Endian Firewall 2 3 Rc1 Manual Book[1]

Endian Firewall2.3 rc1~ Manual Book ~

คคมมอการตอการตดตดตงและการปรงและการปรบแตบแตงง Endian Firewall สำหรสำหรบผบผเรเรมตมตนน

Endian Firewall 2.3 rc1 - Manual Book

1

คำนำคำนำ

E-book เลมนเกดจากแรงบลดาลใจในการทำ Firewall โดยมนไดเรมตนจากการทเราไมรเรองอะไรเลยวาGreen, Red, Blue, Orange มนคออะไร? โดยเรารเพยงแควาขอใหเปดเครอง ตอสายLan set IP Addressและกขอใหมนออกเนตไดเทานน แตในโลกแหงความเปนจรงนนเราจำเปนตองใช Firewall, Proxy, Load

Balance

แต... เราจะไปถามใครดละ ????

จนมวนหนงทผมไดพบกบเพอนๆท ThaiAdmin เราจงไดรวาทนเปนสงคมแหงการแบงปนจรงๆมทงความชวยเหลอ มตรภาพ

ในเวลาทเรามปญหาอะไร ThaiAdmin จะคอยเปนเวบทใหความชวยเหลอ ชวยแกปญหาใหเราเสมอมา...นอกจากทผมจะไดรบการแกไขแลว ยงเปนแหลงทสำหรบศกษาความรใหมๆไดดอกดวย

แตเนองจากวา topic ตางๆทเกยวกบ Endian Firewall นนยงปะปนกบ Topicอนๆทำใหมอใหมทตองการจะศกษาเกดความสบสนในการใชงาน Endian Firewall บางทกหาไมเจอ

หรอเจอกไมตรงประเดน บางทานยงตดตงไมไดดวยซำเพราะไมไดศกษาตามลำดบการใชงานจรง จงทำใหระบบ Firewall ทออกมานน ไมมประสทธภาพเอาซะเลย...

ผมเองกขอถอโอกาสนทำ E-Book เกยวกบการตดตงและปรบแตงขนมา โดยขอเปนเจาภาพงานละกนทงๆทเปนเปดกาบๆนละ ดทสด จะไดอยตรงกลางระหวางคนเกง และคนทไมเกง

สวนเพอนๆใน Thaiadmin ทเกง ทานใดตองการจะเพมเตม จะแกไขตรงไหน รบกวน PM หรอ DMมาใหผมนะครบ

ผมจะสง Link ไปใหชวยทำทนทครบ ความรของทานจะเปนสงทคนยกยอง( อยากใหมาชวยกนเยอะๆ คนละเรอง คนละบท ผมกดใจแลว.. ^o^ )

สดทายน... E-book อนน ไมสงวนสทธแตอยางใด ใครจะเพม ใครจะแกไข ใครจะสำเนา กไดครบหหามนำามนำ!! ทกๆขอความ หรอสวนหนงสวนใด ในE-book ไปใชในเชงพาณชย โดยเดดขาด...

Somhpong Ph.Soi62@ThaiAdmin

13 Oct 2009

ปล.ออกตวกอนนะครบ วาผมไมใชเทพ ไมใชเซยน แตอยากใหทกๆคนไดมาเจอกนทนครบ....

ref : http://www.thaiadmin.org/board/index.php?topic=112996.0


2

http://www.thaiadmin.org/board/index.php?topic=112996.0

สารบสารบญญ

Part 1 :Endian Firewall (EFW) Overview -Endian Firewall Community คออะไร? (Neoboyd@Thaiadmin) -ทำไมถงตองใช EFW? แลวมนดอยางไร? -การดาวนโหลด EFW(Neoboyd@Thaiadmin) -

การจดเตรยม Hardware (Neoboyd@Thaiadmin) -เรมการตดตงโปรแกรม (Soi62@Thaiadmin) -

Part 2 :เรยนร Network พนฐาน (Neoboyd@Thaiadmin) -การปรบแตงคาเรมตน (Green & Red) (Neoboyd@Thaiadmin) -การออกแบบ Network รวมกบ EFW เบองตน -

Green, Red, Blue และ Orange(DMZ) คออะไร (Neoboyd@Thaiadmin) -ขา Red ทชาว ThaiAdmin ใชกนบอยๆ มอะไรบาง? -

Part 3 :การเซต Proxy พนฐาน (Neoboyd@Thaiadmin) -

Part 4 :การ config Firewall พนฐาน -การ config system access -การ config outgoing -

Part 5 :การ config Logging เพอใชในการเกบ Log -การเลอกด Log ตามชวงเวลา -

Part 6 :การ Config VPN serverOpen VPN Client to Site (tototyt@thaiadmin)Open Vpn Site to Site (tototyt@thaiadmin)

-

IPSEC

Part 7 :FAQ -

Part 8 :Appendix (ภาพผนวก) -Credits (รายนามผรวมจดทำ) -


3

mailto:tototyt@thaiadmin

Endian Firewall (EFW) Overview

First Sceen (Dashboard)

Dashboard Quality of Service and BandwidthManagement


4

Intrusion Prevention System Group-based content filtering & enhancedWeb Security

Enhanced Network Address Translation (NAT)

Other....- Traffic-based Hotspot tickets and automatic user generation- Event handling and notification- SNMP support- Revamped Mail Security- Sophos Anti-Virus (optional)- Commtouch RPD (optional)


5

Endian Firewall Community คคออะไรออะไร?

Endian Firewall Community คอ ลนกซประเภทหนงทออกแบบมาเพอความปลอดภยซงถกเปลยนทกระบบเพอมาเปน อปกรณทางดานความปลอดภยของเครอขายดวยการทำงานแบบ Unified

Threat Management (UTM)* ตวซอฟทแวรถกออกแบบใหใชงานไดงาย งายตอการตดตงใชงานและการจดการโดยคณลกษณะทเพมเขามาไดแก...

1. Stateful packet inspection firewall**

2. Application-level proxies for various protocols (HTTP, FTP, POP3, SMTP) with Antivirussupport

3. Virus and spamfiltering for email traffic (POP and SMTP)4. Content filtering of Web traffic

5. VPN solution (based on OpenVPN)

ขอดทสำคญของ Endian Firewall คอเปน software แบบ Open source สนบสนนโดย บรษท Endian S.r.l.

* Network firewall + E-mail spam filtering + Anti-virus capability + IDS or IPS = UTM** Stateful packet inspection firewall

ทำไมถทำไมถงตงตองใชองใช EFW? แลแลวมวมนดนดอยอยางไรางไร?

1. ทานไมตองเสยเงนซอ Firewall จากคายดงๆ ในราคาแพงๆ เพราะ EFW ทำไดหมด และเปน OpenSource2. ทานไมจำเปนตองรคำสง Linux มากมายหรอขนสง เพราะทานสามารถ config ทกอยางไดจาก Web

Browser***3. ไมจำเปนตองจดหา จดซอเครองใหมๆ เครองแรง เพราะเราไมตองการใชงานมากมายขนาดประมวลผล3D

เครองทมๆอยก เพยงพออยแลว4. ทานไมตองจาง consult, ไมตองจางใครมาตดตงให และเบอทตองใหคนอน config

และกไมตรงตามความตองการ ปญหาเหลานจะหมดไป เพราะทานจะเปนคนทำเอง แกไขเอง ไมมคาใชจาย5. มแหลง community ดๆท ThaiAdmin อยแลว ไมตองกลว วาทานจะอยคนเดยว อยางเดยวดาย

" ถถานานบขบขอดอดไดไดครบทครบทงง 5 ขขอแลอแลวว เรามาเรเรามาเรมกมกนเลยดนเลยดกวกวาคราครบบ ^o^ "

***Web Browser : โปรแกรมทใชในการเปดเวบตางๆ เชน Internet Explorer, FireFox, Safari, Chrome, etc...

การการ Download EFWในปจจบน Endian Firewall ไดพฒนามาถง version 2.3 rc1

และยงคงพฒนาอยางตอเนองซงยงคงมออกมาอยางตอเนอง โดยเราสามารถดาวนโหลจากเวบไซตท...

Endian Firewall Community 2.3 Release Candidate

ซงมขนาด 123 MB. ซงหลงจาก download เราจะไดเปนไฟล ISO ใหใชโปรแกรมทสามารถเขยนไฟล ISO ไดเขยนลงแผน CD เทานน ซงความเรวทใชในการเขยน CD ตรงน ควรใช speed

ทไมตองสงมากเพอปองกนการอานแผนไมได ผมแนะนำท 4x ~ 12X ครบจะผดพลาดนอย

การจการจดเตรดเตรยมยม Hardware พพนฐานนฐาน

ความตองการระบบของ Endian Firewall Community Edition มดงน1. การดแลนตามจำนวน Zone ทเราม ซงจะพดถงอกครงตอนทเราทำการออกแบบระบบ network


6

http://www.thaicert.nectec.or.th/paper/firewall/stateful.php

https://sourceforge.net/projects/efw/files/Development/EFW-2.3-RC1/EFW-COMMUNITY-2.3-rc1-200909171932.iso/download

https://sourceforge.net/projects/efw/files/Development/EFW-2.3-RC1/EFW-COMMUNITY-2.3-rc1-200909171932.iso/download

2. ตวอปกรณฮารดแวรทมความเขากนไดกบ Linux operating system ซงสามารถดไดทน Linux.comarticle for more details. คณสามารถทดลองตรวจสอบความเขากนไดของระบบดวยการทดลองตดตง

CentOS 4.6 operating system. ถาการตดตง CentOS สามารถตดตงไดอยางปกตและสามารถใชงานระบบเครอขาย ซดรอม และเปดใชงานทเกบขอมลตางๆไดอยางนนถอไดวาตวอปกรณของคณมความเขากนไดกบระบบเปนอยางด

ปญหาสวนใหญในการตดตงอปกรณเกดขนจาก driver ไมมมาใหใน version ทเปนของ linuxแตคณกสามารถหลกเลยงปญหาดงกลาวดวยการใชการดแลนทม chipset เปนของทาง Realtek หรอIntel การดจอแบบออนบอรดทเปนของ intel หรอ Nvidia และพยายามหลกเลยงการใชซอฟทแวร

Raid ยงไงการเลอกใช hardware ใหนกถงความเปนจรงในการออกแบบระบบวา เราจะตองเพมอปกรณและความตองการมากนอยแคไหน ขนอยกบการใชงานเปรยบเทยบกบขนาดของระบบทจะตองรองรบ

การนำอการนำอปกรณปกรณ Computer เกเกาเพาเพอนำมาตอนำมาตดตดตงง Endian Firewall

ถาคณมอปกรณคอมเกา คณสามารถนำมนมาใชตดตงสำหรบระบบ Network ขนาดเลกโดยอาจจะมผใชสก 25คนรวมกบการเชอมตอ Vpn 5 connection โดยระบบดงกลาวมดงน...

