บทความนี้อธิบายวิธีเพิ่ม VPN Interface IP ใน Encrypted Traffic ของ IPSec VPN (Third-Party Connection) บน Sangfor NGAF เพื่อให้ NGAF สามารถ Ping ไปยัง Peer IP Address ของฝั่งตรงข้ามได้
จุดประสงค์
โดยปกติ IPSec VPN จะ Encrypt เฉพาะ Traffic ระหว่าง Subnet ที่กำหนดไว้ใน Encrypted Traffic (Phase 2) แต่ตัว NGAF เองจะไม่สามารถ Ping ไปยัง Peer IP ฝั่งตรงข้ามผ่าน Tunnel ได้ เพราะ VPN Interface IP ไม่ได้อยู่ใน Encrypted Traffic
การเพิ่ม VPN Interface IP เข้าไปจะทำให้ NGAF สามารถ Ping หรือสื่อสารกับ Peer NGAF ผ่าน IPSec Tunnel ได้โดยตรง
ขั้นตอนที่ 1: ตรวจสอบ VPN Interface IP
ไปที่ Network > IPSec VPN > Basic Settings > Advanced
- จดบันทึก VPN Interface IP ของทั้ง 2 ฝั่ง (HQ และ Branch)
ขั้นตอนที่ 2: เพิ่ม VPN Interface IP ใน Encrypted Traffic
ฝั่ง HQ:
- ไปที่ IPSec VPN Connection > Encrypted Traffic
- เพิ่ม Entry ใหม่:
- Local IP Address: VPN Interface IP ของ HQ (จากขั้นตอนที่ 1)
- Peer IP Address: VPN Interface IP ของ Branch
ฝั่ง Branch:
- ทำเช่นเดียวกัน โดยสลับ Local/Peer IP Address ให้ตรงกัน
ผลลัพธ์
หลังตั้งค่าเสร็จ สามารถ Ping จาก NGAF ไปยัง Peer IP Address ได้สำเร็จ
Packet Capture แสดง:
- Ping จาก NGAF — Source IP จะเป็น VPN Interface IP
- Ping จาก PC ใน LAN — Source IP จะเป็น IP ของ PC (ไม่ใช่ VPN Interface IP)
หมายเหตุ
- ต้องเพิ่ม VPN Interface IP ใน Encrypted Traffic ทั้ง 2 ฝั่ง ไม่เช่นนั้น Tunnel จะไม่ Match
- การตั้งค่านี้มีประโยชน์สำหรับการ Monitor สถานะ IPSec Tunnel ด้วยการ Ping ระหว่าง NGAF
- VPN Interface IP ใช้เฉพาะ Traffic ที่ออกจากตัว NGAF เอง — Traffic จาก PC/Server ในวง LAN จะยังใช้ IP ของตัวเองตามปกติ
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น