# VPN Technologies and Implementation **ผู้จัดทำ:** อรรถพล คงหวาน --- # Outline 1. VPN Fundamentals 2. VPN Protocols 3. Modern VPN Solutions 4. VPN Security Best Practices 5. เปรียบเทียบ VPN Solutions 6. สรุปโดยรวม --- # VPN Fundamentals --- ## ความหมายและวัตถุประสงค์ของ VPN **VPN (Virtual Private Network)** สร้าง **"อุโมงค์เสมือน" (Virtual Tunnel)** ผ่านเครือข่ายสาธารณะ - **Confidentiality:** เข้ารหัสข้อมูลทั้งหมดระหว่างจุดปลายทาง - **Integrity:** ป้องกันการแก้ไขข้อมูลระหว่างทาง - **Authentication:** ตรวจสอบตัวตนของผู้ใช้และอุปกรณ์ - **Remote Access:** ให้ผู้ใช้เชื่อมต่อกับเครือข่ายองค์กรจากภายนอก - **Bypass Restrictions:** เข้าถึงทรัพยากรที่มีข้อจำกัดทางภูมิศาสตร์ --- ## ประวัติความเป็นมาของ VPN <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': {'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#d79921', 'lineColor': '#83a598', 'secondaryColor': '#3c3836', 'tertiaryColor': '#504945', 'background': '#1d2021', 'mainBkg': '#282828', 'nodeBorder': '#d79921', 'clusterBkg': '#3c3836', 'titleColor': '#ebdbb2', 'edgeLabelBackground': '#3c3836'}}}%% flowchart TD subgraph ERA1["🕐 ยุคที่ 1: Leased Line (1970s-1990s)"] A["ARPANET - 1969"]:::gy --> B["Leased Lines - 1970s"]:::go B --> C["Frame Relay / ATM - 1980s-1990s"]:::go end subgraph ERA2["🕑 ยุคที่ 2: โปรโตคอล VPN แรก (1993-2000)"] D["PPTP - Microsoft - 1993"]:::gb --> E["L2TP - RFC 2661 - 1999"]:::gb E --> F["IPSec - RFC 2401 - 1998"]:::gb end subgraph ERA3["🕒 ยุคที่ 3: SSL/TLS VPN (2001-2010)"] G["OpenVPN - 2001"]:::gg --> H["SSL VPN Appliances - 2004"]:::gg H --> I["Cloud VPN - 2010"]:::gg end subgraph ERA4["🕓 ยุคที่ 4: VPN สมัยใหม่ (2015-ปัจจุบัน)"] J["WireGuard - Linux Kernel - 2015"]:::ga --> K["Zero-Trust VPN - 2018"]:::ga K --> L["Mesh VPN - Tailscale - 2020+"]:::ga end ERA1 --> ERA2 --> ERA3 --> ERA4 classDef gy fill:#282828,stroke:#d79921,color:#ebdbb2 classDef go fill:#282828,stroke:#d65d0e,color:#ebdbb2 classDef gb fill:#282828,stroke:#458588,color:#ebdbb2 classDef gg fill:#282828,stroke:#98971a,color:#ebdbb2 classDef ga fill:#282828,stroke:#689d6a,color:#ebdbb2 </pre> --- ## ประเภทของ VPN — Site-to-Site VPN เชื่อมต่อเครือข่ายองค์กรสองแห่งขึ้นไปผ่าน Internet <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': {'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#d79921', 'lineColor': '#83a598', 'secondaryColor': '#3c3836'}}}%% flowchart LR subgraph SITE_A["🏢 สำนักงานกรุงเทพ - 192.168.1.0/24"] PC_A1["💻 PC-A1"]:::gg GW_A["🔒 VPN Gateway - 203.0.113.1"]:::gy PC_A1 --> GW_A end subgraph INTERNET["🌐 Internet"] NET["--- Encrypted Tunnel ---"]:::go end subgraph SITE_B["🏢 สำนักงานเชียงใหม่ - 10.0.0.0/24"] GW_B["🔒 VPN Gateway - 198.51.100.1"]:::gy SRV_B1["🖥️ Server-B1"]:::gb GW_B --> SRV_B1 end GW_A <--> |"🔐 Encrypted"| NET NET <--> |"🔐 Encrypted"| GW_B classDef gy fill:#282828,stroke:#d79921,color:#ebdbb2 