EoIP over VPN Mikrotik

จะมาทำเรื่อง EoIP over VPN นะครับ ซึ่งมีประโยชน์ยังไง

ถ้าเป็น VPN ปกติ นั้นจะข้ามฝากไปได้คือ IP Routing ข้ามกันเท่านั้น พวกเครื่องปริ้นแชร์ไฟล์ Network discovery หรือแม้กระทั่ง เล่น Warraft DOTA มันทะลุ IP Routing ไม่ได้ เพราะมันรู้จักแค่ Layer2 หรือ ต้อง LAN เดียวกัน Network เดียวกัน Subnet เดียวกันนั่นเองครับ

โดย Mikrotik เขาคิด EoIP มาเพื่อโยน Traffice Layer2 ข้ามฝากผ่าน Routing ได้นั่นเอง และใช้ได้เฉพาะ Mikrotik เท่านั้นครับ (Cisco มี GRE Tunnel)

เปรียบเสมือนเอาสายแลนไปจิ้มเข้ากบัสวิตหลักแล้วกระจายไปนั่นเอง ดังนั้น DHCP Server Packet นั้นทะลุผ่าน EoIP แน่นอนครับ

ซึ่ง EoIP ก้สามารถผ่าน VPN ได้เหมือนกัน เริ่มต้นจากรูปก่อนครับ
111

HQ Router
Ether1=PPPoE Internet
Ether2=ไม่ต้องตั้งไอพีใส่
Bridge= ตั้ง IP ที่ interface นี้ และทำ dhcp ใส่อันนี้ ให้ เล่นเน็ตได้ *** ขั้นแรกให้ สร้าง Bridge Interface รอก่อน
220

Branch Router
Ether1=PPPoE Internet
Ether2=HQ DHCP LAN ไม่ต้องทำ NAT / Dhcp server เพราะจะใช้ของ HQ ไม่ต้อง ADD IP ให้ Ether2

Bridge Interface : HQ DHCP + EoIP

โดยจะมี Network เดียวกันคือ 10.0.0.0/24 และมี HQ Router ทำหน้าที่ แจก DHCP จุดเดียว แต่ Branch ก็ได้รับไอพีเดียวกันครับ

ฝั่ง HQ

1.สร้าง L2TP Server Interface
112

2.สร้าง L2TP User ให้ฝั่ง Branch เข้ามาได้
113

3.เปิด L2TP Server
8

4.สร้าง EoIP Interface
114

5.สร้าง Bridge เพื่อเชื่อมท่อทั้งหมดเป็นท่อเดียว
115
116

ฝั่ง Branch
1.สร้าง l2tp client
117

2.สร้าง eoip
118

3.สร้าง Bridge เพื่อเชื่อม
115
116

4.ทดสอบ เสียบสายแลนที่ ether2 ว่าได้ไอพี 10.0.0.xx จาก HQ หรือไม่
119

ถึงอยู่ข้ามโลกก็สามารถ เล่น DOTA กับเพื่อนๆได้ครับ (อันนี้ไม่ใช่จุดประสงค์หลัก)

โพสท์ใน Mikrotik | ติดป้ายกำกับ , | แสดงความเห็น

OSPF over VPN Site-to-Site Mikrotik

22

จากตอนเดิมที่เขียนบทความไว้ VPN Site-to-Site L2TP แล้ว จะมาต่อยอดด้วย OSPF กันนะครับ

ซึ่งขอให้ท่านย้อนกลับไปทำ VPN บทความก่อนหน้าให้เสร็จเสียก่อน เพราะเนื้อหาต่อเนื่องกัน

ในฝั่ง HQ ให้ท่าน Add Interface PPP> L2TP Server ด้วยนะครับ เพื่อสร้าง interface ให้ OSPF วิ่งได้ อย่าลืม
19

จากเดิมที่เคย Add Route ด้วยมือ (Static Route , IP > Route) จะเปลี่ยนเป็นใช้ OSPF กันนะครับ ดังนั้นต้องลบ Routing ที่เคยตั้งไว้ออกให้หมดทั้งสองฝั่งก่อน

ฝั่ง HQ
12
ฝั่ง Branch
13

ซึ่ง OSPF ที่จะทำจะทำแบบง่ายแบบ Area เดียวคือ Backbone area

ฝั่ง HQ ไปที่ Routing OSPF Instance,network
14
*Router ID ต้องไม่ซ้ำกันในระบบ OSPF,Area นั้น และต้องเป็น IP ที่มีอยู่จริงและทำหน้าที่ loopback interface ได้ ในรูปใช้ IP ของ VPN L2TP แทนได้เลย
15

