Site-to-Site VPN: เชื่อมสาขาด้วย IPSec VPN อย่างปลอดภัย
องค์กรที่มีหลายสาขาต้องเชื่อมต่อเครือข่ายระหว่างสำนักงานเพื่อให้พนักงานเข้าถึงทรัพยากรร่วมกัน เช่น file server, ERP, database Site-to-Site VPN สร้าง encrypted tunnel ระหว่าง 2 sites ผ่าน internet ทำให้ traffic ที่ส่งระหว่างสาขามีความปลอดภัยเสมือนอยู่ใน private network เดียวกัน โดยไม่ต้องเช่า leased line หรือ MPLS ที่ราคาแพง
IPSec (Internet Protocol Security) เป็น protocol มาตรฐานที่ใช้สร้าง Site-to-Site VPN มากที่สุด รองรับโดย firewall และ router แทบทุกยี่ห้อ มีความปลอดภัยสูง ได้รับการพิสูจน์มานานหลายสิบปี บทความนี้จะอธิบายหลักการทำงานของ IPSec VPN วิธี configure และ best practices
IPSec ทำงานอย่างไร
IPSec ทำงานใน 2 phases เพื่อสร้าง secure tunnel
Phase 1: IKE (Internet Key Exchange)
Phase 1 สร้าง secure channel ระหว่าง 2 VPN gateways เพื่อใช้ในการ negotiate Phase 2 ขั้นตอน: ตกลง encryption algorithm (AES-256), hash algorithm (SHA-256), authentication method (Pre-shared Key หรือ Certificate), Diffie-Hellman group (DH14, DH19, DH20) จากนั้นสร้าง IKE SA (Security Association) ที่เข้ารหัสแล้ว IKE มี 2 เวอร์ชัน IKEv1 (เก่า ซับซ้อน) และ IKEv2 (ใหม่ เร็วกว่า ปลอดภัยกว่า แนะนำ)
Phase 2: IPSec SA
Phase 2 สร้าง IPSec SA สำหรับ encrypt data traffic จริง ตกลง encryption (AES-256-GCM), integrity (SHA-256), transform set, interesting traffic (subnet ไหนที่จะส่งผ่าน tunnel) สร้าง SA 2 ตัว (ขาไปและขากลับ) เมื่อ Phase 2 เสร็จ data traffic ระหว่าง 2 sites จะถูก encrypt ทั้งหมด
ประเภทของ IPSec VPN
Policy-Based VPN
Policy-Based ใช้ ACL (Access Control List) กำหนดว่า traffic จาก subnet ไหนไปยัง subnet ไหนจะถูกส่งผ่าน tunnel ง่ายสำหรับ simple site-to-site ที่มีแค่ 2 sites แต่ซับซ้อนเมื่อมีหลาย sites หรือ complex routing
Route-Based VPN
Route-Based สร้าง virtual tunnel interface (VTI) แล้วใช้ routing protocol (static route, OSPF, BGP) กำหนดว่า traffic ไหนส่งผ่าน tunnel ยืดหยุ่นกว่า policy-based มาก รองรับ dynamic routing, failover, multiple tunnels สำหรับ SD-WAN และ cloud connectivity route-based เป็นมาตรฐาน แนะนำ route-based สำหรับ deployment ใหม่ทั้งหมด
ตัวอย่าง Configuration สำหรับ FortiGate
ตัวอย่างการตั้งค่า IPSec VPN แบบ route-based ระหว่าง HQ (FortiGate 60F) กับ Branch (FortiGate 40F)
HQ Side
สร้าง VPN tunnel: ชื่อ “HQ-to-Branch”, Remote Gateway = Branch public IP, IKE version = 2, Pre-shared key = complex password, Phase 1: AES256 + SHA256 + DH14, Phase 2: AES256-GCM สร้าง static route: destination = Branch LAN subnet ผ่าน tunnel interface สร้าง firewall policy: allow traffic จาก HQ LAN ไปยัง Branch LAN ผ่าน tunnel
Branch Side
