(Rebuild) KruComChanMT Ubuntu 14.0.2LTS

KruComChanMT Simple Radius server user management
======== ChangeLog ===========
Krucomchan1.0 for ClearOS (EOL) >> KrucomchanMT for Ubuntu 12 (EOL) >> KrucomchanMT for Ubuntu 14 (End)
========== Feature =========
– Rebuild For Ubuntu 14.0.2LTS amd64 server
– Support 802.1x WPA2-Enterprise (PEAP)
– Support Offline install
– Support Mikrotik Hotspot,PFSense
======== Download ===========
http://www.soravit.in.th/RBKKCMT14.zip

เลิก support ณ วันนี้ เนื่องจากปัญหาเรื่อง securiry และ support php ที่หมดอายุ ทำครั้งนี้เป็นครั้งสุดท้าย
ยุคสมัยเปลี่ยนอะไรก็ย่อมเปลี่ยนแปลงตาม เราจะไม่ลืมนาย CoovaChilli,มบูรพา

ผลงาน Rebuild ที่ผ่านมา
– KrucomchanMT Ubuntu14 (Last)
– Minihotspot Ubuntu12 (EndOfLife)
– MinihotspotMT Ubuntu12 (EndOfLife)
– Krucomchan Ubuntu12 (EndOfLife)
– KrucomchanMT Ubuntu12 (EndOfLife)

โพสท์ใน Ubuntu | แสดงความเห็น

Mikrotik Loadbalance เน็ตสองเส้น (PPPoE+StaticIP) 1 LAN

Mikrotik Loadbalance For Home 1 LAN

Ether1=PPPoE From ISP Modem
Ether2=Fix IP From ISP Router
Ether3=HOMELAN

ตัวหนาสิ่งที่ต้องแก้

1.สร้างconnection pppoe,static ip สำหรับเน็ตสองเส้น (pppoe-out1,ether2)

2.สคริบแยกข้อมูลตาม wan ขาเข้าไปยัง mikrotik
/ip firewall mangle
/ip firewall mangle add chain=input in-interface=pppoe-out1 action=mark-connection new-connection-mark=ether1_conn
/ip firewall mangle add chain=input in-interface=ether2 action=mark-connection new-connection-mark=ether2_conn

2.สคริบแยกข้อมูลตาม wan ขาออกจาก mikrotik
/ip firewall mangle add chain=output connection-mark=ether1_conn action=mark-routing new-routing-mark=to_ether1
/ip firewall mangle add chain=output connection-mark=ether2_conn action=mark-routing new-routing-mark=to_ether2

3.สคริบยอมให้ homelan เข้าไป network เดียวกันกับ ether2 ได้ (PPPoEไม่ต้อง)
/ip firewall mangle add chain=prerouting dst-address=พิมพ์networkของether2ลงไปและตามด้วยprefix action=accept in-interface=ether2

4.สคริบแบ่งน้ำหนัก Loadbalance แบบ PCQ แก้ไข เลข 4=จำนวนบรรทัดของ per-connection-class 0-4..ลำดับบรรทัดเริ่มจาก0 แบ่งตามอัตราส่วน เช่น เน็ต 10เม็กสองเส้น อัตราส่วนคือ 1:1 ดังนั้นออกเน็ต 1 ครั้ง และเน็ตที่สอง 1 ครั้ง
หรือ เน็ต20เม็ก 1 เส้น กับเน็ต 10เม็ก 1 เส้น อัตราส่วนคือ 2:1 ต้องออกเน็ตเส้นแรก 2 ครั้งแล้วออกเน็ตเส้นสอง 1 ครั้ง

/ip firewall mangle add chain=prerouting dst-address-type=!local in-interface=ether3 per-connection-classifier=both-addresses-and-ports:ใส่เลขจำนวนบรรทัดperconnectionclass/0 action=mark-connection new-connection-mark=ether1_conn(ออกเน็ตเส้นที่สอง) passthrough=yes
/ip firewall mangle add chain=prerouting dst-address-type=!local in-interface=ether3 per-connection-classifier=both-addresses-and-ports:ใส่เลขจำนวนบรรทัดperconnectionclass/1 action=mark-connection new-connection-mark=ether2_conn(ออกเน็ตเส้นที่สอง) passthrough=yes