ฝั่ง Branch ทำคล้ายๆกัน แค่เปลี่ยน Router ID เป็น 192.168.100.2 และประกาศ Network ของ Branch ออกไปให้เพื่อนบ้านรู้
16
17

ถ้าทำสำเร็จก็จะเจอ Neighbor และ Instance L2TP Running ขึ้นเอง ทั้ง HQ , Branch
18

ทดสอบปิงหา Branch ก็เจอกันเหมือนเดิม

เพิ่มเติมความรู้
ถ้าเป็นพวก Dynamic Routing Protocol distance มันจะมากครับ เพราะ ความสำคัญจะต่ำ เนื่องจากเปลี่ยนแปลงได้ตลอดเวลา และถ้า เป็น Static Route ความสำคัญจะสูง Distance ก็เลย 0-1 บนๆ สูงเพราะมนุษย์เราบอกให้ router เอง ตัวเลข Distance มีค่าน้อย คือสำคัญสุดครับ มันจะไปทางนั้นก่อน ถ้าทางนั้น down ถึงจะไป distance ที่มากกว่าแทน (หลักการเดียวกับ Fail over)
21

โพสท์ใน Mikrotik | ติดป้ายกำกับ , | แสดงความเห็น

How to VPN Site-to-Site Mikrotik

บทความตอนนี้เน้นทำให้ดู ไม่เน้นอธิบายที่มานะครับ

ทำระบบดังรูป

23

HQ = สนง แม่
Branch = สนง ลูก

ไอพีภายใน
HQ = 10.0.0.1/24
Branch = 10.1.1.1/24

ไอพี L2TP Interface สำหรับให้ 2 L2TP คุยกัน
HQ = 192.168.100.1
Branch = 192.168.100.2

อินเทอร์เน็ต
HQ,Branch = PPPoE ADSL

1

มาที่ HQ เปิด L2TP Server
8

กรณีจะใช้รัน OSPF ให้ เพิ่ม Interface L2TP แบบ Static ก็ทำได้ (1 user = 1 Interface จะเพิ่มไม่เพิ่มก็ได้ เพราะบางท่านอาจใช้ตัวนี้ รัน ospf)
20

สร้าง ppp user ให้อีกฝั่งเชื่อมต่อได้ และ Route ไปหา Branch โดยกำหนดไอพี L2tp เป็น 192.168.100.2 สำหรับ สนงลูกที่เข้ามา และให้ 192.168.100.1 เป็น IP L2TP Server สนง แม่
9

Bypass NAT Rule
4
จะมีเครื่องหมาย ถูกอยู่ด้านบนสุดในหน้านี้ครับ ในรูปนี้ช่วยสลับ Dst,Src ให้ด้วยนะครับ

===== ฝั่ง Branch =======

เพิ่ม L2TP Client
5

Bypass NAT เพื่อที่จะ Route ไปหา สนง แม่ (ถ้าไม่ต้องการให้ สนง ลูกติดต่อก็ ไม่ต้องเพิ่ม)
6

เพิ่ม Route ไปยัง สนง แม่ (ถ้าไม่ต้องการให้ สนง ลูกติดต่อก็ ไม่ต้องเพิ่ม)
7

ทดสอบปิงไปหา เครื่องคอมใน สนง ลูก
10

ทั้งหมดคือการทำแบบ L2TP (Layer2TrunkProtocol) ซึ่ง VPN มีหลายแบบ ถ้าเข้าใจหลักการแล้ว ไม่หนีกันมากครับ
ถ้านิยมก็ L2TP ที่มีความปลอดภัยระดับกลาง ถ้าเน้นปลอดภัย ต้องสร้าง Key จะเป็น IPSec , OpenVPN ครับ แต่ไม่แนะนำ PPTP

โพสท์ใน Mikrotik | ติดป้ายกำกับ | แสดงความเห็น

VPN คืออะไร

วันนี้มาอธิบาย VPN ง่ายๆครับ

ปัจจุบันแบ่งเป็น 2 แบบใหญ่ๆ

1.Client-to-Site VPN

แบบแรก คือเหมือนเอาคอมพิวเตอร์นั่งเล่นในออฟฟิตที่เชื่อมต่อไว้ จากที่ไหนก็ได้ที่มีเน็ต สามารถเข้าถึงทรัพยากรของออฟฟิตได้หมด (ขึ้นอยู่กับ Policy ของแต่ละที่ด้วย) ซึ่งจะแบ่งย่อยไปอีก 2 แบบ คือแบบ Routing และแบบ NonRouting

