ปีที่แล้วผมเคยเขียนบล็อกเอาไว้ว่าเดี๋ยวนี้เรายังจำเป็นต้องใช้ VPN อยู่ไหม? คำตอบก็คือมันแล้วแต่จริงๆ แต่ถ้าเราแค่ต้องการเข้าถึงระบบเครือข่ายในบ้านหรือบริษัทแบบปลอดภัย เพราะมั่นใจได้ว่าข้อมูลจะได้รับการเข้ารหัส เราก็ต้องใช้ VPN นี่แหละ และ QNAP NAS เขาก็มีแอป QVPN มาให้ใช้เปิดบริการ VPN server บน NAS ได้สะดวกๆ และในบล็อกตอนนี้ เราจะมีพูดถึงการเซ็ตใช้ VPN ผ่าน QVPN ด้วยโปรโตคอล QBelt ของ QNAP กัน
QBelt มันเป็นโปรโตคอลสำหรับ VPN ของ QNAP โดยเฉพาะ มีการเข้ารหัสแบบ AES 256-bit ความปลอดภัยสูง เซ็ตง่ายมาก เพียงแต่ต้องมีการติดตั้ง VPN client บนตัวอุปกรณ์ที่จะใช้งาน ซึ่งรองรับทั้งระบบปฏิบัติการ Windows, macOS, iOS และ Android ฉะนั้นใครที่ใช้งานระบบปฏิบัติการ Linux อยู่ มองข้ามบล็อกตอนนี้ไปได้ก่อนเลยนะครับ
สำหรับผู้ใช้งานตามบ้าน หรือ มีโฮมออฟฟิศของตัวเอง หรือคุณเป็นเจ้าของธุรกิจ SME ที่อยากจะทำ VPN การใช้ QBelt จะสะดวกมาก แต่ถ้าคุณเป็นแค่เจ้าหน้าที่ไอทีในบริษัท แล้วอยากใช้ คงต้องไปเช็กว่านโยบายของบริษัทของคุณเป็นยังไงนะ
ก่อนอื่น ต้องใช้ myQNAPcloud ก่อน
ไม่ว่าคุณจะใช้ VPN บนโปรโตคอลอะไร อันดับแรกเลยคุณต้องเซ็ต myQNAPcloud ก่อนนะครับ และถ้าจะให้ดี เปิดใช้ SSL ซะด้วย ซึ่งถ้าไม่ซีเรียสมาก ก็ไปใช้ของฟรีของ Let’s Encrypt ได้ครับผมเขียนวิธีเซ็ตไว้ให้แล้ว การใช้งาน myQNAPcloud จะได้ปลอดภัย เพราะข้อมูลที่จะรับส่ง มันจะถูกเข้ารหัส
ถามว่าทำไมต้องเซ็ต myQNAPcloud ก่อน? นั่นก็เพราะ เวลาที่เราจะตั้งค่าตัว VPN client (ซึ่งในกรณีของการใช้ QBelt ก็คือโปรแกรม QVPN ครับ) มันจะต้องบอกด้วยว่า VPN server อะ มัน IP address อะไร แต่ทีนี้ผมก็เชื่อว่าผู้ใช้งานตามบ้านทั่วไป โฮมออฟฟิศ และ SMEs ส่วนใหญ่ ก็จะใช้อินเทอร์เน็ตแบบที่ไม่ได้ Fixed IP มาครับ ฉะนั้น เราเลยต้องมี myQNAPcloud ทำหน้าที่เป็น DDNS (Dynamic DNS) ที่ช่วยให้เราได้ใช้ชื่อ URL เดิมๆ ในการอ้างอิงถึง IP address ที่มีการเปลี่ยนแปลงได้ตลอดเวลา
เปิดใช้งานและตั้งค่า QBelt
เปิดแอป QVPN ครับ มันจะชื่อว่า QVPN Service (ณ ตอนที่เขียนบล็อกนี้อยู่ คือ เวอร์ชัน 2) แล้วไปตรงหัวข้อ VPN Server และไปที่ QBelt จากนั้นก็ติ๊กถูกตรง Enable QBelt server แล้วทำการตั้งค่าครับ
● VPN client IP pool เอาไว้กำหนด IP address ให้กับเครื่องที่ต่อผ่าน VPN เข้ามา ก็กำหนดตามอัธยาศัย เพื่อให้เหมาะสมกับการตั้งค่าเครือข่ายภายในของเราเอง กำหนดแค่ 3 ชุดแรกพอ ที่เหลือมันจะกำหนดให้ตั้งแต่ 2-254 เลย
● Server port ของ QBelt จะใช้โปรโตคอล UDP นะครับ เวลาตั้งค่า Port forwarding ถ้าทำแบบ Manual ไปตั้งบน Router เอง ไม่ได้ตั้งผ่าน Auto config ของ myQNAPcloud ก็อย่าเผลอไปตั้งเป็น TCP ซะล่ะ เดี๋ยวใช้ไม่ได้แล้วนั่งงงว่าทำไม จะตั้งเป็นเลขอะไรก็ตามสะดวกเลยครับ