5.สคริบแยกข้อมูลที่มาจาก wanต่างๆให้ออกตาม wanนั้นๆ โดยถูกต้อง
/ip firewall mangle add chain=prerouting connection-mark=ether1_conn in-interface=ether3 action=mark-routing new-routing-mark=to_ether1
/ip firewall mangle add chain=prerouting connection-mark=ether2_conn in-interface=ether3 action=mark-routing new-routing-mark=to_ether2

6.Default Route สำหรับ ether2 Fix IP
/ip route
/ip route add dst-address=0.0.0.0/0 gateway=ไอพีRoutether2 routing-mark=to_ether1 check-gateway=ping
/ip route add dst-address=0.0.0.0/0 gateway=pppoe-out1 routing-mark=to_ether2 distance=1 check-gateway=ping

7.IPv4 NAT ตามจำนวน WAN
/ip firewall nat
/ip firewall nat add chain=srcnat out-interface=pppoe-out1 action=masquerade
/ip firewall nat add chain=srcnat out-interface=ether2 action=masquerade

สำหรับ Internetแบบfix ip จะเช็คการ down โดย ping ไอพีrouterนั้นแต่กรณี internet ล่มจะเช็คไม่ได้ ให้เขียนสคริบเพิ่ม อ้างอิงตามนี้ http://www.soravit.in.th/wp/basic-failover-uninet-by-mikrotik-netwatch/

วิธีเอาคำสั่งไปรัน กด Terminal แล้วพิมพ์ใส่

** อีกวิธีนึงซึ่งมีภาพประกอบ แต่คล้ายๆกัน ของ ครูเก่ง
(2WAN PPPoE+StaticIPLoad-BalanceHotspot_PPPOEWan2)

โพสท์ใน Mikrotik | ติดป้ายกำกับ | 2 ความเห็น

PFSense HA การทำ Backup firewall concept

pfsense_example

บทความนี้ผมเขียนไว้กันลืมตอนสมัยที่ยังเรียนเรื่อง VRRP อยู่ ซึ่งใน PFSense ก็จะมีความสามารถนี้และเรียกอีกชื่อเป็นของตัวเองว่า CARP

โดย VRRP จะใช้กับ Cisco,HP,Mikrotik หรืออุปกรณ์ทั่วไปแต่ CARP จะใช้เฉพาะ PFSense ด้วยกัน หลักการก็ไม่หนีกันมาก มี Firewall อยู่สองเครื่อง เครื่องแรกจะทำงานตลอดเรียก Master เครื่องที่สองจะเป็นตัวสำรอง (เหมือนผู้ชายที่เป็นตัวสำรองของผู้หญิง) เรียก Slave หรือทั้งคู่จะช่วยกันทำงานก็ได้ (สามารถเซ็ตได้ คล้ายๆกับ Bonding Interface) โดยจะมีการ Check ซึ่งกันและกัน ถ้าตัวหลักเสีย ตัวที่สองก็จะทำงานแทนมีข้อมูลที่แลกเปลี่ยนด้วยกัน Sync ตลอด ทำให้การเชื่อมต่อนั้นสะดุดน้อยที่สุด และให้ Admin มาแก้ไขเพื่อให้ตัวหลักกลับมาทำงานเหมือนเดิม

*VRRP จะมีเรื่อง Group ด้วยและสามารถทำ Load balancing กันได้

การทำ HA หรือ High Avality ต้องเข้าใจถึงเรื่อง Redundant และความเสียหายถ้าเกิด Downtime ก่อน เช่น การทำ CARP เพื่อป้องกันไม่ให้ Firewall หยุดทำงาน แต่ถ้า ISP Down สุดท้ายก็ไม่ได้ช่วยอะไรอยู่ดี จึงควรออกแบบ DC ให้เป็นไปตาม Tier1-4 เพื่อให้เกิดประสิทธฺภาพสูงสุด

