555/97 Fifth Avenue หนองจ๊อม สันทราย เชียงใหม่

สนใจสินค้าและบริการ ?

10 PM – 6 PM

IP-PA System

098-374-4289 086-356-6663

สนใจสอบถามข้อมูลสินค้าและบริการ ?

รายการสินค้า

WireGuard VPN บน MikroTik – 30/4/2569

itdhivii

ทำความรู้จักกับ WireGuard VPN บน MikroTik และประสิทธิภาพที่เหนือกว่า

WireGuard VPN บน MikroTik

Photo by Dan Nelson on Pexels

ในโลกของการเชื่อมต่อเครือข่ายปัจจุบัน ความปลอดภัยและความเร็วในการรับส่งข้อมูลเป็นสิ่งสำคัญอันดับต้นๆ WireGuard VPN ได้กลายเป็นมาตรฐานใหม่ที่เข้ามาปฏิวัติวงการ VPN ด้วยการออกแบบที่เน้นความเรียบง่ายแต่ทรงพลัง โดยใช้รหัสลับ (Cryptography) ที่ทันสมัยและมีประสิทธิภาพสูงกว่าโปรโตคอลรุ่นเก่าอย่าง IPsec หรือ OpenVPN อย่างเห็นได้ชัด เมื่อ MikroTik นำ WireGuard เข้ามาใส่ใน RouterOS เวอร์ชัน 7 จึงทำให้ผู้ใช้งานสามารถสร้างเครือข่ายส่วนตัวที่มีความหน่วงต่ำและความเร็วสูงได้อย่างง่ายดาย

การทำงานของ WireGuard บน MikroTik นั้นมีความโดดเด่นในเรื่องของ “State” ที่น้อยมาก ทำให้การเชื่อมต่อเกิดขึ้นได้เกือบจะทันที (Instant Connection) และยังประหยัดทรัพยากร CPU ของตัว Router ได้ดีกว่าโปรโตคอลอื่นๆ ส่งผลให้ Router รุ่นเล็กๆ ก็สามารถทำความเร็ว VPN ได้ในระดับที่น่าประทับใจ นอกจากนี้ WireGuard ยังทำงานบน UDP ซึ่งช่วยให้การรับส่งข้อมูลมีความไหลลื่นและจัดการกับปัญหา Packet Loss ได้ดีกว่าในบางสถานการณ์

นอกจากเรื่องความเร็วแล้ว ความโดดเด่นอีกประการคือความง่ายในการตั้งค่า แม้ว่าคุณจะไม่ใช่ผู้เชี่ยวชาญด้าน Network ขั้นสูง ก็สามารถทำความเข้าใจโครงสร้างของ WireGuard ได้ไม่ยาก เพราะมันใช้หลักการของ Public Key และ Private Key คล้ายกับ SSH ทำให้การพิสูจน์ตัวตนมีความปลอดภัยสูงและลดโอกาสในการถูกโจมตีแบบ Man-in-the-middle ได้อย่างมีประสิทธิภาพ

ข้อดีของการใช้ WireGuard บน MikroTik

WireGuard มีจุดเด่นคือ Codebase ที่สั้นมาก (ประมาณ 4,000 บรรทัด) เมื่อเทียบกับ OpenVPN ที่มีหลักแสนบรรทัด ทำให้การตรวจสอบช่องโหว่ทำได้ง่ายและมีความปลอดภัยสูงกว่า นอกจากนี้ยังรองรับการทำ Roaming ที่ยอดเยี่ยม เช่น เมื่อคุณเปลี่ยนจากการใช้ Wi-Fi ไปเป็น 5G บนมือถือ การเชื่อมต่อ VPN จะไม่หลุดและใช้งานต่อเนื่องได้ทันที

