Home>>บทความ How-to>>QNAP NAS 101 EP22: จะเอา QNAP NAS มาทำ VPN server จะเลือกใช้โปรโตคอลไหนดี?
บทความ How-toQNAP User Guide

QNAP NAS 101 EP22: จะเอา QNAP NAS มาทำ VPN server จะเลือกใช้โปรโตคอลไหนดี?

ในโลกยุคดิจิทัลแบบนี้ เวลาจะวางแผนเพื่อให้ธุรกิจมีความต่อเนื่องแม้จะเกิดสถานการณ์ฉุกเฉินใดๆ ขึ้นมาก็ตาม ที่เขาเรียกว่าการวาง Business Continuity Plan (BCP) สิ่งสำคัญอันนึงก็คือการที่จะทำให้พนักงานสามารถเข้ามาใช้ทรัพยากรของออฟฟิศ โดยเฉพาะอย่างยิ่ง พวกไฟล์ต่างๆ บนเครื่องเซิร์ฟเวอร์ ได้จาก ณ ที่ใดก็ตามในโลกนี้ ผ่านทางเครือข่ายอินเทอร์เน็ต แต่บางครั้งผู้บริหารก็ไม่ไว้ใจ Cloud และไม่อยากให้เปิดเซิร์ฟเวอร์หราไว้บนอินเทอร์เน็ตเลย VPN หรือ Virtual Private Network มันก็คือคำตอบนะ และ QNAP NAS มันก็มีฟีเจอร์ที่ให้เราเซ็ตมันเป็น VPN server ได้ด้วย แต่มันดันมีให้เลือกหลายโปรโตคอลนี่สิ เราจะเลือกยังไงดี?

ถ้าเราเข้าไปดูที่แอปชื่อ QVPN ที่เอาไว้สำหรับตั้งค่าให้ QNAP NAS เป็น VPN server เราจะเห็นว่ามันมีตัวเลือกให้เลือก 4 โปรโตคอลหลัก คือ QBelt, PPTP, L2TP/IPSec และ OpenVPN ครับ มาดูกันว่าแต่ละโปรโตคอล มันมีดีมีด้อยกันตรงไหนบ้าง

หน้าจอ Overview ของแอป

QBelt

อันนี้เป็นโปรโตคอลของ QNAP เอง อยู่บนพื้นฐานของ DTLS (Datagram Transport Layer Security) และการเข้ารหัส AES แบบ 256-bit ซึ่งมีความปลอดภัยสูง และสามารถใช้งานได้ทั้งบน Windows, macOS, iOS และ Android แต่ต้องมีการดาวน์โหลดโปรแกรม/แอป มาติดตั้งไว้บนอุปกรณ์ และมันไม่รองรับระบบปฏิบัติการ Linux ครับ

ข้อดีคือ เซ็ตง่ายมาก และด้วยความที่เป็นโปรโตคอลของ QNAP เอง ฉะนั้นหมดห่วงเรื่อง Compatibility กับตัว QNAP NAS แต่ข้อจำกัดคือ การเชื่อมต่อของเจ้านี่ทำผ่านโปรโตคอล UDP เท่านั้น แถมบังคับเลือกการเข้ารหัสเป็น AES 256-bit เลย และที่สำคัญคืออย่างที่บอกไปเมื่อกี้ว่ามันไม่รองรับการใช้งานบนระบบปฏิบัติการ Linux

PPTP

ย่อมาจาก Point-to-Point Tunneling Protocol ถ้าจำไม่ผิด นี่คือโปรโตคอลแรกสุดที่ออกมาเลยครับ และแน่นอน เมื่อมันเก่าแก่สุด มันก็ปลอดภัยน้อยสุดครับ ถ้าจะแหกกันจริงๆ ก็น่าจะมีคนทำได้ โดยเฉพาะ NSA (National Security Agency) ของสหรัฐอเมริกานี่เขาแหก PPTP ไปแล้ว แต่สำหรับใครก็ตามที่ไม่ได้ต้องการความมั่นคงปลอดภัยระดับสูงมากๆ เพราะข้อมูลที่รับส่งไม่ได้สำคัญขนาดนั้น แต่ต้องการความเร็วในการใช้งาน สามารถใช้ได้กับระบบปฏิบัติการและอุปกรณ์ทั้งหลายแหล่ในโลกหล้า เพราะยังมีเครื่องคอมพิวเตอร์เก่าๆ อยู่ โปรโตคอลนี้อาจจะเป็นทางเลือกอยู่ (มันถึงยังได้มีให้เลือกใช้ไง)

