การทำ IPSecs VPN บนอุปกรณ์ Mikrotik ผ่าน Dynamic DNS

(https://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-000.gif)


บทความนี้สำหรับผู้ที่เล่น Routerboard มาพอสมควรแล้วนะครับ ถ้าต้องการ Config แบบง่ายๆ ให้ใช้วิธีการทำ VPN แบบ PPTP จะดีกว่าครับ


Config ให้ออก Internet และ Update Script Dynamic DNS ให้เรียบร้อยก่อนครับ จะทำให้สามารถ Remote เข้าไป Config ได้เลยทั้ง 2 ฝั่ง
## 24/06/2017 ใช้ cloud DDNS ของ Mikrotik ได้เลยครับ


[ฝั่ง Office: 192.168.1.0]

1. Menu IP --> IPSec

เพิ่ม Policies
Tab General
Src Address: 192.168.1.0/24
Dst Address: 192.168.2.0/24

(https://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-001.gif)

Tab Action
Click เลือก Tunnel
SA Src.Address: 1.1.1.1
SA Dst Address: 2.2.2.2

(https://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-002.gif)

Click [OK]

เพิ่ม Peer
Address: 1.1.1.1
Secret: test

(https://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-003.gif)

Click [OK]


2. เพิ่ม Script และ Schedule สำหรับ Update ค่า IP ขา Wan ใน Peer ให้แก้ไข Host ของ dynamic dns ให้เรียบร้อย

/system script
add name=dynamic-dns-update policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive source="\
    :global LocalSite [:resolve sysnethost.dyndns.org]\r\
    \n:global RemoteSite [:resolve sysnetsite.dyndns.org]\r\
    \n/ip ipsec policy set 0 sa-dst-address=\$RemoteSite sa-src-address=\$Loca\
    lSite\r\
    \n/ip ipsec peer set 0 address=\"\$RemoteSite/32\""

/system scheduler
add comment="" disabled=no interval=10m name=dynamic-dns-schedule on-event=\
    "dynamic-dns-update" policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive \
    start-date=jan/01/1970 start-time=00:00:01

3. หลังจาก Update script แล้วค่า IP ใน Policy และ Peer จะเปลี่ยนเป็น IP ขา Wan ของทั้งฝั่ง Office และ Site

(https://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-004.gif)

4. สร้าง Nat bypass
กำหนดตามรูป

(https://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-005.gif)

(https://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-006.gif)


เลื่อนขึ้นมาบนสุด

(https://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-007.gif)

5. สร้าง Route กำหนดตามรูปเช่นกันครับ

(https://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-008.gif)



[ฝั่ง Site: 192.168.2.0]

1. Menu IP --> IPSec

เพิ่ม Policies
Tab General
Src Address: 192.168.2.0/24
Dst Address: 192.168.1.0/24

(https://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-009.gif)

Tab Action
Click เลือก Tunnel
SA Src.Address: 1.1.1.1
SA Dst Address: 2.2.2.2

(https://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-010.gif)

Click [OK]

เพิ่ม Peer
Address: 1.1.1.1
Secret: test (ตั้งให้เหมือนกับฝั่ง Office)

(https://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-011.gif)

Click [OK]

2. เพิ่ม Script และ Schedule สำหรับ Update ค่า IP ขา Wan ใน Peer ให้แก้ไข Host ของ dynamic dns ใน Script ให้เรียบร้อย

/system script
add name=dynamic-dns-update policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive source="\
    :global LocalSite [:resolve sysnetsite.dyndns.org]\r\
    \n:global RemoteSite [:resolve sysnethost.dyndns.org]\r\
    \n/ip ipsec policy set 0 sa-dst-address=\$RemoteSite sa-src-address=\$Local\
    Site\r\
    \n/ip ipsec peer set 0 address=\"\$RemoteSite/32\""

/system scheduler
add comment="" disabled=no interval=10m name=dynamic-dns-schedule on-event=\
    "dynamic-dns-update" policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive \
    start-date=jan/01/1970 start-time=00:00:01


3. หลังจาก Update script แล้วค่า IP ใน Peer จะเปลี่ยนเป็น IP ขา Wan รูปจะเหมือนกับฝั่ง Office


4. สร้าง Nat bypass
กำหนดตามรูป

(https://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-014.gif)

(https://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-015.gif)


เลื่อนขึ้นมาบนสุด


5. สร้าง Route กำหนดตามรูปเช่นกันครับ

(https://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-008.gif)



ทดสอบ

1. ถ้า Peer Connect หากันเรียบร้อยแล้ว จะมีในรายการ Remote Peers ทั้งฝั่ง Office และฝั่ง Site

(https://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-012.gif)

(https://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-013.gif)


2. ฝั่ง Site ต้อง Ping ไปยังฝั่ง Office ได้

(https://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-016.gif)

และฝั่ง Office ต้อง Ping ไปยังฝั่ง Site ได้เช่นกัน

(https://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-017.gif)


3. ให้เครื่อง Computer ที่อยู่ฝั่ง Office ping ไปยังฝั่ง Site

(https://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-018.gif)


4. ลอง share file

(https://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-019.gif)



เรียบร้อยครับ  ;D ;D ;D

ขอถามครับ   ตรง  Roue  ช่อง  Geteway   ที่เซตเป็น ether1  ตรง  ether1  มันคืออะไรหรือครับ  เพราะ ผม ไม่ได้ใช้ ether1 ในการใช้งาน  ผมใช้  ether9 ต่อเน็ต  และใช้ bride ในการแจก DHCP  วงแลนครับ

ปัญหาแรกผมแก้ได้แล้วครับแต่มีคำตามอีกว่า   ผมมีหลายสาขา  มันจะ ตั้งค่า อย่างไรครับ  ขอรบกวนด้วยน่ะครับ

ทำซ้ำสำหรับอีก tunnel ได้เลยครับ

ถ้ามี IP จริง ขั้นตอนที่ 2 ต้องทำไหมครับ (2. เพิ่ม Script และ Schedule สำหรับ Update ค่า IP ขา Wan ใน Peer ให้แก้ไข Host ของ dynamic dns ให้เรียบร้อย)

IP จริง ไม่ต้องทำ Script Update ครับ

แต่..ROS Version 6.3 ขึ้นไปก็ไม่ต้องทำ script update Dynamic DNS แล้วนะครับ ตัว Mikrotik จะ Update ให้เองเลย

### แก้ไขครับ

6.3 ทาง Mikrotik ก็ยังไม่แก้ไขเรื่อง Update Peer อยู่ดี

การทำ IPSecs VPN ผ่าน Dynamic DNS ในหัวข้อนี้ สามารถใช้ได้กับ RouterOS V.6.39 ไหมครับพี่ยอด

ได้อยู่ครับ