บทความนี้อธิบายวิธีตั้งค่า IPSec VPN ระหว่าง Sangfor NGAF กับอุปกรณ์ต่างยี่ห้อ (Third-Party) โดยใช้ตัวอย่าง Mikrotik เป็น Branch
หลักสำคัญ
ค่า Phase 1 และ Phase 2 ของทั้ง 2 ฝั่ง ต้องเหมือนกัน ได้แก่:
- Encryption Algorithm, Authentication Algorithm
- DH Group, Pre-shared Key, SA Lifetime
- Local/Peer ID, NAT-T, DPD
ตัวอย่าง Parameter ที่ต้องตรงกัน
Phase 1:
- IKE Version: 1, Mode: Aggressive
- ISAKMP Encryption: AES256, Auth: SHA2-256
- DH Group: 2, Lifetime: 28800s
- Local/Peer ID: Public IP ของแต่ละฝั่ง (สลับกัน)
Phase 2:
- Protocol: ESP, Encryption: AES256, Auth: SHA2-256
- DH Group: 2, Lifetime: 28800s, PFS: No
- Inbound/Outbound Policy: Subnet ของฝั่งตรงข้าม/ฝั่งตัวเอง (สลับกัน)
ขั้นตอนฝั่ง Sangfor NGAF (HQ)
ไปที่ Network > IPSec VPN > Third-Party Connection > Add
- กรอก Peer IP, Pre-shared Key, Local Line
- เพิ่ม Encrypted Traffic — กรอก Local/Peer Subnet และ Security Proposal (Phase 2)
- ตั้งค่า IKE Options — Local/Peer ID, DH Group, Security Proposal (Phase 1)
ขั้นตอนฝั่ง Mikrotik (Branch)
- Proposals: ตั้ง Auth/Encryption Algorithm และ Lifetime ให้ตรง, PFS Group = none
- Profiles: ตั้ง Hash/Encryption, DH Group (Group 2 = modp1024), Lifetime, NAT-T ให้ตรง
- Peers: กรอก Public IP ของ HQ, เลือก Profile, Exchange Mode = aggressive
- Policies: กรอก Src/Dst Address (สลับกับฝั่ง HQ), Action = encrypt, Protocol = ESP
*หากทั้ง 2 ฝั่งเป็น Sangfor ดูแค่ครึ่งแรกแล้วสลับ Peer/Local ให้ถูกต้อง
ตรวจสอบการเชื่อมต่อ
- ฝั่ง NGAF: ดูที่ Status — จะมี Connection ใหม่แสดง
- ฝั่ง Mikrotik: ดูที่ Policies — PH2 State จะเป็น established
Troubleshooting
- ไปที่ System > Troubleshooting > Logs เลือก VPN Service เพื่อดู Error
- ตรวจสอบ DH Group ของ Phase 1 และ Phase 2
- ตรวจสอบ Encryption/Auth Algorithm ทั้ง 2 ฝั่ง
- ตรวจสอบ Pre-shared Key
หมายเหตุ
- สำหรับการตั้งค่า IPSec VPN ระหว่าง Sangfor กับ Sangfor ดูที่ การตั้งค่า IPSec VPN (Site to Site)
- DH Group ของ Mikrotik: Group 2 = modp1024 — ดูเพิ่มเติมที่ Mikrotik Wiki
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น