ต้องการเชื่อมเครือข่าย Network ระหว่างสำนักงานด้วย VPN

ต้องการเชื่อมเครือข่าย Network ระหว่างสำนักงานด้วย VPN

หัวข้อนี้จะเป็นการอธิบายคร่าวๆถึงการทำ VPN (Virtual Private Network) เพื่อเชื่อมต่อเครือข่าย Network ระหว่างสาขาเข้าด้วยกัน

ทฤษฏีต่างๆผมขอกล่าวถึงให้น้อยที่สุดนะครับ

ข้อดีของการทำ VPN

เป็นการช่วยให้ระบบ Network เครือข่าย ที่ต่างสถานที่กัน เชื่อมต่อหากันได้

เช่น ทางบริษัทมีสำนักงานใหญ่อยู่ที่กรุงเทพ สาขาย่อยอยู่ที่ปทุมธานี มี Internet ทั้ง 2 สาขา รวมถึงพนักงานที่ใช้ Notebook เชื่อมต่อ WIFI ในร้านกาแฟ/เชื่อมต่อ 4G LTE / Internet หรือตามบูสงาน event ต่างๆ หรือที่บ้าน

ที่สนง.ใหญ่ มี Server, Database, NAS เก็บข้อมูลต่างๆ เอกสาร หนัง เพลง, มีการติดตั้ง ระบบโทรศัพท์ IP-PBX จะโทรหาข้ามสาขา, สั่งพิมพ์ Printer, ติดตั้งกล้อง IP Camera ที่ฝั่งสาขาแล้วจะบันทึกลง NVR ที่ฝั่ง สนง.ใหญ่

การทำ VPN จะช่วยให้สาขาย่อย และ พนักงาน สามารถที่จะใช้ Resource ต่างๆเหล่านี้จากที่ สนง.ใหญ่ได้ หรือ ถ้าเรามีมากกว่า 2 สาขา เช่นเป็นร้านค้า การทำ VPN ก็จะเชื่อมเครือข่ายต่อหากันได้หมดครับ

เมื่อก่อนทางร้าน Sysnet อยู่ในห้างเซียร์ และมี Office อยู่ในหมู่บ้าน วางพวก Server มีโปรแกรม Pos/Stock เลยทำ VPN เชื่อมเครือข่ายหากันระหว่างที่หน้าร้าน กับ Office และที่บ้านไว้ เพื่อให้หน้าร้านใช้ โปรแกรม POS และ Update Stock ลงที่ Server ที่ Office ได้เลย ส่วนที่บ้านก็ไว้เปิดโปรแกรมดู Stock ครับ

ยิ่งเดี๋ยวนี้ Internet มีความเร็วสูงมาก อุปกรณ์ที่รองรับรับการทำ VPN (VPN Router) ตัว Hardware ก็พัฒนามาเยอะ พวกค่า VPN Throughput (ความเร็วในการโอนถ่ายข้อมูลผ่าน VPN) ก็สูงตาม อย่างที่บ้านผมมี NAS เก็บหนังกับเพลงไว้ เวลาอยู่ที่ Office บางทีก็เปิดฟัง หรือ ดูหนังจากเครื่อง NAS ที่บ้านได้สบายๆไม่มีกระตุกเลย

ข้อดียังมีอีกเยอะครับ เพราะเครือข่าย Network ทั้ง 2 ฝั่งมันเชื่อมต่อหากันได้แล้ว

อุปกรณ์ VPN Router ในปัจจุบัน มีหลายยี่ห้อ บางยี่ห้อก็ set ง่ายๆ บางยี่ห้อก็จะ set ค่อนข้างยาก มี feature อื่นๆใส่มาค่อนข้างเยอะ ด้านราคา ก็จะขึ้นอยู่กับ Spec ของอุปกรณ์ครับ เช่นค่า Internet Throughput รองรับ Internet ได้ความเร็วเท่าไหร่ เทียบกับที่เรามี, ค่า VPN Throughput ค่านี้ยิ่งสูง ความเร็วในการเชื่อมต่อ VPN ก็จะสูงขึ้น บางรุ่นก็เป็น Next Gen Firewall อุปกรณ์พวกนี้ ราคาก็จะสูงขึ้นครับ รวมถึงการทำเป็น Loadbalance รองรับ Internet ได้กี่คู่สาย

 https://sysnetcenter.com/vpn-firewall-router

รูปแบบการทำ VPN

1. ต้องการเชื่อมวง Network เข้าหากัน เช่น วง Netowork สนง.ใหญ่ กับ วง Network สาขา