● Preshared key (shared secret) อันนี้เป็นข้อความลับที่เรากำหนดขึ้นมา เอาไว้สำหรับใส่ตอนเซ็ตค่าใน Client ครับ ตั้งเสร็จ จำไว้ด้วย เวลาไปเซ็ต Client จะได้ไม่ต้องมาไล่เปิดดู
● Maximum number of clients กำหนดจำนวนอุปกรณ์ที่สามารถเข้ามาใช้ VPN ได้ ควรกำหนดไว้เท่าที่จำเป็นพอ เพราะ QNAP NAS มันก็คือเครื่องคอมพิวเตอร์เครื่องนึง มันไม่สามารถมาคอยให้บริการอุปกรณ์จำนวนมากๆ พร้อมๆ กันได้นะครับ ยกเว้นสเปกคุณจะแรงพอ
● Network interface เอาไว้กำหนดว่าจะให้ Network interface ไหน (จะเป็นตัว Adapter จริงๆ เลย หรือเป็น Virtual switch ก็ได้) ทำหน้าที่ในการรับส่งข้อมูลของ VPN โดยเราเลือกได้ตั้งแต่
○ All (Auto detect) ซึ่งหมายถึง ใช้มันทุก Interface เลย ให้ QNAP NAS มันไปตรวจเอาเองว่าจะใช้อันไหน ซึ่งปกติแล้ว พวกแพ็กเก็ตที่ใช้ในวง LAN ภายในก็จะถูกส่งผ่าน System route แต่หากเป็นแพ็กเก็ตที่ออกไปยังอินเทอร์เน็ต จะถูกกำหนดให้ใช้ Interface ที่เป็น Gateway
○ None หมายถึง ไม่ใช้ซักอัน (ไม่ควรเลือกอันนี้)
○ Manually assign อันนี้คือเลือก Interface เอง ซึ่งถ้าคุณไม่ใช่คนที่เชี่ยวชาญเรื่องระบบเน็ตเวิร์ก และอยากจะกำหนดค่าทุกอย่างเอง ไม่ต้องมาเลือกอันนี้เลยนะ ไปเลือก All ซะ
● DNS Server เอาไว้ตั้งค่า DNS Server ที่ทำหน้าที่แปลงชื่อโดเมนเนมเป็น IP address มีให้เลือกเซ็ต 3 ตัวเลือก คือ
○ Public DNS คือ ให้ระบบไปเลือกใช้ Public DNS server เอาเอง โดยเลือกอันที่เร็วที่สุด วิธีนี้ ถ้าเราเลือก Public DNS ได้ดี เวลาจะเปิดเว็บ หรืออะไรต่อมิอะไรก็จะเร็ว ตัว QNAP NAS จะมีการแสดงค่า Service latency หรือ ความหน่วงของการให้บริการเอาไว้ด้วยนะ แต่ผมลองดูของผมแล้ว แต่ละอัน 120ms ทั้งนั้น ไม่ไหวๆ
○ NAS default เป็นค่าเริ่มต้นเลย ผมว่าใช้อันนี้แหละ ง่ายดีที่สุดแล้ว และ QNAP ก็แนะนำว่าวิธีนี้ปลอดภัยกว่าการเลือก Public DNS
○ Manually assign คือ กำหนด DNS server เอาเอง อันนี้มักจะใช้ในกรณีของบริษัท ที่อาจจะมีการกำหนด DNS เอาไว้โดยเฉพาะ
และแนะนำว่าให้ติ๊กถูกตรง Enable Debug Log เอาไว้ด้วย เวลามีปัญหาอะไร จะได้มีข้อมูลเอาไว้พิจารณา แต่ถ้าใครคิดว่า ยังไงก็อ่านไม่รู้เรื่องอยู่แล้ว ก็ไม่ต้องติ๊ก เพราะการเปิดใช้งานฟังก์ชันนี้ อาจส่งผลกระทบต่อประสิทธิภาพในการให้บริการได้ (แต่ถ้าใช้กันแบบตามบ้านทั่วไป ไม่มีผลกระทบเท่าไหร่อยู่แล้ว)
กำหนดสิทธิผู้ใช้งาน
ขั้นตอนถัดมาคือ การไปกำหนดสิทธิผู้ใช้งานครับ ให้ไปที่ QVPN Service > VPN Server > Privilege Settings แล้วคลิกที่ปุ่ม Add VPN Users จากนั้นก็เลือกผู้ใช้งานที่เราต้องการให้สามารถใช้บริการ VPN ได้ ซึ่งเราเลือกได้ทั้งจาก Local Users และ Domain Users ครับ แล้วแต่ว่าเราเก็บข้อมูลผู้ใช้งานไว้แบบไหน
แล้วก็เลือกด้วยนะว่าจะให้สิทธิผู้ใช้งานคนนี้ ใช้โปรโตคอลอะไรบ้าง ก็มีให้เลือกเป็น PPTP, L2TP/IPSec, OpenVPN และ QBelt ซึ่งในกรณีของเรานี้ ก็คือให้ใช้ QBelt ได้ โดยผู้ใช้งาน admin จะได้สิทธิใช้ทุกอย่างโดย Default เลย
