Knowledge Zone By Sysnet คู่มือ และ การใช้งานอุปกรณ์ Network

การทำ IPSecs VPN ผ่าน Dynamic DNS

Discussion started on อุปกรณ์ Mikrotik Router

ใหม่!

การทำ IPSecs VPN บนอุปกรณ์ Mikrotik ผ่าน Dynamic DNS






บทความนี้สำหรับผู้ที่เล่น Routerboard มาพอสมควรแล้วนะครับ ถ้าต้องการ Config แบบง่ายๆ ให้ใช้วิธีการทำ VPN แบบ PPTP จะดีกว่าครับ


Config ให้ออก Internet และ Update Script Dynamic DNS ให้เรียบร้อยก่อนครับ จะทำให้สามารถ Remote เข้าไป Config ได้เลยทั้ง 2 ฝั่ง
## 24/06/2017 ใช้ cloud DDNS ของ Mikrotik ได้เลยครับ


[ฝั่ง Office: 192.168.1.0]

1. Menu IP --> IPSec

เพิ่ม Policies
Tab General
Src Address: 192.168.1.0/24
Dst Address: 192.168.2.0/24



Tab Action
Click เลือก Tunnel
SA Src.Address: 1.1.1.1
SA Dst Address: 2.2.2.2



Click [OK]

เพิ่ม Peer
Address: 1.1.1.1
Secret: test



Click [OK]


2. เพิ่ม Script และ Schedule สำหรับ Update ค่า IP ขา Wan ใน Peer ให้แก้ไข Host ของ dynamic dns ให้เรียบร้อย

โค๊ด: [Select]
/system script
add name=dynamic-dns-update policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive source="\
    :global LocalSite [:resolve sysnethost.dyndns.org]\r\
    \n:global RemoteSite [:resolve sysnetsite.dyndns.org]\r\
    \n/ip ipsec policy set 0 sa-dst-address=\$RemoteSite sa-src-address=\$Loca\
    lSite\r\
    \n/ip ipsec peer set 0 address=\"\$RemoteSite/32\""

/system scheduler
add comment="" disabled=no interval=10m name=dynamic-dns-schedule on-event=\
    "dynamic-dns-update" policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive \
    start-date=jan/01/1970 start-time=00:00:01

3. หลังจาก Update script แล้วค่า IP ใน Policy และ Peer จะเปลี่ยนเป็น IP ขา Wan ของทั้งฝั่ง Office และ Site



4. สร้าง Nat bypass
กำหนดตามรูป






เลื่อนขึ้นมาบนสุด



5. สร้าง Route กำหนดตามรูปเช่นกันครับ





[ฝั่ง Site: 192.168.2.0]

1. Menu IP --> IPSec

เพิ่ม Policies
Tab General
Src Address: 192.168.2.0/24
Dst Address: 192.168.1.0/24



Tab Action
Click เลือก Tunnel
SA Src.Address: 1.1.1.1
SA Dst Address: 2.2.2.2



Click [OK]

เพิ่ม Peer
Address: 1.1.1.1
Secret: test (ตั้งให้เหมือนกับฝั่ง Office)



Click [OK]

2. เพิ่ม Script และ Schedule สำหรับ Update ค่า IP ขา Wan ใน Peer ให้แก้ไข Host ของ dynamic dns ใน Script ให้เรียบร้อย

โค๊ด: [Select]
/system script
add name=dynamic-dns-update policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive source="\
    :global LocalSite [:resolve sysnetsite.dyndns.org]\r\
    \n:global RemoteSite [:resolve sysnethost.dyndns.org]\r\
    \n/ip ipsec policy set 0 sa-dst-address=\$RemoteSite sa-src-address=\$Local\
    Site\r\
    \n/ip ipsec peer set 0 address=\"\$RemoteSite/32\""

/system scheduler
add comment="" disabled=no interval=10m name=dynamic-dns-schedule on-event=\
    "dynamic-dns-update" policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive \
    start-date=jan/01/1970 start-time=00:00:01


3. หลังจาก Update script แล้วค่า IP ใน Peer จะเปลี่ยนเป็น IP ขา Wan รูปจะเหมือนกับฝั่ง Office


4. สร้าง Nat bypass
กำหนดตามรูป






เลื่อนขึ้นมาบนสุด


5. สร้าง Route กำหนดตามรูปเช่นกันครับ





ทดสอบ

1. ถ้า Peer Connect หากันเรียบร้อยแล้ว จะมีในรายการ Remote Peers ทั้งฝั่ง Office และฝั่ง Site