– Routing สังเกตุง่ายมาก ไอพีที่ได้รับจาก VPN จะเป็นคนละวงกับที่ออฟฟิตแต่สามารถใช้งานทรัพยากรภายในได้ปกติ เพราะมี routing table ใน vpn ฝังไว้
– Nonrouting แบบนี้ส่วนตัวผู้เขียนก็ชอบใช้ เพราะมันง่ายต่อการใช้งานมาก เหมือนเอาสายแลนไปเสียบในออฟฟิตเลย เป็นวงไอพีเดียวกัน แชร์เครื่องปริ้นก็จะขึ้นชื่อเลย หรือแชร์ไฟล์ก็สะดวกมาก (NetBios ทะลุมาได้) ตัวอย่าง คือ PPTP VPN ซึ่งไม่แนะนำให้ใช้เพราะมีความเสี่ยงด้านความปลอดภัย

2.Site-to-Site VPN แบบนี้จะใช้งานเฉพาะ Router-Router เท่านั้น โดยผู้ออกแบบระบบจะออกแบบเองว่าจะใช้ IP อะไรบ้าง Routing อะไรบ้าง และ Policy ต่างๆ แน่นอนว่าซับซ้อนแต่สะดวกสำหรับ ออฟฟิต กับ ออฟฟิตย่อย ที่คนภายในสามารถใช้งานทรัพยากรข้ามกันได้สบายๆ โดยมี router เป็นคนจัดการให้ทุกอย่าง ไม่ต้องเหนื่อยสร้าง connection บนเครื่องคอมเอง เหมือน Client to Site VPN

ประโยชน์ของ VPN มากหลาย เช่น ต้องการเข้าไป Remote คอมในสำนักงาน แต่ขี้เกียจไปสำนักงาน สามารถเข้าได้ถึงได้จากที่บ้านผ่านเน็ต (กรณี Client to Site VPN)

หรือจะเชื่อมเครือข่ายระหว่างสองที่เข้าด้วยกัน เช่น ออฟฟิตใหญ่ กับ ออฟฟิตย่อยๆๆๆ หลายที่ ก็ใช้ site-to-site vpn ทำครัย

ถ้ามีโอกาสจะพาทำ vpn บน Mikrotik นะครับ ทั้งสองแบบ

โพสท์ใน Mikrotik | ติดป้ายกำกับ | แสดงความเห็น

OSPF คืออะไร

วันนี้มาอธิบายง่ายๆเพื่อให้ท่านที่อ่านนั้นเข้าใจได้รวดเร็วเกี่ยวกับ OSPF คืออะไร ทำไมเกี๋ยวนี้เขานิยมพูดถึงกันมากแต่ดูเหมือนระบบของเรายังห่างไกลเหลือเกิน และจะมีวิธีผระยุกต์Mikrotik กีบ OSPF อย่างไรในระบบของแต่ละท่านกันครับ ผมขอเขียนอธิบายเฉพาะเนื้อหา ยังไม่ลงถึงวิธีการตั้งค่าครับ ถ้ามีโอกาสหน้าแวะมาติดตามที่นี่ได้

OSPF คือ Dynamic Routing Protocol แน่นอนว่าหลายท่านคงยังห่างกับคำว่า Routing พอสมควรเพราะเนื่องจากระบบส่วนใหญ่ยังไม่ซับซ้อนและไม่มีความจำเป็นที่ต้องใช้ครับ ให้นึกภาพว่า ท่านอยู่ในบ้าน เวลาท่านจะขับรถออกนอกบ้าน ท่านก็มีประตูเดียวใช่ไหมครับ เรื่องนี้ก็เหมือนกัน

สำหรับองค์กรที่ใช้ OSPF นั้น ส่วนใหญ่จะเป็นระบบที่ซับซ้อนมากๆ ก็เหมือนผมยกตัวอย่างว่า ท่านจะออกจากบ้าน แต่บ้านท่านมีประตูเชื่อมกับบ้านอื่นๆเป็นร้อยหลัง แล้วจะรู้ได้อย่างไรว่าประตูไหนมันผ่านได้ ประตูไหนปิดตาย และถ้าจะไปหาบ้านผู้ใหญ่จะเดินผ่านประตูบ้านใครได้บ้าง เริ่มน่าคิดแล้วใช่ไหมครับ ระบบใหญ่ๆก็เป็นลักษณะนี้เหมือนกัน ดะงนั้นเร้าเตอร์ก้ต้องมีฐานข้อมูลที่ใช้เก็บเส้นทาง ซึ่งเรียกว่า routing table นั่นเอง

