ตั้งค่าใช้งาน AMPRNet IP 44 ของนักวิทยุสมัครเล่นด้วย Mikrotik Router
บทความนี้จะเป็นการตั้งค่าเพื่อนำอุปกรณ์ Router ยี่ห้อ Mikrotik มาใช้เป็นตัวกลางในการจัดการ VPN เพื่อให้ได้ AMPRNet IP 44 เข้ามาในบ้านเรา ซึ่งจะเป็นการตั้งค่าเพื่อให้ Port อื่น ๆ ที่ไม่ใช่ Port เชื่อมต่ออินเตอร์เน็ตของ Mikrotik วิ่งออกเน็ตโดยผ่าน IP44 สำหรับ Router Mikrotik นั้น สามารถนำมาใช้ได้ทุกรุ่นครับ ในบทความนี้จะใช้รุ่น RB941–2nD หรือ hAP lite ซึ่งมีราคารวมภาษีแล้วประมาณเก้าร้อยกว่าบาทเท่านั้น
เริ่มต้นการตั้งค่าด้วยโปรแกรม Winbox
โปรแกรมสำหรับตั้งค่าอุปกรณ์ Mikrotik จะชื่อว่า Winbox สามารถ download มาใช้ได้ฟรีที่เว็บไซต์ของ mikrotik.com ซึ่งมีให้เลือกทั้งรุ่น 32bit และ 64bit หลังจากโหลดมาแล้วไม่ต้องทำการติดตั้ง สามารถทำงานได้เลย
เริ่มต้นเชื่อมต่อ Winbox กับอุปกรณ์ Mikrotik
สำหรับการต่อสายอุปกรณ์ Mikrotik เพื่อเตรียมความพร้อม ให้ต่อสายอินเตอร์เน็ตเข้าที่ Port 1 ของ Mikrotik และต่อ PC หรือ Notebook ที่จะใช้ตั้งค่าเข้าที่ Port 2 ของอุปกรณ์ Mikrotik ส่วนอุปกรณ์อื่นถ้ามีก็ต่อที่ Port 3,4 ได้เลย สำหรับ Mikrotik ที่เราเอามาใช้นี้จะมี LAN 4 Port เป็นช่องเสียบสัญญาณอินเตอร์เน็ตเข้า 1 Port และที่เหลือเราจะทำการตั้งค่าเพื่อใช้ในวง LAN ที่ผ่าน IP44 ตามรูป
สำหรับ Port 1 ของอุปกรณ์ Mikrotik จะมี Firewall ป้องกันอยู่ เพราะฉะนั้นถ้าใช้ PC เชื่อมต่อเข้าที่ Port 1 จะไม่สามารถเข้าตั้งค่าได้นะครับ ให้ใช้ Port 2–4 ในการตั้งค่า เมื่อพร้อมแล้วก็เปิดโปรแกรม Winbox ขึ้นมา แล้วใส่หมายเลข IP ของอุปกรณ์ Mikrotik เข้าไป ซึ่งโดยปกติแล้วก็จะเป็นหมายเลข 192.168.88.1 หรืออาจจะใช้วิธีค้นหาแทนก็ได้โดยเลือกที่ Tab Neighbors เพื่อค้นหาหมายเลข IP หรือ หมายเลข MAC Address
จะเห็นว่าเราสามารถใช้โปรแกรม Winbox เชื่อต่อเข้าอุปกรณ์ Mikrotik ได้ทั้งแบบ MAC Address และ IP Address ทั้งนี้ถ้ามีการตั้งรหัสผ่านก็ต้องระบุให้ถูกต้องด้วยเมื่อเชื่อมต่อกับอุปกรณ์ได้แล้วจะมีหน้าจอขึ้นตามภาพ ซึ่งจะมีเมนูตั้งค่าอยู่ท้ายด้านซ้ายมือ
เมื่อเชื่อมต่อได้แล้วสิ่งที่ควรทำคือทำการ Update เวอร์ชั่นของ Software ให้เป็นเวอร์ชั่นล่าสุดเสมอ โดยเข้าไปที่เมนู System -> Packages และคลิ๊กที่ Check For Updates โปรแกรม Winbox จะแสดงสถานะของเวอร์ชั่น Software ที่อยู่ในตัว Router มา ซึ่งตามภาพจะเป็นเวอร์ชั่นล่าสุดแล้ว
ถ้าก่อนหน้านี้ตัว Router มีการตั้งค่าการใช้งานมาก่อนก็ควร reset ค่าโดยเข้าเมนู System -> Reset Configuration และคลิ๊ก Reset Configuration ตามภาพ และตอบ Yes เพื่อ reset ให้เป็นค่าเริ่มต้น
