คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS

Your Network Solutions with MikroTik

SONTAYA PHOTIBUT
sontaya@susethailand.com
http://www.susethailand.com
http://www.suse.in.th
การอนุญาต (License)
ห้ามพิมพ์จัดจำาหน่ายหรือแจกจ่ายโดยไม่ได้รับอนุญาตจากผู้เขียน และห้ามทำาการแชร์คู่มือในรูปแบบต่างๆ เช่น
การอัพโหลดไฟล์ไปเก็บไว้ยังบริการฟรีแชร์ไฟล์บนเซิร์ฟเวอร์ต่างๆ
คูม่ ือนี้ไม่ได้ใช้สัญญาอนุญาตศรีเอทีฟคอมมอนส์ ถ้าตรวจสอบว่าผูใ้ ดกระทำาผิดบุคคลนั้นยอมมีความผิดตามพ
ระราชบัญญัติว่าด้วยการกระทำาผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

คำาปฏิเสธ (Disclaimer)
ผู้เขียนไม่รับประกันว่าข้อมูลในคู่มือเล่มนี้จะยังคงทำางานร่วมกับซอฟต์แวร์เวอร์ชัน และอุปกรณ์รุ่นใหม่ในอนาคต
ได้หรือไม่

เครื่องหมายการค้า (Trademark)
MikroTik ®, RouterOS ®, RouterBOARD ® เป็นชื่อเครื่องหมายการค้าของบริษัท MikroTik ที่ได้จดทะเบียน
แล้ว และชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดในคู่มือเล่นนี้เป็นเครื่องหมายการค้าของบริษัทผู้ผลิตซอฟต์แวร์นั้น
RouterOS เป็นซอฟต์แวร์เราติ้ง (routing software) ทำางานอยู่บนแพลตฟอร์มฮาร์แวร์ของ MikroTik
RouterBOARD เป็นฮาร์แวร์แพลตฟอร์มของ MikroTik
 บทนำา

MikroTik อ่านออกเสียงว่า “ไม่โครติ๊ก” เป็นบริษัทอยู่ในกรุงรีกา (Riga) เมืองหลวงของลัตเวีย หรือชื่อทางการคือ สา

ธารณาลัตเวีย (Latvian) เป็นเมืองที่ใหญ่ที่สุดในบรรดาเมืองที่อยู่ในกลุ่มรัฐบอลติก MikroTik ก่อตั้งขึ้นในปี 1995 เป็น
ประเทศในภูมิภาคยุโรปหนือ มีอาณาเขตติดต่อกับอีก 2 รัฐบอลติก คือ เอสโตเนียทางทิศเหนือ และลิทัวเนียทางทิศใต้
ลัตเวียมีอณาเขตทางทะเลติดต่อกับสวีเดน MikroTik เป็นบริษัทผู้ผลิต RouterOS และเป็นผู้ให้บริการระบบอินเทอร์เน็ต
ไร้สาย ( Wireless ISP) MikroTik ถือเป็นบริษัทที่มีการเจริญเติบโตอย่างรวดเร็ว ด้วยประสิทธิภาพระบบ ร่วมถึงการ
ทำางานของซอฟต์แวร์และฮาร์ดแวร์ได้อย่างเต็มรูปแบบ
ในปี 2002 MikroTik ได้ผลิตฮาร์ดแวร์ขึ้นมาเป็นแบรนด์ของตัวเองชื่อ RouterBOARD ปัจจุบันมีตัวแทนจำาหน่าย
และลูกค้าอยู่ทั่วโลก และยังคงเดินหน้าพัฒนาการออกแบบ RouterBOARD ต่อไป พร้อมกำาหนดเป้าหมายที่ชัดเจนคือ
สำาหรับบริษัทขนาดเล็ก WISPS (Wireless Internet Service Providers) และบริษัทที่เป็นผู้ให้บริการโครงข่ายอินเทอร์เน็ต
(ISP: Internet Service Providers) ด้วยคุณสมบัติของฮาร์ดแวร์ชิ้นเดียวที่มีประสิทธิภาพสูง, ขนาดเล็ก, ฟีเจอร์ฟังก์ชั่นคร
บเต็มรูปแบบและง่ายต่อการติดตั้งพร้อมใช้งานได้ง่าย

เป้าหมายของคู่มือเล่มนี้
– มีความเข้าใจเกี่ยวกับฮาร์ดแวร์แพลตฟอร์ม MikroTik RouterBOARD และระบบปฎิบัติการ RouterOS
– สามารถเรียนรู้การตั้งค่าเปิดให้บริการเซอร์วิสต่างๆ ได้
– สามารถอิมพลีเม้นท์และออกแบบซูโลชันได้

เกี่ยวกับคู่มือเล่มนี้
คูม่ ือเล่มนี้ผู้เขียนได้เรียบเรียงจากต้นฉบับหนังสือ RouterOS by Example ผู้แต่ง คือ Stephen R.W Discher ซึ่งเขาเขียน
ขึ้นมาเพื่อใช้เป็นคู่มือในการสอนคอร์ส MTCNA (MikroTik Certified Network Associate) ดังนั้นคู่มือเล่มนี้จึงไม่ใช้
หนังสือที่เขียนลงลึกถึงรายละเอียดฟีเจอร์ต่างๆ หากต้องการทราบถึงรายละเอียดต่างๆ ผู้อ่านสามารถศึกษาเพิ่มเติมได้
ทางออนไลน์ที่เว็บไซต์ของผู้ผลิต MikroTik

ผู้อ่านจะสามารถเข้าใจถึงคุณสมบัติพื้นฐาน และตัวอย่างการคอนฟิกอุปกรณ์ MikroTik ว่าสามารถนำาไปอิมพลีเมน้ท์ซู

โลชั่นแบบไหนได้บ้าง เนื่องจาก MTCNA เป็นใบรับรองแรกที่ทาง MikroTik เปิดสอนและอบรมอยู่ ผูเ้ ขียนไม่ได้เขียนคู่เล่ม
นี้โดยการแปลกตรงจากหนังสือ RouterOS by Example แต่ใช้เป็นหนังสืออ้างอิจในการเขียนคู่มือเล่มนี้ โดยการเขียนจะ
เลือกใช้ภาษาที่อ่านเข้าใจง่าย พร้อมรูปภาพประกอบในการคอนฟิกในแต่ละ่ ตัวอย่าง
ทำาความรู้จัก Mikrotik (ไมโครติ๊ก), RouterOS และ RouterBOARD

RouterOS เป็นซอฟต์แวร์เราติ้ง (routing software) ทำางานอยู่บนแพลตฟอร์มฮาร์แวร์ของ MikroTik RouterBOARD,

embedded device (ระบบปฏิบัติการแบบฝังตัว), คอมพิวเตอร์เสมือน (virtual machine) และสามารถติดตัง้ บนเครื่อง
คอมพิวเตอร์ทัวไป (แพลตฟอร์ม x86) เพื่อทำาหน้าที่เป็นเครื่องเราท์เตอร์ซึ่งมีฟีเจอร์ที่หลากหลาย เช่น การกำาหนดเส้นทาง
(routing), การจำากัดแบนด์วดิ ท์หรือการจำากัดปริมาณ (bandwidth shaper), wireless access point, hotspot
gateway, VPN server, transparent packet filter ฯลฯ

RouterOS จึงเป็นระบบปฏิบัติการแบบสแตนอโลน (standalone) ที่พัฒนาบนพื้นฐานลินุกซ์เคอร์เนล (Linux kernel)

สามารถติดตั้งเป็นคอมพิวเตอร์เสมือนบน Vmware ESX หรือบน Parallels ใน Mac OS X

RouterBOARD เป็นแพลตฟอร์มฮาร์แวร์ผลิตขึ้นโดยบริษัท MikroTik ที่รันด้วยระบบปฏิบตั ิการ RouterOS โดยเป็นผลิต

ภัณฑ์เราท์เตอร์ที่เหมาะกับผู้ใช้ตามบ้าน (small home router) ในการให้บริการ แต่ถ้ามีงบประมาณและต้องการฟีเจอร์ที่
สูงเราก็สามารถเลือกซื้อ MikroTik หรือ RouterOS ให้รองรับกับการใช้งานอย่างเหมาะสมได้

RouterBOARD ได้รับการออกแบบแยกกลุ่มพื้นฐานได้ 2 กลุ่ม นั้นคือ แบบเคสอินทิเกรด กับแบบที่เป็นเมนบอร์ด โดยรุ่น

เล็กที่สุดที่ได้รับความนิยม คือ RB750 และ RB751U-2HnD เป็นเราท์เตอร์รุ่นที่เหมาะสมกับการใช้งานสำาหรับออฟิศ
ขนาดเล็ก หรือใช้งานตามบ้าน โดยมีคุณสมบัติเป็นทั้ง Internet gateway, firewall, VPN หรือแม้กระทั้ง wireless
access point

รุ่น RB750

RB ย่อมาจาก RouterBOARD
7 หมายความว่า อุปกรณ์ในตระกูล 700 series
5 หมายความว่าจำานวนอิเทอร์เน็ตพอร์ต
0 หมายความว่าไม่มีอินเตอร์เฟซแบบไร้สาย (wireless
interface), ไม่มีอินทิเกรดการ์ดไร้สาย (wireless card)
หรือ mini PCL slot

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 6/ 176

 รุ่น RB751U-2HnD

RB ย่อมาจาก RouterBOARD
7 หมายความว่า อุปกรณ์ในตระกูล 700 series
5 หมายความว่าจำานวนอิเทอร์เน็ตพอร์ต
1 หมายความว่า 1 อินเตอร์เฟซแบบไร้สาย, 1 USB พอร์ต
U หมายความว่า กำาหนดสัญลักษณ์อักษรตัว U เพื่อบอก
ว่ามีพอร์ต USB จำานวน 1 พอร์ต
2H หมายความว่า ใช้ย่ายความถี่ 2 GHz
n หมายความว่า มาตรฐานเครือข่ายไร้สายความเร็วสูง
หรือ IEEE 802.11n (พร้อมรับรองมาตรฐาน 802.11b/g
ในตัว)
D หมายความว่า กำาหนดสัญลักษณ์อักษรตัว D เพื่อบอก
ว่ามีเสาอากาศ 1 คู่ (2 เสา)

(เป็นเราท์เตอร์บอร์ดรุ่นที่มีไวเลสในตัว)

ส่วนรุ่นใหญ่สดุ ในปัจจุบันพร้อมประสิทธิภาพสูงสุดในการทำางาน รองรับการทำางานแบบหลายคอร์ CPU ก็จะเป็น

RouterBOARD รุ่น CCR1036-12G-4S เป็น MikroTik คอร์เราท์เตอร์ในระบบอินฟราสตรัคเจอร์คลาวด์หรือทำางานเป็น
Internet Gateway เร้าเตอร์ สำาหรับผู้ให้บริการอินเทอร์เน็ตขนาดใหญ่ (ISP)

- 36 คอร์ CPU, หน่วยความจำา 4GB

- รองรับถึง 24 ล้านแพกเก็ตต่อวินาที
- ขนาดอุปกรณ์ 1U Rackmount
- 4 พอร์ต SFP
- 12 พอร์ตกิกะบิตอีเธอร์เน็ต

หลังจากที่แนะนำากลุ่มแรกที่เป็นแบบเคสอินทิเกรด ต่อไปเรามาพูดถึงส่วนที่เป็นแบบฮาร์แวร์บอร์ดกันบ้าง กล่าวไปแล้วว่า

Mikrotik RouterOS ทำางานบนอุปกรณ์ฮาร์แวร์ Mikrotik RouterBOARD และยังสามารถติดตั้งบนเครื่องคอมพิวเตอร์ที่
เป็นแพลตฟอร์ม x86 ได้
รุ่น RB411 รุ่น RB800

เมนบอร์ดอุปกรณ์เหล่านี้สามารถที่จะปรับแต่งโดยการเพิ่มการ์ดไร้สายได้ (wireless mini PCI card) โดยให้เหมาะสมกับ

การทำางานทั้งในแบบในบริการอินเทอร์เน็ตไร้สายภายในสำานักงาน (Indoor) หรือภายนอกอาคารสำานักงาน (Outdoor)
ซึ่งทาง MikroTik ผู้ผลิตจะตกแต่งเคสแบบ outdoor ให้มีความทนต่อฝนและแดดอย่างเป็นพิเศษสำาหรับใช้กระจ่าย
สัญญาณอินเทอร์เน็ตไร้สาย (wireless access point) และอุปกรณ์มีความยืดยุ่น และค่าใช้จ่ายจะอยู่ระหว่าง $49 ถึง
$350 เหรียญสหรัฐ หรือประมาณ 1,500- 10,500 บาท ในสายผลิตภัณฑ์ RB800

จากที่ได้อธิบายไว้ก่อนหน้านี้แล้ว ในรายละเอียดและความสามารถของผลิตภัณฑ์ ที่นีจะอธิบายถึงรหัสหมายเลขซีเรียล

รุ่นของผลิตภัณฑ์ (มียกเว้นเล็กน้อยสำาหรับผลิตภัณฑ์เก่า)

ตัวเลขหลักแรก - หมายเลขซีเรียล เช่น 4xx, 7xx, 8xx, 11xx และ 12xx

ตัวเลขหลักที่สอง – หมายเลขซีเรียล เช่น 750 ตัวเลขจะระบุถึงจำานวนอีเธอร์เน็ตพอร์ต

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 8/ 176

ตัวอักษรที่ระบุอยู่ในหมายเลขรุ่น
A – อุปกรณ์รุ่นที่เป็น wireless มาพร้อมกับใบอนุญาตระดับที่ 4 (RouterOS License: Level 4)
U – อุปกรณ์รุ่นที่สนับสนุน USB พอร์ต และมาพร้อมกับ 1 USB พอร์ต
AH – อุปกรณ์รุ่นที่มีความเร็ว CPU สูง และหน่วยความจำา RAM ที่เพิ่มเติม (additional RAM)
2 – อุปกรณ์รุ่นที่มี wireless อินเตอร์เฟซรองรับย่ายความถี่ 2 GHz
5 – อุปกรณ์รุ่นที่มี wireless อินเตอร์เฟซรองรับย่ายความถี่ 5 GHz
N – อุปกรณ์รุ่นที่รองรับมาตรฐานเครือข่ายไร้สายความเร็วสูง มาตรฐาน IEEE 802.11n
H – สำาหรับอุปกรณ์ wireless ที่มีกำาลังส่งสูง (high RF power)
G – อุปกรณ์รุ่นที่เป็นกิกะบิตอีเธอร์เน็ตพอร์ต
L – อุปกรณ์รุ่นราคาประหยัด (low cost)
D – สำาหรับอุปกรณ์ wireless ที่มีเสารอากาศแบบคู่ (2 RF ทั้งการรับและส่งสัญญาณ)
P – อุปกรณ์ที่รองรับมาตราฐาน IEEE 802.3af หรือ PoE (Power over Ethernet) คือการส่งสัญญาณและพลังงานผ่าน
สายเคเบิล

ผลิตภัณฑ์ของ MikroTik มีมากกว่า 40 บอร์ด ดังนั้นเราสามารถที่จะเลือกบอร์ดรุ่นต่างๆ ในการอินทิเกรดระบบได้อย่าง

เหมาะสม และสามารถที่จะปรับแต่งคุณสมบัติของอุปกรณ์ได้ เช่น เพิ่มฟีเจอร์ หรือส่วนประกอบ (component) ที่
RouterBOARD รองรับ

สรุปเปรียบเทียบจุดเด่นและจุดด่อย RouterBOARD กับ RouterOS

ในเมื่อ RouterOS ติดตัง้ บนคอมพิวเตอร์พีซีก็ได้แล้วเราจะซื้อ RouterBOARD ทำาไม?

จุดเด่น
1. RouterBOARD ได้รับการออกแบบให้ทำางานร่วมกับ RouterOS โดยเฉพาะดังนั้นอุปกรณ์ MikroTik ซึ่งมีความ

เสถียรสูงกว่าคอมพิวเตอร์พีซี หรือคอมพิวเตอร์เซิร์ฟเวอร์
2. RouterBOARD ใช้พลังงานไฟฟ้าน้อยกว่าเครื่องคอมพิวเตอร์พีซี หรือคอมพิวเตอร์เซิร์ฟเวอร์ที่จะติดตั้ง

RouterOS
3. RouterOS ถ้าไดรฟ์ฮาร์ดดิกส์เครื่องเซิร์ฟเวอร์เสียไม่สามารถใช้ได้ หรือทำาการ ฟอร์แมทฮาร์ดดิกส์จะต้องสั่งซื้อ

ไลเซ็นต์ใหม่เท่านั้น เพื่อแอคทีฟ (หรือขอย้ายไลเซนต์ไปยังเครื่องอื่น แต่ก็มีค่าใช้จ่ายอยู่ดี) แต่ถ้าเป็น

RouterBOARD สามารถใช้แบ็คอัพคอนฟิกแทนที่ MikroTik ตัวใหม่ได้เลย
จุดด่อย
1. RouterBOARD ไม่มีที่เก็บข้อมูล (storage) ที่มีความจุมากเหมือนเทียบกับคอมพิวเตอร์
2. ในการเก็บล็อกไฟล์ (log) ต่างๆ จึงต้องอาศัยการโยนล็อกไฟล์ (Log forward) ไปยังเครื่องเซิร์ฟเวอร์ (Log
Server) หรือ external storage box แทน

บทที่ 1 - เริ่มต้นใช้งานไมโครติ๊ก (First Time Access)

เรามาดูว่าหลังจากที่เราติดตั้งซอฟต์แวร์ RouterOS หรือที่เป็นแพลตฟอร์ม RouterBOARD แล้วเราจะเริ่มต้นใช้งานมัน

อย่างไร เครื่องมือในการเข้าถึงและคอนฟิกอุปกรณ์ไมโครติ๊ก มีหลายวิธดี ้วยกันไม่ว่าจะผ่านทาง WinBox (GUI,
graphical user interface), Webfix (ทางเว็บเบาร์เซอร์ ผ่านโปรโตคอล HTTP) และ command line (ผ่านทาง serial
console, โปรแกรม telnet หรือ SSH) และร่วมไปถึงการเขียนโปรแกรมควบคุมอุปกรณ์ ติดต่อผ่านทาง API ของ
RouterOS

WinBox

WinBox คือโปรแกรมที่รันบนแพลตฟอร์มวินโดว์ส เป็นเครื่องมือที่ช่วยให้เราสามารถคอนฟิกอุปกรณ์ RouterOS ได้อย่าง

สะดวกและรวดเร็ว WinBox เป็นโปรแกรมทำางานบนเครื่องแบบสแตนอโลน (standalone executable) สามารถดาว์น
โหลดโปรแกรมได้ที่ http://www.mikrotik.com/download และหลังจากดาว์นโหลดมายังเครื่องคอมพิวเตอร์เสร็จแล้ว การ
เปิดใช้งานเราเพียงดับเบิลคลิกไฟล์ที่โหลดมา โปรแกรมก็จะเปิดขึ้นมาพร้อมให้เราล็อคอินเข้าคอนฟิก RouterOS โดย
ทันที

การเชื่อมต่อไปยังอุปกรณ์ Mikrotik ผ่านโปรแกรม WinBox สามารถติดต่อได้ผ่านทั้งทางไอพีแอดเดรส และ MAC

แอดเดรส ดังรูป

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 10/ 176

 ค่าดีฟอลต์ของ MikroTik (BR750) จะเป็น username: admin และไม่มี password แล้วคลิกปุ่ม Connect

กำาลังโหลดปลั๊กอิน

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 12/ 176

Navigating WinBox

เนวิเกเตอร์บน WinBox เป็นเหมือนป้ายบอกทางเมนูหน้าต่างใช้งานใน WinBox ปุ่มเมนูต่างๆ จะอยู่ด้านซ้ายของหน้าต่าง

และเมื่อคลิกเลือกที่ปุ่มเมนู ตัวอย่าง เช่น IP มันจะเปิดเป็นเมนูย่อยแสดงขึ้นมา (sub-menu) ดังรูป

และเมื่อเราคลิกเครื่องหมาย (+) มันจะเปิดอีกหน้าต่างขึ้นมา ดังรูป โดยจะมีปุ่มเมนูควบคุมอยู่ด้านขวาของหน้าต่าง

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 14/ 176

เราจะเห็นได้ว่าหน้าต่างที่เปิดขึ้นมาทั้งหมดจะบอกเราได้ว่าเรากำาลังคอนฟิกอยู่ที่เมนูไหนของ WinBox

Inside WinBox

ภายใน WinBox แต่ล่ะฟังก์ชันซึ่งประกอบด้วยองค์ประกอบเหล่านี้คือ

เพิ่มอีลิเมนต์ใหม่
ลบอีลิเมนต์จากลิสต์
เปิดใช้งานอีลิเมนต์
ปิดการใช้งานอีลิเมนต์
เพิ่มคอมเมนต์ในอีลิเมนต์
 ฟิลเตอร์ลิสต์ที่ต้องการ
ต่อไปเรามาดูข้อความที่ขึ้นตัวสีต่างๆ เวลาเราใส่ข้อมูลหรือระบุออบชันเข้าไปผิด เช่น สีแดง, สีฟ้า และตัวหนา

สีแดง – ออบชันที่ใส่เข้าไปผิด เช่น เมื่อคอนฟิก DHCP เซิร์ฟเวอร์ บนอินเทอร์เฟต์หลัก แล้วเราลบอินเตอร์เฟซนั้นจะขึ้นสี

แดง หรือไปเพิ่มอินเตอร์เฟซเป็นบริดโหมด (bridge interface) หรืออีกตัวอย่างที่จะปรากฎก็ คือ เมื่อทำาการสร้างกฏ
ไฟร์วอลล์ (firewall rule) ขึ้นมาแล้วกลับไปทำาการลบอินเตอร์เฟซ กฎข้อนี้ที่สร้างขึ้นบนไฟร์วอลล์ก็จะเป็นสีแดง

สีฟ้า – ถ้ามีการสร้างเส้นทางสองเส้นทางที่มีปลายทางเดียวกัน เส้นทางที่ทำางานอยู่ (active route) จะเป็นสีดำาและเส้น

ทางที่ไม่ได้ใช้งาน (inactive route) จะเป็นสีฟ้า

ตัวหนา – บนอินเตอร์เฟซที่เป็น wireless รายการที่เป็นตัวหนาจะถือเป็นช่องมาตรฐานสำาหรับการควบคุมกฏระเบียบของ

โดเมนนั้น

และคุณสมบัติอีกอย่างที่ผู้ใช้อาจจะสับสนกับการใช้งานก็ คือ กล่องเหลี่ยมขนาดเล็กที่ปรากฏอยู่ข้างหน้าช่องที่จะกำาหนด

ค่าคอนฟิก การใช้งานคุณสมบัตินี้เป็นแบบเซ็กบอกซ์ คือ ต้องไม่คลิกเลือกที่กล่อง [] กับเลือกซึ่งจะแสดงเป็นเครื่องหมาย
อัศเจรีย์ [ !]
เช่น ตัวอย่างการสร้างกฏไฟร์วอลล์

จากรูป เมื่อยกเลิกเซ็กบอกซ์ที่กล่องกฏไฟร์วอลล์นี้จะถูกนำามาใช้ตามที่เราสร้างกฏไว้ แต่ถ้าคลิกเลือกเซ็คบอกซ์

ค่าที่เรากำาหนดในช่องว่างถัดไปจะหมายความว่า “ไม่ใช่” อธิบาย คือ ต้นทางไอพีแอดเดรส 192.168.250.1 (source

address) จะไม่อยู่ในกฏข้อนี้ ดังนั้นต้องระวังอย่างยิ่งในการใช้คุณสมบัตินี้

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 16/ 176

Safe Mode

อีกหนึ่งความสามารถของ RouterOS บนอุปกรณ์ MikroTik นั้นก็ คือ ฟีเจอร์เซฟโหมด Safe Mode คืออะไร? โหมดที่
สามารถเปลี่ยนแปลงการตั้งค่ากลับมาเป็นการตั้งค่าเดิมได้ เมื่อทำาการรีบูตอุปกรณ์ (ง่ายๆ ก็ คือ โหมดที่ไม่มีการบันทึก
การตัง้ ค่าจริง) สำาหรับการใช้งานเซฟโหมดโปรแกรม WinBox ต้องเป็นเวอร์ชั่น 5 ขึ้นไป หรือเรียกใช้งานผ่าน command
line

ข้อดีก็ คือ เราสามารถที่จะทดสอบการเปลี่ยนแปลงการตั้งค่าได้ทันที เมื่อกดปุ่ม save หรือ apply เป็นโหมดที่เหมาะกับ

การเริ่มต้นใช้งานเริ่มแรก เพราะถ้าหากมีการเปลี่ยนแปลงการตั้งค่าผิดผลาดแล้วไม่สามารถติดต่อสื่อสารไปยังเราท์เตอร์
MikroTik ได้เราก็เพียงแค่รีบูตอุปกรณ์ (ถอดปลั๊กแล้วเสียบใหม่) การตัง้ ค่าก็จะกลับมาเหมือนเดิม แต่ถ้าเมื่อเราตั้งค่าแล้ว
ผลพันธ์ออกมาถูกต้องต้องการที่จะบันทึกการตั้งค่า ก็เพียงแค่ออกจากโหมด Safe Mode โดยการคลิกที่ปุ่ม Safe Mode
จากนั้นก็คลิกปุ่ม save หรือ apply ตามปกติ

การใช้งาน Safe Mode

เปิด WinBox จากนั้นคลิกปุ่ม Safe Mode ดังรูป

ถ้าไม่ต้องการบันทึกการตั้งค่าใดๆ หรือต้องการออกจาก Safe Mode ให้คลิกปุ่ม X เพื่อออกจากโปรแกรม WinBox

และอีกทางเลือกก็ คือ command line เมื่อเปิดหน้าต่าง terminal แล้วให้กดคีย์ ctrl+x

ถ้าไม่ต้องการบันทึกการตั้งค่า หรือออกจาก Safe Mode ให้กดคีย์ ctrl+d

Command Line Terminal Options

นี้เป็นอีกวิธีในการเข้าถึงอุปกรณ์ MikroTik เพื่อคอนฟิก RouterOS สำาหรับผู้เชียวชาญแล้ว โดยการใช้คำาสั่ง command

line ในการตั้งค่าต่างๆ แต่สำาหรับผู้ใช้งานมือใหม่แนะนำาให้เริ่มคอนฟิกผ่าน WinBox ก่อน เมื่อใช้งานและเรียนรู้รูปแบบ
คำาสั่งถนัดแล้ว ถึงเริ่มเปิดเทอร์มินอลลองพิมพ์คำาสั่ง

Telnet and SSH

Telnet และ SSH เป็นอีกทางเลือกในการเข้าถึงอุปกรณ์ MikroTik ผ่านไอพีแอดเดรส เมื่อเครื่องไคลเอ็นต์เป็นระบบปฏิบัติ

การลินุกซ์ หรือบนระบบปฏิบตั ิการวินโดว์ส เช่น โปรแกรม PuTTY

Serial Terminal

วิธีนี้คงเป็นทางเลือกสุดท้ายของหลายๆ คน ในการเข้าถึงอุปกรณ์ MikroTik ผ่านสายซีเรียล (serial cable) กรณีที่จะได้ใช้

สายซีเรียลก็ เช่น เผลอไปปิดอิเทอร์เน็ตพอร์ตทุกพอร์ต หรือสุดๆ ก็ลืมรหัสผ่าน ถ้ากรณีอย่างนี้ WinBox, telnet หรือ SSH
ก็ช่วยไม่ได้ ทางเลือกสุดท้ายก็ คือ ซีเรียลเทอร์มินอล ปัจจุบันคอมพิวเตอร์บางยี่ห้อจะไม่มีซีเรียลพอร์ตมาให้ เราสามารถ
ซื้อสายแปลง(อแดปเตอร์) USB ไปเป็น Serial

ลืมยูสเซอร์เนมและรหัสผ่านเข้า MikroTik RouterOS จะทำายังไง?

กรณีลืมยูสเซอร์เนมหรือรหัสผ่านโปรดจำาไว้เลยว่าอุปกรณ์ MikroTik ไม่มีเครื่องมือหรือวิธีการกู้คืนรหัสผ่าน จะต้องรีเซต

แฟตช์ทเท่านั้น (re-flash) โดยใช้โปรแกรม NetInstall ค่าคอนฟิกที่กำาหนดไว้จะถูกรีเซตทั้งหมด (รีเซต RouterOS) แต่ก็
ไม่มีทางเลือกอื่นที่จะเข้าถึงอุปกรณ์ MikroTik ได้นอกจากวิธีนี้ครับ

ขั้นตอน (ตัวอย่างนี้เป็น RB Series7) นี้ไม่ใช่ขั้นตอนการกู้คืนรหัสผ่าน ขั้นตอนเดียวกันกับการกู้ชีพ MikroTik ให้คนื กลับ

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 18/ 176

มาทำางานอีกครั้ง อาการเสียอย่างเช่น อีเทอร์เน็ตพอร์ตที่ 1-5 ไฟไม่ตดิ
- ดาวน์โหลดโปรแกรม NetInstall จาก http://www.mikrotik.com/download (ไฟล์โปรแกรมสามารถเอ็กซีคิ้วได้เลย โดย
ไม่ต้องติดตั้ง)

- เลือกซีรีย์รุ่น (RB700 series) แล้วคลิก Upgrade package (ไฟล์ที่โหลดมาจะเป็น routeros-mipsbe-5.22.npk) และ

ต้องดาวน์โหลด Netinstall ด้วย

Note: หากต้องการติดตั้งแพ็คเกจเพิ่มเติมก็ให้ดาวน์โหลดที่เป็น All packages

- ที่เครื่องคอมพิวเตอร์ที่ตั้งค่าอีเทอร์เน็ตอแด็ปเตอร์ไอพีแอดเดรส ตัวอย่าง เช่น 192.168.88.10 และ netmask เป็น

255.255.255.0

- เสียบสายแลนที่อีเทอร์เน็ตพอร์ตที่ 1
- ที่คอมพิวเตอร์ เปิดโปรแกรม NetInstall
- คลิกปุ่ม Net booting และกำาหนดไอพีแอดเดรสที่อยู่ใน Subnet เดียวกันกับวง LAN คอมพิวเตอร์ที่คอนฟิกแล้ว

Note: ไอพีแอดเดรสต้องไม่ซำ้ากัน (ต้อง subnet เดียวกัน)

- เสร็จแล้วคลิกปุ่ม OK
- จากนั้นหาดินสอ หรือเข็มกลัดจิ้มค้างที่ปุ่มรีเซตที่ตัวอุปกรณ์ แล้วเสียบอแด็ปเตอร์ ระหว่างนี้ให้สังเกตดวงไฟ ACT จะ
กระพริบ พอหยุดกระพริบแล้วจึงปล่อย (ประมาณ 15 วินาที) จากนั้นโปรแกรม Netinstall จะเห็นชื่อรุ่นและ MAC
address พร้อมอัพ RouterOS ดังรูป

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 20/ 176

- จากนั้นคลิกปุ่ม Browser... เลือกไปที่เก็บไฟล์ (ต้องคลิกเลือก Routers/Drivers ก่อน)
- คลิกปุ่ม OK

- คลิกเซ็กบ็อกซ์เลือกไฟล์แพ็คเกจ

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 22/ 176

 Note: เลือกที่เก็บไฟล์เสร็จ หากไม่ขึ้นดังรูปข้างบนให้ทำาการ browse เลือกไฟล์ .npk ใหม่ (ต้องดาวน์โหลดไฟล์
แพ็คเกจให้ตรงกับซีรีย์รุ่นอุปกรณ์)

ข้อควรระวัง: ในการใช้ Netinstall อัพเกรดแพ็คเกจรุ่นใหม่ หากต้องการเก็บค่าคอนฟิกเก่า ให้คลิก “keep old

configuration” ไม่งั้น Netinstall จะเคลียร์ค่าคอนฟิกเก่า

แต่สำาหรับตัวอย่างนี้ลืมรหัสผ่าน ต้องไม่คลิกเซ็กบอกซ์ “Keep old configuration” เพราะต้องการให้รีเซตค่าทั้งหมด

- จากนั้นให้คลิกปุ่ม Install

(ใช้เวลาติดตั้งประมาณ 1 นาที) ติดตัง้ เสร็จแล้วให้คลิก [X] เพื่อออกจากโปรแกรมเป็นอันสำาเร็จ

- จากนั้นให้เอาค่า IP address ที่คอนฟิกบนคอมพิวเตอร์ออก แล้วเสียบสายแลนที่พร์อตที่ 2-5 (ดีฟอลต์เซตมาเป็น
Switch อยู่แล้ว) จากนั้นเปิดโปรแกรม WinBox (username คือ admin และไม่มี password)

- จากนั้นให้อัพเกรด Fireware โดยไปที่เมนู System > Routerboard คลิกปุ่ม Upgrade

ก็จะได้ Current Fireware เวอร์ชั่น 3.02 และ RouterBOARD v5.24

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 24/ 176

การคอนฟิก RouterOS เบื้องต้น

เมื่อเสียบอแดปเตอร์เปิดอุปกรณ์ MikroTik แล้ว ให้เปิดโปรแกรม WinBox ที่เครื่องคอมพิวเตอร์ เมื่อชื่อมต่อไปยัง