Recommend Spec :• Pentium 3.1 GHz.

• 512 MB. RAM• 8 GB. Hard Disk Drive

• 1 x 100 Mb. Network Cards (Green & Red ในขาเดยวกน)• พดลมทมแรงลมดและรองรบการทำงาน 24 hrs. x 365 days

สำหรบระบบขนาดกลางทมผใช 50 คนขนไปและการเชอมตอ vpn 10 connections ขอแนะนำใหเปนเสปคดงน:

Performance Spec :• Pentium4 2.8 GHz. up

• 1~4 GB. RAM up• 20~80 GB. Hard Disk Drive (Caching, Logging)*

• 4 x 100 Mb. Network Cards (Green, Red, Blue, Orange ตามการใขงาน)• พดลมทมแรงลมดและรองรบการทำงาน 24 hrs. x 365 days

*Caching : คอการชวยลดภาระการดาวนโหลดไฟลตางๆจาก ISP โดยตรง Client จะดาวนโหลดขอมลตางๆจากEFW กอนไปดาวนโหลดท ISP โดยตรง

*Logging : การเกบ Log ใน EFW เนองจากตาม พรบ. ตองเกบอยางนอย 90 วน ซงอาจจะตองใชเนอทมาก...


7

http://www.linux.com/feature/118497

http://www.linux.com/feature/118497

http://centos.org/

เรเรมการตมการตดตดตงโปรแกรมงโปรแกรม

1. ขนแรกใหทำการตดตงโดยใสแผน CD ทไรทมาจากหวขอทแลวลงใน CD-Rom Driveแลวเปดเครองจะปรากฎดงรป

ถาไมขนแบบนแสดงวาทานยงไมไดตง Boot ท CD-Rom Drive ใหไปปรบแตงใหถกตอง....

2. เมอกด Enter เขามาจะพบหนาจอแบบดานลางนครบ ในทนเราเลอกภาษาองกฤษนะครบ แลวกด Enterไปขนตอนตอไป..


8

http://docs.google.com/File?id=ddxs38qb_13ggccn7ch_b

http://docs.google.com/File?id=ddxs38qb_13ggccn7ch_b

3. เมอพบหนาจอน เปนหนาจอตอนรบ เพอเรมการตดตง กด Enter ผานไปไดเลยครบ

4. หนานสำหรบแจงทานวา หลงจากลง EFW ขอมลใน HDD ของทานจะสญหายทงหมด เพราะ Endianจะทำการแบงเนอทใหมทงหมด ใหเลอก Yes แลวกด Enter ตอไปไดเลยครบ


9

5. หนานตองการบอกทานวาตองการใชงาน console ผาน Serial หรอไม ถาเราใชก Yesแตในทนผมไมไดใชนะครบ เพราะเราดผาน ขา Green อยแลว.... ผมจงเลอก No แลวกด Enter ไปเลยครบ.....

6. ถาขนหนาจอแบบน ใหรอสกประมาณ 5-10 นาทครบ ระบบลงตดตง ชวงนเดนเลนกอนไดครบ


10

7. ถามาถงตรงนแลว เขาตองการใหกำหนด IP Address ของวงใน หรอทเราเรยกวาขอ Green ครบเปลยนตามททานตองการไดเลย แตถายงไมรวาจะตงวาอะไรด กตงตามผม(ในรปดานขวา)ไดครบ.... แลวกกด

Enter ตอไป ใหเรยบรอย...

8. เมอกำหนด IP Address ไปแลว ระบบจะทำการ Eject แผน CD ใหครบ... แตถาถาดไมออกและมขอความแบบนไมตองตกใจครบ EFW ตองการใหเราเอาแผนออก เพราะระบบจะทำการรบตใหมครบ

9. EFW ถกตดตงเสรจสมบรณแลว กด Enter เพอ Reboot ระบบใหมอกครง...


11

10. ระบบจะ Shutdown อตโนมต ใหรอประมาณ 10 วนาท ไมตองทำอะไรครบ

11. หลงจากรบตขนมาใหมแลว จะพบหนาตาแบบน ถาไมขนใหเชคดแผน CD ครบ วาเอาออกรยง.... ?สวนหนาจอนเราไมตองกดอะไรเพมครบ รออยางเดยว


12

12. ระบบกำลงโหลด config ตางๆขนมาตามลำดบครบ

13. หลงจากทบตเรยบรอยแลว จะพบหนาตาแบบดานลางครบ ในหนาจอจะบอกวา ขา Green IP อะไร....0-Shell : คอมมานด สำหรบคนทเกงๆ linux กสบายไปครบ ใครทไมเกงหรอไมร ไมตองกลวครบ

เดยวเรามวธเขาแบบงายๆในบทตอไป


13

1-Restore Factory : เวลาทเรา config ผด แลวทำใหไมสามารถเขา EFW ไดเราไมตองลงใหมทงหมดนะครบ ใหเลอกขอน ระบบจะ Clear ทกอยางใหเหมอนกบตอนลงเสรจใหมๆเลยครบ

2-Reboot : ใชเวลาท EFW แฮงคหรอมปญหา เรากเลอกขอนเพอใหระบบ รบตใหมไดทนทครบ

14. ถาทานตองการทดสอบ EFW Shell ทานตองใช username=root ; password=endian ดงรป...

และถาตองการออกมายงเมนเดมใหพมพคำวา exit แลวกดปม Enter ครบ...

จบการตดตงครบ....


14

การปรการปรบแตบแตงคงคาเราเรมตมตนน

หลงจากทตดตง Endian Firewall แลวเราจะเขามาสการ Config ซงจะทำผานทางหนาเวบโดยใหเราพมพ http://ตามดวย ip ทเรากำหนดในขนตอนท 7 ของการตดตงและกำหนด IP ของ Green กจะไดหนาตางตามรปขางลางน

1. ใหเรากดปม >>> เพอเรมการ config เลยนะครบ

2. กำหนดคาตดตงภาษาเปน English(English)และเขตเวลา Asia/Bangkok

3. คลกท Accept License เพมยอมรบในสทธของการใชซอฟทแวร


15

4. ในขนตอนนจะเปนการทำ Restore จากไฟล Backup ในกรณทคณเคยตดตง Endian Firewallไวกอนแลวสามารถ Restore ตวระบบใหกลบมาทำงานไดอกครงทนท แตถาเปนการตดตงใหมใหเลอก NOและกดทปม >>>

ในกรณทเปนการ Restore ใหเลอกตวเลอกเปน Yes และกดปม >>> จากนนระบบจะให Browse เพอใสไฟลConfig ทได Backup ไวและเรมตนระบบตอไดในทนท

5. จากนนใหทำการกำหนดรหสผานเพอใชในการเขาเวบและการ Remote โดยใช SSH เพอการตงคาระบบ


16

ทงนการตงคารหสตองมความยาวไมนอยกวา 6 ตวอกษรนะครบ เมอตงคาเสรจแลวใหกดปม >>>

6. ขนตอนในการกำหนดประเภทของ Red Interface ทใชในการตอ Internet ซงรปแบบของคณเปนแบบไหนซงสามารถอธบายไดดงน

1. Ethernet Static เปนการกำหนด IP ใหกบการดแลนโดยระบเลขหมาย IP แบบถาวร2. Ethernet Dhcp เปนการกำหนด IP ใหกบการดแลนโดยไดรบ IP จาก DHCP Server หรออปกรณทจาย

IP ได3. PPPOE เปนการเชอมตอ internet แบบ Adsl รปแบบหนงทจะตองใส username password และไดรบ

IP จาก ISP ซง IP ทไดรบจะขนอยกบการบรการทสมครใชอาจจะเปน Fix หรอ Dynamic กได4. Adslแบบ USB หรอ PCI คอ adsl ทม interface ทเปน usb หรอ pci การดซงจะตางจากขอ 3

ตรงทจะมขนตอนในการใส driver ของตวอปกรณเพม5. ISDN เปนรปแบบการตอโมเดมชนดหนงทมลกษณะแบบ digital

ไมคอยไดรบความนยมเพราะมความเรวนอย แตมความเสถยรมาก6. Analog/UMTS Modem เปนรปแบบการเชอมตอแบบโมเดมอนาลอกรวมถงการเชอมตอแบบ UMTS*

ซงพบในการเชอมตอสำหรบโทรศพทมอถอ7. Gateway เปนการกำหนดให Endian เปนทางผานสำหรบการเชอมตอ Internet โดยหนาทของการ Nat

จะไปอยท router

*UMTS ยอมาจาก "Universal Mobile Telecommunication System" เปนเครอขายในยค 3Gทมพฒนาการมาจากเครอขาย GSM, GPRS และ EDGE ซงหลาย ๆ ครงอาจเรยกไดวาเปนเครอขาย W-CDMAโดยมจดมงหมายเพอตอบสนองความตองการใชงานดานการรบ-สงขอมลทมาก ขนของลกคา เครอขาย UMTSนนจะมความเรวในการรบสงขอมลสงถง 2 Mbit/sec ซงมความเรวในการรบ-สงขอมลทมากกวาเครอขาย EDGEทใชบรการในปจจบนถง 4 เทา


17

7.การกำหนดรปแบบของระบบเครอขายวาม Network Zone ไหนบางซงในขนตอนนจะม Zoneทเกยวของระหวาง Blue กบ Orange ซงสามารถอธบายไดดงน...