การทำ VPN แบบนี้จะเรียกว่าแบบ Site-To-Site หรือ Lan-To-Lan ในบางยี่ห้อ

2. ต้องการให้เครื่อง PC/ Notebook/ Tablet รวมถึง Smartphone ที่ต่อ Internet ไม่ว่าจะเป็น Public WIFI (พวกร้านกาแฟ, ในโรงแรม), 4G LTE อาจจะแชร์จากมือถือ หรือใช้ Aircard แล้วทำการเชื่อมต่อเข้ามาอยู่ในวง Network ที่ สนง.

แบบนี้จะเรียกว่า Client-To-Site ครับ

ทีนี้ ถ้าต้องการทำ VPN ต้องมีการเตรียมอะไรบ้าง

1. VPN Router มีให้เลือกเยอะเลย VPN Firewall Router แนะนำโทรสอบถามให้ทางร้านแนะนำก่อนดีกว่าครับ Spec ของ VPN Router รวมถึงความยาก ความง่ายในการ Config ของแต่ละยี่ห้อไม่เหมือนกัน

2. ที่สนง. (ขอเรียกว่าฝั่ง Main) มี Internet ถ้าทำ VPN แบบ Site To Site ที่สาขา (ขอเรียกว่าฝั่ง Site ครับ) ก็ต้องมี Internet ด้วย แต่ถ้าเป็นแบบ Client To Site เครื่อง PC/Notebook/Smartphone เราก็ต้องเชื่อมต่อ Internet ได้ครับ

Internet ฝั่ง Main (HQ)

ฝั่ง Main จะยุ่งยากหน่อย ข้อกำหนดเลยคือ WAN IP ของ VPN Router ที่ได้รับต้องเป็น Public IP

เราต้องให้ VPN Router เป็นตัวเชื่อมต่อ Internet โดยตรงครับ โดยผ่าน Modem ที่ทำเป็น Bridge Mode ไว้

การจะให้ VPN Router เป็นตัวออก Internet โดยตรง ต้อง Set Fiber Modem ให้เป็น Bridge Mode แล้วนำ  PPPoE Username/Password มาใส่ที่ VPN Router

อย่างของ True ตัว User/Password PPPoE ต้องโทรสอบถาม ถ้าเป็น 3BB เขาจะมีเอกสารให้ตอนที่ช่างมาติดตั้ง แต่ก็โทรสอบถามได้ครับ

และถามทาง ISP ตรวจสอบว่า Modem ที่ให้มาสามารถ Set เป็น Mode Bridge ได้หรือไม่ ถ้าได้ ให้ทาง ISP ช่วย Set เป็น Bridge Mode ได้เลย แต่ถ้าไม่ได้ ก็ขอเปลี่ยนรุ่น Modem หาเปลี่ยนเองไม่ได้นะครับ


ทำความเข้าใจเรื่อง IP Private และ IP Public
- IP Private (มักจะเรียกกันว่า IP ปลอม ^^) เป็น IP ที่สร้างแจกกันเองใช้กันภายในระบบ เช่น IP Lan ของอุปกรณ์ Router พวก 10.0.0.1, 192.168.1.1 หมายเลข IP พวกนี้ จะมีใช้กันซ้ำๆอยู่ทั่ว ถ้า IP ที่ขา WAN เราได้เป็น Private IP จะหมายถึงทาง ISP สร้าง IP แล้วแจกมาให้เรา
- IP Public (มักจะเรียกกันว่า IP จริง) เป็น IP เป็นหมายเลข IP ที่ใช้กันในโครงข่ายของโลก Internet เลย เป็นหมายเลขที่ไม่ซ้ำกัน