MikroTik ได้แล้ว จะเจอะหน้าต่างดังรูป

ค่าดีฟอลต์คอนฟิกอีเทอร์เน็ตพอร์ตที่ 1 จะเป็นพอร์ต WAN เชื่อมต่อกับเราท์เตอร์โมเด็ม, ส่วนอีเทอร์เน็ตพอร์ตที่ 2-5 จะ

เป็นส่วนของ LAN (สวิตซ์) ดังรูปด้านบน ในการตั้งค่าใช้งาน แนะนำาให้ลบค่าดีฟอลต์คอนฟิกโดยคลิกที่ปุ่ม Remove
Configuration (หากใช้งาน MikroTik ทำาเป็นเราท์เตอร์ตามบ้าน ส่วนมากแล้วผู้ใช้จะใช้ดีฟอลต์คอนฟิกซะเลย)

ข้อควรระวัง: การเชื่อมต่อจากคอมพิวเตอร์ไปยัง MikroTik จะถูกตัดการเชื่อมต่อทันที ดีฟอลล์ไอพีแอดเดรสเราท์

เตอร์ คือ 192.168.88.1 หากลบค่าดีฟอลล์คอนฟิก ในการเข้าคอนฟิกเราท์เตอร์จะต้องเปิด WinBox และเข้าผ่าน
MAC address

หรือสามารถดาวน์โหลดสคริปต์ตัวอย่างการตั้งค่าได้ที่ http://learnmikrotik.com/book/basicconfig/config.txt
ให้คัดลอกโค๊ดทั้งหมด

/ip address
add address=192.168.1.1/24 disabled=no interface=ether2
add address=192.168.2.1/24 disabled=no interface=wlan1
/ip pool
add name=dhcp_pool1 ranges=192.168.1.2-192.168.1.254
add name=dhcp_pool2 ranges=192.168.2.2-192.168.2.254
/ip dhcp-server
add address-pool=dhcp_pool1 \
disabled=no interface=ether2 lease-time=3d name=dhcp1
add address-pool=dhcp_pool2 \
disabled=no interface=wlan1 lease-time=3d name=dhcp2
/ip dhcp-server config
set store-leases-disk=5m
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8 gateway=192.168.1.1
add address=192.168.2.0/24 dns-server=216.146.35.35 gateway=192.168.2.1
/system ntp client
set enabled=yes mode=unicast primary-ntp=203.185.69.60
/interface wireless
set 0 band=2ghz-b default-authentication=yes disabled=no \
wireless-protocol=802.11 mode=ap-bridge
/ip dhcp-client
add interface=ether1 disabled=no
/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
/ip neighbor discovery
set wlan1 disabled=no

จากนั้นที่ WinBox ให้เปิดเทอร์มินอลแล้ววางโค๊ด (อีเทอร์เน็ตพอร์ตที่ 1 เป็นพอร์ตที่เชื่อมต่อไปยังอินเทอร์เน็ต)

อธิบายรายละเอียดโค๊ดจากด้านบน

Ether1: อีเทอร์เน็ตพอร์ตที่ 1 เป็น WAN พอร์ต จะรับไอพีแอดเดรสเป็นเป็น Public IP address หรือ Static IP
address จากผู้ให้บริการ
Ether2: อีเทอร์เน็ตพอร์ตที่ 2 เป็น LAN พอร์ต จะแจงไอพีแอดเดรสให้กับเครื่องคอมพิวเตอร์ไคลเอ็นต์เป็น DHCP
แอดเดรส

Note: หากใช้ MikroTik ที่เป็นรุ่นสนับสนุนเครือข่ายไร้สาย 2.4 GHz (มี wireless card ในตัว) เมื่อเครื่องไคลเอ็นต์

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 26/ 176

 เชื่อมต่อเครือข่ายไร้สาย (SSID: MikroTik) ไคลเอ็นต์เหล่านี้จะได้รับไอพีแอดเดรส subnet เดียวกันเป็น DHCP
แอดเดรส
จากโค็ด recursive DNS service ใช้ของ Google กับ DynDNS
ฟรี recursive DNS service

#DynDNS #Google Public DNS server

216.146.35.35 8.8.8.8
216.146.36.36 8.8.4.4

และสำาหรับการซิงโครไนซ์เวลา (NTP client) กำาหนดให้ซิงก์กับสถาบันมาตรวิทยาแห่งชาติและกรมอุทกศาสตร์กองทัพ

เรือ

#สถาบันมาตรวิทยาแห่งชาติ [กำาหนดให้เป็น primary] #กรมอุทกศาสตร์กองทัพเรือ [กำาหนดให้เป็น secondary]

time1.nimt.or.th time.navy.mi.th
time2.nimt.or.th หรือ
time3.nimt.or.th

หรือจะใช้เซิร์ฟเวอร์ของโครงการ NTP pool project

#NTP POOL PROJECT
server 2.th.pool.ntp.org
server 1.asia.pool.ntp.org
server 2.asia.pool.ntp.org

ข้อควรระวัง: ค่าคอนฟิกด้านบนเป็นเพียงตัวอย่างยูสเซอร์เข้า MikroTik เราท์เตอร์ ก็ยังเป็น admin และไม่ม่รหัส

ผ่าน, ไม่มีไฟร์วอลล์

iptables ไฟร์วอลล์จะตรวจสอบเฉพาะการโจมตีเวลามีการดำาเนินการเท่านั้น โดยดูจากต้นทางและปลายทางของ

ไอพีแอดเดรสหรือพอร็ต ซึ่งไฟร์วอลล์จะไม่ส่งสัญญาณเตือนไปยังผู้ดูแลระบบเครือข่าย เกี่ยวกับการดำาเนินการที่
ผิดปกติหรือเป็นอันตราย
- ไฟร์วอลล์ทั่วไปจะตรวจสอบเฉพาะการจราจรขาเข้า (incomming traffice checks)
- ไฟร์วอลล์มีความสามารถในการควบคุมการดำาเนินการของแพ็คเกจในการเชื่อมต่อ เช่น การอนุญาตให้เข้าถึงเว็บ
เซิร์ฟเวอร์ พอรต์ 80
Interfaces

อินเตอร์เฟซ หมายถึง พอร์ตที่เชื่อมต่ออยู่กับ MikroTik เราท์เตอร์ ซึ่งเป็น Physical Port ในการเชื่อมต่อสำาหรับรับข้อมูล

เข้า และส่งข้อมูลออก โดยที่อินเตอร์เฟซบน RouterOS สามารถที่จะเปลี่ยนชื่ออินเทอร์ได้ เพื่อให้เข้าใจง่ายในการใช้งาน

เปิด WinBox เลือกเมนู Interfaces > Interface > ดับเบิ้ลคลิกที่อินเตอร์เฟซ

ที่แท็บ General, เปลี่ยนชื่ออินเตอร์เฟซตามชื่อที่ต้องการ และเลือกเป็น Master Port: none

Note: บน RouterOS สามารถที่จะคอนฟิกแยกพอร์ตอินเทอร์เฟตเป็น Master Port หรือ Switch Port ได้ตาม

ต้องการ โดยค่าคอนฟิกดีฟอลต์ MikroTik พอร์ตที 1 จะเป็น Master Port และพอร์ตที่ 2-4 จะ Switch Port

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 28/ 176

 ตัวอย่าง การเพิ่มไอพีแอดเดรสบนอินเตอร์เฟซ

คลิกที่เมนู IP > Address

คลิกเครื่องหมาย [+] เพื่อทำาการเพิ่มไอพีแอดเดรสใหม่ จากนั้นใส่ไอพีแอดเดรสที่ต้องการ

คลิกปุ่ม OK เพื่อบันทึกค่า
Note: RouterOS จะใช้วิธีกำาหนด Subnet Mask แบบ CIDR (Classless Inter-Domain Routing) โดยการใช้
 slash notation (/) แล้วนับจำานวนบิตที่เป็น 1 ใน Subnet Mask และเขียนไว้หลังเครื่องหมาย / เช่น
192.168.250.1/24 ตัวเลข 192.168.250.1 เป็น network adddress และ 24 เป็นการบอก Subnet ว่า 24 (mask
bits) เป็นส่วนของ network ใน address และมีจำานวนโฮสต์ใน Subnet เท่ากับ 254 โฮสต์ เว็บไซต์สำาหรับคำานวณ
subnet mask: http://www.subnet-calculator.com

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 30/ 176

บทที่ 2 - การจัดการผู้ใช้ (User Management)
บทนี้จะพูดถึงการจัดการผู้ใช้ และไม่ควรจะสับสนกับ UserManager นะครับ UserManager จะเป็นแพ็คเกจแยกจากตัว
MikroTik จะติดตั้งแพ็คเกจนี้สำาหรับอิมพลีเม้นท์การทำางานร่วมกับ Radius เซิร์ฟเวอร์ ส่วน User Management เป็น
ฟังก์ชันอยู่ใน RouterOS ดังนั้นจึงไม่ควรสับสนกันระหว่าง User Management กับ UserManager ซึ่งเป็นแพ็คเกจเสริม

เราสามารถกำาหนดสิทธิระดับการอนุญาตแต่ละยูสเซอร์ให้แตกต่างกันได้ โดยดีฟอลต์ MikroTik RouterOS ยูสเซอร์เนม

คือ admin ระดับสิทธิการอนุญาตสูงสุด (permissions of full) และไม่มีระหัสผ่าน

Note: เราสามารถควบคุมผู้ใช้แบบศูนย์กลางได้ โดยใช้การพิสูจน์ตัวตนผู้ใช้กับ Radius เซิร์ฟเวอร์ หรือใช้ MikroTik

UserManager

เปิด WinBox เริ่มต้นสร้างยูสเซอร์ คลิกที่เมนู System > Users ดังรูป (ในหน้าถัดไป)

จากนั้นคลิกเลือกแท็บ Group
กรุ๊ปดีฟอลต์ full (สามารถอ่าน-เขียนค่าคอนฟิกบนเราท์เตอร์ได้), read (ดูค่าคอนฟิกได้อย่างเดียวเท่านั้น) และ write
(สามารถอ่านและเขียนค่าคอนฟิกบนเราท์เตอร์ได้)

ให้ดับเบิ้ลคลิกที่ชื่อกรุ๊ปเพื่อดูรายละเอียด เช่น กรุ๊ป write ก็จะมีรายละเอียดบอกว่ายูสเซอร์ที่อยู่ในกลุ่มนี้มีสิทธิอะไรบ้าง

ยกตัวอย่าง เช่น สามารถรีสตาร์ได้, ssh หรือ telnet เข้าหาถึง MikroTik ได้ เป็นต้น

ในการกำาหนดสิทธิให้กับยูสเซอร์ เริ่มต้นแนะนำาให้สร้างยูสเซอร์ และกำาหนดสิทธิให้เข้าถึงการอ่านได้อย่างเดียวเท่านั้น

(กรุ๊ป read)

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 32/ 176

การเพิ่มบัญชีรายชื่อยูสเซอร์ใหม่

ที่แท็บ Users > คลิกเครื่องหมาย [+]

จะขึ้นหน้าต่างให้ใส่ตงั้ ยูสเซอร์ใหม่, เลือกกลุ่ม และกำาหนดรหัสผ่าน จากนั้นคลิกปุ่ม OK

ตัวอย่าง การสร้างผูใ้ ช้และกำาหนดกลุ่มโพลีซี (User and Group Assignments and Policy)

การสร้างผู้ใช้และการกำาหนดกลุ่ม คือ การกำาหนดกลุ่มการเข้าถึงสิทธินั้นๆ ตัวอย่าง เช่น ในองค์กรของเราอาจมีที่ปรึกษา

ระบบด้านไอที (consultant) จากบริษัทข้างนอก ที่ค่อยประเมินผลระบบเครือข่าย บางกรณีเขาอาจจะขอสิทธิในการเข้า
ถึงอุปกรณ์ ถ้าเคสอย่างนี้เราไม่ต้องการให้บุคคลเหล่านี้มีสิทธิในการเปลี่ยนแปลงคอนฟิก แนะนำาให้สร้างผู้ใช้ใหม่ โดย
กำาจัดสิทธิการเข้าถึงให้อยู่ในกลุ่ม read เพื่อให้สามารถดูได้แต่ค่าคอนฟิกเท่านั้น

หรืออีกกรณีหนึ่งก็คือ เราเป็นคนอิมพีลเม้นท์ตดิ ตั้งระบบให้กับลูกค้า แล้วไม่ต้องการให้ลูกค้ามีสิทธิควบคุมทุกอย่าง เราก็

เพียงแค่สร้างชื่อผู้ใช้ให้กับลูกค้า แล้วกำาจัดสิทธิให้อยู่ในกลุ่ม read เช่นกัน
User Manager

โซลูชันสำาหรับการจัดการผูใ้ ช้แบบรวมศูนย์ ผู้ดูแลระบบสามรถที่จะวางแผนการจัดการผูใ้ ช้เป็นศูนย์กลางได้ โดยการติด

ตั้งแพ็คเกค UserManager ให้กับ MikroTik RouterOS หรือติดตั้ง RouterOS บนเครื่องคอมพิวเตอร์เซิร์ฟเวอร์ (X86),
หรือคอมพิวเตอร์เสมือน (Vmware)

หลังจากได้ตดิ ตั้ง UserManager (ขั้นตอนการติดตั้งจะอธิบายในบทต่อไป) หากจะใช้ไคลเอนต์พิสูจน์ตัวตนผู้ใช้กับ

UserManager ในหน้าต่าง User List จะต้องคลิกเซ็กบอกซ์ ดังรูป

เลือกเมนู System > Users > เลือกแท็บ Users > คลิกที่ปุ่ม AAA
จากนั้นคลิกเซ็กบอกซ์ User RADIUS และเลือกกลุ่มที่ต้องการให้พิสูจน์ตัวตนผู้ใช้กับ UserManager

Note: แนะนำาให้ตั้งค่ารหัสผ่านผู้ดูแลระบบ (local admin) ให้มีความยากในการคาดเดา และรู้เฉพาะคุณ หรือ

พนักงานไอทีที่มีหน้าที่เกี่ยวข้อง (it support) นี้คือผูใ้ ช้ local admin ที่จะสามารถเข้าสู่เราท์เตอร์การสร้างยูสเซอร์
ได้อยู่เสมอถึงแม้ UserManager เซิร์ฟเวอร์จะให้บริการไม่ได้ (UserManager กับ User Management คนละ
อย่างกันอย่าสับสนล่ะครับ) ส่วนขั้นตอนของการ Deploy UserManager ศึกษาเพิ่มเติมได้จาก MikroTik Wiki
การจัดการผู้ใช้แบบรวมศูนย์ จึงเป็นโซลูชันสำาหรับองค์กรหน่วยงานที่มีผู้ใช้จำานวนมาก หรือการอินทิเกรดเข้ากับระบบ
Wifi HotSpot

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 34/ 176

 ตัวอย่าง การคอนฟิก MikroTik เราท์เตอร์ให้ตรวจสอบการพิสูจน์ตัวตนผู้ใช้กับ User Manager

ขั้นตอนนี้จะนำาไปใช้งานกับโปรแกรม WinBox โดยใช้ยูสเซอร์ล็อคอินจาก UserManager

คลิกที่เมนู Radius > คลิกเครื่องหมาย [+] > คลิกเซ็กบอซ์ login (หากนำาไปใช้กับ Wifi HotSpot ก็คลิกเซ็กบอกซ์
hotspot) จากนั้นกำาหนดแอดเดรส Radius เซิร์ฟเวอร์ และ Secret ในนี้กำาหนดเป็น 1 (ตัง้ อะไรก็ได้แต่ให้ตรงกับระหว่าง
ไคลเอ็นต์ > คลิกปุ่ม OK

Note: ต้องล็อคอินเข้า UserManager แล้วสร้าง Customers โดยกำาหนด permissions เป็น Read write, จากนั้น
สร้างยูสเซอร์ (Users > Add > One) ในส่วนของ Main Owner ให้เลือกเป็นชื่อ Customers ที่สร้างขึ้นก่อนนี้
เท่านี้ก็สามารถนำายูสเซอร์ที่สร้างขึ้นบน UserManager มาใช้ล็อคอินผ่าน WinBox เข้าเราท์เตอร์ได้แล้วครับ
บทที่ 3 – การอัพเกรดและดาวน์เกรดแพคเกจซอฟต์แวร์ RouterOS

RouterBOARD มาพร้อมกับระบบปฏิบตั ิการ RouterOS เวอร์ชันที่มาจากการผลิต แนะนำาก่อนคอนฟิกใช้งานควรจะ

อัพเกรด RouterOS และเฟิร์มแวร์เป็นเวอร์ชันล่าสุดก่อน เนื่องจากผู้พัฒนาระบบปฏิบัติการ RouterOS มีการพัฒนา
อย่างต่อเนื่องและมีฟีเจอร์ใหม่ หรือมีการปรับปรุงแก้ไขข้อผิดพลาด (Bug)

เหตุผลที่คุณควรอัพเกรด

- ฟีเจอร์ใหม่ และจำาเป็นต้องใช้งานฟีเจอร์นั้น
- เวอร์ชันที่ใช้อยู่มีช่องโหว่ด้านความปลอดภัย จำาเป็นต้องอุดช่องโหว่นี้
- การแก้ไขข้อผิดพลาดสำาหรับเวอร์ชันที่ใช้อยู่
- อัพเกรดเพื่อให้สนับสนุนฮาร์ดแวร์ใหม่ที่ต้องใช้งาน

จึงเป็นเหตุผลว่าทำาไมเราถึงต้องอัพเกรด RouterOS หรือเฟิร์มแวร์บนอุปกรณ์ของเรา แต่ส่วนมากหลายคนน่าจะคุยกับคำา

นี้ “ใช้งานได้อยู่จะอัพเกรดทำาไม” เนื่องจากบางครั้งใช่ว่าเราทำาการอัพเกรดแล้ว จะไม่ส่งผลกระทบต่อส่วนอื่นๆ ที่ใช้งาน
อยู่ “เพราะทุกข้อผิดพลาดมีผลของการแก้ไขปัญหาก่อนและหลังเสมอ”

ข้อควรระวัง: หากไม่มีเหตุผลตามที่กล่าวมาก็ไม่ควรอัพเกรดครับ

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 36/ 176

 ตัวอย่าง ขั้นตอนการอัพเกรดระบบปฏิบตั ิการ RouterOS

1. เริ่มแรกให้ดาวน์โหลดแพคเกจจากเว็บไซต์ MikroTik แล้วเลือกแพลตฟอร์ม

ถ้าระบบเราก่อนหน้านี้มีการติดตั้งแพคเกจ User Manager หลังจากอัพเกรด RouterOS เสร็จต้องติดตั้งแพคเกจ User
Manager ใหม่ ส่วนคอนฟิกยังคงเหมือนเดิม

2. เลือกซีรีย์รุ่นให้ตรงกับที่ใช้ (ตัวอย่าง RB700 series) แล้วคลิก Upgrade package (ไฟล์ที่โหลดมาจะเป็น

routeros-mipsbe-5.22.npk) ปัจจุบัน (ขณะเขียนคู่มือ) RouterOS v6.0 ชื่อไฟล์ routeros-mipsbe-6.1.npk
3. เปิด WinBox และเชื่อมต่อไปยังอุปกรณ์ผ่าน IP address (ไม่เชื่อมต่อผ่าน MAC address) เพราะโดยทั่วไปใน
การเชื่อมต่อไปยังอุปกรณ์สำาหรับคอนฟิก ต้องใช้ Layer 3 ในการจัดการกับเราท์เตอร์

4. ในหน้าต่าง WinBox คลิกเมนู File จากนั้นจะแสดงลิสต์ไฟล์ที่อยู่บนเราท์เตอร์

 5. จากนั้นให้สำารองข้อมูลก่อน โดยคลิกที่ปุ่ม Backup จะได้ชื่อไฟล์เพิ่มขึ้นมาเป็น .backup

ถัดไปให้ อัพโหลด โดยวิธีการลาก (drag) ไฟล์แพคเกจที่อยู่บน desktop ได้ดาวน์โหลดมา วางไฟล์ในพื้นที่หน้าต่าง File

List (วางในตำาแหน่งใต้ชื่อไฟล์ xxx.backup ก็ได้)

Note: การอัพเกรดแพคเกจซอฟต์แวร์อื่นๆ ก็ทำาขั้นตอนนี้เหมือนกันเพียงเลือกไฟล์แพคเกจทั้งหมดแล้ว drag ไปวาง

6. หลังจากอัพโหลดไฟล์เสร็จแล้ว ให้รีบูต โดยไปที่เมนู System > Reboot

หรือจะเปิดเทอร์มินอลขึ้นมา แล้วพิมพ์คำาสั่ง system reboot จากนั้นกด y

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 38/ 176

จากนั้นเราท์เตอร์จะขาดการเชื่อมต่อให้กดปุ่ม OK

7. เปิด WinBox และทำาการเชื่อมต่ออีกครั้ง

ตรวจสอบเวอร์ชัน

และเวอร์ชันแพคเกจของซอฟต์แวร์ คลิกไปที่เมนู System > Packages

 Note: (หลังจากอัพเกรดเสร็จ) ดีฟอลต์แพคเกจ “user-manager” จะไม่ถูกติดตั้งผู้ใช้ต้องติดตั้งเพิ่มเอง

8. ถัดมาให้ทำาการอัพเกรด RouterBOARD Boot loader

ไปที่เมนู System > RouterBoard > แล้วคลิกปุ่ม Upgrade

หรือหรือวิธีคือเปิดเทอร์มินอล แล้วพิมพ์คำาสัง่ system routerboard แล้วกด Enter

ถ้าต้องการดูเฟิร์มแวร์เวอร์ชันพิมพ์คำาสัง่ print แล้วกด Enter

พิมพ์คำาสัง่ upgrade กด Enter แล้วกด y เพื่อยืนยันการอัพเกรด

หรือพิมพ์คำาสั่ง system routerboard upgrade เลยก็ได้เช่นกัน

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 40/ 176

จากนั้นให้รูบูต ระบบถึงจะแสดงเป็นเวอร์ชันใหม่

ตัวอย่าง ขั้นตอนการดาวน์เกรดแพคเกจซอฟต์แวร์ของระบบปฏิบัติการ RouterOS

หากใช้งานจริงแล้วพบว่าที่อัพเกรดไปทำางานไม่เสถียรพอ บางครั้งก็จำาเป็นที่จะดาวน์เกรดแพคเกจของระบบปฏิบัติการ

1. ขั้นตอนเหมือนกับตอนอัพเกรด เมื่อมีแพคเกจเก่าอยู่ใน File List ก็เพียงแค่คลิกปุ่ม Downgrade

ไปทีเมนู System > Packages

2. ในหน้าต่าง Package List ให้เลือกแพคเกจทั้งหมด จากนั้นคลิกปุ่ม Downgrade

ข้อควรระวัง:ไม่แนะนำาให้เลือกดาวน์เกรดบางแพคเกจ หรือใช้เวอร์ชันของแพคเกจที่แตกต่างกัน เพราะอาจเป็นไป

ได้ที่จะกระทบต่อส่วนอื่นๆ
 3. จากนั้นรีบูตเราท์เตอร์ และระบบปฏิบตั ิการจะทำาการดาวน์เกรด

Note: สามารถอัพเกรดผ่าน FTP ได้ โดยใช้โปรแกรม FTP client เช่น FileZilla Client โดยอัพโหลดไฟล์ไปยังเราท์
เตอร์ เปิดเทอร์มินอลจากนั้นพิมพ์คำาสั่ง system reboot

ตัวอย่าง ขั้นตอนการติดตัง้ แพคเกจซอฟต์แวร์เพิ่ม

บางครั้งเราจำาเป็นต้องมีการติดตั้งแพคเกจเพิ่มเติม เนื่องจากดีฟอลต์เราท์เตอร์ไม่มีแพคเกจนั้นมาให้ เช่น แพคเกจ user-

manager (UserManager) สามารถดาวน์โหลดแพคเกจต่างๆ จากเว็บไซต์ MikroTik
(http://www.mikrotik.com/download), จากนั้นแตกไฟล์ที่โหลดมา แล้วติดตั้งแพคเกจ

1. คลิกเลือกดาวน์โหลดแพคเกจทั้งหมด “All packages” แล้วแตก zip ไฟล์ไว้ที่ desktop

2. ไปที่ System > Packages

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 42/ 176

 3. ลากไฟล์แพคเกจไปยัง Files List (Drag and Drop)

4. จากนั้นให้รีบูตเราท์เตอร์เพื่อติดตั้งแพคเกจให้เองอัตโนมัติ, เปิดเทอร์มินอล แล้วพิมพ์คำาสั่ง system reboot

ตัวอย่าง การจัดการแพคเกจบนเราท์เตอร์

แนะนำาว่าแพคเกจไหนที่ไม่ได้ใช้งานให้ถอนการติดตั้งซะ หรือหากอนาคตคิดว่าต้องใช้ฟีเจอร์แพคเกจนั้นก็ให้ปิดการใช้
งาน (disable) และที่สำาคัญแนะนำาว่าอย่าติดตั้งแพคเกจเพิ่มหากไม่ได้ใช้งาน ติดตั้งไปก็รันกินทรัพยากรระบบซะเปล่า
ครับ

เลือกแพคเกจแล้วคลิกปุ่ม Disable
จากนั้นเปิดเทอร์มินอลแล้วพิมพ์คำาสั่ง system reboot

หลังจากรีบูต แพคเกจถูกปิดการใช้งาน (disable)

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 44/ 176

บทที่ 4 – การตัง้ ชื้อให้กับอุปกรณ์เราท์เตอร์ (Router Identity)

Router Identity คือ การตัง้ ชื่อให้กับอุปกรณ์เราท์เตอร์ เพื่อให้รู้รายละเอียดของเราท์เตอร์นั้นๆ เช่น ที่อยู่ของลูกค้า เป็นต้น

นอกจากนั้นการกำาหนด Router Identiry ยังเป็นประโยชน์เพื่อช่วยแก้ไขปัณหาในเวลาต่อมาได้ง่ายขึ้น โดยปกติการ
กำาหนดชื่อถ้าระบุเป็นที่อยู่ของลูกค้า

ตัวอย่าง เช่น Router Identiry [component][device-ID][location]

component : ชนิดของอุปกรณ์ เช่น Router, Core Switch, Access Switch

device-ID : หมายเลขอุปกรณ์ เนื่องจากเป็นไปได้ในหนึ่งเน็ตเวิกส์มีอุปกรณ์ชนิดเดียวกันหลายตัว
location : สถานที่ตดิ ตั้งอุปกรณ์ เช่น ชื่อเขตพื้นที่

ตัวอย่าง
RB750PTTY
RB (Routerboard) ชนิดเราท์เตอร์
750 (ID) ซีรี 750
PTTY (Pattaya) สถานที่สาขาพัทยา
RBW751PTTY
RBW (Routerboard) ชนิดไวเลส
751 (ID)
PHKT (Phuket) สถานที่สาขาภูเก็ต
ตัวอย่าง ขั้นตอนการกำาหนดชื่อให้เราท์เตอร์

1. เปิดโปรแกรม WinBox, ไปที่เมนู System > Identiry

จากนั้นให้ตั้งชื่อให้กับอุปกรณ์
คลิกปุ่ม OK เป็นอันเสร็จ
รายละเอียดที่กำาหนดไปจะแสดงใน WinBox ตรงส่วนของ title bar, หน้าเทอร์มินอล และ หน้าต่าง IP > Neighbors List
ดังรูป

Winbox:

Terminal window:

Neighbors List window:

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 46/ 176

บทที่ 5 – ระบบเวลา และการซิงโครไนซ์เวลา (System Time and NTP Protocol)
การเซตอัพระบบเวลาให้กับอุปกรณ์ MikroTik มีความสำาคัญเป็นอย่างยิ่ง เนื่องจาก RouterBOARD ไม่มีแบตเตอรีแบ็
คอัพบนบอร์ด เหมือนกับเมนบอร์ดในเครื่องคอมพิวเตอร์ ที่จะมีค่า local time ที่เป็นเวลาจริง การคอนฟิกระบบเวลาผ่าน
การซิงคกับเครื่อง NTP เซิร์ฟเวอร์ อุปกรณ์เราท์เตอร์จะมีระบบเวลาจริงแบบเรียบไทม์ ที่เป็นเวลามาตรฐาน และมีความ
แม่นยำาสูง ในการใช้งาน เช่น การมอนิเตอร์การทำางานของระบบ และการปรับตาราง Routing ของเครือข่าย เป็นต้น

NTP (Network Time Protocol) เป็นโปรโตคอลเวลามาตรฐานสำาหรับซิงโครโนเซซันเวลาผ่านเครือข่าย TCP/IP ใช้พอร์ต

UDP 123 โดยทำางานเป็นลำาดับชั้นแบบ Hierarchy โดยจะต้องมีแหล่งสัญญาณข้อมูล Clock อ้างอิจ และในแต่ระลำาดับ
ชั้น หรือ Stratum โดยเรียงลงตามลำาดับ

ตัวอย่าง การเซตอัพ NTP Client ซิงโครไนซ์เวลากับ NTP Server

การคอนฟิกด้านล่างนี้จะอ้างอิงเวลากับ NTP เซิร์ฟเวอร์ภายนอกเครือข่าย โดยกำาหนดให้ซิงก์กับสถาบันมาตรวิทยาแห่ง

ชาติและกรมอุทกศาสตร์กองทัพเรือ เพื่อให้มีความถูกต้องและแม่นยำาสูง

#สถาบันมาตรวิทยาแห่งชาติ [กำาหนดให้เป็น primary] #กรมอุทกศาสตร์กองทัพเรือ [กำาหนดให้เป็น secondary]

time1.nimt.or.th time.navy.mi.th
time2.nimt.or.th หรือ
time3.nimt.or.th
หรือจะใช้เซิร์ฟเวอร์ของโครงการ NTP pool project
#NTP POOL PROJECT
server 2.th.pool.ntp.org
server 1.asia.pool.ntp.org
server 2.asia.pool.ntp.org
ขั้นตอน
เปิดโปรแกรม WinBox, ไปที่เมนู System > NTP Client
เลือกโหมดเป็น “unicast”
จากนั้นกำาหนด Primary NTP Server เป็น time1.nimt.or.th และ Secondary NTP Server เป็น time.navy.min.th

แล้วกดปุ่ม Apply จะเห็นว่าชื่อ DNS resolvable name ถูกเปลี่ยนเป็น IP address หลังจากกดปุ่ม Apply

Note: หากหน่วยงานมีเครื่อง NTP เซิร์ฟเวอร์ ที่ซิงโครไนซ์กับเครือข่ายภายนอกอยู่แล้ว ก็สามารถที่จะคอนฟิก

MikroTik ให้ซิงคโครไนซเครือข่ายภายในแทนได้ ซึ่งจะช่วยลดทราฟฟิกในระบบ

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 48/ 176

System Clock

หลังจากที่ได้คอนฟิก NTP Client ให้ซิงคเสร็จเรียบร้อยแล้ว ก็ต้องให้แน่ใจว่าอุปกรณ์มีสัญญาณนาฬิกาตรงกับโลคอลโซน

หรือไม่ (local clock & time zone)

ตัวอย่าง การตัง้ ค่าเวลาโคลอคโซนแบบกำาหนดเอง

1. เปิดโปรแกรม WinBox ตั้งค่าสัญญาณนาฬิกา System Clock ไปที่เมนู System > Clock

2. คลิกเลือกโลคอลโซน Asia/Bangkok แล้วคลิกปุ่ม OK

หรือจะเลือก Time Zone Name เป็น manual จากนั้นไปคอนฟิกที่แท็บ Manaual Time Zone และตั้งค่า
มาตรฐานของที่อยู่ปัจจุบัน
 ข้อควรระวัง: ไม่แนะนำาการตั้งค่าแบบกำาหนดเอง เพราะทุกๆ เวลาที่เราท์เตอร์รีบูต เวลาและวันที่จะถูกรีเซต

Advance NTP Server Setup

โดยปกติแล้วไม่จำาเป็นต้องติดตั้ง เนื่องจากเราคอนฟิคระบบเวลาให้ซิงโครไนซ์กับ Time server ผ่านอินเทอร์เน็ต อยู่แล้ว

หากต้องการคอนฟิกต้องตรวจสอบแพคเกจ ntp บน RouterOS ถูกติดตัง้ เป็นดีฟอลต์ยัง ไปที่เมนู System > Packages
ถ้ายังก็ให้ติดตัง้ หลังจากติดตั้งเสร็จเรียบร้อยแล้ว ให้รีบูตเราท์เตอร์ จากนั้นก็จะสามารถคอนฟิก NTP server ได้ครับ

ตัวอย่าง ขั้นตอนการคอนฟิก NTP Server และเปิดให้บริการ

1. ดาวน์โหลดแพค “All package” จาก www.mikrotik.com/download

2. แตกไฟล์ zip ที่โหลดมาไว้บน desktop
3. ลากไฟล์ ntp แพคเกจ ไปวางในหน้าต่าง File List
4. รีบตู เราท์เตอร์
หลังจากที่เรารีบูตเสร็จแล้ว คลิกไปที่เมนู System > NTP Server

