HOME / XPERT ZONE / MikroTik / VPN : คู่มือการตั้งค่า MikroTik ให้ทำงานเป็น IKEv2/IPSec เพื่อให้ผู้ใช้งาน VPN เข้ามาผ่าน PC , Mobile

VPN : คู่มือการตั้งค่า MikroTik ให้ทำงานเป็น IKEv2/IPSec เพื่อให้ผู้ใช้งาน VPN เข้ามาผ่าน PC , Mobile

ปรับปรุงข้อมูลล่าสุด : 20220930-135434

VPN : คู่มือการตั้งค่า MikroTik ให้ทำงานเป็น VPN Client แบบ IKEv2/IPsec

คำถาม

- มือถือบางรุ่น ไม่รองรับ L2TP แต่ต้องการทำ VPN ทำอย่างไรดี
- อยากทำ VPN แต่ต้องการให้มีความปลอดภัยค่อนข้างสูง เครื่องที่จะเชื่อมต่อเข้ามาต้องทำการยืนยัน Certificate ก่อนเท่านั้น ถึงจะเชื่อมต่อเข้ามาได้

คำตอบ

IKEv2 สามารถตอบโจทย์นี้ได้

ขั้นตอนการคอนฟิก
1. สร้าง Interface, IP และ Pool ที่จะใช้งานบน ike2/IPsec
2. สร้าง Certificate CA ทำการ Sign และ Export
3. สร้าง Certificate Server ทำการ Sign
4. สร้าง Certificate Client ทำการ Sign และ Export
5. คอนฟิกค่า IPSec ให้ตัวอุปกรณ์
6. คอนฟิกค่า Firewall ให้ตัวอุปกรณ์
7. ฝั่ง Client Windows - ทำการ Certificate และเชื่อมต่อ VPN

* ตัวอย่าง Session ของ User ที่ VPN เข้ามา *


8. ฝั่ง Client Android - ทำการ Certificate และเชื่อมต่อ VPN.


1. สร้าง Interface และ IP, Pool ที่จะใช้งานบน ike2

- สร้าง Interface บริดจ์สำหรับ ike2
( Winbox > เมนู Bridge > แท็ป Bridge กดเพิ่ม " + " )




- ตัวอย่างใช้ IP : 100.100.100.1/24 เลือก interface bridge ที่สร้างก่อนหน้า
( Winbox > เมนู IP-Address > กดเพิ่ม " + " )




- สร้าง IP Pool ที่จะแจกให้ client ที่จะเชื่อม vpn เข้ามา / ตัวอย่าง: กำนหนด Rank IP: 100-199
( Winbox > เมนู IP-Pool > กดเพิ่ม " + " )





2. สร้าง Certificate CA ทำการ Sign และ Export

- สร้าง IKE2_CA. / ตัวอย่างกำหนดชื่อเป็น VPN_IKE2_CA
( Winbox > เมนู System>Certificates > แท็ป General ทำการเพิ่ม " + " )
* Day Valid จะกำหนดวันหมดอายุ อาทิ กำหนด 365 หลัง login เกิน 365 วัน ก็จะไม่สามารถใช้งานได้)




แท็ป Key Usage เลือก crl sign. และ key cert. sign

ทำการ Sign Certificate ที่สร้าง

( Winbox > เมนู System>Certificates > ทำการคลิกขวา Cer ที่ต้องการ แล้วกด Sign )




- Certificate เลือก VPN_IKE2_CA แล้วกด Start
* สังเกตุที่ Progress ถ้าสำเร็จ จะขึ้น done




- ตัวอย่างการ Certificate ที่ทำการ sign แล้ว / จุดสังเกตุ Trusted จะ yes หรือถ้าเลื่อนไปทางขวาจะมีตัวเลข hex แสดงขึ้นมา

ทำการ Export ไฟล์ Certificate

คลิกขวาที่ VPN_IKE2_CA เลือก Export โดยกำหนดค่า
Certificate : VPN_IKE2_CA
Type: PEM
File Name: VPN_IKE2_CA (แนะนำตั้งชื่อไฟล์ที่จะ Export ออกมา)





3. สร้าง Certificate Server ทำการ Sign

- สร้าง IKE2_Server / ตัวอย่างกำหนดชื่อเป็น VPN_IKE2_SERVER
( Winbox > เมนู System>Certificates > แท็ป General ทำการเพิ่ม " + " )
* แนะนำให้ HQ ทำการใช้ Dynamic DNS Name หรือไม่ก็ต้อง Fix IP จริง เพราะไม่งั้นต้องมาเปลี่ยน IP จริงกันทุกครั้งหลังผู้ให้บริการโยน ip ใหม่มาให้เรา
* Subject Alt.Name: DNS , DDNS ( ตัวอย่างใช้ basisware2.dyndns.info )
* Day Valid จะกำหนดวันหมดอายุ อาทิ กำหนด 365 หลัง login เกิน 365 วัน ก็จะไม่สามารถใช้งานได้