ขั้นตอนการเตรียมตัวและการสร้าง Interface WireGuard

ก่อนที่จะเริ่มใช้งาน WireGuard บน MikroTik สิ่งแรกที่จำเป็นคือการตรวจสอบว่า Router ของคุณรันระบบปฏิบัติการ RouterOS เวอร์ชัน 7 ขึ้นไป เนื่องจากเวอร์ชัน 6 ไม่รองรับฟีเจอร์นี้ เมื่อตรวจสอบความพร้อมแล้ว ขั้นตอนแรกคือการสร้าง Interface สำหรับ WireGuard ซึ่งจะทำหน้าที่เป็นเสมือนพอร์ตเสมือนที่ใช้รับส่งข้อมูลที่ถูกเข้ารหัส โดยในขั้นตอนนี้ระบบจะสร้างกุญแจคู่ (Key Pairs) ให้โดยอัตโนมัติ

กุญแจสำคัญในการตั้งค่าคือ Private Key และ Public Key ซึ่ง Private Key จะต้องถูกเก็บไว้เป็นความลับบนตัว Router เท่านั้น ส่วน Public Key จะถูกนำไปใช้แลกเปลี่ยนกับเครื่อง Client หรือ Router ฝั่งตรงข้ามเพื่อใช้ในการถอดรหัสและยืนยันตัวตน นอกจากนี้เรายังต้องกำหนด Listen Port ซึ่งโดยมาตรฐานของ WireGuard จะใช้พอร์ต 51820 (UDP) แต่ผู้ใช้งานสามารถเปลี่ยนเป็นพอร์ตอื่นเพื่อความปลอดภัยเพิ่มเติมได้

หลังจากสร้าง Interface เสร็จสิ้น สิ่งสำคัญที่ขาดไม่ได้คือการกำหนด IP Address ให้กับ Interface นั้นๆ โดยปกติเราจะใช้ Private IP วงใหม่ที่แยกออกจากวง LAN หลัก เช่น 10.0.0.1/24 เพื่อให้ตัว Router สามารถสื่อสารกับ Client ในอุโมงค์ VPN ได้อย่างถูกต้อง การจัดสรร IP Address ที่ชัดเจนจะช่วยให้การทำ Routing ในขั้นตอนถัดไปมีความแม่นยำและไม่เกิดการทับซ้อนของข้อมูล

ตัวอย่างคำสั่งการสร้าง Interface และการกำหนด IP ผ่าน Terminal

/interface wireguard
add listen-port=51820 name=wireguard-vpn
/ip address
add address=10.0.0.1/24 interface=wireguard-vpn network=10.0.0.0

การตั้งค่า Peers และการจัดการความปลอดภัย (Firewall)

ในระบบ WireGuard คำว่า “Peer” หมายถึงอุปกรณ์ปลายทางที่จะเชื่อมต่อเข้ามา ไม่ว่าจะเป็นสมาร์ทโฟน โน้ตบุ๊ก หรือ Router อีกตัวหนึ่ง การเพิ่ม Peer บน MikroTik จำเป็นต้องใช้ Public Key ของฝั่ง Client และเราต้องระบุ Allowed Address ซึ่งหมายถึงช่วง IP Address ที่อนุญาตให้วิ่งผ่านอุโมงค์ VPN นี้ได้ หากเราต้องการให้ Client ใช้งานอินเทอร์เน็ตผ่าน VPN ทั้งหมด เรามักจะระบุเป็น 0.0.0.0/0 ในฝั่ง Client แต่ในฝั่ง MikroTik เราจะระบุเฉพาะ IP ของ Client เครื่องนั้นๆ

ความปลอดภัยเป็นเรื่องที่ไม่สามารถละเลยได้ แม้ว่าเราจะสร้าง Interface WireGuard แล้ว แต่หากไม่ได้เปิดพอร์ตที่ Firewall ของ MikroTik การเชื่อมต่อก็จะไม่สามารถเกิดขึ้นได้ เราจำเป็นต้องสร้างกฎ Filter Rule เพื่ออนุญาตให้ข้อมูลบนพอร์ต UDP 51820 วิ่งเข้ามายัง Input Chain ของ Router ได้ นอกจากนี้ควรพิจารณาเรื่อง Forward Chain เพื่ออนุญาตให้ข้อมูลจาก Interface WireGuard สามารถเข้าถึงทรัพยากรในวง LAN หรือออกสู่อินเทอร์เน็ตได้ตามต้องการ