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 50/ 176

คลิกเซ็กบอกซ์ Enable และโหมดโปรโตคอลสำาหรับอุปกรณ์ เพียงเท่านี้ MikroTik ก็รันเป็น NTP Server แล้ว ครับ จาก
นั้น MikroTik เราท์เตอร์ตัวอื่น หรือเครื่องคอมพิวเตอร์ไคลเอ็นต์ก็ทำาการซิงโครไซน์กลับเราท์เตอร์ตัวนี้ได้แล้วครับท่าน

บทที่ 6 – การแบ็คอัพไฟล์ (Backups)

คงไม่มีอะไรสำาคัญไปกว่าการสำารองข้อมูลคอนฟิกระบบแล้ว ถึงจะไม่ใช้ DR (Disaster Recovery) อัตโนมัติขั้นเทพ แต่

เครื่องมือในการสำารองข้อมูลบนระบบปฏิบตั ิการ RouterOS ก็แสนจะสุดง่าย เพียงแค่กดปุ่ม Backup หรือหากต้องการกู้
คืนระบบก็เพียงแค่กดปุ่ม Restore ที่สำาคัญใช้เวลาในการสำารองหรือกู้คืนไม่ถึงวินาที (จะเร็วไปไหนอ่ะ)

โดยสรุปแล้วระบบปฏิบัติการ RouterOS ฟีเจอร์ในการสำารองข้อมูลจะสำารองข้อมูลเป็น 2 ชนิด คือ binary แบ็คอัพและ

text- based ถ้าสำารองแบบไบนารีจะไม่สามารถแก้ไขได้ แต่ถ้าสำารองเป็นแบบ text based โดยข้อดีของการสำารองข้อมูล
เป็น text ไฟล์ คือสามารถ restore กับแฟลตฟอร์มฮาร์ดแวร์ที่แตกต่างกันได้ โดยวิธีเปิดไฟล์ผ่านโปรแกรม text editor
เช่น Ms Notepad เพื่อแก้ไขคอนฟิกระบบ

ส่วนไบนารีแบ็คอัพกรณีซื้ออุปกรณ์ใหม่ ถ้าจะนำาไฟล์ backup ไป restore อุปกรณ์จะต้องเป็นแฟลตฟอร์มฮาร์ดแวร์รุ่น

เดียวกันเท่านั้น ถึงจะทำาได้ เช่น ใช้ RB750G อยู่ ซื้อใหม่ก็ต้องเป็น RB750G เหมือนเดิม หากซื้อรีซีย์อื่นก็ต้องนั่งคอนฟิก
ใหม่ครับ กรณีเดียวกันถ้าทำา backup ที่รุ่น RouterBOARD 450 แล้วจะ restore ลงยัง RouterBOARD 433 ก็จะทำาให้มี
ปัญหาเช่นเดียวกัน เนื่องจากมีจำานวนอินเตอร์เฟซไม่เท่ากัน ที่ดีที่สุด คือ สำารองข้อมูลแบบ text-based จะสมบูรณ์แบบ
ที่สุดครับ
 ตัวอย่าง การสำารองระบบแบบไบรารีไฟล์แบ็คอัพ

1. เปิดโปรแกรม WinBox คลิกเมนู Files

2. ในหน้าต่าง Files ให้คลิกที่ปุ่ม Backup เพื่อแบ็คอัพ

3. ไฟล์แบ็คอัพจะโชว์ที่หน้าต่าง File List จากนั้นก็แค่ลากไฟล์ไปวางบน local drive เครื่อง หรือวางที่ desktop

จากนั้นแนะนำาให้เปลี่ยนชื่อไฟล์ เช่น PTTY-2012-12-29-Final.backup หรือถ้าเราท์เตอร์นี้คอนฟิกให้บริการ
HotSpot ก็อาจจะเปลี่ยนชื่อไฟล์ให้สอดคล้องกับเราท์เตอร์ที่ให้บริการ เช่น PTTY-WiFiHotSpot-2012-12-
29.backup เป็นต้น

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 52/ 176

 ตัวอย่าง การกูค้ ืนระบบจากไบรารีไฟล์แบ็คอัพ

1. เปิดโปรแกรม WinBox คลิกที่าเมนู Files

2. จากนั้นคลิกเลือกชื่อไฟล์แบ็คอัพที่ได้ทำาแบ็คอัพไว้ แต่ถ้าไม่มีไฟล์ก็ลากไฟล์จาก local drive ที่ได้สำารองไว้มาวาง

ที่หน้าต่าง File List

3. ดับเบิ้ลคลิกที่ไฟล์ แล้วกดปุ่ม Restore (หรือจะคลิกเลือกไฟล์แล้วกดปุ่ม Restore ด้านบนก็ได้เช่นกัน)

Note: ไม่แนะนำาให้เก็บไฟล์แบ็คอัพไว้บนพื้นที่เราท์เตอร์ ควรเก็บสำารองไฟล์แยกออกมาข้างนอก เช่น ไว้ที่ local

 drive หรือส่งเก็บในเมลบ็อกซ์ เนื่องจากถ้าฮาร์ดแวร์เราท์เตอร์เสียหาย ไฟล์แบ็คอัพที่อยู่บนเราท์เตอร์ก็หายไปด้วย

Text Based Backups

ดังที่กล่าวไปแล้วว่าการแบ็คอัพแบบ text-based สามารถช่วยให้เราแก้ไขไฟล์ได้ เช่น หากมีอุปกรณ์แฟลตฟอร์ตรุ่นอื่นๆ ก็

เพียงแค่เคียร์คอนฟิก อย่างเช่น MAC address โดยใช้โปรแกรม text editor แล้วค้นหาคำาว่า “MAC Address=” จากนั้น
ลดทิ้งให้หมด จากนั้นบันทึกไฟล์ หรือจะสร้างไฟล์ขึ้นมาใหม่ก็ได้เช่นกัน แล้วถึงอัพโหลดไฟล์ไปยังเราท์เตอร์ตัวใหม่ ค่อย
กดปุ่ม restore การสำารองข้อมูลแบบ text based แบ็คอัพ ต้องใช้คำาสั่ง command line บนเทอร์มินอลเท่านั้น

ตัวอย่าง การสร้างไฟล์ text backup

1. เปิดโปรแกรม WinBox แล้วคลิกเมนู New Terminal

2. หลังจากนั้นจะขึ้นพร้อมท์ ให้พิมพ์คำาสั่ง แล้วตามด้วยชื่อไฟล์

ระหว่าง export ไฟล์นี้จะใช้ CPU มากถึง 100% (ไม่ควร export ขณะยูสเซอร์ใช้งานระบบ) จากนั้นรอสักครู่ ถ้า
เสร็จแล้วไฟล์จะอยู่ที่หน้าต่าง File List หลังจาก export เสร็จแล้วจะขึ้นหน้าต่างพร้อมท์ดังรูปดังล่างนี้

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 54/ 176

 ตรวจสอบไฟล์ในหน้าต่าง File List คลิกเมนู File

3. ลากไฟล์ออกมาวางที่ desktop แล้วเปิดไฟล์ด้วยโปรแกรม text editor เพื่อแสดงค่าคอนฟิกหรือแก้ไข

Note: สามารถใช้คำาสั่ง export แสดงคอนฟิกในหน้าต่างเทอร์มินอลได้ โดยละเว้น “files=” ในส่วนของคำาสั่ง

export ตัวย่าง เช่น แสดงเฉพาะการกำาหนดค่าคอนฟิกไอพีแอดเดรส โดยที่สามารถคัดลอกโค้ดออกมาวางที่
โปรแกรม notepad ได้เลย
บทที่ 7 – ไลเซ็นต์ (Licensing)

หนึ่งในคุณลักษณะบนระบบปฏิบัติ RouterOS บน MikroTik RouterBOARD นั้นก็คือไลเซ็นต์ โดยฟีเจอร์ต่างๆ จะมีใน

ทุกๆ ไลเซ็นต์ แต่สิ่งที่ถูกจำากัดแต่ระดับของไลเซ็นต์ จะอยู่ที่จำานวนอินสแตนซ์
ตัวอย่าง เช่น ไลเซ็นต์ level 3 สามารถสร้างการเชื่อมต่อแบบ point-to-point ได้เพียงหนึ่งไคลเอนต์ แต่ถ้าต้องการ
มากกว่าหนึ่งไคลเอนต์ (multiple clients) ในโหมด Access Point จะต้องเป็นไลเซ็นต์ level 4 ส่วนฟีเจอร์ในระดับสูงอื่นๆ
อย่างเช่น MPLS สามารถใช้ได้ทุกระดับไลเซ็นต์ เปรียบเทียบความแตกต่างแต่ละไลเซ็นต์จากตารางด้านล่างนี้

Level number 0 (Demo mode) 1 (Free) 3 (WISP CPE) 4 (WISP) 5 (WISP) 6 (Controller)
Price no key registration volume only $45 $95 $250
Upgradable To - no upgrades ROS v6.x ROS v6.x ROS v7.x ROS v7.x
Initial Config Support - - - 15 days 30 days 30 days
Wireless AP 24h trial - - yes yes yes
Wireless Client and Bridge 24h trial - yes yes yes yes
RIP, OSPF, BGP protocols 24h trial - yes(*) yes yes yes
EoIP tunnels 24h trial 1 unlimited unlimited unlimited unlimited
PPPoE tunnels 24h trial 1 200 200 500 unlimited
PPTP tunnels 24h trial 1 200 200 500 unlimited
L2TP tunnels 24h trial 1 200 200 500 unlimited
OVPN tunnels 24h trial 1 200 200 unlimited unlimited
VLAN interfaces 24h trial 1 unlimited unlimited unlimited unlimited
HotSpot active users 24h trial 1 1 200 500 unlimited
RADIUS client 24h trial - yes yes yes yes
Queues 24h trial 1 unlimited unlimited unlimited unlimited
Web proxy 24h trial - yes yes yes yes
User manager active sessions 24h trial 1 10 20 50 Unlimited
Number of KVM guests none 1 Unlimited Unlimited Unlimited Unlimited

(*) - สำาหรับ RouterBOARD โปรโตคอล BGP (Border Gateway Protocol) จะถูกเพิ่มในไลเซ็นต์ level3 เท่านั้น
ส่วนอุปกรณ์อื่นๆ จะต้องเป็นไลเซ็นต์ level4 หรือสูงกว่านี้ถึงจะสนับสนุนโปรโตคอล BGP.

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 56/ 176

สิ่งที่เหมือนกันของทุกๆ ไลเซ็นต์ (All Level Licenses)

- ไม่มีวันหมดอายุ (never expire)

- ไลเซ็นต์ level4 สนับสนุนฟรีทางอีเมล 15-30 วัน หลังจากสั่งซื้อ
- ใช้งานได้ไม่จำากัดการเชื่อมต่อ
- ไลเซ็นต์ใช้ติดตั้งได้ครั้งเดียวเท่านั้น
- สำาหรับไลเซ็นต์ level3 จะต้องสั่งซื้อจำานวนมากกว่า 100 ไลเซ็นต์ขึ้นไปเท่านั้น

อ้างอิง - http://wiki.mikrotik.com/wiki/Manual:License
ไลเซ็นต์และการอัพเกรด RouterOS

การอัพเกรดไลเซ็นต์ RouterOS สามารถทำาได้ทุกเวลา แต่ขึ้นอยู่กับ license level ของ RouterOS เช่น ถ้ากำาลังใช้งาน
RouterOS v5 ไลเซ็นต์ของเราจะถูกจำากัดการอัพเกรด จะสามารถอัพเกรดได้จะต้อง RouterOS v6 เท่านั้น และไม่
สามารถอัพเกรดไปเป็นเวอร์ชัน RouterOS v7 ได้

โดยคีย์อัพเกรดจะมีสองประเภท คือ Level3/L4 และ Level5/L6 ความแตกต่างคือ Level3 และ Level4 จะสามารถ
อัพเกรดการปรับปรุง RouterOS จนถึงเวอร์ชันสุดท้ายของรุ่นถัดไป ส่วน Level5 และ Level6 สามารถอัพเกรดใช้รุ่น
เมเจอร์เวอร์ชันได้ ตัวเลขเวอร์ชัน เช่น V5 (ถ้าเป็น V5.21 ตัวเลข 21 คือเวอร์ชันของแต่ละรุ่น)

การคำานวณการอัพเกรด RouterOS เทียบกับ License level

License Level3 และ Level3 = รุ่นปัจจุบัน +1 = รุ่นที่สามารถใช้ได้

License Level5 และ Level6 = รุ่นปัจจุบัน +2 = รุ่นที่สามารถใช้ได้

เช่น ใช้ L5/L6 = v3 + 2 = สามารถใช้รุ่น v5.21 ได้

ตัวอย่าง

- ถ้ารุ่นปัจจุบันใช้ RouterOS v3 (ROS v3), License Level3 และ Level4 จะสามารถทำางานได้กับ ROS v3.1, v3.20,
v4.1, v4.20 แต่ไม่รองรับ v5.0
- ถ้ารุ่นปัจจุบันใช้ RouterOS v3 (ROS v3), License Level5 และ Level6 จะสามารถทำางานได้กับ ROS v3.1, v3.20,
v4.1, v4.20 และ v5beta1 แต่ไม่รองรับ v6.0
- ถ้ารุ่นปัจจุบันใช้ RouterOS v4 (ROS v4), License Level5 และ Level6 จะสามารถทำางานได้กับ ROS v4.1, v4.20,
v5.1, v5.20 และ v6beta ไปถึง v6.99 แต่ไม่รองรับ v7

Note: รูปแบบตัวเลขเวอร์ชัน major.minor.revision เช่น v4.20 คือรุ่นเมเจอร์ 4 ไม่เนอร์ 20

Major version คือ เวอร์ชันที่ปล่อยออกมาเผยแพร่อย่างสมบูรณ์
Minor version คือ เวอร์ชันที่ได้รับการแก้ไขข้อผิดพลาดแล้ว (bug fixed) และมีการเพิ่มคุณสมบัติตามที่มีการ
เสนอ
RC version (Release Candidate) เช่น v6.0rc6 คือ เวอร์ชันที่ปล่อยออกมาโดยมีการแก้ไขเพิ่มเติม ก่อนที่จออก
รุ่นสุดท้าย

ตัวอย่าง การตรวจสอบระดับของลายเซ็นต

เราสามารถตรวจสอบระดับไลเซ็นต์ที่ติดตั้งแล้ว โดยคลิกเมนู System > License

Note: ไลเซ็นต์ไม่สามารถอัพเกรดได้ จะต้องสัง่ ซื้อเพื่อติดตั้งใหม่แทนที่ระดับไลเซ็นต์เดิมเท่านั้น การสั่งซื้อคีย์ไล

เซ็นต์สามารถสั่งซื้อโดยการลงทะเบียนผ่านเว็บไซต์ mikrotik.com และป้อน ID ซอฟต์แวร์ (จ่ายเงินผ่านบัตร
เครดิต) หรือสั่งซื้อกับตัวแทนจำาหน่วยในภูมิภาค ทั่วโลก

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 58/ 176

 ตัวอย่าง การติดตั้งไลเซ็นต์

ก่อนจะติดตั้งคีย์ไลเซ็นต์ระดับสูงขึ้นเราก็ต้องสัง่ ซื้อคีย์ไลเซ็นต์ก่อน โดยมีลำาดับขั้นตอนดังนี้

1. ลงทะเบียนสมัครสมาชิกที่เว็บไซต์ www.mikrotik.com
2. ระบบจะส่ง username กับ password ให้ทางอีเมล จากนั้นล็อกอินเข้าสู่ระบบ

3. ที่เมนู account จะมีเมนูย่อย Generte a NEW software KEY ให้คลิกเลือก purchase a key

4. เลือกระดับไลเซ็นต์ที่ต้องการซื้อ เช่น WISP AP (Level 5)

5. ใส่ Softwore ID และเลือกชนิดบอร์ด (Board Type: RouterBOARD)

6. ระบบจะเข้าสู่การชำาระเงินผ่านบัตรเครดิต จากนั้นจะได้รับคีย์ไลเซ็นต์ทางอีเมล

วิธีที่ 1 คัดลอกคีย์แล้ววาง
เริ่มต้นโดยคลิกเมนู System > License

ตัวอย่าง คีย์ไลเซ็นต์

The software Key is:

-----BEGIN MIKROTIK SOFTWARE KEY------------
K5Yq7vU9xRFpZ33r6RTcauUZT9pJjdxFr7JAWC6Dz7AG
p0Qm9JnrlBOyQpzpChbTEaFEZBKPTmSejE5bUDo5IA==
-----END MIKROTIK SOFTWARE KEY--------------

ให้คัดลอกเริ่มตั้งแต่ ---BEGIN... จนถึง SOFTWARE KEY-------------- จากนั้นคลิกปุ่ม Paste Key

วิธีที่ 2 ใช้การ import key จากไฟล์คีย์ (.key)
ดาวน์โหลดไฟล์คีย์จากอีเมล (เช่น 8DSM-6ENA.key) จากนั้นคลิกปุ่ม Import key

Note: ปุ่ม Update License Key จะใช้ในการอัพเดทรูปแบบของคีย์ เมื่ออัพเกรดจากเวอร์ชั่น 3 ไปเป็นเวอร์ชั่น 4

และคอมพิวเตอร์ที่เชื่อมต่อกับ MikroTik RouterBOAR ต้องสามารถใช้งานอินเทอร์เน็ตได้ (การอัพเดทนี้ไม่มีค่าใช้
จ่าย)

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 60/ 176

บทที่ 8 – ไฟร์วอลล์ (Firewalls)

Firewall (ไฟร์วอลล์) คือเครื่องมือที่ใช้สำาหรับป้องกันระบบเครือข่าย (Network) จากการสื่อสารทั่วไป ที่ถูกบุกรุกจากผู้ที่

ไม่ได้รับอนุญาต โดยไฟร์วอลล์จะเป็นตัวกำาหนดกฏเกณฑ์ (rule) ในการควบคุมการทราฟิก (traffice) เข้า-ออก หรือ
ควบคุมการรับ-ส่งข้อมูลในระบบเครือข่าย

ทำาความรู้จักกับไฟร์วอลล์บน RouterBOARD

• การป้องกัน (Protect) สามารถป้องกันข้อมูลที่มีการรับหรือส่งผ่านระบบเครือข่าย โดยการกำาหนดเป็นกฏเกณฑ์

หรือ rule สำาหรับใช้บังคับการสื่อสารภายในเครือข่าย (ข้อมูลที่มีการรับส่งภายใน หรือภายนอกระบบเครือข่าย
เราจะเรียกว่าแพคเก็จ หรือ package)
• กฏเกณฑ์ (Rule Base) สามารถสร้างข้อกำาหนดในการควบคุมการรับ-ส่งข้อมูลภายในระบบเครือข่าย โดยจะ
ต้องมีการกำาหนดกฏเกณฑ์ในการควบคุมในระบบเครือข่ายขึ้น
• ควบคุมการเข้าถึง (Access Control) สามารถควบคุมได้ถึงระดับการเข้าถึงการรับ-ส่งข้อมูล
• เป็นทั้ง Packet Filtering และ Stateful Inspection Firewall

โดยไฟร์วอลล์บน RouterBOARD เป็นเทคโนโลยีประเภทกรองแพกเก็ต (Packet Filtering) ซึ่งใช้โอเพนซอร์สซอฟต์แวร์

อย่าง NetFilter บนลินุกซ์ (iptables ในลินุกซ์) โดยจะสอบตรวจสอบข้อมูลในแพกเก็ตส่วนของเฮดเดอร์ (header) ใน
การนำามาเปรียบเทียบกับกฏ (rules) ที่ได้กำาหนดเอาไว้ โดยข้อมูลในส่วนเฮดเดอร์ของแพกเก็ตจากนั้นจะทำาการไม่
อนุญาต (ดร็อป) แพกเก็ตนั้นหรือว่าอนุญาต (accept) ให้แพกเก็ตผ่านไปได้

RouterBOARD เป็นเราท์เตอร์ที่มีความสามารถในการทำา Packet Filtering อยู่แล้ว ดังนั้นในการพิจารณาเฮดเดอร์

(Packet Filter) จะตรวจสอบในอินเทอร์เน็ตโมเดล (Model ISO) ในระดับชั้นอินเทอร์เน็ตเลเยอร์ (Network layer หรือ IP)
และทรานสปอร์ตเลเยอร์ (Transport layer) ซึ่งอินเทอร์เน็ตเลเยอร์จะมีแอตทริบิวต์สำาคัญต่อการกรองแพกเก็ต เช่น ไอพี
แอดเดรส ต้นทาง-ปลายทาง, ชนิดโปรโตคอล (TCP, UDP) ส่วนระดับชันทรานสปอร์ตเลเยอร์ จะมีแอตทริบิวต์ที่สำาคัญ
เช่น พอร์ตต้นทาง-ปลายทาง, แฟล็ก (flag มีเฉพาะในเฮดเดอร์ของแพกเก็ต TCP) และชนิด ICMP message ในแพกเก็ต
ICMP เป็นต้น

ส่วน Stateful Inspection Firewall เป็นเทคโนโลยีที่เพิ่มเข้าไปในส่วนของ Packet Filtering โดยการพิจารณาว่าจะยอม

(accept) ให้แพกเก็ตผ่านไปนั้น แทนที่จะดูจากข้อมูลเฮดเดอร์อย่างเดียว Stateful Inspection จะนำาเอาส่วนข้อมูลของ
แพกเก็ต (message content) และข้อมูลที่ได้จากแพกเก็ตก่อนหน้าที่ทำาการบันทึกไว้ นำามาพิจารณา จึงทำาให้สามารถ
ระบุได้ว่าแพกเก็ตใดเป็นแพคเจคที่ตดิ ต่อเข้ามาใหม่ หรือว่าเป็นส่วนหนึ่งของการเชื่อมต่อที่มีอยู่แล้ว
 Note: การจะป้องกันการบุกรุกที่เกิดขึ้นจากเครือข่ายได้ดี สิ่งที่สำาคัญต่อไฟร์วอลล์ให้ทำางานได้อย่างมีประสิทธิภาพ
ก็คือ การกำาหนดโพลีซีการรักษาความปลอดภัยที่ถูกต้องและเหมาะสม ทำาให้ผู้ดูแลระบบกำาหนดกฏของไฟร์วอลล์
ได้สอดคล้องและไม่มีข้อผิดพลาด

Note: ระดับชั้นทรานสปอร์ตเลเยอร์นั้นทั้งพอร์ต TCP และ UDP จะเป็นสิ่งที่บอกถึงแอพพลิเคชันที่แพกเก็ตต้องการ

ติดต่อ เช่น พอร์ต 80 (HTTP), พอร์ต 443 (HTTPS), พอร์ต 21 (FTP) เป็นต้น ดังนั้น Package Filter จะพิจารณา
เฮดเดอร์และควบคุมแพกเก็ตที่มาจากที่ต่างๆ โดยดูจากแฟล็กของแพกเก็ต เช่น ห้ามแพกเก็ตที่มีไอพีแอดเดรส
ต้นทาง xxx.xxx.xxx.xxx (IP spoofing) ผ่านเราท์เตอร์เข้ามาในเครือข่ายภายใน

แล้ว Firewall ประกอบด้วยอะไรบ้าง?

โดยคำานิยามของไฟร์วอลล์แล้วไฟร์วอลล์เป็นเครื่องมือพื้นฐานในการจัดการทราฟิกที่ปลอดภัย (good fraffice) ที่ยอมให้

ผ่านระบบ และบล็อกทราฟิกประเภทที่ไม่ปลอดภัย (bad traffe) ทั้งที่ไปยังไฟร์วอลล์ของเรา (to) และจากไฟล์วอลล์ของ
เรา (from) หรือที่ผ่านไฟร์วอลล์ของเรา (through)

Firewall นั้นจำาเป็นต้องมีกฏเพื่อจำากัดทราฟิก (traffice flow) หรือควบคุมการรับ-ส่งข้อมูลในเครือข่าย โดยที่กฏเหล่านี้จะ

ถูกจัดอยู่ใน Chain ซึ่งจะทำาหน้าที่กรองแพ็คเกจ โดย Chain ก็จะประกอบไปด้วย INPUT Chain, OUPUT Chain และ
FORWARD ส่วนมากที่เรียกๆ กันก็ตัวอย่างเช่น “กฏใน input chain” อย่างนี้เป็นต้น

หลังจากที่ให้คำานิยามไฟร์วอลล์ไปแล้วที่นี้เราจะมาดูกันว่าแล้วในแต่ละ Chains มีความหมายว่าอย่างไรบ้าง และกฏที่อยู่

ใน Chain แต่ละประเภททำางานอย่างไร

Queue และ Chain ใน IPTABLES Firewall

ภาพรวมของ IPTABLES บนอุปกรณ์ MikroTik RouterBOARD จะมีคิวในการทำางานอยู่ด้วยกัน 3 ประเภทคือ

1. Filter Queue
2. Nat Queue
3. Mangle Queue

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 62/ 176

Filter Queue จะมี Chain อยู่ 3 Chain ในการจัดการกับแพ็คเกจซึ่งประกอบด้วย INPUT Chain, OUTPUT Chain และ
FORWARD Chain โดย INPUT Chain จะทำาหน้าที่กรองแพ็คเกจที่เข้ามาหาไฟร์วอลล์ (ที่นี่คือ MikroTik) หรืออาจจะใช้
คำาว่าแพ็คเกจขาเข้า ต่อมาเป็น OUTPUT Chain จะทำาหน้าที่กรองแพ็คเกจที่ถูกส่งผ่านเครื่องไฟร์วอลล์ (MikroTik) หรือ
เรียกว่าแพ็คเกขาออก และสุดท้าย FORWARD Chain จะทำาหน้าที่กรองแพ็คเกจที่ถูกส่งมาจากเครือข่ายภายนอกที่มี
ปลายทาง (หรือ destination) เป็นเครื่องในเครือข่ายภายในของเรา

NAT Queue จะประกอบด้วย Chain อยู่ 3 ชนิดคือ PREROUTING Chain ทำาหน้าที่แปลงหมายเลขปลายทางไอพี

แอดเดรส และหมายเลขพอร็ตปลายทางของแพ็คเกจ และ POSTROUTING Chain จะทำาหน้าที่แปลงหมายเลขไอพีแอด
แดรสและหมายเลขพอร็ตต้นทางของแพ็คเกจ ส่วน Chain สุดท้ายคือ OUTPUT Chain ซึ่งทำาหน้าที่ในการแปลง
หมายเลขเครือข่ายของแพ็คเกจที่ถูกส่งโดยไฟร์วอลล์เอง

Mangle Queue จะประกอบด้วย 5 Chain สำาหรับทำาหน้าที่ในการปรับแต่งค่า QoS (Quolity of Service) ในบิตของ TCP
แพ็คเกจ คิวนี้แหละที่นิยมกันในการจัดการลิงกที่เป็น MultiWAN

ตัวอย่าง การสร้างไฟร์วอลล์ฟิตเตอร์ (Firewall filter rule)

ตัวอย่าง การสร้างกฏไฟร์วอลล์ใน INPUT chain

1. โดยเปิดโปรแกรม WinBox > IP > Firewall ดังรูป

2. คลิกเครื่องหมาย +
 จากเมนูบาร์ด้านบนจะเห็นว่า MikroTik RouterBOARD ได้จัดเรียงเมนูมาให้ง่ายต่อการเรียกใช้งาน โดยแยก
ออกเป็นคิวต่างๆ Filter Rules, NAT, Mangel, Service Ports, Connections, Address Lists, Layer7
Protocols (สามารถกรองแอพลิเคชั่นได้)
3. จากนั้นให้เลือก Chain เป็น INPUT Chain ดังรูปด้านล่างนี้

จากลิสต์ Chain จะมีมากกว่าที่เคยกล่าวไปข้าง (forward, input และ output) ที่อยู่ในลิสต์เช่น hs-input

เป็นการสร้าง Filter Queue ชื่อ hs-input ขึ้นมาใหม่ เพื่อใช้กรองแพ็คเกจขาเข้ามาที่ไฟร์วอลล์ในส่วนของเซอร์วิส
HotSpot

4. กำาหนด action ตัดสินใจว่าจะ accept หรือ ดร็อป แพ็คเกจ คลิกที่แท็บ Action

กฏด้านบนนี้เป็นการอนุญาตแพ็คเกจ คืออนุญาตให้โฮสต์ส์ไอพีแอดเดรส 192.168.88.0/24 (LAN network)

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 64/ 176

 สามารถเข้าถึงทุกเซอร์วิสบนเราท์เตอร์ได้ (MikroTik) ตัวอย่างเช่น จาก LAN network เราทุกเครื่องไคลเอ็นต์จะ
สามารถใช้ SSH, WinBox, FTP หรือ HTTP เข้าถึงเราท์เตอร์ได้

กฏนี้จะไม่อนุญาติแพ็คเกจคือไม่อนุญาตให้โฮสต์ส์ไอพีแอดเดรส 192.168.88.0/24 (LAN network) เข้าถึงทุกเซอร์วิสบน

เราท์เตอร์ได้ (MikroTik) ตัวอย่างเช่น เครื่อง laptop หรือ pc เราใน LAN เน็ตเวิร์กจะไม่สามารถใช้ SSH, WinBox, FTP
หรือ HTTP เข้าถึงเราท์เตอร์ได้ และไม่สามารถเข้าถึงเราท์เตอร์ได้จากเครือข่ายภายนอก (outside) หรือการ ping
แพ็คเกจ จาก public อิน เทอร์เน็ตเราท์เตอร์จะไม่ตอบกลับเช่นกัน

ดังนั้นในการเริ่มสร้างกฏจึงจำาเป็นต้อง “accept” แพ็คเกจให้กับ LAN เน็ตเวิร์กเราก่อน หรืออาจกำาหนดขอบเขตการเข้า

ถึงเราท์เตอร์โดยการอนุญาตเฉพาะกลุ่ม IT group และอนุญาตเฉพาะโปรโตคอลที่ต้องการ ตัวอย่างเช่นไอพีแอดเดรส
192.168.88.100 (IT group) สามารถเข้าถึงเราท์เตอร์ได้ผ่านการเชื่อมด้วยโปรโตคอล SSH และ FTP เป็นต้น

Note: การเข้าถึงเราท์เตอร์เราอาจสังเกตดูเหมือนว่าทุกอย่างทำางานได้ตามปกติ แต่! ไฟร์วอลล์จะแบ่งเซอร์วิ

สอื่นๆ ให้กับเราท์เตอร์ฝั่ง LAN เน็ตเวิร์ก เช่น การใช้ DNS แคช ซึ่งเป็นฟีเจอร์บน RouterOS ในการทำาหน้าที่ไป
ค้นหาข้อมูล (recursion) จาก DNS เซิร์ฟเวอร์เครื่องอื่นๆ ที่อยู่บนอินเทอร์เน็ต จนกว่าจะได้รับคำาตอบว่าชื่อที่
ไคลเอ็นต์ถามมานั้นมีไอพีแอดเดรสเป็นอะไร

ข้อควรระวัง: กฏไฟร์วอลล์บน RouterOS จะทำางานจากบนลงล่าง ดังนั้นจึงต้อง accept แพ็คเกจก่อนที่จะ ดร็อป

แพ็คเกจเสมอ กฏที่กำาหนดถึงจะทำางานตามที่คาดไว้ครับ

ไฟร์วอลล์และการเชื่อมต่อ (Connections)

นี้อาจจะเป็นจิ๊กซอร์ต่อมาของไฟร์วอลล์เลยก็ว่าได้ครับ การสื่อสารในระบบเครือข่ายจะดำาเนินการติดต่อสือสารโดยใช้
พอร์ต อุปกรณ์ที่ส่งแพ็คเกจผ่านพอร์ตออกมานั้นเราจะเรียกว่า พอร์ตต้นทาง (source port) และอุปกรณ์ที่รับแพ็คเกจทาง
พอร์ตเราจะเรียกว่า พอร์ตปลายทาง (destination port) โปรโตคอลที่นำามาใช้เช่น TCP หรือ UDP ซึ่งพอร์ตต้นทางและ
พอร์ตปลายทางจะมีการเชื่อมต่อเกิดขึ้นอย่างต่อเนื่องในการสื่อสารระหว่างแต่ละโฮสต์ต์ โดยข้อมูล (data) เหล่านี้จะถูก
ส่งข้ามการเชื่อมต่ออยู่ 4 ชนิดการเชื่อมต่อด้วยกันคือ new, established, related และ invalid
new (ยังไม่มีการเชื่อมต่อ) ทุกครั้งที่เราท์เตอร์ส่งแพ็คเกจไปยังโฮสต์ต์ เริ่มแรกจะมีแพ็คเกจส่งมาขอการเชื่อมต่อใหม่ (new
connection) โดยปกติก็จะเป็น TCP ที่มี SYN สถานการณ์ตัวอย่างเช่น เรากำาหนดการเชื่อมต่อใหม่ขึ้นโดยระบุ ต้นทาง
(source) / ปลายทาง (destination) / พอร์ต (port) รวมกันก็จะเกิดเป็นภาพรวมการสื่อสารใหม่ที่ยังไม่เคยติดต่อสื่อสาร
มาก่อน
Note: ย่อให้ดูเข้าใจง่าย
Source IP address (src) : หมายเลขไอพีผู้ส่งข้อมูล
Destination IP address (dst) : หมายเลขไอพีของผู้รับข้อมูล
Source Port Number (src port) : หมายเลขพอร์ตต้นทางที่ส่งดาต้าแกรมนี้
Destination Port Number (dst port) : หมายเลขพอร์ตปลายทางที่จะเป็นผู้รับดาต้าแกรม

