วิธีกำหนดค่า Shrew Soft VPN Client ด้วยเราเตอร์ TP-Link VPN โดยใช้ GUI ใหม่
ด้วยฟังก์ชันไคลเอนต์ไปยัง LAN VPN เราเตอร์ VPN จะเป็นเซิร์ฟเวอร์ VPN และเราสามารถใช้พีซีของเราเพื่อสร้างอุโมงค์ VPN ด้วย จากนั้นเราสามารถเข้าถึงเครือข่ายส่วนตัวของ VPN Router ได้อย่างปลอดภัยผ่านทางอินเทอร์เน็ต แต่เราจำเป็นต้องใช้ซอฟต์แวร์ไคลเอนต์ VPN เช่น Shrew
ยกตัวอย่างโทโพโลยีต่อไปนี้ เราจะเรียนรู้วิธีกำหนดค่าเซิร์ฟเวอร์ VPN และไคลเอนต์ VPN
ขั้นตอนที่ 1 ตรวจสอบการตั้งค่าที่จำเป็นสำหรับ IPsec VPN บนเราเตอร์
ตรวจสอบเราเตอร์ VPN
เลือกเมนู สถานะ > สถานะระบบ และ เครือข่าย > LAN
ขั้นตอนที่ 2 ตั้งค่า IPsec VPN Server
(1) เลือกเมนู VPN > IPSec > IPSec Policy และคลิก Add เพื่อโหลดหน้าต่อไปนี้บนเราเตอร์ VPN กำหนดค่าพารามิเตอร์พื้นฐานสำหรับนโยบาย IPsec
· ระบุโหมดเป็น Client-to-LAN
· ระบุ Remote Host เป็น 10.10.10.20 คุณยังสามารถป้อน 0.0.0.0 เพื่ออนุญาตที่อยู่ IP ใดก็ได้
· ระบุ WAN เป็น WAN1 และโลคัลซับเน็ตเป็น 192.168.0.0/24
· ระบุ Pre-shared Key ตามที่คุณต้องการ ที่นี่เราป้อน 123456
(2) คลิกการตั้งค่าขั้นสูงเพื่อโหลดหน้าต่อไปนี้ ในส่วนการตั้งค่า Phase-1 ให้กำหนดค่าพารามิเตอร์ IKE phase-1
· เลือก md5-3des-dh2 เป็นข้อเสนอ
· ระบุโหมดการแลกเปลี่ยนเป็นโหมดก้าวร้าว
· ระบุโหมดการเจรจาเป็นโหมดตอบกลับ
· ระบุประเภท Local/Remote ID เป็น NAME
เมื่อเซิร์ฟเวอร์หรือไคลเอ็นต์ VPN อยู่หลังอุปกรณ์ NAT เราจะต้องเลือกโหมด Aggressive เป็นโหมด Exchange และเลือก NAME เป็น Local/Remote ID Type ไม่เช่นนั้นจะไม่สามารถสร้างอุโมงค์ VPN ได้
· ระบุ ID โลคัล/รีโมตตามที่คุณต้องการ ที่นี่เราระบุรหัสท้องถิ่นเป็น 123 และรหัสระยะไกลเป็น 321
(3) ในส่วนการตั้งค่า Phase-2 ให้กำหนดค่าพารามิเตอร์ IKE phase-2 คลิกตกลง
· ระบุโหมดการห่อหุ้มเป็นโหมดอุโมงค์
· เลือก esp-md5-3des เป็นข้อเสนอ
เมื่อเซิร์ฟเวอร์หรือไคลเอ็นต์ VPN อยู่หลังอุปกรณ์ NAT จะไม่สามารถระบุข้อเสนอเป็น ah-md5 หรือเป็น –sha1 มิฉะนั้น จะไม่สามารถสร้างอุโมงค์ VPN ได้
ขั้นตอนที่ 3 ตั้งค่าไคลเอนต์ IPsec VPN
(1) คลิกที่เพิ่ม เลือกเมนูทั่วไป ระบุชื่อโฮสต์หรือที่อยู่ IP เป็น 10.10.10.10 เลือกปิดใช้งานเป็นการกำหนดค่าอัตโนมัติ เลือกใช้อะแดปเตอร์ที่มีอยู่และที่อยู่ปัจจุบันเป็นโหมดอะแดปเตอร์
(2) เลือกเมนู Name Resolution ไม่ต้องติ๊กที่ Enable DNS และ Enable WINS
(3) เลือกเมนู การยืนยันตัวตน เลือก PSK รวมเป็นวิธีการรับรองความถูกต้อง เลือกชื่อโดเมนที่มีคุณสมบัติครบถ้วนเป็นประเภทการระบุ ระบุ 321 เป็นสตริง FQDN ในส่วน Local Identify และระบุ 123 เป็นสตริง FQDN ในส่วน Remote Identify
(4) เลือกเมนู การพิสูจน์ตัวตน > ข้อมูลประจำตัว ระบุคีย์ที่ใช้ร่วมกันล่วงหน้าเป็น 123456
(5) เลือกเมนู Phase 1 ภายใต้ Proposal Parameters, Exchange Type, DH Exchange, Cipher Algorithm และ Hash Algorithm เหมือนกันกับ VPN Router เราใช้ก้าวร้าว, group 2, 3des, md5 ที่นี่
(6) เลือกเมนู Phase 2 ภายใต้ Proposal Parameters, Transform Algorithm, HMAC Algorithm จะเหมือนกันกับ VPN Router’s, เราใช้ esp-3des, md5 ที่นี่ PFS Exchange และอัลกอริทึมการบีบอัดถูกปิดใช้งาน
(7) เลือกเมนู Policy ไม่ต้องติ๊กที่ Obtain Topology Automatically หรือ Tunnel All จากนั้นคลิกที่เพิ่ม เลือก รวมเป็นประเภท ป้อนที่อยู่เครือข่ายย่อย LAN ของเราเตอร์ VPN และซับเน็ตมาสก์ นั่นคือ 192.168.0.0, 255.255.255.0 จากนั้นคลิกตกลงและบันทึก
(8) คลิกที่เชื่อมต่อ
ขั้นตอนที่ 4 ตรวจสอบการเชื่อมต่อของ IPsec VPN Tunnel
เลือกเมนู VPN > IPsec > IPsec SA เพื่อโหลดหน้าต่อไปนี้ หากสร้างช่องสัญญาณ IPsec VPN สำเร็จ จะแสดงในรายการ