ขั้นตอนการทำ Mikrotik Forward Port 80 + HOTSPOT + LOOPBACK

ขั้นตอนการทำ Mikrotik Forward Port 80 + HOTSPOT + LOOPBACK
จากบทความเดิมที่ผมเคยเขียนเรื่อง Forward port 80 (แบบไม่ใช้กับ Hotspot) ผู้อ่านสามารถทำตามได้ปกติ
แต่ในกรณีที่จะต้องการ FW Port 80 โดย Server อยู่วงเดียวกับ Hotspot และต้องการให้ข้างนอกและข้างในหน่วยงานสามารถใช้งานได้
และไม่กระทบต่อระบบหน้าจอ login hotspot สามารถทำได้ดังนี้

sss
รูปด้านบนคือ ระบบตัวอย่างที่จะใช้เขียนบทความ มีเน็ต 1 เส้นแบบ pppoe-out1 และ ether2 คือแจก Hotspot ให้กับเครื่องภายในและมีเครื่อง server 80 อยู่ในวงนี้ด้วย

และผมใช้ makham.ddns.net เป็น Dynamic DDNS ให้ผู้ใช้งานเรียกเข้าเครื่อง server ทั้งภายนอกและภายใน

Nat loopback (HarpinNAT) คืออะไร
มันคือการทำ forward port เบอร์นั้นๆ วนกลับไปยังเลขไอพีขา WAN ของ เร้าเตอร์(mikrotik) เพื่อให้ผู้ใช้ข้างใน และ ข้างนอก(โลก) สามารถเรียก WAN IP เพื่อไปยังพอร์ตที่ forward ได้ (จำเบอร์เดียว เข้าได้ทั้งข้างนอกข้างใน)

ขั้นตอนการทำอย่างย่อ
1.เพิ่ม NAT ไปที้ winbox > ip > firewall > nat โดยมีข้อมูลดังนี้
Chain: dstnat
protocol :tcp
dst port:80
in interface: pppoe-out1 (ชื่อ interface เน็ต ขาแวน)
dst address type : local
action : dstnat
toaddress : 10.5.50.250 (ไอพีเครื่องเซิฟ)
toport : 80 (พอร์ตเครื่องเซิฟ)

2.ทำอีก 1 อัน
Chain: dstnat
protocol : tcp
src address: 10.5.50.0/24 (ใส่วงไอพี hotspot /ซับเน็ต)
dst address: 1.1.1.1 (ใส่ไปก่อนเดี๋ยวสคริปมันเปลี่ยนให้เอง)
dst port: 80
dst address type : local
action : dstnat
toaddress : 10.5.50.250 (ไอพีเครื่องเซิฟ)
toport : 80 (พอร์ตเครื่องเซิฟ)
comment : fwport
เสร็จแล้วจะได้ 2 บรรทัดตามรูป
sssss

3.ทำ Bilding เพื่อให้เครื่อง server ไม่ต้อง login hotspot
-ไปที่ ip > hotspot > ip blinding
-ใส่ MAC ADDRESS การ์ดแลนเครื่อง server , address : 10.5.50.250 (ip เครื่องserver) , bypassed
sssssss

4.เปลี่ยน port winbox on web (RouterOS router configuration page) จาก 80 ให้เป็น 81 เพื่อไม่ให้ชนกับระบบ hotspot , forward port 80
-ไปที่ ip > service > คลิก www , เปลี่ยนจาก 80 เป็น 81 ตามรูป
sssssssss

* สามารถใช้วิธีนี้ในการ Forward port อื่นๆที่นอกจาก 80 ได้นะ แค่เปลี่ยนตัวเลข

มีสคริบที่เกี่ยวข้องคือ
1.อัพเดท ddns no-ip (ผู้อ่านสามารถหาโหลดได้เอง)
2.**สคริบ อัพเดท WANIP สำหรับทำ NAT LOOPBACK
ผู้อ่านสามารถอ่านวิธีการเพิ่มscript และทำตั้งเวลารัน ได้ในบทความก่อนๆ

สคริปที่ใช้อัพเดท WANIP สำหรับทำ NAT LOOPBACK

:local inetinterface “ใส่ชื่อ interface เน็ตที่ใช้ เช่น pppoe-out1″
:local currentIP [/ip address get [find interface=”$inetinterface” disabled=no] address]
/log info “$currentIP”
/ip firewall nat set [/ip firewall nat find comment=”fwport”] dst-address=”$currentIP”