เข้าเรื่อง VRRP/CARP การทำงานจะมีการจำลอง Virtual IP Address ขึ้นมาหนึ่งตัวเพื่อใช้ในการติดต่อแทน โดย Virtual IP นี้ จะทำการเชื่อมโยง Packet ไปให้ IP Address จริงๆของ Firewall อีกที กรณี Firewall เสีย ก็จะไม่ต้องเสียเวลานั่งเปลี่ยน IP Address ที่เครื่องลูกข่ายเพื่อใช้ Firewall ตัวสำรอง ข้อดีอยู่ตรงนี้แหละครับ ตามรูปภาพเลย

สุดท้ายระบบที่ต้องการ HA สูงๆ หรือบริการงานที่สำคัญควรจะมีการออกแบบส่วนนี้ไว้ด้วยครับ กันไว้ดีกว่าแก้ สวัสดีครับ

โพสท์ใน pfsense | ติดป้ายกำกับ , | แสดงความเห็น

บ้านฉันมี IPv6 แล้ว โดย Mikrotik

ipv6_ready_logo

World_IPv6_launch_banner_128

วันหยุดพักผ่อนสบายๆ แต่เนื้อหาที่จะเล่าคือ IPv6 ซึ่งไม่สบายอย่างที่คิด บทความนี้เป็นบทความตอน Update แล้วครับใช้งานได้จริงและรองรับอนาคตที่จะมาถึงด้วยครับ รีบชิงทำก่อน ISP จะเปลี่ยนระบบทั้งหมดใหม่ดีกว่า

สิ่งที่ต้องมีคือ INTERNET ที่มี Public IPv4 แบบ FixหรือDynamic IP เพื่อให้ Tunnel สามารถทำงานได้ ถ้าเป็น LargeScale NAT ใช้งานไม่ได้ จบข่าว ตัวอย่างบ้านผม ผมใช้ TOT ADSL ครับ สบายๆผ่านฉลุย

rb951ui-2hnd-3

และ Mikrotik Router ที่ทำหน้าที่ Gateway ให้กับบ้าน (ไม่มีระบบ Hotspot,ต้องเป็น IP จริงจากการ Bridge ไม่ใช่ รับเน็ตแบบ DHCPมา)

6in4_tunnel

จากรูปยังคงใช้ Tunnel 6in4 เหมือนเดิมครับที่เหมาะสมที่สุด และสามารถเซ็ตให้เป็น IPv4/6 Dualstack ง่ายๆ โดยถ้าเว็บที่เป็น v4 ก็จะใช้ ipv4 เข้าไป ถ้าเว็บไหนเป็น ipv6 เช่น facebook,twitter,instagram,google ก็จะใช้ ipv6 ซึ่ง ipv6 Tunnel เราจะไปโผล่ที่ สิงคโปรเป็นที่ใกล้สุดครับ ดังนั้นความเร็วทั้งหมดที่ใช้งานได้ (Throughput) ขึ้นอยู่กับระบบเครือข่าย IPv4 เดิมที่ใช้อยู่ทุกวันนี้

ต่อมาคือไปใช้บริการ IPv6 Broker ครับ ตัวอย่างนี้ใช้ของ Hurricane Electronic (ยืม IPv6 เขาใช้และทางออกของเขา ยังไม่ได้เป็น IPv6 ที่ดีที่สุดเหมือนแบบ Native) เข้าเว็บไซต์ https://tunnelbroker.net/ และสมัคร Account ให้เรียบร้อย

1

เข้าสู่ระบบให้เรียบร้อยจะขึ้นหน้าจอดังรูป

คลิก Create Regular Tunnel ใส่ Public IPv4 ของบ้าน ณ ขณะนั้นลงไป (ดูจาก http://checkip.narak.com)
2