หลังจากการเชื่อมต่อใหม่เฉพาะการเชื่อมต่อที่เริ่มขึ้น (initiated) และหลังจากนั้นจะถือว่าเป็นการปิดการเชื่อมต่อที่

สมบูรณ์แล้ว (หรือ established อ่านว่า เอสแทบลิชทุ) จนกว่าการเชื่อมต่อจะเกิด disturbed (ข้อมูลสูญหายหรือเสียหาย
ที่เรียกว่า package loss) ทำาให้หยุดและกลายเป็นเกิดการสร้างการเชื่อมต่อใหม่ขึ้นอีก ดังนั้นสิ่งที่ทำาให้เกิด disturbance
อธิบายได้คือการส่งแพ็คเกจที่ไม่ถูกต้อง (invalid) ดังนั้นแพ็คเกจที่ไม่ถูกต้องจึงเป็นสิ่งหนึ่งที่ไม่ได้อยู่ในการเชื่อมต่อใดๆ
แต่ไม่มีการสร้างการเชื่อมต่อใหม่ โดยสรุป invalid packet คือแพ็คเกจที่ไม่เป็นประโยชน์ดังนั้นก็ควรที่จะ ดร็อป แพ็คเกจ
นั้น สิ่งเหล่านี้สามารถสร้างขึ้นได้โดยซอฟต์แวร์ที่มุ่งพยายามเจาะระบบเครือข่ายของเรา

เพิ่มเติมในการเชื่อมต่อใหม่ (new connection) และการปิดการเชื่อมต่อที่สมบูรณ์แล้ว (established) คือไม่มีการส่ง

ข้อมูลอีกแล้ว นอกจากนี้ยังมีการเชื่อมต่อที่เกี่ยวเนื่องกันก็คือ related (อ่านว่า รีเลทิด connection ที่เกิดขึ้นจากการเชื่อม
ต่อก่อนหน้า) ถ้าให้เข้าใจได้ง่ายที่สดุ สำาหรับการเชื่อมต่อ related connection มันก็คือ การเชื่อมต่อที่ถูกสร้างขึ้นโดยการ
เชื่อมต่อที่มีอยู่แล้วโดยมองเป็นการสร้างใหม่ และ related connection ไม่ใช้ส่วนหนึ่งของการเชื่อมต่อ established ที่
สมบูรณ์แล้ว แต่จะเกี่ยวข้องกับการเชื่อมต่อ established ที่มีอยู่แล้ว

ทำาความเข้าใจกฏการเชื่อมต่อในไฟร์วอลล์

1. New connection การเชื่อมต่อจะเกิดขึ้นใหม่ก็ต่อเมื่อมีการกำาหนด src / dst / port ร่วมในการสื่อสารในเวลา

เดียว
2. Established connection เกิดการเชื่อมต่อแพ็คเกจที่สมบูรณ์แล้ว ต่อจากแพ็คเกจที่สร้างการเชื่อมต่อใหม่ โดย
ไม่ใช่การเปิดการเชื่อมต่อใหม่
3. Related connection ไม่สามารถเกิดการสร้างการเชื่อมต่อที่มีความสัมพันธ์ต่อเนื่องกัน เว้นแต่จะเป็นเริ่มแรก
ของการเชื่อมต่อใหม่

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 66/ 176

ที่ว่ามานี้ดูจากตารางด้านล่างนี้ (หน้าถัดไป) จะได้เข้าใจยิ่งขึ้นครับ

Firewall Connections:

จากแผนภาพด้านสามารถอธิบายการเชื่อมต่อได้ดังนี้

บรรทัดที่ 1: เริ่มการเชื่อมต่อด้วยการส่งแพ็คเกจเปิดการเชื่อมต่อ (new connection) และแพ็คเกจทั้งหมดเกิดการเชื่อม

ต่อที่สมบูรณ์ มีข้อมูลที่ถูกต้องครบถ้วน(established connection) เรียงไปเรื่อยๆ

บรรทัดที่ 2: อยู่ดีๆ โผล่มาเพื่อขอเชื่อมต่อ (invalid connection ที่ไม่มี SYN, SYN ACK) จนถัดไปมีการส่งแพ็คเกจมาขอ
เชื่อมต่อ new connection และเกิดการเชื่อมต่อที่สมบูรณ์ และเกิดหยุดซะงัก (breaks) ดังนั้นจึงส่งแพ็คเกจขอเริ่มต้น
เชื่อมต่อใหม่ (new connection) และเกิดการเชื่อมต่อที่สมบูรณ์

บรรทัดที่ 3: เริ่มการเชื่อมต่อเหมือนกับบรรทัดแรก และเกิดการเชื่อมต่อก่อนหน้า (related connection) ที่มีการเชื่อมต่อ

แบบขนานการเชื่อมต่อ

บรรทัดที่ 4: เริ่มการเชื่อมต่อเหมือนกับบรรทัดแรก แต่จบด้วยสองการเชื่อมต่อที่ไม่ถูกต้อง (invalid connection) ถ้า

สามารถคาดเดาได้ว่าสถานะการเชื่อมต่อถัดไปเป็นอย่างไร ถ้าตอบได้ว่า new connection แสดงว่าเราเข้าใจการเชื่อมต่อ
แล้วครับ (connection states)

Note: การเชื่อมต่อที่สมูบรณ์ คือ การที่ผู้ส่งสามารถส่งข้อมูลถึงผู้รับได้อย่างถูกต้องครบถ้วนสมบูรณ์

Note: แฟล็ก (Flag) เป็นข้อมูลระดับบิตที่อยู่ในเฮดเดอร์ TCP โดยใช้เป็นตัวบอกคุณสมบัติของแพ็คเกจ TCP ขณะ

นั้นๆ และใช้เป็นตัวควบคุมจังหวะการรับส่งข้อมูลด้วย ซึ่งแฟล็กมีอยู่ทั้งหมด 6 บิต แบ่งได้ดงั นี้
Type Description
URG ใช้บอกความหมายว่าเป็นข้อมูลด่วน และมีข้อมูลพิเศษมาด้วย (อยู่ใน Urgent Pointer)
ACK แสดงว่าข้อมูลในฟิลด์ Acknowledge Number นำามาใช้งานได้
DSH เป็นการแจ้งให้ผู้รับข้อมูลทราบว่าควรจะส่งข้อมูล Segment นี้ไปยัง Application ที่กำาลังรออยู่โดยเร็ว
RST ยกเลิกการติดต่อ (Reset) เนื่องจากในกรณีที่เกิดการสับสนขึ้นด้วยเหตุผลต่างๆ เช่นโฮสต์ต์มีปัญหา ให้
เริ่มสื่อสารใหม่
SYN ใช้ในการเริ่มต้นขอติดต่อกับปลายทาง
FIN ใช้ส่งเพื่อแจ้งให้ปลายทางทราบว่ายุติการติดต่อ

Two Ways To Control Access

สองวิธีในการควบคุมการเข้าถึง ใน Input Chain วิธีแรก คือการกรองแพ็คเกจที่เข้ามายังเราท์เตอร์ ถ้าผ่านตัวฟิลเตอร์ก็

อนุญาตรับแพ็คเกจนั้น แต่ถ้าผ่านฟิลเตอร์มาไม่ได้ก็ให้ ดร็อป แพ็คเกจนั้น
วิธีที่สอง คือการฟิลเตอร์การเชื่อมต่อที่มีสร้างการเชื่อมต่อ หากการเชื่อมต่อมีการสร้าง state ให้อนุญาต แต่ถ้าการเชื่อม
ต่อสถานะเป็น invalid state ก็ให้ ดร็อป แพ็คเกจ iptables จะไม่ต้องสร้าง connection tracking ถ้าไม่มี connection ใน
memory ก็เซตเป็น invalid (จะได้ไม่ต้องสร้าง state ขึ้นมา)

น่าจะพอเข้าใจถึงหลักการทำางานของไฟล์วอลล์บน RouterOS กันแล้วขอยกตัวอย่างกฏ 2 ข้อด้านล่างนี้ (input rules) จะ

ได้เข้าใจการทำางานเพิ่มมากขึ้น

ตัวอย่าง กฏข้อแรกคืออนุญาตทราฟฟิกทั้งหมดจากเครือข่าย LAN และกฏข้อที่สอง ดร็อป ทุกอย่าง

ผลลัพธ์: ถ้าโฮสต์ที่อยู่ในเครือข่าย LAN ทำาการ ping มายัง MikroTik Router จะได้รับการตอบกลับ แต่ถ้ามีการ ping
จาก เครือข่าย WAN เข้ามายัง MikroTik Router จะขึ้น time out และอาจเกิดคำาถามว่าทำาไม ในเมื่อยังไม่ได้สร้างกฏ
จำากัดจากการทำาไรที่เกี่ยวกับเราท์เตอร์ คำาตอบก็คือ ถึงแม้ว่าเราท์เตอร์จะสร้างและส่งแพ็คเกจ ping ตอบไปยังโฮสต์ แต่

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 68/ 176

นั้นเป็นเพราะว่าเราทำาการ block ในส่วนของ input chain (กฏข้อที่สอง) ซึ่งเป็นผลให้เราท์เตอร์ไม่รู้จักโฮสต์ที่ส่งแพ็คเกจ
ตอบกลับมา ดังนั้นจึง ดร็อป มัน ในการแก้ไขปัญหานี้ก็คือให้สร้างกฏใหม่เป็น accept rule แพ็คเกจ ping จากฝั่งขา
WAN โฮสต์ เพื่อที่ต้องการให้ ping จากเราท์เตอร์เราได้ โดยตัวเลือกก็คือการอนุญาตแพ็คเกจ ICMP โปรโตคอล
(Internet Control Message Protocol) จากทุกๆ โฮสต์ แต่นี่ไม่ใช้ซูโลชั่นที่ปลอดภัย ควรสร้างกฏอนุญาตเฉพาะ WAN
โฮสต์ที่ต้องการจะปลอดภัยกว่าครับ
สรุป: จากตัวอย่างที่ 1 ก็คือกฏข้อที่หนึ่งเราอนุญาตแพ็คเกจจาก LAN มายังเราท์เตอร์ และกฏข้อที่สองคือจากนั้นเรา
ทำาการ ดร็อป แพ็คเกจทั้งหมด และเพิ่มกฏข้อที่สามขึ้นมาคืออนุญาตให้เราท์เตอร์ ping ติดต่อโฮสต์ได้ (RouterOS ถ้าเรา
รีโมทผ่าน Telnet หรือ SSH ไปยังเราท์เตอร์เราสามารถใช้คำาสั่ง ping บนเราท์เตอร์ได้) ดังนั้นผลสรุปคือเราต้องสร้างกฏ
input chain อย่างน้อย 4 ข้อนี้ input firewall ถึงจะสมบูรณ์และเราท์เตอร์มีความปลอดภัย
1. accept ทุกแพ็คเกจที่วิ่งมายัง MikroTik Router จากฝั่งขา LAN network

2. accept ทุกการเชื่อมต่อที่สมบูรณ์แล้ว (established)

3. อนุญาตทุกๆ การเชื่อต่อ related

4. ทำาการ ดร็อป ทุกๆ แพ็คเกจ (ร่วมถึงแพ็คเกจที่เป็นการเชื่อมต่อ invalid connection)

Forward Chain

หลังจากที่ทำาความเข้าใจเกี่ยวกับ input chain ในการป้องกันและสร้างความปลอดภัยในกับเราท์เตอร์เราไปแล้ว ถัดมาจะ

พูดถึง forward chain ที่ใช้ในการป้องกันไคลเอนต์ในเครือข่ายเรา
Forward Chain คือแพ็คที่วิ่งเข้า-ออกผ่านไฟล์วอลล์เราท์เตอร์ ในที่นี้คือ MikroTik Router (แพ็คเกจวิ่ง LAN network
→ WAN หรือ WAN → LAN network) การสร้างกฏ forward chain ก็ต้องเมื่อ MikroTik Router เราทำาหน้าที่เป็น
Gateway

ตัวอย่าง: กฏข้อแรก (first rule) ใน forward chain คืออนุญาตไคลเอนต์ใน LAN มีการสร้าง connection state เป็น new
connection ผ่านไฟล์วอลล์ โดยเริ่มต้นตั้งแต่ new connection โดยในตัวอย่างนี้จะระบุ source address ของแพ็คเกจที่
match กับ firewall rule กฏข้อแรกนี้จะจำากัดเฉพาะแพ็คเกจที่ match ที่วิ่งเข้ามาจากฝั่งขา LAN ยกตัวอย่าง LAN
network เป็น 192.168.88.0/24 เปิดโปรแกรม WinBox ไปที่เมนู IP > Firewall > คลิกปุ่ม Add (+) ที่แท็บ General ฟิวด์
Src.Address ให้ใส่เป็น 192.168.88.0/24
และฟิวด์ Connection State กำาหนด match เป็น new

นี้คืออนุญาตการเชื่อมต่อเฉพาะไอพีแอดเดรสต้นทางที่มาจาก LAN เท่านั้น ถ้าเป็นโฮสต์จากฝั่ง WAN ไฟล์วอลล์ของเรา

จะไม่อนุญาตให้ขอเปิดการเชื่อมต่อ

กฏข้อถัดมาจะอนุญาต related connection กฏนี้เป็นเป็นเพียงข้อจำากัดย่อยเนื่องจากเรามีการควบคุมที่ new

connection อยู่แล้ว ในการสร้างกฏข้อที่สองนี้ให้เลือก Connection State เป็น related และกำาหนด action เป็น accept

จากนั้นสร้างกฏข้อที่สามโดยคล้ายกับกฏข้อที่สอง โดยข้อที่สามจะเป็นการอนุญาต established connection

กฏข้อสุดท้ายที่จะทำาให้ forward chain สมบูรณ์ที่สุดก็คือ ดร็อป invalid connection โดยลาก (drag) กฏข้อนี้ให้ไปอยู่
บรรทัดแรก

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 70/ 176

ลำาดับของกฏ

Address Lists

สุดท้ายที่จะกล่าวถึงในส่วนของไฟล์วอลล์ก็คือแอดเดรสลิตส์ เป็นการตั้งชื่อลิตส์โดยจะอ้างอิจกับไอพีแอดเดรสที่ระบุ โดย

Address List จำาเป็นในการแบ่งแยกกฏมันสามารถแบ่งการควบคุมได้ เช่น สำาหรับแต่ละไอพีแอดเดรส, สำาหรับ range
และสำาหรับ subnet นั้นๆ โดยสามารถระบุให้กับ match แพ็คเกจที่ต้องการได้ เพื่อที่ว่ากฏเดียวสามารถนำาไปใช้กับ
หลายๆ กลุ่มใน IP adress หรือใน Subnet

การเรียกใช้งาน เช่น ตั้งชื่องว่า LocalLan มีแอดเดรสเป็น 192.168.88.0/24 จากนั้นในการเรียกใช้ในส่วนของกฏ ที่แท็บ

advanced หรือ action คลิกที่ pull-down ก็เพียงระบุ Src.Address List เป็นชื่อ LocalLan ก็จะหมายถึงการอ้างอิจ
network ไอพีแอดเดรสวง 192.168.88.0/24

Note: พื้นฐานการคอนฟิกไฟลวอลล์ อย่างน้อยต้องมีกฏเกณฑ์อยู่สองกลุ่มนั้นคือกฏใน input chain ในการป้อง

กันเราท์เตอร์ และอีกกฏใน forward chain ในการป้องกันฝั่งไคลเอนต์ในเครือข่าย LAN ของเรา

ตัวอย่าง การคอนฟิกไฟววอลล์ขั้นพื้นฐาน

ตัวอย่างนี้สมมติว่า LAN เครือข่ายเรามีไอพีแอดเดรสเป็น 192.168.1.0/24

 1. เปิดโปรแกรม WinBox คลิกที่ IP > Firewall

2. คลิกที่แท็บ Address List แล้วสร้าง address list โดยกำาหนด Name: LocalLan และ Address:
192.168.1.0/24 เสร็จแล้วคลิกปุ่ม OK

3. คลิกเมนู IP > Firewall > คลิกที่แท็บ Filter > คลิกปุ่ม [+] เพื่อสร้างกฏ

กฏข้อที่ 1: chain เลือกเป็น “input”, ส่วนของ connection state กำาหนดเป็น “invalid” และแท็บ action
กำาหนดเป็น “drop”

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 72/ 176

 กฏข้อที่ 2: คลิกเลือก chain เป็น “forward”, connection state กำาหนดเป็น “invalid” และที่แท็บ action
กำาหนด เป็น “drop”

ทั้งสองกฏที่เราสร้างขึ้นจะ drop การเชื่อมต่อมายังเราท์เตอร์ที่เป็น invalid connection

กฏข้อที่ 3: คลิก [+] เพื่อสร้างกฏใหม่ ที่ chain เลือก “input” ที่แท็บ advanced ที่ช่องฟิวด์ Src.Address List
คลิกเลือก “LocalLan” ที่เราได้สร้างไว้ก่อนหน้านี้ และที่แท็บ Action เลือก “accept”
 กฏข้อนี้จะอนุญาตให้ทุกผู้ใช้บน LAN สามารถเข้าถึงเราท์เตอร์ได้ เราสามารถจำากัดการเข้าถึงเพิ่มเติมได้ถ้า
ต้องการ

กฏข้อที่ 4: คลิก [+] เพื่อสร้างกฏใหม่, ที่ chain เลือก “input” ที่ฟิวด์ Connection State เลือกเป็น
“established” และบนแท็บ Action เลือก “accept” นี้คือกฏที่อนุญาตให้เราท์เตอร์เชื่อมต่อสื่อสารกับโฮตส์อื่นได้
เช่น โฮตส์ไคลเอ็นต์ใช้เซอร์วิส ping หรือ telnet ติดต่อกับเราท์เตอร์

กฏข้อที่ 5: คลิก [+] เพื่อสร้างกฏใหม่, สำาหรับการสร้าง rule นี้ แนะนำาให้ทำาใน Safe Mode หากผิดพลาดการ
เชื่อมต่อไปยังเราท์เตอร์จะถูกตัดทันที (disconnect) ที่ chain เลือก “input” , ที่แท็บ Action เลือกเป็น “drop”

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 74/ 176

นี้คือกฏที่จะ drop แพ็คเกจทุกๆ โฮสต์ที่พยายามเข้าถึงเราท์เตอร์

กฏข้อที่ 6: คลิก [+] เพื่อสร้างกฏใหม่, chain เลือก “forward” ที่ฟิวด์ Connection State กำาหนดเป็น
“new” ที่แท็บ Advanced ที่ฟิวด์ Src.Address List กำาหนดเป็น “LocalLan” และที่แท็บ Action กำาหนดให้เป็น
“accept” นี้เป็น rule ที่อนุญาตให้รับการร้องขอสร้าง new connection จากฝั่งขา LAN ของเน็ตเวิกส์เราที่ ผ่าน
เราท์เตอร์
 กฏข้อที่ 7: คลิก [+] เพื่อสร้างกฏใหม่, chain เลือก “forward” ที่ฟิวด์ Connection State เลือก “related” และ
ที่แท็บ Action เลือกเป็น “accept” นี้เป็น rule ที่อนุญาต related connection ระหว่างการเชื่อมต่อผ่านเรา เตอร์

กฏข้อที่ 8: คลิก [+] เพื่อสร้างกฏใหม่, chain เลือกเป็น “forward” ที่ฟิวด์ Connection State เลือก
“established” และที่แท็บ Action ตรงฟิวด์ Action เลือก “accept”

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 76/ 176

 กฏข้อที่ 9: เราจะดร็อป ทุกการเชื่อมต่อที่ผ่านเราท์เตอร์ คลิก [+] เพื่อสร้างกฏใหม่, chain เลือกเป็น “forward”
และคลิกที่แท็บ Action ตรงฟิวด์ Action เลือก “drop”

อธิบายเพิ่มเติมของกฏแต่ละข้อ

กฏข้อที่ 1 และ 2: ไม่อนุญาติ (ดร็อป) แพ็คเกจที่เป็น invalid connection (เป็นแพ็คเกจที่ไม่เกี่ยวข้องกับส่วนอื่นเลย เช่น

icmp echo-reply ที่เกิดขึ้นโดยไม่มีโฮตส์เครื่องใดในระบบส่ง echo-request ออกไป) ผ่านเข้ามายังเราท์เตอร์ (input
chain) และ แพ็คเกจที่มาจากเครือข่ายภาพนอกที่มีปลายทาง (destination host) เป็นเครืองภายในเครือข่ายเรา
(forward chain)

กฏข้อที่ 3: อนุญาตให้เครือข่ายภายในต้นทาง (Source Address) จาก LAN ไคลเอ็นต์ สามารถเชื่อมต่อเข้าถึงเราท์เตอร์

ได้ (ทุกเซอร์วิส)

กฏข้อที่ 4: อนุญาตให้สามารถสร้างการเชื่อมต่อใหม่ (new connection) ทางขาเข้า (input chain) เช่น สมมุติว่าเราใช้คำา

สัง่ ping มายังเราท์เตอร์ ที่ไฟล์วอลล์ connection ก็จะมีการสร้างการเชื่อมต่อใหม่จากเราท์เตอร์เกิดขึ้น หรือถ้าโฮตส์
ไคลเอ็นต์ใช้ WinBox ก็จะมีการเปิดเซสชั่น telnet ขึ้น และเมื่อสร้างการเชื่อมต่อสำาเร็จ ก็จะมีการตอบกลับการเชื่อมต่อที่
สมบูรณ์ (established connection)

กฏข้อที่ 5: ไม่อนุญาต (ดร็อป) แพ็คเกคขาเข้านั้นก็คือ input chain โดยเป็นพื้นฐานการสร้างกฏไฟล์วอลล์อยู่แล้วว่าเมื่อ

เราได้อนุญาตทุกอย่างที่ต้องการแล้ว เราก็ต้องปิดท้ายด้วยการไม่อนุญาตอย่างอื่นๆ (drop everything else)

กฏข้อที่ 6: เพิ่มความปลอดภัยให้เครือข่ายภายในของเรา โดยการจำากัดการเชื่อมต่อ หรืออนุญาตเฉพาะ LAN ให้สามารถ

สร้างการเชื่อมต่อผ่านเราท์เตอร์ติดต่อกับเครือข่ายภาพนอกได้

กฏข้อที่ 7: หลังจากที่เราได้กำาจัดการสร้างการเชื่อมต่อจากกฏข้อที่ 6 แล้ว โดยกฏข้อนี้เราจะทำาการอนุญาต (accept)

แพ็คเกจการเชื่อมต่อที่เป็น related connection ก็คือแพ็คเกจที่เกี่ยวข้องกับ connection ที่สร้างการเชื่อมต่อแล้ว แต่
ไม่ใช่ส่วนหนึ่งของการเชื่อมต่อ เช่น FTP พอร์ต 20 (data package) ที่เกิดขึ้นระหว่างการใช้คำาสั่ง FTP command (พอรต์
21)

กฏข้อที่ 8: เช่นเดียวกัน หลังจากที่เราได้กำาจัดการสร้างการเชื่อมต่อจากกฏข้อที่ 6 แล้ว โดยกฏข้อนี้เราจะทำาการอนุญาต

(accept หรือยอมให้ผ่าน) จากการเชื่อมต่อที่เป็นการสร้างไว้แล้ว (established connection) ก็คือถ้าเป็นแพ็คเกจที่ส่ง
ออกจาก LAN มีการสร้างการเชื่อมต่อไว้แล้ว ก็อนุญาตให้ส่งข้อมูลผ่านไปได้ ซึ่งมีความสัมพันธ์กับ related connection
กฏข้อที่ 9: โดยกฏข้อนี้จะไม่อนุญาต (drop rule) แพ็คเกจจาก forward chain เข้าใจง่ายๆ ก็คือเมื่อเราอนุญาตทุกอย่างที่
ต้องการแล้ว จากนั้นเราก็ต้องปิดท้ายด้วยการไม่อนุญาตอย่างอื่นๆ (drop everything else)

Note: ถ้าเราต้องการสร้างกฏที่มีการกำาจัดโปรโตคอล เช่น SSH โดยไม่อนุญาตให้ LAN ไคลเอ็นต์ เชื่อมต่อผ่าน

โปรโตคอล SSH ไปยังโฮตส์ภายนอกได้ เราก็ต้องสร้างกฏไม่อนุญาต (drop rule) ที่ forward chain และ
matching port 22 (SSH port) โดยกฏข้อนี้ต้องอยู่บรรทัดบนๆ ของลำาดับกฏเรา ผลพันธ์ก็คือ LAN ไคลเอ็นต์จะ
ไม่สามารถที่จะเริ่มต้นสร้างการเชื่อม SSH connection ผ่านไฟล์วอลล์ออกไปภายนอกได้ (outside)

สรุป ในบทที่ 8 จะกล่าวถึงรายละเอียดของไฟล์วอลล์ (iptables)ในส่วนของ Filter Rule ซึ่งเป็น table ที่อยู่ใน iptables
ประกอบด้วย chain INPUT, chain FORWARD และ chain OUTPUT นี่ยังไม่ได้กล่าวถึงส่วนที่เป็น NAT table ซึ่ง NAT
table ก็จะประกอบด้วย chain PREROUTING, chain OUTPUT และ chain POSTROUTING โดยจะอธิบายในบทถัดไป
ครับ

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 78/ 176

บทที่ 9 – Network Address Translation (NAT)

ในบทนี้จะอธิบายถึงเรื่องไอพีต้นทาง (source IP), ไอพีปลายทาง (destination IP), พอร์ตต้นทาง (source port), และ
พอรต์ปลายทาง(destination port) ของไอพีแพ็เกจ (IP packet) ซึ่งมีความสำาคัญเกี่ยวข้องกับเรื่องของไฟล์วอลล์เมื่อบวก
กับการเชื่อมต่อสื่อสารแล้ว 4 ส่วนนี้เป็นส่วนประกอบสำาคัญที่จะทำาให้ไฟร์วอลล์มีประสิทธิภาพ (powerfull firewall)

ถ้าพูดถึงต้นทุนเรื่องราคากับอุปกรณ์คู่แข่งอื่นๆ MikroTik กินขาดครับ เนื่องจากอุปกรณ์ RouterOS มีราคาเริ่มตั้งแต่หลัก

1,000-2,000 บาทขึ้นไป โดยนอกเหนือจากฟังก์ชั่นไฟร์วอลล์ 4 ส่วนนี้แล้วไฟร์วอลล์บน RouterOS คุณสมบัติอีกทั้งยัง
สามารถสอบและติดตามข้อมูล (tracked) และจัดการเรียกใช้ฟังก์ชั่น NAT หรือ Network Address Translation

NAT คือการแปลงไอพีต้นทาง (source IP), ไอพีปลายทาง (destination IP), พอร์ตต้นทาง (source port), และ พอรต์
ปลายทาง(destination port) ของไอพีแพ็เกจ (IP packet) ซึ่งอนุญาตหรือสนับสนุนการทำา masquerading (หรือ
MASQUERADE คือการทำาให้ MikroTik Router สามารถแชร์อินเทอร์เน็ตให้เครื่องลูกข่ายได้) ซึ่งจะทำาการซ่อนเครือข่าย
ส่วนบุคคล (private network) ก่อนออกสู่สาธารณะ (public network address) ซึ่งจะทำาการซ่อนเครือข่ายส่วนตัวของ
เรา (private network) ก่อนออกสู่สาธารณะ (public network address) และตรงกันข้าม NAT ฟังก์ชั่น destination NAT
ยังช่วยให้เครือข่ายสาธารณะ (public network) สามารถเข้าถึงเซิร์ฟเวอร์ภายในได้ (private server)

ฟังก์ชั่น NAT ก็คล้ายๆ กันกับฟังก์ชั่นไฟว์วอลล์ ซึ่งถูกจัดอยู่ในส่วนของ chain โดยดีฟอลล์ chain ได้แก่

1. Source NAT (srcnat) คือทำาหน้าที่แปลงไอพีแอดเดรสต้นทางของแพ็คเกจ (แปลงไอพีส่วนบุคคลเป็นไอพี

สาธารณะ)
2. Destination NAT (dstnat) คือทำาหน้าที่แปลงไอพีแอดเดรสปลายทางของแพ็คเกจ (แปลงไอพีจากไอพี
สาธารณะเป็นไอพีส่วนบุคคล)

Source NAT (หรือที่เรียก SNAT หรือ Outbound NAT)

Source NAT เป็นฟังก์ชั่นที่มีการใช้งานมากที่สุดใน masquerading ที่ใช้ในการซ่อนเครือข่ายส่วนบุคคล (private

network) ก่อนออกสู่สาธารณะ (public network) เป็นฟังก์ชั่นที่อนุญาตให้เราท์เตอร์แชร์อินเทอร์เน็ต ให้คอมพิวเตอร์
เครื่องอื่นๆ ภายในเครือข่าย (โซน LAN หรือ DMZ) สามารถเชื่อมต่ออินเทอร์เน็ตได้จากไอพีสาธารณะเพียงไอพีแอดเดรส
เดียว เช่นเดียวกันกับฟังก์ชั่นการทำางานของ NAT คือเพียงแค่ทำาหน้าที่แปลงแอดเดรสต้นทางหรือปลายทางของไอพี
แอดเดรส หรือหมายเลขพอร์ต ก่อนที่จะส่งแพกเก็ตนั้นออกไป โดยหลักการทำางานเช่นเดียวกันการฟังก์ชั่นไฟร์วอลล์ โดย
พื้นฐานของกฏแพกเก็ตจะต้อง match ตามกฏที่สร้างไฟร์วอลล์ถึงทำางาน
ตัวอย่าง คอนฟิกง่ายๆ สำาหรับการสร้างกฏ source NAT และ masquerade, เลือก chain เป็น “srcnat” และกำาหนดให้
แพกเก็ตวิ่งออกอินเทอร์เน็ตผ่านอินเทอร์เฟตขาออก “out interface” และตั้งค่า action เป็น masquerade

“srcnat” บอกให้เราท์เตอร์ strip off แหล่งที่มาของไอพีแอดเดรส

ยกตัวอย่างเช่น source IP address เป็นไอพีส่วนบุคคล 192.168.1.0/24 ถ้าโฮสต์ไอพี 192.168.1.2 ส่งแพกเก็ตออกไป
ยังอินเทอร์เน็ต มันจะบอกต้นทางว่ามาจาก 192.168.1.2 แต่เมื่อแพกเก็ตวิ่งผ่านไฟร์วอลล์เรา ที่มีการกำาหนดกฏเป็น
source NAT เราท์เตอร์จะทำาการตัดแหล่งที่อยู่ของแพกเก็ตต้นทางออก (strip source IP Address)

“out interface” บอกให้เราท์เตอร์ใช้เฉพาะแพกเก็ตที่วิ่งออกอินเทอร์เฟส ether1 (ซิ่งเป็นอินเทอร์เฟสที่เชื่อมต่อกับ

อินเทอร์เน็ต)

“masquerad” บอกให้เราท์เตอร์ทำาการแปลงไอพีส่วนบุคคลต้นทาง (private IP) เป็นไอพีสาธารณะ (public IP) ที่แพก

เก็ตวิ่งออกนั้นคือ ether1 ซึ่งแหล่งที่มาของแพกเก็ตจะไม่ใช้มาจากไอพี 192.168.1.2 มันจะมีต้นทางแพกเก็ตเป็น
23.14.55.243 ดังรูป จากนั้นเราท์เตอร์จะทำาการ make record ของ source และ destination IP address และพอร์ต ใน
ตารางการเชื่อมต่อ (connection tracking table)

ดังนั้นถึงเป็นสิ่งที่จำาเป็นเมื่อแพกเก็ตที่ส่งกลับมาจากโฮตส์ปลายทางจะส่งมายังเราท์เตอร์ จากนั้นเราท์เตอร์จะเทียบกับ
ตาราง connection tracking ว่าต้นทางและปลายทางไอพีแอดเรดส และพอร์ต match หรือไม ซึ่งตอนนี้ destination IP
คือไอพีสาธารณะของเราท์เตอร์ (public IP) และ stripped off (ร่วมเข้าด้วยกัน) แล้วส่งแพกเก็ตต้นฉบับ (original
packet) ให้กับ private IP ของโฮสต์เพื่อที่จะนำาไปใช้

Note: การทำา source NAT จะทำาที่ POSTROUTING chain เป็นหลัก

Destination NAT (หรือที่เรียก DNAT หรือ Port Forwading)

ตามที่อธิบายมา Source NAT มักจะใช้สำาหรับ masquerade แต่ก็ยังมีประโยชน์อื่นๆ หัวข้อนี้จะอธิบายถึง Destination