สคริปที่ใช้อัพเดท DDNS no-ip แถมให้

# No-IP automatic Dynamic DNS update
#————— Change Values in this section to match your setup ——————

# No-IP User account info
:local noipuser “ใส่userno-ip”
:local noippass “ใส่พาสเวิดno-ip”

# Set the hostname or label of network to be updated.
# Hostnames with spaces are unsupported. Replace the value in the quotations below with your host names.
# To specify multiple hosts, separate them with commas.
:local noiphost “ใส่ชื่อโดเมน noip”

# Change to the name of interface that gets the dynamic IP address
:local inetinterface “ใส่ชื่อ interface เน็ตที่ใช้ เช่น pppoe-out1″

#————————————————————————————
# No more changes need

:global previousIP

:if ([/interface get $inetinterface value-name=running]) do={
# Get the current IP on the interface
:local currentIP [/ip address get [find interface=”$inetinterface” disabled=no] address]

# Strip the net mask off the IP address
:for i from=( [:len $currentIP] – 1) to=0 do={
:if ( [:pick $currentIP $i] = “/”) do={
:set currentIP [:pick $currentIP 0 $i]
}
}

:if ($currentIP != $previousIP) do={
:log info “No-IP: Current IP $currentIP is not equal to previous IP, update needed”
:set previousIP $currentIP

# The update URL. Note the “\3F” is hex for question mark (?). Required since ? is a special character in commands.
:local url “http://dynupdate.no-ip.com/nic/update\3Fmyip=$currentIP”
:local noiphostarray
:set noiphostarray [:toarray $noiphost]
:foreach host in=$noiphostarray do={
:log info “No-IP: Sending update for $host”
/tool fetch url=($url . “&hostname=$host”) user=$noipuser password=$noippass mode=http dst-path=(“no-ip_ddns_update-” . $host . “.txt”)
:log info “No-IP: Host $host updated on No-IP with IP $currentIP”
}
} else={
:log info “No-IP: Previous IP $previousIP is equal to current IP, no update needed”
}
} else={
:log info “No-IP: $inetinterface is not currently running, so therefore will not update.”
}

โพสท์ใน Mikrotik | แสดงความเห็น

ขั้นตอนการ Modify Windows7 ให้มีขนาดเบาบาง ด้วยโปรแกรม RT7Lite ฉบับผมเอง

ขั้นตอนการ Modify Windows7 ให้มีขนาดเบาบาง ด้วยโปรแกรม RT7Lite ฉบับผมเอง

เคยไหมที่บางครั้งเราอยากจะลง Windows OS ที่ไม่กินทรัพยากรณ์เครื่องคอม หรือ ลงกับเครื่องคอมยุคปี 2003 ที่มีแรม DDR 512MB , CPU Pentium บ้าง , Harddisk IDE 6GB ความจริง สเปคนี้ลงได้สุงสุดแค่ Windows XP SP2 แต่วันนี้เราจะมาโมเจ้า Windows7 ให้ลงกับเครื่องสเปคต่ำๆกันนะครับ และเป็น Release ล่าสุดจาก Microsoft ด้วย^^

เครื่องสาธิตวันนี้ จะใช้์Notebook ACER ASPIRE 3600 SPEC ไม่เป็นที่เปิดเผยครับ

อย่างแรกต้องมี เครื่องมือและโปรแกรมให้ครบก่อนดังนี้ครับ

1.ตัว RT7Lite ตัวนี้เป็นพระเอกในวันนี้เลย ดาวโหลดจาก
http://www.rt7lite.com/downloads.html

2.AutoPatch Windows Update Downloader ดาวโหลดจาก
http://www.autopatcher.com/forums/topic/2462-autopatcher-updater-apup-download

และสิ่งที่ขาดไม่ได้คือ ต้นฉบับ ISO Windows 7 ที่เราจะเอามาโมนะครับ Release อะไรก็ได้ แต่ตอนนี้ผมมี Windows7 Ultimate ตัวอย่างก็เลยเป็น Ultimate แบบฉบับ RAM512MB นะครับ