เสร็จแล้วจะได้ประมาณนี้ จะได้ prefix /64 มาให้ใช้ในบ้านชุดนึง ซึ่งตัวนี้สามารถ Advertise (แจกไอพีออโต้เหมือน dhcp v4) ให้กับเครื่องในบ้านใช้ได้เลย แต่ก็สามารถขอ prefix /48 มาใช้ได้ ซึ่ง /48 จะไม่สามารถ Advertise (แจกไอพีออโต้เหมือน dhcp v4) ได้ด้วยตัวเอง ต้องพึ่ง DHCPv6 Server
3

คลิก Example Mikrotik แล้วก๊อบปี้
4

เปิด Winbox แล้วเปิด Terminal แล้ว Paste จะได้ sit1 ขึ้นมาใหม่ใน Interface ที่ใช้เป็น Tunnel
55

ไปที่ IPv6 Address กด + แล้วก๊อบบรรทัด /64 จากเว็บ tunnelbroker มาใส่ ติ๊กถูก Advertise
66

ไปที่ IPv6 Route กด + เลือกตามรูป
7

เพิ่มเติมเฉพาะเน็ตที่ IP เปลี่ยนตลอด ให้ใช้ Script Update ด้านล่างนี้ แก้ไขข้อมูลให้เสร็จก่อน ข้อมูลดูจาก tunnelbroker

# Update Hurricane Electric IPv6 Tunnel Client IPv4 address
# Fix bug by soravit 2015

:local HEtunnelinterface “sit1”
:local HEtunnelid “ใส่tunnelid”
:local HEuserid “ใส่username”
:local HEmd5pass “ใส่apikeyดูจากtab advance”
:local HEupdatehost “ipv4.tunnelbroker.net”
:local HEupdatepath “/nic/update”
:local WANinterface “ใส่ชื่อinterfaceAdslตัวอย่างpppoe1”
:local outputfile (“HE-” . $HEtunnelid . “.txt”)

# Internal processing below…
# ———————————-
:local HEipv4addr

# Get WAN interface IP address
:set HEipv4addr [/ip address get [/ip address find interface=$WANinterface] address]
:set HEipv4addr [:pick [:tostr $HEipv4addr] 0 [:find [:tostr $HEipv4addr] “/”]]

:if ([:len $HEipv4addr] = 0) do={
:log error (“Could not get IP for interface ” . $WANinterface)
:error (“Could not get IP for interface ” . $WANinterface)
}

# Update the HEtunnelinterface with WAN IP
/interface 6to4 {
:if ([get ($HEtunnelinterface) local-address] != $HEipv4addr) do={
:log info (“Updating ” . $HEtunnelinterface . ” local-address with new IP ” . $HEipv4addr . “…”)
set ($HEtunnelinterface) local-address=$HEipv4addr
}
}

:log info (“Updating IPv6 Tunnel ” . $HEtunnelid . ” Client IPv4 address to new IP ” . $HEipv4addr . “…”)
/tool fetch mode=https \
host=($HEupdatehost) \
url=(“https://” . $HEupdatehost . $HEupdatepath . \
“?username=” . $HEuserid . \
“&password=” . $HEmd5pass . \
“&hostname=” . $HEtunnelid) \
dst-path=($outputfile)

:log info ([/file get ($outputfile) contents])
/file remove ($outputfile)

ไปที่ System script กด + กดวางที่แก้ไขแล้วตามรูป
8

ทำให้ Script ทำงานเป็นช่วงๆ ไปที่ System schedule เพิ่มตามรูป
9

ทดสอบ
11111
2222

ผ่าน

ข้อสังเกตุ
1.IPv4 ต้องอับเดทให้ตรง และใช้งานผ่าน Largescale NAT ไม่ได้
2.ความเร็วขึ้นอยู่กับแบนวิดของ Tunnelbroker ว่าหนาแน่น ณ ขณะนั้นเท่าไร และขึ้นอยู่กับความเร็วเดิม
3.เป็น Dualstack ถ้า V6 ก็จะวิ่งไป 6 ถ้าเป็นเว็บ v4 ก็จะวิ่ง v4 ทางเก่า
4.DNSv6 Server ใช้ของ v4 เดิมได้ หรือตั้ง 8.8.8.8 ก็ได้
5.ควรระวังเรื่องความปลอดภัย เพราะ V6 จะเข้าถึงอุปกรณ์ได้โดยตรง ทั้ง Remote desktop หรืออื่นๆในคอมที่ใช้งาน

