Category: Network

เรื่องราวที่เกี่ยวข้องกับระบบเครือข่าย Firewall,Switch และ WIFI

แก้ปัญหาต่อ VPN แล้วใช้อินเทอร์เน็ตไม่ได้

เพื่อความปลอดภัยในการให้พนักงานจากภายนอกเข้ามาใช้ทรัพยากรในองค์กร การใช้ VPN เป็นทางเลือกที่นิยมใช้ในองค์กรส่วนใหญ่ แต่ปัญหาที่มักจะเกิดขึ้นคือเมื่อใช้งาน VPN ทำให้การใช้งานอินเทอร์เน็ตมีปัญหา

ปัญหาเกิดจากเมื่อต่อ VPN แล้ว Windows จะใช้ Gateway ของ VPN Connection เป็น Gateway หลัก ซึ่งที่ Firewall ปลายทางไม่อนุญาติให้เครื่องที่ต่อ VPN เข้ามาใช้งาน Internet วิธีแก้คือต้องยกเลิกไม่ให้ Windows ใช้ Gateway จาก VPN Connection แต่ปัญหาที่ตามมากลับเข้าใช้งาน Server ไม่ได้ เพราะ IP ของเครื่องที่ต่อ VPN เข้ามา กับเครื่อง Server ไม่ได้อยู่ใน Subnet เดียวกัน วิธีแก้คือใส่ Static Route เพื่อให้ใช้งาน Server ได้

ปัญหานี้พบกับการต่อ VPN แบบ PPTP แนะนำว่าควรเปลี่ยนไปใช้ SSL VPN จะสะดวกและปลอดภัยกว่า
อ่านเรื่อง: Work from Home with VPN

วิธีแก้ปัญหา

  1. ปิดการตั้งค่า Gateway ของ VPN เป็น Default Gateway (ทำครั้งเดียว)
    • ไปที่ Network Connection แก้การตั้งค่าของ VPN ที่แท็บ Networking > TCP/IPv4 > Advanced เอาเครื่องหมายถูกที่หน้า Use default gateway on remote gateway ออก (ถ้าทำแล้วเข้าใช้งาน server ได้ก็ไม่ต้องทำขั้นตอนที่ 2)
  2. เพิ่ม Static Route ต้องทำทุกครั้งที่ต่อ VPN เพราะ IP ของ VPN เปลี่ยน
    • เช็ค IP ที่ได้รับจาก VPN ซึ่งไม่มี Default Gateway
    • เปิด CMD ด้วยสิทธิ์ Administrator
    • ใส่คำสั่ง route add {IP subnet ของ server} mask {Subnet mask ของ server} {IP ที่ได้รับจาก VPN}
      ตัวอย่าง route add 192.168.1.0 mask 255.255.255.0 172.16.1.100

หลังจากนี้ก็ใช้งานอินเทอร์เน็ตในขณะที่ต่อ VPN ได้แล้วครับ
สนใจสอบถามเพิ่มเติม info@implementer.co.th หรือ send message ทาง facebook

pfSense 2.01

ระบบของลูกค้าแต่ละที่มักจะมีข้อจำกัดแปลกๆ ให้เราหา solution ไปวางเสมอ เช่นผู้บริหารจะต้องเล่นเกมออนไลน์ได้โดยไม่ lag (เคสนี้เป็นบริษัทญี่ปุ่น) หรือห้ามเห็น access point แต่ต้องใช้ wireless ได้ทุกที่

หลังสุดเป็นเคสโรงเรียนแห่งหนึ่งผมเจอปัญหาคือเครื่องในห้องเรียนคอมพ์เค้าใช้ระบบที่มันจะย้อนกลับทุกครั้งที่ restart windows (Deep Freeze) แต่ติดที่ว่าเครื่องเหล่านั้นเปิด autoupdate windows เอาไว้ มันเลยอัพเดตกันทุกวัน ซึ่งมีเครื่องแบบนี้ราวๆ 90 เครื่อง แน่นอนว่าเปิดทิ้งไว้แบบนี้มี bandwidth เท่าไหร่ก็ไม่พอ

วิธีแก้ง่ายๆ ก็ block windows update ที่ proxy แต่ติดที่ว่าแล้วเครื่องครูและบุคคลากรอีกเป็นร้อยจะอัพเดตไม่ได้ด้วย ถึงจะมี WSUS แต่เครื่องของครูต่างประเทศก็ไม่ได้ set ไว้อีก

เคสนี้โชคดีที่ pfSense สามารถ block เว็บตาม subnet ของ source ได้ และยังกำหนด bandwidth ให้แต่ละ subnet ได้ว่าให้ใช้ได้ไม่เกินเท่าไหร่ เลยให้ vlan ของนักเรียน block เว็บอัพเดตทุกอย่างทั้ง windows และ software รวมทั้งบีบ bandwidth ไว้ไม่เกินคนละ 1 Mb/s เพราะเด็กชอบโหลดเกมกัน ส่วนบุคลากรก็ให้ไป 3 Mb/s ผมว่าเท่านี้ก็เพียงพอสำหรับใช้งานทุกอย่างแล้ว ทำให้ตอนนี้ bandwidth รวมของทั้งโรงเรียนใกล้เคียง 80% บางครั้งก็มีขึ้นไปสูงบ้างไม่กี่นาที ข้อมูลที่นี่ user  ใช้พร้อมกันราวๆ 150  คน มี bandwidth ทั้งหมด 20Mb/s

ความสามารถนี้ของ pfSense เป็นสิ่งที่ผมชอบที่สุด เราสามารถปรัแต่งจนได้จุดที่พอดีคือใช้ได้เกือบเต็ม bandwidth แต่ต้องไม่เต็มเพราะเมื่อไหร่เต็ม user จะรู้สึกว่าช้าทันที แต่ถ้าน้อยเกินไปก็ไม่คุ้มกันเงินที่จ่ายไปอีก

วันนี้เรามี tool ต่างๆ เยอะมากที่แจกฟรีบนอินเทอร์เน็ต การติดตั้งก็หาคู่มือจากในอินเทอร์เน็ตได้เช่นกัน แต่การปรับใช้ให้เหมาะสมกับแต่ละองค์กรกลับเป็นสิ่งที่ยากยิ่งกว่า..

