ต้องการเชื่อมเครือข่าย Network ระหว่างสำนักงานด้วย VPN

หัวข้อนี้จะเป็นการอธิบายคร่าวๆ ถึงการทำ VPN (Virtual Private Network) เพื่อเชื่อมต่อเครือข่าย Network ระหว่างสาขาเข้าด้วยกัน รวมถึงให้ Client ที่อยู่ภายนอกสามารถเชื่อมต่อมายังเครือข่ายในสำนักงานได้ครับ

ทฤษฏีต่างๆ ผมขอกล่าวถึงให้น้อยที่สุดนะครับ

ข้อดีของการทำ VPN

เป็นการช่วยให้ระบบ Network เครือข่าย ที่ต่างสถานที่กัน เชื่อมต่อหากันได้

เช่น ทางบริษัทมีสำนักงานใหญ่อยู่ที่กรุงเทพ สาขาย่อยอยู่ที่ปทุมธานี มี Internet ทั้ง 2 สาขา
รวมถึงพนักงานที่ใช้ Notebook เชื่อมต่อ WIFI ในร้านกาแฟ/ หรือเชื่อมต่อ 4G LTE / Internet หรืออยู่ที่บูสงาน event ต่างๆ รวมถึงที่บ้าน

ที่สนง.ใหญ่ มี Server, Database, NAS เก็บข้อมูลต่างๆไว้ ไม่ว่าจะเป็น เอกสาร, Sourcecode, โปรแกรมงานขาย งานบัญชี, มีการติดตั้ง ระบบโทรศัพท์ IP-PBX จะโทรหาข้ามสาขา, สั่งพิมพ์ Printer, ติดตั้งกล้อง IP Camera ที่ฝั่งสาขาแล้วจะบันทึกลง NVR ที่ฝั่ง สนง.ใหญ่

การทำ VPN จะช่วยให้สาขาย่อย และ พนักงาน สามารถที่จะใช้ Resource ต่างๆเหล่านี้จากที่ สนง.ใหญ่ได้ หรือ ถ้าเรามีมากกว่า 2 สาขา เช่น เป็นร้านค้า การทำ VPN ก็จะเชื่อมเครือข่ายระหว่าง สนง.ใหญ่ กับ ร้านค้า ติดต่อหากันได้ครับ

ตัวอย่าง เมื่อก่อนทางร้าน Sysnet อยู่ในห้างเซียร์รังสิต และมี Office อยู่ในหมู่บ้าน มีการวางพวก Server ลงโปรแกรม Pos/Stock ทำ VPN เพื่อเชื่อมเครือข่ายหากันระหว่างที่หน้าร้าน กับ Office และ ที่บ้านไว้ เพื่อเวลาที่พนักงานหน้าร้านใช้ โปรแกรมขาย POS มีการ Update Stock ข้อมูลก็ลงที่ Server ที่วางไว้ใน Office ได้เลย ส่วนที่บ้านก็ไว้เปิดโปรแกรมดู Stock หรือสั่งพิมพ์รายงานขายได้ครับ

เดี๋ยวนี้ Internet มีความเร็วสูงมาก อุปกรณ์ที่รองรับรับการทำ VPN (VPN Router) ตัว Hardware ก็พัฒนาขึ้นมาเยอะ พวกค่า VPN Throughput (ความเร็วในการโอนถ่ายข้อมูลผ่านท่อ VPN) ก็สูงตาม อย่างที่บ้านผมมี NAS เก็บหนังกับเพลงไว้ เวลาอยู่ที่ Office บางทีก็เปิดฟัง หรือ ดูหนังจากเครื่อง NAS ที่บ้านได้สบายๆไม่มีกระตุกเลย

ข้อดียังมีอีกเยอะครับ เพราะเครือข่าย Network ทั้ง 2 ฝั่งมันเชื่อมต่อหากันได้แล้ว

อุปกรณ์ VPN Router ในปัจจุบัน มีหลายยี่ห้อ บางยี่ห้อก็ set ง่ายๆ บางยี่ห้อก็จะ set ค่อนข้างยาก ต้องมี IT คอยดูแลและจัดการ ด้านราคาก็จะขึ้นอยู่กับ Spec Hardware ของอุปกรณ์รวมถึง Feature ต่างๆที่ใส่เข้ามา ครับ เช่น

