Welcome to Sysnet Board คู่มือ การใช้งานอุปกรณ์ Network. Please log in or sign up.
สมาชิกทั้งหมด
17,949
กระทู้ทั้งหมด
9,945
หัวข้อทั้งหมด
4,633

  • กำหนด IP VPN Client To Site / Allow ให้เชื่อมต่อกับเครื่องที่กำหนด ใน Draytek
    เริ่มโดย yod
    Read 7,098 times
0 สมาชิก และ 1 ผู้มาเยือน กำลังดูหัวข้อนี้
yod

กำหนด IP VPN Client To Site / Allow ให้เชื่อมต่อกับเครื่องที่กำหนด ใน Draytek


จากตัวอย่างนี้ครับ





ต้องการให้เครื่องที่เชื่อมต่อ VPN L2TP ได้ IP จาก Drayek เป็น หมายเลข IP 192.168.20.2 พร้อมกับยอมให้ติดต่อกับเครื่องที่เป็น IP 192.168.20.11-192.168.20.20 เท่านั้น



1. ในหัวข้อนี้จะเป็นในส่วนการทำ VPN Client To Site เบื้องต้นครับ คู่มือการ config VPN L2TP IPSec บนอุปกรณ์ Draytek Vigor2926


เพิ่ม Option ในส่วน Assign Static IP Address

ระบุ IP: 192.168.20.2






เมื่อ VPN Dial-Up เข้ามา ได้หมายเลข IP ตามที่กำหนด






เบื้องต้น เครื่องที่เชื่อมต่อเข้ามาจะติดต่อได้ทุกเครื่องในวง Network 192.168.20.0/24





ต้องการจะอนุญาติให้เชื่อมต่อกับเครื่องที่กำหนดเท่านั้น


2. Menu Firewall --> Filter Setup


Click [Default Data FIlter]






หลักการ Firewall จะทำงานจาก บน --> ล่าง เจอกฏไหนก่อน จะทำงานที่กฏนั้น และ ไม่ทำต่อ จบลงที่กฏนั้นๆ





จะสังเกตุเห็นว่ามี Filter Set ให้ใช้งานอยู่ 12 Set ในแต่ละ Set พอทำงานต่อให้ตรงกฏหรือไม่ตรงกฏที่กำหนดไว้ก็จะจบแค่ Filter Set นั้นๆ


ถ้าเราต้องการมีกฏ Firewall เยอะๆ ใน 1 Set มันไม่พอ

ที่หน้า Filter Set 2 ตรง Next Filter Set คือถ้าไม่ตรงกฏใดๆ ให้ไปทำที่ Set#12 ต่อ (Filter Set สุดท้าย) จะเป็นการเพิ่มกฏได้ครับ



3. ที่ FIlter Set 12


สร้างกฏหลักเพื่อ Block ทั้งวง Subnet 192.168.20.0/24 ไว้




Enable
ใส่ Comment
Direction: LAN/RT/VPN -> LAN/RT/VPN
Source IP: 192.168.20.0/255.255.255.0
Destination IP: 192.168.20.0/255.255.255.0
Filter: Block Immedately





ทดสอบ

ไม่สามารถเชื่อมต่อเครื่องที่อยู่ Subnet 192.168.20.0/24 ได้





3. ที่ FIlter Set 2

สร้างกฏเพื่อ Allow ให้เชื่อมต่อ IP ตามที่กำหนดได้





Enable
ใส่ Comment
Direction: LAN/RT/VPN -> LAN/RT/VPN
Source IP: 192.168.20.2/255.255.255.0
Destination IP: 192.168.20.11 - 192.168.20.20
Filter: Pass Immedately






ทดสอบ สามารถเชื่อมต่อได้ตาม IP ที่ระบุไว้





เรียบร้อยครับ