1. Orange Zone สวนใหญจะใชในการทำ DMZ เพอใชในการวาง Server เพอใหบรการตางๆ ดวยการMap กบ Public IP ทไดรบจาก ISP

2. Blue Zone สวนใหญใชในการทำ Wifi Zone เพอใหปลอดภยกบการใชงาน

*สำหรบบทน เราจะขามเรอง Blue & Orange ออกไปกอนนะครบ เพราะปองกนความสบสนของทกทานใหเลอกเปน None ไปกอนแลวกดปม >>>


18

8.ขนตอนการกำหนดการเขาใชงาน Internet

8.1 Red interface เปนแบบ Ethernet Static1. IP address ใหใสคา ip ทอยในชวงทเราไดรบมาซงสามารถออก Internet

ไดซงสวนใหญจะเปนการเชอมตอประเภท Leased Line แบบตางๆ หรอ Adsl ทเปนแบบFixed IP โดยให Ip 1 เบอรระบในชอง IP address พรอมระบ Subnet Mask ในชองดานขาง

2. Add additional Addresses(One IP/Netmask or IP/CIDR perline): คอการระบIPทไดซงอยในชวง ยกตวอยางเชนในการออกแบบระบบคณไดตดตง Leased Line ซงม IP 8เบอร 1 เบอรสำหรบ Network Class, 1 เบอร สำหรบ Router, 1 เบอรสำหรบ Broadcastingและอก 1 เบอรสำหรบ Endian Firewall ทนเบอร IP ทเหลอ อก 4เบอรใหคณนำมาใสในชอง เพอทจะนำมา Map เขาไปใน Orange Zone เพอใหบรการServer ในแบบตางๆ ซงรปแบบการใสอาจจะเปน 172.16.1.10/255.255.255.0 หรอ172.16.1.10/24 ทละบรรทดจนครบ

3. เลอก Interface หรอการดแลนใบทใชเชอมตอ4. Default Gateway ทเราใชออก Internet


19

8.2 Red interface เปนแบบ Ethernet DHCP1. ใหเลอก Interface ทใชในการตอ Internet แบบ DHCP2. MTU เปนการกำหนดคานาดของ packet ทใหญทสดทสามารถสงได ถาไมใสจะใชคามาตรฐาน3. Spoof Mac address with อนนใหใส Mac address ของการดแลน

จะไมใสกไดครบเพราะระบบตรวจเจอเอง4. ระบ Dns ม2แบบ แบบอตโนมต คา Dns server จะกำหนดโดย ISP แตถา Manul

เราสามารถกำหนดคา Dns server ไดเอง5. จากนนกดปม >>> ไปขนตอนถดไป


20

8.3 Red interface เปนแบบ PPPOE1. ใหเลอก Interface ทใชในการตอ Internet2. ในชอง Add additional Addresses(One IP/Netmask or IP/CIDR perline):ในกรณทคณม

Adsl แบบ Corporate หรอแบบ Premium ทได IP มามากกวา 1 ip ใหทำการระบลงในชองนซง Concept ตรงนใหมองวาเราใส username และ password เพอ authen และเชอมโยง IPทไดใสไวในชอง Add additional Addresses(One IP/Netmask or IP/CIDR perline):เพอทำการ Online ระบบ แตถาในกรณใช Adsl แบบทวๆไปท IP เปนแบบ Dynamicกไมตองใสลงไปกไดครบ

3. กำนด Username4. Password5. Authentication ปกตบานเราใช PAP or Chap6. คา MTU เปนการกำหนดคานาดของ packet ทใหญทสดทสามารถสงได

ถาไมใสจะใชคามาตรฐาน7. ระบ Dns ม2แบบ แบบอตโนมต คา Dns server จะกำหนดโดย ISP แตถา Manul

เราสามารถกำหนดคา Dns server ไดเอง8. Service ระบชอผใหบรการอาจจะเปนชอ ISP9. Concentractor Name โดยปกตจะระบชอผดแล

10. จากนนกดปม >>> เพอไปขนตอนถดไป


21

8.4 Adsl (USB,PCI) การเชอมตอ Adsl โดยใช Modem ทมการเชอมตอแบบ USB หรอรปแบบทเปนการด PCI

1.ใหทำการเลอกประเภทของ Modem ทเราใช จากนนกดปม >>>


22

2.ใหทำการเลอกรปแบบการเชอมตอ ซง ISP สวนใหญในประเทศไทยใชรปแบบ PPPOEจากนนกดปม >>>

3.ใหกำหนดคาในชอง VPI / VCI ซงคาดงกลาวจะมดงน3.1 ใหใสคา VPI (ดไดจากตารางขางลาง เลอกตาม ISP ทใช)3.2 ใหใสคา VCI (ดไดจากตารางขางลาง เลอกตาม ISP ทใช)


23

3.3 Encapsulation เปนแบบ LLC ซงสวนใหญจะใชการเขารหสแบบน3.4 MTU เปนการกำหนดคานาดของ packet ทใหญทสดทสามารถสงได ถาไมใสจะใชคามาตรฐาน3.5 Add additional Addresses(One IP/Netmask or IP/CIDR perline): ในกรณทคณม Adsl แบบ

Corporate หรอแบบ Premium ทได IP มามากกวา 1 ip ใหทำการระบลงในชองน ซง Conceptตรงนใหมองวาเราใส username และ password เพอ authen และเชอมโยง IP ทไดใสไวในชอง Addadditional Addresses(One IP/Netmask or IP/CIDR perline): เพอทำการ Online ระบบแตถาในกรณใช Adsl แบบทวๆไปท IP เปนแบบ Dynamic กไมตองใสลงไปกไดครบ

3.6 ใหใส Username3.7 Password3.8 Authentication ปกตบานเราใช PAP or Chap3.9 Dns ม2แบบ แบบอตโนมต คา Dns server จะกำหนดโดย ISP แตถา Manul

เราสามารถกำหนดคา Dns server ไดเอง เมอเสรจแลวใหกดปม >>>

ตารางคา VPI / VCI แตละ ISP

ISP VPI VCI

Cslox 0 35

Samart 0 35

TOT 1 32

True 0 100

TT&T 0 33

CATTELECOM 0 33

Buddy BB 0 35


24

8.5 ISDN1. ใหทำการเลอก Modem ทใชในการตอ ISDN2. ใสหมายเลขโทรศำพททใชในการตอ Internet3. ใสหมายเลขโทรศพทในระบบของเรา4. ระบ Usename5. ระบ Password6. ระบรปแบบการ Authen ซงสวนใหญจะใช PAP or CHAP อยแลว7. Add additional Addresses(One IP/Netmask or IP/CIDR perline): ในกรณทคณม ISDN

แบบ Corporate หรอแบบ Premium ทได IP มามากกวา 1 ip ใหทำการระบลงในชองน ซงConcept ตรงนใหมองวาเราใส username และ password เพอ authen และเชอมโยง IPทไดใสไวในชอง Add additional Addresses(One IP/Netmask or IP/CIDR perline):เพอทำการ Online ระบบ แตถาในกรณใช ISDN แบบทวๆไปท IP เปนแบบ Dynamicกไมตองใสลงไปกไดครบ

8. MTU เปนการกำหนดคานาดของ packet ทใหญทสดทสามารถสงได ถาไมใสจะใชคามาตรฐาน9. Dns ม2แบบ แบบอตโนมต คา Dns server จะกำหนดโดย ISP แตถา Manul

เราสามารถกำหนดคา Dns server ไดเอง เมอเสรจแลวใหกดปม >>>


25

8.6 Analog /UMTS Modem1. ทำการกำหนด Port ทใชในการตอโทรศพทซงสวนใหญจะเปน /dev/ttyS0/2. ใหทำการเลอกประเภทของ Modem ในระบบ โทรศพทมอถอทคณใช จากนนกดปม >>>


26

3. ใหกำหนดความเรวในชองสญญาณของสาย4. ใหกำหนดชอของ Access Point ซงคาตรงนถามไดจากผใหบรการระบบโทรศพทมอถอ5. ระบ Username6. ระบ Password7. ระบรปแบบการ Authen ซงสวนใหญจะใช PAP or CHAP อยแลว8. Add additional Addresses(One IP/Netmask or IP/CIDR perline):

ในบานเรามการใชงานในรปแบบ Personal Use เทานนเพราะฉนนในสวนนนไมตองใสกไดเพราะยง IPทไดรบจาก ISP นาจะเปนแบบ Dynamic

9. MTU เปนการกำหนดคานาดของ packet ทใหญทสดทสามารถสงได ถาไมใสจะใชคามาตรฐาน10. Dns ม2แบบ แบบอตโนมต คา Dns server จะกำหนดโดย ISP แตถา Manul เราสามารถกำหนดคา

Dns server ไดเอง เมอเสรจแลวใหกดปม >>>


27

8.7 Gatewayใหระบ IP ทใชในการเชอมตอออก Internet จากนนใหกดปม >>>


28

9.ระบหมายเลข DNS Server ทง 2 ชด (ถาทานยงไมทราบวาของทานตองกำหนดคาใด ใหใชคา DNSของทรดงในรปไปกอน) จากนนกดปม >>>

ถา DNS Server ของเจาอนๆ กมดงนครบHiNet by CAT :DNS : 202.129.27.135 / 61.19.245.246 / 61.19.254.134

HiNet by TTTDNS : 202.129.27.135 / 61.19.245.246 / 61.19.254.134


29

TTT ( 3BB )DNS : 202.69.137.137 / 202.69.137.138

TOTDNS : 203.113.127.199 / 203.113.24.199

TrueDNS: 203.144.207.29 / 203.144.207.49

10. เปนการกำหนดในสวนของการแจงเตอนทางอเมล โดยใหใสตามลำดบดงน...1. Email ของ ผดแลระบบ2. Email ของ Endian ทเรากำหนดไว3. smtp server ของเรา

