×
ข้ามไปยังเนื้อหาหลัก

การตั้งค่า IPSec VPN General Settings แบบละเอียดบน NGAF

ปรับปรุงเมื่อ

บทความนี้อธิบายวิธีตั้งค่า IPSec VPN General Settings แบบละเอียดบน Sangfor NGAF/NSF รวมถึง VPN Paths, CSR, Certificates และ Intranet Services

IPSec VPN General Settings

ไปที่ Network > IPSec VPN > General Settings

VPN Paths

  • กำหนด WAN Interface ที่จะใช้เป็น VPN Endpoint
  • สามารถกำหนดหลาย Path สำหรับ Redundancy
  • หาก Path หนึ่งล้มเหลว จะ Failover ไป Path อื่น

Certificate Management

  • Generate CSR: สร้าง Certificate Signing Request สำหรับขอ Certificate จาก CA
  • Import Certificate: Import Certificate สำหรับ Certificate-Based Authentication
  • SM2 Certificate: สำหรับ Chinese National Standard Encryption

Intranet Services

  • กำหนด Internal Service/Subnet ที่จะ Advertise ไปยัง Remote Site ผ่าน VPN
  • Remote Site จะเห็นเฉพาะ Subnet ที่กำหนดไว้ใน Intranet Services

Authentication Methods

  • Pre-Shared Key: ใช้ Password ร่วมกัน — ง่ายแต่ Security ต่ำกว่า
  • Certificate: ใช้ Digital Certificate — Security สูงกว่า
  • SM2: ใช้ SM2 Certificate (Chinese Standard)
Import Certificate dialog showing Name, Status (Enabled/Disabled), Certificate Type (CER Root Certificate), and Root CA Cert import button
Add CSR (Certificate Signing Request) form showing Subject fields (CN, Country, State, Locality, Organization, OU), Others fields (IP, Domain, Email), and Cipher Options (RSA, 2048-bit, SHA1)
IPSec VPN Configuration page showing connection list with device name, address, auth method (Pre-shared key), link (WAN1), status, and Encrypted Traffic popup showing Phase 2 proposals

หมายเหตุ

  • ดูบทความ "วิธี Config Sangfor IPSec VPN บน NGAF" สำหรับขั้นตอน Phase 1/Phase 2 Configuration
  • DH Groups ที่รองรับ: Group 1, 2, 5, 14-18 — แนะนำ Group 14 ขึ้นไป
  • แนะนำใช้ IKEv2 แทน IKEv1 เพื่อ Performance และ Security ที่ดีกว่า

อัปเดตใน Firmware 8.0.107

อัปเดตใน 8.0.107: Route Mode + AES-GCM-256 + Auto Packet Capture

Firmware 8.0.107 เพิ่มความสามารถสำคัญ 3 ส่วนสำหรับ IPSec VPN:

1. Route Mode สำหรับ IPSec VPN

นอกจาก Policy Mode (Encryption Domain แบบเดิม) ตอนนี้รองรับ Route Mode ซึ่งใช้ Tunnel Interface แยกออกมา ทำให้สามารถใช้ Dynamic Routing (เช่น OSPF / BGP) ผ่าน Tunnel ได้ และจัดการ Failover / Multi-link Load Balance ได้ยืดหยุ่นขึ้น เหมาะกับการเชื่อมต่อกับ Cloud (Azure, AWS, GCP) หรือ Firewall ต่างค่าย (Fortinet, Cisco, Palo Alto, Juniper) ที่ใช้ Route-based VPN

การตั้งค่า Route Mode

  1. ไปที่ Network > IPSec VPN > IPSec VPN Configuration
  2. คลิก Add Connection
  3. ในกล่อง Add Device ที่ส่วน Tunnel Mode Settings เลือก Tab Route Mode (แทน Policy Mode)
  4. เลือก Local Tunnel Interface — หากยังไม่มี Tunnel Interface ให้สร้างที่ Network > Interfaces ก่อน
  1. กำหนด Phase 2 Proposal และค่าอื่น ๆ ตามปกติ — ดูข้อ 2 สำหรับ Encryption Algorithm ใหม่
  2. คลิก OK เพื่อสร้าง Tunnel

2. AES-GCM-256 Encryption Algorithm

เพิ่ม AES-GCM-256 เป็นตัวเลือก Encryption Algorithm ใน Phase 2 Proposal (AES-GCM เป็น AEAD cipher ที่รวม Encryption และ Authentication ในขั้นตอนเดียว) เป็น Cipher ที่ Public Cloud และ Modern Firewall ส่วนใหญ่รองรับ — หากเชื่อม Cloud ที่ใช้ AES-GCM ให้ตั้งฝั่ง Cloud และ NGAF ให้เลือก Cipher เดียวกัน

3. Auto Packet Capture สำหรับ Branch Status

หน้า VPN Status แสดง Branch Status พร้อม Error Cause ที่ละเอียดขึ้น และ เก็บ Packet Capture อัตโนมัติ เมื่อตรวจพบ Link Error ของ Branch — ช่วยให้การ Troubleshoot Tunnel ที่ Negotiate ไม่สำเร็จ หรือ Tunnel ที่ขึ้น ๆ ลง ๆ ทำได้รวดเร็วขึ้น (ตำแหน่งและขั้นตอนการเข้าถึง Packet Capture ที่ระบบเก็บอัตโนมัตินี้ ไม่ได้ระบุไว้ในคู่มือผู้ใช้ ณ ขณะที่เผยแพร่บทความนี้ — หากต้องการ Procedure ที่แน่นอน กรุณาติดต่อ Sangfor Support)

หมายเหตุ

  • Route Mode ใช้ Tunnel Interface แยก จึงผูก Routing Protocol ผ่าน Tunnel ได้
  • AES-GCM-256 รวม Authentication ในตัวอยู่แล้ว — พฤติกรรมของ Auth Algorithm Dropdown เมื่อเลือก GCM ให้ดูตามที่ UI แสดง

เกี่ยวข้องกับ

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น