นอกจากนี้ ตัวเลือกในการยืนยันตัวตนของ PPTP นั้นเลือกใช้ MS-CHAPv2 หรือไม่ก็ PAP ซึ่งทั้งคู่ มองในแง่ความมั่นคงปลอดภัย มันก็ยังไม่สมบูรณ์ทั้งนั้น แถมยังเลือกพอร์ตในการใช้งานไม่ได้อีก โดนโจมตีได้ง่ายๆ เลยนะ ยกเว้นจะไปตั้งค่าซะใหม่ตอนทำ Port forwarding

L2TP/IPSec (PSK)

L2TP ย่อมาจาก Layer 2 Tunnel Protocol มันเป็นโปรโตคอลในการรับส่งข้อมูล แต่ไม่มีการเข้ารหัส มันเลยต้องใช้ร่วมกับ IPSec (Internet Protocol Security) ทำหน้าที่เข้ารหัสข้อมูล ตัวนี้เป็นทางเลือกที่ดีกว่า PPTP เพราะระบบปฏิบัติการใหม่ๆ อุปกรณ์รุ่นใหม่ๆ เขารองรับกันหมดแล้ว

ตัว L2TP/IPSec ของ QNAP NAS เป็นแบบ PSK หรือ Pre-shared Key นะครับ ดังนั้นเวลาไปตั้งค่าในอุปกรณ์ต่างๆ ถ้ามีการถามว่า VPN Type เป็นแบบไหน เลือกเป็น L2TP/IPsec with pre-shared key นะ

ข้อควรระวังคือ เจ้านี่มันก็เหมือนกับ PPTP ตรงที่การยืนยันตัวตนก็ทำผ่าน MS-CHAPv2 หรือไม่ก็ PAP และเจ้านี่ไม่รองรับการใช้ใบประกาศด้วย ต้องเป็น Pre-shared key อย่างเดียว และก็ไม่สามารถเลือกพอร์ตใช้งานได้เช่นกัน ต้องไปตั้งค่าตรง Port forwarding ซึ่งอาจจะมีปัญหามึนๆ หากไปใช้งานหลัง Firewall

OpenVPN

ตัวนี้เป็นเทคโนโลยีที่เป็นโอเพ่นซอร์ส ใช้โปรโตคอล SSLv3/TLSv1 และไลบรารี่ OpenSSL ในการให้บริการ VPN ข้อดีคือเรื่องของความมั่นคงปลอดภัย ดีกว่า PPTP และ L2TP/IPSec ชัวร์ป้าบ สามารถใช้การเข้ารหัสได้ทั้งแบบ AES 128-bit หรือ AES 256-bit อยู่ที่เราอยากจะโหดขนาดไหน

แต่ข้อจำกัดคือ เรื่องการติดตั้งใช้งาน เพราะแม้จะไม่ยุ่งยากเท่าไหร่บน QNAP NAS และสามารถเลือกพอร์ตใช้งานได้ทั้ง TCP และ UDP อีกตะหาก แต่เวลาจะใช้งานบนเครื่องคอมพิวเตอร์หรืออุปกรณ์อื่นๆ ต้องไปติดตั้งซอฟต์แวร์ VPN ที่อุปกรณ์นั้นๆ อีก แอบวุ่นวายหน่อย แต่ยังดีว่าพวก Windows, macOS, iOS และ Android เนี่ย มีโปรแกรม Client ของ OpenVPN ให้ใช้ง่ายๆ อยู่แล้ว ส่วน Linux นั้น ก็ต้องใช้ฝีมือกันนิดหน่อย

ความเห็นส่วนตัวของผมนั้นคือ

ถ้าไม่ติดปัญหาเรื่องการติดตั้ง VPN client ละก็ ผมแนะนำใช้ QBelt ของ QNAP ไปเลย หรือหากต้องการความเชื่อมั่นในฐานะโปรโตคอลยอดนิยม OpenVPN ก็เป็นทางเลือกที่ดีครับ แต่สำหรับบริษัทไหนที่มีปัญหาเรื่องการติดตั้งโปรแกรมลงไปบนเครื่องคอมพิวเตอร์ของพนักงาน (อารมณ์ประมาณว่านโยบายไม่ให้ทำ) ก็เลือกใช้เป็น L2TP/IPSec ครับ จะดีสุด ส่วน PPTP นี่มองข้ามไปเหอะ

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.