จากนนกด >>>

11.จากนนกใหกดปม OK, Apply Configuration เพอยนยนคาทเรากำหนด


30

12.จากนนระบบจะทำการตงคาทำหมดแลวเรมตนระบบขนมา

13. จากนนใหเปด Browser ขนมาใหมแลวใหพมพ http://ตามดวย IP Green Zone จะไดตามรป

14.ใหใสรหส login โดย default ในสวนของ Webconfig User จะเปน Admin สวน passwordจะเปนตามทเรากำหนดในขนตอนท 5


31

15. และเมอรหสผานถกตองคณกจะไดพบหนา Dash Board ตามหนาจอขางลางดงน

~ กจะจบในสวนของการเรมตนระบบนะครบ ~


32

การออกแบบการออกแบบ Network รรวมกวมกบบ EFW เบเบองตองตนน

จากคำนยามในการแบง Zone Linux Firewall ในรปแบบตาง สามารถแบง Zone ออกเปน 4 Zone ไดดงน1. RED : ซงใชสำหรบเชอมตอกบเครอขายภายนอก (untrusted network หรอ Internet)2. GREEN : ซงใชเชอมตอกบเครอขายภายใน (trusted network หรอ Intranet(Lan))3. ORANGE : ซงใชเชอมตอกบสวนทใหบรการงานดานตางๆ ของ Server (DMZ หรอ Server Zone)4. BLUE : ซงใชเชอมตอกบเครอขายทเปนระบบไรสาย (เครอขายไรสาย หรอ Wireless )

ซงการนำมาใชงานจรงๆ ไมจำเปนวาคณจะตองยดตดวา Zone ไหนทำหนาทอะไรไดเพยงอยางเดยวมนอยทการนำมาใชมากกวาเชนจากรปตวอยางดานลาง

ตตวอยวอยางทางท 1 : การนำการนำ Endian มาใชมาใชงานเปงานเปนน Server Firewall Nat Proxy เพเพออ Management และเกและเกบบ logททวไปวไป


33

ตตวอยวอยางทางท 2 : การนำการนำ Endian มาแบมาแบงการเขงการเขาถาถงง Server โดยการแบโดยการแบงง Zone DMZ เปเปนน 2 วงวง


34

ตตวอยวอยางทางท 3 : การนำการนำ Endian มาใชมาใชในรในรปแบบทปแบบทมม Zone ครบทครบทงง 4 Zone ตามคำนตามคำนยามของยามของ Endian Firewall


35

ตตวอยวอยางทางท 4 : การนำการนำ Endian Firewall มาใชมาใชในการทำหนในการทำหนาทาทเปเปนน Gatewayเพเพอดอดแลและจแลและจดการในระบบเครดการในระบบเครอขอขายเชายเชนน การจการจดเกดเกบบ log กำหนดสกำหนดสทธทธในการใชในการใชงานงาน internet หรหรอการทำอการทำ Traffic

Mornitor รวมถรวมถงการรงการรกษาความปลอดภกษาความปลอดภยในการเขยในการเขาใชาใชงานงาน internet


36


37

การการ Config Endian Firewall เบเบองตองตนแบบหลนแบบหลกสกสตรเรตรเรงรงรดด

เนองจากทางทมงานไดปรกษากนแลวและมความเหนมาจบตรงทจะทำ Manual ในการเชอมตอแบบ1Wan(RED) + 1 Lan(Green) โดย ทมจะเปน Leased Line หรอ Adsl นะครบ ดงนนจากจดนไปรปทงหมดในการ Config จะอางองจาก Requirement ดงน ถาเปนการใชงานทเปนลกษณะ Adsl ทง 2 เสนขอใหผอานนำเอา Config ของ Adsl อกสายมาใชในการกำหนดคานะครบ

โดยในสวนของการกำหนดคาเบองตน ทกครงหลงจากทเราลงโปรแกรมเสรจแลว และเปดเขามาทหนาเวบ ตวEndian จะใหเราทำการ Config Red ซงจะเปนอะไรกแลวแต นนถอวาเปน Main Uplink หรอ Internet สายหลกซงในการทำ Internet สายสำรองนนเราจะมากำหนดกนอกท ซงขนตอนดงกลาวมดงน

1. เมอ Login ระบบเขามาทหนา Dashboard แลวใหตรวจเชคระบบ ของเราดกอนวา Interface ทงหมดอยในสถานะ UP ทงหมดหรอยง เพราะนนหมายความวาระบบกำลง Online อยเพอทจะไดทำการConfig ระบบตอไป พรอมทงตรวจสอบการทำงานของระบบพนฐานเชน CPU MEMORY HDDวาเปนไงบาง ซงใน version นยงมปญหาเรองการเกบ log อาจจะตองรอ build ถดไปในการแกปญหาจดทสงเกตตอไปคอ Uplinks ของทานอยในสถานะ Connect หรอยง ใหตรวจเชคใหเรยบรอย

2. โดยปกตพวกเราหลายๆคนกอยากจะทำใหเนตใชไดกอนกใหไปทำการเทส เรองของ internetวาเขาเวบไดไหม ถาไดเราจะตองเกบ log พรอมทำ Authentication โดยอยางแรกใหเราดทความตองการระบบพนฐานกอนวาระบบเดมทใช เครองคอมพวเตอรในเครอขายนน ใชงาน IP ระบบไหนอย ซงสวนใหญจะมอย 2 แบบคอ Fix และDynamic IP ถาเครองลกขายมการ Set เปนแบบ Fix ไว คณอาจจะไมใชงานในสวนของ DHCP กไดแตถาคณมองวาในกรณทเครองลกมปญหาเรอง IP และอยากใหแกไขไดจากท Endian ผมขอแนะนำใหใชเปนDHCP จะดกวาซงในคมอจะเปนเพยงการสอนในการตดตงอยางงาย สวนขนตอนในเชงลกจะนำเสนออทนะครบ

ไปท Service -> DHCP-SERVER จากนนทำการกำหนดคาของ DHCP เพอใหเครอง Client สามารถออนไลนโดยใหใช IP ทกำหนดโดย Endian Firewall โดยในชอง Start Address ใหใส IP แรกในชวงของ DHCPและ End address คอ IP สดทายของ IP จากนนสงทตองกำหนดกคอ Primary Dns และ Secondary Dns


38

ใหใสลงไป ในสวนของ NTP ใหระบ IP ของ Time-server นะครบ แลวอยาลมทำเครองหมาย Enable แลว ClickSave นะเทานระบบกจะทำการแจก IP ใหเครองลกขายแลว ซงจะมผลตอการดแลระบบ และงายตอการทำ policy

ใน Version ใหมนไดเพมความสามารถในการแจก IP โดยปกต Dhcp server จะทำการแจก IPทอยในชวงของ Network ทเรากำหนดไว หากแตวา Version ใหมนสามารถกำหนดใหแจก IPใหอตโนมตเฉพาะเครองทเราทำการ Fixed Lease ยกตวอยาง

Ex.: ผมถอ Notebook นำมาเชอมตอเขาเครอขายโดยท set tcp/ip เปนแบบ Optain autoระบบจะทำการถาม IP เปนท Dhcp ของ Endian แตเนองจากผมไดเปด Function ทชอวา Allow only fixedlease ซงในสวนนระบบจะแจก IP ใหกบเครองทมรายการอยใน Current Fixed lease ดงนน Notebookผมจะไมสามารถออนไลนเพราะไมไดรบ IP จาก Endian ตองไปกำหนด manual เอาเองใน tcp/ip propertiesของ windows

วธแกไขกแคทำการ Add fixed lease ของ notebook ผมโดยดคา Mac address จากการดแลนโดยใชคำสง ipconfig /all แลวนำคา ทไดไปเพมใน Add a Fixed Lease พรอมกำหนด IP และระบชอเครองจากนนก save และทำการเชอมตอใหมกจะไดรบ IP ทกำหนดไวอตโนมต

จากนนถาสงเกตใหดจะมเมน Add a Fixed Lease คอการทำใหเครองลกขายจากเดม ทได Dynamic IP จากDHCP-server ของ Endian ถกกำหนดคา IP ตายตวและเปลยนแปลงไมได ทกครงทระบบออนไลนขนมา ถาuser ไมไดเปลยน IP เองและยงคงใช Config แบบ Dhcp เราสามารถกำหนด หมายเลข IPใหคอมพวเตอรเครองนนๆได โดยไมตองไป set ดวยตวเองทเครองคอมพวเตอรนนๆ

วธการทำ Static DHCPใหเรากดทปม Add a fied lease จากนน สงทจำเปนในการทำ Fixed lease มอย 3 อยางคอ


39

1. Computer Name เพอกำกบวาเปนคอมพวเตอรเครองไหน2. Mac Address เพอทจะไดรวาคอมพวเตอรทเรากำหนดนนมาจากเครองไหน

และจะงายขนเมอเราใสชอเครอง3. IP เมอร Mac address และชอเครองกถงคราวทเราจะระบ IP

วาตองการใหเครองคอมพวเตอรนนได IP อะไร

ขอกำหนดของวธน1. ผใชไมสามารถแกไขเรองของการ Setup Tcp/Ip เองได2. Mac address 1 ชด สามารถม IP ไดแค 1 เลข3. IP ท Set manual ไมควรอยในชวง ทเราไดใชในการกำหนด Dhcp แบบ Fix Lease4. ใน Version ใหมนจะม Function Allow only Fixed lease ถาใชคำสงนหามลมไปแอดในสวนของ

Current fixed lease

*** รอใสรป Cap มายงไมครบ ***

*** ตองเพมในสวนของการ update DNS เพราะระบบสวนใหญใช Windows Server ซงจะมผลมากถา Clientเปน Dynamic แตไมไดใช Dhcp ท Window server เราจะแกยงไงให Dns server ของ Window สามารถ