ดาวน์โหลดโปรแกรม QVPN client มาติดตั้ง แล้วเซ็ตค่าใช้งาน
เมื่อตั้งค่าเสร็จแล้ว กำหนดสิทธิให้ผู้ใช้งานแล้ว ก็ถึงเวลาที่จะเริ่มใช้ แต่เราก็ต้องไปดาวน์โหลดโปรแกรม QVPN client มาติดตั้งก่อนนะครับ บน Windows และ macOS ไปดาวน์โหลดได้ที่เว็บไซต์ของ QNAP เลย หรือจะคลิกลิงก์จากหน้าจอตั้งค่าก็ได้ แต่ปกติการไปติดตั้งให้เครื่องชาวบ้าน เราไม่ควรให้เขาเข้ามาถึงหน้าจอตั้งค่าไง ส่วน iOS และ Android ก็ไปค้นเอาจาก Apple App Store หรือ Google Play Store เอา
ไม่ว่าจะเป็นบนระบบปฏิบัติการใดก็ตาม การตั้งค่าจะเหมือนกันครับ และไม่ยาก ผมขอยกตัวอย่างจาก Android ก็แล้วกัน ออกตัวก่อนนะครับว่า ขั้นตอนที่ผมพูดถึง ไม่ได้ตรงเป๊ะๆ 100% เพราะจะให้เก็บละเอียดแบบนั้นก็ไม่ไหวครับ และระบบปฏิบัติการแต่ละตัว ก็อาจจะมีความแตกต่างกันอยู่เล็กน้อย
ขั้นแรกเลย จะต้องเพิ่ม VPN server ก่อน ซึ่งง่ายสุดคือ กดที่ Import from QNAP Cloud ครับ แล้วมันจะให้เราล็อกอินเข้า myQNAPcloud พอล็อกอินเสร็จ มันก็จะแสดงรายชื่อของ QNAP NAS ที่เปิดให้บริการ QBelt อยู่ครับ
พอกด Import เข้าไปแล้ว เราก็จะเห็น QNAP NAS ตัวนี้อยู่ในรายชื่อตัวเลือก Connection ให้เราแตะไอ้ตรงเครื่องหมาย 3 จุด ที่อยู่ข้างๆ ชื่อ QNAP NAS แล้วเลือก Edit NAS มันจะเข้าสู่การตั้งค่า
ในหน้าจอการตั้งค่าเนี่ย ก็ใส่ Username/Password ของ QNAP NAS ที่เราจะใช้ในการเชื่อมต่อ VPN เข้าไป เปิดใช้ Remember Me เอาไว้ จะได้ไม่ต้องกรอกรหัสผ่านบ่อยๆ (ถ้าเราจะใช้อุปกรณ์นี้คนเดียว ทำแบบนี้ได้ แต่ถ้าจะใช้ร่วมกันหลายคน ห้าม! ไม่ปลอดภัย) และปกติ ผมแนะนำให้ใช้ SSL อยู่แล้ว ฉะนั้นควรจะเปิดใช้ Secure Login (SSL) ด้วยนะครับ ตั้งค่าเรียบร้อยก็แตะปุ่ม Save ได้เลย
แต่ในกรณีของ iOS หรือ Windows หรือ macOS อาจจะต้องเพิ่มในเรื่องการกำหนดพอร์ต และ Preshared Key ด้วย มันจะให้เราตั้งค่าในหน้าจอ Edit NAS นี่แหละครับ ถ้ามันให้เราต้องตั้งค่า ก็อย่าลืมไปตั้งค่าล่ะ แต่บน Android ผมไม่เห็นมันถามให้ตั้งค่าแต่อย่างใด
จากนั้น พอบันทึกการตั้งค่าเสร้จ เราก็กลับมาที่หน้าแรก ถ้าเราจะเริ่มเชื่อมต่อกับ VPN เราก็แตะที่ชื่อของ QNAP NAS ที่เราต้องการเชื่อมต่อ QBelt ด้วย จากนั้นมันก็ค้นๆๆ ว่า NAS เราอยู่ตรงไหนของโลก เราก็แค่แตะปุ่ม Connect ครับ จากนั้นก็รอ พอเชื่อมต่อเสร็จเรียบร้อย มันก็จะเหมือนกับรูปขวามือสุดครับ ในตรงนี้ มันจะแสดงให้เราดูด้วยว่ามีแอปตระกูล QNAP อะไรอยู่บ้าง แล้วอันไหนที่เราติดตั้งไว้แล้ว อันที่ยังไม่ติดตั้ง เราแค่แตะไอคอนมันก็จะดาวน์โหลดให้ ถ้าเราจะเลิกการเชื่อมต่อ เราก็แตะปุ่ม Disconnect จบ
แต่ถ้าเป็นบน iOS มันจะมีการเด้งคำถามเพิ่มมาอีกอันว่าจะต้องเพิ่ม Profile ของ QVPN เข้าไปในระบบด้วย จะทำไหม เราก็แค่ตอบว่าจะทำ แต่เวลาเราจะ Connect เข้า QVPN เราจะต้องมาทำผ่านแอปนะครับ