ดังนั้น OSPF จึงถูกใช้กับ Router/Layer3 Switch ที่ถือ network หลายวงอยู่ในเครื่องเดียวอยู่ ผมขอยกตัวอย่าง สเกลระบบมหาวิทยาลัยขนาดใหญ่ครับ ว่ามันสามารถช่วยให้ แอดมินอย่างเราทำงานง่ายขึนอย่างไร

ในมหาลัยแห่งหนึ่ง จะมี Routerตัวใหญ่ ที่ทำหน้าที่เป็นศก.ให้กับระบบและเป็นประตูทางออกสู่โลกภายนอก อยู่หนึ่งเครื่อง สมมุติว่าไอพี 1.1.1.1 มือถือคอมจะต้องผ่านไอพีนี้ก่อนถึงออกไปจ๊ะเอ๋กับภายนอกได้

และเมื่อแยกย่อย จะมี router เล็กๆ แต่ละคณะภาควิชาละ 1 ตัว ซึ่งต่อจากตรงนี้ก็จะมี ไอพีภายในอีกหลายวงที่ใช้แจกจ่ายให้กับนักศึกษาในตึกนั้นได้ใช้ครับ

และมหาลัยไม่ได้มี แค่ router เครื่องเดียว วงแลนวงเดียว แต่มีเป็นร้อยวง ซึ่งแอดมินก็ต้องชี้เส้นทางใฟ้เองว่า ถ้าเอ็งจะไปตึกศิลป์ เอ็งจะต้องผ่าน เร้าเตอรเบอร์ 2.2.2.2 ก่อนถึงจะเข้าสู่ตึกศิลป์ได้ เพิ่มใน routing table ของทุกตัวในมหาลัย งานช้างละสิ ใครจะมีเวลานั่งว่าง ชี้เส้นทางให้เร้าเตอร์ทุกคนไปตึกศิลป์ได้ และถาสมมุติ เส้นทางระหว่าง 2.2.2.2 เสียละ ต้องแล่แก้ใหม่หมด คงสนุกแน่ๆ

เรียกระบบนี้ว่า static route แอดมินต้องเพิ่มด้วยมือทุกเครื่องเอง

ospf จึงเข้ามาช่วยในการแก้ปัญหานี้ไงครับ ฌดยให้ เร้าเตอร์แต่ละตัวประกาศตัวเองออกมา ผมนายa มีเน็ตเวิค 2.2.2.0/xx ถ้าจะเข้ามาใช้ให้ผ่าน นายb นาย cก่อนครับ

และเมื่อหลายๆเร้าเตอร์ต่างประกาศ กันอย่างว้าวุ่น ข้อมูลคงอัดเต็มสายแน่ๆ ดังนั้นเขาก็เลย แบ่งโซน ออกมาหลายๆโซน เรียกว่า area ซึ่งต้องขึเนอยุ่กับแอดมินว่า จะจัดให้อยุ่โซนไหน แนะนำคือ ถ้าผ่านเส้นทางเดียวกัน หลายๆทอดก้จัดให้อยู่ area เดียวกัน เวลาจะคุยกับเร้าเตอร์ใกล้ก้คุยได้เลยจะไม่ให้ไปรบกวน area อื่น และจะมี router ตัวแทนที่จะทำหน้าที่คุยกับ area อื่น เรียกว่า border area ครับ

เสียงในตลาดสดก็เงียบลงไปเยอะ

และการหาเส้นทางว่าวิ่งผ่านอะไรได้บ้าง ก้มาจากชื่อย่อเลยครับ ซึ่งมันจะใช้ระยะทางที่ใกล้ที่สุด และ มี cost น้อยที่สุด เป็นทางที่จะไป สรุปว่า มันเลือกทางที่ดีให้อัตโนมัติเอง ถ้าอยากลงลึก ใหห้ไปหาข้อมูลเองครับ

ospf เป็น dyn routing ที่ใช้ข้างในนะครับ ถ้าข้างนอกจะเป็นพวก BGP แล้ว ไว้ผมมีโอกาสจะมาเล่าให้ฟังอีก จึงเห็นได้ว่า คนส่วนใหญ่มักใช้ ospf วิ่งผ่าน tunnel vpn ต่างๆ เพื่อที่จะเข้าไป access ที่ต่างๆได้ง่ายขึ้น