รไดวาตอนน ip ของเครอง client ชอนนๆ ip อะไร ใหดวธการแกไขจาก Faq ขอ2***

3. โดย Default ขององคประกอบในการออกแบบ Internet เมอเครอง Client ม IP ช Gatewayไปทเชอมไปยง Internet ไดกจะสามารถเปดเวบตางๆได แตเราตองการใหระบบทงหมดทเชอมออกไป internetวงผาน Proxy ดงนนเราจะตองทำการแกไขไมใหเครอง Client วงออกไปท internetไดโดยตรงดวยการไปตงคาท Firewall

แลว Firewall มนคออะไร Firewall เปรยบเสมอนเครองกรองชนดหนงทจะกรองเอาเฉพาะขอมลทเราตองการใหผานทงเขาและออกไปยงเครอขายของเราไปท internet หรอกลบเขามาทเครอขายภานในของเรา เนองจากวา Endian Firewall ออกแบบทมลกษณะงายตอผใชแตอาจจะยากสำหรบคนทไมมพนฐานในเรอง Iptable routing port สามารถทจะกำหนดคา firewall ไดงายขนหากเราสงเกตทหวของตาราง Port Forwarding/Nat และ Outgoing Firewall จะมคำศพทประมาณเนย

Source? --> Destination? Service? Policy? Actions

แปลไดวา จดเชอมตอเรมจากทไหน ปลายทางไปทไหน ดวยรปแบบการเชอมตอวธไหน อนญาตหรอไมมผลยงไง ซงทกครงในการตงกฎ ขอใหเอาแนวคดนใชในการ กำหนดนโยบายตางๆ ในการเชอมระบบนะครบจะทำใหงายขน

*** รอ update รป concpet การ forward ให server หรอ client ใหบรการรปแบบตาง ***

การตงคาท Firewall -> Port Forwarding/Natในสวนนจะขอนำกลบมาพดอกครงหลงจากทระบบไดทำการกำหนดการใชงาน Internet พนฐานกอน เพราะ PortForwarding/Nat เปนการใหบรการระบบตางๆของ Server ภายในเครอขายใหสามารถ onlineโดยมการปองกนดวย Endian Firewall

*** รอ update รป concpet การวงออก internet ***

การตงคาท Firewall -> Outgoing Traffic เปนการออกกฎ ในการเชอมตอออกไปท Internet เนองจากวาคมอนพยายามใหขนตอน Config นอยทสด โดยใหไปคลก Disable port 80 และ 443 เพอทำการบลอกไมใหuser เลนเนตไดในกรณทยงไมทำการยนยนตน พรอมทงปองกนปญหาทวา user ทำการแกไข proxyทเครองเพอจะเลนเนตโดยไมยนยนตน


40

4. Proxy การเกบขอมลทเราได download เปดด หรอใดๆกตามทมาจาก internet มาเกบไวในเครอง Proxyserver ซงเปนอก 1 ความสามารถท Endian ทำได โดยกอนทเราจะเรมใชงาน Proxyระบบจะตองมความพรอมดงน

1. เครอง Client ออนไลนและสามารถปงมายง เครอง Endian ไดเรยบรอยแลว2. การกำหนดคา Proxy ทเครอง Client วธการขนอยกบ Browser ทใชแต Concept ทก Browser

เหมอนกนคอจะตองร IP และ Port ของ Proxy-Server3. ในระบบ Endian Firewall version 2.3 rc1 ไดนำความสามารถ Automatic Configuration

Script มาใชในการชวยตงคาโดยการใชงานไฟล proxy.pac ซงขางในจะปน Scriptในการชวยตงคา proxy ใหอตโนมต ซงวธการกงายเพยงแคกำหนดคา address ของ ไฟลproxy.pac เชน http://Ipของเครองendain/proxy.pac ซงถาเปนระบบ Domainสามารถนำไปเพมไดใน Group Policy ไดเลย ซงประโยชนของมนคอ คณไมตองเดนไป setproxy ใหเครอง client ทกเครองทม เปนการลดภาระใหกบ Admin และ support

*** การ Set Proxy ใน Group Policy ของ Domain ใน Windows Server ****1. ใหไปท User Configuration2. Windows Settings3. Internet Explorer Maintenance4. Connection5. Proxy Setting double click ขนมา6. Enable proxy settings ใสคา ip ของ endian ทชอง http และ port7. ตกถกท Use the same proxy server for all addresse

***การ Set Proxy ใน Group Policy ของ Windows server ให Disable หามเปลยนคา Proxy ใน IE***

1.ไปท Start เลอก Run พมพ gpedit.msc2. ไปท User Configuration > Administrative Templets > Windows components > Internet

Explorer3. หา Disable Changinging proxy settings4. เลอก Enabled แคนกแกไมไดแลวครบ

*** Msn เลนผาน proxy ไมได ***


41

1. ใหไปใสคา proxy ใน msn2. กำหนดคา username และ password ของ user ทจะใช3. ทดสอบอกครงควรจะใชงานไดแลว

เรมตนใหไปท Proxy แลวทำการ Enable proxy เพอใหมนทำงาน

5. เมอระบบ Proxy เรมตนทำงานแลวจะไดหนาตาอยางภาพขางลาง จากนนทชอง ของ Green Orange หรอBlue ใหเราเลอก

1. Not Transparent ซงแลวแตวา Zone ไหนทตองการทำ Authentication2. Transparent ในกรณทเราตองการใหออก internet ไดเลยโดยทไมมการทำ Authentication

จากนนเขาส Proxy Setting1. ในชอง Port Used by Proxy เปนการกำหนดคา Port ของ Proxy server2. Error Langauge การแจงเตอนError ตางๆวาเปนภาษาอะไร3. Visible Hostname เปนการกำหนด ชอเครอง Proxy-server นะครบ4. Email Used For notification อนนเปนอเมลของผดแลระบบ เอาไวแจงเวลางานเขา5. minimum download size ขนาดทเลกทสดทอนญาตให download6. Maximum upload Size คอขนาดทใหญทสดทอนญาตให upload ได7. Allowed port คอ port ทอนญาตใหเชอมตอผาน proxy รวมถงในสวน SSL8. Log Settings ใหทำเครองหมายทงหมด เพราะ log ทเกบจะเชอมโยงถงกน

ซงในขนตอนนจะมตวททำหนาทเกบการใชงานของผใชคอ log user agent9. By pass tranparent proxy เนองจากในรปแบบการ config ของเราใชเปนแบบตอง

Authentication เพราะฉนนในสวนนจงไมไดใชงานนะครบ10. Cache Size on harddisk อนนเราจะกำหนดขนาดของ proxy ใน harddisk

ยงมากกเกบไดมากแต ดวยความทขอมลมาก การทจะดงหนาเวบใน cacheขนมาแสดงจงชาตามไปดวย ขอใหดความเหมาะสมในเรอง Harddiskทใช จำนวนuserและลกษณะของ cache วาเปนอะไร

11. Cache Size within Memory เปนขนาด Cache ทจะเขาไปพกขอมลอยใน Ramปกตตรงจดนคอครงหนงของแรมทงหมดทม

12. Maximum Object Size ขนาดของไฟลทใหญทสดทจะถกจดเกบใน proxy กำหนดใหญมากไปกมผลในการทำใหเปดเวบไดชาลง เพราะสวนใหญททำ cache เพอใหเปดเวบไดเรวขน


42

คงไมไดมงเนนใหโหลดไฟลจาก cache ไดเรวขนถกไหมครบ แตหากสงเกตในรปดๆ ในversion นนาจะใสหนวยในสวนของตวเวบมาผด ทถกตองเปน KB

13. Minimum Object size ขนาดของไฟลทเลกทสดทจะถกจดเกบใน proxyปกตผมจะเกบไฟลเลกมากกวาไฟลใหญ เพราะขอมลใน internet เนตสวนใหญจะเปนไฟล jpgswf html ซงขนาดกไมนาจะเกน 1024Kb. หรอ ประมาณ 1 Mb. แตหากสงเกตในรปดๆ ในversion นนาจะใสหนวยในสวนของตวเวบมาผด ทถกตองเปน KB

14. Clear Cache ในกรณทใชๆไปแลวเปดเวบไดชาระบบเรม อดมากๆ นานๆทกให Clear cacheสกครงจะไดลาง index ทำให squid ทำงานไดดขน

15. Enable Offline mode ใชในกรณทระบบของ offline ระบบจะสงขอมลออกจาก cacheไปอยางเดยวทำใหผใชไมทราบวาในขณะนน internet ขาดการเชอมตออย

16. Do not cache this destinations คอ ใหเราระบ url ทไมตองการใหระบบทำการเกบ cacheนะครบ

17. Upstream Proxy คอการเอา Proxy ของเราไปเกาะกบ proxy ของทอนซงอาจจะม speedและขนาดของ cache ทดกวา ใหญกวา และเรวกวาโดย วธการกำหนดคา คอใส ip:portusername password นะครบ จากนนให Click Saveไปขนตอนถดไป


43


44

6. จากนนใหไปทเมน Antivirus เพอจะกำหนดคาขนาดของการแสกนเพราะตรงจดนถาเราตงคาตวเลขมากหมายถงขนาดของไฟลทเวลาเราเปดหนาเวบแลวมการโหลดไฟลนามสกลใดๆกตามจะตองถกแสกนไวรสซงจะทำใหชามากถาเครองไมแรงจรงๆ ตรงนควรจะกำหนดใหนอยเขาไวจะชวยไดมาก

7. เขาสขนตอนการทำ Authentication วธการยนยนตวตนในระบบทเราใชกนจะมกนอยหลายวธ ซงจะมแบบLocal ทใชการกำหนด username password ทเครอง Endian เลยโดยตรง หรอแบบ Windows Authenticationคอการใช Ldap ของ Window Domain ในการตรวจสอบสทธของผใช หรอแบบ Radius Serverทจะตองเชอมเครอง Endian ใหวงไปถาม Username และ Password จากเครอง Radius Serverและทำการยนยนตวตน