หลังจาก reset การตั้งค่าแล้ว เมื่อเชื่อมต่อใหม่ Software บางรุ่นของ Router จะถามว่าจะ Remove Configuration หรือไม่ ให้คลิ๊กที่ OK เพื่อเก็บการตั้งค่าพื้นฐานไว้ เพราะจะมีระบบ Firewall ป้องกันการโจมตีไว้ด้วย
ทำการตั้งรหัสผ่านเพื่อความปลอดภัย
เมื่อเริ่มตั้งค่าทุกครั้ง สิ่งหนึ่งที่จะลืมไม่ได้คือการตั้งรหัสผ่านในการเข้าใช้งาน ซึ่งเราสามารถกำหนดรหัสผ่านของ Mikrotik Router ได้จากเมนู System -> Password
ตอนนี้อุปกรณ์ Mikrotik ของเราก็พร้อมที่จะตั้งค่าเพื่อใช้งานระบบ VPN IP44 แล้ว ก่อนอื่นควรตรวจสอบว่า Mikrotik ของเรานั้นได้ IP มาจาก Router หลักหรือ Router ที่เชื่อมต่ออินเตอร์เน็ตหรือไม่ โดยใช้เมนู IP -> Address จะเห็นว่าที่ Interface ether1 หรือ LAN Port 1 จะต้องมีหมายเลข IP Address ในภาพตัวอย่างจะเป็นหมายเลข 192.168.7.101 ส่วน /24 เป็นตัวบอกขนาดของเครือข่ายเท่านั้น ซึ่งถ้าเป็น Router ทั่ว ๆ ไปส่วนมากจะเป็นหมายเลข 192.168.1.1 และอีกหมายเลขที่แสดงอยู่ก็จะเห็นหมายเลข IP Address ของอุปกรณ์ Mikrotik ก็คือ 192.168.88.1 ก็หมายความว่าอุปกรณ์ที่นำมาต่อกับอุปกรณ์ Mikrotik ที่ Port 2–4 นั้น จะได้รับหมายเลข IP เป็น 192.168.88.xxx
เริ่มเชื่อมตั้งค่าระบบ VPN IP44
เมื่อได้รับอนุมัติเพื่อใช้ IP44 แล้วทางทีม DTDXA ก็จะส่งข้อมูลการเชื่อมต่อกลับมาให้โดยมีข้อมูลต่าง ๆ ดังนี้
- Server คือ Domain ของ VPN Server ที่จะทำการเชื่อมต่อไป
- IPSEC คือ คีย์ที่ใช้เข้ารหัสในการเชื่อมต่อ
- User คือ Username ที่ใช้ในการเชื่อมต่อ
- Pass คือ Password ที่ใช้ในการเชื่อมต่อ
- Your IP คือ หมายเลข IP44 ที่เราจะได้รับจากระบบ ซึ่งจะเป็น Public IP แบบ Fixed IP ซึ่งจะได้เป็นหมายเลขเดิมทุกครั้งที่เชื่อมต่อ
เริ่มสร้าง VPN Interface โดยใช้เมนู ppp -> Interface และกดเพิ่ม L2TP Client
ตั้งชื่อของ Interface เป็น L2TP-IP44
ไปที่ Tab Dial Out และระบุค่าต่าง ๆ ตามที่ได้มาให้ถูกต้อง ตรวจสอบให้แน่ใจแล้วคลิ๊ก Apply เพื่อบันทึกค่า Mikrotik ก็จะเริ่มทำการเชื่อมต่อ VPN IP44
หากเชื่อมต่อได้สำเร็จจะมีตัว R ขึ้นที่หน้า Interface L2TP-IP44 เราสามารถดูสถานะในการเชื่อมต่อได้จาก Tab Status หากเชื่อมต่อไม่สำเร็จให้ตรวจสอบข้อมูลต่าง ๆ อีกครั้ง
