ต้องการเชื่อมเครือข่าย Network ระหว่างสำนักงานด้วย VPN

หัวข้อนี้จะเป็นการอธิบายคร่าวๆถึงการทำ VPN (Virtual Private Network) เพื่อเชื่อมต่อเครือข่าย Network ระหว่างสาขาเข้าด้วยกัน รวมถึงให้ Client ที่อยู่ภายนอกสามารถเชื่อมต่อมายังเครือข่ายในสำนักงานได้ครับ

ทฤษฏีต่างๆผมขอกล่าวถึงให้น้อยที่สุดนะครับ

ข้อดีของการทำ VPN

เป็นการช่วยให้ระบบ Network เครือข่าย ที่ต่างสถานที่กัน เชื่อมต่อหากันได้

เช่น ทางบริษัทมีสำนักงานใหญ่อยู่ที่กรุงเทพ สาขาย่อยอยู่ที่ปทุมธานี มี Internet ทั้ง 2 สาขา
รวมถึงพนักงานที่ใช้ Notebook เชื่อมต่อ WIFI ในร้านกาแฟ/ หรือเชื่อมต่อ 4G LTE / Internet หรือตามบูสงาน event ต่างๆ หรือที่บ้าน

ที่สนง.ใหญ่ มี Server, Database, NAS เก็บข้อมูลต่างๆ เอกสาร หนัง เพลง, มีการติดตั้ง ระบบโทรศัพท์ IP-PBX จะโทรหาข้ามสาขา, สั่งพิมพ์ Printer, ติดตั้งกล้อง IP Camera ที่ฝั่งสาขาแล้วจะบันทึกลง NVR ที่ฝั่ง สนง.ใหญ่

การทำ VPN จะช่วยให้สาขาย่อย และ พนักงาน สามารถที่จะใช้ Resource ต่างๆเหล่านี้จากที่ สนง.ใหญ่ได้ หรือ ถ้าเรามีมากกว่า 2 สาขา เช่น เป็นร้านค้า การทำ VPN ก็จะเชื่อมเครือข่ายระหว่าง สนง.ใหญ่ กับ ร้านค้า ติดต่อหากันได้ครับ

ตัวอย่าง เมื่อก่อนทางร้าน Sysnet อยู่ในห้างเซียร์รังสิต และมี Office อยู่ในหมู่บ้าน มีการวางพวก Server ลงโปรแกรม Pos/Stock ทำ VPN เพื่อเชื่อมเครือข่ายหากันระหว่างที่หน้าร้าน กับ Office และ ที่บ้านไว้ เพื่อเวลาที่พนักงานหน้าร้านใช้ โปรแกรมขาย POS มีการ Update Stock ข้อมูลก็ลงที่ Server ที่วางไว้ใน Office ได้เลย ส่วนที่บ้านก็ไว้เปิดโปรแกรมดู Stock ได้ครับ

เดี๋ยวนี้ Internet มีความเร็วสูงมาก อุปกรณ์ที่รองรับรับการทำ VPN (VPN Router) ตัว Hardware ก็พัฒนาขึ้นมาเยอะ พวกค่า VPN Throughput (ความเร็วในการโอนถ่ายข้อมูลผ่าน VPN) ก็สูงตาม อย่างที่บ้านผมมี NAS เก็บหนังกับเพลงไว้ เวลาอยู่ที่ Office บางทีก็เปิดฟัง หรือ ดูหนังจากเครื่อง NAS ที่บ้านได้สบายๆไม่มีกระตุกเลย

ข้อดียังมีอีกเยอะครับ เพราะเครือข่าย Network ทั้ง 2 ฝั่งมันเชื่อมต่อหากันได้แล้ว

อุปกรณ์ VPN Router ในปัจจุบัน มีหลายยี่ห้อ บางยี่ห้อก็ set ง่ายๆ บางยี่ห้อก็จะ set ค่อนข้างยาก มี feature อื่นๆใส่มาค่อนข้างเยอะ ด้านราคา ก็จะขึ้นอยู่กับ Spec ของอุปกรณ์ครับ เช่นค่า Internet Throughput รองรับ Internet ได้ความเร็วเท่าไหร่ เทียบกับที่เรามี, ค่า VPN Throughput ค่านี้ยิ่งสูง ความเร็วในการเชื่อมต่อ VPN ก็จะสูงขึ้น บางรุ่นก็เป็น Next Gen Firewall อุปกรณ์พวกนี้ ราคาก็จะสูงขึ้นครับ รวมถึงการทำเป็น Loadbalance รองรับ Internet ได้กี่คู่สาย