อีกหนึ่งเทคนิคที่แนะนำคือการใช้ Preshared Key (PSK) เพิ่มเติมจากการใช้ Public Key ปกติ เพื่อเพิ่มชั้นความปลอดภัยอีกหนึ่งชั้น (Quantum-resistance) ซึ่งจะช่วยป้องกันการถอดรหัสในอนาคตได้ดียิ่งขึ้น การจัดการ Peer ที่ดีควรมีการตั้งชื่อ (Comment) กำกับไว้เสมอเพื่อให้ง่ายต่อการตรวจสอบและยกเลิกการเข้าถึงในภายหลังหากอุปกรณ์สูญหาย

ตัวอย่างการตั้งค่า Peer และ Firewall Rule

/interface wireguard peers
add allowed-address=10.0.0.2/32 interface=wireguard-vpn public-key="CLIENT_PUBLIC_KEY_HERE"
/ip firewall filter
add action=accept chain=input dst-port=51820 protocol=udp comment="Allow WireGuard"
add action=accept chain=forward in-interface=wireguard-vpn comment="Allow WireGuard to LAN"

การทำ Site-to-Site VPN ด้วย WireGuard

นอกจากการเชื่อมต่อแบบ Client-to-Site (Road Warrior) แล้ว MikroTik ยังนิยมถูกนำมาใช้ทำ Site-to-Site VPN เพื่อเชื่อมต่อออฟฟิศสองแห่งเข้าด้วยกันผ่านอินเทอร์เน็ตสาธารณะ ด้วยประสิทธิภาพของ WireGuard ทำให้การเชื่อมต่อระหว่างสาขามีความเสถียรสูงและมีความเร็วใกล้เคียงกับความเร็วอินเทอร์เน็ตจริงมากที่สุด การตั้งค่าในลักษณะนี้ต้องการให้ทั้งสองฝั่งมี Public IP (หรือใช้ DDNS) เพื่อให้สามารถชี้ปลายทาง (Endpoint) หากันได้

ในการทำ Site-to-Site สิ่งที่สำคัญที่สุดคือการตั้งค่า Static Route เพื่อให้ Router ของออฟฟิศ A รู้ว่าหากต้องการส่งข้อมูลไปหา IP วง LAN ของออฟฟิศ B จะต้องส่งผ่าน Interface WireGuard ตัวไหน และในทางกลับกันออฟฟิศ B ก็ต้องตั้งค่าเช่นเดียวกัน การระบุ Allowed Address ในส่วนของ Peer จะต้องครอบคลุมถึงวง LAN ของฝั่งตรงข้ามด้วย ไม่ใช่แค่เพียง IP ของตัว VPN Interface เท่านั้น

ข้อควรระวังในการทำ Site-to-Site คือเรื่องของ MTU (Maximum Transmission Unit) เนื่องจาก WireGuard มีการเพิ่ม Header ของการเข้ารหัสเข้าไป ทำให้ขนาดของ Packet ใหญ่ขึ้น หากไม่มีการปรับแต่ง MTU ให้เหมาะสม (เช่น ตั้งค่าเป็น 1420) อาจส่งผลให้บางเว็บไซต์หรือบางบริการไม่สามารถโหลดข้อมูลได้สมบูรณ์ หรือเกิดอาการหน่วงอย่างผิดปกติ การทดสอบด้วยการ Ping ขนาดใหญ่จะช่วยตรวจสอบจุดนี้ได้

การตั้งค่า Routing สำหรับเชื่อมต่อระหว่างสาขา

เมื่อเชื่อมต่อ VPN ติดแล้ว ให้ไปที่เมนู IP > Routes แล้วเพิ่ม Route ใหม่ โดยระบุ Dst. Address เป็นวง LAN ของสาขาปลายทาง และ Gateway เป็น Interface WireGuard ที่เราสร้างขึ้น วิธีนี้จะช่วยให้เครื่องคอมพิวเตอร์ในออฟฟิศทั้งสองแห่งมองเห็นกันเหมือนอยู่ในเครือข่ายเดียวกัน

