วิธี Config Sangfor IPSec VPN บน NGAF – บริษัท ซังฟอร์ เทคโนโลยี (ประเทศไทย) จำกัด

บทความนี้อธิบายวิธีตั้งค่า IPSec VPN (Site-to-Site) บน Sangfor NGAF v8.0.35 ขึ้นไป สำหรับเชื่อมต่อ 2 Site ให้สื่อสารกันผ่าน Encrypted Tunnel

Concept

สิ่งสำคัญในการเชื่อม IPSec VPN คือ ค่า Phase 1 และ Phase 2 ของทั้ง 2 ฝั่งต้องเหมือนกัน ได้แก่ Encryption Algorithm, Authentication Algorithm, DH Group, Pre-shared Key และ SA Lifetime

ขั้นตอนที่ 1: เปิด VPN Service

ไปที่ Network > IPSec VPN > Status แล้วกด Enable VPN Service

ขั้นตอนที่ 2: กำหนด VPN Path

ไปที่ Basic Settings > VPN Paths > Add

เลือก WAN Interface ที่จะใช้ทำ VPN
ระบุ Public IP ที่จะใช้ (ต้องเป็น IP แรกของ Interface)

ขั้นตอนที่ 3: สร้าง Third-Party Connection

ไปที่ Network > IPSec VPN > Third-Party Connection > Add

IPSec VPN - Third-Party Connection wizard with Peer IP, Pre-shared Key, Encrypted Traffic

Tab Basics (Phase 2):

Device Name: ตั้งชื่อ Connection
Peer IP Address: Public IP ของฝั่งตรงข้าม
Pre-shared Key: ต้องเหมือนกันทั้ง 2 ฝั่ง
Local Line: เลือก VPN Path ที่สร้างในขั้นตอนที่ 2
Encrypted Traffic: กด Add แล้วกรอก Local Subnet และ Peer Subnet
Security Proposal: กำหนด Protocol (ESP), Encryption (เช่น AES256), Auth (เช่น SHA2-256)

Add Encrypted Traffic - Local/Peer IP, Phase 2 Proposal, Route Priority

Tab IKE Options (Phase 1):

IKE Version: IKEv1 หรือ IKEv2
Mode: Main หรือ Aggressive (ใช้ Aggressive กรณี IP ผ่าน NAT)
Initiate Connection: Enable
Local/Peer ID: กรอก Public IP ของแต่ละฝั่ง
DH Group: ต้องเหมือนกันทั้ง 2 Site
Security Proposal: Encryption + Auth Algorithm ต้องเหมือนกัน

IPSec VPN Advanced - IKE Options, Phase 1 Proposal, DPD, NAT-T

ขั้นตอนที่ 4: ตรวจสอบสถานะ

ไปที่ Network > IPSec VPN > Status — หากตั้งค่าถูกต้อง จะแสดงสถานะ Connected

VPN configurations submitted successfully with connection test result

Troubleshooting

หาก VPN ไม่ Connect:

ไปที่ System > Troubleshooting > Logs เลือก VPN Service เพื่อดู Error
ตรวจสอบ DH Group ของ Phase 1 และ Phase 2 ว่าตรงกัน
ตรวจสอบ Encryption/Auth Algorithm ว่าเหมือนกันทั้ง 2 ฝั่ง
ตรวจสอบ Pre-shared Key ว่าตรงกัน

หมายเหตุ

Local ID ต้องใช้ IP แรกของ Interface เท่านั้น — หากต้องการเปลี่ยนให้สลับ Order IP ที่ Physical Interface
รองรับ Auth Method 3 แบบ: Pre-shared Key, Certificate, SM2 Certificate
DH Group ที่รองรับ: 1, 2, 5, 14, 15, 16, 17, 18 — แนะนำ IKEv2 สำหรับการตั้งค่าใหม่
เปิด NAT-T เมื่อ Peer อยู่หลัง NAT
สำหรับการเชื่อมต่อกับอุปกรณ์ต่างยี่ห้อ ดูที่ วิธี Config IPSec VPN กับต่างยี่ห้อ
หาก VPN Subnet มี Gateway อยู่ที่ Core Switch ให้กรอก VPN Subnets ในหน้า VPN Paths ด้วย

เกี่ยวข้องกับ