 https://sysnetcenter.com/vpn-firewall-router

รูปแบบการทำ VPN

1. ต้องการเชื่อมวง Network เข้าหากัน

เช่น วง Network สนง.ใหญ่ เชื่อมต่อกับ วง Network สาขา

การทำ VPN แบบนี้จะเรียกว่าแบบ Site-To-Site หรือ Lan-To-Lan ในบางยี่ห้อ

2. ให้ PC/ Notebook/ Tablet/ Smartphone เชื่อมต่อเข้ามาที่ สนง.ใหญ่
 

โดยที่ Client พวกนี้ เชื่อมต่อ Internet ไม่ว่าจะเป็น Public WIFI (พวกร้านกาแฟ, ในโรงแรม), 4G LTE อาจจะแชร์จากมือถือ หรือใช้ Aircard แล้วทำการเชื่อมต่อเข้ามาอยู่ในวง Network ที่ สนง.

แบบนี้จะเรียกว่า Client-To-Site หรือบางยี่ห้อจะเรียกว่า Remote Dial-In ครับ

ทำ VPN ต้องมีการเตรียมอะไรบ้าง

1. เลือก VPN Router

มีให้เลือกเยอะครับ VPN Firewall Router แต่โทรสอบถามให้ทางร้านแนะนำก่อนดีกว่าSpec ของ VPN Router รวมถึงความยาก/ความง่ายในการ Config ของแต่ละยี่ห้อไม่เหมือนกัน อย่าง Mikrotik ก็ยากหน่อยถึงขั้นยากมาก

2. เชื่อมต่อ Internet ได้สองทั้ง

ฝั่ง สนง.ใหญ่ (ขอเรียกว่าฝั่ง Main)  และ ฝั่งสาขา (ขอเรียกว่าฝั่ง Site ครับ) ต้องมี Internet ด้วย รวมถึงถ้าทำ VPN เป็นแบบ Client-To-Site เครื่อง PC/Notebook/Smartphone เราก็ต้องเชื่อมต่อ Internet ได้ด้วยเช่นกัน

3. รูปแบบการเชื่อมต่อ Internet ของฝั่ง Main (HQ)

ฝั่ง Main จะวุ่นวายหน่อย

!! ข้อกำหนดเลยคือ WAN IP ของ VPN Router ที่ได้รับมา ต้องเป็น IP แบบ Public

เราต้องให้ VPN Router ที่วางอยู่ที่ฝั่ง Main ต้องเป็นตัวเชื่อมต่อ Internet โดยตรงครับ

ทีนี้ การจะให้ VPN Router เป็นตัวออก Internet โดยตรง และสามารถให้ฝั่ง Site รวมถึง Client เชื่อมต่อ VPN เข้ามาได้

เราต้องทำ 3 อย่างนี้

1. Set Fiber Modem ให้เป็น Bridge Mode

สอบถามทาง ISP ตรวจสอบว่า Modem ที่ให้มาสามารถ Set เป็น Mode Bridge ได้หรือไม่ ถ้าได้ ให้ทาง ISP ช่วย Set เป็น Bridge Mode ได้เลย แต่ถ้าไม่ได้ ก็ขอเปลี่ยนรุ่น

2. Set การเชื่อมต่อ Internet ของ VPN Router ให้เป็นแบบ PPPoE

อย่างของ True รายละเอียด PPPoE Username/ Password  ต้องโทรสอบถาม ถ้าเป็น 3BB เขาจะมีเอกสารให้ตอนที่ช่างมาติดตั้ง แต่ก็โทรสอบถามได้ครับ

3. IP Wan ที่ได้ต้องเป็น IP Public

ทำความเข้าใจเรื่อง IP Private และ IP Public กันก่อนครับ

- IP Private (มักจะเรียกกันว่า IP ปลอม ^^) เป็น IP ที่สร้าง ใช้กันเองภายในระบบ LAN เช่น IP Lan ของอุปกรณ์ Router เลขประมาณ 10.0.0.1, 192.168.1.1 หมายเลข IP พวกนี้ จะมีใช้กันซ้ำๆอยู่ทั่ว ถ้า IP Address ที่ขา WAN เราได้เป็น Private IP จะทำ VPN ไม่ได้ครับ

- IP Public (มักจะเรียกกันว่า IP จริง) เป็นหมายเลข IP ที่ใช้กันในโครงข่ายของโลก Internet เลย และ เป็นหมายเลขที่ไม่ซ้ำกัน

ตรวจสอบว่าขา WAN ของ Router ว่าได้ Public IP โดยเข้า Web myip.com ครับ จะมี IP Address ที่ขา WAN ของ Router โชว์อยู่

