ตัวอย่างการเซ็ต OpenVPN แบบ Net-to-Net บน Endian Firewall

โดย อดิศร  ขาวสังข์
เขียนเมื่อ 25/11/2006
ทดลองบน Endian Firewall 2.0 (EFW-2.0 RESPIN)    

บทนำ
ผู้เขียนได้ทดลองใช้งาน OpenVPN แบบ Net-to-Net บน Endian Firewall 2.0 ซึ่งเซ็ตง่ายดีครับ ก็เลยได้เอามาแนะนำกัน ซึ่งการใช้งาน VPN แบบ net-to-net อาจจะเรียกอีกชื่อเป็นแบบ Site-to-Site หรือบางที่ก็อาจจะเรียกว่า Intranet VPN

ความต้องการของระบบ
การทดลองในที่นี้สมมุติว่าองค์กรของเรามีสำนักงานอยู่ 2 แห่ง เป็น Site A และ Site B ดังรูป ซึ่งในความเป็นจริงแล้วอาจจะมีจำนวน Site มากกว่านี้ แต่การประยุกต์ใช้งาน ก็ใช้หลักการที่จะกล่าวถึงนี้ได้ครับ และทั้งสอง Site ได้เช่าใช้บริการอินเตอร์เน็ตจากผู้ให้บริการเรียบร้อยแล้ว  นั่นหมายถึงทั้งสอง Site สามารถใช้งานอินเตอร์ได้  แต่มีความต้องการเพิ่มเติมคือ ต้องการให้เครืิอข่ายภายในที่ใช้ IP เป็น Private IP ของทั้งสอง Site สามารถเชื่อมต่อกันได้โดยมีความปลอดภัยของข้อมูลที่น่าเชื่อถือได้

ทางออกในที่นี้คือการใช้ระบบ VPN โดยเลือกเป็น OpenVPN เพราะเป็น Open Source ที่ไม่ต้องลงทุนซื้อ  และเลือกที่จะใช้ OpenVPN บน Endian Firewll ครับ

ขั้นตอนการเซ็ตมีดังนี้
ในที่นี้ผู้เขียนขอแสดงตัวอย่างการเซ็ตที่ Site A ส่วน Site B ก็ใ้ห้ใ้ช้หลักการเซ็ตที่เป็นแบบเดียวกันดังนี้

  1. ติดตั้ง Endian Firewall ทั้ง 2 Site
  2. เรียกเว็บเพจสำหรับการคอนฟิกค่าต่าง ๆ ดังรูป ซึ่งในที่นี้เ็ป็นรูปของ Site A นั่นคือเรียกไปที่ http://hostname แล้วจะุถูก redirect ไปเป็น ssl ที่ https://hostname:10443



  3. กำหนดค่าของ SSH Access ให้สามารถ Remote ผ่าน SSH ได้  ด้วยการ enable ดังรูป



  4. ในส่วนของ Openvpn Server ให้กำหนดค่า Global settings ด้วยการกำหนดช่วงของ IP Address ที่จะจ่ายให้กับ Server ฝั่งตรงข้าม ซึ่งในที่นี้ผู้เขียนกำหนดช่่วงเอาไว้จำนวน 20 IP ดังรูป



  5. จากรูปข้างบนให้คลิ๊กที่ Download CA Certificate เพื่อดาวน์โหลด CA ของเครื่องนี้ให้กับเครื่องฝั่งตรงข้าม  เพื่อใช้ในขั้นตอนของการ add tunnel configuration ของ Server ฝั่งตรงข้าม



  6. ที่ส่วน Openvpn Server ให้คลิ๊กปุ่ม Add account เพื่อให้เครื่องฝั่งตรงข้ามใช้ Account นี้เืชื่อมต่อเข้ามาได้ โดยค่าของ Remote Network ให้กำหนดด้วยเพราะเราเลือกเ็ป็น routed mode



  7. เมื่อเพิ่ม Account จะมีชื่อ account ดังรูป



  8. ในส่วนของ Openvpn Net2Net client ให้ทำการเพิ่ม tunnel ด้วยการคลิ๊กปุ่ม add tunnel configuration ดังรูป



  9. จากนั้นให้ป้อนข้อมูลของการสร้าง tunnel ดังรูป โดยค่าสำคัญเป็นดังนี้
    - connection to : ระุบุ Public IP ของ VPN Server ฝั่งตรงข้าม
    - username : ระบุ username ของ VPN Server ฝั่งตรงข้าม
    - password : ระบุ password ของ VPN Sever ฝั่งตรงข้าม
    - upload ca file : ใช้ไฟล์ CA ที่ดานว์โหลดมาจาก VPN Server ฝั่งตรงข้าม



  10. เมื่อทำการบันทึกค่าและให้ลองเข้าไปดู (แก้ไข) จะเห็น CA ดังรูป



  11. เมื่อมีการเชื่อมต่อมาจากเครื่องฝั่งตรงข้ามได้แล้ว  จะแสดงผลในส่วนของ Connection status and control ดังรูป  ซึ่งจะเห็นว่าเครื่องฝั่งเราได้จ่าย IP Address ที่เป็น 172.24.51.61 ใหักับ VPN Server ฝั่งตรงข้าม  ซึ่งเมื่อมีการเชื่อมต่อแบบนี้สำเร็จแล้วทั้งสองด้าน  จะทำให้เครื่อง Client ที่อยู่ด้านหลังของ VPN Server ของทั้งสองด้าน สามารถติดต่อถึงกันได้



  12. ซึ่งเมื่อ Remote ไปดูค่าของ ifconfig ที่ฝั่งตรงข้าม (Site B) จะได้ผลดังรูป



  13. ส่วนในฝั่งของเราเอง (Site A) จะได้ IP Address ดังรูป


จบครับ