สมมุติผมรับติดตั้งระบบ hotspot ให้กับหอพักทั่วไทย ผมมี router mikrotik อยู่เป็นร้อยเครื่อง จัดการยากแล้วใช่ไหม ดังนั้นถ้าผม จะเข้าไปหาเร้าเตอร์นั้น ซึ่งมีไอพีจริงเปลี่ยนตลอด หรือบางที่ก้ไม่มีให้ รีโมืก้ยาก ผมเลยทำการตั้ง vpn server กลางของผม และให้เร้าเตอร์ทุกตัวที้ผมวางระบบ เชื่อมต่อ vpn มาหา พร้อมกับรัน ospf ไปด้วยทุกตัว ทำให้ผมสามารถไปที่ไหนก้ได้ในระบบผมแล้ว เมื่เปลี่ยนเส้นทางก้ง่ายอีก ospf มีนฉลาดเปลี่ยนให้ทุกๆ… นาทีเอง สบายใจนั้งซดกาแฟ

สิ่งที่อยากแนะนำคือ เทคโนโลยีเปลี่ยนไปทุกๆวัน ทุกอย่างมีคุณและโทษ ถ้ารู้จักใช้ให้เป็นก็เกิดประโยชน์อย่างที่เห็นครับ และใครยังทำงานวงการนี้ ต้องวิ่งตามให้ทันครับ โลกมันเปลี่ยนตลอดเวลา เหมือนเทรนแฟชั่นเสื้อผ้าต่างๆ ครับ ยิ่งตามกระแสปัจจุบันท่าไรยิ่งขายดี

มาบ่นแค่นี้แหละครับ จริงๆ ospf ใช้กันระดับใหญ่ๆ แต่ก้มีระดับล่างหรือขนาดเล็กนำมาใช้บ้งแล้ว รู้ไว้ไม่เสียหายครับ

โพสท์ใน Mikrotik | ติดป้ายกำกับ , | 2 ความเห็น

Basic Failover Uninet By Mikrotik Netwatch

Capture

โพสท์ใน Mikrotik | ติดป้ายกำกับ , | แสดงความเห็น

Minihotspot1.2b for Mikrotik Ubuntu12

Original From Minihotspot1.2b Ubuntu10 By Guitar linuxthai
Mod by soravit

Download http://www.soravit.in.th/Minihotspot1.2b_MT_u12_soravit.zip

ถ้า เก็บ log ช้า ให้แก้ที่

By default rsyslog does a reverse dns lookup on every log that comes through. Simply disable the reverse lookup in rsyslog. The option to start rsyslog with is “-x” to disable dns lookups.

nano /etc/default/rsyslog

บรรทัด option..

เพราะ มันเสียเวลา resolve dns มาก

#กำหนดให้เรียก proxy ได้เฉพาะวงภายในเท่านั้น พิมคำสั่งใน mikrotik
/ip firewall filter
add chain=input in-interface= protocol=tcp dst-port=8080 action=drop

โพสท์ใน Mikrotik, Ubuntu | 2 ความเห็น

รับ Config Mikrotik Router

รับ Config Mikrotik Router ผ่าน Teamview ตามสั่ง ราคาถูกคุยได้ Email มาครับที่ soravit.m @ gmail.com

– Loadbalance Gateway 2-4 WAN PCC Method
– Static Routing / NAT
– Hotspot , Multiple Hotspot VLAN , Userman
– VLAN , Wireless
– DHCP Server
– Forward Port
– Web Proxy Mikrotik / Transparent Proxy
– Syslog Server Remote
– Mikrotik ทำเป็น Layer3 Switch
– Mikrotik คู่กับ IP จริงที่ได้จาก ISP
– VPN
– DDNS Client
– Queue
– รับติดตั้งและคอนฟิก Software KruComChan Mikrotik (ผลงานผมเอง) คู่กับ Mikrotik Router (Remoteเข้าไป)

ผลงาน
– Site www.bj.ac.th / Loadbalance 4 WAN + 2 Network Public IP + DHCP Server + 4 Static Routing

โพสท์ใน Mikrotik | แสดงความเห็น