NAT โดยหลักการใช้งานอย่าง ใน source NAT นั้นเราท์เตอร์จะทำาการตัดแหล่งที่อยู่ไอพีแอดเดรสส่วนบุคคลจากแพก
เก็ตต้นทางออก และแทนที่ด้วยไอพีแอดเดรสสาธารณะของเราท์เตอร์ ส่วน Destination NAT กระบวนการทำางานก็มี
ลักษณะเดียวกัน แต่กฏที่สร้างขึ้นจะอยู่ใน chain “dstnat” และเราท์เตอร์จะทำาการตัดแหล่งที่อยู่ไอพีแอดเดรสจากแพก
เก็ตปลายทาง และแทนที่ใหม่ ความสามารถของฟังก์ชั่น Destination NAT ยังสามารถระบุหมายเลขพอร์ตปลายทางได้
เช่นกัน

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 80/ 176

ประโยชน์การใช้ DNAT กรณีที่เรามีเซิร์ฟเวอร์ให้บริการแก่สาธารณะหรือให้บริการบนอินเทอร์เน็ต เช่น เมลเซิร์ฟเวอร์,
เว็บเซิร์ฟเวอร์ เป็นต้น และการให้บริการของแต่ล่ะโปรแกรมก็จะทำางานที่เซอร์วิสพอร์ต (Service) ที่แตกต่างกัน (เมล
เซิร์ฟเวอร์ SMTP พอร์ต 25, เว็บเซิร์ฟเวอร์ HTTP พอร์ต 80) ประโยชน์ที่ได้จาก destination NAT คือไอพีสาธารณะเพียง
หนึ่งไอพีแอดเดรสสามารถให้บริการได้มากกว่าหนึ่งบริการในเวลาเดียวกัน

ตัวอย่าง เรามีเมลเซิร์ฟเวอร์ภายในเครือข่ายเป็น private network และการอนุญาตจะต้องอนุญาต inbound mail ให้ส่ง

ไปยังเครื่องเมลเซิรฟเวอร์ที่เป็น private ไอพีแอดเดรสขั้นตอนคือสร้าง NAT rule ที่ chain เป็น “dstnat” และ match ทุก
แพกเก็ตเป็น public ไอพีแอดเดรส “Dst. Address” โดยในกฏนี้เราจะใช้ public ไอพีแอดเดรสของเรา เพราะไอพี
แอดเดรสเราจะทำาการแม็ทกับชื่อ DNS (Domain Name System) บอกว่าชื่อนี้เป็นเครื่องเมลเซิฟร์เวอร์ของเรา เช่น
mail2.yourdomain.com เมื่อแพกเก็ตจากเมลเซิร์ฟเวอร์อื่นๆ ส่งมายัง mail2.yourdomain.com นั้นหมายถึงเราท์เตอร์
เราจากนั้นกฏ dstnat จะตัดแหล่งที่อยู่ไอพีแอดเดรสปลายทาง และแทนที่ด้วย pivate ไอพีแอดเดรสปลายทาง หรือเรา
สามารถที่กำาหนดพอร์ตแพกเก็ตที่แตกต่างกันได้ เชน เปิด HTTP พอร์ต 80 บนเราท์เตอร์ เราสามารถที่จะ NAT แปลง
พอร์ตปลายทางเป็นพอร์ต 8080 เพื่อเชื่อมต่อไปยังเครื่องเว็บเซิร์ฟเวอร์ภายใน (internal web server หรือ local intranet)

Note: การทำา Destination NAT จะทำาที่ PREROUTING chain เป็นหลัก

ทำาไมเราถึงต้องทำา Destination NAT? เมื่อมีหนึ่ง public ไอพีแอดเดรส และออฟฟิศมีเว็บแอพพลิเคชันใช้งาน

และเข้าถึงผ่าน public IP address โดยที่โฮสต์เว็บเซิร์ฟเวอร์อยู่ใน private network เปิดเซอร์วิสพอร์ต 80 และ
ต้องการที่จะให้สาธารณะเข้าถึงเว็บไซต์บริษัทซึ่งรันอยู่บนโฮตส์เว็บเซิร์ฟเวอร์เหมือนกัน หรือบริษัทมี 2 เว็บ
เซิร์ฟเวอร์ และโฮสต์เซิร์ฟเวอร์ที่แยกต่างกัน รันเว็บเซิร์ฟเวอร์พอร์ต 80 ให้บริการสำาหรับพาร์ทเนอร์ และบริษัทมี
เพียงหนึ่ง public IP address และเครื่องเว็บเซิร์ฟเวอร์ 2 เครื่อง รันบนเซอร์วิสพอร์ต 80 เริ่มจะไม่แน่ใจแล้วสิครับ
ว่าทำาได้หรือไม่ได้ นี้เป็นคำาตอบว่าทำาไม่ถึงต้องใช้ destination NAT วิธีการก็คือแปลงพอร์ตปลายทาง

Host 1 – Public Web Server

Public IP addaress 122.155.1.8 มาตราฐานพอร์ต HTTP พอร์ต 80
Private IP address 192.168.1.20 มาตราฐาน HTTP พอร์ต 80

Host 2 – Partner Web Server

Public IP addaress 122.155.1.8 รันเซอร์วิสพอร์ต 81 ไม่ใช้พอร์ต
มาตรฐาน
Private IP address 192.168.1.21 เว็บเซิร์ฟเวอร์รันบนมาตราฐาน HTTP
พอร์ต 80
จากโจทย์จะต้องสร้าง NAT rules ดังนี้

กฏข้อที่ 1 - กำาหนด
Chain = dstnat
Dst. Address = 192.168.251.2 (ถ้าใช้ Modem DSL Router เช่น ไอพีแอดเดรส 192.168.251.1 จะต้อง NAT พอร์ต
81 ก่อน) ถ้าเป็น Public IP address, Dst. Address ก็ไม่ต้องกำาหนดอะไร
protocol = TCP
Dst. Port = 80
Action = dst-nat
To Address = 192.168.1.20
To Ports = 80

กฏข้อที่ 2 – กำาหนด
Chain = dstnat, protocol = TCP
Dst. Address = 192.168.251.2 (ถ้าใช้ Modem DSL Router เช่น ไอพีแอดเดรส 192.168.251.1 จะต้อง NAT พอร์ต
81 ก่อน) ถ้าเป็น Public IP address, Dst. Address ก็ไม่ต้องกำาหนดอะไร
Dst. Port = 81
Action = dst-nat
To Address = 92.168.1.21
To Ports = 80

กฏข้อที่ 3 – Filter Rules

Chain = forward
Src. Address = 192.168.21
Protocol = TCP
Dst. Port = 81
Action = accept

กฏข้อที่ 4 – Mangle สำาหรับใช้อินเทอร์เน็ตหลายเจ้า (Multi ISP Service Provider)

Chain = Prerouting
Src. Address = 192.168.1.21
Connection Mark = Name of Routing Table เช่น TRUE
Action = mark routing

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 82/ 176

New Routing Mark = Name of Routing Table เช่น TRUE

ทดสอบ

เปิดเว็บบราวเชอร์แล้วพิมพ์ URL : http://122.155.1.8 และ http://122.155.1.8:81

NAT แบบพิเศษ (Special Types of NAT Rules)

Source NAT With Multiple Public IP Address

เป็นการทำา source NAT โดยมีหลาย Public IP Address ถ้าเรามีเพียงหนึ่ง Public IP Address ในการออกอินเทอร์มันก็
คงไม่ใช้เรื่องอยากอะไรมากมาย เพียงกำาหนด default router ให้อยู่บน subnet ของผู้ให้บริการอินเทอร์ และสร้าง rule
สำาหรับ masquerade ของแพกเก็ต เท่านี้ก็สามารถบอกได้แล้วว่าแพกเก็ตมี source มาจาก Public IP Address ของเรา
ท์เตอร์เรา แต่สถานการณ์ที่เราจะพูดถึงก็คือมีการเพิ่ม Public IP Address เป็น secondary ไอพีแอดเดรส สถานการณ์
เห็นได้ชัดเจนบนระบบ Multiple WAN ที่เราเลือกใช้บริการอินเทอร์เน็ตจากผู้ใช้บริการหลายๆ เจ้า ซึ่ง subnet ของไอพี
แอดเดรสก็แตกต่างกัน คำาถามมีอยู่ว่าหากเราต้องการใช้ไอพีแอดเดรสที่สอง (Secondary Public IP Address) นี้สำาหรับ
ให้บริการเมลเซิร์ฟเวอร์โดยที่เครื่องเมลเซิร์ฟเวอร์นี้อยู่บน private network โดยที่ไม่ให้เครื่องเมลเซิร์ฟเวอร์ที่อยุ่ทั่วโลก
มองว่าเครื่องเมลเซิร์ฟเวอร์เราไม่ใช้เครื่องส่งอีเมลที่ไม่พึ่งประสงค์ (SPAM) หนึ่งในวิธีการที่ใช้ในการตรวจสอบก็คือ
Reverse DNS (เป็นการเปลี่ยนจากไอพีแอดเดรส กลับมาเป็นชื่อโฮตส์เนม) โดยใช้การสอบตรวจดูต้นทางของเมล
เซิร์ฟเวอร์ (ใช้คำาสั่ง nslookup ตามด้วยชื่อโดเมน หรือซับโดเมน) ที่ใช้ในการส่งอีเมลมายังเมลเซิร์ฟเวอร์ของเรา และต้อง
แน่ใจว่าบัญชีเมล (email account) นั้นเป็นสมาชิกภายใต้ชื่อโดเมนที่ถูกต้อง

รูปแบบการใช้พิมพ์คำาสั่ง nslookup ตามด้วยหมายเลขไอพีแอดเดรส

เช่น nslookup 122.155.1.8
จะเห็นได้ว่าไอพีแอดเดรส 122.155.1.8 สามารถ reverse กลับมาได้เป็นเชื่อ ns.mail.in.th

จากตัวอย่างความต้องการเราก่อนหน้านี้คือใช้ secondary Public IP Address สำาหรับให้บริการเมลเซิร์ฟเวอร์ เราจะต้อง

เพิ่ม forward DNS ไปยัง secondary Public IP Address บนเราท์เตอร์ และเซต reverse DNS เหมือนกัน โดยเราจะต้อง
มีวิธใี นการจัดการกับแพกเก็ตเหล่านั้น โดยเซตแพกเก็ต source IP แพกเก็ตต้นทางว่าออกจาก secondary ไอพีแอดเดรส
ของเมลเซิร์ฟเวอร์เรา ซึ่งนี้ไม่ใช่วิธีปกติในการสร้างกฏแบบ single source NAT บน action ที่เป็น masquerade

สมมุติว่า
Public IP บนเราท์เตอร์ 23.0.12.2
Default gateway บนเราท์เตอร์ 23.0.12.1
Mail Server private IP Address 192.168.1.2
Secondary public IP Address 23.0.12.3 (inbound access หรือประตูเมลขาเข้าสำาหรับ
เข้าถึงเมลเซิร์ฟเวอร์เรา)

แต่บางวิธี inbound access (inbound mail gateway) อาจจะเป็นเครื่องกรองสแปมเมลอีเมลขาเข้าก่อน ที่จะ

ปล่อยให้อีเมลผ่านไปยังเซิร์ฟเวอร์ และถูกส่งออกไปยังเซิร์ฟเวอร์ผู้รับเมล

สำาหรับ inbound access ถ้าเราสร้างกฏ destination NAT ในการรับเมลบนไอพีแอดเดรส 23.0.12.3 และ destination
NAT ไปยังไอพีแอดเดรส 192.168.1.2 เท่านี้เป็นอันเสร็จ แต่มันจะ masquerade ทุกอย่างออกเป็น public อินเตอร์เฟซ
เรา ซึ่งทุกทราฟฟิกในการส่งเมลจากเซิร์ฟเวอร์เราจะมีไอพีแอดเดรสต้นทางจาก 23.0.12.2 ดังนั้นเมลถึงหาย solution ใน
การแก้ไขปัญหานี้คือ การใช้ source NAT rule ซึ่งจะ match แพกเก็ตที่มาจาก 192.168.1.2 และกำาหนด action หรือ
source NAT ไปยังไอพีแอดเดรส 23.0.12.3 ซึ่งการสร้างกฎข้อนี้จะแก้ไขปัญหาดังกล่าว

Destination NAT with Action Redirect

เป็นรูปแบบการทำา destination NAT แบบเปลี่ยนเส้นทางแพกเก็ต การทำา destination NAT แบบพิเศษนี้ เช่น การทำา
transparent proxy โดยการเปลี่ยนทราฟฟิกเว็บให้ผ่านไปยัง squid proxy รันอยู่ เป็นการ redirect โปรโตคอล tcp พอร์ต
80 ไปเป็นพอร์ต 3128 ที่เครื่องพร็อกซีเซิร์ฟเวอร์รันโปรแกรม squid อยู่ (โปรแกรมที่ได้รับความนิยมมากที่สุด) เมื่อ
คอนฟิกเสร็จ เราท์เตอร์จะดักจับ (capture) ทุกการร้องขอที่เป็นโปรโตคอล HTTP แพกเก็ต และส่งทราฟฟิกไปยังเครื่องพร็
อกซีเซิร์ฟเวอร์ (Proxy Server)

Note: RouterOS สนับสนุนการทำา Proxy Server ด้วยโปรแกรม Squid อยู่แล้วเพียง enable ฟีเจอร์เปิดใช้งาน
แต่เพื่อเพิ่มประสิทธิแนะนำาควรใช้พร็อกซีแยกเครื่อง (External Proxy Server)

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 84/ 176

 ตัวอย่าง การทำา Masquerade Rule

การทำา masquerade อาจเรียกได้ว่าเป็นรูปแบบการทำา source NAT แบบพิเศษ ซึ่งนำามาใช้งานกรณี ที่เราท์เตอร์ได้รับไอ

พีแอดเดรสแบบไม่ซำ้า (Dynamically-assiged IP address) จากผู้ให้บริการอินเทอร์เน็ต (ISP) ยกตัวอย่าง เช่น เราท์เตอร์
เชื่อมต่อผ่านโมเด็มล็อกอินด้วยยูสเซอร์เนมและรหัสผ่าน ไปยังผูใ้ ห้บริการอินเทอร์เน็ต โดยพื้นฐานอินเทอร์เน็ตตามบ้าน
(Home Use) เราจะได้รับไอพีแอดเดรสแบบไม่ซำ้ามา เมื่อมีการปิด/เปิดเราท์เตอร์ ไอพีแอดเดรสที่ได้รับก็จะเปลี่ยนแปลง
ไปเรื่อยๆ ส่วนถ้าผู้ใช้สมัครใช้บริการเป็นแพ็คเกจที่เป็น corporate package แบบ Static IP address ก็จะได้รับไอพี
แอดเดรสเดิมทุกครั้งที่เชื่อมต่อ (FixIP) ข้อดีของ masquerading คือเราไม่จำาเป็นต้องระบุไอพีแอดเดรสที่จะใช้ในการ
เปลี่ยน

รูปแบบ iptables (รันคำาสั่งที่เครื่องลินุกซ์ที่ทำาหน้าที่หมุนโมเด็ม หรือที่เรียกว่า Linux Router)

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

หมายความว่าทำา masquerading ทุกแพกเก็ตที่วิ่งออนผ่าน ppp0

สำาหรับอุปกรณ์ MikroTik RouterOS เราสามารถคอนฟิกผ่าน GUI ได้เลย

ตัวอย่างนี้จะใช้ WinBox โดยสมมุติให้การเชื่อมต่ออินเทอร์เน็ตออกอินเทอร์เฟส ether1-gateway

1. สร้าง NAT rule ไปที่เมนู IP > Firewall

คลิกที่แท็บ NAT จากนั้นคลิกปุ่ม +

 2. เลือก chain “srcnat” และกำาหนด Ou.Interface เป็น “ether1-gateway”

3. ไปที่แท็บ Action และกำาหนด Action เป็น “masquerade “

จาก NAT rule ที่เราสร้างขึ้นหมายความว่าทำา masquerading ทุกทราฟฟิกที่วิ่งออกผ่านอินเทอร์เฟส ether1-gateway

หรืออินเทอร์เน็ตอินเทอร์เฟส ยกเว้นทราฟฟิกภายใน (local traffic)

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 86/ 176

 ตัวอย่าง การทำา Destination NAT ให้กับเว็บเซิร์ฟเวอร์ภายใน (Private Network)

ในตัวอย่างนี้จะเป็นการทำา DNAT สำาหรับ Web Server บนเครือข่ายส่วนบุคคล (Private NetworK) โดยวิธีเปลี่ยนพอร์ต

โดยที่ local network เราต้องมีเครื่องเว็บเซิร์ฟเวอร์รันอยู่เป็น private IP address ซึ่งมีรายละเอียดดังนี้

สมมุติว่า

- บริษัทให้บริการ GroupWare เซิร์ฟเวอร์บนพอร์ต 80 และใช้งานเฉพาะเครือข่ายภายในเท่านั้น (local hosts)

- เครื่อง Web Server รันเว็บไซต์บริษัทบนพอร์ต 8080 โดยเครือข่ายภายนอก (public outside) เข้าถึงได้ผ่านโปรโตคอล
มาตราฐาน HTTP พอร์ต 80

Private IP address (Web Server) 192.168.1.10

Public IP Address 122.155.1.8

1. สร้าง NAT rule ไปที่เมนู IP > Firewall > คลิกที่แท็บ NAT

คลิกเครื่องหมาย +

2. เลือก chain เป็น “dstnat” และ Dst.Address ใส่เป็นหมายเลข public IP address (ตัวอย่างนี้คือ
122.155.1.8) กำาหนด Protocol เป็น “TCP” และ Dst. Port เป็น “80”
 3. คลิกไปที่แท็บ Action ช่องฟิวด์ Action กำาหนดเป็น “dst-nat” ช่องฟิวด์ To Address ใส่หมายเลข private IP
address “192.168.1.10” และ To Ports เป็น “8080”

TCP แพกเก็ตทั้งหมดที่ตรงกับกฏข้อนี้ที่ไป public IP (122.155.1.8) พอร์ต 80 จะถูกทำาการเปลี่ยนค่าไอพีแอดเดรสปลาย

ทาง แทนทีด่ ้วย private IP (192.168.1.10) และแทนที่พอร์ตปลายทางเป็นพอร์ต 8080 ส่วนเครือข่ายภายนอกทั่วโลก
สามารถเข้าถึงเว็บไซต์บริษัทผ่านไอพีแอดเดรส 122.155.1.8 บนมาตราฐานพอร์ต 80

ตัวอย่าง การทำา Source NAT จากทราฟฟิกต้นทางเฉพาะบางไอพีแอดเดรส

ในตัวอย่างนี้เราจะสมมุติว่า public IP address สำาหรับการออกอินเทอร์เน็ต และการเซตอับในบางอย่างเราต้องการใช้

มากกว่าหนึ่งไอพีแอดเดรส (Multiple public IP address) บนบางอินเทอร์เฟส หรือทุกๆ อินเทอร์เฟส เช่น อาจจะเป็น
ลักษณะการทำาลิงกสำารอง (Backup link สำาหรับ Failover) หมายถึงสามารถเข้าถึงบริการได้ผ่านหลายๆ public IP
address และในสถานการณ์นี้เราท์เตอร์จะทำา masqueraded ทราฟฟิกเพียง masquerade rule เดียวและไม่มี NAT
rule อื่นๆ โดยทั่วไปไอพีแอดเดรสต้นทางจะมาจากเส้นทางเริ่มต้น (default route) ซึ่งเป็นจริงอย่างแน่นอนในตัวอย่างที่

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 88/ 176

อธิบายข้างต้น
ที่นี้เรามาทำาความเข้าใจให้ชัดเจนกัน พูดง่ายๆ คืองานนี้มันต้องเคลียร์ ถ้า MikroTik เราท์เตอร์เรามี public IP address
เป็น 221.155.1.8 และ default gateway คือ 221.155.1.1 ทุกทราฟฟิกที่ออกข้างนอกจะแอดเดรสต้นทางเป็นไอพี
221.155.1.8 ถ้งแม้จะทำาเป็น bound อินเทอร์เฟส ดังนั้นหากเราต้องการ public IP address เพิ่มเติมจากผู้ให้บริการ มา
ใช้สำาหรับเว็บเซิร์ฟเวอร์ไว้ให้บริการแก่สาธารณะเป็นไอพีแอดเดรส 221.155.1.9 แล้วถ้าเราทำาการสร้าง destination NAT
rule เหมือนตัวอย่างข้างต้น เพื่อชี้ไอพีแอดเดรสใหม่นี้ไปยังไอพีแอดเดรส 192.168.1.10 นี้คือระบบจะทำางานได้ดี แต่
ความจริงแล้วทราฟฟิกที่วิ่งออกผ่านเราท์เตอร์จะยังคงมีแอดเดรสไอพีต้นทางที่มาจาก 221.155.1.8 และในการทำางาน
จริงอาจก่อให้เกิดปัญหาอย่างอื่นตามมา เพื่อแก้ปัญหานี้เราสามารถใช้ source NAT เป็นโซลูชั่นในการแก้ไขปัญหานี้ได้

1. สร้าง NAT rule ขึ้นมาใหม่ ไปที่เมนู IP > Firewall

คลิกที่แท็บ NAT จากนั้นคลิกปุ่ม +

2. สร้าง NAT rule ที่ฟิวด์ chain เลือกเป็น “srcnat” และ Src.Address เป็น 192.168.1.10

3. คลิกไปที่แท็บ Action ที่ฟิวด์ Action เลือกเป็น “src-nat” และ To Address ใส่เป็นไอพีแอดเดรส 221.155.1.9
กฏนี้ตรงกับทราฟฟิกที่มาจากเว็บเซิร์ฟเวอร์ทั้งหมด เราท์เตอร์จะทำาการเปลี่ยนแอดเดรสต้นทาง และแทนที่ด้วย public IP
address ที่สอง (221.155.1.9) สำาหรับทราฟฟิกขาออก (outbound traffic)

ในสถานการณ์ตัวอย่างนี้จะต้องสร้างกฏสำาหรับ NAT ขึ้นด้วยกันทั้งหมด 2 ข้อ กฏข้อที่หนึ่งเป็น destination NAT สำาหรับ

ทราฟฟิกขาเข้ามา (inbound traffice) ผ่านโปรโตคอล TCP พอร์ต 80 ฟอร์เวิร์ดทราฟฟิกไปยังไอพีแอดเดรส
192.168.1.10 และกฏข้อที่สองทราฟฟิกที่มีต้นทางมาจาก 192.168.1.10 ให้ทราฟฟิกออกจากเร้าเตอร์มีไอพีแอดเดรส
เป็น 221.155.1.9

ตัวอย่าง การทำา Destination NAT ด้วยกระบวนการส่งต่อแพคเจ (Action Redirect)

ในตัวอย่างนี้เราจะต้องทำาดักจับทราฟฟิก DNS ขาออกทั้งหมด (outbound) ที่มาจาก local network และโปรเซสการส่ง

DNS reques บนเราท์เตอร์ของเราไปยัง DNS resolver ที่ต่างๆ อาจจะเป็นของผู้ให้บริการอินเทอร์เน็ตหรือเป็น Open
DNS resolver ที่มีอยู่ทั่วไปในอินเทอร์เน็ต ที่ได้รับความนิยมก็เช่น Google Public DNS เป็นต้น

ตอนนี่เราต้องคอนฟิก DNS เซิร์ฟเวอร์บน MikroTik เราท์เตอร์เราเพื่อทำาหน้าที่เป็น DNS Caching ภายในองค์กร คือ

ผลลัพธ์ทั้งหมดจะถูกเก็บไว้ ทำาให้เวลาการตอบสนองในครั้งถัดไปเร็วขึ้น และต้อง intercept DNS แพกเก็ตพอร์ต 53
(UDP และ TCP) ด้วย โดยการบล็อกทราฟฟิก ไม่อนุญาตอนุญาตให้ทำา forward DNS request ไปยัง Public DNS
เซิร์ฟเวอร์ต่างๆ ได้ การทำา Intercept DNS Port อาจจะเพื่อต้องการบล็อกเว็บไซต์โดยเรียกใช้ฟีเจอร์ของ ผู้ให้บริการ DNS
เช่น OpenDNS ซึ่งเป็น Free DNS resolver ที่น่าเชื่อถือได้

1. สร้าง NAT rule ขึ้นมาใหม่ โดยไปที่เมนู IP > Firewall

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 90/ 176

 ที่แท็บ NAT คลิกเครื่องหมาย [+]
2. ที่ฟิวด์ Chain เลือก “dstnat”, ฟิวด์ Protocol เลือก “TCP” และ Dst. Port เป็น 53

3. คลิกไปที่แท็บ Action ที่ฟิวด์ Action กำาหนดเป็น redirect

4. จากนั้นให้ทำาตามขั้นตอนอีกครั้ง แต่ฟิวด์ Protocol เปลี่ยนเป็น UDP

กฏนี้ตรงกับทุก DNS แพกเก็ตทั้งโปรโตคอล UDP และ TCP จะถูกสกัดทราฟฟิก และถูกส่งต่อทราฟฟิกไปยังเราท์เตอร์

ตัวอย่างนี้คือการบังคับให้ใช้ DNS เซิร์ฟเวอร์ของเราเอง อธิบายเพิ่มเติมให้ได้เห็นภาพ เช่น เครื่องไคลเอนต์ได้รับไอพี
แอดเดรสจาก DHCP เซิร์ฟเวอร์ และมีหมายเลข DNS ตั้งต้นสมมุติว่าเป็น 192.168.222.1 และ default gateway เป็น
192.168.222.1 สถานะการณ์คือยูสเซอร์แก้ไขการตั้งค่า DNS ไคลเอนต์ (ไฟล์ /etc/resolv.con) โดยเปลี่ยนไปใช้ public
DNS เช่น Google Public DNS มีหมายเลขไอพีแอดเดรสเป็น 8.8.8.8 และ 8.8.4.4 เมื่อเครื่องไคลเอนต์ร้อนขอไปยัง
8.8.8.8 แพกเก็ตการร้องขอนี้จะถูกสกัด โดยการถูกส่งต่อไปยังเราท์เตอร์ DNS เซิร์ฟเวอร์เราเอง ส่วน DNS แคช
เซิร์ฟเวอร์ภายในเราอาจจะ forward โดยการเรียกใช้ DNS resolver จาก ISP ซึ่งมีความน่าเชื่อถือ และปลอดภัย
Service Ports – NAT Helpers

ถ้ากำาลังหาเมนูสำาหรับคอนฟิก NAT helpers เราอาจจะหาไม่เจอะ เนื่องจากนี่คือคุณสมบัติที่ไม่ค่อยเปลี่ยนแปลง และ

พบโดยบังเอิญเท่านั้น ดูว่าเกิดอะไรขึ้นถ้าเราคลิกที่เมนู IP หลังจากนั้นเลือก Firewall และคลิกแท็บ Service Port จะเห็น
ว่าเรามี NAT Helpers และได้รวมเข้าไปอยู่กับ NAT ซึ่งโมดูลเหล่านี้ถูกเปิดให้ทำางานเป็นค่าดีฟอลลต์ เราสามารถปิดการ
ทำางานหรือจัดการเปลี่ยนพอร์ตที่ทำางานอยู่

NAT Helper คือฟังก์ชั่นตัวช่วยเหลือ ใช้ในการระบุแพกเก็ตสำาหรับบางโปรโตคอล เราสามารถติดตามการเชื่อมต่อ

(connecton tracking) ซึ่งจะรู้โปรโตคอลของแอพพลิเคชันที่ติดต่อสื่อสารกันได้ ในลำาดับชั้นของแอพพลิเคชันเลเยอร์
(Application Layer) และทำาให้เข้าใจการเชื่อมต่อที่มีความแตกต่างกัน ซึ่ง connection การเชื่อมต่อจะเป็น “related” แต่
เป็นการเชื่อมต่อที่เกี่ยวข้องกัน ตัวอย่าง เช่น FTP (File Transfer Protocol) โปรโตคอลที่ใช้ในการโอนย้ายไฟล์
ระหว่างเซสชั่นของการเชื่อมต่อ FTP จะสร้าง control connection จะเป็น “established” แต่เมื่อใดก็ตามที่ข้อมูล (data
connection) ถูกโอนย้ายแล้ว การเชื่อมต่อที่แยกต่างกันจะเกินการโอนย้ายขึ้น นี่เป็นฟังก์ชั่น NAT helper ที่ไประบุแพก
เก็ตแรกของการสร้าง Control connection ดังนั้นการเชื่อมต่อ data connection จะถูกมาร์ค (marked) เป็น “related”
แทน “new” ก็คือการทำาให้มันเป็นส่วนหนึ่งของการเชื่อมต่อที่มีอยู่แล้ว

โดยปกติ FTP model การทำางานของ FTP จะแบ่งได้เป็น 2 ส่วนคือ

1. ส่วนที่เป็น Control connection จะเป็นการติดต่อสื่อสารระหว่าง User-PI และ Server-PI ในการแลกเปลี่ยนคำา

สัง่ และคำาตอบ โดยคำาสั่งมาตรฐานของ FTP จะถูกสร้างโดย User-PI และส่งผ่าน Control connection แล้ว
Server-PI จะตอบสนองคำาสั่งกลับมายัง User-PI
2. Data connection เป็นการเชื่อมต่อข้อมูลที่จะถูกส่งในรูปแบบลักษณะที่ถูกกำาหนดโดย Control connection

การส่งอาจอยู่ในรูปของไฟล์, บางส่วนของไฟล์ หรือหลายๆ ไฟล์ ซึ่งอาจเป็นการเชื่อมต่อระหว่าง Server-DTP

กับ User-DTP หรือระหว่าง Server-DTP ถึง 2 ตัวก็ได้ ซึ่งโปรเซสไม่จำาเป็นต้องส่งให้กับ User-PI ที่เป็นผู้สร้าง
Control connection ขึ้น

Note: การติดต่อกันขึ้นครั้งแรกเราจะเรียกวา FTP connection ส่วนการติดต่อที่เกิดขึ้นในครั้งที่สองเราจะเรียกว่า

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 92/ 176

 Control connection และ Data connection โดยใช้ Telnet โปรโตคอลในการแลกเปลี่ยนข้อมูล/คำาสั่ง

Connection Tracking (ปิดและเปิดใช้งาน อย่างไหนดี)

Connection tracking หรือบางครั้งเรียกกันสั้นๆ ว่า conntrack ฟังก์ชั่นในการติดตามการติดต่อสื่อสาร ค่าดีฟอลต์ถูกเปิด

ใช้งานแล้ว ตามที่ระบุไว้ก่อนหน้านี้ connection tracking หรือ conntrack คือกระบวนการที่ทำาให้ RouterOS ทำางาน
โหมด Stateful firewall, NAT และ Filter rules โดยหลักการทำางานจะจดจำา State ของแต่ละเซสชั่นที่เกิดขึ้นระหว่าง
ต้นทางกับปลายทาง ร่วมถึงโปรโคคอล แล้วทำาการจัดเก็บไว้ใน State Table ถ้ามีการปิดการใช้งาน connection
tracking มันจะปิดฟังก์ชั่นการติดตามการติดต่อสื่อสารทั้ง NAT และ Firewall

ถ้าเราท์เตอร์เราตั้งอยู่ภายในเครือข่ายที่มีความปลอดภัย เครือข่ายภายนอกไม่สามารถเข้าถึงระบบเราได้ หรือไม่มีโอกาส

ที่จะเกิดการโจมตีจากภายนอกได้ได้ การปิดการทำางานของ connection tracking ก็จะทำาให้เราท์เตอร์มีประสิทธิภาพการ
ทำางานที่สูงขึ้น เราท์เตอร์สามารถค้นหาเส้นทางของแพ็คเก็ตได้เร็วขึ้น เพราะไม่ต้องใช้ทรัพยากรที่ต้องค่อยมาติดตามการ
ติดต่อสื่อสาร เพื่อเพิ่มประสิทธิภาพการทำางานของเราท์เตอร์ จึงควรที่จะปิด connection tracking ผลการทดสอบ
ประสิทธิภาพสามารถเข้าดูได้ที่เว็บไซต์ MikroTik

ตัวอย่าง การปิดการทำางาน Connection Tracking

1. ไปที่เมนู IP > Firewall

2. คลิกที่แท็บ Connection จากนั้นคลิกปุ่ม Tracking

 3. คลิกเครื่องหมายถูกที่เซ็กบอกซ์ออก แล้วคลิกปุ่ม OK

Tools - Torch

นี่คงเป็นอีกหนึ่งฟีเจอร์บน RouterOS นั้นก็คือ การ Monitor Traffic แบบ real-time ที่ส่งผ่านอินเตอร์เฟซ โดยมี User
Interface (UI) ที่ใช้งานง่าย มีสามารถในการแยกกรองเป็นไอพีแอดเดรส และพอร์ตได้ และความสามารถในการเรียง
ลำาดับอัตราทราฟฟิกจากน้อยไปมาก หรือมากไปหาน้อย และการใช้เครื่อง Torch นี้ผู้ดูแลระบบสามารถรู้ได้ทันที่ว่าใครใช้
แบนด์วิดท์เท่าไหร่ ซึ่งเป็นเครื่องมือที่สำาคัญมากในการตรวจสอบประสิทธิภาพ และการสร้าง queues สำาหรับบริหาร
จัดการกับแบนด์วิดท์ และช่วยให้เราสามารถสร้างกฏของไฟร์วอลล์ได้อย่างรวดเร็ว

