การทำ VPN แบบ PPTP Server บน pfSense

ต่อจากการทำ VPN แบบ PPTP บน Linksys RV042 วันนี้มาแนะนำการทำ VPN บน pfSense กันต่อเลยน่ะครับ pfSense เป็นระบบที่ใช้ในการจัดการ firewall ให้ง่ายขึ้น พัฒนามาจาก FreeBSD จากที่ทดลองใช้งานจนถึงวันนี้ 1 ปีกว่าๆ ยังไม่เกิดปัญหาใดๆ นับว่าเป็น Open firewall ที่มีความเสถียรตัวหนึ่งเลยที่เดียว โดยส่วนตัวผมทดลองใช้อยู่หลายตัวเหมือนกัน แต่ขอบเขตของความต้องการโดยส่วนตัว pfSense สามารถตอบได้ตรงใจผมได้ดีในขณะนั้น จนวันนี้อะไรๆ มันเปลี่ยน ความต้องการมีมากขึ้นทุกวัน แต่อย่างน้อย pfSense ก็สามารถช่วยเราได้ในระดับหนึ่ง จริงๆแล้วไม่เกี่ยวอะไรกับ VPN หรอก แต่อยากบอกว่า pfSense มีประสิทธิถาพไม่น้อยกว่า  open linux ตัวอื่นๆเลย สิ่งสำคัญอยู่ที่การนำไปใช้ และการจัดการที่ดีมากกว่า เข้าเรื่องเลยแล้วกัน การทำ VPN มีธีดังนี้
1. เข้าไปโหมด admin ของ pfSense เลือก เมนู  VPN -> PPTP


2. เลือก Enable PPTP Server


Max.Current Connections คือ Client สามารถเชื่อมต่อเข้ามาได้พร้อมกันสูงสุด 16 connections

Server Address คือ IP address ที่ใช้เชื่อมต่อ ของผมเป็นแบบ Fix IP เพื่อให้ Client เชื่อมผ่าน IP นี้เข้ามา
Remote Address Range คือ IP Pool ที่ต้องการจ่ายให้ client ที่เชื่อมต่อเข้ามาแล้ว ให้เริ่มใช้ IP 192.89.0.32 เป็นต้นไป

3. สร้าง User account เลือกที่ Users


4. การสร้าง Network connection ในเครื่อง Client ดูได้ ที่นี่

Shell script clear Squid Cache on pfSense

จากการที่ใช้ pfSene ทำเป็น firewall , proxy server นั้น นานนับปีแล้ว อย่างที่เคยบอกไป pfSense มันเสถียรพอได้ จนถึงตอนนี้ยังไม่พบปัญหากวนใจเลย ที่ต้องตรวจเช็คอยู่บ่อยๆ ก็คือ หน่วยจำ cache ของ pfSense ครับ วันนี้มาแนะนำการสร้าง shell script เพื่อลบ cache กันครับ

1. เชื่อมต่อไปยังเครื่องที่ติดตั้ง pfSense โดยเปิด terminal ขึ้นมาแล้วใช้คำสั่ง

ssh -l root ippfSense

ตัวอย่างของผมเป็น

ssh -l root 192.89.0.254

ใส่พาสเวิร์ดให้ถูกต้อง แล้วกด 8 -> กด Enter ดังรูป

2. ทำการสร้าง shell  โดยตั้งชื่อเป็น squid.sh (หรือชื่ออะไรก็ได้ แต่ต้องมีนามสกุล .sh)

vi /var/squid/squid.sh 

แล้วพิมพ์โค้ดด้านล่างลงไป

 /usr/local/etc/rc.d/squid.sh stop
 rm -rf /var/squid/cache/
 mkdir -p /var/squid/cache/
 chown squid:squid /var/squid/cache/
 chmod 777 /var/squid/cache/
 squid -z
 /usr/local/etc/rc.d/squid.sh start

จากนั้น save โดยกด :wp
3. กำหนดสิทธิ์ให้กับ squid.sh

chmod 777  /var/squid/squid.sh

4. สั่งให้ script ทำงาน เพื่อเคลียร์ cache กันครับ ใช้คำสั่ง

/var/squid/squid.sh

note : ตำแหน่งพาธ /var/squid/cache/  แต่ละเครื่องอาจจะไม่เหมือนกันน่ะครับ รูปด้านล่างเป็นตัวอย่าง ของผม

 

การทำ VPN บน pfSense

pfSense ทำ VPN ใช้ตั้งนานแล้ว ถือว่านิ่งมากเลยสำหรับระบบ Unix ตัวนี้ เอามาเก็บไว้ในเว็ปดีกว่า เดี่๋ยวลืมเผื่อได้ใช้ เดิมทีที่ทำงานผมใช้ Lead line แต่คำนวณราคากับงานที่ใช้ไม่คุ้มค่า เลยยกเลิก Lead line มาใช้ VPN แทน สำนักงานมี 2 แห่งทำ VPN กัน ฝั่ง Local คือฝั่งที่ตั้ง pfSense เป็นสำนักงานใหญ่ กทม. อีกฝั่งคือ ฝั่ง Remote ใช้ Router Linksys RV042 ที่สมุทรปราการ