1.ต่อมาเรามาเริ่มหั่น Windows7 โดยเปิดโปรแกรม rt7lite แล้วกด Browse ไฟล์ iso และเลือก Folder ที่ไว้แตกไฟล์ iso ครับ

เมื่อเลือกเสร็จแล้วจะมีให้เลือก Release ของไฟล์ ISO ครับ เช่น Windows Starter,Windows Professional ตัวอย่างนี้ผมขอเลือก Windows Ultimate ครับ

2.จากนั้นคลิก Task และ และเลือก Custom ดังรูป

3.คลิก Integration เพื่อใส่ Patch Windows Update ให้ Windows7 Modify ครับ ที่ได้จากโปรแกรม AutoPatch ครับ

4.ขั้นตอนต่อไปนี้เป็นขั้นตอนที่สำคัญครับ เพราะเป็นการเลือก Feature Removal และ Service ออก

ตามที่ต้องการ โดยผมจะเลือกในแบบฉบับของผมเองครับ และตัดโปรแกรมที่ไม่เคยใช้ออก แค่นี้ก็ทำให้ Windows7 มีขนาดเล็กลง และใช้ Ram น้อยลงอย่างมากครับ

สามารถแบ่งการ Modify ออกเป็น 2 อย่างครับ

Service = ตัด Process เพื่อลดการใช้ RAM
Program & Feature & Driver = ลดพื้นที่ติดตั้ง Windows7

ท่านสามารถคลิกเลือก ตามใจชอบ หรือเลือกตามผมไปก่อนก็ได้ครับ

*Service & Feature บางข้อไม่สามารถตัดได้นะครับ เพราะจะทำให้ Windows ไม่ทำงาน สังเกตง่ายๆ จะใช้ชื่อที่เราไม่คุ้นตา หรือตัวอักษรสีแดงครับ

5.กด Apply และคลิก Commit เพื่อทำการตัด Service และใส่ Patch Windows Update ลงใน Folder ครับ

6.เมื่อเสร็จแล้วขั้นตอนสุดท้ายก็สร้างไฟล์ ISO ครับ และสร้างเสร็จท่านสามารถทดสอบกับ VMWARE หรือ Write DVD เพื่อติดตั้งวินโดว์จริงๆก็ได้ครับ

เปรียบเทียบขนาดไฟล์ ก่อน Modify และหลัง Modify ISO ครับ

Before = 2.4GB
AFTER!!! = 1.9GB

เสร็จแล้วครับ ทดสอบแล้ว ใช้แรมน้อยมาก และเร็วใช้ได้ครับ

หวังว่าบทความนี้จะเป็นประโยชน์ต่อผู้อ่านนะครับ

sssd

4444

2012-03-01 23.37.00

SAMSUNG

SAMSUNG

SAMSUNG

SAMSUNG

133

13-1024x575

3

2

โพสท์ใน windows | ติดป้ายกำกับ , | แสดงความเห็น

Loadbalance 2 WAN หลาย LAN,Hotspot

Mikrotik Loadbalance For Home (2WAN PPPoE+StaticIP) ออกเป็นหลาย LAN , HOTSPOT

Ether1=PPPoE From ISP Modem
Ether2=Fix IP From ISP Router
Ether3=HOMELAN
Ether4=HOTSPOT
…..อื่นๆ

ตัวหนาสิ่งที่ต้องแก้

1.สร้างconnection pppoe,static ip สำหรับเน็ตสองเส้น (pppoe-out1,ether2)

2.สคริบแบ่งน้ำหนัก Loadbalance แบบ PCQ แก้ไข เลข 4=จำนวนบรรทัดของ per-connection-class 0-4..ลำดับบรรทัดเริ่มจาก0 แบ่งตามอัตราส่วน เช่น เน็ต 10เม็กสองเส้น อัตราส่วนคือ 1:1 ดังนั้นออกเน็ต 1 ครั้ง และเน็ตที่สอง 1 ครั้ง
หรือ เน็ต20เม็ก 1 เส้น กับเน็ต 10เม็ก 1 เส้น อัตราส่วนคือ 2:1 ต้องออกเน็ตเส้นแรก 2 ครั้งแล้วออกเน็ตเส้นสอง 1 ครั้ง