จากในรปนจะเปนวธการกำหนด Authentication แบบ Local เพอใหงาย สดวกรวดเรวในการขนระบบใหมโดยใหทำตามขนตอนดงน

1. Authentication Realm ตรงนคณอาจจะใชเปนชอใหเขาใจวา ผใชกำลง loginเขามาในระบบของ proxy เรานะครบ

2. Number of Child Authentication children กคอจำนวนครงท login ซำเขามาไดกหนาจอ3. Number of different ips per user กคอจำนวนของ IP ทตางกน ของ user

คนเดยวกนนทใชเชอมตอเขามาไดมากสดก IP เชน user ไป login ใช comupterไดหลายเครองพรอมๆ กนทนเราตองการจำกดให user ท loginวงมาจากทเครองเดยวกใหใสแค 1 ในชองน

4. Authentication cache TTL คอเวลาหลงจากท user loginเขามาในระบบแลวจะอยไดนานแคไหน

5. User/IP Cache TTL คอระยะเวลาท user ใช IP จากทตางๆกนนนนานแคไหนซงปกตกจะใหนานเทากบ ขอ 4

6. Min Password Lenght กำหนดความยาวตวอกษรวาจะใชกตวขอใหทำจดนกอนเพราะจะไดไมมปญหาตอนตงรหสผานของ user

7. Manage User คอสวนทเขาไปตงรหสผานใหกบ user8. Manage Group คอการ จดกลมโดยการกำหนด User วาอยในกลมไหน


45

หนาตางขนตอนการเพม USER เมอ Click ท Add NCSA user


46

จะไดหนาตางขางลางน จากนนกใส user password จากนนกด create user

จากรปตวอยางผม Create User มา 2 คนคอ Admin กบ User จากนนใหกลบมาทหนา Authentication


47

เมอกลบมาทหนา authentication ให click ทปม Manage Group เพอกำหนดกลม


48

เมอเขามาแลวกจะปรากฎหนาตางตามรปขางลาง


49

ผมไดทำการเพม Group admin และทำการ add user admin เขาไปใน Group Adminและเมอเสรจเรยบรอยใหกด Create Group เมอ add ทก User และ ทก Group แลวจะไดดงภาพถดไป


50

add ทก User และ ทก Group และจดการเรอง Group แลว ใหกด Apply

กจะเสรจสนการกำหนด User และ Group


51

การกำหนด Group Policy ใหมผลตอการใชงาน Internet แบบงายๆ1. ใหเขามาท Proxy -> Access Policy จากนนใหลบ Policy เกาทงทงหมด2. แลวใหกดปม Add Access Policy ใหมจะไดเหมอนรปถดไป


52

3.ทำการกำหนด Policy โดยไลตามชองไปเลยนะครบ1. Source Type เปนตวกำหนดจดเรมตนของ Policy ในตวอยางผมเลอกเปน Any เพราะตองการให

Authentication ทกเครองทวงออกไป Internet เลย2. Destination ทเราตองการใหวงออกไปผม เลอก Any เชนกนเพราะตองการทำ Authenticaiton กบ

user ทวงออก internet3. Authentication รปแบบการเชอมตอนมผลยงไง แบบไหน คอเปนแบบองกลม หรอรายบคคล

กใหกำหนดในชอง Allowed Users4. Time Restriction ผลของคำสงนจะทำงานชวงเวลาใด ใหเราเปดปดการทำงานเรองเวลาทตรงน5. Active Days ถาขอ 4 เปดใชงาน กใหกำหนดในชอง Active Days วาวนไหนบางใหมผลของ policy6. Start Hours, Start Minutes, Stop Hours และ Stop Minutes ถาขอ 4 เปดใชงาน

จะตองกำหนดลงไป ชวงเวลาทมผลของ policy7. User Agents ใหมการจำกดการใช Browser หรอไม ถาเราจะกำหนดให click เลอกวาใช Browser

อะไรไดบาง8. Access Policy ใหเลอกเปน Allow เพราะเราจะอนญาตใหใชเนตไดหลง Authentication9. Filter Profile ในสวนนคณอาจจะให Endian ทำการ Filter เฉพาะ Virus อยางเดยวกได

10. Position ตรงนกำหนดลำดบของ Policy11. Enable Policy Rule คอเปดใชงาน policy ตวนหรอไม จากนนกดปม Update Policy

จะไดดงรปถดไป


53


54

จากนนใหกด Apply เพอยนยน Policy ทเราไดกำหนดไวใหทำงาน เมอกด apply จะไดดงรปถดไป

ระบบกจะแสดง Policy แบบสรปทเราไดกำหนดไป หลงจากนนใหคณ Rebootระบบอกสกครงจากนนกใหทดลองเปดเวบและ login ดวยรหสและรหสผานทกำหนดไววาใชงานไดไหม


55

ถงจดน user ทงหมดทเรา Set ไวจะไมสามารถเลน internet ได จนกวาจะ login ท browser ดวย usernameและ password ทเรากำหนดไว

*** รอ update ***

การตรวจเชการตรวจเชควควาระบบทำงานไดาระบบทำงานไดสมบสมบรณรณหรหรอยอยงโดยใชงโดยใช Live log และและ Proxylog

*** รอ update ***

*** รอupdate ***

การการ Backup Configuration และการและการ Restore Configuration*** รอupdate ***

*** จบในสจบในสวนขอองการวนขอองการ Config Endian Firewall เบเบองตองตนแบบหลนแบบหลกสกสตรเรตรเรงรงรดด***


56

การกำหนด Content filter

**** กำลง Update ****


57

FAQ

Q: ทำไมหลงจากทเราลง EFW เสรจแลว มนขน "GRUB Loading Stage 2 ......" แลวเครองไมยอมบตเขา EFW?A: หลงจากททานไดตดตงแลว แต EFW ไมบตเขาระบบ แลวขนขอความดงกลาว มสาเหตมาจากตอนททานตดตงทานไดไปเลอกการใชงาน console ผาน Serial port ของเครอง แตเครองโดนปด portดงกลาวเอาไว วธแกคอ...ทานตองรบตเครอง แลวเขาไปเปด Serial port ใน BIOS เพยงเทานระบบ EFWจะบตเขาไดเปนปกตครบ

Q: DNS server ของ Window Server มปญหากบเครอง Client ทเปน Dynamic ทไดรบ IP จาก Endianfirewall เราจะแกยงไงให Dns server ของ Window ม ip ตรงกนกบเครอง client ชอนนๆA: ในสวนของ Windows Server ททำหนาทเปน Dns Server ของ Domain ใหไปกำหนดคา Allow Dynamicupdate แบบ Non-secure and Secure นะครบ จากนนกไปเรงในสวนของการลบคา Dns ทไม updateในสวนของ Aging Scavenge

Q:A:

Q:A:

Q:A:


58

Part 6 Config Open VPN

6.1 Open VPN Client to Site

การคอนฟการคอนฟกก OpenVPN แบบแบบ Host-to-Net ( Client to Site ) บนบน Endian Firewall Community 2.3RC1โดย อดศร ขาวสงข (ปรปรบปรบปรงโดยงโดย ไพรสารไพรสาร สสเทาเทา: tototyt ,แกแกไขภาพและเรไขภาพและเรยบเรยบเรยงโดยยงโดย ออศเรศศเรศเทพนรเทพนรนทรนทร:Noktualek )จดทำเมอ 2/07/2008 (ปรปรบปรบปรงง 27/10/2009)

ทดลองบน efw 2.3 RC1

บทนำบทนำเมเมอเราตอเราตดตดตงง Endian Firewall Community แลแลวว กกจะมจะมแอพพลแอพพลเคชเคชนทนทเปเปนน OpenVPN

ททสามารถพรสามารถพรอมใชอมใชงานไดงานได ททงแบบงแบบ net-to-net และและ host-to-net ซซงในทงในทนนจะกลจะกลาวถาวถงการใชงการใชงานแบบงานแบบ host-

to-net

การเชการเชอมตอมตออ VPN แบบแบบ host-to-net จะเปจะเปนดนดงรงรปทปท 1 โดยดโดยดานซานซายของรายของรปกปกเปเปนเครนเครอขอขายภายในายภายใน (LAN)

ททอยอยในองคในองคกรของเราและมกรของเราและมการเชการเชอมตอมตอกอกบเครบเครอขอขายาย Internet เพเพอใหอใหเครเครอขอขายาย LAN

ของเราสามารถตของเราสามารถตดตดตอไปยอไปยงโลกภายนอกทงโลกภายนอกทเปเปนอนอนเตอรนเตอรเนเนตไดตได แตแตโลกภายนอกโลกภายนอก (Internet)

ไมไมสามารถทะลสามารถทะลผผานเขานเขาไปสาไปสเครเครอขอขายาย LAN ของเราไดของเราไดโดยงโดยงายายเพราะตเพราะตดเรดเรองของระบบความปลอดภองของระบบความปลอดภยและเทคนยและเทคนคการออกแบบเครคการออกแบบเครอขอขายายดดงนงนนถนถาจะใหาจะใหโลกภายนอกสามารถทะลโลกภายนอกสามารถทะลผผานเขานเขาไปยาไปยงเครงเครอขอขายาย LAN

ไดไดโดยมโดยมความปลอดภความปลอดภยกยกจะตจะตองประยองประยกตกตเอาระบบเอาระบบ VPN มาใชมาใชงานงาน


59

รปท 1 การเชอมตอ VPN แบบ host-to-net หรอ client to site

สสงทงทจำเปจำเปนสำหรนสำหรบการทำบการทำ VPN1. Public IP แบบ Fix IP สำหรบสาขาหลก Site A2. ถาไม Fix IP ใหใช Dynamic DSN ครบ3. IP วงแลนสำหรบสาขาหลก และ IP วงแลนสำหรบเครองทจะ VPN เขามาควรอยคนละ Subnet เชน

