การทำ VPN Site to Site โดยใช้ Zyxel Router

รุ่นที่สามารถทำ VPN Site to Site ได้เช่น
650H 10 vpn
661H 2 vpn
662H 20 vpn
792H 10 vpn

สิ่งสำคัญก็คือที่แต่ละสาขาจะต้องใช้ Subnet ไม่ซ้ำกันเช่น 192.168.1.x , 192.168.2.x, ...

ค่า Parameter ที่ต้องใส่คือ
1. Name คือชื่อของ VPN ใส่ให้สื่อความหมาย เช่น HQ to Office

2. Local ให้ใส่ IP Subnet ของ Local Network ก็คือ IP ของ Network ที่อยู่หลัง Router นั่นเอง

3. Remote คือ Subnet ของฝั่ง remote

4. Security Gateway Address สามารถใส่ได้ทั้ง IP และ DNS หรือ DDNS

5. Pre-Share Key อย่างต่ำ 8 ตัวอักษร แต่ใส่ยิ่งยาวยิ่งดี

ถ้า Config ในหน้า Web แล้วมีปัญหา Router ค้าง ก็ให้ใช้วิธี Telnet เข้า Menu 27 ใส่ Parameter ตามข้างบน ก็ได้เหมือนกัน

Note

- VPN ที่สร้างขึ้นถ้าไม่มีการส่งข้อมูลกันนานกว่า 2 นาทีจะถูกตัดออก ต้องเข้าหน้า CLI ไปสั่ง
ras> ipsec timer chk_conn 0 (0 = never disconnect)
- ถ้ามีการใช้ DDNS สายตัดแล้ว IP เปลี่ยนจะต้องใช้เวลา 15 นาทีกว่าที่ Zyxel จะ update peer ip ให้ เราสามารถสั่งให้ update เร็วกว่านี้ได้จากคำสั่ง
ras> ipsec timer update_peer 5 (น้อยที่สุดคือ 5 นาที)
- เราสามารถบังคับให้เชื่อมต้อ VPN กันได้โดยใช้คำสั่ง
ras> ipsec dial 1 (1 = vpn แรกที่ set ค่าเอาไว้)
- ถ้าฝั่ง local หรือ remote ใช้ ddns ก่อนสั่ง dial เราควรที่จะ update peer ip ก่อนโดย
ras> ipsec updatePeerIp
- command line พวกนี้ถ้า reboot router แล้วจะหายไป จึงต้องเอาไปใส่เอาไว้ใน autoexec.net ถ้าต้องการใช้จำค่าตลอดไป

การแก้ไข autoexec.net ของ Zyxel Router

http://weyoon.googlepages.com/zynos_newcommands.html

telnet เข้าไปใน router เข้าเมนู 24 -> 8 แล้วพิมพ์
sys edit autoexec.net
กด n ไปจนเห็นบันทัดที่ต้องการเพิ่มต่อจากนั้น
กด i (insert) แล้วพิมพ์ว่า
poe ter on (สั่งให้ terminate pppoe ก่อนที่จะ connect ใหม่)

ip nat loopback on (ทำให้สามารถ resolve DDNS host จากทางฝั่งขา LAN ได้)

ถ้าต้องการลบ ให้กด n ไปจนเห็นบันทัดที่ต้องการลบ แล้วกด d แล้วกด x เพื่อ save ออกมาดูก่อน

กด x (save)
sys view autoexec.net
ตรวจสอบว่าบันทัดที่แก้ไขอยู่ใน autoexec.net เรียบร้อยดีแล้ว ก็ Reboot Router

การตรวจสอบ NAT Session
สำหรับ Router รุ่นเก่า

ใช้คำสั่ง ip if เพื่อดู interface ของ WAN
ras> ip if
ปกติจะได้ค่าเป็น wanif0
ras> wan nat iface wanif0 st
ดูตรง Table Size

สำหรับ Router รุ่นใหม่ๆ
ras> ip nat session
ดูว่า Session ที่ใช้ไปเท่าไหร่
ras> ip nat ha wanif0