การตรวจสอบสถานะและการเพิ่มประสิทธิภาพสูงสุด

หลังจากตั้งค่าทุกอย่างเสร็จสิ้น ขั้นตอนสุดท้ายคือการตรวจสอบสถานะการเชื่อมต่อ (Monitoring) ใน MikroTik เราสามารถดูได้จากเมนู WireGuard > Peers ซึ่งจะแสดงข้อมูล “Latest Handshake” หากมีการเชื่อมต่อสำเร็จจะแสดงเวลาที่เพิ่งเกิดขึ้นไม่กี่วินาทีหรือนาทีที่ผ่านมา หากขึ้นเป็นว่างเปล่าแสดงว่าการเชื่อมต่อยังมีปัญหา เช่น Firewall บล็อกพอร์ต หรือ Public Key ไม่ตรงกัน

การปรับแต่งเพื่อประสิทธิภาพสูงสุด (Optimization) บน MikroTik สามารถทำได้โดยการใช้ FastTrack ซึ่งในเวอร์ชัน 7.x มีการปรับปรุงให้รองรับการทำงานร่วมกับ VPN ได้ดีขึ้น อย่างไรก็ตาม ต้องระวังว่า FastTrack อาจจะข้ามขั้นตอนของ Firewall บางอย่างไป ดังนั้นควรทดสอบอย่างละเอียด นอกจากนี้การเลือกใช้ Hardware ที่รองรับการเข้ารหัสด้วยฮาร์ดแวร์ (Hardware Offloading) จะช่วยลดภาระของ CPU ได้อย่างมหาศาลในกรณีที่มีปริมาณข้อมูลรับส่งจำนวนมาก

สุดท้ายคือการจัดการเรื่อง DNS สำหรับ Client ที่เชื่อมต่อเข้ามา หากเราต้องการให้ Client สามารถเรียกใช้งานชื่อโฮสต์ภายในองค์กรได้ เราควรตั้งค่าในส่วนของ Peer ฝั่ง Client ให้ชี้ DNS มาที่ IP ของ MikroTik (10.0.0.1) และตั้งค่า DNS Static บน MikroTik เพื่อจับคู่ชื่อเครื่องกับ IP Address ภายใน วิธีนี้จะทำให้การใช้งาน VPN มีความสมบูรณ์แบบเสมือนนั่งทำงานอยู่ในออฟฟิศจริงๆ

สรุปฟีเจอร์เด่นที่ควรใช้งาน

  • Instant Handshake: การเชื่อมต่อที่รวดเร็วไม่ต้องรอ Negotiation นานเหมือนโปรโตคอลอื่น
  • Minimal Configuration: ใช้เพียง Key และ Port ก็สามารถเริ่มใช้งานได้ทันที
  • High Throughput: ให้ความเร็วสูงสุดโดยใช้ทรัพยากรระบบน้อยที่สุด
  • Roaming Support: สลับเครือข่ายได้โดยที่ VPN ไม่หลุด
  • Modern Crypto: มั่นใจในความปลอดภัยด้วยอัลกอริทึม ChaCha20 และ Poly1305

สรุป

การใช้งาน WireGuard VPN บน MikroTik เป็นทางเลือกที่ยอดเยี่ยมสำหรับทั้งผู้ใช้งานทั่วไปและองค์กรที่ต้องการระบบ VPN ที่ทันสมัย รวดเร็ว และปลอดภัย ด้วยความที่ MikroTik RouterOS 7 ได้ผนวกเอาเทคโนโลยีนี้เข้าเป็นส่วนหนึ่งของระบบ ทำให้การบริหารจัดการมีความยืดหยุ่นสูง ไม่ว่าจะเป็นการเชื่อมต่อจากมือถือเข้ามายังบ้าน หรือการเชื่อมต่อโครงข่ายระหว่างสาขา แม้ว่าในช่วงแรกอาจจะต้องทำความเข้าใจเรื่องกุญแจ Public/Private Key บ้าง แต่เมื่อตั้งค่าสำเร็จแล้ว คุณจะได้สัมผัสกับประสบการณ์ VPN ที่เสถียรและทรงพลังที่สุดเท่าที่เคยมีมา

Leave a Reply

Your email address will not be published. Required fields are marked *