บน pfSense  ไปที่ VPN > IPsec แล้ว Click ผมกำหนดค่า แบบนี้

และ Service ของ IPsec


คุยไม่เก่ง เอาเนื้อๆ จบ

การทำเน็ต แบบเน็ต 2 สาย

การทำเน็ต แบบเน็ต 2 สาย

พอดีมีคนมีคนถามเรื่องการ Server แบบเน็ต 2 สาย กันเข้ามามากเลยถือโอกาส แนะนำระบบ 2 สาย สไตร์ลุงอ้วนให้ชมกัน

ในระบบนี้จะประกอบไปด้วย ipcop + ADSL router อีก 1 ตัว

IPCOP

1. ให้คุณติดตั้งตามปกติ

2. ลง add-on ตามคุณต้องการ เช่น advance proxy ,copfilter,samba

3. ใครที่ต้องการ create war3 ก็สามารถทำได้ตามสบาย

การทำ Bat File แยก gateway

1. ให้เราสร้าง Bat File ของ โปรแกรม IE เพื่อที่เวลาใช้งานจะได้ไปยัง router 192.168.2.1 (เป็นการแยกเน็ต และ เกมส์ในตัว) โดยใช้ notepad สร้างไฟล์ขึ้นมา และพิมพ์ข้อมูล

2. Saveให้เป็น Bat File

3. เราก็สร้าง Bat File ในโปรแกรมที่เราต้องการให้ไปออกเส้น อินเตอร์เน็ต ได้ตามต้องการ

ข้อดี-ข้อเสีย

1. สามารถแยก เน็ต และเกมส์ ได้อย่างเด็ดขาด

2. สามารถทำเองได้ง่าย

3. แต่ระบบนี้ถ้าสายเกมส์ เกิด down เราต้องมาสร้าง bat file เพื่อให้กลับไปใช้เส้นเกมส์ ตามเดิม

การทำ LoadBalance บน PFSense

การทำ  LoadBalance  บน  PFSense แบบที่ 2

ขั้นตอนการติดตั้ง

1. ลงตามปกติ ตาม  www.linuxthai.org
2. หลังจากลงเรียบร้อยแล้วให้กำหนดค่าของ  WAN   กับ  WAN1  ให้รับ  DHCP  จาก  Router  ทั้ง 2 ตัว

3.  ให้ทำ  NAT  ทั้งสอง สาย เพื่อให้สามารถ เล่น   เน็ต   ได้ทั้ง 2 เส้น

4. ไปที่เมนู  loabalance  เพื่อสร้าง  pool   ขึ้นมา 3 อัน

5. กำหนด  Rule  ในการ เข้าออกของ Internet

= = = = = =  จบแล้วจ้า  = = = = = =

การติดตั้งโปรแกรมเสริม (AddOn)

การติดตั้งโปรแกรมเสริม (AddOn)

1. ให้คลิกที่ เมนู System + Packages จะพบ package ที่เราสามารถติดตั้งเพิ่มได้

2. ในที่นี่เราจะติดตั้งโปรแกรม  squid

3. ให้คลิกที่ Add ( เครื่องหมายบวก ) แล้วคลิกที่ปุ่ม  OK จะเริ่มกระบวนการติดตั้งโปรแกรม

การยกเลิกการติดตั้งโปรแกรมเสริม (Uninstall-AddOn)

1. ให้คลิกที่ เมนู System + Packages + Installer Packages จะพบ package ที่เราสามารถติดตั้งไปแล้ว

2. ให้เราคลิกที่ Remove

3. ให้คลิกที่ ่ปุ่ม  OK จะเริ่มกระบวนการถอนการติดตั้งโปรแกรม

การใช้งาน PFSENSE

การใช้งาน PFSENSE

• การเรียกใช้งานให้เราเปิด IE  เครื่องลูกข่ายของเราแล้วเรียก http://IPAddress  เช่น  http://192.168.1.1  จากนั้นให้เราใส่  username : admin   Password: ที่เราต้องไว้ ก็จะพบหน้าจอหลัก ดังรูป

จากรูป จะบอกสถานะของระบบ (System Information)

สถานะของ LAN Card

ใช้ในการดูว่า LAN Card  ของเราทำงานอยู่หรือไม่ ทำโดยการคลิกไปที่ เมนู status+ Interfaces จะพบหน้าจอ ดังรูป

ปริมาณข้อมูล ( Bandwidth )

ใช้ในการดูว่าปริมาณข้อมูล (ฺBandwidth)  ของเราในแต่ละวันเป็นอย่างไร โดยจะใช้โปรแกรม RRD ซึ่งแถมมาให้  ซึ่งสามารถทำโดยการคลิกไปที่ เมนู status+ RRD Graphs จะพบหน้าจอ ดังรูป

