คู่มือการทำ Authenticate 802.1X Draytek Vigor3220 + AP IP-COM W63AP + เก็บ Internet Log ด้วย NAS Zyxel NAS326
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-000.jpg)
ในอุปกรณ์ VPN Firewall Router
Draytek Vigor3220 (https://sysnetcenter.com/draytek/draytek-vigor3220-4-wan-load-balance-vpn-firewall-router.html) มี Feature Internal RADIUS ในตัวครับ กำหนด User/Password ระยะเวลาเชื่อมต่อ กำหนด Quota และจะใช้ Protocol 802.1x นำมาใช้ในการทำ Authenticate เพื่อระบุตัวตนผู้ใช้งาน Internet ได้ครับ
ข้อดีของ 802.1x คือ User เข้าระบบด้วยการ Login เพียงครั้งเดียว ไม่เหมือน Login ผ่านพวก Web Portal, ไม่ต้องติดปัญหาเรื่อง Login เวลาผ่าน Web HTTPS ครับ, และจะดีกว่าการใช้ Wireless Security ทั่วๆไป เพราะ User/Password จะกำหนดได้ว่าใช้ได้กี่คนพร้อมกัน มีความปลอดภัยสูง
ในหัวข้อนี้จะเป็นการ Config ร่วมกับ Access Point IP-COM W63AP (https://sysnetcenter.com/ip-com-network/ip-com-w63ap-ac1200-wave2-wireless-access-point-mu-mimo-gigabit.html) และส่ง Authen และ Traffic Log ไปเก็บที่ NAS Zyxel NAS326 (https://sysnetcenter.com/network-attached-storage/zyxel-nas326-nas-2-bay-hdd-sata-ii-12tb-file-sharing-media-server-bittorrent.html)
เบื้องต้น Config Draytek Vigor3220 เพื่อเชื่อมต่อ Internet เรียบร้อยแล้วครับ คู่มือ Config Draytek Vigor3220 (https://sysnetcenter.com/board/index.php?topic=4803)
1. สร้าง User Profile ใน Draytek Router
Menu --> User Profile
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-001.gif)
Profile
Enable this account
Username: Username
Password: Password
Login Settings
Allow Authentication via: ไม่ต้องการให้ Account ที่สร้าง Login เข้า Draytek ได้ ให้ Disable Web, Alert Tool, Telnet
Policy
Max. Login Devices: 1 (อนุญาติให้ User นี้ Login ใช้งานพร้อมกัน)
Enable Time Quota: ระยะเวลาที่ Login ใช้งาน
Enable Data Quota: จำกัดปริมาณข้อมูลที่ใช้งาน
Other Services
Allow this profile to be used by: Internet RADIUS, Local 802.1X
Log: All
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-002.gif)
สร้างไว้ 2 ชื่อ รองรับได้ 200 Account ครับ
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-003.gif)
จัดการ Group ด้วยก็ดีครับ เผื่อใช้งานกับพวก Object ต่างๆ
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-004.gif)
2. Config Internal RADIUS
Menu Application --> RADIUS/TACACS+ --> Internal RADIUS
Enable
Authentication Port: 1812
RADIUS Client Access List
Index 1: Enable กำหนด Shared Secret (จะนำค่านี้ไปใส่ใน Access Point)
Authenticate
Method: PAP/CHAP/MS-CHAP/MS-CHAPv2
802.1X Method
Subport 802.1X Method
EAP_TTLS/PAP, EAP_TTLS/MSCHAP, EAP_TTLS/MSCHAPv2, EAP_PEAP/MSCHAPv2
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-005.gif)
User Profile
เลือก User ที่สร้างไว้
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-006.gif)
Click [OK]
3. Config Syslog ใน Draytek เพื่อส่ง Log ให้ NAS Zyxel
Menu System Maintenance --> Syslog / Mail Alert
SysLog Access Setup
Enable
Syslog Save to: Syslog Server
Server IP/Hostname: IP Address ของ NAS
Destination Port: 514
Enable syslog message: Firewall Log, User Access Log / Hotspot User Information
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-016.gif)
Click [OK]
Menu System Maintenance --> Time and Date
Time Zone: GMT +7 Bangkok
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-017.gif)
Click [OK]
