VPN องค์กร

MikroTik VPN Site-to-Site ด้วย L2TP/IPSec เชื่อมสำนักงาน HQ กับสาขา

จาก: Booster IT • 54:45

VPN Site-to-Site ต่างจาก Client-to-Site ตรงที่เชื่อมเครือข่ายทั้งสองฝั่งเข้าหากัน ทำให้อุปกรณ์ในสำนักงาน HQ และสาขาสามารถติดต่อกันได้เสมือนอยู่วงเดียวกัน บทความนี้สอนตั้งค่า MikroTik VPN Site-to-Site ด้วย L2TP/IPSec พร้อม Static Routing

1

Concept Site-to-Site vs Client-to-Site

Client-to-Site:

  • อุปกรณ์เดียว (มือถือ/คอม) เชื่อมต่อเข้า VPN Server
  • เครื่องที่ Connect เห็นวงภายใน Server ได้
  • ไม่ต้องตั้ง Routing เพิ่ม

Site-to-Site:

  • Router สองตัวเชื่อมต่อกัน
  • ทั้งสองวงเครือข่ายเห็นกันได้
  • ต้องตั้ง Static Routing ทั้งสองฝั่ง
  • เหมาะกับ: เชื่อมสาขา, Work From Home ทั้งออฟฟิศ
2

IP Planning

ตัวอย่าง IP Scheme:

SiteLAN NetworkVPN Tunnel IP
HQ (Server)192.168.135.0/24192.168.89.1
Branch (Client)192.168.100.0/24192.168.89.2

หมายเหตุ:

  • VPN Tunnel IP ต้องเป็นวงใหม่ ไม่ซ้ำกับ LAN
  • HQ ต้องมี Public IP (จาก ISP หรือ Cloud DNS)
  • Branch ใช้ Internet อะไรก็ได้ (Fiber, 4G)
3

ตั้งค่า Server (HQ)

1. สร้าง PPP Profile:

  1. ไปที่ PPP > Profiles
  2. กด + สร้าง Profile ใหม่
  3. ตั้งชื่อ: VPN_SiteToSite
  4. ใน Tab Protocols:
  • Use Encryption: Required
  1. กด OK

2. สร้าง Secrets:

  1. ไปที่ PPP > Secrets
  2. กด + สร้าง User
  3. ใส่ข้อมูล:
  • Name: admin1
  • Password: Admin@123 (ตัวเล็ก+ใหญ่+ตัวเลข)
  • Service: L2TP
  • Profile: VPN_SiteToSite
  • Local Address: 192.168.89.1
  • Remote Address: 192.168.89.2
  1. กด OK
4

เปิด L2TP Server

ขั้นตอน:

  1. ไปที่ PPP > Interface
  2. คลิก L2TP Server
  3. ติ๊ก Enabled
  4. เลือก Default Profile: VPN_SiteToSite
  5. ตั้ง Use IPSec: Required
  6. ใส่ IPSec Secret: รหัสลับ (เช่น MySecret123)
  7. กด OK

IPSec ที่สร้างอัตโนมัติ:

  • MikroTik จะสร้าง IPSec Peer/Policy ให้อัตโนมัติ
  • ใช้ Algorithm: SHA1 + AES-256
  • ปลอดภัยระดับสูง
5

ตั้งค่า Client (Branch)

1. สร้าง L2TP Client:

  1. ไปที่ PPP > Interface
  2. กด + เลือก L2TP Client
  3. ใน Tab Dial Out:
  • Connect To: Public IP ของ HQ (เช่น 223.204.189.148)
  • User: admin1
  • Password: Admin@123
  • ติ๊ก Use IPSec: Yes
  • IPSec Secret: MySecret123 (ต้องตรงกับ Server)
  • ติ๊ก Add Default Route: ไม่ต้องติ๊ก
  1. กด OK

ตรวจสอบการเชื่อมต่อ:

  • Status ต้องขึ้น Connected
  • จะได้ IP: 192.168.89.2
6

ตั้งค่า Static Routing

ที่ HQ (ไปหา Branch):

  1. ไปที่ IP > Routes
  2. กด + สร้าง Route
  3. ใส่ข้อมูล:
  • Dst. Address: 192.168.100.0/24
  • Gateway: 192.168.89.2
  1. กด OK

