1.5 หลังจากนั้นให้ใส่หมายเลข NETWORK ID ของ LAN B ต่อจากนั้นให้กด [Next]

1.6 หลังจากที่ผ่านขั้นตอน VPN Wizard ขั้นตอนสุดท้ายแล้ว ระบบจะแสดงค่าต่างๆ ที่เราได้ทำการใส่ค่า ให้ตรวจสอบให้ถูกต้องจากนั้นกด [Done] ซึ่งหลังจากที่กด [Done] เสร็จแล้ว ก็ให้กด [Edit]

1.7 เราต้องแก้ไขข้อมูลอยู่สองส่วนด้วยกันนั่นก็คือส่วนของ Local LAN และส่วนของ IKE ตามภาพด้านล่าง

• ทำการแก้ไข Single/Start address จาก 192.168.0.1 ซึ่งเป็น IP Address ของตัว ADSL Modem Router ให้เป็น 192.168.0.0 ซึ่งเป็น NETWORK ID ของ LAN A นั่นเอง

?

• ให้ทำการแก้ไขในส่วนของ IKE โดย
  • แก้ไข Local Identity Type ให้เป็น: Fully Qualified Domain Name
  • แก้ไข Local Identity Data ให้เป็น: branch-media.dyndns.org
  • แก้ไข Remote Identity Type ให้เป็น: Fully Qualified Domain Name
  • แก้ไข Local Identity Data ให้เป็น: office-media.dyndns.org

หลังจากนั้นให้กด [Apply] เป็นอันเสร็จสำหรับการปรับแต่งค่า VPN สำหรับ LAN A

2. การปรับแต่งตัวอุปกรณ์สำหรับฝั่ง LAN B

หลังจากที่คุณได้ทำการติดตั้งและปรับแต่ค่าสำหรับ LAN A ไปแล้ว คราวนี้ก็มาถึงวิธีการติดตั้ง LAN B ซึ่งวิธีการทำจะเหมือนกับ LAN A ครับเพียงแต่ว่าเราต้องทำการเปลี่ยนค่า IP, และชื่อ DynamicDNS ซักนิดหน่อยโดยการนำค่าต่างๆ ที่ว่าของ ฝั่ง LAN A มาใส่ในตัว ADSL Modem Router ที่ฝั่งของ LAN B ซึ่งผมจะขอไม่แสดงรูปนะครับ โดยคุณอาจจะดูรูปที่ผ่านมาเพื่ออ้างอิง

• VPN Wizard Step 1 of 3: Connection Name and Remote IP Type
  • What is the new connection name? VPNtoBranch
  • What is the pre-shared key? 123456789
  • This VPN tunnel will connect to: A remote VPN Gateway
• VPN Wizard Step 2 of 3: Remote WAN IP or Internet Name
  • What is the remote WAN?s IP or Internet Name? branch-media.dyndns.org
• VPN Wizard Step 3 of 3: Secure Connection Remote Accessibility
  • IP Address: 192.168.0.0
  • Subnet: 255.255.255.0
• ทำการแก้ไข VPN Policy สำหรับส่วนของ Local LAN
  • ทำการแก้ไข Single/Start address จาก 192.168.1.1 ซึ่งเป็น IP Address ของตัว ADSL Modem Router ให้เป็น 192.168.1.0 ซึ่งเป็น NETWORK ID ของ LAN B นั่นเอง
• ทำการแก้ไข VPN Policy ในส่วนของ IKE โดย
• แก้ไข Local Identity Type ให้เป็น: Fully Qualified Domain Name
  • แก้ไข Local Identity Data ให้เป็น: office-media.dyndns.org
  • แก้ไข Remote Identity Type ให้เป็น: Fully Qualified Domain Name
  • แก้ไข Local Identity Data ให้เป็น: branch-media.dyndns.org

3. ตรวจสอบ VPN Connection

เราสามารถทำการตรวจสอบการเชื่อมต่อ VPN ได้โดยการเข้าไปที่ VPN Status -> และกดปุ่ม [VPN Status] อีกรอบ จะปรากฎหน้าจอดังรูปด้านล่าง ซึ่งหมายถึงมีการเชื่อมต่อ VPN ระหว่าง LAN A และ LAN B เรียบร้อยแล้ว

4. การทดสอบการทำงานของ VPN Connection

สำหรับการทดสอบการทำงานของ VPN นั้น คุณอาจจะทำการใช้คำสั่ง ping จากเครื่องคอมพิวเตอร์เครื่องหนึ่งในระบบเครือข่าย LAN A ซึ่งจะมี IP Address อยู่ในช่วง 192.168.1.XXX ping ไปที่เครื่องคอมพิวเตอร์อีกเครื่องที่อยู่ในระบบเครือข่าย LAN B ซึ่งจะมี IP Address อยู่ในช่วง 192.168.0.XXX โดยจะต้องมีการตอบกลับ (Reply) จากเครื่องที่อยู่ในระบบเครือข่าย LAN B โดยสิ่งสำคัญก่อนที่จะทำการทดสอบการทำงานของ VPN นั้น คุณจะต้องทำการปิดการทำงานของโปรแกรมจำพวก Firewall ที่อยู่บนเครื่องทั้งสองเครื่องที่จะทำการทดสอบก่อน เช่น Windows Firewall หรือ Norton Security Firewall เป็นต้น