classDef go fill:#504945,stroke:#d65d0e,color:#fe8019 classDef gb fill:#282828,stroke:#458588,color:#ebdbb2 classDef gg fill:#282828,stroke:#98971a,color:#ebdbb2 </pre> --- ## ประเภทของ VPN — Remote Access VPN ให้ผู้ใช้รายบุคคลเชื่อมต่อเข้าสู่เครือข่ายองค์กรจากระยะไกล <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': {'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#d79921', 'lineColor': '#83a598', 'secondaryColor': '#3c3836'}}}%% flowchart TD subgraph USERS["👥 ผู้ใช้ระยะไกล"] U1["🏠 Work From Home"]:::gg U2["☕ Cafe / โรงแรม"]:::gg U3["📱 มือถือ 4G/5G"]:::gg end VS["🔒 VPN Concentrator - 203.0.113.1:51820"]:::gy subgraph CORP["🏢 เครือข่ายองค์กร - 172.16.0.0/16"] DB["🗄️ Database Server"]:::gb FILE["📁 File Server"]:::gb INTRA["🌐 Intranet"]:::ga end U1 -->|"🔐 Encrypted Tunnel"| VS U2 -->|"🔐 Encrypted Tunnel"| VS U3 -->|"🔐 Encrypted Tunnel"| VS VS --> DB VS --> FILE VS --> INTRA classDef gy fill:#282828,stroke:#d79921,color:#ebdbb2 classDef gb fill:#282828,stroke:#458588,color:#ebdbb2 classDef gg fill:#282828,stroke:#98971a,color:#ebdbb2 classDef ga fill:#282828,stroke:#689d6a,color:#ebdbb2 </pre> --- ## เปรียบเทียบ Remote Access vs Site-to-Site VPN | คุณลักษณะ | Remote Access VPN | Site-to-Site VPN | |---|---|---| | ผู้ใช้งาน | ผู้ใช้รายบุคคล | Gateway อุปกรณ์ | | ต้องติดตั้ง Client | ✅ ใช่ | ❌ ไม่ใช่ | | จำนวน Endpoint | Dynamic | Fixed | | ตัวอย่าง Protocol | WireGuard, OpenVPN | IPSec IKEv2 | | ความซับซ้อน | ปานกลาง | สูง | | เหมาะสำหรับ | Work From Home | สาขาองค์กร | --- ## กระบวนการ Tunneling — Encapsulation <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': {'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#d79921', 'lineColor': '#83a598', 'secondaryColor': '#3c3836'}}}%% flowchart LR subgraph ORIGINAL["📦 แพ็กเก็ตต้นฉบับ"] O1["IP Header - Src: 192.168.1.10"]:::gb O2["TCP Header - Port 443"]:::gg O3["Data (Payload)"]:::ga end subgraph ENCRYPTED["🔒 เข้ารหัส Payload"] E1["IP Header (เดิม)"]:::gb E2["TCP Header (เดิม)"]:::gg E3["🔐 Encrypted Data"]:::go end subgraph TUNNEL["🌐 ห่อหุ้มด้วย Tunnel Header"] T1["Outer IP Header - Src: 203.0.113.1"]:::gy T2["VPN Header (WireGuard/IPSec)"]:::go T3["🔒 Inner Encrypted Packet"]:::gr end ORIGINAL -->|"1️⃣ Encrypt"| ENCRYPTED ENCRYPTED -->|"2️⃣ Encapsulate"| TUNNEL classDef gy fill:#282828,stroke:#d79921,color:#ebdbb2 classDef go fill:#282828,stroke:#d65d0e,color:#ebdbb2 classDef gb fill:#282828,stroke:#458588,color:#ebdbb2 classDef gg fill:#282828,stroke:#98971a,color:#ebdbb2 classDef ga fill:#282828,stroke:#689d6a,color:#ebdbb2 classDef gr fill:#282828,stroke:#cc241d,color:#ebdbb2 </pre> --- ## การคำนวณ MTU สำหรับ VPN <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <msub><mi>MTU</mi><mi>VPN</mi></msub> <mo>=</mo> <msub><mi>MTU</mi><mi>Physical</mi></msub> <mo>-</mo> <msub><mi>Overhead</mi><mi>VPN