/ip firewall mangle add chain=prerouting dst-address-type=!local hotspot=auth per-connection-classifier=both-addresses-and-ports:ใส่เลขจำนวนบรรทัดperconnectionclass/0 new-routing-mark=ether1_conn(ออกเน็ตเส้นที่สอง) src-address-list=LAN
/ip firewall mangle add chain=prerouting dst-address-type=!local hotspot=auth per-connection-classifier=both-addresses-and-ports:ใส่เลขจำนวนบรรทัดperconnectionclass/1 new-routing-mark=ether2_conn(ออกเน็ตเส้นที่สอง) src-address-list=LAN

3.Default Route สำหรับ ether2 Fix IP
/ip route
/ip route add dst-address=0.0.0.0/0 gateway=ไอพีRoutether2 routing-mark=ether1_conn distance=1 check-gateway=ping
/ip route add dst-address=0.0.0.0/0 gateway=pppoe-out1 routing-mark=ether2_conn distance=1 check-gateway=ping

4.IPv4 NAT ตามจำนวน WAN
/ip firewall nat
/ip firewall nat add chain=srcnat out-interface=pppoe-out1 action=masquerade src-address-list=LAN
/ip firewall nat add chain=srcnat out-interface=ether2 action=masquerade src-address-list=LAN

5.เพิ่ม Address List ของ ไอพีภายใน hotspot หรือ lan ของระบบท่านให้ครบท้วน และตั้งชื่อว่า LAN เพื่อจะได้ใช้กับกฏ Loadbalance
/ip firewall address-list
add address=ใส่ipnetworkของhomelanของท่าน/เลขพรีฟิกส์ซับเน็ต list=LAN
add address=ใส่ipnetworkของhotspotของท่าน/เลขพรีฟิกส์ซับเน็ต list=LAN

สำหรับ Internetแบบfix ip จะเช็คการ down โดย ping ไอพีrouterนั้นแต่กรณี internet ล่มจะเช็คไม่ได้ ให้เขียนสคริบเพิ่ม อ้างอิงตามนี้ http://www.soravit.in.th/wp/basic-failover-uninet-by-mikrotik-netwatch/

วิธีเอาคำสั่งไปรัน กด Terminal แล้วพิมพ์ใส่

โพสท์ใน Mikrotik | 2 ความเห็น

(Rebuild) Minihotspot Mikrotik Ubuntu 14.0.2LTS LE

MinihotspotMT BillingPlan Radius server user management (Lightweight edition)

======== ChangeLog ===========
Minihotspot1.2 Mikrotik Ubuntu12 >> Minihotspot1.2 Mikrotik Ubuntu14

========== Feature =========
– Rebuild For Ubuntu 14.0.2LTS amd64 server
– Support 802.1x WPA2-Enterprise (PEAP)
– Support Offline install
– Support Mikrotik Hotspot,PFSense
– ใช้งานได้เฉพาะ ชั่วโมง/ครั้ง **
– Lightweight edition ลดความสามารถลงเพื่อใช้งานได้เร็วขึ้น **

======== Download ===========
http://www.soravit.in.th/RBMHT1214.zip

*โปรดแก้ไขไฟล์ install โดยลบบรรทัด dkpg -i และให้ลบ # หน้าบรรทัด #apt-get install ไม่อย่างนั้นจะติดตั้งไม่ผ่าน (2015-10-08)

คนนี้ไม่ใช่คนพัฒนาคนแรก แต่เป็นคน Rebuild แก้ไขปรับแต่งเพื่อความอยู่รอด ทันตามยุคสมัย เปรียบเหมือนรถคันเก่าที่นำมาแต่งเพื่อให้วิ่งได้เหมือนเดิม ถึงบางอย่างจะใช้งานไม่ได้ เช่นที่ปัดน้ำฝนไม่มีแล้ว 4 ปีที่ผ่านมากับตัวนี้ ดังนั้น ปัญหาส่วนใหญ่ที่เกี่ยวกับผู้พัฒนาเดิมทำไว้ ไม่ขอตอบ