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 94/ 176

หน้าต่างการใช้งาน Torch จะอยู่ในเมนู Tools > Torch

หรือที่เมนู Queues จากนั้นคลิกขวาเลือกอินเตอร์เฟซที่ต้องการ แล้วคลิกเมนูTorch

เมื่อหน้าต่าง Torch ถูกเปิดขึ้น เราก็จะสามารถเลือกอินเตอร์เฟซที่ต้องเฝ้ามอง (monitor) การทำางาน และกำาหนดการเฝ้า

มองได้ตามต้องการ
ตัวอย่าง ยูสเซอร์ในองค์กรโทรมาบ่นอินเทอร์เน็ตช้ามากๆ (จะไม่ให้ช้าได้ไงล่ะครับ ขาดาวน์โหลด 10.9Mbps ขณะนี้)

สรุป Torch เป็นเครื่องมือช่วยให้ทราบถึงปัญหาได้อย่างรวดเร็ว เมื่อโดนลูกค้าโทรมาบ่นว่าอินเทอร์เน็ตช้า เนื่องจาก

Torch สามารถเรียงลำาดับของการใช้ทราฟฟิกได้ ทำาให้ Admin สามารถจัดการกับเหตุการณ์ที่เกิดขึ้น (Incident
Handling) ได้เร็วยิ่งขึ้น

บทที่ 10 – การบริหารจัดการแบนด์วดิ ท์และจำากัดความเร็ว (Bandwidth Management & Limits)

บน RouterOS เราสามารถดำาเนินการบริหารจัดการแบนด์วิดท์ และจำากัดความเร็วได้อย่างง่ายดาย (Bandwidth Control

and Qualiry of Services) ซึ่งฟีเจอร์บน RouterOS สามารถควบคุมปริมาณการใช้งานแบนด์วิดท์ ของแต่ล่ะแอพพลิ
เคชั่น หรือแต่ล่ะไคลเอนต์ได้อย่างง่ายดาย การบริหารจัดการแบนด์วิดท์จะแยกเป็น 2 ประเภทใหญ่ๆ คือ

1. การทำา Access Control List (ACL)

2. การทำา Quality of Servers (QoS)

Access Control List (ACL) คือการสร้างโพลีซี (Policy) ภายในหน่วยงานในการติดต่อสื่อสารข้อมูล การเข้าถึงข้อมูลที่

จำาเป็น และข้อมูลที่ไม่จำาเป็นต่องาน เพื่ออนุญาตหรือไม่อนุญาต เช่น ไม่อนุญาตให้แชร์ไฟล์แบบ P2P (Peer to Peer)
หรือพวกโปรแกรม Bittorrent เป็นต้น

Quality of Servers (QoS) คือการบริหารจัดการแบนด์วิดท์ของเครือข่าย และการจัดการลำาดับความสำาคัญ (Poriority)

ของข้อมูลสำาหรับการใช้งานแอพพลิเคชั่น

สาเหตุหลักๆ ที่ต้องมีการจัดการแบนด์วิดท์ เพื่อทำา QoS

1. เพื่อการจัดสรรค์ให้มีการใช้งานแบนด์วดิ ท์ได้ตามความเหมาะสม
2. เพื่อการควบคุมปริมาณการใช้งานแบนด์วิดท์ ให้เป็นไปตามโพลีซีของแต่ล่ะหน่วยงาน
3. เพื่อกำาหนดลำาดับความสำาคัญของการส่งข้อมูล เพื่อเพิ่มประสิทธิภาพการใช้งานแอพพลิเคชั่น ที่มีความสำาคัญ
ต่อการปฏิบัตงิ านได้อย่างมีประสิทธิภาพ
4. เพื่อใช้เป็นเครื่องมือวัดสภาพของเครือข่าย หรือ Quality of Experience (QoE)
5. เนื่องจากองค์กรมีต้นทุนลิงก์เชื่อมต่ออินเทอร์เน็ตสูง จึงจำาเป็นต้องดำาเนินการทำาให้เกิดความคุ้มค่าให้มากที่สดุ

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 96/ 176

โดยลำาดับความสำาคัญ Quality of Service (QoS) priority levels บน RouterOS จะนิยามอยู่ในช่วง 1-8 โดย 8 จะเป็น
ลำาดับความสำาคัญสูงสุด (Higher priority) และเป็นลำาดับความสำาคัญตั้งต้น (Normal level) เมื่อสร้างกฏ Queue แต่เรา
สามารถเปลี่ยนแปลงได้ ความสำาคัญคือต้องแยกแยะแอพพลิเคชั่นให้ได้ว่าเป็น Real-time หรือ Non Real-time เพื่อจะได้
จัดลำาดับของแพ็คเก็ต (Layer7 Protocol) ได้อย่างเหมาะสม

Note: Quality of Service (QoS) priority levels บนอุปกรณ์หรือซอฟต์แวร์ Bandwidth Controller จะถูกนิยามขึ้น
ซึ่งจะแตกต่างกัน บางยี่ห้อก็นิยามเป็นชื่อ (Higher, Normal, Low) หรือกำาหนดช่วง 0-8 และ 1-10

Queues

Queues (คิว) โมดูลอัจฉริยะขั้นเทพบน MikroTik RouterOS ใช้ในการจำากัดการใช้งานแบนด์วิดท์ และฟีเจอร์พื้นฐาน

สำาหรับการอิมพลีเม้นท์ระบบ QoS (ตั้งชื่อให้ดูเพื่อว่าการจำากัดแบนด์วิดท์บน MikroTik RouterOS มันง่ายสุดๆ )

คุณสมบัติของ Queue และการนำามาใช้

• จำากัดอัตราการส่งข้อมูล แบบระบุ IP address, Subnet, Protocol, Ports และพารามิเตอร์อื่นๆ
• จำากัดทราฟฟิกแบบ peer-to-peer
• จัดลำาดับความสำาคัญของแพ็คเก็ต (packet flows)
• กำาหนดทราฟฟิก bursts สำาหรับเพิ่มความเร็วการใช้งานอินเทอร์เน็ตผ่านเว็บเบราว์เซอร์
• จำากัดแบนด์วิดท์ความเร็วแตกต่างกัน โดยการระบุช่วงเวลา (limits based on time)
• แชร์แบนด์วิดท์ให้มีความเร็วเท่าๆ กัน หรือขึ้นอยู่กับภาระการโหลดช่วงนั้น

Queue ใน MikroTik RouterOS โครงสร้างพื้นฐานเป็น Hierarchical Token Bucket (HTB) ในการสร้างคิวแบบลำาดับชั้น

และการกำาหนดความสัมพันธ์ระหว่างคิว โดยสามารถแบ่งออกเป็น 4 สถานการณ์
1. global-in : ใช้กับสถานการณ์อินเตอร์เฟซทราฟฟิกขาเข้าทั้งหมด ที่เร้าเตอร์รับทราฟฟิกเข้ามา ก่อนที่แพ็คเก็ตจะ

ถูกกรอง (INGRESS queue)

2. global-out : ใช้กับสถานการณ์อินเตอร์เฟซทราฟิกขาออกทั้งหมด (EGRESS queue)

3. global-total : ใช้กับสถานการณ์ทราฟฟิกทั้งขาเข้าและขาออก (หรือการรวมกันระหว่าว global-in กับ global-

out) นำามาใช้ในกรณีต้องการจำากัดความเร็วทั้งการอัพโหลด และดาวน์โหลด เป็นค่าเดียว เช่น

256kbps/256kbps
4. interface name : การระบุอินเตอร์เฟซสำาหรับการส่งข้อมูลขาออก เฉพาะทราฟฟิกที่ถูกกำาหนดให้ผ่านทางอินเต

อร์เฟซนี้ ผ่าน HTB คิว

การคอนฟิกคิวสามารถทำาได้ 2 วิธี

1. Simple Queues เป็นการคอนฟิกคิวแบบง่าย (ซิมเปิ้ลคิว) เช่น จำากัดแบนด์วิดท์อัพโหลด/ดาวน์โหลด เป็นไคล

เอนต์, จำากัด p2p เป็นต้น
2. Queue Tree เป็นการคอนฟิกคิวสำาหรับใช้งานในระดับสูงและมีประสิทธิภาพ เช่น การสร้างโพลีซีจัดลำาดับความ
สำาคัญ (Priority), การจำากัดแบนด์วดิ ท์แบ่งเป็นกลุ่ม ซึ่งการคอนฟิกแบบ Queue Tree นี้ต้องทำาร่วมกับ firewall
mangle และ L7 QOS

Simple Queues

ตัวอย่าง การคอนฟิกซิมเปิ้ลคิวง่ายๆ แบบ PCC หรือ Per Connection Classifiers คือ คิวในการควบคุมแบนด์วิดท์แบบ
ไดนามิคโดยการแบ่งแบนด์วิดท์ออกเป็นส่วนเท่าๆ กัน ทำาให้ไคลเอนต์มีสดั ส่วนแบนด์วิดท์เฉลียเท่าๆ กัน เช่น จำากัดแบน
ด์วิดท์เครื่องโฮตส์ไคลเอ็นต์ subnet: 172.16.0.0/24 ให้สามารถอัพโหลดความเร็วสูงสุดได้ 256Kbps และดาวน์โหลด
ความเร็วสูงสูดได้ 1Mbps เครื่องโฮสต์ไคลเอ็นต์ทั้งหมด 254 เครื่องจะมีสดั ส่วนเฉลียเท่าๆ กัน แต่ถ้ามีการใช้งานเพียง
โฮสต์เดียว จะสามารถใช้ความเร็วสูงสุดได้เท่าที่กำาหนดไว้นั้นก็คือ 1Mbps/256Kbps

1. Name ตั้งชื่อเป็นอะไรก็ได้ ในสอดคล้องและเราเข้าใจได้ เช่น ชื่อยูสเซอร์, ไคลเอนต์ไอพีแอดเดรส

2. Target Address ระบุหมายเลขไอพีแอดเรดสไคลเอนต์ที่ต้องการจำากัดแบนด์วดิ ท์ หรือใส่เป็น Subnet เช่น
172.16.0.0/24 นี่คือจำากัดแบนด์วิดท์ 254 โฮสต์ไอพีแอดเดรส โดย Target Address สามารถเพิ่มได้มากกว่า
หนึ่งไอพีแอดเดรส โดยให้กดปุ่มลูกศรชี้ลง (down arrow)

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 98/ 176

 Note: ไม่จำาเป็นต้องสร้างคิวแยกเมื่อ Target Address มีหลายไอพีแอดเดรส หรือ networks สามารถกำาหนดโฮสต์
ทั้งหมดใน Target Address ได้เพื่อใช้เป็นแชร์คิว

3. Max Limit กำาหนดแบนด์วดิ ท์สูงสุดสำาหรับอัพโหลด (Upload) และดาวน์โหลด (Download) เช่น 1M ถ้ากรณี

กำาหนด Target Address เป็น Subnet (172.16.0.0/24) คิวนี้จะแชร์แบนด์วิดท์โฮสต์ทั้งหมดใน Subnet (254
โฮสต์ไอพีแอดเดรส)

ซิมเปิ้ลคิวไม่ได้มีฟังก์ชันเพียงเท่านี้ เราสามารถกำาหนดการจำากัดแบนด์วดิ ท์ไคลเอนต์แต่ล่ะปลายทางได้ (destination

addresss, subnet และ address range) เช่น ต้องการจำากัดแบนด์วิดท์เว็บไซต์ www.susethailand.com เริ่มต้นด้วยใช้
คำาสั่ง ping โดเมนเนม www.susethailand.com จะมี resolved IP address กลับมา จากนั้นทำาการสร้างคิวใหม่ คลิกที่
แท็บ Advanced ในฟิวด์ “Dst. Address” ใส่หมายเลขไอพีแอดเดรส

Note: สีสัญลักษณ์ต่างๆ ในคิว

สีแดง หมายถึง มีการใช้งานแบนด์วิดท์ที่กำาหนดไว้ 85-100% (โดยประมาณ)
สีเหลือง หมายถึง มีการใช้งานแบนด์วิดท์ที่กำาหนดไว้ 55-80% (โดยประมาณ)
สีเขียว หมายถึง มีการใช้งานแบนด์วิดท์ที่กำาหนดไว้ 0-50% (โดยประมาณ)

แบนด์วิดท์ (Bandwidth) คือ ความกว้างของช่องทางในการ รับ-ส่ง ข้อมูล

ลาเทนซี่ (Latency) คือ ค่าเวลาที่ใช้ไปในการเข้าถึงข้อมูลของหน่วยความจำา
ตัวอย่าง การคำานวณหา Bandwidth ของบัสที่มีความเร็วสัญญาณนาฬิการะหว่างหน่วยความจำาและ CPU ที่สัญญาณ
นาฬิกา 400 เมกะเฮิรตซ์ (400MHz)
รับ-ส่ง ข้อมูลจำานวน 64 ไบต์ในแต่ละหนึ่งรอบของสัญญาณนาฬิกา จะคำานวณได้เป็น 64 bytes * 400 MHz =
25600Mbps ตัวเลขที่ได้เป็นตัวเลขทางทฤษฏีที่บอกถึงปริมาณของข้อมูลที่เข้าสู่ CPU ในแต่ละวินาที

ตารางผลการทดสอบประสิทธิภาพ รุ่น RB750 (CPU speed 400MHz RAM 64MB)

RB750 100M port test (400Mhz) RouterOS v6.0rc6

64 byte 512 byte 1518 byte
Mode Configuration
kpps Mbps kpps Mbps kpps Mbps
Bridging none (fast path) 194.0 127.3 117.0 496.1 40.3 495.2
 RB750 100M port test (400Mhz) RouterOS v6.0rc6
64 byte 512 byte 1518 byte
Mode Configuration
kpps Mbps kpps Mbps kpps Mbps
Bridging 25 Bridge filter rules 53.7 35.2 52.3 221.9 40.3 495.2
Routing none (fast path) 183.7 120.5 117.0 496.1 40.3 495.2
Routing 25 Simple Queues 92.8 60.8 88.5 375.1 40.3 495.2
Routing 25 IP filter rules 37.5 24.6 38.4 162.6 37.6 462.4

Note: ผลการทดสอบจากตารางด้านบน คือประสิทธิภาพสูงสุดของไมโครติ๊กเราท์เตอร์ ดังนั้นจึงไม่ควรคอนฟิก

เกินกว่าที่ทดสอบ

Bursting

Bursting คือฟีเจอร์สำาหรับการกำาหนดช่วงระยะเวลาการส่งข้อมูลโดยการจำากัดแบนด์วดิ ท์ การนำาไปใช้ เช่น กำาหนดช่วง

เวลาสำาหรับการอัพโหลดหรือดาวน์โหลดไฟล์แชร์ขนาดใหญ่, การรับฟังหรือรับชมการถ่ายทอดสด เช่น งาน Google I/O
Keynote Livestream ผ่านทาง YouTube หรือการเปิดเล่นไฟล์มัลติมีเดีย (Streaming Movie) หรือบริการอื่นๆ ใน
ลักษณะคล้ายกันนี่ ตัวอย่าง กรณีอย่างนี้ก็ เช่น ผูใ้ ช้หรือลูกค้าโทรมาโว้ยวายอินเทอร์เน็ตช้าจนพวกเขายอมรับไม่ได้ใน
ช่วงวันเวลาที่มีการถ่ายทอดสดงานเปิดตัวต่างๆ นาๆ หรืออีกกรณี เช่น ช่วงเวลาพักเที่ยงวันบางองค์กรจะสลับกันพักรับ
ประทานอาหาร มันก็จะมีบ้างแผนกที่ยังทำางานอยู่ แต่มีบางแผนกที่รับประทานอาหาร เช่น 11 โมง แล้วขึ้นมาเร็ว มานั่ง
เปิดเว็บไซต์รับชมการถ่ายทอดสด หรืออื่นๆ กินแบนด์วดิ ท์ไปจนหมด ฟังก์ชัน burst จึงเป็นตัวกำาหนดคุณภาพการใช้งาน
อินเทอร์เน็ตให้กับผู้ใช้ได้อย่างมีประสิทธิภาพ

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 100/ 176

 ตัวอย่าง การคอนฟิก burst และกำาหนดค่า Burst Limit, Burst Threshold และ Burst Time

Burst-limit (NUMBER) : อัตราความเร็วสูงสุดในการอัพโหลด และดาวน์โหลดข้อมูลที่อนุญาตให้ใช้งาน

burst-time (TIME) : อัตราความเร็วการส่งข้อมูลเกินระยะเวลา (วินาที) ที่มีการคำานวณแล้ว (ไม่ใช่เวลาที่เกิดขึ้นจริงจาก
burst)
burst-threshold (NUMBER) : ค่าที่ใช้งาน burst on / off

รูปแบบการคำานวณ

การคำานวณ burst ratio:

Burst Ratio = burst-threshold / burst-limit

การคำานวณ burst time:

Burst Time = (Clock Time to Burst) / (Burst Ratio)

ตัวอย่าง A
เริ่มต้น: ต้องการสร้าง Simple Queue โดยกำาหนด max-limit แบนด์วิดท์ที่ 256K และต้องการ burst แบนด์วิดท์การส่ง
ข้อมูลทั้งอัพโหลดและดาวน์โหลดที่ 512K ในระยะเวลา 5 วินาที
ดังนั้น:
Max-Limit เท่ากับ 256k
Burst-Limite เท่ากับ 512k
Burst-Threshold จะเท่ากับ 128k (ค่าที่แนะนำาคือ ครึ่งหนึ่งของ Max-Limit )

จากนั้นจะคำานวณ burst time ได้ดังนี้

Burst Ratio = 128k / 512k = .25
Burst Time = 5sec / .25 = 20
ดังนั้นเมื่อกำาหนด burs time มีค่าเท่ากับ 20 จะหมายความว่า ระยะเวลาการส่งข้อมูลทั้งอัพโหลดและดาวน์โหลดเท่ากับ
5 วินาที นั้นเอง

ตัวอย่าง B
กำาหนดค่าดังนี้ limit-at=1M (1024k) , max-limit=2M (2048k), burst-threshold=1500k , burst-limit=4M (4096k)
และมี Burst-time เท่ากับ 16s
จากนั้นจะคำานวณ burst time ได้ดังนี้
Burst Ratio = 1500k / 4096k = .36
Burst Time = 16sec / .36 = 44.44

เคสนี้ยูสเซอร์ทดลองดาวน์โหลดข้อมูลขนาด 32Mb ที่ความเร็วอินเทอร์เน็ต 4MB (แบนด์วิดท์ ) โดยเราท์เตอร์จะแบ่งเป็น

2 ช่วงเวลาเริ่มดาวน์โหลด [ช่วงแรก] เมื่อเริ่มดาวน์โหลดเวลาจะเริ่มต้นนับที่ 0 วินาที และ [ช่วงที่สอง] จะเริ่มดาวน์โหลด
ที่วินาทีที่ 17 และจะไม่มีทราฟฟิกวิ่งในนาทีสุดท้าย ให้ดูภาพประกอบด้านล่างไปด้วยจะได้เข้าใจยิ่งขึ้น

averange-rate คืออัตราเฉลียการส่งข้อมูลทุกๆ 1/16 ส่วนจาก burst-time ที่เราท์เตอร์คำานวณการส่งข้อมูลเฉลี่ยของ

แต่ละ class ในวินาทีสดุ ท้ายของ burst-time
actual-rate ปริมาณทราฟฟิกที่เกิดขึ้นจริงใน queue

กำาหนด Burst-time เท่ากับ 16s

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 102/ 176

 ภาพจาก : http://wiki.mikrotik.com/wiki/Manual:Queues_-_Burst

- ตัวเลขในแนวตั้งด้านซ้าย (1-5) เป็นอัตราความเร็วการส่งข้อมูล (Mbps)

- ตัวเลขในแนวนอนด้านล่าง (0-31) เป็นเวลา (หน่วยเป็นวินาที)

อธิบาย:
Time average-rate burst actual-rate
(0+0+0+0+0+0+0+0+0+0+0+0+0+0+0+0)/16=0K average-rate < burst-threshold →
0 4Mbps
bps Burst is allowed
(0+0+0+0+0+0+0+0+0+0+0+0+0+0+0+4)/16=25 average-rate < burst-threshold →
1 4Mbps
0Kbps Burst is allowed
(0+0+0+0+0+0+0+0+0+0+0+0+0+0+4+4)/16=50 average-rate < burst-threshold →
2 4Mbps
0Kbps Burst is allowed
(0+0+0+0+0+0+0+0+0+0+0+0+0+4+4+4)/16=75 average-rate < burst-threshold →
3 4Mbps
0Kbps Burst is allowed
(0+0+0+0+0+0+0+0+0+0+0+0+4+4+4+4)/16=10 average-rate < burst-threshold →
4 4Mbps
00Kbps Burst is allowed
 (0+0+0+0+0+0+0+0+0+0+0+4+4+4+4+4)/16=12 average-rate < burst-threshold →
5 4Mbps
50Kbps Burst is allowed
(0+0+0+0+0+0+0+0+0+0+4+4+4+4+4+4)/16=15 average-rate = burst-threshold →
6 2Mbps
00Kbps Burst not allowed
(0+0+0+0+0+0+0+0+0+4+4+4+4+4+4+2)/16=16 average-rate > burst-threshold →
7 2Mbps
25Kbps Burst not allowed
(0+0+0+0+0+0+0+0+4+4+4+4+4+4+2+2)/16=17 average-rate > burst-threshold →
8 2Mbps
50Kbps Burst not allowed
(0+0+0+0+0+0+0+4+4+4+4+4+4+2+2+2)/16=18 average-rate > burst-threshold →
9 2Mbps
75Kbps Burst not allowed
(0+0+0+0+0+0+4+4+4+4+4+4+2+2+2+2)/16=2 average-rate > burst-threshold →
10 0Mbps
Mbps Burst not allowed
(0+0+0+0+0+4+4+4+4+4+4+2+2+2+2+0)/16=2 average-rate > burst-threshold →
11 0Mbps
Mbps Burst not allowed
(0+0+0+0+4+4+4+4+4+4+2+2+2+2+0+0)/16=2 average-rate > burst-threshold →
12 0Mbps
Mbps Burst not allowed
(0+0+0+4+4+4+4+4+4+2+2+2+2+0+0+0)/16=2 average-rate > burst-threshold →
13 0Mbps
Mbps Burst not allowed
(0+0+4+4+4+4+4+4+2+2+2+2+0+0+0+0)/16=2 average-rate > burst-threshold →
14 0Mbps
Mbps Burst not allowed
(0+4+4+4+4+4+4+2+2+2+2+0+0+0+0+0)/16=2 average-rate > burst-threshold →
15 0Mbps
Mbps Burst not allowed
(4+4+4+4+4+4+2+2+2+2+0+0+0+0+0+0)/16=2 average-rate > burst-threshold →
16 0Mbps
Mbps Burst not allowed
(4+4+4+4+4+2+2+2+2+0+0+0+0+0+0+0)/16=17 average-rate > burst-threshold →
17 2Mbps
50Kbps Burst not allowed
(4+4+4+4+2+2+2+2+0+0+0+0+0+0+0+2)/16=15 average-rate = burst-threshold →
18 2Mbps
00Kbps Burst not allowed
(4+4+4+2+2+2+2+0+0+0+0+0+0+0+2+2)/16=13 average-rate < burst-threshold →
19 4Mbps
75Kbps Burstis allowed
20 (4+4+2+2+2+2+0+0+0+0+0+0+0+2+2+4)/16=13 average-rate < burst-threshold → 4Mbps

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 104/ 176

 75Kbps Burst is allowed
(4+2+2+2+2+0+0+0+0+0+0+0+2+2+4+4)/16=13 average-rate < burst-threshold →
21 4Mbps
75Kbps Burst is allowed
(2+2+2+2+0+0+0+0+0+0+0+2+2+4+4+4)/16=13 average-rate < burst-threshold →
22 4Mbps
75Kbps Burst is allowed
(2+2+2+0+0+0+0+0+0+0+2+2+4+4+4+4)/16=15 average-rate = burst-threshold →
23 2Mbps
00Kbps Burst not allowed
(2+2+0+0+0+0+0+0+0+2+2+4+4+4+4+2)/16=15 average-rate = burst-threshold →
24 2Mbps
00Kbps Burst not allowed
(2+0+0+0+0+0+0+0+2+2+4+4+4+4+2+2)/16=15 average-rate = burst-threshold →
25 2Mbps
00Kbps Burst not allowed
(0+0+0+0+0+0+0+2+2+4+4+4+4+2+2+2)/16=15 average-rate = burst-threshold →
26 2Mbps
00Kbps Burst not allowed
(0+0+0+0+0+0+2+2+4+4+4+4+2+2+2+2)/16=16 average-rate > burst-threshold →
27 2Mbps
25Kbps Burst not allowed
(0+0+0+0+0+2+2+4+4+4+4+2+2+2+2+2)/16=17 average-rate > burst-threshold →
28 2Mbps
50Kbps Burst not allowed
(0+0+0+0+2+2+4+4+4+4+2+2+2+2+2+2)/16=18 average-rate > burst-threshold →
29 0Mbps
75Kbps Burst not allowed
(0+0+0+2+2+4+4+4+4+2+2+2+2+2+2+0)/16=18 average-rate > burst-threshold →
30 0Mbps
75Kbps Burst not allowed
(0+0+2+2+4+4+4+4+2+2+2+2+2+2+0+0)/16=18 average-rate > burst-threshold →
31 0Mbps
75Kbps Burst not allowed

อธิบายให้เข้าใจง่ายๆ ก็คือยูสเซอร์สามารถดาวน์โหลดข้อมูลที่ความเร็ว 4Mpbs ในระยะเวลา 6 วินาที

จากเริ่มต้นดาวน์โหลดข้อมูลจาก (วินาทีที่ 0-5) ถ้าอัตราข้อมูลเฉลี่ย (averange-rate) น้อยกว่า burst-threshold
Burst จะอนุญาตให้ใช้ความเร็วสูงสุดที่กำาหนดไว้ (burst-limit = 4M) และเมื่อวินาทีที่ 6 อัตราข้อมูลการส่งข้อมูลเฉลี่ย
(averange-rate) เท่ากับ burst-threshold, Burst จะไม่อนุญาตให้ใช้ความเร็วสูงสุดที่กำาหนดไว้ นั้นดังความเร็วเริ่มต้น
ดาวน์โหลดจะปรับลดลงเป็น 2M (limit-at) ไปเรื่อยๆ จึงถึงวินาทีที่ 16 และเริ่มเพิ่มความเร็วขึ้นไปใหม่จึนถึงวินาทีที่ 18
และเมื่อเราท์เตอร์คำานวณแล้ว averange-rate น้อยกว่า burst-threshold ก็จะอนุญาตให้เริ่มต้นใช้ความเร็ว 4M จนไปถึง
วินาทีที่ 22 และเมื่อค่า averange-rate เท่ากับ burst-threshold ความเร็วดาวน์โหลดก็จะปรับลดเป็น 2M และค่อยๆ ลด
ลงจนไม่มีทราฟฟิกวิ่ง (0Mbps )

ตัวอย่าง การสร้าง Simple Queue สำาหรับจำากัดแบนด์วิดท์ไคลเอนต์ในองค์กร (Office Network)

ตัวอย่าง ต้องการจำากัดแบนด์วดิ ท์เครื่องไคลเอนต์ทั้งหมดในเครือข่าย (192.168.222.0/24) ให้แชร์แบนด์วิดท์ใช้งานร่วม

กัน 5 Mb จากความต้องการแนะนำาให้สร้าง Simple Queue และกำาหนด target address เป็น subnet โดยเราจะไม่ใช่วิธี
จัดสรรแบนด์วิดท์ไปยังแต่ละไคล์เอ็นท์ (นี่ไม่ใช่คอนเซ็ปต์สำาหรับตัวอย่างนี้)

1. คลิกที่เมนู Queues ซึ่งจะแสดงหน้าต่าง Queue List ขึ้นมา

2. ในหน้าต่าง Simple Queue List, คลิกที่ [+] เพื่อสร้าง Simple Queue ใหม่

3. ตั้งชื่อคิว (อะไรก็ได้ที่เข้าใจ) และเซตจำากัดแบนด์วดิ ท์สำาหรับอัพโหลด และดาวน์โหลด โดยสามารถเลือกได้จา

กลิสต์ แต่ถ้าไม่มคี ่าที่ต้องการก็ให้พิพม์เข้าไป โดยมีหน่วยเป็น “k=kilobits”, “M=megabits” เช่น ถ้าต้องการ

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 106/ 176

 กำาหนดเป็น 5.5M ต้องใส่ค่าเป็น 5500k

4. คลิกปุ่ม OK เพื่อบันทึกเป็นอันเสร็จการสร้างคิว
ตัวอย่าง การสร้าง Simple Queue สำาหรับจำากัดแบนด์วดิ ท์โฮตส์ปลายทาง (Destination Host)

ตัวอย่าง ต้องการจำากัดแบนด์วิดท์การเข้าถึงเว็บไซต์ www.susethailand.com จากความต้องการเริ่มแรกต้องรู้ก่อนว่า

โฮตส์โดเมนเนมเว็บไซต์มีหมายเลขไอพีแอดเดรสเบอร์อะไร ให้ตรวจสอบโดยใช้คำาสั่ง ping ไปยัง
www.susethailand.com ในที่นี้ไอพีแอดเดรสคือ 122.155.168.150 เมื่อทราบไอพีแล้วขั้นตอนถัดไปก็คือการสร้างคิว
1. คลิกที่เมนู Queues
2. ในหน้าต่าง Simple Queue List, คลิกปุ่ม [+] เพื่อสร้างคิวใหม่
ตัง้ ชื่อคิวจากนั้นคลิกที่แท็บ “Advanced” ฟิวด์ Dst.Address ให้ใส่หมายเลขไอพีแอดเดรส และกำาหนดค่าจำากัด
แบนด์วิดท์ตามที่ต้องการ
 3. คลิกปุ่ม OK บันทึกค่าเป็นอันเสร็จ ทุกทราฟฟิกออกและเข้า ที่ปลายทางเป็นโฮสต์โดเมนเนมเป็น
www.susethailand.com จะถูกจำากัดแบนด์วิดท์อัพโหลด 512k และขาดาวน์โหลด 1M.