Header</mi></msub> </mrow> </math> **ตัวอย่าง WireGuard MTU (IPv4):** | ส่วนประกอบ | ขนาด (bytes) | |---|---| | Ethernet MTU | 1500 | | Outer IP Header (IPv4) | -20 | | UDP Header | -8 | | WireGuard Header | -32 | | **MTU ที่เหลือ** | **1440** | > IPv6 Outer Header: 1500 - 40 - 8 - 32 = **1420 bytes** --- # VPN Protocols --- ## IPSec — องค์ประกอบหลัก <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': {'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#d79921', 'lineColor': '#83a598', 'secondaryColor': '#3c3836'}}}%% flowchart TD IPSEC["🛡️ IPSec Suite"]:::gy subgraph PROTOCOLS["โปรโตคอลหลัก"] AH["AH - Authentication Header - IP Protocol 51 — Authentication เท่านั้น"]:::gb ESP["ESP - Encapsulating Security Payload - IP Protocol 50 — Auth + Encryption ✅"]:::gg end subgraph MODES["โหมดการทำงาน"] TRANSPORT["Transport Mode — Host-to-Host"]:::go TUNNEL["Tunnel Mode — Gateway-to-Gateway"]:::go end subgraph IKE["IKE - Internet Key Exchange"] IKEv1["IKEv1 — เก่า ซับซ้อน"]:::gr IKEv2["IKEv2 (แนะนำ) — เร็ว รองรับ MOBIKE"]:::ga end IPSEC --> AH IPSEC --> ESP IPSEC --> TRANSPORT IPSEC --> TUNNEL IPSEC --> IKEv1 IPSEC --> IKEv2 classDef gy fill:#282828,stroke:#d79921,color:#ebdbb2 classDef gb fill:#282828,stroke:#458588,color:#ebdbb2 classDef gg fill:#282828,stroke:#98971a,color:#ebdbb2 classDef go fill:#282828,stroke:#d65d0e,color:#ebdbb2 classDef ga fill:#282828,stroke:#689d6a,color:#ebdbb2 classDef gr fill:#282828,stroke:#cc241d,color:#ebdbb2 </pre> --- ## IKEv2 — Diffie-Hellman Key Exchange <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <mi>g</mi><mo>^</mo><mi>a</mi> <mspace width="0.5em"/> <mtext>mod</mtext> <mspace width="0.5em"/> <mi>p</mi> <mo>=</mo> <mi>A</mi> <mspace width="2em"/> <mtext>(Alice ส่งให้ Bob)</mtext> </mrow> </math> <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <msub><mi>K</mi><mi>shared</mi></msub> <mo>=</mo> <msup><mi>B</mi><mi>a</mi></msup> <mspace width="0.3em"/> <mtext>mod</mtext> <mspace width="0.3em"/> <mi>p</mi> <mo>=</mo> <msup><mi>A</mi><mi>b</mi></msup> <mspace width="0.3em"/> <mtext>mod</mtext> <mspace width="0.3em"/> <mi>p</mi> <mo>=</mo> <msup><mi>g</mi><mrow><mi>a</mi><mi>b</mi></mrow></msup> <mspace width="0.3em"/> <mtext>mod</mtext> <mspace width="0.3em"/> <mi>p</mi> </mrow> </math> - **g** = Generator, **p** = Prime Number ขนาดใหญ่ - **a, b** = Private Keys ของแต่ละฝ่าย - **A, B** = Public Values ที่แลกเปลี่ยนกัน - **K_shared** = Shared Secret ที่ทั้งสองฝ่ายได้เหมือนกัน --- ## ตัวอย่างการคำนวณ Diffie-Hellman ``` g = 5, p = 23 Alice เลือก a = 6: A = 5^6 mod 23 = 15625 mod 23 = 8 Bob เลือก b = 15: B = 5^15 mod 23 = 30517578125 mod 23 = 19 K_shared (Alice) = 19^6 mod 23 = 2 K_shared (Bob) = 8^15 mod 23 = 2 ✅ ทั้งสองฝ่ายได้ K_shared = 2 เหมือนกัน โดยไม่เคยส่ง a=6 หรือ b=15 