โพสท์ใน Mikrotik | ติดป้ายกำกับ | แสดงความเห็น

EoIP over VPN Mikrotik

จะมาทำเรื่อง EoIP over VPN นะครับ ซึ่งมีประโยชน์ยังไง

ถ้าเป็น VPN ปกติ นั้นจะข้ามฝากไปได้คือ IP Routing ข้ามกันเท่านั้น พวกเครื่องปริ้นแชร์ไฟล์ Network discovery หรือแม้กระทั่ง เล่น Warraft DOTA มันทะลุ IP Routing ไม่ได้ เพราะมันรู้จักแค่ Layer2 หรือ ต้อง LAN เดียวกัน Network เดียวกัน Subnet เดียวกันนั่นเองครับ

โดย Mikrotik เขาคิด EoIP มาเพื่อโยน Traffice Layer2 ข้ามฝากผ่าน Routing ได้นั่นเอง และใช้ได้เฉพาะ Mikrotik เท่านั้นครับ (Cisco มี GRE Tunnel)

เปรียบเสมือนเอาสายแลนไปจิ้มเข้ากบัสวิตหลักแล้วกระจายไปนั่นเอง ดังนั้น DHCP Server Packet นั้นทะลุผ่าน EoIP แน่นอนครับ

ซึ่ง EoIP ก้สามารถผ่าน VPN ได้เหมือนกัน เริ่มต้นจากรูปก่อนครับ
111

HQ Router
Ether1=PPPoE Internet
Ether2=ไม่ต้องตั้งไอพีใส่
Bridge= ตั้ง IP ที่ interface นี้ และทำ dhcp ใส่อันนี้ ให้ เล่นเน็ตได้ *** ขั้นแรกให้ สร้าง Bridge Interface รอก่อน
220

Branch Router
Ether1=PPPoE Internet
Ether2=HQ DHCP LAN ไม่ต้องทำ NAT / Dhcp server เพราะจะใช้ของ HQ ไม่ต้อง ADD IP ให้ Ether2

Bridge Interface : HQ DHCP + EoIP

โดยจะมี Network เดียวกันคือ 10.0.0.0/24 และมี HQ Router ทำหน้าที่ แจก DHCP จุดเดียว แต่ Branch ก็ได้รับไอพีเดียวกันครับ

ฝั่ง HQ

1.สร้าง L2TP Server Interface
112

2.สร้าง L2TP User ให้ฝั่ง Branch เข้ามาได้
113

3.เปิด L2TP Server
8

4.สร้าง EoIP Interface
114

5.สร้าง Bridge เพื่อเชื่อมท่อทั้งหมดเป็นท่อเดียว
115
116

ฝั่ง Branch
1.สร้าง l2tp client
117

2.สร้าง eoip
118

3.สร้าง Bridge เพื่อเชื่อม
115
116

4.ทดสอบ เสียบสายแลนที่ ether2 ว่าได้ไอพี 10.0.0.xx จาก HQ หรือไม่
119

ถึงอยู่ข้ามโลกก็สามารถ เล่น DOTA กับเพื่อนๆได้ครับ (อันนี้ไม่ใช่จุดประสงค์หลัก)

โพสท์ใน Mikrotik | ติดป้ายกำกับ , | แสดงความเห็น

OSPF over VPN Site-to-Site Mikrotik

22

จากตอนเดิมที่เขียนบทความไว้ VPN Site-to-Site L2TP แล้ว จะมาต่อยอดด้วย OSPF กันนะครับ

ซึ่งขอให้ท่านย้อนกลับไปทำ VPN บทความก่อนหน้าให้เสร็จเสียก่อน เพราะเนื้อหาต่อเนื่องกัน