- แท็ป Key Usage. / เลือกคลิก tls client

ทำการ Sign IKE2_Server

( เลือก IKE2_Server คลิกขวา กด Sign )




- Certificate เลือก VPN_IKE2_IKE2_Server
CA เลือก VPN_IKE2_CA แล้วกด Start
* สังเกตุที่ Progress ถ้าสำเร็จ จะขึ้น done






4. สร้าง Certificate Client ทำการ Sign และ Export

- สร้าง IKE2_Client1 และ IKE2_Client2 ( ยกตัวอย่าง 2 client โดยจะแบ่งเป็น Android และ PC )
* รูปตอนสร้าง IKE2_Client1 ลืมเซฟไว้ ขออภัยด้วยครับ




- แท็ป Key Usage เลือก tls client เหมือนกัน




- สร้าง IKE2_ClientN. ( กรณีต้องการสร้าง Client อื่นๆเพิ่มเติม )




- แท็ป Key Usage เลือก tls client เหมือนกัน

ทำการ Sign IKE2_Client

- Sign ให้ IKE2_Client1
( เลือก IKE2_Client1 คลิกขวา กด Sign )




- Certificate เลือก VPN_IKE2_Client1
CA เลือก VPN_IKE2_CA แล้วกด Start
* สังเกตุที่ Progress ถ้าสำเร็จ จะขึ้น done




- Sign ให้ IKE2_Client2
( เลือก IKE2_Client2 คลิกขวา กด Sign )




- Certificate เลือก VPN_IKE2_Client2
CA เลือก VPN_IKE2_CA แล้วกด Start
* สังเกตุที่ Progress ถ้าสำเร็จ จะขึ้น done




- ตัวอย่าง Certificate ที่ได้สร้างและ Sign แล้วทั้งหมด

ทำการ Export ไฟล์ Client

คลิกขวาที่ VPN_IKE2_Client1 เลือก Export โดยกำหนดค่า
Certificate : VPN_IKE2_CA
Type: PKCS12
File Name: VPN_IKE2_Client1 (แนะนำตั้งชื่อไฟล์ที่จะ Export ออกมา)




- คลิกขวาที่ VPN_IKE2_Client2 เลือก Export โดยกำหนดค่า
Certificate : VPN_IKE2_CA
Type: PKCS12
File Name: VPN_IKE2_Client2 (แนะนำตั้งชื่อไฟล์ที่จะ Export ออกมา)




- กรณี ถ้ามี Client อื่นๆก็ทำตามขั้นตอนเดียวกันได้เลย



5. คอนฟิกค่า IPSec ให้ตัวอุปกรณ์

( Winbox > เมนู IP-IPSec > แท็ป Mode Configs ทำการเพิ่ม " + " )
กำหนดค่าตามรูป




( Winbox > เมนู IP-IPSec > แท็ป Profiles ทำการเพิ่ม " + " )
กำหนดค่าตามรูป




( Winbox > เมนู IP-IPSec > แท็ป Groups ทำการเพิ่ม " + " )
กำหนดค่าตามรูป




( Winbox > เมนู IP-IPSec > แท็ป Proposal ทำการเพิ่ม " + " )
กำหนดค่าตามรูป




( Winbox > เมนู IP-IPSec > แท็ป Policies ทำการเพิ่ม " + " )
แท็ป General - กำหนดค่าตามรูป



แท็ป Action - กำหนดค่าตามรูป




( Winbox > เมนู IP-IPSec > แท็ป Peer ทำการเพิ่ม " + " )
กำหนดค่าตามรูป




( Winbox > เมนู IP-IPSec > แท็ป Identities ทำการเพิ่ม " + " )
จะสร้างตามจำนวน client ที่ต้องการ ตัวอย่างจะสร้าง 2 (client1.และ client2)
client1 - กำหนดค่าตามรูป
* Romote Certification: VPN_IKE2_Client1




client2 - กำหนดค่าตามรูป
* Romote Certification: VPN_IKE2_Client2






6. คอนฟิกค่า Firewall ให้ตัวอุปกรณ์

- กำหนด rule เพื่อให้ mikrotik ยอมรับ Accept ike2 ที่จะเข้ามา
( Winbox > เมนู IP-Firewall > แท็ป Filter Rules ทำการเพิ่ม " + " )
แท็ป General - กำหนดค่าตามรูป



แท็ป Action - accept




- กำหนด rule เพื่อกำหนด input ให้ IP ของ vpn ike2
( Winbox > เมนู IP-Firewall > แท็ป Filter Rules ทำการเพิ่ม " + " )
แท็ป General - กำหนดค่าตามรูป



แท็ป Advanced - กำหนดค่าตามรูป



แท็ป Action - accept





- กำหนด rule เพื่อกำหนด forward ให้ IP ของ vpn ike2
( Winbox > เมนู IP-Firewall > แท็ป Filter Rules ทำการเพิ่ม " + " )
แท็ป General - กำหนดค่าตามรูป