สถานะของ Service

ใช้ในการดูว่า Service   ของเราทำงานอยู่หรือไม่ ทำโดยการคลิกไปที่ เมนู status+ Services จะพบหน้าจอ ดังรูป

ดู Log File

ใช้ในการดู Log File   ของเรา ทำโดยการคลิกไปที่ เมนู Diagnostics+System logs จะพบหน้าจอ ดังรูป

Traffic Graph

ใช้ในการดูว่าปริมาณข้อมูล (ฺBandwidth)  ของเราในแบบ Real-Time  ซึ่งสามารถทำโดยการคลิกไปที่ เมนู status+ Traffic Graph จะพบหน้าจอ ดังรูป

การปิดเครื่อง

ทำโดยการคลิกไปที่ เมนู Diagnostics+Halt จะพบหน้าจอ ดังรูป

การReboot เครื่อง

ทำโดยการคลิกไปที่ เมนู Diagnostics+ Reboot System จะพบหน้าจอ ดังรูป

Show States

ทำโดยการคลิกไปที่ เมนู Diagnostics+Show States จะพบหน้าจอ ดังรูป

ขั้นตอนการเช็ตPfsense ครั้งแรก เมื่อ ติดตั้ง เสร็จ ครั้ง แรก

ให้เราเรียกใช้งานให้เราเปิด IE  เครื่องลูกข่ายของเราแล้วเรียก  http://192.168.1.1  จากนั้นให้เราใส่ User : admin  Pass : pfsense  ก็จะพบหน้าหลัก ดังรูป

  2. ให้เรากำหนด Homename, Domain และ DNS

3. ให้เรากำหนด Time Zone

4. ให้เรากำหนด IPAddress  และ  Gateway ของเส้น  WAN  ของเรา

5. ให้เรากำหนด IPAddress  ของ LAN

6. ให้เรากำหนดPassword ของ  admin (จำด้วยนะครับ)

7. ให้เราคลิกที่ปุ่ม  Reload  เพื่อเริ่มการทำงานใหม่

8. ถ้าไม่มีอะไรผิดปกติจะเจอหน้าจออย่างนี่ครับ (มาได้ครึ่งทางแล้ว)

9.  ต่อจากนั้นให้เราพิมพ์  http://192.168.1.1  แล้วใส่  User Name : admin  Password :  (ที่เราตั้งไปใหม่) จะเข้าสู่หน้าจอ ปกติ

• เราจะไปกำหนด  IP Address  ของเส้น Internet  โดยการคลิกที่ เมนู Interface + OPT1 ซึ่งให้เราตั่งชื่อใหม่จาก OPT1 เป็น Internet (จะได้ไม่งง)
• เลือก Type เป็น Static

10. ที่หน้าจอ OPT1  นั้นให้เรากำนดค่า  IP  และ  Gateway  ให้ถูกต้อง อย่าลืมเลือกที่ เลือก Enable Optional 1 interface  ด้วยนะครับ

11. กำหนด  NAT  ทั้ง2  สาย โดยการคลิกที่ เมนู Firewall + NAT

• คลิกที่ outbound  แล้วติ๊กที่  Enable Advanced outbound NAT แล้ว SAVE  จะได้ดังรูป

12. เราจะทำ  NAT ของสาย Internet  โดยการ คลิกที่ เพิ่ม (รูปเครื่องหมายบวก)

13. ให้เราใส่ค่าตามรูปนะครับ คือใส่  NetNumber  ของ 192.168.1.0 (อย่าผิดนะ)

14. ให้คลิกดังรูป

15. เราจะได้การทำ  NAT ทั้งสองเส้น ดังรูป

16. มาถึงการตั้ง Rule  เพื่อแยกการทำงานของ  Net +  Game ให้เราเข้าใจตรงกัน ดังนี้

• เมื่อใช้งาน port  80 (http://)  port 21(ftp://)  และ port 443 (https://) ให้ไปที่  Gateway 192.168.10.1 (อินเตอร์เน็ต)
• นอกจากนั้นให้ออกไปที่ 192.168.20.1 ( WAN)
• ให้คลิกที่เมนู  Firewall + Rules + LAN
• แล้วคลิกที่  Add ( เครื่องหมายบวก)

17. มาลองตั้ง Rule  ของ  port 8080 กันนะครับ ให้เราแก้ตามรูปนะครับ

ตรงนี้อย่าลืมเลือก  Gateway ให้เป็น 192.168.10.1 (Internet) นะครับ สำคัญนะ

17 มาลองตั้ง Rule  ของ  port 21 (Ftp) กันนะครับ ให้เราแก้ตามรูปนะครับ

18. ให้เราทำ  Rule  ของ  https:// ด้วยนะครับ แล้วทำการย้าย  rule  ของ  ftp ,http ,https ให้ไปไว้เหนือ  LAN  ดังรูป