ในตัวอย่างนี้จะให้ตั้งให้ฝั่ง Sangfor NGAF เป็นฝั่ง HQ และ Mikrotik เป็นฝั่ง Branch เชื่อมต่อกันด้วย Site-to-Site IPSec VPN
**ถ้าทั้ง 2 ฝั่งเป็น Sangfor NGAF สามารถดูแค่ครึ่งแรก และนำไปใช้กับ 2 Site โดยสลับ Peer กับ Local ให้ถูกต้อง**
สิ่งสำคัญในการเชื่อมทั้ง 2 Site ให้เข้าถึงกันได้คือการตั้งค่าของทั้ง 2 ฝั่งที่ต้องเหมือนกัน โดยมีสิ่งที่จะต้องคำนึงดังนี้
ไปที่ Network > IPSecVPN > Third-Party Connection
HQ | Branch | ||
Phase 1 | IP or ADSL | IP | IP |
Main or Aggressive | Aggressive | Aggressive | |
IKE version | 1 | 1 | |
Auto connect | Y | Y | |
Pre-shared key | 123456 | 123456 | |
ISAKMP lifetime (s) | 28800 | 28800 | |
D-H Group | 2 | 2 | |
ISAKMP Authentication Algorithm | SHA2-256 | SHA2-256 | |
ISAKMP Encryption Algorithm | AES256 | AES256 | |
Local ID Type | IP | IP | |
Local ID | 10.70.7.102 | 10.70.8.100 | |
Peer ID Type | IP | IP | |
Peer ID | 10.70.8.100 | 10.70.7.102 | |
NATT or not | Y | Y | |
DPD | N | N | |
Phase 2 | IPSec Protocol (AH or ESP) | ESP | ESP |
D-H group | 2 | 2 (modp1024) | |
Authentication Algorithm | SHA2-256 | SHA2-256 | |
Encryption Algorithm | AES256 | AES256 | |
SA lifetime (s) | 28800 | 28800 | |
PFS or not | N | N | |
Inbound Policy |
192.168.1.0/24 |
10.0.0.0/24 |
|
Outbound Subnet |
10.0.0.0/24 |
192.168.1.0/24 |
ตัวอย่าง IP
Public IP
HQ IP: 10.70.7.102 Branch IP: 10.70.8.100
Private IP Pool
HQ IP: 10.0.0.0/24 Branch IP: 192.168.1.0/24
ขั้นตอนการตั้งค่า IPSec VPN ฝั่ง HQ (Sangfor)
- ไปที่ Network > IPSecVPN > Status
- กด Enable VPN
- กด Enable VPN
- ไปที่ Network > IPSecVPN > VPN Interface (สำหรับ v8.0.35 ขึ้นไป ให้ข้ามหัวข้อนี้)
- กด Add เพื่อเลือก eth ที่จะเป็น LAN Interface และกรอก Subnet Mask กด OK ของหน้า popup
- กด OK ของหน้า VPN Interface
- ไปที่ Network > IPSecVPN > Third-Party Connection
- กด Add New Connection
- กด Add New Connection
- ใส่ข้อมูลต่อไปนี้
- Device Name
- Peer IP Address Type (Static IP, Dynamic Domain, Dynamic IP)
- Peer IP Address - ใส่ Public IP ของ Branch
- Auth Method - ใส่ Pre-Shared Key
- Local Line - เลือกIPSec Lineที่จะใช้
*ต้องติ๊กที่IPSec VPN out going line ที่ Edit Physical Interface ของขาWAN
*สำหรับ v8.0.35 ขึ้นไป ให้เซ็ตที่ Basic Settings > VPN Paths แทน
- ใน VPN path จะต้องใช้ IP ที่อยู่ใน วงเล็บ Interface เท่านั้น ไม่สามารถใช้ IP อื่นที่แปะไว้บน Interface ได้ ถ้าต้องเปลี่ยนให้ไปสลับ Order IP ที่ Interface ให้ขึ้นมาเป็นอันแรก ไม่งั้น Phase 1 จะไม่ UP
- หัวข้อ VPN Subnets ให้กรอกในกรณีที่มี Subnet ที่ Gateway อยู่ที่ Core Switch ถ้าGatewayอยู่บน NGAF สามารถข้ามได้
- Add New Traffic Encryption (กด Add หัวข้อ Encrypted Traffic) ต่อจากข้อ 4
- Local IP Address - วง Private IP ฝั่ง HQ เช่น 10.0.0.0/24 (อย่าลืมใส่ VPN Interface ในข้อ2 ถ้าอยากให้ NGAF ไปอีกSiteได้)
- Peer IP Address - วง Private IP ฝั่ง Branch เช่น 192.168.1.0/24
- เพิ่ม Security Proposal in Phase II