2. ฝั่ง Site ต้อง Ping ไปยังฝั่ง Office ได้



และฝั่ง Office ต้อง Ping ไปยังฝั่ง Site ได้เช่นกัน




3. ให้เครื่อง Computer ที่อยู่ฝั่ง Office ping ไปยังฝั่ง Site




4. ลอง share file





เรียบร้อยครับ  ;D ;D ;D
#1 - วันที่ 12 ธันวาคม 2012, 10:01:28

ขอถามครับ   ตรง  Roue  ช่อง  Geteway   ที่เซตเป็น ether1  ตรง  ether1  มันคืออะไรหรือครับ  เพราะ ผม ไม่ได้ใช้ ether1 ในการใช้งาน  ผมใช้  ether9 ต่อเน็ต  และใช้ bride ในการแจก DHCP  วงแลนครับ
#2 - วันที่ 2 เมษายน 2014, 11:27:57

ปัญหาแรกผมแก้ได้แล้วครับแต่มีคำตามอีกว่า   ผมมีหลายสาขา  มันจะ ตั้งค่า อย่างไรครับ  ขอรบกวนด้วยน่ะครับ
#3 - วันที่ 3 เมษายน 2014, 14:20:19


ทำซ้ำสำหรับอีก tunnel ได้เลยครับ
#4 - วันที่ 8 ตุลาคม 2015, 16:05:42

ถ้ามี IP จริง ขั้นตอนที่ 2 ต้องทำไหมครับ (2. เพิ่ม Script และ Schedule สำหรับ Update ค่า IP ขา Wan ใน Peer ให้แก้ไข Host ของ dynamic dns ให้เรียบร้อย)
#5 - วันที่ 21 มิถุนายน 2017, 21:08:30


IP จริง ไม่ต้องทำ Script Update ครับ

แต่..ROS Version 6.3 ขึ้นไปก็ไม่ต้องทำ script update Dynamic DNS แล้วนะครับ ตัว Mikrotik จะ Update ให้เองเลย

### แก้ไขครับ

6.3 ทาง Mikrotik ก็ยังไม่แก้ไขเรื่อง Update Peer อยู่ดี
#6 - วันที่ 22 มิถุนายน 2017, 11:15:07

การทำ IPSecs VPN ผ่าน Dynamic DNS ในหัวข้อนี้ สามารถใช้ได้กับ RouterOS V.6.39 ไหมครับพี่ยอด
#7 - วันที่ 26 กรกฎาคม 2017, 22:55:29


ได้อยู่ครับ
#8 - วันที่ 27 กรกฎาคม 2017, 11:39:09

สมาชิก:

0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้


Share via facebook

https://sysnetcenter.com/board/Themes/Nebula_Theme_CR_v1-0-5/images/post/xx.gif
การทำ Port Forwarding บน RouterOS (ตัวอย่างดู IP Camera ผ่าน Internet)

เริ่มโดย yod เมื่อ อุปกรณ์ Mikrotik Router

3 ตอบ
10853 อ่าน
กระทู้ล่าสุด: วันที่ 15 มีนาคม 2014, 16:54:39
โดย
mobilesuit
https://sysnetcenter.com/board/Themes/Nebula_Theme_CR_v1-0-5/images/post/xx.gif
ทำ VPN Site To Site แบบ PPTP ผ่าน Dynamic DNS

เริ่มโดย yod เมื่อ อุปกรณ์ Mikrotik Router

12 ตอบ
23125 อ่าน
กระทู้ล่าสุด: วันที่ 4 ตุลาคม 2018, 14:47:55
โดย
OreoMikro
https://sysnetcenter.com/board/Themes/Nebula_Theme_CR_v1-0-5/images/post/xx.gif
การ Config VPN IPSecs เพื่อเชื่อมต่อเครือข่ายระหว่างสาขาด้วย Cisco RV042

เริ่มโดย yod เมื่อ อุปกรณ์ Cisco, Linksys By Cisco

1 ตอบ
46459 อ่าน
กระทู้ล่าสุด: วันที่ 25 สิงหาคม 2014, 23:34:54
โดย
jiracsuk
https://sysnetcenter.com/board/Themes/Nebula_Theme_CR_v1-0-5/images/post/xx.gif
คู่มือการทำ VPN Client To Site แบบ L2TP IPSecs อุปกรณ์ Mikrotik แบบง่ายมาก

เริ่มโดย yod เมื่อ อุปกรณ์ Mikrotik Router

0 ตอบ
1741 อ่าน
กระทู้ล่าสุด: วันที่ 3 เมษายน 2020, 12:15:46
โดย
yod
https://sysnetcenter.com/board/Themes/Nebula_Theme_CR_v1-0-5/images/post/xx.gif
คู่มือทำ VPN L2TP IPSecs อุปกรณ์ Peplink Balance One ร่วมกับ Android

เริ่มโดย yod เมื่อ อุปกรณ์ Peplink (เป๊ปลิ้ง)

0 ตอบ
7804 อ่าน
กระทู้ล่าสุด: วันที่ 26 กันยายน 2018, 14:31:02
โดย
yod