[EP.36] เทคนิค VPN Site to Site สำหรับลูกค้าที่มี Network ทุกวง IP เหมือนกัน
โจทย์
จากทฤษฏีพบว่า ในการทำ VPN เพื่อเชื่อมกันระหว่าง 2 สาขา คือ HQ และ BR จะไม่สามารถมี LAN Network ภายในที่เป็น 192.168.2.0/24 เหมือนกันได้ (ตาม Scenario) ดังนั้น ในบทความนี้เราจะมาดูเทคนิคการใช้ NAT (NETMAP) ในการแก้ไขปัญหานี้ระหว่าง 2 สาขากัน
สิ่งที่จำเป็นต้องมี
- ฝั่ง HQ จำเป็นต้องมี Public IP เพื่อทำ L2TP/IPSec Server เพื่อให้ Branch สามารถเชื่อมต่อเข้ามายัง HQ ได้
ทดสอบบน RouterOS 7.11.2 Stable
การตั้งค่าฝั่ง HQ
- คอนฟิค LAN Network 192.168.2.0/24 ให้เรียบร้อย (ตาม Scenario HQ)
- คอนฟิค L2TP/IPSec Server ฝั่ง HQ
- เมนู PPP > กด “L2TP Server”
- ติ๊ก Enabled
- Use IPSec: yes
- IPSec Secret: 12345678 (ตั้ง Secret ตามใจชอบ)
- Apply และ OK
3. สร้าง User VPN ไว้ให้ Branch เพื่อสามารถเชื่อมต่อมายัง HQ
- เมนู PPP > Secrets > กด +
- Name: br1
- Password: br1
- Service: เลือก L2TP
- Profile: default-encryption
- Local Address: 10.0.0.1 (IP VPN ฝั่ง HQ)
- Remote Address: 10.0.0.2 (IP VPN ฝั่ง Branch)
- Routes: ใส่วง Virtual IP ของฝั่ง Branch 192.168.51.0/24 (ตาม Scenario)
- กด Apply และ OK
การตั้งค่าฝั่ง Branch
- คอนฟิค LAN Network 192.168.2.0/24 ให้เรียบร้อย (ตาม Scenario Branch)
- เชื่อมต่อ VPN L2TP/IPSec Client ไปยัง HQ
- เมนู PPP > แท็ป Interface > กด + > เลือก “L2TP Client”
- Name: ตั้งชื่อ VPN ตามใจชอบ
- แท็ป Dial Out
- Connect To: ใส่ Dynamic DNS ของฝั่ง HQ (ฝั่ง HQ สามารถเปิด Function นี้ได้ในเมนู IP > Cloud (HQ จำเป็นต้องมี Public IP))
- User: br1
- Password: br1
- Profile: default-encryption
- ติ๊ก Use IPSec
- IPSec Secret: 12345678 (ตั้งให้ตรงกับตอนที่กำหนดในฝั่ง HQ)
- กด Apply OK
3. ทำ Route (ฝั่ง Branch) ไปหา วงของ Virtual IP ฝั่ง HQ (192.168.50.0/24)
- เมนู IP > Routes > กด +
- Dst. Address: ใส่ วงของ Virtual IP ฝั่ง HQ (192.168.50.0/24)
- Gateway: l2tp-out1
- กด Apply และ OK
4. ทำ NETMAP (ฝั่ง Branch) เพื่อ Map IP ภายใน กับ วง Virtual IP (192.168.2.0/24 ←→ 192.168.51.0/24)
“Branch ติดต่อไปยัง HQ (Branch จะทำการ Convert 192.168.2.0/24 ไปเป็น 192.168.51.0/24)”
- เมนู Firewall > NAT > กด +
- Chain: srcnat
- Src. Address: 192.168.2.0/24
- Action: netmap
- To Addresses: 192.168.51.0/24
- กด Apply และ OK
“HQ ติดต่อไปยัง Branch (Branch จะทำการ Convert 192.168.51.0/24 ไปเป็น 192.168.2.0/24)”
- เมนู Firewall > NAT > กด +
- Chain: dstnat
- Dst. Address: 192.168.51.0/24
- Action: netmap
- To Addresses: 192.168.2.0/24
- กด Apply และ OK
กลับมาตั้งค่าฝั่ง HQ ต่อ
- ทำ NETMAP (ฝั่ง HQ) เพื่อ Map IP ภายใน กับ วง Virtual IP (192.168.2.0/24 ← → 192.168.50.0/24)
“HQ ติดต่อไปยัง Branch (HQ จะทำการ Convert 192.168.2.0/24 ไปเป็น 192.168.50.0/24)”
- เมนู Firewall > NAT > กด +
- Chain: srcnat
- Src. Address: 192.168.2.0/24
- Action: netmap
- To Addresses: 192.168.50.0/24
- กด Apply และ OK
“Branch ติดต่อไปยัง HQ (HQ จะทำการ Convert 192.168.50.0/24 ไปเป็น 192.168.2.0/24)”
- เมนู Firewall > NAT > กด +
- Chain: dstnat
- Dst. Address: 192.168.50.0/24
- Action: netmap
- To Addresses: 192.168.2.0/24
- กด Apply และ OK
ผลลัพธ์
เครื่อง PC ฝั่ง HQ 192.168.2.2 (192.168.50.2) ปิงไปหา 192.168.51.2 (192.168.2.2) เครื่องฝั่ง Branch
เครื่อง PC ฝั่ง Branch 192.168.2.2 (192.168.51.2) ปิงไปหา 192.168.50.2 (192.168.2.2) เครื่องฝั่ง HQ
ในกรณีมี Branch ที่มากกว่า 1 Site ขึ้นไป และ มี LAN Network 192.168.2.0/24 ภายในที่เหมือนกันทุกสาขา สามารถติดตามบทความ Part2 นี้ได้ในอนาคต (เกริ่นสักหน่อย โดยจะนำ Dynamic Routing อย่าง OSPF มาใช้แทน Static Routing ด้วย)
- โดยมีเงื่อนไขการเขียนบทความนี้ต่อ คือ Comment ว่า “สนใจเทคนิค VPN Site to Site Part2” เกิน 10 คน