• ค่า Internet Throughput เป็นค่าที่แสดงว่ารองรับ Internet ได้ความเร็วเท่าไหร่ เทียบกับที่เรามี
• ค่า VPN Throughput ค่านี้ยิ่งสูง ความเร็วในการเชื่อมต่อ VPN ก็จะสูงขึ้น บางรุ่นสามารถทำเป็น Loadbalance รองรับ Internet ตามคู่สาย Internet ที่มี
• Mode VPN Fail-Over ในอุปกรณ์ VPN บางรุ่นมี Mode Fail-Over กรณีที่ Internet เส้นหลักล่ม VPN ก็จะไปวิ่งเส้นรองต่อ แบบนี้เราจะใช้ร่วมกับพวก DDNS ให้ Update IP WAN ตามที่กำหนด เพื่อที่ฝั่ง Client ทำการ Dial-In เข้ามา เราไม่ต้องไปเปลี่ยนค่า Remote IP ครับ
• Loadbalance พวกอุปกรณ์ VPN Router ส่วนใหญ่จะรองรับ Internet ได้มากกว่า 1 เส้น
• Firewall ในอุปกรณ์ VPN Router บางยี่ห้อสามารถกำหนดได้ว่า Client ที่ Dial-Up เข้ามาจะให้ได้ IP วง Network อะไร กรณีถ้าเราทำ VLAN ไว้หลายๆวง Network เราก็สมารถกำหนดได้ว่า Client ที่เข้ามา ให้เข้าวง Network อะไรได้บ้าง

 https://sysnetcenter.com/vpn-firewall-router

รูปแบบการทำ VPN

1. ต้องการเชื่อมวง Network เข้าหากัน

เช่น วง Network สนง.ใหญ่ เชื่อมต่อกับ วง Network สาขา

การทำ VPN แบบนี้จะเรียกว่าแบบ Site-To-Site หรือ Lan-To-Lan ในบางยี่ห้อ เครื่อง Client ทั้งสองฝั่งจะสามารถเชื่อมต่อหากันได้ เช่น แชร์ไฟล์, เชื่อมต่อฐานข้อมูล, แชร์ Printer

2. ให้ PC/ Notebook/ Tablet/ Smartphone เชื่อมต่อเข้ามาที่ สนง.ใหญ่
 

โดยที่ Client พวกนี้ เชื่อมต่อ Internet ไม่ว่าจะเป็น Public WIFI (พวกร้านกาแฟ, ในโรงแรม), 4G LTE อาจจะแชร์จากมือถือ หรือใช้ Aircard แล้วทำการ Dial-Up VPN เชื่อมต่อเข้ามาอยู่ในวง Network ที่ สนง.

แบบนี้จะเรียกว่า Client-To-Site หรือบางยี่ห้อจะเรียกว่า Remote Dial-In ครับ

ทำ VPN ต้องมีการเตรียมอะไรบ้าง

1. เลือก VPN Router

มีให้เลือกเยอะครับ VPN Firewall Router แต่โทรสอบถามให้ทางร้านแนะนำก่อนดีกว่าSpec ของ VPN Router รวมถึงความยาก/ความง่ายในการ Config ของแต่ละยี่ห้อไม่เหมือนกัน อย่าง Mikrotik ก็ยากหน่อยถึงขั้นยากมาก

2. เชื่อมต่อ Internet ได้สองทั้ง

ฝั่ง สนง.ใหญ่ (ขอเรียกว่าฝั่ง Main)  และ ฝั่งสาขา (ขอเรียกว่าฝั่ง Site ครับ) ต้องมี Internet  รวมถึงถ้าทำ VPN เป็นแบบ Client-To-Site เครื่อง PC/Notebook/Smartphone เราก็ต้องเชื่อมต่อ Internet ได้ด้วยเช่นกัน

3. รูปแบบการเชื่อมต่อ Internet ของฝั่ง Main (HQ)

สำหรับ Internet ที่ฝั่ง Main จะวุ่นวายหน่อย

!! ข้อกำหนดเลยคือ WAN IP ของ VPN Router ที่ได้รับมา ต้องเป็น IP แบบ Public

เราต้องให้ VPN Router ที่วางอยู่ที่ฝั่ง Main ต้องเป็นตัวเชื่อมต่อ Internet โดยตรง

ทีนี้ การจะให้ VPN Router เป็นตัวออก Internet โดยตรง และสามารถให้ฝั่ง Site รวมถึง Client เชื่อมต่อ VPN เข้ามาได้