Windows 7 copy ไฟล์ผ่าน network ให้เร็วขึ้น

สำหรับคนที่ใช้ Windows 7 บน Gigabit Switch ถ้าสังเกตุจะเห็นว่าสามารถ copy ไฟล์ได้เร็วขึ้นกว่า 100Mb Switch ค่อนข้างชัดเจน แต่ถ้าสังเกตุดูจะเห็นว่าความเร็วที่ได้จะไม่เกิน 30MB/s ทั้งที่จริงๆแล้วควรจะได้ประมาณ 128MB/s

วิธีเพิ่มความเร็ว

  • ไปที่ Start > All Programs > Accessories  คลิกขวาที่ Command Prompt เลือก Run as administrator
  • พิมพ์ netsh interface tcp set global autotuninglevel=disabled จากนั้น restart เครื่อง

เท่านี้ความเร็วจะเพิ่มขึ้นเป็นประมาณ 60MB/s Continue reading “Windows 7 copy ไฟล์ผ่าน network ให้เร็วขึ้น”

ติดตั้ง MRTG บน Windows XP

MRTG เป็นโปรแกรมที่ใช้ monitor network โดยแยกเป็นแต่ละ interface เพื่อดูสถานะ, ประเมินปัญหา และใช้อ้างอิงในการปรับปรุงหรือขยายระบบ โดย MRTG จะแสดงผลเป็นกราฟ โดยดูได้ผ่านเว็บ browser จากเครื่องใน network หรือจะ NAT ออกไปเพื่อ monitor ภายนอกก็ได้ ตัวอย่างการใช้ MRTG เช่น minitor router ว่าปริมาณการใช้อินเตอร์เน็ตว่าสูงเกินกว่าที่ระบบรับได้หรือไม่ ใช้งานหนักช่วงเวลาหรือวันไหน และควรเพิ่ม bandwidth อีกเท่าไหร่ เป็นต้น หรือใช้ monitor switch เพื่อดูว่า server หรือ  pc หรือ switch ที่พ่วงเข้ามายัง core switch ใช้ bandwitch เท่าไหร่จะต้อง trunk port เข้ามาเพิ่มหรือเปล่า Continue reading “ติดตั้ง MRTG บน Windows XP”

Gateway โรงเรียน

ผมเพิ่งจบงาน gateway สำหรับโรงเรียน จากจุดเริ่มต้นแค่ปรับปรุงระบบ network ให้เสถียรขึ้น ก็ขยายมาจนถึงทำ gateway ให้ลูกค้าด้วย ซึ่งระบบที่เลือกใช่อาจจะดูใหญ่ไปซักหน่อยเนื่องจากว่ามีผู้ใช้งานมากกว่า 2000 คน แต่ใช้งานพร้อมกันไม่น่าจะเกิน 300 คน ซึ่งระบบที่เลือกใช้ก็คือ

  1. VMware ESXi 4.1 ทำ virtualization เพราะระบบนี้ต้องใช้ Server 5 เครื่อง แต่ใช้ performance ค่อนข้างน้อย
  2. Microsoft Active Directory, IAS, DNS, DHCP, CA, WSUS, IISADMPWD เนื่องจากมี User ที่เป็นนักเรียนเป็นจำนวนมาก มีการเข้าออกทุกปีเป็นจำนวนมาก การใช้ Radius ตัวอื่นอาจจะไม่สะดวกกับครูที่ต้องจัดการเรื่องนี้ และเพื่อเป็นการเตรียมการไว้เผื่อจะมีการใช้งาน Active Directory เต็มระบบในอนาคต นอกจากนี้ก็เพิ่ม WSUS เข้ามาเพื่อลด bandwidth ในการ Download Patch
  3. pfSense, squid, captive portal โดยให้ไป authenticate กับ AD ผ่าน IAS หลังจากทดลองใช้มาระดับหนึ่งผมยังค่อนข้างพอใจ gateway ตัวนี้อยู่
  4. Kiwi Syslog ใช้ตัวฟรีเพราะต้องการแค่เก็บ Logs ไว้ตาม พรบ.คอมพิวเตอร์ สำหรับการดูการใช้งานของนักเรียนก็ดูจาก lightsquid สะดวกกว่า
  5. L3 Switch เพราะมีอยู่ 10 VLAN ตามกลุ่มการใช้งาน

ผลจากการใช้งานระบบนี้ก็คือ

  1. ครูสามารถจัดการชื่อผู้ใช้ผ่าน Active Directory ซึ่งเป็น GUI และสามารถแบ่งนักเรียนเป็นกลุ่มตามชั้นปี และห้องเรียนได้
  2. ในการใช้งานอินเตอร์เน็ตนักเรียนจะต้องกรอก username และ password เพื่อยืนยันตัวตน
  3. นักเรียนสามารถเปลี่ยน Password ได้เอง
  4. มีการแสดงกราฟการ bandwidth และการเข้า website ของแต่ละ User เพื่อบริหารการใช้งานอินเตอร์เน็ต
  5. มีการเก็บ log ตามพรบ.คอมพิวเตอร์