Fortigate OPNSense Site-2-Site VPN

Published on May 23, 2025
Fortigate OPNSense Site-2-Site VPN

สำหรับ Fortigate นั้น แน่นอนว่าเป็นที่รู้จักกับดีอยู่แล้ว เพราะเป็น UTM หรือ Firewall อรรถประโยชน์ แบบ commercial ที่มีชื่อเสียงมาอย่างยาวนาน แต่บางครั้งการจะใช้ Firewall ในระดับสาขา เพื่อ ประโยชน์เช่นการเชื่อมต่อไปเพื่อทำ Site-2-Site VPN สำหรับงานเล็กๆ น้อยๆ การใช้งาน Commercial Firewall ก็อาจจะมีราคาแพงไปสำหรับ SME เราเลยมีทางเลือก เช่นการใช้งาน OPNSense ซึ่งเป็น OpenSource Firewall ที่มีฟีเจอร์เยอะมาก

ทำงานได้บน hardware แบบ MicroAppliance หลายตัว เช่นติดตั้งได้บน HUNSN, Qotom, Topton, Protecti, FORTEKCHEKIN และอื่นๆ ซึ่งเราเป็นตัวแทนจำหน่ายหลายตัว พร้อมติดตั้ง OPNSense สำหรับลูกค้า เพื่อให้งานได้ทันที

และ อย่างที่ได้เรียนไปว่า บางครั้งลูกค้าต้องการนำไปใช้ สำหรับสาขา เพื่อสำรองข้อมูลแบบ Off-site โดยในสาขานั้นท่านอาจจะทำเป็น Object Storage แบบ Immutability หรือเป็นแค่ Remote Repository ก็ได้เช่นกัน งั้นเราไปดูกันเลย ว่าการเชื่อมต่อนั้นทำได้อย่างไร

 

จากฝั่ง OPNSense

  1. ตัวอย่าง LAN Interface : 10.70.80.0/24
  2. WAN อาจจะเป็น Static หรือ PPPoE ก็ได้เช่นกัน
  3. ให้ท่านไปที่ Firewall->Rules->WAN (ถ้าท่านใช้หลาย WAN เลือก WAN1 หรือ WAN2 ตามต้องการ) และทำการ อนุญาตให้ IPSec Traffic เข้ามาจากฝั่ง Fortigate ได้ดังรูป

4. ไปที่ VPN->IPSec->Tunnel Settings [legacy] และสร้าง Phase 1 โดยการกด + และเติมข้อมูลดังนี้

 

5. สร้าง phase 2 โดยการคลิก + ด้านหลัง phase 1 ที่เราเพิ่งสร้างไป

6. ไปที่ Firewall->Rules->IPSec และสร้าง Rule ดังต่อไปนี้

ซึ่ง Address ต้นทางและปลายทางนั้น ท่านสามารถสร้างได้ก่อนในเมนู Firewall->Aliases

ฝั่ง Fortigate ซึ่งท่านสามารถใช้งานได้หมดเลย การตั้งค่าไม่ได้ต่างกันมากนัก โดยทำตามขั้นตอนดังนี้

  1. VPN->IPsec Tunnels

2. ทำการสร้าง Static Route จากเมนู Network->Static Route โดยใช้ ต้นทางเป็น 10.66.88.0 และปลายทางคือ Interface ของชื่อที่ท่านสร้างสำหรับ IPSec VPN

3. ในกรณีที่เน็ตเวิร์กมีหลาย subnet ท่านอาจจะต้องบังคับ ด้วย Policy Route เช่นใน WAN1 ท่านจะต้องกำหนด ต้นทาง เป็น LAN และ Subnet ปลายทางให้ออกทาง pppoe/WAN ที่กำหนด อย่าให้ออกทาง Gateway Group

4. ท่านจะต้องใช้ Outbound NAT แบบ manual และ ไม่ทำ NAT สำหรับปลายทาง subnet ใน remote site ของท่าน

*** ในฝั่ง OPNSense ไม่จำเป็นต้องทำ Static Route เพราะระบบจะทำให้เอง ด้วย Security Policy Database (SPD)

ก็ต้องบอกว่า ไม่ยากเลยสำหรับการทำ IPsec VPN Site-2-Site เพื่อเชื่อมต่อไปยังสาขา และ ต้องบอกว่า OPNSense นั้นเป็น OpenSource Firewall ที่เสถียรอย่างมาก เมื่อใช้คู่กับ hardware ที่ดี ท่านก็จะได้ Firewall สำหรับสาขาที่เข้าถึงได้ง่าย และ เหมาะอย่างยิ่งสำหรับการทำ Off-Site Backup ทั้ง Backup Copy Job แบบ SMB/CIFS หรือว่า อาจจะใช้เป็น TRUENAS + MINIO เพื่อทำ Object Storage (S3) ไว้ใช้เองเลยก็ยังได้

 

สำหรับท่านที่ต้องการติดตั้ง Offsite สอบถามเราได้เลย ด้วยประสบการณ์ด้านการทำระบบสำรองข้อมูลมากว่า 15 ปี มั่นใจได้แน่นอน ไม่ว่าท่านจะสำรองแบบใดก็ตาม เราพร้อมช่วยเหลือท่าน ปรึกษาเราฟรีวันนี้ที่ LINE OA : @avesta.co.th หรืออีเมล์ [email protected]

 

วิธีติดตั้งและใช้งาน RealVNC สำหรับการควบคุมคอมพิวเตอร์ระยะไกล

RealVNC (Remote Frame Buffer Protocol) คือโปรแกรมประเภท Remote Desktop Software ที่ช่วยให้คุณสามารถ...

Read more »

VMware ประชัน Harvester

จากการขึ้นราคาอย่างน้อย 15 เท่าของ VMware vSphere ทำให้องค์กรต่างๆ มองหา Virtualization Solution เข้ามาแทนที่...

Read more »

ประโยชน์ของการมี Link จองร้านอาหารบน Google Maps

ปฏิเสธไม่ได้เลยว่าปัจจุบันผู้ใช้งานทั่วโลกใช้ Google Maps ในการนำทาง และ ค้นหาสถานที่ เป็นประจำ และ เรียกได้มันเป็นเครื่องมือที่ขาดเสียไม่ได้เลย สำหรับหลายๆ...

Read more »

ความนิยมแบบก้าวกระโดดของระบบสั่งอาหารเองผ่าน QRCode

ปัจจุบัน เราอาจจะกล่าวได้ว่า ธุรกิจร้านอาหารนั้นอยู่ใน Read Ocean หรือน่านน้ำแดงเดือดอย่างแท้จริง เพราะมีผู้เล่นหน้าใหม่เข้ามาเยอะ ทำให้การแข่งขันสูงขึ้นมาก ในขณะที่ demand...

Read more »

Ceph ทำความเข้าใจ และ ประโยชน์ของมัน

Ceph นั้นเป็นแพลตฟอร์มสตอเรจที่ก้าวหน้า มันถูกออกแบบให้การจัดการ ให้ครบวงจรในตัวมันเอง สามารถขยายได้ และ มีความเสถียรสูงมาก ทำไมต้องเรียกว่าเป็นแพลตฟอร์ม ก็เพราะว่ามันนั้นสามารถจัดการกับ block,...

Read more »

วิธีสร้าง ZFS Storage บน Proxmox VE

ในโลกของ Virtualization ที่ต้องการความเสถียร ความเร็ว และความปลอดภัยในการจัดเก็บข้อมูล ระบบไฟล์ ZFS (Zettabyte File System)...

Read more »