ต้องทำ 3 อย่างนี้

1. Set Fiber Modem ให้เป็น Bridge Mode

สอบถามทาง ISP ตรวจสอบว่า Modem ที่ให้มาสามารถ Set เป็น Mode Bridge ได้หรือไม่ ถ้าได้ ให้ทาง ISP ช่วย Set เป็น Bridge Mode ได้เลย แต่ถ้าไม่ได้ ก็ต้องขอเปลี่ยนรุ่น

2. Set การเชื่อมต่อ Internet ของ VPN Router ให้เป็นแบบ PPPoE (กรณีที่ไม่ได้ใช้ Internet แบบ Lease Line)

อย่างของ True รายละเอียด PPPoE Username/ Password  ต้องโทรสอบถาม ถ้าเป็น 3BB เขาจะมีเอกสารให้ตอนที่ช่างมาติดตั้ง แต่ก็โทรสอบถามได้ครับ

3. IP Wan ของ VPN Router ที่ได้ต้องเป็น IP Public

ทำความเข้าใจเรื่อง IP Private และ IP Public กันก่อนครับ

- IP Private (มักจะเรียกกันว่า IP ปลอม ^^) เป็น IP ที่สร้าง ใช้กันเองภายในวง LAN เช่น IP Lan ของอุปกรณ์ Router เลขประมาณ 192.168.1.1, 10.0.0.1, 172.16.0.1 หมายเลข IP พวกนี้ จะมีใช้กันซ้ำๆอยู่ทั่ว ถ้า IP Address ที่ขา WAN เราได้เป็น Private IP จะทำ VPN ไม่ได้ครับ หรือเวลา Router เชื่อมต่อ Internet ก็เป็น IP ที่ทาง ISP สร้างเองมาให้เราใช้ (จริงๆเรียกว่า Large Scale NAT)

- IP Public (มักจะเรียกกันว่า IP จริง) เป็นหมายเลข IP ที่ใช้กันในโครงข่ายของโลก Internet เลย และ เป็นหมายเลขที่ไม่ซ้ำกัน

ตรวจสอบว่าขา WAN ของ Router ว่าได้ Public IP โดยเข้า Web myip.com ครับ จะมี IP Address ที่ขา WAN ของ Router โชว์อยู่

ถ้าโชว์ IP ประมาณนี้ แสดงว่าเป็น Private IP แน่นอน จะทำ VPN ไม่ได้ครับ

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

!!! เดี๋ยวนี้ เนื่องจาก IP Public มันมีจำกัด ทาง ISP จะให้เป็น IP Peivate มาอีกที จะมีคำเรียก IP พวกนี้ว่า CG-NAT โดย IP จะอยู่ในช่วง 100.64.0.0 - 100.127.255.255 ถ้าเราได้ IP ชุดนี้มา จะทำ VPN ไม่ได้ครับ (จริงๆนะได้ แต่ค่อนข้างวุ่นวาย)

แนะนำให้โทรไปสอบถามกับทาง ISP ครับ ขอ IP Public บางค่ายก็ฟรี บางค่ายก็จ่ายเงินเพิ่มอีกนิดหน่อย

ที่นี้ หมายเลข IP Public ที่เราได้มา ทาง ISP เขาจะเปลี่ยนหมายเลข IP ทุกๆ 24 ชั่วโมง หรือทุกครั้งที่ปิด/เปิด Router ใหม่ เวลาเราทำ VPN ให้ฝั่ง Site เชื่อมต่อมายังฝั่ง Main หมายเลข IP ที่เชื่อมต่อมันเปลี่ยนไปเรื่อย เราต้องมานั่งคอยเปลี่ยนค่า IP ฝั่ง Site หรือ Client กันทุกวัน

มี 2 ทางเลือก

A. ใช้พวก Service Dynamic DNS

เช่น DynDNS, NoIP (มีค่าใช้จ่ายรายปี) แต่เดี๋ยวนี้ทางผู้ผลิตอุปกรณ์ เขามักจะมี Dynamic DNS ให้ฟรี แต่ของฟรีก็คือของฟรี อาจจะมีล่มบ้างครับ

B. สมัคร Fix IP

จะมีค่าใช้จ่ายรายเดือนเพิ่ม ของ 3BB ก็พันนึงต่อเดือน ถ้าเน้นความเสถียรในการเชื่อมต่อ VPN  แนะนำให้สมัคร FIX IP ครับ