ในฝั่ง HQ ให้ท่าน Add Interface PPP> L2TP Server ด้วยนะครับ เพื่อสร้าง interface ให้ OSPF วิ่งได้ อย่าลืม
19

จากเดิมที่เคย Add Route ด้วยมือ (Static Route , IP > Route) จะเปลี่ยนเป็นใช้ OSPF กันนะครับ ดังนั้นต้องลบ Routing ที่เคยตั้งไว้ออกให้หมดทั้งสองฝั่งก่อน

ฝั่ง HQ
12
ฝั่ง Branch
13

ซึ่ง OSPF ที่จะทำจะทำแบบง่ายแบบ Area เดียวคือ Backbone area

ฝั่ง HQ ไปที่ Routing OSPF Instance,network
14
*Router ID ต้องไม่ซ้ำกันในระบบ OSPF,Area นั้น และต้องเป็น IP ที่มีอยู่จริงและทำหน้าที่ loopback interface ได้ ในรูปใช้ IP ของ VPN L2TP แทนได้เลย
15

ฝั่ง Branch ทำคล้ายๆกัน แค่เปลี่ยน Router ID เป็น 192.168.100.2 และประกาศ Network ของ Branch ออกไปให้เพื่อนบ้านรู้
16
17

ถ้าทำสำเร็จก็จะเจอ Neighbor และ Instance L2TP Running ขึ้นเอง ทั้ง HQ , Branch
18

ทดสอบปิงหา Branch ก็เจอกันเหมือนเดิม

เพิ่มเติมความรู้
ถ้าเป็นพวก Dynamic Routing Protocol distance มันจะมากครับ เพราะ ความสำคัญจะต่ำ เนื่องจากเปลี่ยนแปลงได้ตลอดเวลา และถ้า เป็น Static Route ความสำคัญจะสูง Distance ก็เลย 0-1 บนๆ สูงเพราะมนุษย์เราบอกให้ router เอง ตัวเลข Distance มีค่าน้อย คือสำคัญสุดครับ มันจะไปทางนั้นก่อน ถ้าทางนั้น down ถึงจะไป distance ที่มากกว่าแทน (หลักการเดียวกับ Fail over)
21

โพสท์ใน Mikrotik | ติดป้ายกำกับ , | แสดงความเห็น

How to VPN Site-to-Site Mikrotik

บทความตอนนี้เน้นทำให้ดู ไม่เน้นอธิบายที่มานะครับ

ทำระบบดังรูป

23

HQ = สนง แม่
Branch = สนง ลูก

ไอพีภายใน
HQ = 10.0.0.1/24
Branch = 10.1.1.1/24

ไอพี L2TP Interface สำหรับให้ 2 L2TP คุยกัน
HQ = 192.168.100.1
Branch = 192.168.100.2

อินเทอร์เน็ต
HQ,Branch = PPPoE ADSL

1

มาที่ HQ เปิด L2TP Server
8

กรณีจะใช้รัน OSPF ให้ เพิ่ม Interface L2TP แบบ Static ก็ทำได้ (1 user = 1 Interface จะเพิ่มไม่เพิ่มก็ได้ เพราะบางท่านอาจใช้ตัวนี้ รัน ospf)
20

สร้าง ppp user ให้อีกฝั่งเชื่อมต่อได้ และ Route ไปหา Branch โดยกำหนดไอพี L2tp เป็น 192.168.100.2 สำหรับ สนงลูกที่เข้ามา และให้ 192.168.100.1 เป็น IP L2TP Server สนง แม่
9

Bypass NAT Rule
4
จะมีเครื่องหมาย ถูกอยู่ด้านบนสุดในหน้านี้ครับ ในรูปนี้ช่วยสลับ Dst,Src ให้ด้วยนะครับ

===== ฝั่ง Branch =======

เพิ่ม L2TP Client
5

Bypass NAT เพื่อที่จะ Route ไปหา สนง แม่ (ถ้าไม่ต้องการให้ สนง ลูกติดต่อก็ ไม่ต้องเพิ่ม)
6