ผ่านเครือข่าย ``` --- ## SSL/TLS VPN — TLS Handshake <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': {'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#d79921', 'lineColor': '#83a598', 'secondaryColor': '#3c3836'}}}%% sequenceDiagram participant C as 💻 Client participant S as 🔒 VPN Server C->>S: ClientHello (TLS Version, Cipher Suites, Random_C) S->>C: ServerHello (เลือก Cipher Suite, Random_S) S->>C: Certificate (X.509 Public Key) S->>C: ServerHelloDone C->>C: ✅ ตรวจสอบ Certificate C->>S: ClientKeyExchange (Encrypted Pre-Master Secret) C->>S: ChangeCipherSpec + Finished S->>C: ChangeCipherSpec + Finished Note over C,S: 🔐 Session Established C->>S: VPN Data (Encrypted) </pre> --- ## SSL/TLS VPN — การสร้าง Session Key <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <mi>MasterSecret</mi> <mo>=</mo> <mtext>PRF</mtext> <mo>(</mo> <mi>PreMasterSecret</mi> <mo>,</mo> <mspace width="0.3em"/> <msub><mi>Random</mi><mi>C</mi></msub> <mo>+</mo> <msub><mi>Random</mi><mi>S</mi></msub> <mo>)</mo> </mrow> </math> - **PRF** = Pseudo-Random Function (เช่น HMAC-SHA256) - **PreMasterSecret** = ค่าลับที่ Client เข้ารหัสด้วย Public Key ของ Server - **Random_C** = Random Value จาก ClientHello - **Random_S** = Random Value จาก ServerHello **ประเภทของ SSL VPN:** - **Clientless** — ผ่าน Web Browser ไม่ต้องติดตั้ง - **Thin Client** — ใช้ Java/ActiveX Plugin เล็กน้อย - **Full Tunnel** — ติดตั้ง Client ได้ Traffic ทั้งหมด --- ## WireGuard — Cryptographic Primitives <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': {'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#d79921', 'lineColor': '#83a598', 'secondaryColor': '#3c3836'}}}%% flowchart LR subgraph WG_CRYPTO["🔐 Cryptographic Primitives"] C1["Curve25519 - Key Exchange (ECDH)"]:::gy C2["ChaCha20-Poly1305 - Authenticated Encryption"]:::gg C3["BLAKE2s - Hashing"]:::gb C4["SipHash24 - Hashtable Keys"]:::ga C5["HKDF - Key Derivation"]:::go end subgraph WG_SESSION["📡 Session Management"] S1["Noise Protocol - Handshake"]:::gp S2["Static Keys - Long-term Identity"]:::gy S3["Ephemeral Keys - Per-session"]:::gg S4["Session Keys - สำหรับ Data"]:::gb end C1 --> S1 C2 --> S4 C3 --> S1 S1 --> S2 S1 --> S3 S3 --> S4 classDef gy fill:#282828,stroke:#d79921,color:#ebdbb2 classDef gb fill:#282828,stroke:#458588,color:#ebdbb2 classDef gg fill:#282828,stroke:#98971a,color:#ebdbb2 classDef go fill:#282828,stroke:#d65d0e,color:#ebdbb2 classDef ga fill:#282828,stroke:#689d6a,color:#ebdbb2 classDef gp fill:#282828,stroke:#b16286,color:#ebdbb2 </pre> --- ## WireGuard — Session Key (Noise IKpsk2) ใช้ **Noise Protocol Framework** — เพียง **1 Round-Trip** (IKEv2 ต้องใช้ 2 Round-Trip) <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <msub><mi>C</mi><mi>i</mi></msub> <mo>,</mo> <mspace