4. Internet ฝั่ง Site (กรณีที VPN เป็นแบบ Site To Site)

ฝั่ง Site ขอให้ออก Internet ได้ก็พอ อย่าง Internet Fiber ตัว Modem เราก็ไม่ต้อง Set อะไรให้ยุ่งยาก หรือจ ะเป็น 4G ซึ่งตัว VPN Router เดี๋ยวนี้มีหลายๆรุ่นที่รองรับ Aircard หรือ เสียบ SIM ได้โดยตรง หรือ จะใช้ VPN Router ต่อเข้ากับ 4G Router อีกทีก็ได้

5. กำหนดวง LAN IP ทั้งฝั่ง Main และ Site (กรณีที VPN เป็นแบบ Site To Site)

IP ต้องคนละวง Network กัน

เช่น IP Address ที่ฝั่ง Main เป็น 192.168.1.1 ที่ฝั่ง Site ต้องเปลี่ยน อาจจะเป็น 192.168.2.1 ก็ได้ครับ ให้อยู่คนละวง Network

6. การรักษาความปลอดภัยของข้อมูล

จากรูปในข้อ 1 จะเห็นว่า การทำ VPN จะเป็นการสร้างท่อสำหรับส่งข้อมูล ระหว่าง Main กับ Site ขึ้นมา การส่งข้อมูลหากันจะไม่มีการเข้ารหัส ถ้ามีใครที่ดักจับข้อมูล เขาก็จะสามารถเห็นข้อมูลเราได้

เลยมีรูปแบบที่เป็นการเข้ารหัส และ ถอดรหัส ข้อมูลที่ส่ง/รับ ระหว่าง VPN Router

รูปแบบการเข้ารหัสจะเรียกว่าการทำ IPSecs ครับ ซึ่งจะมีอยู่ใน VPN Router ทุกรุ่น เพียงแค่ Enable ขึ้นมา

7. ทำ VPN Client To Site หรือ Remote Dial-In

เป็นการให้เครื่องๆนึงที่อยู่ข้างนอก เช่น Notebook นั่งเล่น Internet ที่ร้านกาแฟ หรือ เล่นที่บ้านประมาณ Work From Home ทำการเชื่อมต่อเข้ามาในวง Network ที่สำนักงานใหญ่

Client To Site รูปแบบการเชื่อมต่อที่นิยมกัน

1. PPTP เดี๋ยวนี้จะมีแค่บน Windows ที่ใช้งานได้ครับ ไม่มีการเข้ารหัสของข้อมูลที่ส่งหากัน ข้อดี ไว เพราะไม่มีการเข้ารหัส
2. L2TP with IPSecs ใช้ได้ทั้งบน Windows และ Smartphone มีการเข้ารหัสข้อมูลแบบ IPSecs
3. SSL VPN ใช้ได้บน Windows มีการเข้ารหัสข้อมูล มีใน VPN Router บางรุ่น
4. Open VPN ใช้ได้ทั้งบน Windows และ Smartphone มีการเข้ารหัสข้อมูล แต่ใช้งานค่อนข้างยาก

รูปแบบ VPN ข้อ 1, 2 และ 3 รูปแบบนี้เป็น Protocol แบบเก่า จะมีปัญหาว่าเวลา Client อยู่ในวง Network เดียวกันแล้ว Remote เข้าไปที่ฝั่ง HQ พร้อมๆกัน จะได้แค่ Client เดียวครับ หรือบาง ISP จะมีการ Block Port VPN จาก Protocol 3 แบบที่กล่าวมา เราไม่สามารถเปลี่ยน Port ได้ครับ

...แต่เดี๋ยวนี้มี VPN Protocol ที่ชื่อว่า Wireguard ครับ เร็วกว่า จัดการเรื่อง Port ได้ ตัดปัญหาเรื่อง Remote Client ที่เชื่อมต่อเข้ามาอยู่ใน Network เดียวกัน รายละเอียดอยู่ใน Link นี้ครับ Review Draytek รองรับ Wireguard VPN

หลักการคร่าวของการทำ VPN เบื้องต้นก็จะประมาณนี้ครับ

สนใจทำ VPN ติดต่อทางร้านผ่าน Line @sysnet ได้เลยนะครับ