Knowledge Zone:: By Sysnet การ Config อุปกรณ์ Cisco Ubiquiti Mikrotik Engenius Deliberant

การ Config อุปกรณ์ เครือข่าย Network Device => อุปกรณ์ Mikrotik Router => ข้อความที่เริ่มโดย: yod ที่ วันที่ 12 ธันวาคม 2012, 10:01:28

หัวข้อ: การทำ IPSecs VPN ผ่าน Dynamic DNS
เริ่มหัวข้อโดย: yod ที่ วันที่ 12 ธันวาคม 2012, 10:01:28

การทำ IPSecs VPN บนอุปกรณ์ Mikrotik ผ่าน Dynamic DNS



(http://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-000.gif)


บทความนี้สำหรับผู้ที่เล่น Routerboard มาพอสมควรแล้วนะครับ ถ้าต้องการ Config แบบง่ายๆ ให้ใช้วิธีการทำ VPN แบบ PPTP จะดีกว่าครับ


Config ให้ออก Internet และ Update Script Dynamic DNS ให้เรียบร้อยก่อนครับ จะทำให้สามารถ Remote เข้าไป Config ได้เลยทั้ง 2 ฝั่ง
## 24/06/2017 ใช้ cloud DDNS ของ Mikrotik ได้เลยครับ


[ฝั่ง Office: 192.168.1.0]

1. Menu IP --> IPSec

เพิ่ม Policies
Tab General
Src Address: 192.168.1.0/24
Dst Address: 192.168.2.0/24

(http://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-001.gif)

Tab Action
Click เลือก Tunnel
SA Src.Address: 1.1.1.1
SA Dst Address: 2.2.2.2

(http://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-002.gif)

Click [OK]

เพิ่ม Peer
Address: 1.1.1.1
Secret: test

(http://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-003.gif)

Click [OK]


2. เพิ่ม Script และ Schedule สำหรับ Update ค่า IP ขา Wan ใน Peer ให้แก้ไข Host ของ dynamic dns ให้เรียบร้อย

โค๊ด: [Select]
/system script
add name=dynamic-dns-update policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive source="\
    :global LocalSite [:resolve sysnethost.dyndns.org]\r\
    \n:global RemoteSite [:resolve sysnetsite.dyndns.org]\r\
    \n/ip ipsec policy set 0 sa-dst-address=\$RemoteSite sa-src-address=\$Loca\
    lSite\r\
    \n/ip ipsec peer set 0 address=\"\$RemoteSite/32\""

/system scheduler
add comment="" disabled=no interval=10m name=dynamic-dns-schedule on-event=\
    "dynamic-dns-update" policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive \
    start-date=jan/01/1970 start-time=00:00:01

3. หลังจาก Update script แล้วค่า IP ใน Policy และ Peer จะเปลี่ยนเป็น IP ขา Wan ของทั้งฝั่ง Office และ Site

(http://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-004.gif)

4. สร้าง Nat bypass
กำหนดตามรูป

(http://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-005.gif)

(http://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-006.gif)


เลื่อนขึ้นมาบนสุด

(http://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-007.gif)

5. สร้าง Route กำหนดตามรูปเช่นกันครับ

(http://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-008.gif)



[ฝั่ง Site: 192.168.2.0]

1. Menu IP --> IPSec

เพิ่ม Policies
Tab General
Src Address: 192.168.2.0/24
Dst Address: 192.168.1.0/24

(http://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-009.gif)

Tab Action
Click เลือก Tunnel
SA Src.Address: 1.1.1.1
SA Dst Address: 2.2.2.2

(http://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-010.gif)

Click [OK]

เพิ่ม Peer
Address: 1.1.1.1
Secret: test (ตั้งให้เหมือนกับฝั่ง Office)

(http://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-011.gif)

Click [OK]

2. เพิ่ม Script และ Schedule สำหรับ Update ค่า IP ขา Wan ใน Peer ให้แก้ไข Host ของ dynamic dns ใน Script ให้เรียบร้อย

โค๊ด: [Select]
/system script
add name=dynamic-dns-update policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive source="\
    :global LocalSite [:resolve sysnetsite.dyndns.org]\r\
    \n:global RemoteSite [:resolve sysnethost.dyndns.org]\r\
    \n/ip ipsec policy set 0 sa-dst-address=\$RemoteSite sa-src-address=\$Local\
    Site\r\
    \n/ip ipsec peer set 0 address=\"\$RemoteSite/32\""