เพิ่ม Route ไปยัง สนง แม่ (ถ้าไม่ต้องการให้ สนง ลูกติดต่อก็ ไม่ต้องเพิ่ม)
7

ทดสอบปิงไปหา เครื่องคอมใน สนง ลูก
10

ทั้งหมดคือการทำแบบ L2TP (Layer2TrunkProtocol) ซึ่ง VPN มีหลายแบบ ถ้าเข้าใจหลักการแล้ว ไม่หนีกันมากครับ
ถ้านิยมก็ L2TP ที่มีความปลอดภัยระดับกลาง ถ้าเน้นปลอดภัย ต้องสร้าง Key จะเป็น IPSec , OpenVPN ครับ แต่ไม่แนะนำ PPTP

โพสท์ใน Mikrotik | ติดป้ายกำกับ | แสดงความเห็น

VPN คืออะไร

วันนี้มาอธิบาย VPN ง่ายๆครับ

ปัจจุบันแบ่งเป็น 2 แบบใหญ่ๆ

1.Client-to-Site VPN

แบบแรก คือเหมือนเอาคอมพิวเตอร์นั่งเล่นในออฟฟิตที่เชื่อมต่อไว้ จากที่ไหนก็ได้ที่มีเน็ต สามารถเข้าถึงทรัพยากรของออฟฟิตได้หมด (ขึ้นอยู่กับ Policy ของแต่ละที่ด้วย) ซึ่งจะแบ่งย่อยไปอีก 2 แบบ คือแบบ Routing และแบบ NonRouting

– Routing สังเกตุง่ายมาก ไอพีที่ได้รับจาก VPN จะเป็นคนละวงกับที่ออฟฟิตแต่สามารถใช้งานทรัพยากรภายในได้ปกติ เพราะมี routing table ใน vpn ฝังไว้
– Nonrouting แบบนี้ส่วนตัวผู้เขียนก็ชอบใช้ เพราะมันง่ายต่อการใช้งานมาก เหมือนเอาสายแลนไปเสียบในออฟฟิตเลย เป็นวงไอพีเดียวกัน แชร์เครื่องปริ้นก็จะขึ้นชื่อเลย หรือแชร์ไฟล์ก็สะดวกมาก (NetBios ทะลุมาได้) ตัวอย่าง คือ PPTP VPN ซึ่งไม่แนะนำให้ใช้เพราะมีความเสี่ยงด้านความปลอดภัย

2.Site-to-Site VPN แบบนี้จะใช้งานเฉพาะ Router-Router เท่านั้น โดยผู้ออกแบบระบบจะออกแบบเองว่าจะใช้ IP อะไรบ้าง Routing อะไรบ้าง และ Policy ต่างๆ แน่นอนว่าซับซ้อนแต่สะดวกสำหรับ ออฟฟิต กับ ออฟฟิตย่อย ที่คนภายในสามารถใช้งานทรัพยากรข้ามกันได้สบายๆ โดยมี router เป็นคนจัดการให้ทุกอย่าง ไม่ต้องเหนื่อยสร้าง connection บนเครื่องคอมเอง เหมือน Client to Site VPN

ประโยชน์ของ VPN มากหลาย เช่น ต้องการเข้าไป Remote คอมในสำนักงาน แต่ขี้เกียจไปสำนักงาน สามารถเข้าได้ถึงได้จากที่บ้านผ่านเน็ต (กรณี Client to Site VPN)

หรือจะเชื่อมเครือข่ายระหว่างสองที่เข้าด้วยกัน เช่น ออฟฟิตใหญ่ กับ ออฟฟิตย่อยๆๆๆ หลายที่ ก็ใช้ site-to-site vpn ทำครัย

ถ้ามีโอกาสจะพาทำ vpn บน Mikrotik นะครับ ทั้งสองแบบ

โพสท์ใน Mikrotik | ติดป้ายกำกับ | แสดงความเห็น