ทสาขาหลก วง 192.168.1.0/24 สำหรบเครองทจะ remote เขามาควรเปน 192.168.121.0/24ทตองกำหนดคาใหตางกนเพอปองกนการสบสนนะครบ เพราะหากคอนฟกทสาขาหลก 192.168.1.1/24 เปนEndian Firewall แลวเครองท Remote จากอกทหนงม ADSL Router เปน 192.168.1.1/24 จะพบวา IPAddress เหมอนกน เมอทำการเชอมตอ VPN เขามาจะเกดความยงยากในการจดการ

การคอนฟการคอนฟกฝกฝงง Server1. เชอมตอไปยง Endian Firewall Community ผาน Web Browser(https://server_ip_address:10443)2. ไปทเมน vpn ดานบน และเลอกเมนยอยเปน Openvpn Server ดานซายมอ และ Tab Serverconfiguration3. ปอนคา Dynamic IP pool start address และ Dynamic IP pool end address ซงคอ IP Addressของเครอขายภายใน (LAN) ทจะจายใหกบเครอง ( Roadwarrior ) ทจะเชอมตอเขามานนเอง

คลกท checkbox ของ OpenVPN Server enabled ใหมเครองหมายถก กำหนดวง IPสำหรบลกขายทจะทำการ VPN เขามาโดยไมใหซำกบ DHCP ในรปคอแจก IP 192.168.1.230-254 จำนวน25 เครอง ดงรปท 2

รปท 2 การคอนฟก Server configuration

4. คลกปม Save and restart ของรปท 25. คลกแทบ Accounts ดงตวอยางในรปท 3 แลวคลกปม Add account


60

https://219.2.2.1:10443/cgi-bin/openvpn_server.cgi



รปท 3 Accounts

6. ใส Username และ Password คลกท checkbox ของ Direct all client traffic throughthe VPN server ใหมเครองหมายถก ดงตวอยางในรปท 4 แลวคลกปม Save

รปท 4 Add new user


61

7. คลกทปม Restart OpenVPN server ดงรปท 5

รปท 5

8. คลกแทบ Advanceed ปอนตางๆ ดงตวอยางในรปท 6 เสรจแลวคลกปม Save and restart

รปท 6 Advanced

9. คลกลงค Download CA Certificate เพอนำไฟล XXX.cer ไปใชงานท Clientดงตวอยางในรปท 7 (ในขนตอนนใหสงเกตวาบางครงหากใช IE 8 จะไดไฟล xxx.cer (xxxคอชอเครองทเรากำหนดไวตอนตดตง) แตหากใช CommetBird Browser กจะไดไฟล xxx.pem


62

รปท 7 Download CA Certification

ลองตรวจสอบ Status และ Services กอนวาทำงานหรอยงครบ หากสถานะยงเปน STOPEDใหกลบไปทำการแกไขใหม ตามขนตอนขางตนจนกวาสถานะเปน RUNNING ครบดงตวอยางในรปท 7.1

รปท 7.1 Open VPN Server Status

การคอนฟการคอนฟกฝกฝงง Client1. ดาวนโหลดโปรแกรม OpenVPN GUI for Windows ไดจาก http://openvpn.se/ เลอกเมน Download

ดานซายมอ และเลอกเมน Stable เลอกดาวนโหลดโปรแกรมทเปน Installation Packageซงในขณะทเขยนบทความนมชอไฟลเปน openvpn-2.0.9-gui-1.0.3-install.exe

รปท 8

2. ตดตงโปรแกรมทดาวนโหลดมาลงในเครองทตองการจะใหเปน OpenVPN clientโดยของผเขยนตดตงเปนแบบ Default คอไมไดเลอก Options เพมเตมใด ๆซงการตดตงจะตดตงไฟลไวในตำแหนง C:\Program Files\OpenVPN

3. เมอตดตงโปรแกรมแลวจะปรากฏ Icon อยบน Taskbar ดานลางขวา ดงรปท 9

รปท 9 OpenVPN icon


63

http://www.tkc.ac.th/osunun/technology/linux/efw/ovpn_host_to_net/files/install_packages/openvpn-2.0.9-gui-1.0.3-install.exe

4. สำเนาไฟล client.ovpn จากโฟลเดอร C:\Program Files\OpenVPN\sample-configไปไวในตำแหนง C:\Program Files\OpenVPN\config โดยใชชอไฟลเปนชอเดม หรออนๆตามทตองการกได5. คลกเมาสขวาบน VPN Icon ตามรปท 9 แลวเลอกเมน Edit Configหรอจะเปดไฟลคอนฟกจากตำแหนงไฟลโดยตรงนนคอไฟล C:\ProgramFiles\OpenVPN\config\client.ovpn6. แกไขเพมเตมไฟลคอนฟกดงกลาวใหมคาตอไปน อยในไฟล (หรอ ลบ config คาเกาใหหมดแลวcopy คา config ดานลางทเปนตวหนา โดยแกไขใหเหมาะสมกบการใชงาน

clientdev tapproto udp (เปน tcp กไดเชนกนหากรปท 6 เลอก tcp)remote site-001a.dyndns.org หรอ xxx.xxx.xxx.xxx 1194resolv-retry infinitenobindpersist-keypersist-tunca cacert.pem (ตงคาใหสมพนธกบขอ 9)auth-user-passcomp-lzo

หมายเหตหมายเหต หลงคำวา remote เปนคา IP Address ของ OpenVPN Server กได แลวใสคา port 1194หลงคำวา ca สามารถระบ path ของไฟลได (ในกรณไฟล CA วางไวทตำแหนงอน)

7. ให disable คำวา cert client.crt และ key client.key ในไฟล client.ovpn ดวยการเอาเครองหมาย";" ไปไวขางหนา(ขอนไมตองทำหากทำขอ 6 โดยการเครยคาเกาทงไปแลว)8. สำเนาไฟล CA (xxxx.cer) ทดาวนโหลดมาจาก OpenVPN Server (ในขนตอนท 9ของการคอนฟกฝง Server) ไปไวทตำแหนง config ของโปรแกรมคอ C:\ProgramFiles\OpenVPN\config

การเชการเชอมตอมตอใชอใชงานงาน

1. เลอกเมน Connect บน Icon ของ OpenVPN Client แลวจะมการถาม user และ password ดงรปท10


64

รปท 10

2. เมอ Connect ไดแลว OpenVPN Icon บน Taskbar จะเปลยนสเปนสเขยวดงรปท 11

รปท 11

3. เมอตรวจสอบด IP Address ทไดรบจาก Server กจะตรงกบชวงของ IP pool ทไดเซตไวดงรปท 12


65

รปท 12

4. ทฝงของ OpenVPN Server เมอทำการมอนเตอรดสถานะการเชอมตอกจะเหน userทกำลงเชอมตอใชงานอยดงรปท 13 ซงสามารถทจะ kill การใชงานได

รปท 13

การใชงานกบ userหลายคนสามารถทำใหสะดวกมากขนดวยการสำเนาไฟลคอนฟกตนแบบททำการปรบแตงเรยบรอยแลวพรอมไฟล CA ทดาวนโหลดมาจาก Server สงใหคนอน ๆ

ปปญหาทญหาทพบและแนวทางการแกพบและแนวทางการแกไขไข ( แบบสแบบสวนตวนตวสวสวนตวนตวว )

1. เครอง Server แจก IP ใหแต Client ไมรบสงเกตไดจากไมม IP ขนมา


66

ผมไมทราบสาเหตนะครบ แตผมแกแกปปญหาญหาโดยใส IP เองตามทเรากำหนดชวงไวใน DynamicIP pool start address แลว Restart เครองใหมอกครง

ลอง Connect ใหมอกครง กจะได IP ตามรปแลวครบ


67

2. Connect ไดแตใชงานบางอยางไมได ใหตรวจสอบในสวนของ Firewall ตรง VPN trafficหากเปดใชงาน Enable VPN Firewall อยจะไมสามารถทำงานบางอยางได

แกแกปปญหาญหา โดยใหยกเลกการทำงานมนกอนหากยงไมกำหนดคา rule ใดๆ

ตตวอยวอยางของการใชางของการใชงานงาน Open VPN


68

1. เราสามารถเขา Webconfig ของ Endian จากภายนอกไดเลยโดยไมตองทำ Forward ผานRouter

2. Ping Private IP Address จาก VPN Client ไปยง IP Address ของสาขาได

3. Remote Admin File Sharing Printer Sharing และอนๆ กใชงานไดเหมอนอยในวงเนตเวรคเดยวกนครบ


69

ขขอจำกอจำกดด VPN Client to Site โดยใชโดยใช ADSL1. ความเรวสงสดททำไดขนอยกบความเรวตำสด ADSL ของเครอง client หรอ endian server2. ไมเหมาะกบการแชรไฟลเปน Database โดยการ Map drive เชนโปรแกรมบญช Express

เพราะการประมวลผลจะเกดขนทเครองทเปน VPN Client เขาไป ดงนนจงตองดงขอมลจำนวนมากมาใชจาก Siteทแชรงานไว จงเกดขอจำกดในการใชงาน การแกไข ควรใชงานแบบ Terminal หรอ Remote Desktop

3. โปรแกรม Open VPN สำหรบเครอง Client(Open VPN 2.0.9) ยงมปญหาการใชงานกบ Windows 74. การใชงาน Internet บนเครองทเปน VPN Client ในการเขาเวปไซตตางๆ จะวงผานตว gateway

Endian Server ทำใหจะไดความเรวเทากบ ขา Upload ของ Endian Server (ใครมวธแกบางครบ)5. จากขอ 4 หากในเครอขาย LAN ของสาขาตง Policy Firewall ตางๆไว เครองท VPN

เขามาอาจจะไมไดอยใน Policy นนๆ จงอาจจะเกอาจจะเกดความไมดความไมปลอดภปลอดภยตยตอเครอเครอขอขายไดายได6. ไมสามารถใชงานเปนชอเครองได แนะนำใหระบเปน IP Address7. หากใชงานบางอยางไมไดเชนการ Sharing folder ใหเปลยน Protocal จาก UDP เปน TCP ในรปท 6