ถ้าโชว์ IP ประมาณนี้ แสดงว่าเป็น Private IP แน่นอน จะทำ VPN ไม่ได้ครับ

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

หรือโทรไปสอบถามกับทาง ISP ได้เลย ขอ IP Public บางค่ายก็ฟรี บางค่ายก็จ่ายเงินเพิ่มอีกนิดหน่อย

ที่นี้ หมายเลข IP Public ที่เราได้ ทาง ISP เขาจะเปลี่ยนหมายเลข IP ทุกๆ 24 ชั่วโมง เวลาเราทำ VPN ให้ฝั่ง Site เชื่อมต่อมายังฝั่ง Main หมายเลข IP ที่เชื่อมต่อมันเปลี่ยนไปเรื่อย มันจะใช้ไม่ได้ครับ

มี 2 ทางเลือก

A. ใช้พวก Service Dynamic DNS

เช่น DynDNS, NoIP (มีค่าใช้จ่ายรายปี) แต่เดี๋ยวนี้ทางผู้ผลิตอุปกรณ์ เขามักจะมี Dynamic DNS ให้ฟรี แต่ของฟรีก็คือของฟรีครับ อาจจะมีล่มบ้าง ถ้าไม่ได้ใช้งาน VPN บ่อยๆ ก็ OK อยู่ครับ

B. สมัคร Fix IP

จะมีค่าใช้จ่ายรายเดือนเพิ่ม ของ 3BB ก็พันนึงต่อเดือนครับ ถ้าซีเรียจเรื่อง VPN มีการใช้ตลอด แนะนำให้สมัคร FIX IP ครับ

4. Internet ฝั่ง Site (กรณีที VPN เป็นแบบ Site To Site)

ฝั่ง Site ขอให้ออก Internet ได้ก็พอครับ อย่าง Internet Fiber ตัว Modem เราก็ไม่ต้อง Set อะไรให้ยุ่งยาก หรือจ ะเป็น 4G ซึ่งตัว VPN Router เดี๋ยวนี้มีหลายๆรุ่นที่รองรับ Aircard หรือ เสียบ SIM ได้โดยตรง หรือ จะใช้ VPN Router ต่อเข้ากับ 4G Router อีกทีก็ได้

5. กำหนดวง LAN IP ทั้งฝั่ง Main และ Site

IP ต้องคนละวง Network กันครับ (ถ้าทำ VPN แบบ Site To Site)

เช่น IP Address ที่ฝั่ง Main เป็น 192.168.1.1 ที่ฝั่ง Site ต้องเปลี่ยน อาจจะเป็น 192.168.2.1 ก็ได้ครับ

6. การรักษาความปลอดภัยของข้อมูล

จากรูปในข้อ 1 จะเห็นว่า การทำ VPN จะเป็นการสร้างท่อสำหรับส่งข้อมูล ระหว่าง Main กับ Site ขึ้นมา การส่งข้อมูลหากันจะไม่มีการเข้ารหัส ถ้ามีใครที่ดักจับข้อมูล เขาก็จะสามารถเห็นข้อมูลเราได้

เลยมีรูปแบบที่เป็นการเข้ารหัส และ ถอดรหัส ข้อมูลที่ส่ง/รับ ระหว่าง VPN Router

รูปแบบการเข้ารหัสจะเรียกว่าการทำ IPSecs ครับ ซึ่งจะมีอยู่ใน VPN Router ทุกรุ่น เพียงแค่ Enable ขึ้นมา

7. ทำ VPN Client To Site

เป็นการให้เครื่องๆนึงที่อยู่ข้างนอก เช่น Notebook นั่งเล่น Internet ที่ร้านกาแฟ หรือ เล่นที่บ้านประมาณ Work From Home ทำการเชื่อมต่อเข้ามาในวง Network ที่สำนักงานใหญ่

Client To Site รูปแบบการเชื่อมต่อที่นิยมกัน

1.PPTP เดี๋ยวนี้จะมีแค่บน Windows ที่ใช้งานได้ครับ ไม่มีการเข้ารหัสของข้อมูลที่ส่งหากัน ข้อดี ไว เพราะไม่มีการเข้ารหัส
2.L2TP IPSecs ใช้ได้ทั้งบน Windows และ Smartphone มีการเข้ารหัสข้อมูลแบบ IPSecs
3.SSL VPN ใช้ได้บน Windows มีการเข้ารหัสข้อมูล มีใน VPN Router บางรุ่น

หลักการคร่าวของการทำ VPN เบื้องต้นก็จะประมาณนี้ครับ

สนใจทำ VPN ติดต่อทางร้านผ่าน Line @sysnet ได้เลยนะครับ