ถือว่าเราทำการเชื่อมต่อ VPN L2TP เพื่อให้ได้ IP44 มาอยู่ที่ Mikrotik Router แล้ว แต่จะยังไม่สามารถใช้งานได้ เนื่องจากจะต้องมีการแชร์ข้อมูลให้ออกไปทาง IP44 ก่อน และจะต้องมีการกำหนดเส้นทางของข้อมูลให้ผ่านไปทาง VPN ของ IP44 เริ่มต้นกันที่การทำให้ Interface L2TP-IP44 ไปอยู่ใน Interface List ของ WAN ก่อน โดยใช้เมนู Interfaces -> Interface List -> + และกำหนดค่า List และ Interface
เหตุผลที่ทำในเมนูนี้ก็เพราะต้องการให้ Interface L2TP-IP44 ของเราซึ่งมี IP44 อยู่ จะได้อยู่ในหมวดของ WAN Interface ซึ่งการตั้งค่าของ Mikrotik จะทำการแชร์ข้อมูลอินเตอร์เน็ตให้กับอุปกรณ์ต่าง ๆ ให้เลย และเข้าสู่โหมด Firewall ซึ่งจะมีการป้องกันการโจมตีเบื้องต้นไว้แล้ว
ลำดับต่อไปจะเป็นการกำหนดเส้นทางของข้อมูลซึ่งตรงนี้สำคัญมาก ซึ่งขณะนี้เรามี IP44 อยู่แล้วก็จริงแต่ข้อมูลที่ออกไปนั้นจะยังไปทาง ether1 อยู่ ซึ่งสามารถตรวจสอบได้จากเว็บที่ให้บริการตรวจสอบ IP ต่าง ๆ ตัวอย่างผมเช็คจาก kc.cx/getip.php ซึ่งจะได้หมายเลข IP ปัจจุบันมา ซึ่งจะเห็นว่าหมายเลขอินเตอร์เน็ตที่ใช้อยู่ ไม่ใช่หมายเลขของ IP44 จะเป็นหมายเลข IP ของผู้ให้บริการอินเตอร์เน็ตที่เราใช้
กำหนดเส้นทางของข้อมูลให้ออกทาง VPN L2TP-IP44 โดยใช้เมนู IP -> Routes โปรแกรมจะแสดงหน้าต่าง Route List ขึ้นมา ซึ่งเป็นข้อมูลของตารางเส้นทางข้อมูล บรรทัดแรกเป็นสีดำ และจะมีหมายเลข IP ของ Router หลักอยู่ ซึ่งแสดงว่า ณ ปัจจุบันข้อมูลวิ่งออกทางนี้ และบรรทัดต่อมาตัวอักษรจะเป็นสีน้ำเงินแสดงว่า ณ ปัจจุบันข้อมูลจะไม่ออกที่เส้นทางนี้ ให้ดูต่อมาที่คอลัมน์ Distance จะมีเลข 1 ทั้งสองบรรทัด ซึ่งหมายความว่าทั้งสองบรรทัดให้ความสำคัญของเส้นทางข้อมูลเท่า ๆ กัน แต่ที่ข้อมูลออกไปทางบรรทัดแรกเพราะเป็น Router หลัก
เราจะกำหนดความสำคัญของเส้นทางข้อมูล Router หลักในบรรทัดแรกให้มีตัวเลขเป็น 2 ซึ่งหมายความว่าจะมีความสำคัญน้อยกว่าเส้นทางของ L2TP-IP44 ซึ่งมีตัวเลขเป็น 1 จะทำให้ข้อมูลทุก ๆ Port ที่เป็นอุปกรณ์ต่าง ๆ ออกไปทางเส้นทาง L2TP-IP44 กำหนดเส้นทางของข้อมูลจาก ether1 ให้น้อยกว่าได้โดยใช้เมนู IP -> DHCP Client
ทำการ double คลิ๊กที่ ether1 ในหน้าต่างของ DHCP Client จะมีหน้าต่างเพิ่มขึ้นมา ซึ่งเป็นการกำหนดค่าการรับข้อมูล IP แบบอัตโนมัติของ ether1 ซึ่งมาจาก Router หลัก ให้เลือกที่ Tab Advanced และกำหนดค่า Default Route Distance ให้เป็น 2 แล้วคลิ๊ก OK เพื่อบันทึกค่า
หลังจากคลิ๊ก OK ข้อมูลจะเริ่มวิ่งออกทางเส้นทาง IP44 ผ่านทาง Interface L2TP-IP44 ซึ่งมี Distance ที่น้อยกว่า หรือหมายถึงจะมีความสำคัญมากกว่านั่นเอง
ให้ทดสอบโดยการเข้าเว็บเช็คหมายเลข IP อีกรอบเพื่อตรวจสอบ kc.cx/getip.php ซึ่งหมายเลขที่ได้จะต้องเป็นหมายเลขของ IP44