width="0.3em"/> <mi>k</mi> <mo>=</mo> <mtext>HKDF</mtext> <mo>(</mo> <msub><mi>C</mi><mrow><mi>i</mi><mo>-</mo><mn>1</mn></mrow></msub> <mo>,</mo> <mspace width="0.3em"/> <mtext>DH</mtext> <mo>(</mo> <msub><mi>priv</mi><mi>i</mi></msub> <mo>,</mo> <mspace width="0.3em"/> <msub><mi>pub</mi><mi>j</mi></msub> <mo>)</mo> <mo>)</mo> </mrow> </math> - **C_i** = Chaining Key ณ ขั้นตอนที่ i - **HKDF** = HMAC-based Key Derivation Function - **DH(priv_i, pub_j)** = DH ระหว่าง Private Key กับ Public Key ของอีกฝ่าย - **k** = Encryption Key สำหรับขั้นตอนนั้น --- # Modern VPN Solutions --- ## WireGuard — การติดตั้งและสร้าง Key Pairs ```bash # ติดตั้ง WireGuard sudo apt update && sudo apt install -y wireguard wireguard-tools # สร้าง Private Key wg genkey > server_private.key # สร้าง Public Key จาก Private Key wg pubkey < server_private.key > server_public.key # สร้างทั้งคู่พร้อมกัน wg genkey | tee server_private.key | wg pubkey > server_public.key # สร้าง Pre-shared Key (เพิ่มความปลอดภัยอีกชั้น) wg genpsk > preshared.key ``` > ⚠️ **Private Key ต้องเก็บเป็นความลับ** ห้าม commit ลง Git --- ## WireGuard — ข้อมูล Lab ตัวอย่าง | Role | Public IP | WireGuard IP | Port | |---|---|---|---| | Server | 203.0.113.1 | 10.8.0.1/24 | 51820 | | Client Alice | Dynamic | 10.8.0.2/32 | - | | Client Bob | Dynamic | 10.8.0.3/32 | - | ```ini # /etc/wireguard/wg0.conf (Server) [Interface] PrivateKey = sPriv_AAAA... Address = 10.8.0.1/24 ListenPort = 51820 PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; ... PostDown= iptables -D FORWARD -i wg0 -j ACCEPT; ... ``` --- ## WireGuard — Client Configuration (Alice) ```ini # /etc/wireguard/wg0.conf (Client — Alice) [Interface] PrivateKey = aPriv_CCCC... Address = 10.8.0.2/32 DNS = 8.8.8.8 [Peer] PublicKey = sPub_BBBB... Endpoint = 203.0.113.1:51820 # Full Tunnel: 0.0.0.0/0 | Split Tunnel: 10.8.0.0/24 AllowedIPs = 0.0.0.0/0 PersistentKeepalive = 25 ``` --- ## WireGuard — การเปิดใช้งานและตรวจสอบ ```bash # เปิด/หยุด WireGuard Interface sudo wg-quick up wg0 sudo wg-quick down wg0 # ตั้งค่า Auto-start sudo systemctl enable wg-quick@wg0 sudo systemctl start wg-quick@wg0 # ดูสถานะ sudo wg show wg0 ip route show ``` **ตัวอย่าง Output:** ``` interface: wg0 public key: sPub_BBBB... listening port: 51820 peer: aPub_DDDD... endpoint: 198.51.100.50:54321 latest handshake: 2 minutes, 15 seconds ago transfer: 4.56 MiB received, 12.34 MiB sent ``` --- ## Sshuttle — วิธีการทำงาน <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': {'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#d79921', 'lineColor': '#83a598', 'secondaryColor': '#3c3836'}}}%% flowchart TD subgraph CLIENT["💻 Client"] APP["🌐 Application"]:::gb IPTBL["iptables Rules - (สร้างโดย sshuttle)"]:::gy SSHUTTLE["sshuttle Process - (Local Proxy)"]:::gg end subgraph TUNNEL["🔐 SSH Tunnel"] T["SSH Encrypted Channel - Port 