ที่ Branch (ไปหา HQ):

  1. ไปที่ IP > Routes
  2. กด + สร้าง Route
  3. ใส่ข้อมูล:
  • Dst. Address: 192.168.135.0/24
  • Gateway: 192.168.89.1
  1. กด OK

หลักการ:

  • ถ้าจะไปหาวง 100 (Branch) ให้ไปทาง VPN IP 89.2
  • ถ้าจะไปหาวง 135 (HQ) ให้ไปทาง VPN IP 89.1
7

ทดสอบการเชื่อมต่อ

Ping Test:

`

# จาก HQ Router

ping 192.168.100.253

# จาก Branch Router

ping 192.168.135.254

`

Traceroute:

  • ดูเส้นทางว่าวิ่งผ่าน VPN Tunnel (192.168.89.x)

ทดสอบจริง:

  1. Share File: เปิด Share Folder แล้วเข้าจากอีกสาขา
  2. Web Server: เปิด Web Server ที่ HQ แล้วเข้าจาก Branch
  3. Network Drive: Map Network Drive ข้ามสาขา
8

เปรียบเทียบ Protocol

Protocolความเร็วความปลอดภัยแนะนำ
PPTPเร็วมากต่ำมากไม่แนะนำ
L2TP/IPSecปานกลางสูงแนะนำ
SSTPช้าสูงเฉพาะ Windows
OpenVPNปานกลางสูงมากต้องติดตั้งเพิ่ม

หมายเหตุ:

  • L2TP/IPSec ใช้ง่าย มาในตัว MikroTik
  • IPSec เข้ารหัส AES ป้องกัน Hacker

สรุป

MikroTik VPN Site-to-Site ด้วย L2TP/IPSec ช่วยเชื่อมเครือข่ายระหว่างสำนักงานใหญ่กับสาขา ทำให้ Share File, เข้า Web Server, หรือใช้ Network Printer ข้ามสาขาได้เสมือนอยู่วงเดียวกัน สำคัญคือต้องตั้ง Static Routing ทั้งสองฝั่ง

คำถามที่พบบ่อย

Q Site-to-Site ต่างจาก Client-to-Site ยังไง?

Client-to-Site เชื่อมอุปกรณ์เดียวเข้า VPN ส่วน Site-to-Site เชื่อมเครือข่ายทั้งวงเข้าหากัน ต้องตั้ง Routing ทั้งสองฝั่ง

Q ทำไมต้องตั้ง Static Routing?

เพราะ Router ไม่รู้จักวงเครือข่ายอีกฝั่ง ต้องบอกเส้นทางว่าถ้าจะไปหาวง X ให้ไปผ่าน VPN Tunnel IP

Q ใช้ได้กับ Internet ประเภทไหน?

ฝั่ง Server ต้องมี Public IP หรือใช้ Cloud DNS ของ MikroTik ส่วนฝั่ง Client ใช้ Internet อะไรก็ได้ ทั้ง Fiber และ 4G

Q IPSec Secret คืออะไร?

เป็นรหัสลับที่ใช้เข้ารหัส VPN Tunnel ทั้งสองฝั่งต้องตั้งค่าเหมือนกัน ถ้าไม่ตรงจะ Connect ไม่ได้

MikroTik VPN Site to Site L2TP IPSec VPN องค์กร Static Routing RouterBoard

บทความที่เกี่ยวข้อง

Synology NAS เป็น VPN Server: ตั้งค่า OpenVPN ฟรี

Synology NAS เป็น VPN Server: ตั้งค่า OpenVPN ฟรี

VPN องค์กร
FortiGate IPSec VPN Remote Access: คู่มือตั้งค่าฉบับสมบูรณ์

FortiGate IPSec VPN Remote Access: คู่มือตั้งค่าฉบับสมบูรณ์

VPN องค์กร
FortiGate SSL VPN: Training เบื้องต้นสำหรับผู้ดูแลระบบ

FortiGate SSL VPN: Training เบื้องต้นสำหรับผู้ดูแลระบบ

VPN องค์กร
Fortinet: ย้ายจาก SSL VPN ไปใช้ IPSec VPN (FortiOS 7.6)

Fortinet: ย้ายจาก SSL VPN ไปใช้ IPSec VPN (FortiOS 7.6)

VPN องค์กร