การปรับแต่งเพิ่มเติมในส่วนของ การแจก IP ให้กับอุปกรณ์ต่าง ๆ ให้ไปที่เมนู IP -> DHCP Server คลิ๊กที่ Tab DHCP จะเห็นว่าค่า Lease Time จะน้อยมากเพียงแค่ 00:10:00 หรือ 10 นาที ตรงนี้เป็นค่าระยะเวลาที่อุปกรณ์ Mikrotik แจก IP ให้กับอุปกรณ์ที่เราใช้ว่าจะให้อยู่นานแค่ไหน ซึ่งโดยส่วนตัวแล้วผมจะกำหนดเป็น 1 วัน หรือ 24 ชั่วโมง
ให้ Double คลิ๊กที่บรรทัดของ defconf แล้วเปลี่ยนค่า Lease Time ซึ่งจะอยู่ที่ Tab Generic ของ DHCP Server กำหนดค่า Lease Time ให้เป็น 1d 00:00:00 ซึ่งหมายถึง 1 วัน หรือ 24 ชั่วโมงนั้นเอง แล้วคลิ๊ก OK เพื่อบันทึกค่า
การกำหนดค่า IP ตายตัวให้กับอุปกรณ์ที่ใช้ Port 2–4
สำหรับการกำหนดค่าการแจก IP ให้กับอุปกรณ์ที่เข้ามาใช้แบบตายตัวหรือเป็นการ Fixed IP ให้กับอุปกรณ์นั่นเอง ทำได้โดยใช้เมนู IP -> DHCP Server และไปที่ Tab Leases โปรแกรม Winbox จะแสดงข้อมูลของอุปกรณ์ต่าง ๆ ที่เข้ามาใช้งาน
วิธีการกำหนด IP หรือ Fixed IP ทำได้ง่าย ๆ โดยคลิ๊กขวาที่บรรทัดของอุปกรณ์นั้น ๆ เช่นผมจะกำหนด IP ตายตัวให้กับอุปกรณ์ orangepipc ก็ทำการคลิ๊กขวาที่บรรทัดของ orangepipc แล้วเลือก Make Static เพื่อกำหนด IP ตายตัวให้กับ orangepipc
หลังจากที่ทำ Make Static ไปแล้วจะเห็นว่าสัญญลักษณ์ตัว D นำหน้าจะหายไปแสดงว่าอุปกรณ์ตัวนี้จะได้รับหมายเลข IP นี้ไปตลอด ซึ่งเราสามารถเปลี่ยนให้ไปใช้หมายเลขอื่นได้โดยทำการ double คลิ๊กที่บรรทัดของอุปกรณ์นั้น ๆ แล้วกำหนดค่า IP ใส่เข้าไปที่ช่อง Address แล้วคลิ๊ก OK เพื่อบันทึกค่า
สำหรับการเปลี่ยนหมายเลข IP Address ของอุปกรณ์นั้นจะทำได้ก็ต่อเมื่อเราทำการ Make Static หรือกำหนด IP ตายตัวให้กับอุปกรณ์แล้วเท่านั้น
การ Forward Port ให้กับอุปกรณ์ที่ทำการ Fixed IP ไว้แล้ว
หลังจากที่เราทำการกำหนด IP ตายตัวให้กับอุปกรณ์แล้ว เราอาจจะทำการ Forward Port มาให้กับอุปกรณ์เช่นตอนนี้ผมต่อ DVSwitch Server ซึ่งติดตั้งอยู่บนอุปกรณ์ orangepipc และได้ทำการ Make Static หรือ Fixed IP ไว้แล้วคือ IP 192.168.88.12 ต่อไปจะ Forward Port เพื่อให้เรียกหน้า dashboard ได้จากภายนอก ซึ่งหน้า dashboard ของ DVSwitch Server จะใช้หมายเลข Port 80 และเราจะใช้ Port 81 จากภายนอกเพื่อให้เข้ามายัง Port 80 ของ DVSwitch Server
ทำได้โดยใช้เมนู IP -> Firewall -> Tab NAT แล้วคลิ๊ก + เพื่อเพิ่ม Firewall rule และกำหนดค่าต่าง ๆ ตามภาพ
ขั้นตอนยังไม่เสร็จนะครับ ต่อไปให้ไปที่ Tab Action และกำหนดค่าเพิ่มเติมแล้วคลิ๊ก OK เพื่อบันทึกค่า