การสั่ง reboot
ras> sys reboot

การ set timeout ตอนที่อยู่ใน command line
ras> sys stdio 15

ถ้าไม่ต้องการให้หลุดจาก telnet
ras> sys stdio 0

ออกจาก CLI กลับมาที่ DOS โดยไม่ต้องผ่าน SMT
ras> sys quit

สรุป คำสั่งที่ควรใส่ใน autoexec.net
poe ter on = terminate pppoe ก่อนที่จะ connect ใหม่
ip nat loopback on = ทำให้สามารถ resolve DDNS host จากทางฝั่งขา LAN ได้
ip aliasdis 1 = disable routing between alias interface
ipsec timer chk_conn 0
ipsec timer update_peer 5
sys ddns restart wanif0 = สั่งให้ update wanip กับ DDNS
ip nat session 2048 [per host] สำหรับ firmware รุ่นใหม่อาจจะได้มากกว่านี้

Intel Proset / Proset Wireless

หา link ยากเหลือเกิน

Proset Wireless
Driver Only
http://downloadfinder.intel.com/scripts-df-external/Detail_Desc.aspx?&DwnldID=11342

Main Page
http://support.intel.com/support/wireless/wlan/sb/CS-010623.htm

Proset Wire
http://www.intel.com/support/network/sb/cs-006120.htm

VLAN อย่างง่าย ใช้ได้แน่นอน

จะเห็นว่าที่เครื่อง Client จะ set Default Gateway ชี้ไปที่ IP Interface ของ VLAN ที่มันอยู่(ไม่ใช่ IP ของ ADSL Router) แล้ว Default Gateway ของ L3 Switch ค่อยชี้ไปที่ ADSL Router อีกที คิดง่ายๆว่ามี L3 Switch ก็คือ Router ตัวนึงซึ่งมี 2 Interface แล้วเอามาต่อกับ Router อีกตัวคือ ADSL Router นั่นเอง

Note:
untaged vlan 1 + tagged vlan 2 != untagged vlan 2 + tagged vlan 1

การกำหนดค่า IP ให้กับ Interface ของ ISA Server

สรุปคือ

1. External Interface เป็น Interface เดียวที่มีการกำหนดค่า Default Gateway ให้
2. External Interface ห้ามใส่ DNS
3. Internal Interface เป็น Interface เดียวที่มีการกำหนดค่า DNS ซึ่งจะชี้ไปยัง DNS Server ที่อยู่ใน Network ภายใน แล้ว DNS Server นั้นค่อยทำ Forwarder ออกไปยัง DNS ข้างนอกอีกที
4. Internal Interface ห้ามใส่ Default Gateway
5. DMZ ห้ามใส่ทั้ง DNS และ Default Gateway

Note - การสร้าง Primary DNS Zone ให้สร้าง Reverse Lookup Zone ก่อนแล้วค่อยสร้าง Forward Lookup Zone ทีหลัง
- ตรงแถบ Interface ใน DNS Server Properties สามารถกำหนดให้ DNS Server ตอบสนองต่อการร้องของเฉพาะบาง Interface ได้
- ISA Server 2004 Enterprise Edition สามารถทำ Site-to-site VPN using IPSec ซึ่ง Standard Edition ทำไม่ได้
- Client ให้ใช้ Mode Web Proxy Client และ Firewall Client
Server ให้ใช้ Mode SecureNAT

Create Virtual Lab with VMware

1. ที่ VMware ไปที่ Edit -> Virtual Network Settings

2. ไปที่แถบ Host Virtual Adapters แล้ว Add VMnet2 กับ VMnet3 เข้าไป เป็นการสร้าง Virtual Switch ขึ้นมา

3. ไปที่แถบ Host Virtual Network Mapping ที่ VMnet2 กับ VMnet3 เลือก Virtual Adapter 2 กับ 3 ที่พึ่งสร้างขึ้นให้ตรง เสร็จแล้วกำหนด Subnet ที่ต้องการได้จากปุ่ม >

4. ที่ Virtual Machine ที่จะใช้ลง ISA Server add Ethernet Adapter เข้าไปตามนี้
External interface -- Bridged (มีอยู่แล้วเป็น Default)
Internal interface -- VMNet2
DMZ interface -- VMNet3

5. ที่ Virtual Machine ที่ใช้เป็น Internal กับ DMZ ให้เลือก Ethernet Properties ให้เป็น VMnet2 และ 3 ตามลำดับ

6. Boot Virtual Machnine ที่เป็น Internal และ DMZ แล้วเข้าไป Config IP ให้ตรงกับ Subnet ของ VMnet ที่ใช้ ใส่ Gateway เป็น Interface ของขา ISA แล้วทดลอง Ping กันดู

7. ตรง Network Connections ของ HOST ไม่ต้องไปสนใจ ip ของ VMware Network Adapter VMnet2/3 หรือจะใส่ ip อะไรมั่วๆไปก็ได้