setup OpenVPN กับ Endian Firewall ง่ายอย่างที่เขาว่าจริงๆ

จากที่ได้ลองผิดลองถูกอยู่ระยะหนึ่ง ก็พอจะทำให้เราเข้าใจการ set OpenVPN บน endian firewall ขึ้นมาบ้าง วันนี้จึงขอบันทึกไว้เพื่ออ้างอิงในภายหลัง

รูปแบบของเน็ตเวิร์กและการเชื่อมต่อ

Endian เป็น gateway มี ZyXel เป็น ADSL เซตแบบ bridge mode เพื่อให้ตัว endian ทำหน้าที่คอนโทรล network ทุกอย่าง ZyXel ทำหน้าที่เป็น ADSL Modem หมุนเข้า internet เท่านั้น และได้เป็น dynamic IP address จาก True มา หมายเลข IP จะเปลี่ยนแปลงทุกครั้งที่่ต่อเข้าใหม่ ซึ่งใช้ dyndns เป็น domain เน็ตเวิร์กภายในหลัง endian ต่อผ่าน GREEN interface มี server samba อยู่ หมายเลข IP คือ 192.168.0.22 admin อยู่ที่บ้านและต้องการ manage เซิร์ฟเวอร์เครื่องนี้ผ่าน notebook ซึ่งใช้ vista โดยจะใช้ vpn เป็นท่อเชื่อมต่อเข้ามา ซึ่งชาวบ้านเขาเรียกการเชื่อมต่อแบบนี้ว่า Host-to-Net Virtual Private Network (Roadwarrior)


ขั้นตอนการ setup ประกอบด้วย

1. set ค่า OpenVPN server ที่ Endian Firewall ให้เรียร้อยทั้งส่วน server และ add user
2. set ค่า VPN client ที่ฝั่ง vista โดยใช้ OpenVPN GUI


1.1 set OpenVPN ที่ฝั่ง Endian โดยคลิกหัวข้อ VPN
** OpenVPNserver
*** Server configuration



Global settings

OpenVPN server enabled: ต้องเลือกก่อนเลย เพื่อรัน OpenVPN Server
Dymanic IP pool start address: 192.168.0.10
Dynamic IP pool end address: 192.168.0.99


การใส่ Dymanic IP pool นั้นต้องใส่หมายเลข IP ของ GREEN interface และกำหนดช่วง IP ให้เหมาะสม เนื่องจากว่า openvpn server จะสร้างแลนชื่อ tap ซึ่งเป็น bridge กับ green interface ฉะนั้นจึงเป็นหมายเลขเดียวกัน โดยปกติหากเราใช้ endian ให้แจกหมายเลข IP ด้วยตัว green จะเป็นตัวแจกหมายเลข IP ให้กับระบบ ฉะนั้นควรจัดกลุ่มหมายเลขให้เหมาะสม ตามแบบของเราคือ ให้ green แจกตั้งแต่ 100 - 250 ส่วนต่ำกว่าร้อยลงมากำหนดให้ VPN เป็นต้น


จากนั้น คลิกปุ่ม Save and restart ซึ่งจะรัน openvpn server และสร้างแลนชื่อ tap ขึ้นมารองรับ

OpenVPN ควรจะรันได้แล้วให้ตรวจสอบสถานะดู

1.2 สร้าง Accounts ในการเชื่อมต่อแบบ VPN

- ต่อเลยที่ Accouts
Username : it3ps
Password: xxxxxxxx
Verify password:

จากนั้นคลิก Save

แบบธรรมดาที่สุด set เพียงเท่านี้ก่อน






3. อย่าลืม set Endian ให้เป็น Dyndns ด้วย
-> Service -> Dynamic DNS set ตามค่าที่เราลงทะเบียนไว้กับ dyndns นั่นแหละ
ตัวนี้สำคัญที่เราจะเอาไปใส่เป็นค่าของ remote สำหรับ VPN client

4. Download CA certificate จากหน้า setup VPN ของ endian มาเก็บไว้ก่อน เพื่อจะนำไปติดตั้งต่อไปที่เครื่อง client ซึ่งจะได้ไฟล์นามสกุล .cer

ขั้นตอน set ที่ฝั่ง client windows vista ด้วย OpenVPN GUI


1. ดาวน์โหลดไฟล์ จาก http://openvpn.se/download.html

Installation Package (Both 32-bit and 64-bit TAP driver included):
openvpn-2.0.9-gui-1.0.3-install.exe

ได้มาแล้วก็ติดตั้งในแบบฉบับของ windows คือ next ไฟล์จะถูกเก็บไว้ที่
c:\Program File\Openvpn

2. สร้างไฟล์ต่าง ๆ ประกอบด้วย certificated และ client.opvn
- ให้ copy ไฟล์ .cer ที่เราดาวน์โหลดมาจาก endian ไปเก็บไว้ที่ c:\Program file\Openvpn\config
- สร้างไฟล์ client.opvn โดย copy มาจาก sample-config และปรับปรุงแก้ไข option ต่าง ๆ ดังนี้
(ผมใช้วิธีเขียนใหม่ทั้งไฟล์โดยใช้ notepad )

client
dev tap
proto udp
remote it3ps.gotdns.com
resolv-retry infinite
nobind
persist-key
persist-tun
ca efwps.cer
auth-user-pass
comp-lzo

ที่สำคัญมากคือ remote ใส่ชื่อ dyndns ที่เรา set ให้กับ endian ของเรา
ca ให้ระบุชื่อไฟล์ .cer ที่ดาวน์โหลดมากจาก endian

3. ให้ดับเบิลคลิกเปิดไฟล์ OpenVPN GUI จะขึ้นไอคอนที่ taskbar คลิกขวาที่ไอคอนเพื่อเปิด popup เมนูขึ้นมา



ให้คลิก Connect จะปรากฏ หน้าต่างสำหรับกรอก username ให้ใส่ตามที่ set ไว้ในโหมด Account ที่ endian

เพียงเท่านี้ก็สามารถเชื่อมต่อแบบ VPN ได้แล้ว


เรื่องราวเพิ่มเติม

OpenVPN บน Endian Firewall บทสรุปเพิ่มเติม