ต้นฉบับโปรแกรม (ปี2011)
http://www.linuxthai.org/showthread….B8%A5%E0%B8%A2

ผลงาน Rebuild ที่ผ่านมา
– Minihotspot1.2 Mikrotik Ubuntu14 (Last)
– KrucomchanMT Ubuntu14 (Last)
– Minihotspot Ubuntu12 (EndOfLife)
– MinihotspotMT Ubuntu12 (EndOfLife)
– Krucomchan Ubuntu12 (EndOfLife)
– KrucomchanMT Ubuntu12 (EndOfLife)

Ref. http://www.soravit.in.th/

โพสท์ใน Ubuntu | แสดงความเห็น

(Rebuild) KruComChanMT Ubuntu 14.0.2LTS

KruComChanMT Simple Radius server user management
======== ChangeLog ===========
Krucomchan1.0 for ClearOS (EOL) >> KrucomchanMT for Ubuntu 12 (EOL) >> KrucomchanMT for Ubuntu 14 (End)
========== Feature =========
– Rebuild For Ubuntu 14.0.2LTS amd64 server
– Support 802.1x WPA2-Enterprise (PEAP)
– Support Offline install
– Support Mikrotik Hotspot,PFSense
======== Download ===========
http://www.soravit.in.th/RBKKCMT14.zip

เลิก support ณ วันนี้ เนื่องจากปัญหาเรื่อง securiry และ support php ที่หมดอายุ ทำครั้งนี้เป็นครั้งสุดท้าย
ยุคสมัยเปลี่ยนอะไรก็ย่อมเปลี่ยนแปลงตาม เราจะไม่ลืมนาย CoovaChilli,มบูรพา

ผลงาน Rebuild ที่ผ่านมา
– KrucomchanMT Ubuntu14 (Last)
– Minihotspot Ubuntu12 (EndOfLife)
– MinihotspotMT Ubuntu12 (EndOfLife)
– Krucomchan Ubuntu12 (EndOfLife)
– KrucomchanMT Ubuntu12 (EndOfLife)

โพสท์ใน Ubuntu | แสดงความเห็น

Mikrotik Loadbalance เน็ตสองเส้น (PPPoE+StaticIP) 1 LAN

Mikrotik Loadbalance For Home 1 LAN

Ether1=PPPoE From ISP Modem
Ether2=Fix IP From ISP Router
Ether3=HOMELAN

ตัวหนาสิ่งที่ต้องแก้

1.สร้างconnection pppoe,static ip สำหรับเน็ตสองเส้น (pppoe-out1,ether2)

2.สคริบแยกข้อมูลตาม wan ขาเข้าไปยัง mikrotik
/ip firewall mangle
/ip firewall mangle add chain=input in-interface=pppoe-out1 action=mark-connection new-connection-mark=ether1_conn
/ip firewall mangle add chain=input in-interface=ether2 action=mark-connection new-connection-mark=ether2_conn

2.สคริบแยกข้อมูลตาม wan ขาออกจาก mikrotik
/ip firewall mangle add chain=output connection-mark=ether1_conn action=mark-routing new-routing-mark=to_ether1
/ip firewall mangle add chain=output connection-mark=ether2_conn action=mark-routing new-routing-mark=to_ether2

3.สคริบยอมให้ homelan เข้าไป network เดียวกันกับ ether2 ได้ (PPPoEไม่ต้อง)
/ip firewall mangle add chain=prerouting dst-address=พิมพ์networkของether2ลงไปและตามด้วยprefix action=accept in-interface=ether2

4.สคริบแบ่งน้ำหนัก Loadbalance แบบ PCQ แก้ไข เลข 4=จำนวนบรรทัดของ per-connection-class 0-4..ลำดับบรรทัดเริ่มจาก0 แบ่งตามอัตราส่วน เช่น เน็ต 10เม็กสองเส้น อัตราส่วนคือ 1:1 ดังนั้นออกเน็ต 1 ครั้ง และเน็ตที่สอง 1 ครั้ง
หรือ เน็ต20เม็ก 1 เส้น กับเน็ต 10เม็ก 1 เส้น อัตราส่วนคือ 2:1 ต้องออกเน็ตเส้นแรก 2 ครั้งแล้วออกเน็ตเส้นสอง 1 ครั้ง

