เน็ต TOT โปรประชารัฐ(NAT444) กับ Mikrotik Firewall Redirect Rule
สวัสดีท่านผู้อ่านทุกท่านครับ และก็ขอสวัสดีปีใหม่ไทยปี 2563 ซึ่งเป็นปีที่เงียบเหงา เพราะเรายังอยู่ในสถานการณ์ที่ COVID-19 ยังคงระบาด ทางรัฐบาลก็สั่งห้ามไม่ให้ออกไปเล่นน้ำ สังสรรค์กัน ผมเองก็ทำได้เพียงเก็บตัวในบ้าน เขียน Blog ต่อไป
ที่มาของบทความนี้ก็คือ เมื่อวันอังคารที่เเล้วทาง TOT โทรมาบอกผมว่าจะตัดถ่าย Internet ที่บ้านจาก TOT Wi-net (Internet เเบบยิงสัญญาณ Point to Multipoint ด้วยคลื่น WiFi 5GHz เเบบทางไกล ) มาเป็น FTTx ความรู้สึกตอนนั้นคือแบบว่า โอ้วว ในที่สุด ก็ได้ซักที กว่าจะเอา Node มาวางแถวๆบ้านได้ แต่ระยะลากสายก็ค่อนข้างไกลกว่าปกตินิดหน่อย เกินระยะ 500 m. ที่ Provider ลากให้ฟรี แต่เนื่องจากผมเองเป็นลูกค้าเก่ามานาน ก็ไม่ต้องจ่ายซักบาท 555 ก็เป็นเรื่องที่ดีที่ได้ประหยัดด้วย
หลังจากนั้น วันพฤหัสบดี ก็มีช่างเข้ามาลากสายให้ก่อน ผ่านไปอีกหนึ่งวัน ช่างก็เอา ONU ZTE F670L (รุ่นนี้เป็น All in one เป็นทั้ง ONU + Router + AP) มาเสียบให้และตั้งค่าต่างๆเรียบร้อย แต่ผมเองก็จับทำ Bridge Mode เพื่อเสียบเข้า Mikrotik อยู่ดี (โทรไปถาม PPPoE User/Password ได้ที่ TOT Call center)
ส่วน Package ที่ได้มันเป็นของเน็ตประชารัฐครับ แม้ว่าเช็คพื้นที่เเล้วแถวๆบ้านผมจะไม่ใช่เน็ตประชารัฐก็เถอะ (เซทในระบบได้ทั้งนั้นว่าจะให้บ้านไหนใช้โปรอะไร ยังไง TOT ก็มี Radius กลางอยู่เเล้ว) ความเร็วที่ได้คือ 65/20 Mbps ลอง Speed test ก็ได้ความเร็วเกินอีกต่างหาก และเป็นโชคดีเพราะเเถวๆบ้านคนใช้ไม่เยอะมากนัก
แต่มันมีจุดสังเกตจุดนึงก็คือ “ไม่ได้ Public IP” นะซิครับ ได้ IP 100 ที่เป็น CGN หรือ NAT444 เเทน ผมก็ไม่รอช้าโทรไปถาม Call center ซึ่งก็ได้คำตอบกลับมาว่าถ้าเป็นโปรประชารัฐจะได้ IP ติด NAT ทั้งหมด (วง 100 ) ขนาด TOT ถือครอง Public IP มหาศาลมากๆ (ไปดูได้ที่ bgp.he.net ) ยกเว้นโปร SME ที่ราคาเเพงขึ้นมาหน่อย ถ้าอยากได้ Public IP ก็ต้องเปลี่ยนไปใช้โปรของ TOT เอง อย่างเช่นโปร Gigabolt ที่มีรายละเอียดอยู่ในหน้าเว็บ
ตรงนี้ผมรู้สึกเศร้าใจเล็กน้อย ที่ไม่ได้ Public IP (เพราะ Wi net ที่ใช้อยู่เดิมได้ Public IP มาตลอด) แต่ก็มีทางออกอยู่เหมือนกัน ถ้าอยาก Remote กลับเข้ามายัง Mikrotik ที่บ้านได้ เพราะ TOT เองมี DDNS ให้ใช้ คล้ายๆกับ THDDNS ของ AIS ครับ อันนี้ได้ข้อมูลมาจาก Call center ว่าให้ไปสมัครเอา ซึ่งเราจะได้ Port มา 10 Port เพื่อ remote หรือ access อุปกรณ์ต่างๆในบ้านเราได้
เพิ่มเติม : เเม้ Provider จะเรียกว่า DDNS เเต่ตัวผมเองไม่ค่อยชื่นชอบกับชื่อนี้เท่าไร เพราะ Domain name ที่ได้ชี้กลับเข้าไปยัง IP เลขเดิมตลอด ผมไม่เเน่ใจว่าเป็นอุปกรณ์อะไรนะ อาจจะเป็น Router / Firewall หรือ Load balance อะไรซักอย่างก็เป็นได้ที่ทำหน้าที่เป็น Ingress คอยจัดการกับการเชื่อมต่อขาเข้า เเล้ว Route กลับไปยังบ้านผู้ใช้งาน
