Home VPN Technologies: IPsec, SSL VPN, WireGuard และ Enterprise VPN Design VPN Technologies: IPsec, SSL VPN, WireGuard และ Enterprise VPN Design
VPN Technologies: IPsec, SSL VPN, WireGuard และ Enterprise VPN Design
VPN (Virtual Private Network) สร้าง encrypted tunnel ผ่าน public network เพื่อเชื่อมต่ออย่างปลอดภัย IPsec เป็น standard สำหรับ site-to-site VPN ระหว่าง offices, SSL VPN ให้ remote access ผ่าน web browser หรือ client, WireGuard เป็น modern VPN protocol ที่เร็วและ simple และ Enterprise VPN Design ต้องพิจารณา scalability, redundancy และ split tunneling
Remote work และ multi-site connectivity ทำให้ VPN เป็น infrastructure ที่ขาดไม่ได้ การเลือก VPN technology ที่เหมาะสมกับ use case (site-to-site vs remote access, always-on vs on-demand) มีผลต่อ security, performance และ user experience อย่างมาก
VPN Types
Type
Use Case
Protocol
Site-to-Site
เชื่อม 2 offices ผ่าน internet
IPsec (IKEv2), GRE over IPsec
Remote Access
Users เชื่อมต่อจากภายนอกเข้า corporate
SSL VPN, IPsec (IKEv2), WireGuard
Hub-and-Spoke
Branch offices เชื่อมผ่าน central hub
DMVPN, IPsec
Full Mesh
ทุก site เชื่อมกันโดยตรง
DMVPN Phase 3, SD-WAN
Client-to-Site
Individual device → corporate network
AnyConnect, GlobalProtect, OpenVPN
IPsec
Feature
รายละเอียด
Standard
IETF standards (RFC 4301, 7296)
Phases
Phase 1 (IKE SA — authenticate peers) → Phase 2 (IPsec SA — encrypt data)
IKEv1 vs IKEv2
IKEv2: faster (fewer messages), more reliable (built-in NAT-T, MOBIKE), recommended
Encryption
AES-128/256-GCM (recommended), 3DES (legacy)
Authentication
Pre-Shared Key (PSK), Digital Certificates (PKI), EAP
Modes
Tunnel mode (entire packet encrypted) vs Transport mode (payload only)
ESP vs AH
ESP (encryption + auth, protocol 50) vs AH (auth only, protocol 51 — rarely used)
NAT Traversal
UDP 4500 encapsulation เมื่อ NAT detected
SSL VPN
Feature
รายละเอียด
Protocol
TLS 1.2/1.3 (port 443)
Clientless (Web)
Access web apps ผ่าน browser (no client install needed)
Full Tunnel
Install client → all traffic through VPN tunnel
Split Tunnel
Corporate traffic → VPN, internet traffic → direct
Advantage
Works through firewalls (port 443), easy deployment, no client for web mode
Platforms
Cisco AnyConnect, Palo Alto GlobalProtect, Fortinet FortiClient, OpenVPN
WireGuard
Feature
รายละเอียด
Design
Modern, minimal codebase (~4,000 lines vs OpenVPN ~100,000)
Performance
Faster than IPsec/OpenVPN (kernel-space, efficient crypto)
Crypto
ChaCha20 (encryption), Poly1305 (auth), Curve25519 (key exchange), BLAKE2s (hash)
Simplicity
Simple config (public/private key pairs), minimal attack surface
Protocol
UDP only (single port)
Roaming
Seamless roaming (change IP/network → connection persists)
Limitation
No dynamic IP assignment (need additional tools), no TCP fallback
Use Case
Site-to-site, remote access (growing enterprise adoption)
IPsec vs SSL VPN vs WireGuard
Feature
IPsec
SSL VPN
WireGuard
Layer
Layer 3 (network)
Layer 4-7 (transport/app)
Layer 3 (network)
Port
UDP 500/4500, ESP
TCP 443
UDP (configurable)
NAT Friendly
Needs NAT-T
Yes (port 443)
Yes (UDP)
Performance
Good (hardware offload)
Good
Best (lightweight)
Complexity
Complex (many parameters)
Medium
Simple (minimal config)
Best For
Site-to-site
Remote access (browser)
Both (modern choice)
Enterprise Support
All vendors
All vendors
Growing (Tailscale, Netbird)
DMVPN (Dynamic Multipoint VPN)
Feature
รายละเอียด
คืออะไร
Cisco technology สำหรับ scalable hub-and-spoke + spoke-to-spoke VPN
Components
mGRE (multipoint GRE) + NHRP (Next Hop Resolution Protocol) + IPsec
Phase 1
Hub-and-Spoke only (all traffic through hub)
Phase 2
Spoke-to-spoke tunnels on demand (direct path)
Phase 3
Spoke-to-spoke with NHRP shortcuts (most efficient)
Scalability
Hub config ไม่ต้องเปลี่ยนเมื่อเพิ่ม spoke (dynamic)
Enterprise VPN Design
Consideration
รายละเอียด
Split Tunnel vs Full Tunnel
Split: better performance, Full: better security (all traffic inspected)
Always-On VPN
VPN connects automatically at boot → zero-trust enforcement
MFA Integration
VPN + MFA (TOTP, push notification) → stronger authentication
Redundancy
Dual VPN concentrators + failover (active-passive or active-active)
Scalability
Size VPN concentrator สำหรับ peak concurrent users (not total users)
Posture Check
Check device compliance (AV, patch, encryption) before VPN access
Logging
Log all VPN connections (source IP, user, duration) สำหรับ compliance
Modern Alternatives
Technology
คืออะไร
Replaces
ZTNA (Zero Trust Network Access)
Per-application access (not full network access)
Traditional VPN remote access
SASE (Secure Access Service Edge)
Cloud-delivered security + networking
VPN concentrators + firewalls
Tailscale / Netbird
WireGuard-based mesh VPN (zero config)
Traditional VPN for small teams
SD-WAN
Application-aware WAN with built-in encryption
Site-to-site VPN
ทิ้งท้าย: VPN = Encrypted Tunnel for Secure Connectivity
VPN Technologies IPsec: standard site-to-site (IKEv2 + AES-256-GCM, certificates recommended) SSL VPN: remote access via browser/client (port 443, NAT friendly) WireGuard: modern, fast, simple (ChaCha20, ~4K lines of code) DMVPN: scalable hub-spoke + spoke-to-spoke (Cisco, Phase 3 = most efficient) Design: split vs full tunnel, always-on, MFA, redundancy, posture check Modern: ZTNA replacing VPN for per-app access, SASE for cloud-delivered security
อ่านเพิ่มเติมเกี่ยวกับ Firewall Architecture NGFW และ Zero Trust Network Architecture ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