/ip firewall mangle add chain=prerouting dst-address-type=!local in-interface=ether3 per-connection-classifier=both-addresses-and-ports:ใส่เลขจำนวนบรรทัดperconnectionclass/0 action=mark-connection new-connection-mark=ether1_conn(ออกเน็ตเส้นที่สอง) passthrough=yes
/ip firewall mangle add chain=prerouting dst-address-type=!local in-interface=ether3 per-connection-classifier=both-addresses-and-ports:ใส่เลขจำนวนบรรทัดperconnectionclass/1 action=mark-connection new-connection-mark=ether2_conn(ออกเน็ตเส้นที่สอง) passthrough=yes

5.สคริบแยกข้อมูลที่มาจาก wanต่างๆให้ออกตาม wanนั้นๆ โดยถูกต้อง
/ip firewall mangle add chain=prerouting connection-mark=ether1_conn in-interface=ether3 action=mark-routing new-routing-mark=to_ether1
/ip firewall mangle add chain=prerouting connection-mark=ether2_conn in-interface=ether3 action=mark-routing new-routing-mark=to_ether2

6.Default Route สำหรับ ether2 Fix IP
/ip route
/ip route add dst-address=0.0.0.0/0 gateway=ไอพีRoutether2 routing-mark=to_ether1 check-gateway=ping
/ip route add dst-address=0.0.0.0/0 gateway=pppoe-out1 routing-mark=to_ether2 distance=1 check-gateway=ping

7.IPv4 NAT ตามจำนวน WAN
/ip firewall nat
/ip firewall nat add chain=srcnat out-interface=pppoe-out1 action=masquerade
/ip firewall nat add chain=srcnat out-interface=ether2 action=masquerade

สำหรับ Internetแบบfix ip จะเช็คการ down โดย ping ไอพีrouterนั้นแต่กรณี internet ล่มจะเช็คไม่ได้ ให้เขียนสคริบเพิ่ม อ้างอิงตามนี้ http://www.soravit.in.th/wp/basic-failover-uninet-by-mikrotik-netwatch/

วิธีเอาคำสั่งไปรัน กด Terminal แล้วพิมพ์ใส่

** อีกวิธีนึงซึ่งมีภาพประกอบ แต่คล้ายๆกัน ของ ครูเก่ง
(2WAN PPPoE+StaticIPLoad-BalanceHotspot_PPPOEWan2)

โพสท์ใน Mikrotik | ติดป้ายกำกับ | 1 ความคิดเห็น

PFSense HA การทำ Backup firewall concept

pfsense_example

บทความนี้ผมเขียนไว้กันลืมตอนสมัยที่ยังเรียนเรื่อง VRRP อยู่ ซึ่งใน PFSense ก็จะมีความสามารถนี้และเรียกอีกชื่อเป็นของตัวเองว่า CARP

โดย VRRP จะใช้กับ Cisco,HP,Mikrotik หรืออุปกรณ์ทั่วไปแต่ CARP จะใช้เฉพาะ PFSense ด้วยกัน หลักการก็ไม่หนีกันมาก มี Firewall อยู่สองเครื่อง เครื่องแรกจะทำงานตลอดเรียก Master เครื่องที่สองจะเป็นตัวสำรอง (เหมือนผู้ชายที่เป็นตัวสำรองของผู้หญิง) เรียก Slave หรือทั้งคู่จะช่วยกันทำงานก็ได้ (สามารถเซ็ตได้ คล้ายๆกับ Bonding Interface) โดยจะมีการ Check ซึ่งกันและกัน ถ้าตัวหลักเสีย ตัวที่สองก็จะทำงานแทนมีข้อมูลที่แลกเปลี่ยนด้วยกัน Sync ตลอด ทำให้การเชื่อมต่อนั้นสะดุดน้อยที่สุด และให้ Admin มาแก้ไขเพื่อให้ตัวหลักกลับมาทำงานเหมือนเดิม

*VRRP จะมีเรื่อง Group ด้วยและสามารถทำ Load balancing กันได้

การทำ HA หรือ High Avality ต้องเข้าใจถึงเรื่อง Redundant และความเสียหายถ้าเกิด Downtime ก่อน เช่น การทำ CARP เพื่อป้องกันไม่ให้ Firewall หยุดทำงาน แต่ถ้า ISP Down สุดท้ายก็ไม่ได้ช่วยอะไรอยู่ดี จึงควรออกแบบ DC ให้เป็นไปตาม Tier1-4 เพื่อให้เกิดประสิทธฺภาพสูงสุด