เบื้องต้นผมลองทดสอบส่ง Log ให้ Program Log Server ดูก่อนครับ Download ได้จาก หัวข้อนี้ โปรแกรม Sysnet Logger เก็บข้อมูล Syslog Message, ผู้ใช้งาน Internet (https://sysnetcenter.com/board/index.php?topic=4704.0/)
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-007.gif)
4. Config NAS Zyxel เพื่อเก็บ Log
การ Config ในส่วน Inital NAS Zyxel จะไม่ขอกล่าวถึงนะครับ
Menu Control Panel --> Syslog Server
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-014.gif)
Enable Syslog Server
Share: ชื่อ Folder
Path: Folder ที่เก็บ Log File
Enable Purge Policy
Log Detection Interval: 3 เดือน (NAS จะเก็บ Log ไว้ 3 เดือน แล้วจะลบออก)
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-015.gif)
Click [Apply]
5. Config Access Point IP-COM W63AP
เชื่อมต่สาย Lan จาก PC ไปที่ Access Point, Default IP ของ AP จะเป็น 192.168.0.254 ต้อง Fix IP Address ที่ PC ด้วยครับ
การ Fix IP Address บน Windows 10 เพื่อ Config อุปกรณ์ Network (https://sysnetcenter.com/board/index.php?topic=3427.0/)
Fix IP เป็น 192.168.0.22
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-008.gif)
เปิด Browser พิมพ์ 192.168.0.254
User: admin, Password: admin
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-009.gif)
เปลี่ยน IP Address ของ Access Point ให้อยู่ในวง Network เดียวกับ Draytek Router
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-010.gif)
Click [Save]
ตัว Access Point จะ Reboot และเปลี่ยนเป็น IP ใหม่ ให้ Set IP Address ของ PC เป็น Obtail an IP address automatically
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-011.gif)
เข้าหน้า Config ของ Access Point ด้วย IP Address ที่เปลี่ยนใหม่ครับ
Menu Quick Setup
Radio Band: 2.4GHz
Working Mode: AP
SSID: ชื่อสัญญาณ WIFI
Security Mode: WPA2
Radius Server: 192.168.1.1 (IP Address ของ Draytek Router)
Radius Port: 1812
Radius Key: Shared Secret ที่กำหนดที่ Draytek Router จากข้อ 2
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-012.gif)
Click [Save]
กำหนดค่าสำหรับความถี่ 5GHz ด้วยครับ
Radio Band: 5GHz
Working Mode: AP
SSID: ชื่อสัญญาณ WIFI
Security Mode: WPA2
Radius Server: 192.168.1.1 (IP Address ของ Draytek Router)
Radius Port: 1812
Radius Key: Shared Secret ที่กำหนดที่ Draytek Router จากข้อ 2
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-013.gif)
Click [Save]
ทดสอบ Login, Log
เชื่อมต่อ WIFI ด้วย IPhone
ใน IPhone เพื่อเลือกเชื่อมต่อ Wireless จะมีหน้า User/Password ให้ใส่ง่ายๆเลย
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-021.gif)
Click [เชื่อถือ]
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-022.gif)
เชื่อมต่อเรียบร้อย
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-023.gif)
เชื่อมต่อ WIFI ด้วย Android จะมีรายละเอียดเพิ่มนิดนึง
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-024.gif)
ใบรับรองการใช้งาน CA: เลือก ไม่ตรวจสอบ
เอกลักษณ์ / รหัสผ่าน จะเป็น UserName / Password
Click [เชื่อมต่อ]
เชื่อมต่อเรียบร้อย
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-025.gif)
ตรวจสอบ User ที่ Login เข้ามาในระบบ ใน Draytek Router
Menu Diagnostics --> Authentication Information --> Authentication Information Log
Enable
Syslog Type: ALL
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-020.gif)
Login เข้าไปใน NAS Zyxel เพื่อดู Log
Menu File
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-018.gif)
เปิด File Log ขึ้นมา หน้าตา Log จะประมาณนี้ครับ
(https://sysnetcenter.com/board/images/draytek/draytek-radius-server/draytek-vigor3220-radius-dot1x-019.gif)
เรียบร้อยครับ ;D ;D