ส่วนขั้นตอนการสมัคร TOT DDNS นั้น ให้ใช้เน็ตที่บ้านของคุณ (ออกเน็ตทาง TOT FTTx หมายเลขนั้นๆที่คุณต้องการตั้งค่า DDNS) เข้าเว็บ www.totddns.com แล้วทำการสมัครสมาชิกให้เรียบร้อย เราก็กรอกข้อมูลที่ระบบมันถามลงไป มีให้ยืนยันอีเมลเล็กน้อย หากสำเร็จก็จัดการ Log in จะได้หน้าตาเเบบนี้
ของผมเพิ่ม Port อะไรเรียบร้อยเเล้ว โดยระบบมันจะกำหนดเลข Port มาให้ครับ เราจะไปกำหนดเองไม่ได้ เราก็เอาค่านี้มาใช้ได้เลย โดยหมายเลข Internet 1 หมายเลขจะขอใช้ได้ 10 Port ครับ ซึ่งในภาพประกอบผมขอใช้ 2 Port จาก 10 Port
ต่อมาก็ถึงเวลาเอาเลข Port ที่ได้ไปใช้ ซึ่งวิธีที่ง่ายที่สุดก็คือ เปลี่ยน Port บน Mikrotik ให้เป็นเลขเดียวกับที่ TOTDDNS ให้มา แต่เนื่องจากผมขี้เกียจมาจำเลข Port เยอะเเยะ เลยขอใช้เป็นเลข Port เดิมดีกว่า ส่วนถ้า Remote เข้ามาทาง WAN ก็ใช้ Redirect rule เอา ซึ่งตั้งค่าได้เเบบนี้
/ip firewall nat add chain=dstnat action=redirect to-ports=18291 protocol=tcp in-interface=pppoe-tot dst-port=10530
Port 18291 คือ Port บน Mikrotik ในที่นี้ก็คือ WinboxPort 10530 คือ Port ที่ TOT DDNS ให้มา
หลักการของ Rule นี้ก็ไม่ได้ซับซ้อนอะไรครับเพียงเเค่หากมีการเชื่อมต่อเข้ามาทาง TCP/18291 ก็ให้ Redirect ไปต่อกับ Port 10530 เเทน
แล้วถ้าต้องการ Access อุปกรณ์อื่นๆที่อยู่หลัง Mikrotik อันนี้ก็ให้ Forward Port เอา ตัวอย่างก็เเบบนี้
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=10.200.101.193 to-ports=8081 protocol=tcp in-interface-list=WAN dst-port=1053110.200.101.193 คือ Private IP ของอุปกรณ์นั้นๆ8081 คือ Port ที่ 10.200.101.193 เปิดอยู่10531 คือ Port ที่ TOT DDNS กำหนดให้
แนะนำให้เซทเป็น NAT Hairpin นะครับ จะได้ไม่มีปัญหา
ส่วนวิธีการ Remote จาก Network ข้างนอก ก็เอา Domain name ที่เราตั้งค่าบน TOT DDNS มาเชื่อมต่อ ระบุเลข Port ลงไป ก็เชื่อมต่อเข้ามาได้เเล้ว
ของผมเองไม่ได้ Forward Port นะ เเค่ Redirect ไปหา Winbox กับ openVPN Server ที่เอา Mikrotik มาทำ ลองเชื่อมต่อดูก็ใช้งานได้ปกติดี
ส่วนปัญหาเรื่อง CGN / NAT444 ที่ผมเจอ ก็คือเรื่อง L2TP/IPSec เพราะผมต้องเอา Mikrotik เชื่อมเข้า Cloud เเล้วมัน Connect ไม่ได้อยู่นานมาก ต้อง Reboot Mikrotik เอาจึงจะได้ ตรงนี้อาจเป็นที่ Mikrotik ของผมเอง หรือไม่ก็ส่วนการเชื่อมต่อระหว่าง Mikrotik ของผมไปยัง TOT Network (TOT จะทำ NAT เพื่อเเปลงเป็น Public IP ให้ เเล้วไม่รู้ว่าการเชื่อมต่อออกไปจะได้ Source IP ที่เป็นเลขเดิมมั๊ย เพราะผมลองเข้าเว็บเทสดูปรากฎว่า IP ที่ TOT เอามาใส่ลง NAT Pool มีหลายเลขเเละหลาย Prefix ซะด้วย 555+) แต่ตอนนี้ยังต่อได้ปกตินะครับ ตราบใดที่ Mikrotik ไม่ดับหรือ PPPoE Client โดน Restart เเล้ว IP ขา WAN เปลี่ยน
หวังว่าบทความนี้จะประมีประโยชน์สำหรับผู้ใช้นะครับ ขอบคุณที่เข้ามาอ่านกัน พบกันใหม่ในบทความหน้า สวัสดีครับ