mirror configuration ของ HQ: Remote Gateway = HQ public IP, pre-shared key ต้องตรงกัน, Phase 1/2 parameters ต้องตรงกันทุกอย่าง static route ชี้ HQ LAN subnet ผ่าน tunnel firewall policy allow traffic ไป HQ
ตารางสรุป IPSec Parameters ที่แนะนำ (2026)
| Parameter | ค่าที่แนะนำ | หมายเหตุ |
|---|---|---|
| IKE Version | IKEv2 | เร็วกว่า ปลอดภัยกว่า IKEv1 |
| Phase 1 Encryption | AES-256 | อย่าใช้ DES/3DES (deprecated) |
| Phase 1 Hash | SHA-256 หรือ SHA-384 | อย่าใช้ MD5/SHA-1 (weak) |
| DH Group | DH14 (2048-bit) ขึ้นไป | DH19/20 (ECC) ถ้า hardware รองรับ |
| Phase 2 Encryption | AES-256-GCM | GCM รวม encryption + integrity |
| Authentication | Pre-shared Key หรือ Certificate | Certificate ปลอดภัยกว่าสำหรับ multi-site |
| SA Lifetime Phase 1 | 86400 seconds (24 hours) | Re-key อัตโนมัติ |
| SA Lifetime Phase 2 | 3600-43200 seconds | สั้นกว่า Phase 1 |
| DPD (Dead Peer Detection) | Enable, 10 sec interval | ตรวจจับ peer ที่ล่มเร็ว |
VPN Redundancy และ Failover
Dual ISP VPN
สำหรับ high availability ควรมี VPN tunnel 2 เส้น ผ่าน ISP คนละราย primary tunnel ใช้ ISP-A, backup tunnel ใช้ ISP-B ใช้ routing metric หรือ SD-WAN ให้ traffic ใช้ primary tunnel เป็นหลัก เมื่อ primary tunnel down (DPD ตรวจพบ) traffic failover ไป backup tunnel อัตโนมัติ downtime เหลือแค่ DPD detection time (10-30 วินาที)
Hub-and-Spoke vs Full Mesh
เมื่อมีหลาย sites Hub-and-Spoke ทุก branch สร้าง VPN กลับ HQ traffic ระหว่าง branches ผ่าน HQ ง่ายต่อการจัดการ แต่ HQ เป็น bottleneck Full Mesh ทุก site สร้าง VPN ถึงทุก site traffic ระหว่าง branches ตรงๆ ไม่ต้องผ่าน HQ performance ดีกว่า แต่จำนวน tunnels เพิ่มแบบ n(n-1)/2 ซับซ้อน สำหรับ 10+ sites ใช้ ADVPN/DMVPN ที่สร้าง on-demand tunnels ระหว่าง branches เมื่อต้องการ
Troubleshooting IPSec VPN
ปัญหาที่พบบ่อย
Phase 1 ไม่ขึ้น: parameters ไม่ตรงกัน (encryption, hash, DH group), pre-shared key ผิด, NAT-T ไม่ enable (เมื่อ VPN gateway อยู่หลัง NAT), firewall block UDP 500/4500 Phase 1 ขึ้นแต่ Phase 2 ไม่ขึ้น: Phase 2 parameters ไม่ตรง, interesting traffic (subnet) ไม่ตรงกัน Tunnel ขึ้นแต่ traffic ไม่ผ่าน: firewall policy ไม่อนุญาต traffic ผ่าน tunnel, routing ผิด (ไม่มี route ไปยัง remote subnet ผ่าน tunnel), MTU/MSS issue (ลอง clamp TCP MSS เป็น 1400)
ทิ้งท้าย: Site-to-Site VPN เชื่อมทุกสาขาได้อย่างปลอดภัย
IPSec Site-to-Site VPN เป็นวิธีที่ cost-effective ที่สุดในการเชื่อมต่อสาขา ใช้ internet ที่มีอยู่แล้ว ไม่ต้องเช่า MPLS ราคาแพง ตั้งค่าด้วย parameters ที่แข็งแกร่ง (AES-256, SHA-256, IKEv2) มี redundancy สำหรับ failover และ monitor สถานะ tunnel อย่างสม่ำเสมอ
อ่านเพิ่มเติมเกี่ยวกับ SD-WAN และ Firewall Best Practices ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