แท็ป Advanced - กำหนดค่าตามรูป



แท็ป Action - accept





- กำหนด rule เพื่อกำหนด scrnat ให้ IP ของ vpn ike2
( Winbox > เมนู IP-Firewall > แท็ป Filter Rules ทำการเพิ่ม " + " )
แท็ป General - กำหนดค่าตามรูป



แท็ป Action - masquerade





7. ฝั่ง Client Windows - ทำการ Certificate และเชื่อมต่อ VPN

นำไฟล์ CA และ Client มาติดตั้งที่ฝั่ง Client

ทำการโหลดไฟล์ Certificate ที่ Export ก่อนหน้านี้ ออกมา
1. VPN_IKE2_CA
2. VPN_IKE2_Client (จะมี password ที่ได้กำหนดไว้ตอนสร้าง Cer)

ติดตั้ง VPN_IKE2_CA

- คลิกขวา VPN_IKE2_CA // ทำการ Install Certificate




- เลือก Local Machine // กด Next




- เลือก Place all certificates in the following store // ทำการ Browse
เลือก Personal // กด OK. // กด Next




- แสดงรายละเอียดการคอนฟิก // กด Finish




- แสดงการติดตั้ง VPN_IKE2_CA เสร็จเรียบร้อย

ติดตั้ง VPN_IKE2_Client2

- คลิกขวา VPN_IKEv2_Client2. // ทำการ Install PFX




- เลือก Local Machine // กด Next




- ระบบจะแสดง patch ของไฟล์ cer ให้อัตโนมัติ // กด Next




- เลือกติ๊ก 1 +2 แล้วทำการป้อน Password. //. กด Next




- เลือก Place all certificates in the following store. // กด Browse ไฟล์
เลือก Personal. // กด OK. แล้ว กด Next




- แสดงรายละเอียดการคอนฟิก // กด Finish

คัดลอก CA ไปยัง Trusted Root Certification

- กดปุ่มค้นหาของ Windows ขึ้นมา แล้วพิพม์ คำว่า "cert"
จะขึ้นโชว์โปรแกรม Manage computer certificates. แล้วจึงกดเข้าโปรแกรมดังกล่าว




- Certificates - Local Computer > Personal > Certificates
ทำการคลิกตรวจสอบ cer ว่าตรงกับที่เราได้ทำการติดตั้งก่อนหน้านี้ไหม




- ทำการ drag and drop "VPN_IKE2_CA". ไปวางยัง Trusted Root Certification Authorities




- Certificates - Local Computer > Trusted Root Certification Authorities > Certificates
ตรวจเช็คว่าไฟล์ได้ถูกโยกมาเรียบร้อยแล้วหรือยัง (ปกติ จะอยู่ล่างสุด)

ทำการคอนฟิก VPN connection และทดสอบเชื่อมต่อ VPN

- เข้าเมนู Open Network & Internet setting > VPN > Add VPN connection
(เข้าผ่านทาง Control Panel หรือ คลิกขวาที่รูปไอคอน คอมพิวเตอร์ ด้านขวาล่าง > Open Network & Internet setting)




- ป้อนข้อมูลเชื่อม VPN ตามตัวอย่าง
( ServerName เปลี่ยนไปตาม ต้นทางที่เราต้องการจะเชื่อม VPN). กด Save




- คลิกขวา Peoperties ของ VPNname ที่สร้างก่อนหน้านี้




- แท็ป Security. เลือกตามรูปได้เลย




- (1) แท็ป Networking
(2) default จะติ๊กเลือกทุกอัน ให้เอาออก เหลือเฉพาะ TCP/IPv4
คลิกเลือก TCP/IPv4 แล้วกด (3) Properites
ปรับเป็น Obtain ทั้ง IP, DNS แล้วกด (4) Advanced
(5) แท็ป WINS. เลือก (6) Disable NetBIOS over TCP/IP. กด OK ยืนยัน (7) (8) (9)




- ทำการทดสอบเชื่อมต่อ VPN
(1) Notebook จะเชื่อมต่ออินเตอร์เน็ตจากมือถือ
(2) กดเชื่อมต่อ vpn ไปยัง Office สถานะ Connected




(1) เช็ค IP ที่ได้รับจาก VPN แจกมาให้ 100.100.100.xx
(2) ทำการ Ping จากฝั่ง client ไปยังฝั่ง Server ตัวอย่าง ping ไปยัง NAS ที่อยู่ฝั่ง Server
(3) ทดสอบเปิดโพลเดอร์ไฟล์ที่แชร์ใน NAS ได้ปกติ





ตัวอย่าง Session ของ User ที่ VPN เข้ามา

( Winbox > เมนู IP-IPSec > แท็ป Active Peers )




จบบทความ

Back to XPERT ZONE