22"]:::go end subgraph SERVER["🖥️ SSH Server"] SSH_SRV["SSH Daemon"]:::ga PY["Python Helper - (auto-uploaded)"]:::gg FWD["Forward to Destination"]:::gb end DEST["🌍 Web Server - 10.0.0.20:80"]:::gr APP -->|"1️⃣ TCP"| IPTBL IPTBL -->|"2️⃣ Redirect"| SSHUTTLE SSHUTTLE -->|"3️⃣ SSH"| T T --> SSH_SRV --> PY -->|"4️⃣ Forward"| FWD --> DEST classDef gy fill:#282828,stroke:#d79921,color:#ebdbb2 classDef go fill:#282828,stroke:#d65d0e,color:#ebdbb2 classDef gb fill:#282828,stroke:#458588,color:#ebdbb2 classDef gg fill:#282828,stroke:#98971a,color:#ebdbb2 classDef ga fill:#282828,stroke:#689d6a,color:#ebdbb2 classDef gr fill:#282828,stroke:#cc241d,color:#ebdbb2 </pre> --- ## Sshuttle — ตัวอย่างคำสั่ง ```bash # Route ทุก Traffic ผ่าน SSH sshuttle --dns -r user@ssh-server.example.com 0.0.0.0/0 # Route เฉพาะ Subnet ที่ต้องการ sshuttle -r user@203.0.113.1 10.0.0.0/8 # ใช้ SSH Key และ Port ที่กำหนด sshuttle -r user@203.0.113.1:2222 \ --ssh-cmd "ssh -i ~/.ssh/my_key" 10.0.0.0/8 # ยกเว้น Subnet บางส่วน sshuttle -r user@203.0.113.1 0.0.0.0/0 \ --exclude 192.168.1.0/24 # เปิด VPN แบบ Daemon (Background) sshuttle -r user@203.0.113.1 0.0.0.0/0 \ --daemon --pidfile /tmp/sshuttle.pid ``` --- ## Sshuttle — ข้อดีเทียบกับ VPN ทั่วไป | คุณสมบัติ | Sshuttle | WireGuard / OpenVPN | |---|---|---| | ต้องการ Root บน Server | ❌ ไม่ต้อง | ✅ ต้องการ | | ต้องตั้งค่า VPN Server | ❌ ไม่ต้อง | ✅ ต้องตั้งค่า | | ต้องการ SSH Server | ✅ ต้องการ | ❌ ไม่ต้อง | | ความเร็ว | ⭐⭐ | ⭐⭐⭐⭐⭐ | | ง่ายต่อการใช้งาน | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | | ผ่าน Firewall | ✅ Port 22 | ⚠️ | --- # VPN Security Best Practices --- ## หลักการความปลอดภัย VPN <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': {'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#d79921', 'lineColor': '#83a598', 'secondaryColor': '#3c3836'}}}%% mindmap root(("🔒 VPN Security - Best Practices")) ("🔑 Key Management") ["RSA ≥ 2048 / EC ≥ 256"] ["หมุนเวียน Key สม่ำเสมอ"] ["เก็บ Private Key อย่างปลอดภัย"] ("🔐 Encryption") ["ChaCha20 / AES-256-GCM"] ["หลีกเลี่ยง DES, 3DES, RC4"] ["Perfect Forward Secrecy (PFS)"] ("🛡️ Authentication") ["Multi-Factor Auth (MFA)"] ["Certificate-based Auth"] ("📡 Network & Operations") ["จำกัด Access ด้วย Firewall"] ["Monitor VPN Logs สม่ำเสมอ"] ["อัปเดต VPN Software สม่ำเสมอ"] </pre> --- ## การเลือก Cipher Suite | ระดับ | Key Exchange | Encryption | MAC | |---|---|---|---| | ⭐⭐⭐ สูงสุด | X25519 (Curve25519) | ChaCha20-Poly1305 | BLAKE2s | | ⭐⭐⭐ สูงสุด | ECDH P-384 | AES-256-GCM | SHA-384 | | ⭐⭐ ดี | ECDH P-256 | AES-128-GCM | SHA-256 | | ❌ หลีกเลี่ยง | RSA-1024 | 3DES | MD5 | | ❌ ไม่ปลอดภัย | DH-768 | DES | SHA-1 | --- ## Perfect Forward Secrecy (PFS) **PFS** ทำให้การถอดรหัสข้อมูลในอดีตเป็นไปไม่ได้ แม้จะได้ Private Key ในปัจจุบัน <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <msub><mi>K</mi><mi>session</mi></msub> <mo>=</mo> <mtext>KDF</mtext> <mo>(</mo> <msub><mi>DH</mi><mi>ephemeral</mi></msub> <mo>(</mo> <msub><mi>priv</mi><mrow><mi>A</mi><mo>,</mo><mi>temp</mi></mrow></msub> <mo>,</mo> <msub><mi>pub</mi><mrow><mi>B</mi><mo>,</mo><mi>temp</mi></mrow></msub> <mo>)</mo> <mo>,</mo> <mi>nonce</mi> <mo>)</mo> </mrow> </math> - **KDF** = Key Derivation Function - **DH_ephemeral** = Diffie-Hellman ด้วย Key ชั่วคราว - **priv/pub_temp** = Ephemeral Keys ที่สร้างใหม่ทุก Session - **nonce** = Number Used Once --- ## การตรวจสอบและ Monitoring ```bash # ตรวจสอบ WireGuard Connection sudo wg show all # ดู Log ของ WireGuard sudo journalctl -u wg-quick@wg0 -f # ตรวจสอบ Traffic sudo tcpdump -i wg0 -n # ดู Routing Table ip route show # ทดสอบว่า IP ภายนอกเปลี่ยนแล้ว curl ifconfig.me curl ipinfo.io/ip ``` --- # เปรียบเทียบ VPN Solutions --- ## ตารางเปรียบเทียบ VPN Protocols | คุณลักษณะ | WireGuard | IPSec IKEv2 | OpenVPN | Sshuttle | |---|---|---|---|---| | **ปีเปิดตัว** | 2015 | 1998 | 2001 | 2012 | | **Protocol** | UDP | UDP | UDP/TCP | TCP (SSH) | | **Port** | 51820 | 500, 4500 | 1194 | 22 | | **Encryption** | ChaCha20-Poly1305 | AES-256-GCM | AES-256-GCM | AES-256 (SSH) | | **ความเร็ว** | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐ | ⭐⭐ | | **ตั้งค่าง่าย** | ⭐⭐⭐⭐⭐ | ⭐⭐ | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ | | **Root บน Server** | ✅ | ✅ | ✅ | ❌ | --- ## แผนภาพการเลือก VPN ที่เหมาะสม <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': {'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#d79921', 'lineColor': '#83a598', 'secondaryColor': '#3c3836'}}}%% flowchart TD START["🤔 ต้องการใช้ VPN ประเภทไหน?"]:::gy Q1{"มี SSH Server - ที่เข้าถึงได้?"}:::gb Q2{"ต้องการ - ประสิทธิภาพสูง?"}:::gb Q3{"มี Root Access - บน Server?"}:::gb Q4{"ต้องผ่าน - Firewall เข้มงวด?"}:::gb Q5{"ต้องการ - Enterprise Features?"}:::gb SSHUTTLE["✅ Sshuttle - VPN over SSH"]:::gg WIREGUARD["✅ WireGuard - เร็วที่สุด ทันสมัย"]:::gg OPENVPN_TCP["✅ OpenVPN (TCP 443) - ผ่าน Firewall ได้"]:::ga IPSEC["✅ IPSec IKEv2 - Enterprise Standard"]:::go OPENVPN["✅ OpenVPN - ยืดหยุ่น ทุก Platform"]:::ga START --> Q1 Q1 -->|"ใช่"| SSHUTTLE Q1 -->|"ไม่ใช่"| Q3 Q3 -->|"ไม่มี Root"| Q4 Q3 -->|"มี Root"| Q2 Q2 -->|"ใช่"| WIREGUARD Q2 -->|"ปานกลาง"| Q5 Q4 -->|"เข้มงวดมาก"| OPENVPN_TCP Q4 -->|"ปกติ"| WIREGUARD Q5 -->|"ใช่"| IPSEC Q5 -->|"ไม่"| OPENVPN classDef gy fill:#282828,stroke:#d79921,color:#ebdbb2 classDef gb fill:#282828,stroke:#458588,color:#ebdbb2 classDef gg fill:#282828,stroke:#98971a,color:#ebdbb2 classDef go fill:#282828,stroke:#d65d0e,color:#ebdbb2 classDef ga fill:#282828,stroke:#689d6a,color:#ebdbb2 </pre> --- ## การเปรียบเทียบ VPN Overhead ต่อ Throughput ``` 📊 เปรียบเทียบ VPN Overhead (Base: 1000.0 Mbps) ================================================================= Protocol