การตั้งค่า OpenVPN Site-to-Site โดยที่เครือข่ายส่วนตัว (LAN) ของ VPN ทั้ง 2 ฝั่งอยู่ Subnet เดียวกัน

Owned by Space Sync for Confluence
Jul 05, 2022
3 min read

การทำ VPN Tunnel แบบ Site-to-Site โดยต้องการให้เครือข่ายส่วนตัว (LAN) ฝั่ง Server และฝั่ง Client อยู่ภายใต้ Subnet เดียวกัน คือ Device ที่อยู่ข้างหลัง Router ใช้ IP วงเดียวกันสามารถทำได้ดังนี้

อุปกรณ์ที่ใช้

  1. Teltonika RUT955 จำนวน 2 ตัว ตั้งค่าเป็น VPN Server 1 ตัว และอีก 1 ตัวเป็น VPN Client

  2. Computer 2 เครื่อง เป็นอุปกรณ์ที่อยู่ในเครือข่ายส่วนตัว (LAN) ของ VPN ทั้ง 2 ฝั่ง

  3. Public IP Address สำหรับ VPN Server เพื่อการเชื่อมต่อของ VPN Client

การตั้งค่า

ฝั่ง Server

  1. ไปที่ Menu Services → VPN

  2. ทำการสร้าง Tunel Server โดยในหัวข้อ Role เลือกเป็น Server และตั้งชื่อ Tunnel ในหัวขอ New Configuration name จากนั้น ให้เลือก Add New (หลังจากเพิ่ม Tunnel แล้วจะปรากฏ Tunnel ที่สร้างในตาราง)

  3. ทำการตั้งค่า VPN โดยเลือกที่ Edit ในTunnel ที่ต้องการ(ในที่นี้ชื่อ server_Test1)

  4. Setting Open VPN ฝั่ง Server

    ในส่วนแรก ให้ Enable การทำงาน

    • เลือก Mode การเชื่อมต่อเป็น TAP(bridged) Mode การเชื่อมต่อนี้ถือเป็นหัวใจสำคัญของการให้ LAN IP ของฝั่ง Server และฝั่ง Client อยู่ภายใต้ Subnet เดียวกันได้ เพราะ DHCP server ของฝั่ง VPN Server จะสามารถจ่าย DHCP addresses ให้กับ Device client ในฝั่ง VPN Client ได้ >>อ่านเพิ่มเติม OpenVPN TUN vs TAP<<

    • เลือก Protocol /Port ตามต้องการ (และในฝั่ง Clients ต้องตั้งค่า ให้เหมือนกัน  (same authentication, same port, same protocol, etc.)

    • Authentication เลือกเป็น Static Key แล้วแนบไฟล์ Static.key >>การสร้าง Static key<<

ฝั่ง Client

  1. เริ่มด้วยการไปที่ Menu Services → VPN เหมือนฝั่ง Server แต่ในการสร้าง Tunel ให้เลือก Role เป็น Client

  2. ทำการตั้งค่า VPN โดยเลือกที่ Edit ในTunnel ที่สร้างขึ้น

ในส่วนแรก ให้ Enable การทำงาน

  • เลือก Mode การเชื่อมต่อเป็น TAP(bridged) ตั้งค่า Protocol /Port ให้เหมือนกับที่ตั้งไว้ในฝั่ง Server

  • Remote host/IP address ส่วนนี้เป็นส่วนที่สำคัญมากในการเชื่อมต่อของฝั่ง Client ไปยัง Server ให้ใส่ WAN IP ที่ต้องเป็น Public IP ของฝั่ง Server

  • Authentication เลือกเป็น Static Key แล้วแนบไฟล์ Static.key โดยใช้ไฟล์เดียวกับที่แนบให้ฝั่ง Server

เพียงเท่านี้การสร้าง VPN Connection แบบ site-to-site ก็เสร็จสิ้น สามารถ Check สถานะตรง Status --> Network--> Open vpn state ต้อง connect time connect ต้องวิ่ง

ในการสร้างการเชื่อมต่อแบบนี้ต้องระวังเรื่อง IP ของทั้ง Router และ device client ของทั้ง 2 ฝั่งไม่ให้ซ้ำกัน ด้วยเหตุที่ใช้ IP วงเดียวกัน เพราะฉนั้น IP ของ Device ทั้ง 2 ฝั่งจะมีเลข IP ตัวเดียวกันไม่ได้จะทำให้การเชื่อมต่อมีปัญหาทันที

 

และสำหรับใครที่ต้องการสร้าง site-to-site VPN เฉยๆ โดยที่ไม่ได้ต้องการให้ LAN IP ของ VPN ทั้ง 2 ฝั่งอยู่ Subnet เดียวกันก็สามารถทำได้โดยเปลี่ยนไปใช้ TUN Mode

เมื่อเปลี่ยนเป็น TUN mode Setting ที่เพิ่มขึ้นมาจะเป็น Tunnel IP และ Remote Network IP

  • Tunel endpoint IP เป็น IP สมมุติที่สร้างขึ้นการสร้าง Tunnel ในการสื่อสาร สามารถตั้งขึ้นมาได้เลย โดยต้องไปวง IP เดียวกัน และ Local tunnel endpoint IP ที่ฝั่ง Server จะเท่ากับ Remote tunnel endpoint IP ของฝั่ง Client เช่นเดียวกัน Local tunnel endpoint IP ที่ฝั่ง Client จะเท่ากับ Remote tunnel endpoint IP ของฝั่ง Server ด้วย หรือใส่ IP ตามภาพตัวอย่างด้านบนได้เลย

  • Remote network IP Address และ Remote network netmask เป็นวง LAN IP และ netmask ของ Router ในฝั่งตรงข้ามเช่น ตัวอย่างดังภาพ

ฝั่ง server setting

Remote network IP Address = 192.168.1.0

Remote network netmask = 255.255.255.0

ฝั่ง client setting

Remote network IP Address = 192.168.250.0

Remote network netmask = 255.255.255.0

เช่นกันเพียงเท่านี้การสร้าง VPN Connection แบบ site-to-site ก็ทำงานได้อย่างไม่มีปัญหา