เข้าเรื่อง VRRP/CARP การทำงานจะมีการจำลอง Virtual IP Address ขึ้นมาหนึ่งตัวเพื่อใช้ในการติดต่อแทน โดย Virtual IP นี้ จะทำการเชื่อมโยง Packet ไปให้ IP Address จริงๆของ Firewall อีกที กรณี Firewall เสีย ก็จะไม่ต้องเสียเวลานั่งเปลี่ยน IP Address ที่เครื่องลูกข่ายเพื่อใช้ Firewall ตัวสำรอง ข้อดีอยู่ตรงนี้แหละครับ ตามรูปภาพเลย

สุดท้ายระบบที่ต้องการ HA สูงๆ หรือบริการงานที่สำคัญควรจะมีการออกแบบส่วนนี้ไว้ด้วยครับ กันไว้ดีกว่าแก้ สวัสดีครับ

โพสท์ใน pfsense | ติดป้ายกำกับ , | แสดงความเห็น

บ้านฉันมี IPv6 แล้ว โดย Mikrotik

ipv6_ready_logo

World_IPv6_launch_banner_128

วันหยุดพักผ่อนสบายๆ แต่เนื้อหาที่จะเล่าคือ IPv6 ซึ่งไม่สบายอย่างที่คิด บทความนี้เป็นบทความตอน Update แล้วครับใช้งานได้จริงและรองรับอนาคตที่จะมาถึงด้วยครับ รีบชิงทำก่อน ISP จะเปลี่ยนระบบทั้งหมดใหม่ดีกว่า

สิ่งที่ต้องมีคือ INTERNET ที่มี Public IPv4 แบบ FixหรือDynamic IP เพื่อให้ Tunnel สามารถทำงานได้ ถ้าเป็น LargeScale NAT ใช้งานไม่ได้ จบข่าว ตัวอย่างบ้านผม ผมใช้ TOT ADSL ครับ สบายๆผ่านฉลุย

rb951ui-2hnd-3

และ Mikrotik Router ที่ทำหน้าที่ Gateway ให้กับบ้าน (ไม่มีระบบ Hotspot,ต้องเป็น IP จริงจากการ Bridge ไม่ใช่ รับเน็ตแบบ DHCPมา)

6in4_tunnel

จากรูปยังคงใช้ Tunnel 6in4 เหมือนเดิมครับที่เหมาะสมที่สุด และสามารถเซ็ตให้เป็น IPv4/6 Dualstack ง่ายๆ โดยถ้าเว็บที่เป็น v4 ก็จะใช้ ipv4 เข้าไป ถ้าเว็บไหนเป็น ipv6 เช่น facebook,twitter,instagram,google ก็จะใช้ ipv6 ซึ่ง ipv6 Tunnel เราจะไปโผล่ที่ สิงคโปรเป็นที่ใกล้สุดครับ ดังนั้นความเร็วทั้งหมดที่ใช้งานได้ (Throughput) ขึ้นอยู่กับระบบเครือข่าย IPv4 เดิมที่ใช้อยู่ทุกวันนี้

ต่อมาคือไปใช้บริการ IPv6 Broker ครับ ตัวอย่างนี้ใช้ของ Hurricane Electronic (ยืม IPv6 เขาใช้และทางออกของเขา ยังไม่ได้เป็น IPv6 ที่ดีที่สุดเหมือนแบบ Native) เข้าเว็บไซต์ https://tunnelbroker.net/ และสมัคร Account ให้เรียบร้อย

1

เข้าสู่ระบบให้เรียบร้อยจะขึ้นหน้าจอดังรูป

คลิก Create Regular Tunnel ใส่ Public IPv4 ของบ้าน ณ ขณะนั้นลงไป (ดูจาก http://checkip.narak.com)
2

เสร็จแล้วจะได้ประมาณนี้ จะได้ prefix /64 มาให้ใช้ในบ้านชุดนึง ซึ่งตัวนี้สามารถ Advertise (แจกไอพีออโต้เหมือน dhcp v4) ให้กับเครื่องในบ้านใช้ได้เลย แต่ก็สามารถขอ prefix /48 มาใช้ได้ ซึ่ง /48 จะไม่สามารถ Advertise (แจกไอพีออโต้เหมือน dhcp v4) ได้ด้วยตัวเอง ต้องพึ่ง DHCPv6 Server
3