Overhead Loss % Effective Packets/s ----------------------------------------------------------------- WireGuard (IPv4) 60 B 4.0% 960.0 Mbps 66,667 WireGuard (IPv6) 80 B 5.3% 946.7 Mbps 66,667 OpenVPN (UDP) 66 B 4.4% 956.0 Mbps 66,667 IPSec ESP (IPv4) 58 B 3.9% 961.3 Mbps 66,667 ----------------------------------------------------------------- ✅ Overhead น้อยสุด: IPSec ESP (IPv4) — 961.33 Mbps ``` --- ## เปรียบเทียบ Latency ของ VPN Protocols ``` Scenario Avg Latency Jitter Overhead --------------------------------------------------------------- ก่อนเชื่อม VPN (Direct) 15.2 ms 2.1 ms baseline WireGuard VPN 17.8 ms 2.4 ms +2.6 ms OpenVPN (UDP) 22.5 ms 4.2 ms +7.3 ms Sshuttle 28.3 ms 6.1 ms +13.1 ms ``` - **WireGuard** มี Latency เพิ่มน้อยที่สุด (+2.6 ms) - **Sshuttle** มี Jitter สูงสุด เนื่องจาก TCP over TCP - **IPSec ESP** มี Overhead ต่ำสุดในแง่ Throughput --- # สรุปโดยรวม --- ## สรุปสิ่งที่ได้เรียนรู้ <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': {'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#d79921', 'lineColor': '#83a598', 'secondaryColor': '#3c3836'}}}%% flowchart TD subgraph CONCEPTS["📚 แนวคิดหลัก"] C1["🌐 VPN คืออะไร? - Tunnel เสมือนบน Internet"]:::gy C2["📡 ประเภท VPN - Site-to-Site / Remote Access"]:::gy C3["🔐 Tunneling - Encapsulation + MTU"]:::gy end subgraph PROTOCOLS_LEARNED["🛡️ Protocols ที่ศึกษา"] P1["IPSec IKEv2 + ESP - Enterprise Standard"]:::gb P2["SSL/TLS VPN - Port 443 Clientless"]:::gb P3["WireGuard - ทันสมัย เร็ว Kernel-level"]:::gg end subgraph TOOLS_USED["🔧 เครื่องมือที่ใช้"] T1["wg / wg-quick - จัดการ WireGuard"]:::go T2["sshuttle - VPN over SSH"]:::go end subgraph SECURITY["🔒 Security"] S1["Perfect Forward Secrecy"]:::ga S2["ChaCha20 / AES-256-GCM"]:::ga S3["MFA + Monitoring"]:::ga end CONCEPTS --> PROTOCOLS_LEARNED PROTOCOLS_LEARNED --> TOOLS_USED TOOLS_USED --> SECURITY classDef gy fill:#282828,stroke:#d79921,color:#ebdbb2 classDef gb fill:#282828,stroke:#458588,color:#ebdbb2 classDef gg fill:#282828,stroke:#98971a,color:#ebdbb2 classDef go fill:#282828,stroke:#d65d0e,color:#ebdbb2 classDef ga fill:#282828,stroke:#689d6a,color:#ebdbb2 </pre> --- ## ข้อสรุปสำคัญ - 🟢 **WireGuard** — ตัวเลือกที่ดีที่สุดสำหรับกรณีทั่วไป เร็ว ปลอดภัย ตั้งค่าง่าย - 🟡 **Sshuttle** — เหมาะเมื่อมี SSH Server ต้องการ VPN รวดเร็วโดยไม่ตั้งค่า Server - 🔵 **IPSec IKEv2** — มาตรฐาน Enterprise โดยเฉพาะ Mobile VPN Client - 🔴 **ควรเปิดใช้ PFS เสมอ** เพื่อป้องกันการถอดรหัสข้อมูลในอดีต **เอกสารอ้างอิงสำคัญ:** - WireGuard Paper: https://www.wireguard.com/papers/wireguard.pdf - RFC 7296 — IKEv2: https://www.rfc-editor.org/rfc/rfc7296 - NIST SP 800-77 Rev.1 — Guide to IPsec VPNs - Noise Protocol Framework: https://noiseprotocol.org/noise.html --- # คำถาม - ข้อสงสัย <img src="/revealjs/pics/Designer.png" width="55%" />