- Protocol เช่น ESP หรือ AH
- Encryption Algorithm เช่น AES256
- Auth Algorithm เช่น SHA2-256
- Perfect Forward Secrecy เช่น group2
- ไปที่ IKE Options
- IKE Version - IKEv1, Mode - Main mode or Aggressive mode (ใช้กรณีIPผ่านNAT)
- Initiate Connection - Enable
- Local ID Type - เลือก IP Address, Domain String, User String
- Local ID - ใส่ Public IP เครื่องนี้ (กรณีใช้แบบ IP Address)
- Peer ID Type - เลือก IP Address, Domain String, User String
- Peer ID - ใส่ Public IP เครื่องBranch (กรณีใช้แบบ IP Address)
- IKE SA Timeout
- D-H Group เช่น group2 (ต้องเหมือนกันทั้ง 2 Site)
- DPD - disabled
- NAT-T
- Detection Interval
- Max Attempts
- Security Proposal in Phase I (ต้องเหมือนกันทั้ง 2 Site)
- เลือก Encryption Algorithm เช่น AES256
- เลือก Auth Algorithm เช่น SHA2-256 จากนั้น กด Add
- Local ID กรณีใช้ IP จะต้องใช้เป็น IP แรกในinterface เท่านั้น
ขั้นตอนการตั้งค่า IPSec VPN ฝั่ง Branch (Mikrotik)
ในส่วนของ Branch ต้องตั้งค่าต่าง ๆ ให้เหมือนกับทาง HQ
- ไปที่ IP > IPsec
- เลือกแถบ Proposals (หรือ Policy Proposals)
- Auth Algorithms - ใส่ให้ตรง เช่น SHA256
- Encr. Alogrithms - ใส่ให้ตรง เช่น AES256 CBC
- Lifetime - ใส่ให้ตรง เช่น 28800 วิ หรือ 8 ชั่วโมง
- PFS Group - เลือกเป็น none
- เลือกแถบ Profiles (หรือ Peer Profiles)
- Hash Algorithms - ให้ตรง เช่น SHA256
- Encryption Algorithm - ให้ตรง เช่น AES256
- DH Group - ให้ตรงกัน เช่น ของ Group 2 เป็น modp1024
สามารถดูGroupเพิ่มเติมได้ ที่นี่ - Lifetime - ให้ตรงกัน เช่น 8 ชั่วโมง
- NAT Traversal - ให้ตรงกัน
- DPD Interval - disabled
- เลือกแถบ Peers
- Address ใส่ Public IP ของ HQ
- Profile เลือกอันที่ตั้งค่าในข้อที่ 3
- Exchange Mode เลือกให้ตรงกัน เช่น aggressive
- เลือกแถบ Policies
- Peer - เลือกอันที่สร้างในข้อ 4
- Tunnel - ติ๊กไว้
- Src. Address - ใส่วง Private IP ของฝั่ง Branch
- Dst. Adresss - ใส่วง Private IP ของฝั่ง HQ (NGAF)
- Action - เลือก encrypt
- Level - เลือก require
- IPsec Protocols - เลือกให้ตรง เช่น ESP
- Proposal - เลือก Proposal ในข้อ 2
การเช็คการเชื่อมต่อของ IPSec VPN
- ฝั่ง HQ (NGAF)
- ดูที่ Status จะมี Connection ใหม่ขึ้นมา
- ดูที่ Status จะมี Connection ใหม่ขึ้นมา
- ฝั่ง Branch (Mikrotik)
- ถ้าการตั้งค่าถูกต้องทั้ง 2 ฝั่ง ในแถบ Policies PH2 State จะเป็น established
- หรือดูที่แถบ Active Peer
- ถ้าการตั้งค่าถูกต้องทั้ง 2 ฝั่ง ในแถบ Policies PH2 State จะเป็น established
VDO ขั้นตอนการตั้งค่า
การ Troubleshoot เบื้องต้น
1. ไปที่ System > Troubleshooting > Logs เลือก Options แล้วเลือก เปิด Warning กับ Error แล้วเลือก VPN Service เพื่อดูLog error IPSec (ถ้าหากข้อมูลไม่พอสามารถเปิด Info กับ Debugเพิ่มได้)
2. ตรวจสอบ DH Group ของทั้ง phase 1 และ phase 2 ว่าตรงกันทั้ง 2 site หรือไม่
3. ตรวจสอบ วิธีการencrypt algorithm ของ traffic ระหว่าง 2 site ให้ตรงกัน
4. ตรวจสอบ Preshared Key ของทั้ง2ฝั่งให้ตรงกัน
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น