คลิก Example Mikrotik แล้วก๊อบปี้
4

เปิด Winbox แล้วเปิด Terminal แล้ว Paste จะได้ sit1 ขึ้นมาใหม่ใน Interface ที่ใช้เป็น Tunnel
55

ไปที่ IPv6 Address กด + แล้วก๊อบบรรทัด /64 จากเว็บ tunnelbroker มาใส่ ติ๊กถูก Advertise
66

ไปที่ IPv6 Route กด + เลือกตามรูป
7

เพิ่มเติมเฉพาะเน็ตที่ IP เปลี่ยนตลอด ให้ใช้ Script Update ด้านล่างนี้ แก้ไขข้อมูลให้เสร็จก่อน ข้อมูลดูจาก tunnelbroker

# Update Hurricane Electric IPv6 Tunnel Client IPv4 address
# Fix bug by soravit 2015

:local HEtunnelinterface “sit1”
:local HEtunnelid “ใส่tunnelid”
:local HEuserid “ใส่username”
:local HEmd5pass “ใส่apikeyดูจากtab advance”
:local HEupdatehost “ipv4.tunnelbroker.net”
:local HEupdatepath “/nic/update”
:local WANinterface “ใส่ชื่อinterfaceAdslตัวอย่างpppoe1”
:local outputfile (“HE-” . $HEtunnelid . “.txt”)

# Internal processing below…
# ———————————-
:local HEipv4addr

# Get WAN interface IP address
:set HEipv4addr [/ip address get [/ip address find interface=$WANinterface] address]
:set HEipv4addr [:pick [:tostr $HEipv4addr] 0 [:find [:tostr $HEipv4addr] “/”]]

:if ([:len $HEipv4addr] = 0) do={
:log error (“Could not get IP for interface ” . $WANinterface)
:error (“Could not get IP for interface ” . $WANinterface)
}

# Update the HEtunnelinterface with WAN IP
/interface 6to4 {
:if ([get ($HEtunnelinterface) local-address] != $HEipv4addr) do={
:log info (“Updating ” . $HEtunnelinterface . ” local-address with new IP ” . $HEipv4addr . “…”)
set ($HEtunnelinterface) local-address=$HEipv4addr
}
}

:log info (“Updating IPv6 Tunnel ” . $HEtunnelid . ” Client IPv4 address to new IP ” . $HEipv4addr . “…”)
/tool fetch mode=https \
host=($HEupdatehost) \
url=(“https://” . $HEupdatehost . $HEupdatepath . \
“?username=” . $HEuserid . \
“&password=” . $HEmd5pass . \
“&hostname=” . $HEtunnelid) \
dst-path=($outputfile)

:log info ([/file get ($outputfile) contents])
/file remove ($outputfile)

ไปที่ System script กด + กดวางที่แก้ไขแล้วตามรูป
8

ทำให้ Script ทำงานเป็นช่วงๆ ไปที่ System schedule เพิ่มตามรูป
9

ทดสอบ
11111
2222

ผ่าน

ข้อสังเกตุ
1.IPv4 ต้องอับเดทให้ตรง และใช้งานผ่าน Largescale NAT ไม่ได้
2.ความเร็วขึ้นอยู่กับแบนวิดของ Tunnelbroker ว่าหนาแน่น ณ ขณะนั้นเท่าไร และขึ้นอยู่กับความเร็วเดิม
3.เป็น Dualstack ถ้า V6 ก็จะวิ่งไป 6 ถ้าเป็นเว็บ v4 ก็จะวิ่ง v4 ทางเก่า
4.DNSv6 Server ใช้ของ v4 เดิมได้ หรือตั้ง 8.8.8.8 ก็ได้
5.ควรระวังเรื่องความปลอดภัย เพราะ V6 จะเข้าถึงอุปกรณ์ได้โดยตรง ทั้ง Remote desktop หรืออื่นๆในคอมที่ใช้งาน

โพสท์ใน Mikrotik | ติดป้ายกำกับ | แสดงความเห็น