ตัวอย่าง การสร้าง Simple Queue สำาหรับจำากัดแบนด์วิดท์โลคับคอมพิวเตอร์ ด้วย Burst

1. คลิกเมนู Queue
2. ในหน้าต่าง Simple Queue List, คลิก [+] เพื่อสร้างคิว

3. ที่แท็บ “General” และกำาหนดค่าตามต้องการ

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 108/ 176

ผลลัพธ์ที่ได้คือ สามารถใช้แบนด์วิดท์อัพโหลดและดาวน์โหลดได้ 512k ในระยะเวลา 5 วินาทีของนาฬิกา (clock period)

Packet Mangling

Packet mangling คือ การทำาเครื่องหมายข้อมูลในส่วนเฮดเดอร์ ของแพกเก็ต (Mark Packet) สำาหรับนำามาใช้ประโยชน์

เช่น การกำาหนดเส้นทางส่งต่อแพกเก็ต (route table) หรือคิว (queues) ในการตัดสินใจทำา mark packet ต้องคำานึ่งถึง
ความสามารถ CPU ด้วย ยิ่งมีการทำา mark packet เยอะก็จะยิ่งใช้ทรัพยากร CPU เยอะตามมาด้วย แต่ถ้าอุปกรณ์มี
CPU แรงพออยู่แล้ว การทำา packet mangling จึงเป็นกระบวนการเพิ่มประสิทธิภาพให้กับระบบ

ขั้นตอนการทำา Packet Mangling ที่มีประสิทธิภาพ

1. กำาหนดชื่อการเชื่อมต่อ (Identify Connection) ที่ต้องการทำา Optimal Mangle

2. ทำาการ mark packet เฉพาะที่ต้องการ

*** เนื้อหาถัดไปจะอ้างอิงการคอนฟิกจาก RouterOS เวอร์ชั่น 6 ***

 ตัวอย่าง การทำา Packet Mangling ใน Mangle ไฟร์วอลล์

1. การทำา Mangle จะต้องทำาการสร้างกฏไฟร์วอลล์ขึ้นมาใหม่ เข้าไปที่เมน IP > Firewall

2. คลิกที่แท็บ Mangle จากนั้นกดปุ่ม [+] สร้าง Mangle Rule

ตัวอย่าง เราต้องการระบุทราฟฟิกจากเว็บเบราร์เซอร์ทั้งหมด (ปลายทางพอร์ต 80)โดยฟิลเตอร์เฉพาะแพ็คเก็ตที่

ตรงกัน เพราะแพ็คเก็ตที่ออกจากเว็บเบราร์เซอร์ไปยังแอพลิเคชั่นเซอร์วิสปลายทาง อาจเป็นพอร์ตอื่นๆ ได้ เช่น
3128 การมาร์คแพกเก็ตทราฟฟิกขาออก หรือการส่งข้อมูลออกไปยังข้างนอก (Outside) จะกำาหนด “chains”
เป็น prerouting

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 110/ 176

3. คลิกที่แท็บ Action

4. คลิกปุ่ม OK เพื่อบันทึก rule เป็นอันเสร็จการระบุ mark connection

5. จากนั้นเราต้องการ mark แพ็คเก็ตที่เกิดขึ้นจริง (ไม่ต้องการแพ็คเก็ตทั้งหมด) คือเฉพาะแพ็คเก็ตที่ตรงกับ mark
connection ที่สร้างขึ้นก่อนหน้านี้ (WebBrowsingPort80Connections)
คลิกที่เมนู IP > Firewall > แท็บ Mangle
 6. ที่แท็บ Action เราจะ mark เฉพาะแพ็คเก็ตที่เกิดขึ้นจริง คลิกเครื่องหมายถูกที่เซ็กบ็อกซ์ “Passthrough” ออก
(ไม่ยอมให้เชื่อมต่อกับปลายทางข้างนอก) ซึ่งค่าดีฟอลต์จะติ๊กที่เซ็กบ็อกซ์ “Passthrough” อยู่ (ยอกให้มีการ
เชื่อมต่อกับปลายทางข้างนอกได้)

เป็นอันเสร็จขั้นตอนการทำา Packet Mangling จากนั้นเราสามารถจำากัดการใช้งานแบนด์วดิ ท์ได้โดยการทำาคิว (Queue

Tree)

Note: Mangle ไฟร์วอลล์จะไม่ทำางานเมื่อ connection tracking เป็น off (ปิดการใช้งาน) การสร้าง mangel rule
จำานวนมากประสิทธิ์ภาพจะขึ้นอยู่กับ CPU-intensive พอไหม

การจัดลำาดับความสำาคัญของทราฟฟิก (Traffic Prioritization)

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 112/ 176

Traffic Prioritization คือ กระบวนการบริหารจัดการแบนด์วดิ ท์ หรือ Bandwidth Management โดยวิธีการจัดลำาดับ
ความสำาคัญของทราฟฟิก (Prioritize Traffic) สำาหรับทำาระบบ QoS (Quality of Service) บน OSI โมเดล เลเยอร์ 7 หรือ
ที่เรียกกันสั่นๆ ว่า L7 Layer ซึ่งจะเป็นการบริหารจัดการในระดับชันแอพพลิเคชันแพกเก็ต
ตัวอย่าง การจัดลำาดับความสำาคัญของทราฟฟิก
การจัดลำาดับความสำาคัญของทราฟฟิกบน RouterOS ผู้ดูแลระบบควรเริ่มต้นด้วยการพิจารณาหรือระบุทราฟฟิกที่จำาเป็น
และให้ความสำาคัญก่อน ยกตัวอย่าง เช่น ระบุทราฟฟิกได้ 2 ชนิด
1. Voice telephone traffic : ทราฟฟิกการสื่อสารด้วยเสียงทางโทรศัพท์ เช่น บริการ VoIP (การโทรศัพท์ผ่าน

อินเทอร์เน็ต ) ซึ่งเป็นทราฟฟิกแบบเรียลไทม์ แอพพลิเคชัน เช่น SIP, Skype, IAX และ MGCP เป็นต้น
2. Download : ทราฟฟิกขาเข้า เช่น ไฟล์ที่มีขนาดใหญ่

เมื่อแบ่งแยกทราฟฟิกได้แล้ว จากนั้นจึ่งจัดลำาดับความสำาคัญ ซึ่งจะสงผลกับการเพิ่มประสิทธิภาพของเครือข่าย (network

performance) เนื่องจากการโทรศัพท์ผ่านอินเทอร์เน็ตแพกเก็ตประกอบด้วย voice data เป็นทราฟฟิกแบบ Real-time
คือทำางานตอบสนองกับผู้ใช้ทันที ไม่ชะลอ (delay delivery) ถ้าบริหารจัดการไม่ดีจะทำาให้มีคุณภาพของเสียงที่ได้รับไม่
ได้คุณภาพ ทำาให้เกินปัญหาระหว่างกำาลังสนทนาเกิดการดีเลย์ หรือเสียงขาดๆ หายๆ เป็นต้น ดังนั้นเพื่อประสิทธิภาพของ
การจัดการเครือข่ายที่ดี จึงควรจัดลำาดับให้ voice traffic มีความสำาคัญมากกว่าการเข้าถึงข้อมูล (data traffice) และจัด
ให้อยู่ในลำาดับความสำาคัญสูงสุด (highest priority) ตราบเท่าที่ยังคงมีแบนด์วิดท์เหลือ

ใน RouterOS จะมีคิวความสำาคัญตั้งแต่ 1-8 จึงหมายเลข 1 คือความสำาคัญสูงสุด (Highest Priority) และหมายเลข 8

คือความสำาคัญตำ่าสุด โดยดีฟอลต์ simple queues จะถูกเซตไว้ที่หมายเลข 8 ทั้งอัพโหลดและดาวน์โหลด ดังรูป
 ตัวอย่าง การสร้างคิว และลำาดับความสำาคัญสำาหรับ VoIP Traffice (Queue Priority for VoIP Traffic)

ตัวอย่าง สมมุติเราเป็นผู้ให้บริการ VoIP (Voice Service Provider) และต้องการที่จะจัดการความสำาคัญของทราฟฟิกการ

โทรศัพท์ผ่านอินเทอร์เน็ต โดยสมมุติรายละเอียดขึ้นดังนี้ เพื่อสร้างระบบ QoS ให้กับ Voice Service
VoIP gateway ไอพีแอดเดรสเป็น 122.155.1.8 และเป็นทั้งเร้าเตอร์ระหว่างไคลเอนต์ไซต์ (Router + VoIP gateway)

1. เริ่มต้นให้สร้าง Mangle rule สำาหรับทราฟฟิกเป้าหมาย (VoIP gateway) และทราฟฟิกที่มาจาก VoIP gateway

ไปที่เมนู IP > Firewall

คลิกที่แท็บ Mangle สร้าง Rule สำาหรับแมชแพกเก็ตทราฟฟิกขาเข้าจาก VoIP gateway เราโดยการ mark

connections และหลังจากนั้นทำา mark packets

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 114/ 176

 คลิกที่แท็บ “Action” ทำา Connection Mark ใหม่เป็นชื่อ “VOIP”

2. Mangle rule สุดท้าย จะทำาแมช connection mark ให้ตรงกับ VOIP และหลังจากนั้นจะ mark แพกเก็ตใหม่เป็น
VOIP
 คลิกที่แท็บ “Action”

ติ๊กเซ็กบ็อกซ์ “Passthrough” ออก เพื่อไม่ให้มีการ remarked แพกเก็ต

3. ถัดมา ให้ทำาการสร้าง Simple Queues ใหม่ 2 คิว คิวที่ 1 สำาหรับ VoIP และคิวที่ 2 สำาหรับอย่างอื่นๆ สมมุติว่า
เราใช้การเชื่อมต่ออินเทอร์เน็ตเป็น MPLS อัตราแบนด์วิดท์ 1 Mb (อัพโหลดและดาวน์โหลดเท่ากัน) โดยจัดสรร
เป็น 512k สำาหรับ VoIP และส่วนที่เหลือทั้งหมดสำาหรับทราฟฟิกอื่นๆ (หรือต่างประเทศอาจเป็นสาย T1 อัตรา
แบนด์วิดท์ส่ง 1.5Mb) ไปที่เมนู Queues กำาหนด Name: VOIP Traffic และ Target: 0.0.0.0/0

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 116/ 176

 คลิกที่แท็บ “Advanced” กำาหนด pack mark เท่ากับ “VOIP” แล้วเซต Queue Priority เป็น 1

4. ขั้นตอนสุดท้าย คือสร้างคิวสำาหรับทราฟฟิกทั้งหมด หรือกำาหนด packet mark ให้สำาหรับแพกเก็ตที่ไม่ได้ mark

เป็น “no-mark” หรือแพกเก็ตที่ไม่เข้ากฏ mangled
 คลิกที่แ ท็บ “Advanced”

เป็นอันเสร็จการเซตอับระบบ QoS ที่ให้ได้มาเพื่อประสิทธิภาพ และมีขั้นตอนการคอนฟิกที่แสนจะค่อนข้างง่ายสุดๆ บน

RouterOS ครับ

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 118/ 176

PCQ – Per Connections Queuing

PCQ (Per Connection Queues) เป็นหนึ่งในวิธีบริหารจัดการแบนด์วดิ ท์ที่มีอยู่ให้มีประสิทธิภาพ วิธี PCQ คือการแบ่ง

แบนด์วิดท์ออกเป็นส่วนเท่าๆ กัน หรือแบบไดนามิกทราฟฟิก (dynamic traffic) ทั้งทราฟฟิกอับโหลดและดาวน์โหลด
สำาหรับผูใ้ ช้แต่ละคน (bandwidth per user) หรือไอพีแอดเดรสของโฮตส์ (bandwidth per host) ซึ่งจะทำาให้ผู้ใช้แต่ละคน
มีแบนด์วิดท์เฉลี่ยนเท่าๆ กัน จะไม่มีผู้ใช้ไหนมีแบนด์วิทด์มากกว่าผู้ใช้คนอื่นๆ กรณีที่มีผู้ใช้มีการใช้งานแบนด์วดิ ท์เพียง
User IP เดียว ผู้ใช้คนนั้นจะสามารถใช้งานแบนด์วดิ ท์ความเร็วอับโหลดและดาวน์โหลดได้สูงสุดเท่าที่กำาหนดไว้
วิธี PCQ สามารถผสมผสานกับการใช้ L7 QoS ด้วยการจัดลำาดับความสำาคัญของแพกเก็ตแต่ละบริการ (traffic priority)
เพื่อจะทำาให้การบริหารจัดการแบนด์วิดท์มีประสิทธิภาพ

ตัวอย่าง 1 - การจำากัดแบนด์วิดท์ (limited bandwidth)

สมุมติว่ามีแบนด์วดิ ท์สำาหรับความเร็วดาวน์โหลดอยู่ 2Mb (2048kpbs) โดยเราจะใช้วิธีการจำากัดแบนด์วดิ ท์ผู้ใช้แต่ละคน
ให้มีแบนด์วิดท์ใช้งานได้ไม่เกิน 256k อธิบาย คือ
- สมุมติว่ามีจำานวนผู้ใช้จำานวน 2 คน แต่ละคนจะมีแบนด์วิทด์สูงสุดที่ 256k
- สมุมติว่ามีจำานวนผู้ใช้จำานวน 4 คน แต่ละคนจะมีแบนด์วิทด์สูงสุดที่ 256k
- สมุมติว่ามีจำานวนผู้ใช้จำานวน 20 คน แต่ละคนจะมีแบนด์วิทด์สูงสุดเฉลี่ยที่ 102k ดังรูป
ตัวอย่าง 2 – แบบไม่จำากัดแบนด์วิดท์ (unlimited bandwidth)
สมุมติว่ามีแบนด์วิดท์สำาหรับความเร็วดาวน์โหลดอยู่ 2Mb (2048kpbs) เมื่อมีผู้ใช้เพียงคนเดียวจะสามารถดาวน์โหลดได้
ความเร็วเต็ม 2Mb แต่ถ้าสมุมติมีผู้ใช้ 2 คน จะถูกจัดสรรโดยการแชร์แบนด์วิดท์ อธิบาย คือ
- สมุมติว่ามีจำานวนผู้ใช้จำานวน 1 คน จะสามาใช้ความเร็วในการดาวน์โหลดแบนด์วิทด์สูงสุดที่ 2Mb
- สมุมติว่ามีจำานวนผู้ใช้จำานวน 4 คน แต่ละคนจะมีแบนด์วิทด์สูงสุดที่ 512k
- สมุมติว่ามีจำานวนผู้ใช้จำานวน 20 คน แต่ละคนจะมีแบนด์วิทด์สูงสุดเฉลี่ยที่ 102k ดังรูป

ดังนั้น PCQ จึงเป็นวิธีการจัดสรรแบนด์วดิ ท์สำาหรับการทำา QoS ทำาให้การบริหารจัดการแบนด์วดิ ท์ได้อย่างมีประสิทธิภาพ

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 120/ 176

 ตัวอย่าง การสร้างซิมเปิ้ลคิวสำาหรับจำากัดแบนด์วิดท์ โดยใช้วิธี PCQ

ตัวอย่างนี้เราจะสร้าง simple queue โดยใช้รูปแบบ PCQ สำาหรับควบคุมจำากัดแบนด์วดิ ท์

1. สร้างคิวใหม่สำาหรับอัพโหลดและดาวน์โหลด คลิกที่เมนู “Queues” > แท็บ “Queue Types”

จากรูป RouterOS เวอร์ชั่น 6.0 จะสร้างคิวรูปแบบ pcq อัพโหลดและดาวน์โหลดเป็นค่าทั้งต้นมาแล้ว ขั้นตอนด้านล่างนี้

จะเป็นการสร้างคิวขึ้นมาใหม่

2. สร้างคิวใหม่สำาหรับอัพโหลด คลิกปุ่ม [+]

 Type Name : upload หรือชื่ออะไรก็ได้ที่สอดคล้อง
Kind : pcq
Rate : 128k กำาจัดความเร็วสำาหรับอัพโหลด
Classifier : Src.Address ทราฟฟิกจากโฮสต์ต้นทางขาอัพโหลด

3. สร้างคิวสำาหรับดาวน์โหลด คลิกปุ่ม [+]

Type Name : download หรือชื่ออะไรก็ได้ที่สอดคล้อง

Kind : pcq
Rate : 128k กำาจัดความเร็วสำาหรับดาวน์โหลด
Classifier : Src.Address ทราฟฟิกจากโฮสต์ปลายทางขาดาวน์โหลด

ถ้ากำาหนด Rate เท่ากับ “0” จะเป็นการแชร์แบนด์วดิ ท์ ทำาให้ไคลเอนต์มีสดั ส่วนแบนด์วดิ ท์เฉลียเท่าๆ กัน ถ้ามีผู้ใช้งานคน
เดียว ผูใ้ ช้นั้นก็จะสามารถใช้แบนด์วิดท์ได้เต็ม ซึ่งแตกต่างจากตัวอย่างที่กำาจัดแบนด์วดิ ท์ไว้ที่ 128k/128k ต่อผูใ้ ช้งาน

หลังจากที่ได้สร้างคิวกำาจัดแบนด์วดิ ท์ทั้งขาอัพโหลดและขาดาวน์โหลดแล้ว ถัดไปจะเป็นการสร้าง simple queue สำาหรับ

ใช้งานควบคุมแบนด์วิดท์ โดยกำาหนด target address ทั้งเครือข่าย เช่น 192.168.1.0/24 และปริมาณทราฟฟิกทั้งหมดที่
512k

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 122/ 176

 4. คลิกที่แท็บ “Simple Queues” > [+]

5. คลิกที่แท็บ “Advanced”

ตรง Queue Type เลือกชื่อที่ได้สร้างขึ้น

เป็นอันเสร็จสำาหรับตัวอย่างการสร้าง PCQ คิว และ simple queues ในการควบคุมแบนด์วิดท์บนเครือข่าย จากตัวอย่าง

เรายังสามารถจำากัดแบนด์วดิ ท์ต่อไคล์เอ็นต์ไอพีแอดเดรสได้ เช่น กำาหนด Target address เป็น 192.168.1.100 เป็นต้น
บทที่ 11 – เครื่องมือสำาหรับผูด้ ูแลระบบ (Tools)

RouterOS ระบบปฏิบัติเราท์เตอร์ซึ่งมีฟีเจอร์ที่หลากหลายแล้ว ยังอัดแน่ด้วยโปรแกรมยูทิลิตี้เครื่องมือสำาหรับ maintain,

test และ troubleshoot ที่จำาเป็นสำาหรับผู้ดูแลระบบดังรูป

โปรแกรมยูทิลิตี้ เช่น Btest Server และ Bandwidth Test Utility เป็นยูติลิตสิ้ ำาหรับทดสอบประสิทธิภาพแบนด์วิดท์ ของลิ
งก์แบบเรียลไทม์ระหว่างอุปกรณ์ RouterOS (Server side กับ Client side) หรือ Windows PC กับอุปกรณ์ RouterOS
ลักษณะการทำางานคือเมื่อไคล์เอ็นต์ส่งทราฟฟิกไปยังเซิร์ฟเวอร์ ฝัง่ เซิร์ฟเวอร์จะทำาการทดสอบความเร็วขาอัพโหลด และ
เมื่อเซิร์ฟเวอร์ส่งทราฟฟิกกลับมายังไคล์เอ็นต์จะเป็นการทดสอบความเร็วขาดาวน์โหลด โดยจะแสดงผลพันธ์แบบเรียล
ไทม์

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 124/ 176

ตัวอย่าง การทดสอบประสิทธิภาพแบนด์วิดท์ของลิงก์ระหว่างสอง RouterBOARD โดยเป็นวิธีที่ถูกต้องและแสดงให้เห็น
การใช้งานจริงของเครื่องมือ Bandwidth Test Utility

Bandwidth Test Utility

1. ส่วนของเซิร์ฟเวอร์ต้องคอนฟิกเปิดใช้งาน Btest Server (ดีฟอลต์ enable อยู่แล้ว) ที่เมนู “Tools” > “Btest
Server”
2. ที่หน้าต่าง BTest Server Settings คลิก “Enabled” และ “Authenticate”

3. เลือก “Enable” แล้วคลิกปุ่ม “OK” จากนั้น BTest Server จะรันบน RouterBOARD พร้อมให้ไคล์เอ็นต์ทดสอบ
4. หลังจากเซตอัพฝั่งเซิร์ฟเวอร์เราท์เตอร์เสร็จ ถัดมาที่ฝั่งไคล์เอ็นท์เราท์เตอร์ ที่เมนู “Tools” > “Bandwidth Test”
Test To: ป้อนไอพีแอดเดรสฝั่งเซิร์ฟเวอร์เราท์เตอร์
Direction: กำาหนดเป็น both
User / Password: ป้อนยูสเซอร์เนม และรหัสผ่าน สำาหรับยืนยันตัวตน

สำาหรับฟังก์ชั่นตัวเลือกอื่นๆ สามารถกำาหนดได้ตามต้องการ

Monitoring Tools

Monitoring Tools เครื่องมือเฝ้ามองระบบเครือข่าย อีกฟังก์ชั่นที่ระบบปฏิบัติการเราท์เตอร์อื่นๆ ไม่มี RouterOS สามารถ

แสดงกราฟทราฟฟิกแบบเรียลไทม์ของแต่ละอินเตอร์เฟซได้อย่างง่ายดาย โดยแสดงรายละเอียดอัตรารับ -ส่งข้อมูล
Transmit (Tx) และ Receive (Rx) เป็นแพ็คเก็จต่อวินาที จะแสดงกราฟด้านล่างในหน้าต่างอินเตอร์เฟซ กรณีรับ-ส่งแพ็ค
เก็จที่มีข้อผิดพลาด (Tx และ Rx errors) จะแสดงอัตราจำานวนแพกเก็ตที่ผิดพลาด ทำาให้ผู้ดูแลระบบสามารถทราบถึง
ปัญหาบนเครือข่าย และแก้ไขได้เร็วยิ่งขึ้น ขั้นตอนการแสดงผลทราฟฟิกแบบเรียบไทม์ คลิกขวาที่อินเตอร์เฟซ > เลือก
“properties” > คลิกที่แท็บ “Traffice” ดังรูป

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 126/ 176

Torch Tools

ยูติลติ ิ้เฝ้ามองทราฟฟิกแบบเรียลไทม์
 ตัวอย่าง การใช้เครื่องมือ Torch หาสาเหตุและแก้ไขปัญหาเครือข่ายช้า

ในตัวอย่างนี้สมมุติว่าเราเป็นผู้ให้บริการอินเทอร์เน็ต (Internet Service Provider) บ่อยครั้งได้รับโทรศัพท์จากลูกค้าบ่น

ต่อว่าอินเทอร์เน็ตช้า ห่วย เท่านี้ยังไม่พอในบางครั้ง 1-2 วันทางผู้ให้บริการยังหาสาเหตุไม่เจอะเมื่อลูกค้ารู้สึกผิดหวัง และ
คำาว่า “บริการห่วยแตก” จะถูกโพสต์ในเว็บบอร์ด, เว็บบล็อก หรือสื่อสังคมออนไลน์ ดังนั้นเบื้องต้นในการแก้ไขปัญหาผู้ให้
บริการอินเทอร์เน็ตต้องเฝ้ามองระบบเครือข่ายให้ทราบก่อนว่าเป็นที่เครือข่ายของเรา หรือเครือข่ายภายในของลูกค้า แต่
ถ้าเมื่อเจาะลงไปจนรู้ว่าปัญหาว่าเป็นที่เครือข่ายภายในของลูกค้าเอง เครื่องมือ Torch จะช่วยให้ผู้ดูแลระบบรู้ว่าสาเหตุที่
เครือข่ายช้ามาจากอะไร ขั้นตอนให้คลิกที่เมนู Tools > เลือก “Torch”

จากรูป (ตัวอย่างปัญหาเครือข่ายภายในของลูกค้า) ในคอลัมน์ Tx Rate เราสามารถคลิกปุ่มสามเหลี่ยมชี้ลง เพื่อให้เรียง

ลำาดับอัตราทราฟฟิกสูงสุดเป็นลำาดับแรกได้ จะเห็นว่าไคล์เอ็นต์ไอพีแอดเดรส 192.168.222.1 ใช้ทราฟฟิกถึง 10.9 Mbps
ในการติดต่อสื่อสารประเภทสตรีมมิ่ง เครื่องมือ Torch สามารถตรวจสอบดู private IP network หลังไฟร์วอล์ของลูกค้าได้
ว่าไคล์เอ็นต์ใดกำาลังรับชมสื่อบันเทิงอยู่ เช่น คลิปเพลง, ดนตรี, หนัง หรืออื่นๆ บนเว็บไซต์ และ technical support ควร
แจ้งให้ลูกค้าทราบถึงปัญหาดังกล่าว โดยให้ข้อมูลเพื่อให้ลูกค้าได้พิสูจน์คุณภาพและการให้บริการ ก่อนที่พวกเขาจะ
ตัดสินใจซื้อบริการต่อหรือไปใช้ผู้ให้บริการเจ้าอื่นๆ กรณีเดียวกันสำาหรับเครือข่ายภายในของเราเองผู้ดูแลระบบต้องตรวจ
สอบขั้นตอนตามที่ได้กล่าวมา โดยอาจจะเจาะลงไปถึงกับว่าเครื่องของยูสเซอร์ได้รับอนุญาตหรือไม่ และผู้แลระบบ
สามารถจำากัดแบนด์วิดท์ได้

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 128/ 176

Traffic Graphing

Traffice Graphing ถือเป็นยูติลติ ิ้เครื่องมือเฝ้ามองระบบเครือข่ายที่สมบูรณ์ที่ใช้กันทั่วโลก ไม่ว่าจะเป็นผู้ให้บริการ

อินเทอร์เน็ต หรือเครือข่ายภายในองค์กร ย่อมจำาเป็นต้องมีเครื่องมือนี้ไว้ตรวจสอบวิเคราะห์สถิติทรัพยากรเครือข่ายที่เกี่ยว
กับแบนด์วิดท์ ทำาให้รู้ช่วงเวลาที่มีการแบนด์วิดท์ที่สูงสุด สำาหรับผู้ให้บริการอินเทอร์เน็ต Traffic Graphing มักจะเป็น
เครื่องมือที่จะอธิบายให้ลูกค้าทราบว่าลูกค้ากำาลังใช้งานแบนด์วิดท์ทั้งหมด และ RouterOS มีคุณสมบัติดงั กล่าวซึ่งจะ
แสดงกราฟเมื่อเริ่มใช้งานแบนด์วิดท์ โดยแสดงกราฟแต่ล่ะอินเตอร์เฟซผ่านเว็บเบราว์เซอร์ สามารถปริ้นได้ หรือส่งเป็น
ลิงก์ url ให้ลูกค้าสำาหรับตรวจสอบรายละเอียดได้ ข้อมูลกราฟจะถูกจัดเก็บลงในพื้นที่เก็บข้อมูลดิกส์ไดร์ของอุปกรณ์
Mikrotik ดังนั้นการสร้างกราฟหลายๆ อินเตอร์เฟซจะต้องคำานึงถือทรัพยากรของ CPU, หน่วยความจำา และดิกส์ ด้วยเพื่อ
การใช้งานระบบอย่างมีประสิทธิภาพ Graphing จะประกอบด้วยการจัดเก็บข้อมูลอยู่ 2 แบบ คือ เก็บรวบรวมข้อมูลที่เป็น
ข้อมูลดิบ และแบบที่ดูข้อมูลจากที่เก็บไว้ นอกจากจะสามารถสร้างกราฟแสดงแบนด์วดิ ท์ใช้งานแล้ว Mikrotik ยังสามารถ
แสดงกราฟทรัพยากรการใช้ CPU, หน่วยความจำา และดิกส์ ได้อีกด้วย

เริ่มต้นคอนฟิกเพื่อเปิดใช้งาน สามารถคอนฟิกผ่าน WinBox หรือผ่าน Web interface คลิกที่เมนู Tools > “Graphing“

คอนฟิกกราฟในสามแท็บสุดท้าย ค่าเริ่มต้นจะยังไม่มีคอนฟิก

แท็บแรก “Interface Rules” จะแสดงลิตส์ไอเทมที่คอนฟิกแล้ว โดยค่าเริ่มต้นเมื่อคลิกปุ่ม [+] สร้างกราฟใหม่จะเป็น “all”

คือกำาหนดให้สร้างกราฟทุกอินเตอร์เฟซ
Interface: all สร้างกราฟทุกอินเตอร์เฟซ
Allow Address: 0.0.0.0/0 กำาหนดขอบเขตการอนุญาติ โดยสามารถระบุเป็นไอพีแอดเรดสหรือเป็นซับเน็ตได้

กรณีหากจำากัดการเข้าถึงเป็นซับเน็ตเดียว เช่น LAN (192.168.1.0/24) แต่ไม่ต้องการให้เครือข่ายอื่นๆ เช่น WiFi

(172.16.0.0/24) เราสามารถสร้างกฏไฟร์วอลล์ สำาหรับจำากัดการอนุญาตโฮสต์ในการดูกราฟได้

ในการคอนฟิกการจัดเก็บข้อมูลกราฟสามารถกำาหนดการจัดเก็บในหน่วยความจำา (ข้อมูลกราฟจะลบเมื่อปิด/เปิด
Mikrotik) หรือจัดเก็บบนพื้นที่ดิกส์ คลิกที่แท็บ “Queue Rules” > คลิกปุ่ม [+]

Simple Queue: สร้างกราฟจากคิวลิตส์ (Simple Queue) หรือสร้างทั้งหมดทั้งหมด (all)

Allow Address: ไอพีแอดเดรสหรือซับเน็ตที่อนุญาต
Store on Disk: กำาหนดการจัดเก็บข้อมูล
Allow Target:: อนุญาตแอดเดรสที่ต้องการ (ออปชั่น Target Address ใน Simple Queue)

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 130/ 176

ในการดูกราฟแสดงแบนด์วิดท์ที่ใช้งาน สามารถดูผ่าน WinBox หรือเว็บเบารว์เซอร์ เช่น http://192.168.222.2/graphs/

จากรูปดังบนจะเห็นว่ากราฟแสดงเฉพาะคิว “VOIP Traffice” คิว “OneLimiToAll” ไม่แสดงเพราะไม่ได้อนุญาตให้ไคล์เอ็น

ต์ที่เข้าถึงตอนนี้สามารถดูกราฟได้ หากทำาการอนุญาตกราฟคิวก็จะแสดงทั้งหมด ดังรูป
 ตัวอย่าง การคอนฟิกแสดงกราฟแบนด์วดิ ท์ของไคล์เอ็นต์ทั้งหมดในซับเน็ต

หากต้องการความรวดเร็วในการสร้างคิวทั้งหมด (253 คิว ในซับเน็ต) สามารถใช้ Excel spreadsheet แส้วสร้างสคริปต์

สำาหรับนำาเข้าไฟล์ใน RouterOS ขั้นตอนด้านล่างนี้เป็นวิธีแบบ manual สำาหรับสร้าง Simple Queue

1. สร้าง Simple Queue ไปที่เมนู “Queues” > คลิกแท็บ “Simple Queues” > คลิก [+]
2. กำาหนดชื่อ Name: และ Target Address: เช่น
Name: ClientIPaddress.2
Target Address: 192.168.222.2
(ไม่ต้องกำาหนดการจำากัดแบนด์วิดท์ในคิวนี้)

3. คลิกที่เมนู “Tools” > “Graphing”

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 132/ 176

 4. คลิกที่แท็บ “Queue Rules” > “Simple Queue: all” จากนั้นคลิกปุ่ม “OK”

5. เปิดเว็บเบราว์เซอร์ พิมพ์ URL address: IP address ของเราท์เตอร์

จากนั้นคลิกปุ่ม Graphs จะแสดงหน้าลิตส์ของกราฟทั้งหมด

คลิกเลือกกราฟคิว ClientIPaddress.2 ซึ่งจะแสดงการใช้แบนด์วดิ ท์เฉพาะไคล์เอ็นต์ไอพีแอดเดรส 192.168.222.2

SNMP – Simple Network Management Protocol

SNMP (Simple Network Management Protocol) เป็นโปรโตคอลที่ใช้ในการช่วยบริหารจัดการอุปกรณ์เน็ตเวิร์กในระบบ

เครือข่าย โปรโตคอล SNMP (พอร์ต 161) เปรียบเสมือนเป็นตัวกลางในการสื่อสารกับอุปกรณ์เครือข่าย เพื่อเข้าถึงราย
ละเอียดข้อมูลของอุปกรณ์เครือข่าย เช่น แสดงผลข้อประมูลเกี่ยวกับประสิทธิภาพของอุปกรณ์

ใน Mikrotik RouterOS โดยดีฟอลต์ SNMP จะถูกปิดการทำางานอยู่ สามารถเปิดใช้งานได้ผ่านเมนู IP > SNMP > คลิก
ปุ่ม Communities เพื่อตั้งค่า ชื่อดีฟอลต์ SNMP คือ public (เพื่อความปลอดภัยสามารถกำาหนดเป็นชื่ออื่นได้)
ตัวอย่างแอพพลิเคชั่นในการรับค่าข้อมูลอุปกรณ์ Mikrotik เราท์เตอร์ ผ่านโปรโคคอล SNMP เช่น MRTG และ Nagios
เป็นต้น

Mikrotik RouterOS มีฟีเจอร์สร้างกราฟแสดงแบนด์วิดท์การใช้งาน หรือทรัพยากรอย่าง CPU, หน่วยความจำา หรือดิกส์

หากต้องการระบบเฝ้ามองนอกเหนือจากนี้จำาเป็นต้องใช้ SNMP

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 134/ 176

 ตัวอย่าง ติดตั้งระบบเฝ้ามองด้วย MRTG และ SNMP

ขั้นตอนให้เปิดใช้งาน SNMP ที่ Mikrotik RouterOS และคอนฟิกค่าต่างๆ จากนั้นให้ตดิ ตั้ง MRTG บนระบบปฏิบัติการลิ
นุกซ์ (SUSE Linux Enterprise Server) และรันเซอร์วิสเว็บเซิร์ฟเวอร์ (Apache)

1. คอนฟิก SNMP บน RouterOS

ไปที่เมนู "IP" > "SNMP"

คลิก "Enabled"
Contact Info: ชื่ออีเมลผู้ดูแลระบบ
Location: ชื่อสถานตั้งที่ของเราท์เตอร์

จากนั้นคลิกปุ่ม "Communities"
Name: สร้างชื่อที่ใช้เพื่อให้อุปกรณ์เครือข่ายเข้ามารับข้อมูลผ่านทางชื่อที่สร้างขึ้น
Address: ไอพีแอดเดรสที่อนุญาตให้เข้ามารับค่า (192.168.222.3 คือไอพีแอดเดรสเครื่องลินุกซ์)
Security: ไม่กำาหนด (none)

สำาหรับพิมพ์คำาสั่งบนเทอมิเนอร์:

/snmp
set enabled=yes contact="noc@domain.com" location="RB750@Huaikwang"

/snmp community
set public name="public" address=192.168.222.3/32 read-access=yes

2. ติดตั้ง MRTG และคอนฟิก

- ติดตัง้ MRTG (http://www.susethailand.com/index.php/en/mrtg)

- คอนฟิก MRTG

mkdir /srv/www/htdocs/mrtg

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 136/ 176

cd /usr/bin/
3. สร้างไฟล์คอนฟิกสำาหรับ MRTG

cfgmaker --global "workdir: /srv/www/htdocs/mrtg" -ifref=ip --output /srv/www/htdocs/mrtg/mrtg.cfg

--global 'options[_]: bits' public@192.168.222.2

192.168.222.2 คือ ไอพีแอดเดรสของ Mikrotik RouterOS

4. รันไฟล์คอนฟิก

env LANG=C /usr/bin/mrtg /srv/www/htdocs/mrtg/mrtg.cfg --logging /var/log/mrtg.log

5. สร้างไฟล์ index.html (จะแสดงกราฟทุกอินเตอร์เฟซในไฟล์เดียว)

indexmaker /srv/www/htdocs/mrtg/mrtg.cfg --output=/srv/www/htdocs/mrtg/index.html

6. ตัง้ เวลาให้สร้างกราฟอัตโนมัตทุกๆ 5 นาที every interface

crontab -e

*/5 * * * * env LANG=C /usr/bin/mrtg /srv/www/htdocs/mrtg/mrtg.cfg --logging /var/log/mrtg.log