/system scheduler
add comment="" disabled=no interval=10m name=dynamic-dns-schedule on-event=\
    "dynamic-dns-update" policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive \
    start-date=jan/01/1970 start-time=00:00:01


3. หลังจาก Update script แล้วค่า IP ใน Peer จะเปลี่ยนเป็น IP ขา Wan รูปจะเหมือนกับฝั่ง Office


4. สร้าง Nat bypass
กำหนดตามรูป

(http://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-014.gif)

(http://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-015.gif)


เลื่อนขึ้นมาบนสุด


5. สร้าง Route กำหนดตามรูปเช่นกันครับ

(http://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-008.gif)



ทดสอบ

1. ถ้า Peer Connect หากันเรียบร้อยแล้ว จะมีในรายการ Remote Peers ทั้งฝั่ง Office และฝั่ง Site

(http://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-012.gif)

(http://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-013.gif)


2. ฝั่ง Site ต้อง Ping ไปยังฝั่ง Office ได้

(http://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-016.gif)

และฝั่ง Office ต้อง Ping ไปยังฝั่ง Site ได้เช่นกัน

(http://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-017.gif)


3. ให้เครื่อง Computer ที่อยู่ฝั่ง Office ping ไปยังฝั่ง Site

(http://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-018.gif)


4. ลอง share file

(http://www.sysnetcenter.com/board/images/routerboard/ipsecs/ipsecs-vpn-019.gif)



เรียบร้อยครับ  ;D ;D ;D
หัวข้อ: Re: การทำ IPSecs VPN ผ่าน Dynamic DNS
เริ่มหัวข้อโดย: ruammit ที่ วันที่ 2 เมษายน 2014, 11:27:57
ขอถามครับ   ตรง  Roue  ช่อง  Geteway   ที่เซตเป็น ether1  ตรง  ether1  มันคืออะไรหรือครับ  เพราะ ผม ไม่ได้ใช้ ether1 ในการใช้งาน  ผมใช้  ether9 ต่อเน็ต  และใช้ bride ในการแจก DHCP  วงแลนครับ
หัวข้อ: Re: การทำ IPSecs VPN ผ่าน Dynamic DNS
เริ่มหัวข้อโดย: ruammit ที่ วันที่ 3 เมษายน 2014, 14:20:19
ปัญหาแรกผมแก้ได้แล้วครับแต่มีคำตามอีกว่า   ผมมีหลายสาขา  มันจะ ตั้งค่า อย่างไรครับ  ขอรบกวนด้วยน่ะครับ
หัวข้อ: Re: การทำ IPSecs VPN ผ่าน Dynamic DNS
เริ่มหัวข้อโดย: yod ที่ วันที่ 8 ตุลาคม 2015, 16:05:42

ทำซ้ำสำหรับอีก tunnel ได้เลยครับ
หัวข้อ: Re: การทำ IPSecs VPN ผ่าน Dynamic DNS
เริ่มหัวข้อโดย: chaichai ที่ วันที่ 21 มิถุนายน 2017, 21:08:30
ถ้ามี IP จริง ขั้นตอนที่ 2 ต้องทำไหมครับ (2. เพิ่ม Script และ Schedule สำหรับ Update ค่า IP ขา Wan ใน Peer ให้แก้ไข Host ของ dynamic dns ให้เรียบร้อย)
หัวข้อ: Re: การทำ IPSecs VPN ผ่าน Dynamic DNS
เริ่มหัวข้อโดย: yod ที่ วันที่ 22 มิถุนายน 2017, 11:15:07

IP จริง ไม่ต้องทำ Script Update ครับ

แต่..ROS Version 6.3 ขึ้นไปก็ไม่ต้องทำ script update Dynamic DNS แล้วนะครับ ตัว Mikrotik จะ Update ให้เองเลย

### แก้ไขครับ

6.3 ทาง Mikrotik ก็ยังไม่แก้ไขเรื่อง Update Peer อยู่ดี
หัวข้อ: Re: การทำ IPSecs VPN ผ่าน Dynamic DNS
เริ่มหัวข้อโดย: pongnakonphan ที่ วันที่ 26 กรกฎาคม 2017, 22:55:29
การทำ IPSecs VPN ผ่าน Dynamic DNS ในหัวข้อนี้ สามารถใช้ได้กับ RouterOS V.6.39 ไหมครับพี่ยอด
หัวข้อ: Re: การทำ IPSecs VPN ผ่าน Dynamic DNS
เริ่มหัวข้อโดย: yod ที่ วันที่ 27 กรกฎาคม 2017, 11:39:09

ได้อยู่ครับ

Users found this pages searching for: