ต้องการเชื่อมเครือข่าย Network ระหว่างสำนักงานด้วย VPN

ต้องการเชื่อมเครือข่าย Network ระหว่างสำนักงานด้วย VPN

หัวข้อนี้จะเป็นการอธิบายคร่าวๆถึงการทำ VPN (Virtual Private Network) เพื่อเชื่อมต่อเครือข่าย, Network ระหว่างสาขาเข้าด้วยกัน ทฤษฏีต่างๆผมขอกล่าวถึงให้น้อยที่สุดนะครับ

ข้อดีของการทำ VPN

เป็นการช่วยให้ ระบบ Network เครือข่าย ที่ต่างสถานที่กัน เชื่อมต่อหากันได้

อย่างเช่น ทางบริษัทมีสำนักงานใหญ่อยู่ที่กรุงเทพ สาขาย่อยอยู่ที่ปทุมธานี มี Internet ทั้ง 2 สาขา รวมถึงพนักงานที่เชื่อมต่อ WIFI ในร้านกาแฟ เชื่อมต่อ 4G LTE / Internet ตามบูสงาน event ต่างๆ หรือที่บ้าน

สนง.ใหญ่ มี Server, Database, NAS เก็บข้อมูลต่างๆ เอกสาร หนัง เพลง, มีการติดตั้ง ระบบโทรศัพท์ IP-PBX จะโทรหาข้ามสาขากันฟรี, สั่งพิมพ์ Printer, ติดตั้งกล้อง IP Camera แล้วจะบันทึกลง NVR ที่ฝั่ง สนง.ใหญ่

การทำ VPN จะช่วยให้สาขาย่อย และ พนักงาน สามารถที่จะใช้ Resource ต่างๆเหล่านี้จากที่ สนง.ใหญ่ได้ หรือ ถ้าเรามีมากกว่า 2 สาขา เช่นเป็นร้านค้า การทำ VPN ก็จะเชื่อมเครือข่ายต่อหากันได้หมดครับ

เมื่อก่อนทางร้าน Sysnet อยู่ในห้างเซียร์ และมี Office อยู่ในหมู่บ้าน วางพวก Server มีโปรแกรม Pos/Stock เลยทำ VPN เชื่อมเครือข่ายหากันระหว่างที่หน้าร้าน กับ Office และที่บ้านไว้ เพื่อให้หน้าร้านใช้ โปรแกรม POS และ Update Stock ลงที่ Server ที่ Office ได้เลย ส่วนที่บ้านก็ไว้เปิดโปรแกรมดู Stock ครับ

ยิ่งเดี๋ยวนี้ Internet มีความเร็วสูงมาก อุปกรณ์ที่รองรับรับการทำ VPN (VPN Router) ตัว Hardware ก็พัฒนามาเยอะ ค่า VPN Throughput ก็สูงตาม อย่างที่บ้านผมมี NAS เก็บหนังกับเพลงไว้ เวลาอยู่ที่ Office บางทีก็เปิดฟัง หรือ ดูหนังจากเครื่อง NAS ที่บ้านได้สบายๆไม่มีกระตุกเลย

ข้อดียังมีอีกเยอะครับ เพราะเครือข่าย Network มันเชื่อมต่อหากันได้แล้ว

อุปกรณ์ VPN Router ในปัจจุบัน มีหลายยี่ห้อ บางยี่ห้อก็ set ง่ายๆ บางยี่ห้อก็จะ set ค่อนข้างยาก แต่มี feature อื่นๆใส่มาค่อนข้างเยอะ ด้านราคา ก็จะขึ้นอยู่กับ Spec ของอุปกรณ์ด้วยครับ เช่นค่า Internet Throughput รองรับ Internet ได้ความเร็วเท่าไหร่ เทียบกับที่เรามี และ ค่า VPN Throughput ค่านี้ยิ่งสูง ความเร็วในการเชื่อมต่อ VPN ก็จะสูงขึ้น บางรุ่นก็เป็น Next Gen Firewall อุปกรณ์พวกนี้ ราคาก็จะสูงขึ้นครับ

 https://sysnetcenter.com/vpn-firewall-router

รูปแบบการทำ VPN

1. ต้องการเชื่อมวง Network เข้าหากัน เช่น วง Netowork สนง.ใหญ่ กับ วง Network สาขา

การทำ VPN แบบนี้จะเรียกว่าแบบ Site-To-Site หรือ Lan-To-Lan ในบางยี่ห้อ

2. ต้องการให้เครื่อง PC/ Notebook/ Tablet รวมถึง Smartphone ที่ต่อ Internet ไม่ว่าจะเป็น Public WIFI (พวกร้านกาแฟ, ในโรงแรม), 4G LTE อาจจะแชร์จากมือถือ หรือใช้ Aircard แล้วทำการเชื่อมต่อเข้ามาอยู่ในวง Network ที่ สนง.

แบบนี้จะเรียกว่า Client-To-Site ครับ

ทีนี้ ถ้าต้องการทำ VPN ต้องมีการเตรียมอะไรบ้าง

1. VPN Router มีให้เลือกเยอะเลย VPN Firewall Router แนะนำโทรสอบถามให้ทางร้านแนะนำก่อนดีกว่านะครับ Spec ของ VPN Router รวมถึงความยาก ความง่ายในการ Config ของแต่ละยี่ห้อไม่เหมือนกัน

2. ที่สนง. (ขอเรียกว่าฝั่ง Main) มี Internet ถ้าทำ VPN แบบ Site To Site ที่สาขา (ขอเรียกว่าฝั่ง Site ครับ) ก็ต้องมี Internet ด้วย แต่ถ้าเป็นแบบ Client To Site เครื่อง PC/Notebook เราก็ต้องต่อ Internet ได้ครับ

Internet ฝั่ง Main

ฝั่ง Main จะยุ่งยากหน่อย ข้อกำหนดเลยคือ WAN IP ที่ได้รับต้องเป็น Public IP

เราจะให้ VPN Router เป็นตัวเชื่อมต่อ Internet โดยตรง หรือ ให้ Fiber Modem เป็นตัวออก Internet ก็ได้ครับ

ถ้าให้ VPN Router เป็นตัวออก Internet โดยตรง ซึ่งจะเสถียรกว่า เราต้อง Set Fiber Modem ให้เป็น Bridge Mode แล้วนำ  PPPoE Username/Password มาใส่

อย่างของ True ตัว User/Password PPPoE ต้องโทรสอบถาม ถ้าเป็น 3BB เขาจะมีเอกสารให้ตอนที่ช่างมาติดตั้ง แต่ก็โทรสอบถามได้ครับ

และถามทาง ISP ตรวจสอบว่า Modem ที่ให้มาสามารถ Set เป็น Mode Bridge ได้หรือไม่ ถ้าได้ ให้ทาง ISP ช่วย Set เป็น Bridge Mode ได้เลย แต่ถ้าไม่ได้ ก็ขอเปลี่ยนรุ่น Modem หาเปลี่ยนเองไม่ได้น่ะครับ


หรือถ้าไม่อยากเปลี่ยน ให้ Fiber Modem ออก Internet โดยตรงเหมือนเดิม ก็ไม่มีปัญหาอะไรกับการทำ VPN ครับ เพราะส่วนที่สำคัญมากเลยคือ IP ที่เราได้มา ต้องเป็น Public IP ต้องขอกับทาง ISP ด้วยครับ เพราะเขามักจะให้เป็น Private IP มา

ตรวจสอบ Public IP ง่ายๆให้เข้า Web myip.com ครับ จะมี IP Address ที่ขา WAN ของ Router โชว์อยู่

ถ้าโชว์ IP ประมาณนี้ แสดงว่าเป็น Private IP แน่นอน ใช้ไม่ได้ครับ โทรไปขอทาง ISP ได้เลย

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

ที่นี้ Public IP ที่ได้ ทาง ISP เขาจะเปลี่ยนหมายเลข IP ทุกๆ 24 ชั่วโมง เวลาเราให้ฝั่ง Site เชื่อมต่อมายังฝั่ง Main ไม่สะดวกที่จะเข้าไปเปลี่ยน IP เองทุกๆวันแน่ๆ

มี 2 ทางเลือกครับ

A. ใช้พวก Service Dynamic DNS เช่น DynDNS, NoIP แต่เดี๋ยวนี้ทางผู้ผลิตอุปกรณ์ เขาจะมีให้ฟรีครับ
B. สมัคร Fix IP อันนี้เสียตังค์รายเดือนเพิ่ม ถ้า 3BB ก็พันนึงต่อเดือนครับ

Internet ฝั่ง Site (กรณีที VPN เป็นแบบ Site To Site)

ขอให้ออก Internet ได้ก็พอ อย่าง Internet Fiber ตัว Modem เราก็ไม่ต้อง Set เป็น Bridge Mode ให้ยุ่งยาก หรือจะเป็น 4G ซึ่งตัว VPN Router เดี๋ยวนี้มีหลายๆรุ่นที่รองรับ Aircard หรือ เสียบ SIM ได้โดยตรง หรือ จะใช้ VPN Router ต่อเข้ากับ 4G Router อีกทีก็ได้

3. กำหนดวง LAN IP ทั้งฝั่ง Main และ Site


ต้องคนละวง Network กันครับ (ทำ VPN แบบ Site To Site)

เช่น IP Address ที่ฝั่ง Main เป็น 192.168.1.1 ที่ฝั่ง Site ต้องเปลี่ยน อาจจะเป็น 192.168.2.1 ก็ได้ครับ

4. การรักษาความปลอดภัยของข้อมูล

จากรูปในข้อ 1 จะเห็นว่า การทำ VPN จะเป็นการสร้างท่อสำหรับส่งข้อมูล ระหว่าง Main กับ Site ขึ้นมา การส่งข้อมูลหากันจะไม่มีการเข้ารหัส ถ้ามีใครที่ดักจับข้อมูล (ไม่คนภายใน ก็ ISP นี้แหล่ะ) เขาก็จะสามารถเห็นข้อมูลเราได้

เลยมีรูปแบบที่เป็นการเข้ารหัส และ ถอดรหัส ข้อมูลที่ส่ง/รับ ที่ VPN ROuter รูปแบบการเข้ารหัสจะเรียกว่าการทำ IPSecs ครับ ซึ่งจะมีอยู่ใน VPN Router ทุกรุ่น เพียงแค่ Enable ขึ้นมา

หลักการคร่าวของการทำ VPN เบื้องต้นก็จะประมาณนี้ครับ