Home » VPN Technologies: IPsec, SSL VPN, WireGuard, DMVPN และ SASE Integration
VPN Technologies: IPsec, SSL VPN, WireGuard, DMVPN และ SASE Integration
VPN Technologies: IPsec, SSL VPN, WireGuard, DMVPN และ SASE Integration
VPN (Virtual Private Network) สร้าง encrypted tunnel ข้าม public network เพื่อ secure communication IPsec เป็น standard สำหรับ site-to-site VPN, SSL VPN ให้ remote access ผ่าน browser หรือ client, WireGuard เป็น modern VPN protocol ที่เร็วและเรียบง่าย, DMVPN สร้าง hub-and-spoke + spoke-to-spoke tunnels แบบ dynamic และ SASE รวม VPN + security เข้าด้วยกันเป็น cloud-delivered service
Remote work และ multi-site connectivity ทำให้ VPN เป็น critical infrastructure ที่ต้องมี ทุกองค์กร แต่ VPN technologies มีหลายแบบ แต่ละแบบเหมาะกับ use case ต่างกัน การเลือกผิดทำให้ performance ไม่ดี, security ไม่เพียงพอ หรือ management complexity สูงเกินไป
VPN Types
| Type |
Use Case |
Protocol |
| Site-to-Site |
เชื่อม 2 sites (office-to-office, office-to-cloud) |
IPsec, GRE/IPsec, DMVPN |
| Remote Access |
User เชื่อมเข้า corporate network จากที่ไหนก็ได้ |
SSL VPN, IPsec client, WireGuard |
| Client-to-Site |
เหมือน remote access แต่ full tunnel |
AnyConnect, GlobalProtect, OpenVPN |
| Clientless |
Access ผ่าน browser (ไม่ต้องติดตั้ง client) |
SSL VPN (web portal) |
IPsec
| Feature |
รายละเอียด |
| คืออะไร |
Suite of protocols สำหรับ secure IP communication (RFC 4301) |
| IKE Phase 1 |
Negotiate security parameters → authenticate peers → establish IKE SA (management tunnel) |
| IKE Phase 2 |
Negotiate IPsec SA parameters → establish IPsec tunnel (data tunnel) |
| ESP |
Encapsulating Security Payload — encrypt + authenticate data (protocol 50) |
| AH |
Authentication Header — authenticate only, no encryption (protocol 51, rarely used) |
| Tunnel Mode |
Encrypt entire original packet + add new IP header (site-to-site) |
| Transport Mode |
Encrypt only payload (host-to-host, used with L2TP) |
| IKEv2 |
Improved: faster (fewer messages), MOBIKE (mobile), reliable, EAP auth |
IPsec Encryption and Hashing
| Component |
Options |
Recommendation |
| Encryption |
AES-128, AES-256, AES-GCM-256, ChaCha20 |
AES-256-GCM (AEAD — encrypt + authenticate) |
| Integrity |
SHA-256, SHA-384, SHA-512 |
SHA-256 minimum (SHA-384/512 for high security) |
| DH Group |
Group 14 (2048), 19 (ECP-256), 20 (ECP-384), 21 (ECP-521) |
Group 19+ (ECP — faster, stronger than modular DH) |
| Authentication |
Pre-shared key (PSK), RSA certificates, ECDSA certificates |
Certificates (scalable, no shared secrets) |
| PFS (Perfect Forward Secrecy) |
Enable DH exchange in Phase 2 |
Always enable (compromise of 1 key doesn’t affect others) |
SSL VPN
| Feature |
รายละเอียด |
| คืออะไร |
VPN ที่ใช้ TLS/SSL (port 443) — ผ่าน firewall ได้ง่าย (HTTPS port) |
| Full Tunnel |
ทุก traffic จาก client ผ่าน VPN tunnel (secure ทุกอย่าง) |
| Split Tunnel |
เฉพาะ corporate traffic ผ่าน VPN, internet traffic ไปตรง (better performance) |
| Clientless |
Access ผ่าน web browser → web portal → access internal web apps, file shares |
| Solutions |
Cisco AnyConnect, Palo Alto GlobalProtect, Fortinet FortiClient, Pulse Secure |
| Advantage |
ผ่าน firewall/NAT ง่าย (port 443), user-friendly, granular access control |
