Contact
Line : comsiam
Site-to-Site VPN (S2S VPN) เป็นวิธีเชื่อมต่อเครือข่ายระหว่างสำนักงานใหญ่ สาขา หรือ Data Center เข้ากับ Azure ผ่านช่องทางที่เข้ารหัส ทำให้ Windows Server 2025 และระบบต่าง ๆ สามารถสื่อสารกันได้อย่างปลอดภัยราวกับอยู่ในเครือข่ายเดียวกัน
สำหรับองค์กรที่เริ่มใช้งาน Hybrid Cloud Site-to-Site VPN ถือเป็นเทคโนโลยีพื้นฐานที่สำคัญที่สุด เพราะช่วยให้สามารถใช้งาน Active Directory, File Server, Database และ Application ร่วมกันได้โดยไม่ต้องเปิดบริการสำคัญออกสู่อินเทอร์เน็ต
หลายองค์กรเริ่มต้น Hybrid Infrastructure ด้วย Site-to-Site VPN ก่อนที่จะขยายไปสู่ ExpressRoute ในอนาคต
① Site-to-Site VPN คืออะไร
Site-to-Site VPN คือการสร้าง
Encrypted Tunnelระหว่าง
สำนักงานใหญ่
↔
Azureโดยเชื่อมต่อทั้งเครือข่าย
ไม่ใช่เฉพาะเครื่องใดเครื่องหนึ่ง
② Site-to-Site VPN ทำงานอย่างไร
ตัวอย่าง
192.168.1.0/24
│
สำนักงานใหญ่
│
VPN Tunnel
│
Azure VPN Gateway
│
10.10.0.0/16เครื่องทุกเครื่องสามารถสื่อสารกันได้
ผ่าน Tunnel ที่เข้ารหัส
③ ข้อดีของ Site-to-Site VPN
ข้อดีสำคัญ
- ปลอดภัย
- รองรับ Hybrid Cloud
- เชื่อมทั้งเครือข่าย
- รองรับหลายสาขา
- ต้นทุนต่ำกว่า ExpressRoute
- ใช้งานร่วมกับ Windows Server 2025 ได้ดี
④ Site-to-Site VPN เหมาะกับใคร
เหมาะสำหรับ
- องค์กรที่มีสำนักงานใหญ่
- องค์กรที่มีหลายสาขา
- ผู้ใช้งาน Azure VM
- ระบบ Active Directory
- File Server
- ERP System
⑤ สิ่งที่ต้องเตรียม
ก่อนเริ่ม
ต้องมี
- Azure Subscription
- Azure Virtual Network
- VPN Router หรือ Firewall
- Public IP
ตัวอย่างอุปกรณ์
- MikroTik
- FortiGate
- Cisco
- Sophos
- pfSense
⑥ วางแผน IP Address
ตัวอย่าง
สำนักงานใหญ่
192.168.1.0/24Azure
10.10.0.0/16ต้องไม่ซ้ำกัน
⑦ สร้าง Azure Virtual Network
ใน Azure Portal
สร้าง
Virtual Networkสำหรับระบบ Cloud
⑧ สร้าง GatewaySubnet
ภายใน Virtual Network
สร้าง Subnet ชื่อ
GatewaySubnetAzure VPN Gateway จะใช้งาน Subnet นี้
โดยเฉพาะ
⑨ สร้าง Public IP
Azure VPN Gateway
ต้องใช้
Public IPสำหรับรับการเชื่อมต่อจากสำนักงานใหญ่
⑩ สร้าง Virtual Network Gateway
ค้นหา
Virtual Network Gatewayเลือก
Createกำหนด
- VPN
- Route-Based
- Public IP
- VNet
⑪ สร้าง Local Network Gateway
กำหนดข้อมูลฝั่งสำนักงานใหญ่
เช่น
Public IP Routerและ
192.168.1.0/24เพื่อให้ Azure รู้จักเครือข่ายภายในองค์กร
⑫ สร้าง Connection