และการคอนฟกคา client ในขอท 68. อปกรณ เครอขายบางตวอาจจะมปญหากบวง IP Class A เชน 10.0.0.0/24 ผมทดลองกบ Endian

2.2 ปรากฏวามนไมแจก IP วงนใหกบ Client VPN ครบ แตพอเปลยนมาเปนวง 192.168.0.0/24สามารถทำงานตามปกต ดวยเหตนอาจจะเปนสาเหตเดยวกบในหวขอปญหาทพบและวธการแกไขขางตนกเปนไปได ซงอาจจะเปน Bug ของโปรแกรม

* ทเหลอกอยทวาใครจะกำหนด Rule ใหทำงานอะไรไดบางและอนๆ ทยงไมกลาวถง ขอใหโชคดทกทานครบ

6.2 Open VPN Site to Site หรอ แบบแบบ Net-to-Net บนบน Endian Firewall

โดย อดศร ขาวสงขเขยนเมอ 25/11/2006 ( ปรบปรงโดย : นายไพรสาร สเทา )ทดลองบน Endian Firewall 2.3

บทนำบทนำผเขยนไดทดลองใชงาน OpenVPN แบบ Net-to-Net บน Endian Firewall 2.3 ซงเซตงายดครบกเลยไดเอามาแนะนำกน ซงการใชงาน VPN แบบ net-to-net อาจจะเรยกอกชอเปนแบบ Site-to-Site

หรอบางทกอาจจะเรยกวา Intranet VPN

ความตความตองการของระบบองการของระบบการทดลองในทนสมมตวาองคกรของเรามสำนกงานอย 2 แหง เปน Site A และ Site B ดงรปซงในความเปนจรงแลวอาจจะมจำนวน Site มากกวาน แตการประยกตใชงาน กใชหลกการทจะกลาวถงนไดครบและทงสอง Site ไดเชาใชบรการอนเตอรเนตจากผใหบรการเรยบรอยแลว นนหมายถงทงสอง Site


70

สามารถใชงานอนเตอรได แตมความตองการเพมเตมคอ ตองการใหเครอขายภายในทใช IP เปน Private IP

ของทงสอง Site สามารถเชอมตอกนไดโดยมความปลอดภยของขอมลทนาเชอถอได

ทางออกในทนคอการใชระบบ VPN โดยเลอกเปน OpenVPN เพราะเปน Open Source ทไมตองลงทนซอและเลอกทจะใช OpenVPN บน Endian Firewll ครบ

รปท 1 การเชอมตอ VPN แบบ host-to-hots

ขขนตอนการเซนตอนการเซตมตมดดงนงน

ในทนผเขยนขอแสดงตวอยางการเซตท Site A สวน Site B กใหใชหลกการเซตทเปนแบบเดยวกนดงน

การคอนฟการคอนฟกฝกฝงง Server Site A* ขนตอนเหมอนกนกบทำแบบ Host-to-Net หรอ Client To Site

นนเอง หากทานทำไปแลวกขามขนตอนนไดเลย1. ตดตง Endian Firewall ทง 2 Site

2. เชอมตอไปยง Endian Firewall Community ผาน Web Browser(https://server_ip_address:10443)

3. ไปทเมน vpn ดานบน และเลอกเมนยอยเปน Openvpn Server ดานซายมอและ Tab Server configuration

4. ปอนคา Dynamic IP pool start address และ Dynamic IP pool end addressซงคอ IP Address ของเครอขายภายใน (LAN) ทจะจายใหกบเครอง (Roadwarrior ) ทจะเชอมตอเขามานนเอง

คลกท checkbox ของ OpenVPN Server enabled ใหมเครองหมายถกดงรปท 2


71


รปท 2 การคอนฟก Server configuration

5. คลกปม Save and restart ของรปท 26. คลกแทบ Accounts ดงตวอยางในรปท 3 แลวคลกปม Addaccount

รปท 3 Accounts7. ใส Username และ Password คลกท checkbox ของ Direct all clienttraffic through the VPN server ใหมเครองหมายถก ดงตวอยางในรปท 4แลวคลกปม Save


72


รปท 4 Add new user

8. คลกทปม Restart OpenVPN server ของรปท 5

รปท 59. คลกแทบ Advanceed ปอนตางๆ ดงตวอยางในรปท 6เสรจแลวคลกปม Save and restart

รปท 6 Advanced10. คลกลงค Download CA Certificate เพอนำไฟล XXX.cerไปใชงานท Server Site B ดงตวอยางในรปท 7


73

รปท 7 Download CA Certification

ลองตรวจสอบ Status และ Services กอนวาทำงานหรอยงครบหากสถานะยงเปน STOPED ใหกลบไปทำการแกไขใหมตามขนตอนขางตนจนกวาสถานะเปน RUNNING ครบ ดงตวอยางในรปท7.1

รปท 7.1 Open VPN Server Status

การคอนฟการคอนฟกฝกฝงง Server Site B

1. ในสวนของ Site B ใหทำการเพมในสวนของ OpenVPN client(Gw2Gw) คลกปม Add tunnel configuration


74

รปท 8 OpenVPN client (Gw2Gw)

2. จากนนใหปอนขอมลของการสราง Add VPN tunnel ดงรปท 9โดยคาสำคญเปนดงน

- Connection Name : ปอนชอตามทตองการ- Connection to : ระบ Public IP ของ VPN Server ฝง Site A- Upload ca file : ใชไฟล CA ทดานวโหลดมาจาก VPN Server ฝง Site A- Username : ระบ username ของ VPN Server ฝง Site A- Password : ระบ password ของ VPN Sever ฝง Site A- Remark : ปอนคำอธบายอะไรกได


75

รปท 9 Add VPN tunnel3. คลกปม Advanced tunnel configuration เพอ ปรบแตงคาเพมเตมตามรปท 10

Connection configuration

- Fallback VPN servers : ตรงนอานเอาเองนะครบผมกแปลไมออก ประมาณวาเกยวกบ Protเราใชพนฐานของมนละกน (1194) เรากไมตองใสอะไร

- Connection type: Routed

- Bridge to : GREEN

- Block DHCP responses coming from tunnel:

- NAT : * ตรงนใหตก หากตองการใหใหสองฝง Pingหากนเจอและอนๆ

- Protocol: UDP

HTTP proxy configuration * ตรงนผมไมใสครบ นาจะเกยวกบผานProxy

HTTP proxy :

Proxy username :

Proxy password :

Forge proxy user-agent :


76

รปท 10 Advanced tunnel configuration

4. เมอทำการบนทกคาและใหลองเขาไปด (แกไข) จะเหน CA ดงรปท11

ปท 11 Advanced tunnel configuration


77

5. เมอมการเชอมตอมาจากเครองฝงตรงขาม Siate A ไดแลวจะแสดงผลในสวนของ Connection status and control ดงรปท 12ซงจะเหนวาเครองฝงเราไดจาย IP Address ทเปนในชวงทเรากำหนดในGlobal settings ใหกบ VPN Server ฝง Site B และ Status ท Site Bจะเปน established ดงรปท 13ซงเมอมการเชอมตอแบบนสำเรจแลวทงสองดาน จะทำใหเครอง Clientทอยดานหลงของ VPN Server ของทงสองดาน สามารถตดตอถงกนได

ตตวอยวอยางสถานะางสถานะ Site A

รปท 12 Connection status and control ท Site A

ตตวอยวอยางสถานะางสถานะ Site B

รปท 13 Status ท Site B


78

* หากตหากตองการใหองการให Site A สามารถใชสามารถใชงานฝงานฝงง Site Bไดไดกกมมหลหลกการเหมกการเหมอนกอนกนตามทนตามทกลกลาวมาาวมา

ปปญหาทญหาทพบและแนวทางการแกพบและแนวทางการแกไขไข

1. Connect ไดแลว ( Status เปน established ) แต Ping หากนไมเจอ

การตรวจและแกการตรวจและแกไขไข

- ใหตรวจสอบตรง Advanced tunnel configuration ลมตก NAT หรอเปลา- ตรง Filewall / VPN firewall configuration หากยงไมกำหนด Rule ใด ๆ

ใหยกเลกการทำงานไปกอน(Disable)- Ping จาก Site B เจอ Site A แต Ping จาก Site A กลบไมเจอ Site B

ใหตรวจสอบวาลมทำขนตอนทงหมดทฝงตรงขามหรอเลา ซงทงสองขางสถานะจะตองเปน established

2. Connect สองฝงไดแลว ( Status เปน established ) Ping หากนเจอแตออกเนตแลวมปญหา

การตรวจและแกการตรวจและแกไขไข

- รอปรบปรง......

Referrence ขอขอบคณผจดทำเวปไซตดานลางดวยครบ

http://www.easyzonecorp.net/network/view.php?ID=241http://www.itwizard.info/technology/linux/efw/ovpn_host_to_net/efw_ovpn_host_to_net.html

http://samba-beginner.blogspot.com/2009/01/setup-openvpn-endian-firewall.htmlhttp://samba-beginner.blogspot.com/2009/02/openvpn-endian-firewall.html


79

http://www.easyzonecorp.net/network/view.php?ID=241

http://www.itwizard.info/technology/linux/efw/ovpn_host_to_net/efw_ovpn_host_to_net.html

http://www.itwizard.info/technology/linux/efw/ovpn_host_to_net/efw_ovpn_host_to_net.html

http://samba-beginner.blogspot.com/2009/01/setup-openvpn-endian-firewall.html

http://samba-beginner.blogspot.com/2009/01/setup-openvpn-endian-firewall.html

http://samba-beginner.blogspot.com/2009/02/openvpn-endian-firewall.html

http://samba-beginner.blogspot.com/2009/02/openvpn-endian-firewall.html

Endian Firewall 2 3 Rc1 Manual Book[1]

Documents

Transcript of Endian Firewall 2 3 Rc1 Manual Book[1]