WireGuard
| Feature |
รายละเอียด |
| คืออะไร |
Modern VPN protocol ที่เน้น simplicity + speed + security |
| Code Size |
~4,000 lines (vs OpenVPN 100,000+ lines, IPsec 400,000+ lines) |
| Performance |
เร็วกว่า OpenVPN/IPsec 2-4× (kernel-level, ChaCha20) |
| Crypto |
ChaCha20 + Poly1305 + Curve25519 + BLAKE2s (modern, no negotiation) |
| Simplicity |
Config file ง่าย (~10 lines), no certificate management |
| Roaming |
Seamless roaming (เปลี่ยน IP/network → tunnel reconnect อัตโนมัติ) |
| Limitation |
ไม่มี dynamic IP support, ไม่มี built-in user authentication (ต้องใช้ wrapper) |
| Use Case |
Personal VPN, site-to-site (small), overlay networks (Tailscale, Netmaker) |
DMVPN
| Feature |
รายละเอียด |
| คืออะไร |
Dynamic Multipoint VPN — hub-and-spoke + dynamic spoke-to-spoke tunnels (Cisco) |
| Components |
mGRE (multipoint GRE) + NHRP (Next Hop Resolution Protocol) + IPsec + routing |
| Hub-and-Spoke |
Spokes register with hub → all traffic ผ่าน hub (Phase 1) |
| Spoke-to-Spoke |
NHRP resolves spoke’s real IP → สร้าง direct tunnel (Phase 2/3) |
| Phase 2 |
Spoke-to-spoke tunnel ผ่าน hub’s help (spoke asks hub for other spoke’s IP) |
| Phase 3 |
NHRP redirect/shortcut → direct spoke-to-spoke without hub involvement |
| Routing |
Run EIGRP/OSPF/BGP over DMVPN tunnels (dynamic routing over overlay) |
| Scale |
Hundreds of spokes per hub (enterprise WAN) |
SASE (Secure Access Service Edge)
| Component |
Function |
| SD-WAN |
Intelligent WAN connectivity (path selection, QoS) |
| ZTNA (Zero Trust Network Access) |
Replace VPN with per-app access (identity-based, no network access) |
| SWG (Secure Web Gateway) |
URL filtering, malware protection for internet access |
| CASB (Cloud Access Security Broker) |
Visibility + control of SaaS applications |
| FWaaS (Firewall as a Service) |
Cloud firewall (replace on-prem firewall for remote users) |
| Vendors |
Zscaler, Palo Alto Prisma SASE, Cisco Umbrella/Meraki, Netskope, Cato Networks |
VPN Comparison
| Feature |
IPsec |
SSL VPN |
WireGuard |
DMVPN |
| Use Case |
Site-to-site |
Remote access |
Personal/small site |
Large hub-spoke WAN |
| Performance |
Good (hardware accel) |
Good |
Best (kernel-level) |
Good |
| Complexity |
Medium-High |
Low-Medium |
Very Low |
High (Cisco-specific) |
| NAT Traversal |
NAT-T (UDP 4500) |
Easy (port 443) |
Easy (UDP) |
NAT-T supported |
| Scale |
Point-to-point |
Many users → 1 gateway |
Peer-to-peer |
Hub + hundreds of spokes |
| Enterprise |
Standard |
Standard |
Growing (via Tailscale) |
Cisco shops |
ทิ้งท้าย: Right VPN for Right Use Case
VPN Technologies IPsec: site-to-site standard (IKEv2, AES-256-GCM, PFS, certificates) SSL VPN: remote access (port 443, full/split tunnel, clientless option) WireGuard: modern, fast, simple (~4K lines, ChaCha20, kernel-level, roaming) DMVPN: dynamic hub-spoke + spoke-to-spoke (mGRE + NHRP + IPsec + routing) SASE: cloud-delivered security + connectivity (ZTNA replacing traditional VPN) Trend: ZTNA replacing VPN for remote access (per-app access > full network access)
อ่านเพิ่มเติมเกี่ยวกับ SD-WAN Architecture Overlay และ Zero Trust ZTNA Microsegmentation ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