ภายใน VPN Gateway
เลือก
Connectionsแล้วสร้าง
Site-to-Site Connection⑬ กำหนด Shared Key
สร้าง
Pre-Shared Keyตัวอย่าง
MyStrongVPNKey123!ต้องกำหนดเหมือนกันทั้งสองฝั่ง
⑭ ตั้งค่า VPN Router
บน Router หรือ Firewall
กำหนด
- Azure Public IP
- Shared Key
- Local Network
- Remote Network
ให้ตรงกับ Azure
⑮ ตรวจสอบสถานะ Connection
ใน Azure Portal
สถานะควรเป็น
Connectedหากขึ้น
Not Connectedควรตรวจสอบการตั้งค่า
⑯ ทดสอบการเชื่อมต่อ
จาก Azure VM
ทดสอบ
ping 192.168.1.10หรือจากสำนักงานใหญ่
ping 10.10.0.4เพื่อยืนยันว่า VPN ทำงานปกติ
⑰ ใช้งาน Active Directory
เมื่อเชื่อมต่อแล้ว
Azure VM สามารถ
- Join Domain
- ใช้ DNS
- ใช้ Group Policy
จากสำนักงานใหญ่ได้
⑱ ใช้งาน File Server
สามารถเข้าถึง
\\fileserver\shareผ่าน VPN ได้
เหมือนอยู่ในสำนักงานเดียวกัน
⑲ ปัญหาที่พบบ่อย
VPN ไม่เชื่อมต่อ
ตรวจสอบ
- Shared Key
- Public IP
- Firewall
Ping ไม่ผ่าน
ตรวจสอบ
- Route Table
- Windows Firewall
Join Domain ไม่ได้
ตรวจสอบ DNS
Network ซ้ำ
เปลี่ยน Subnet
ให้ไม่ซ้ำกัน
⑳ Site-to-Site VPN vs Point-to-Site VPN
| รายการ | Site-to-Site | Point-to-Site |
|---|---|---|
| เชื่อมทั้งเครือข่าย | ✔ | ✖ |
| เชื่อมผู้ใช้รายบุคคล | ✖ | ✔ |
| เหมาะกับองค์กร | ✔ | ปานกลาง |
| รองรับหลายสาขา | ✔ | ✖ |
องค์กรส่วนใหญ่นิยม Site-to-Site VPN
มากกว่า
㉑ Best Practices
แนวทางที่แนะนำ
- ใช้ Route-Based VPN
- ใช้ Shared Key ที่ซับซ้อน
- ใช้ IP ไม่ซ้ำกัน
- จำกัด Firewall Rule
- ตรวจสอบ VPN Health สม่ำเสมอ
- เตรียม VPN สำรองสำหรับระบบสำคัญ
แนวทางเหล่านี้ช่วยให้ Hybrid Infrastructure มีความเสถียรและปลอดภัย
㉒ สรุป
Site-to-Site VPN เป็นวิธีเชื่อม Azure และเครือข่ายภายในองค์กรเข้าด้วยกันผ่าน Tunnel ที่เข้ารหัส ช่วยให้ Windows Server 2025 สามารถใช้งาน Active Directory, File Server, Database และ Application ร่วมกับระบบ On-Premise ได้อย่างปลอดภัย รองรับการสร้าง Hybrid Cloud ในระดับองค์กรอย่างมีประสิทธิภาพ
comsiam มองว่า Site-to-Site VPN เป็นจุดเริ่มต้นที่ดีที่สุดสำหรับองค์กรที่ต้องการเข้าสู่ Azure เพราะลงทุนไม่สูง ติดตั้งไม่ซับซ้อน และรองรับการใช้งานจริงได้หลากหลายรูปแบบ
㉓ คำถามชวนคิด
หากวันนี้ Azure และสำนักงานใหญ่ของคุณยังทำงานแยกกันคนละโลก คุณจะปล่อยให้ทีม IT จัดการสองระบบแยกกันต่อไป หรือเชื่อมทั้งสองฝั่งเข้าด้วย Site-to-Site VPN เพื่อให้ทำงานเป็นระบบเดียวกัน?