จะมีรายการ Forward Port ที่เราเพิ่มไปขึ้นมา การแก้ไขค่าทำได้ง่าย ๆ ด้วยการ double คลิ๊กที่บรรทัดนั้น ๆ ของ Firewall ที่ต้องการแก้ไข
การทดสอบว่า Firewall Forward Port ที่เพิ่มเข้าไปนั้นใช้ได้หรือไม่ให้ทดสอบโดยการใช้โทรศัพท์มือถือเปิดหน้าเว็บโดยกำหนดหมายเลข IP44:ตามด้วยหมายเลข Port เช่น 44.159.12.86:81 ซึ่งจะต้องเป็นการใช้งานจากเครือข่าย 3G/4G/5G
เราสามารถนำอุปกรณ์มาต่อกับ Mikrotik Router ได้หลายตัว และทำการ Forward Port ได้หลาย Port เช่นกัน ซึ่งการใช้งาน IP44 ไม่จำเป็นต้องซื้อ Mikrotik Router ที่มีราคาแพง เนื่องจาก IP44 ที่ใช้งานนี้จะใช้งานได้ที่ความเร็ว 10 Mbps. ซึ่งไม่สูงมาก เพราะฉะนั้นเราก็ไม่จำเป็นต้องซื้ออุปกรณ์ Mikrotik ที่มีราคาแพง ๆ มาใช้ก็ได้
ข้อจำกัดของการเชื่อมต่อ VPN L2TP/IPSec
สำหรับเพื่อน ๆ หลายคนตั้งคำถามว่า สามารถเชื่อมต่อ AMPRNet IP44 มากกว่า 1 User หรือ 1 IP พร้อมกันได้หรือไม่ หรือถ้าเชื่อมต่อกับอุปกรณ์ Mikrotik แล้ว 1 IP จะสามารถเชื่อมต่อ AMPRNet IP44 บนอุปกรณ์ Raspberry Pi อีก 1 IP จะได้หรือไม่ คำตอบคือไม่ได้นะครับ เหตุผลก็คือ AMPRNet IP44 ที่ให้บริการโดยทีม DTDXA นั้นใช้การเชื่อมต่อ VPN แบบ L2TP/IPSec ซึ่งมีข้อจำกัดคือจะเชื่อมต่อได้ครั้งละ 1 connection / 1 Public IP เท่านั้น เนื่องจาก L2TP/IPSec นั้นใช้หมายเลข Public IP Address มาเข้ารหัสด้วย เพราะฉะนั้นหากมีการเชื่อมต่อ connection ที่สองเข้ามาจะทำให้ connection แรกที่เชื่อมต่อนั้นหลุด หรืออาจจะเป็นอาการสลับกันหลุดก็ได้ อาจจะเชื่อมต่อได้ไม่นานก็จะสลับกัน disconnect ไป แม้การเชื่อมต่อนั้นจะอยู่คนละอุปกรณ์ก็ตาม แต่ถ้าอยู่ภายใต้หมายเลข Public IP เดียวกันก็จะเกิดปัญหาสลับกันหลุดเช่นกัน หรือแม้กระทั่งอินเตอร์เน็ตบ้านที่ได้รับเป็น Private IP ที่อยู่ภายใต้ NAT ที่ Public IP เดียวกัน เช่น บ้านอยู่ใกล้เคียงกัน ใช้อินเตอร์เน็ตค่ายเดียวกัน มาจากโหนดหรือ Server ให้บริการเดียวกัน และเชื่อมต่อ L2TP/IPSec ไปยัง Server เดียวกันก็จะเกิดปัญหาเช่นนี้เหมือนกันนะครับ ซึ่งไม่เกี่ยวกับ Spec ของอุปกรณ์ Mikrotik แต่อย่างใด
สำหรับอุปกรณ์ Mikrotik แล้วรุ่นที่ราคาต่ำกว่า 1,000 บาท ก็มี License การใช้งานอยู่ที่ Level 4 แล้ว ซึ่ง License Level 4 นี้สามารถเชื่อมต่อ L2TP ได้ถึง 200 Tunnels หรือ 200 Connections พร้อมกัน แต่ทำได้จริงหรือไม่ก็จะไปก็อยู่ที่ Hardware นั้น ๆ จะไปไหวหรือไม่
สำหรับเพื่อน ๆ ที่ทดลองทำแล้วติดปัญหาสามารถสอบถามเพิ่มเติมได้ที่ HS2BMI โดยตรงผ่านทางไลน์ ID : aisfttx หรือ scan QR Code เข้ามาก็ได้ครับ
คลิปวิดีโอประกอบบทความนี้ครับ