ตรวจสอบว่าขา WAN ของ Router ว่าได้ Public IP โดยเข้า Web myip.com ครับ จะมี IP Address ที่ขา WAN ของ Router โชว์อยู่

ถ้าโชว์ IP ประมาณนี้ แสดงว่าเป็น Private IP แน่นอน ใช้ไม่ได้ครับ โทรไปสอบถามกับทาง ISP ได้เลย

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

 
แต่ถ้าเป็น IP หมายเลขแปลกๆ ไม่ค่อยคุ้น ส่วนใหญ่จะเป็น IP Public ครับ

ที่นี้ Public IP ที่เราได้ ทาง ISP เขาจะเปลี่ยนหมายเลข IP ทุกๆ 24 ชั่วโมง เวลาเราให้ฝั่ง Site เชื่อมต่อมายังฝั่ง Main ไม่สะดวกที่จะเข้าไปเปลี่ยน IP ที่จะเชื่อมต่อเข้าไปเองทุกๆวันแน่ๆ

มี 2 ทางเลือกครับ

A. ใช้พวก Service Dynamic DNS เช่น DynDNS, NoIP (มีค่าใช้จ่ายรายปี) แต่เดี๋ยวนี้ทางผู้ผลิตอุปกรณ์ เขาจะมักจะมี Dynamci DNS ให้ฟรีครับ แต่ฟรีก็คือฟรี อาจจะมีล่มบ้าง บ่นอะไรไม่ได้ครับ
B. สมัคร Fix IP อันนี้เสียตังค์รายเดือนเพิ่ม ถ้า 3BB ก็พันนึงต่อเดือนครับ

Internet ฝั่ง Site (กรณีที VPN เป็นแบบ Site To Site)

ฝั่ง Site ขอให้ออก Internet ได้ก็พอ อย่าง Internet Fiber ตัว Modem เราก็ไม่ต้อง Set เป็น Bridge Mode ให้ยุ่งยาก หรือจะเป็น 4G ซึ่งตัว VPN Router เดี๋ยวนี้มีหลายๆรุ่นที่รองรับ Aircard หรือ เสียบ SIM ได้โดยตรง หรือ จะใช้ VPN Router ต่อเข้ากับ 4G Router อีกทีก็ได้

3. กำหนดวง LAN IP ทั้งฝั่ง Main และ Site


ต้องคนละวง Network กันครับ (ถ้าทำ VPN แบบ Site To Site)

เช่น IP Address ที่ฝั่ง Main เป็น 192.168.1.1 ที่ฝั่ง Site ต้องเปลี่ยน อาจจะเป็น 192.168.2.1 ก็ได้ครับ

4. การรักษาความปลอดภัยของข้อมูล

จากรูปในข้อ 1 จะเห็นว่า การทำ VPN จะเป็นการสร้างท่อสำหรับส่งข้อมูล ระหว่าง Main กับ Site ขึ้นมา การส่งข้อมูลหากันจะไม่มีการเข้ารหัส ถ้ามีใครที่ดักจับข้อมูล (ไม่คนภายใน ก็ ISP นี้แหล่ะ) เขาก็จะสามารถเห็นข้อมูลเราได้

เลยมีรูปแบบที่เป็นการเข้ารหัส และ ถอดรหัส ข้อมูลที่ส่ง/รับ ที่ VPN ROuter รูปแบบการเข้ารหัสจะเรียกว่าการทำ IPSecs ครับ ซึ่งจะมีอยู่ใน VPN Router ทุกรุ่น เพียงแค่ Enable ขึ้นมา

 

ส่วนการทำ VPN Client To Site

เป็นการให้เครื่องๆนึง เชื่อมต่อเข้ามาในวง Network ที่สำนักงาน




มี 2 รูปแบบในการเชื่อมต่อ
1.PPTP เดี๋ยวนี้จะมีแค่บน Windows ที่ใช้งานได้ครับ ไม่มีการเข้ารหัสของข้อมูลที่ส่งหากัน
2.L2TP IPSecs ใช้ได้ทั้งบน Windows และ Smartphone มีการเข้ารหัสข้อมูลแบบ IPSecs

หลักการคร่าวของการทำ VPN เบื้องต้นก็จะประมาณนี้ครับ