 ตัวอย่าง คอนฟิกไฟล์ mrtg.conf สำาหรับการเฝ้ามอง power voltage

### Input Voltage

Target[192.168.222.2]:.1.3.6.1.4.1.14988.1.1.3.8.0&.1.3.6.1.4.1.14988.1.1.3.8.0:public@192.168.222.2
AbsMax[192.168.222.2]: 200
MaxBytes[192.168.222.2]: 200
Title192.168.222.2]: Input Voltage for a monitored -333
PageTop[192.168.222.2]: <H1>Input Voltage RB750 being monitored </H1>
<TABLE>
<TR><TD>System:</TD> <TD>RB750 being monitored</TD></TR>
<TR><TD>Maintainer:</TD> <TD>managee</TD></TR>
<TR><TD>Description:</TD><TD>Voltage for Monitored RB750</TD></TR>
</TABLE>
Options[192.168.222.2]: gauge,growright,nopercent, noo, expscale
YLegend[192.168.222.2]: Volts
YTicsFactor[192.168.222.2]: 0.1
Factor[192.168.222.2]: 0.1
ShortLegend[192.168.222.2]: V
LegendI[IP_Address-voltage]: Input Voltage &nbsp
<pre>

- ไฟล์ MIB (Management Information Base) ไฟล์ชื่ออ้างอิจออบเจ็กต์ของ Mikrotik RouterOS สามารถดาวน์โหลดได้

จากลิงก์ http://www.mikrotik.com/download/Mikrotik.mib
- ปลั๊กอิน checks_clients_signal สำาหรับ Nagios สามารถดาวน์โลหดได้จากลิงก์
http://exchange.nagios.org/directory/Plugins/Hardware/Network-Gear/*-Generic/check_mikrotik_signal/details

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 138/ 176

บทที่ 12 – ระบบเครือข่ายภายในบ้านหรือสำานักงาน (Local Area Networks)

LAN (Local Area Network) ระบบเครือข่ายเชื่อมต่อคอมพิวเตอร์เข้าด้วยกันในบริเวรเฉพาะที่ เช่น ภายในบ้าน,

สำานักงาน หรือมหาวิทยาลัย เป็นต้น

OSI โมเดลถูกออกแบบมาด้วยกันทั้งหมด 7 ชั้น ในบทเรียนนี้ขั้นต้นจะกล่าวถึงลำาดับ OSI โมเดล ที่ใช้ระหว่างการติดต่อ

สื่อสารระหว่างคอมพิวเตอร์ ผ่านอุปกรณ์เครือข่ายเลเยอร์ 2 และเลเยอร์ 3 (เราท์เตอร์ หรือสวิตซ์เลเยอร์ 3) เฉพาะใน 3
เลเยอร์แรกเท่านั้น
Layer 1 (Physical layer) – เลเยอร์นี้จะเกียวข้องกับสื่อกลางที่ใช้ส่งติดต่อกับโฮตส์ ได้แก่ สายเคเบิ้ล , สาย
สัญญาณไฟเบอร์ออฟติก หรือสื่อไร้สาย เช่น ไมโครเวฟ เป็นต้น
Layer 2 ( Data link layer) – เลเยอร์นี้จะเกี่ยวข้องกับอุปกรณ์เครือข่ายที่ใช้สำาหรับส่งต่อข้อมูล เช่น สวิตซ์
(Layer 2 Switch) โดยสวิตซ์ฃจะมีค่า MAC address (Media Access Control address) มาจากโรงงานผู้ผลิตอุปกรณ์
รูปแบบ MAC เช่น 00:0C:42:CE:05:1D ในการติดต่อสื่อสารทำางานในระดับเลเยอร์ 2 นี้ จะพิจารณาในการส่งข้อมูล โดย
ดูจากค่า MAC address เป็นหลัก และทำาการส่งข้อมูลออกมา
Layer 3 (Network layer) – เลเยอร์นี้จะเกี่ยวข้องกับ IP network โดยพิจารณาการส่งข้อมูลที่ไอพีแอดเดรส
อุปกรณ์เครือข่ายเลเยอร์ 3 เช่น Layer 3 switch ที่สามารถทำางานได้ในทั้งระดับเลเยอร์ 2 และเลเยอร์ 3 ได้ การคอนฟิก
การส่งต่อข้อมูลในเลเยอร์ 3 บนสวิตซ์ เช่น การทำา VLAN (คือ สวิตซ์ตัวหนึ่งสามารถแบ่งออกมาเป็นเหมือนมีสวิตซ์หลายๆ
ตัวได้) หรือความสามารถในเรื่องการกำาหนดเส้นทาง (routing)

ARP (Address Resolution Protocol)

ARP ย่อมาจาก Address Resolution Protocol เป็นโพรโทคอลที่ใช้ในการค้นหา MAC address ของอุปกรณ์จาก IP

address การทำางานของ ARP หากมีเครื่องในเครือข่ายต้องการติดต่อกับเครื่องอื่น โดยทราบแค่ IP address แต่ไม่ทราบ
MAC address ของเครื่องปลายทาง เครื่องที่ต้องการติดต่อก็จะส่ง ARP Request แบบ Broadcast ออกไปในเครือข่าย
เพื่อสอบถามว่าเครื่องที่มี IP ดังกล่าวมี MAC address เป็นอะไร พอเครื่องที่มี IP ตรงกับที่ระบุได้รับ ARP Request ก็จะ
ส่ง ARP Reply (หรือ ARP Response) ตอบ MAC address ของตัวเองกลับไป ซึ่งบนระบบปฏิบัติการ RouterOS จะเก็บ
ข้อมูลที่หาได้ไว้ใน ARP Table เป็นแคชการจับคู่ระหว่าง MAC address กับ IP address
ใน MikrotikOS ตาราง ARP จะอยู่ในเมนู IP > ARP ดังรูป

จากรูปใน ARP table จะพบลิตส์ไอพีแอดเดรส 192.168.222.1 มี MAC address คือ 00:1E:37:90:BA:90 เชื่อมต่อผ่าน
อินเตอร์เฟซ “ether5-lan” ส่วนอักษรตัว “D” หมายถึง การเพิ่มโดยอัตโนมัติ (Dynamic ARP)

โดยปกติแล้ว ARP จะสร้างโดยอัตโนมัติ บน RouterOS สามารถบังคับให้เป็นแบบ static ได้ จากรูปตัวอย่างข้างบน

สามารถทำาเป็น Static ได้ โดยดับเบิ้ลคลิกที่ลิตส์ไอพีแอดเดรสที่ต้องการ จากนั้นคลิกปุ่ม “Make Static”

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 140/ 176

จะเห็นว่าเมื่อคลิกปุ่ม “Make Static” อักษรตัว “D” ก็จะหายไป ถ้าต้องการลบก็ดบั เบิ้ลคลิกแล้วคลิกปุ่ม “Remove”
ขั้นตอนถัดมาให้คอนฟิกอินเตอร์เฟซ “ether5-lan” ไปที่เมนู Interfaces > ในหน้าต่าง Interface List > ดับเบิ้ลคลิกที่อิน
เตอร์เฟซ “ether5-lan” ค่าตั้งต้นจะเป็น “enable” ให้เปลี่ยนเป็น “reply-only”

หลังจากเซต ARP เท่ากับ “reply-only” เมื่อโฮตส์มีการเชื่อมต่อผ่านอินเตอร์เฟซ “ether5-lan” RouterOS จะไม่สร้าง

ARP เพิ่มใน ARP Table จะตอบกลับเฉพาะโฮตส์ที่ร้องขอ (ARP Request) เท่านั้น

ข้อควรระวัง: ไม่กำาหนดค่า ARP เท่ากับ “disabled” เพราะจะทำาให้ไม่สามารถเข้าถึงเราท์เตอร์ผ่านอินเตอร์เฟซนี้ได้

ทำาไมถึงต้องกำาหนดค่า ARP เท่ากับ “reply-only” และเซต ARP เป็น Static ARP สำาหรับโฮสต์ทั้งหมดในเครือ
ข่าย?

เหตุผลที่ต้องเซต ARP เป็น Static หากไม่เซตเราท์เตอร์จะไม่สามารถสื่อสารกับโฮสต์ในเครือข่ายได้ ARP โปรโตคอล

ทำางานในระดับเลเยอร์ 2 แล้วก็เลเยอร์ 3 ดังนั้นจะไม่สามารถติดต่อสื่อสารได้ หากกำาหนดค่า ARP เท่ากับ “reply-only”
แล้วไม่เซต Static ARP ให้กับโฮสต์ วิธีเซต Static ARP ถือเป็นการเพิ่มระดับการรักษาความปลอดภัยให้กับเครือข่าย
ภายในเรา เมื่อมีโฮสต์ใหม่ที่นอกเหนือจากที่เซต static ARP ไว้ โฮสต์ใหม่นั้นจะไม่สามารถติดต่อสื่อสารกับโฮสต์อื่นๆ ใน
เครือข่ายได้ ช่วยป้องกัน ARP Spoof คือการส่ง ARP Reply ปลอมข้อมูล MAC address ออกไปยัง ARP Reques ถ้า
กำาหนด ARP เท่ากับ “enabled” จะบันทึกข้อมูล MAC address ที่ไม่ถูกต้องไว้ใน ARP Table

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 142/ 176

 ตัวอย่าง การเซต Static ARP ในเครือข่าย LAN

1. ใช้เครื่องมือ IP Scan ทำาสแกนทั้ง LAN subnet ของเรา ไปที่เมนู Tools > IP Scan

2. ระบุ subnet ในช่อง Address Range

3. หลังจากสแกนเรียบร้อย ไปที่เมนู IP > ARP ในหน้าต่าง ARP list

4. ให้ก็อบปี๊ทั้งหมด (เลือกลิตส์บนสุด กดปุ่ม Shift ค้างไว้ แล้วเลือกลิตส์สดุ ท้าย) คลิกขวาเลือก “Make Static”
 5. จากนั้นไปที่เมนู “Interface” เลือกอินเตอร์เฟซ แล้วเซต ARP เป็น “reply-only”

6. ดังที่กล่าวไปแล้วเมื่อมีโฮสต์ใหม่ที่นอกเหนือจากที่เซต static ARP ไว้ โฮสต์ใหม่นั้นจะไม่สามารถติดต่อสื่อสาร

กับโฮสต์อื่นๆ ในเครือข่ายได้ อย่างไรก็ตาม การทำา Static ARP อาจไม่สะดวกในการใช้งานกับระบบเครือข่าย
ขนาดใหญ่ เพราะหากมีเครื่องคอมพิวเตอร์อยู่ในระบบจำานวนมากก็ต้องเพิ่ม Static ARP ให้กับเครื่องเหล่านั้นใน
ทุกครั้งที่เปิดเครื่อง รวมถึงผู้ที่ใช้งานอินเทอร์เน็ตสาธารณะผ่านบริการ Wifi HotSpot แต่ปัจจุบันผู้ให้บริการ

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 144/ 176

HotSpot Soluiton ก็เพิ่มฟีเจอร์เซต Static ARP ให้กับกับโฮสต์ไคล์เอ็นต์ ก่อนล็อกอินเข้าระบบ
DNS (Domain Name System)

DNS หรือโดเมนเนมสเปซ (Domain Name System) เป็นระบบการแม็พชื่อจากโฮสต์ไอพีแอดเดรสเพื่อให้ได้ใช้ชื่อบน

อินเตอร์เน็ตได้ง่ายขึ้น มากกว่าที่เราจะจดจำาไอพีแอดเดรส เช่น โฮสต์แอดเดรส 122.155.168.150 (อย่างนี้จะจำาค่อนข้าง
ยาก) เมื่อระบบแม็พชื่อแล้วก็จะได้ suse.in.th ซึ่งถ้าหากการทำางานของ DNS ไม่สมบูรณ์จะมีผลต่อเสถียรภาพของ
เน็ตเวิร์คเป็นอย่างยิ่ง

RouterOS มีฟีเจอร์เก็บข้อมูลแคช DNS ที่คิวรีแล้วไว้ยังโลคัล (cache DNS) ซึ่งจะช่วยลดจำานวนการคิวรีที่มีการส่งผ่าน

การเชื่อมต่ออินเทอร์เน็ต และช่วยเร่งประสิทธภาพให้กับการใช้งานของผูใ้ ช้

ตัวอย่าง การคอนฟิก DNS ไคล์เอ็สต์ และ DNS แคชเซิร์ฟเวอร์

1. คลิกที่เมนู IP > DNS

2. คลิก “Allow Remote Request” และกำาหนดเซิร์ฟเวอร์ (ใส่ไอพีแอดเดรส DNS เซิร์ฟเวอร์ของ ISP ที่ใช้งาน
หรือ Public DNS เซิร์ฟเวอร์ เช่น Google Public DNS)

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 146/ 176

 3. ในหน้าต่าง DNS Setting คลิกปุ่ม Static สำาหรับเพิ่ม Static DNS เช่น ชื่อโลคัล DNS เราท์เตอร์, ชื่อโลคัล
เซิร์ฟเวอร์ หรือ ปริ้นเตอร์ ยกตัวอย่างชื่อ เช่น router, router.local หรือ wifihotspot..com เมื่อพิมพ์ชื่อบนเว็บเบ
ราว์เซอร์ http://router ก็จะตอบกลับมาเป็นไอพีแอดเดรส 192.168.11.10 ซึ่งเป็นหน้าเพจของเราท์เตอร์ เป็นต้น

DHCP (Dynamic Host Configuration Protocol)

DHCP เป็นระบบกำาหนดไอพีแอดเดรสแบบอัตโนมัติให้แก่ไคลเอ็นต์ในระบบ เพื่อลดความซำ้าซ้อนของหมายเลขไอพี

แอดเดรส โดย DHCP เซอร์วิส จะแจกจ่ายไอพีแอดเดรสให้แก่ไคลเอ็นต์ตามที่กำาหนดสโคปไว้ เช่น กำาหนดให้เริ่มแจก
ตั้งแต่ 192.168.222.20-192.168.222.220 ซึ่งจะมีขอบเขตให้ไคลเอ็นต์ทั้งหมดจำานวน 200 ไคลเอ็นต์

การทำางานจะแบ่งเป็น 2 ส่วน คือ

1. เซิร์ฟเวอร์รับการร้องขอจากไคลเอ็นต์ (DHCPDiscover) จากนั้นตรวจสอบฐานข้อมูลไอพีแอดเดรสในเครื่อง

แล้วส่งไอพีแอดเดรสที่ไม่ซำ้ากันส่งแมสเซจ DHCPOffer กลับไปยังเครื่องไคลเอ็นต์ที่ขอมา

2. เมื่อเครื่องไคลเอ็นต์ได้รับไอพีแอดเดรสแล้ว ไคลเอ็นต์จะส่งสัญญาณตอบกลับ DHCPRequest ให้เซิร์ฟเวอร์

ทราบ และทำาการส่งสัญญาณ DHCPPAck กลับไปยังเครื่องไคล์เอ็นต์เพื่อเริ่มใช้งานได้

DHCP Client

การเพิ่ม DHCP ไคลเอ็นต์เพื่อกำาหนดให้อินเตอร์เฟซรับไอพีแอดเดรสแบบอัตโนมัติ สมมุติว่าในเครือข่าวยเรามีเราท์เตอร์

ที่เปิดบริการ DHCP เซิร์ฟเวอร์

ตัวอย่าง การเพิ่ม DHCP Client

1. ไปที่เมนู IP > DHCP Client

2. ในหน้าต่าง DHCP Client คลิกปุ่ม [+]

3. เลือกอินเตอร์เฟซที่ต้องการรับไอพีแอดเดรส จาก DHCP เซิร์ฟเวอร์

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 148/ 176

 4. จากนั้นในหน้าต่าง DHCP Client จะแสดงไอพีแอดเดรสที่ได้รับมา

DHCP ไคลเอนต์
การเซตอัพ DHCP Client สามารถระบุอินเตอร์เฟซเป็น “bridge” ได้ แต่ต้องสร้างอินเตอร์เฟซ bridge ก่อน โดยไปที่เมนู
Bridge > [+] จากนั้นคลิกที่แท็บ Ports > [+] > เลือกอินเตอร์เฟซ

5. ปุ่ม “Release” และ “Renew” เป็นฟังก์ชันสำาการร้องขอไอพีแอดเดรสใหม่

DHCP Server

เราท์เตอร์ Mikrotik ตามที่เคยกล่าวไปแล้วว่าสามารถแยกพอร์ตได้ โดยแยกแต่ละพอร์ตเป็นมาสเตอร์พอร์ตห้เป็นสวิตซ์

พอร์ต (Master Port เท่ากับ none) สำาหรับรุ่นที่ไม่มีซิปสวิตซ์ (switch chip) เช่น 450G ส่วนรุ่นที่มีซิปสวิตซ์ เช่น 750,
750G สามารถที่จะกำาหนดให้เป็นบริดอินเตอร์เฟซได้ (bridge) เมื่อแยกแต่ละพอร์ตให้อยู่คนล่ะวงเน็ตเวิร์กได้แล้ว จาก
นั้นเราก็สามารถที่จะคอนฟิก DHCP เซิร์ฟเวอร์ แจกไอพีแอดเดรสผ่านแต่ละอินเตอร์เฟซที่มีซับเน็ตไอพีแอดเดรสที่แตก
ต่างกันได้ เช่น พอร์ตที่ 3 ตั้งชื่อเป็น ether3-wifi กำาหนดให้ DHCP เซิร์ฟเวอร์ แจกไอพีแอดเดรสเริ่มตั้งแต่ 172.16.0.20-
172.16.0.200 และพอร์ตที่ 5 ตัง้ ชื่อเป็น ehter5-lan กำาหนดให้ DHCP เซิร์ฟเวอร์ แจกไอพีแอดเดรสเริ่มตั้งแต่
192.168.222.20-192.168.222.200 เป็นต้น

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 150/ 176

 ตัวอย่าง เซตอัพ DHCP Server

ตัวอย่างนี้สมมุติว่าเราต้องการเซตอัพ DHCP เซิร์ฟเวอร์ ให้แจกไอพีแอดเดรสผ่านอินเตอร์เฟซ “ether5-lan” เริ่มแจกไอพี

แอดเดรสตั้งแต่ 192.168.222.20-192.168.222.200

1. คลิกที่เมนู IP > DHCP Server

2. คลิกปุ่ม DHCP Setup ถัดไปเลือกอินเตอร์เฟซ ซึ่งกระบวนการจะเริ่มสร้างสคริปต์คอนฟิก

3. กำาหนดเน็ตเวิร์กไอพีแอดเดรส
 4. กำาหนดไอพีแอดเดรสดีฟอลต์เกตเวย์ สำาหรับ DHCP เน็ตเวิร์กนี้

5. กำาหนด DHCP Relay (ไม่ต้องระบุ) กดปุ่ม “Next”

6. ถัดมากำาหนด pool แอดเดรส หรือช่วงของไอพีแอดเดรสที่เริ่มต้นแจก (Address to Give Out: กำาหนดเป็นไอพี

แอดเดรสของอินเตอร์เฟซที่ให้ DHCP เซิร์ฟเวอร์แจกไอพีแอดเดรสผ่าน)

7. กำาหนด DNS เซิร์ฟเวอร์ของผู้ให้บริการอินเทอร์เน็ต

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 152/ 176

หากเราท์เตอร์คอนฟิก DNS เซิร์ฟเวอร์แล้ว ให้กำาหนดเป็นไอพีแอดเดรสของเราท์เตอร์แทน เช่น 192.168.222.2 (เมื่อ
เครื่องไคลเอ็นต์ได้รับไอพีแอดเดรส รายละเอียด Network Connection Details: จะแสดง DNS Server
เป็น 192.168.222.2)

8. กำาหนดระยะเวลาดีฟอลต์หลักสำาหรับไอพีแอดเดรสที่แจกออกไป (lease-time) เป็นการตั้งค่าเวลาหมดอายุ

(expire) ของไอพีแอดเดรส มีหน่วยเป็นวินาที (ค่าดีฟอลต์จะเป็น 3 วัน คือ เครื่องไคล์เอ็นต์จะได้รับไอพีแอดเดรส
เดิมในระยะเวลา 3 วัน)

9. เป็นอันเสร็จขั้นตอนการคอนฟิก DHCP เซิร์ฟเวอร์

10. สร้างสคริปต์เสร็จเรียบร้อย ตรวจสอบที่หน้าต่าง DHCP Server คลิกที่แท็บ “DHCP”

จะแสดงรายละเอียดค่าตั้งคอนฟิกตามที่เราได้สร้างขึ้น เช่น Address Pool ในสคริปต์ชื่อ dhcp_pool4
ถัดไปคลิกที่แท็บ “Networks” ในหน้าต่างนี้เราสามารถตั้งค่าเพิ่มเติมได้ เช่น กำาหนดดีฟอลต์ไทม์เซิร์ฟเวอร์ (NTP Server)
ให้กับไคลเอ็นต์ (MikroTik เราท์เตอร์ต้องคอนฟิกเปิดบริการ NTP Server แล้ว)

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 154/ 176

11. ถัดไปตรวจสอบ IP Pool ไปที่เมนู IP > Pool
 ตัวอย่าง การคอนฟิก DHCP แบบ Static

ในตัวอย่างนี้จะเป็นการกำาหนดค่า DHCP แบบ Static หรือที่เรียกกันว่าฟิคแมคแอดเดรสโดยไคล์เอ็นต์จะได้รับไอพี

แอดเดรสเดิมตลอด ซึ่งการกำาหนดค่าในลักษณนี้ก็เพื่อให้ง่ายต่อการจดจำา และรวดเร็วในการรีโมทไปแก้ไขปัญหาที่เครื่อง
ไคล์เอ็นต์ หรืออีกกรณีฟิคแมคแอดเดรสให้กับไคล์เอ็นต์ ที่ต้องการเข้าถึงเราท์เตอร์ได้ (ต้องคอนฟิกที่ไฟร์วอลล์ด้วย) จาก
นั้นไม่ว่าจะรับ DHCP จากวง LAN เน็ตเวิร์ก หรือ Wifi Hotspot เน็ตเวิร์ก ไคล์เอ็นต์เครื่องนี้ก็สามารถเข้าถึงเราท์เตอร์ได้

1. ในหน้าต่าง DHCP Server คลิกที่แท็บ “Leases” จากลิตส์ดับเบิ้ลคลิกเลือกไคลเอ็นต์ที่ต้องการเซต Static ไอพี

แอดเดรส

2. จากนั้นคลิกปุ่ม “Make Static”

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 156/ 176

 ตัวอย่าง การตั้งค่า IP Pool ให้อยู่นอก DHCP เซิร์ฟเวอร์

โดยปกติ DHCP เซิร์ฟเวอร์ จะเรียกสคริปต์จาก Pool ที่เราสร้างขึ้น ว่าเป็นเน็ตเวิร์กไอพีแอดเดรสไหน เริ่มต้นแจกไอพี

แอดเดรสตั้งแต่เท่าไหร่ เป็นต้น การตัง้ ค่าคือในหน้าต่าง DHCP Server ในส่วนของ Address Pool เลือกเป็น static-only
จากนั้น DHCP เซิร์ฟเวอร์จะแจกไอพีแอดเดรสไปให้เฉพาะไคล์เอ็นต์ที่ “Make Static” หรือ Static Leases ดังนั้นถึงจะมี
เครื่องไคล์เอ็นต์ต่ออยู่ในเน็ตเวิร์กก็จะไม่ได้รับไอพีแอดเดรส การคอนฟิกใช้งานก็ขึ้นอยู่การอิมพลีเมนต์ระบบ ว่าต้องการ
โพลิซีแบบไหน

1. ในหน้าต่าง DHCP Server ที่แท็บ DHCP ดับเบิ้ลคลิกอินสแตนซ์ DHCP ที่ต้องการเซต

2. ที่ Address Pool ให้เปลี่ยนเป็น “static-only”

HotSpot (ฮอตสปอต) อินเทอร์เน็ตไร้สายสาธารณะ

ปัจจุบันการอิมพลีเมนท์ระบบ Wifi HotSpot ก็จะมีทั้งใช้เป็นเครื่องคอมพิวเตอร์พีซีทำาเป็น HotSpot เซิร์ฟเวอร์ หรือใช้

อุปกรณ์อย่าง Access Point ทำาโดยการเชื่อมโยงหน้าล็อกอินไปยังผู้ให้บริการ Radius Management ซึ่งฟีเจอร์ของกา
รอิมพลีเมนท์ระบบก็จะต่างกัน ร่วมถึงความยากง่ายในการติดตั้งและค่าใช้ง่ายในการติดตั้งกับค่าบำารุงรักษา

MikroTik อุปกรณ์ที่เข้ามาตอบโจทย์ระบบ Wifi HotSpot ไม่ว่าจะเป็นการติดตั้งสำาหรับใช้งานในร้านกาแฟ, โรงแรม, บิส

โทร-ร้านอาหาร, สนามบิน, สำานักงาน, หรือกระทั่ง Wifi HotSpot ส่วนตัวภายในบ้าน สำาหรับให้บริการเพื่อนๆ ที่แวะมา
เยี่ยม โดยอุปกรณ์ MikroTik สามารถคอนฟิกให้บริการ Wifi HotSpot ได้ทั้งแบบฟรี (Public) และแบบจ่ายตังค์ (Paid
Internet Access)

MikroTik อุปกรณ์เดียวที่เป็นทั้งเราท์เตอร์เชื่อมต่ออินเทอร์เน็ต และเป็นระบบจัดการผูใ้ ช้ โดยใช้ Radius ในการพิสูจน์

สิทธิ์การใช้งานของผู้ใช้ ซึ่งฟีเจอร์ด้านระบบ HotSpot ของ MikroTik ต้องบอกก่อนเลยว่าขั้นเทพมากๆ ฟีเจอร์โปรไฟล์พื้น
ฐาน เช่น กำาหนดระยะเวลาตัดการเชื่อมต่อ (Session Timeout), หากไม่มีการใช้งานติดต่อกันเกินระยะเวลาที่กำาหนด ให้
ตัดการเชื่อมต่อ (Idle Timeout) หรือ keepalive timout หากติดต่อสื่อสารกับเครื่องไคล์เอ็นท์ไม่ได้ อาจจะผู้ใช้รีสตาร์ท
เครื่อง หากอยู่ในระยะเวลาที่กำาหนด ผู้ใช้สามารถใช้อินเทอร์นเน็ตได้เลย โดยที่ไม่ต้องล็อกอินใหม่ ส่วนระบบการคิดเงิน
ไม่ว่าจะเป็นรายชั่วโมง, รายวัน, รายเดือน หรือไม่จำากัด ฟีเจอร์เหล่านี้สามารถทำาได้หมด หรือแม้แต่ฟรีเจอร์พื้นฐานของ
มาตรฐาน IEEE 802.11u (Hotspot 2.0) เช่น การจดจำาและล็อกอินด้วยแมคแอดเดรสเครื่อง โดยเมื่อเราอยู่ในพื้นที่ให้
บริการอินเทอร์ไร้สาย เครื่องจะล็อกอินอัตโนมัติ ทำาให้สะดวกและรวดเร็วต่อการใช้งาน ปัจจุบันอุปกรณ์ MikroTik ได้รับ
ความนิยมเป็นอย่างมากในประเทศไทย เนื่องจากฟีเจอร์ที่ครบถ้วน และราคาที่ตำ่ากว่ายี่ห่ออื่นๆ ในตลาด และการบำารุง
รักษาได้ง่ายกว่าการใช้งานเครื่องคอมพิวเตอร์พีซี การแก้ไขปัญหาเบื้องต้นผู้ใช้งานเพียงแค่เปิด -ปิด อุปกรณ์ MikroTik

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 158/ 176

 ตัวอย่าง การเซตอัพระบบ HotSpot

MikroTik บางรุ่นจะมีอินเตอร์เฟซไร้สายในตัว (Wireless Interface) ถ้าเป็นรุ่นที่มีอินเตอร์เฟซไร้สายเราก็สามารถคอนฟิก

ให้บริการระบบ Wifi HotSpot ได้เลย แต่ถ้าเป็นรุ่นที่ไม่มีอินเตอร์เฟซไร้สาย เช่น RouterBOARD 750 จะต้องซื้อ Access
Point อีกเครื่องเป็นตัวกระจายสัญญาณ ตัวอย่างนี้จะเป็นการเซตอัพ RlouterBOARD 750 กับ Linksys WAP54G
(เฟิร์มแวร์ DD-WRT)

1. ในหน้าต่าง WinBox คลิกเมนู IP > HotSpot จากนั้นคลิกปุ่ม HotSpot Setup เพื่อเริ่มต้นการตั้งค่า (หากเป็นมือ
ใหม่หัดขับแนะนำาให้ใช้ค่าดีฟอลต์ โดยคลิก Next Next Next ไป) แต่เชื่อว่าผู้อ่านได้อ่านมาถึงหน้านี้แล้วคงมี
ความรู้การปรับค่าคอนฟิกบางแล้ว หรืออาจจะมีความเชียวชาญในเรื่องเซตอัพระบบเครือข่ายไร้สายอยู่แล้ว

2. คลิกปุ่ม HotSpot Setup

3. เลือกอินเตอร์เฟซ สำาหรับรันเซตอัพ HotSpot (แต่ถ้าเป็นรุ่นที่มี Wireless ในตัวชื่ออินเตอร์เฟซจะเป็น wlan1) ใน

ตัวอย่างนี้กำาหนดเป็นอินเตอร์เฟซ ether3-wifi เพราะได้ตั้งชื่ออินเตอร์เฟซมาแล้ว (Interfaces > Interface)
 4. กำาหนดไอพีแอดเดรสให้กับอินเตอร์เฟซ

5. กำาหนด Pool แอดเดรสเน็ตเวิร์ก

6. เป็นออฟชันสำาหรับการเข้ารหัส SSL เวลาล็อกอิน (HTTPS) หากไม่ต้องการใช้ให้กำาหนดเป็น none

7. กำาหนดแอดเดรส SMTP เซิร์ฟเวอร์ ใช้ค่าดีฟอลต์คือ 0.0.0.0 เพื่อป้องกันพวกสแปมเมอร์จาก Hotspot เน็ตเวิร์ก

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 160/ 176

8. กำาหนด DNS เซิร์ฟเวอร์

9. กำาหนดชื่อโลคัล DNS สำาหรับ URL ซึ่งผู้ใช้จะเห็นชื่อโลคัล DNS นี้บนแอดเดรสบาร์ที่เบราว์เซอร์ หลังจากรี

ไดร์เรกแล้ว และการดูสติถิการใช้งาน หรือต้องการล็อกเอาท์ออกจากระบบ ผูใ้ ช้ต้องพิมพ์โลคัล DNS (แนะนำาให้
กำาหนดชื่อตามรูปแบบมาตรฐานของ URL ที่ถูกต้อง เช่น wifi.hotspot.com หรือ wifi.com เป็นต้น

10. คลิกปุ่ม “OK” เป็นอันเสร็จขั้นตอนการติดตั้งระบบ Wifi HotSpot

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 162/ 176
 ตัวอย่าง การกำาหนด IP Binding

IP Bindings เป็นฟีเจอร์ที่ผู้แลระบบต้องใช้หากไม่ต้องการตรวจสอบสิทธิ์การใช้งาน (bypass) เช่น ตั้งค่าให้กับกลุ่มลูกค้า

วีไอพี ให้สามารถใช้งานอินเทอร์เน็ตได้เลยโดยไม่ต้องล็อกอิน, การกำาหนดให้กับบางอุปกรณ์ เช่น ทีวี ที่ไม่รองรับการรี
ไดร์เรกไปหน้าล็อกอิน หรือการติดตั้งระบบแบบคิดค่าบริการ (paid service) แล้วเปลี่ยนมาให้บริการเป็นแบบใช้งานฟรี

1. คลิกที่ปุ่ม IP > HotSpot

2. ที่แท็บ Bindings > คลิกปุ่ม [+]

 3. กรอก MAC address ของเครื่องไคล์เอ็นต์ หรือของอุปกรณ์ที่ต้องการไม่ให้มีการตรวจสอบสิทธิ์การใช้งาน

ตัวอย่าง การเพิ่มผู้ใช้สำาหรับใช้งานระบบ HotSpot

ในตัวอย่างนี้จะเป็นการเพิ่มผู้ใช้แบบ manual ซึ่งอุปกรณ์ MikroTik รองรับการใช้งานอยู่แล้ว จะไม่ใช้การเพิ่มผู้ใช้โดย

ระบบจัดการผู้ใช้ ดีฟอลต์ยูสเซอร์ของ HotSpot คือ admin (ไม่ใช้ยูสเซอร์เนม admin สำาหรับล็อกอินเข้าเราท์เตอร์
เนื่องจากคนละฐานข้อมูล) และรหัสผ่านไม่มี ต้องกำาหนดรหัสผ่านยูสเซอร์ “admin” หากผูด้ ูแลระบบติดตั้งระบบสำาหรับ
ให้บริการ Wifi HotSpot แบบคิดค่าบริการ จะต้องติดตั้งแพคเกจ User Manager ไว้สำาหรับบริหารจัดการผู้ใช้ โดยผู้ดูแล
ระบบสามารถที่จะพิมพ์บัตรผู้ใช้งานอินเทอร์เน็ตให้กับลูกค้า หรือออกวางจำาหน่ายได้ (ระบบสร้างคูปอง)

1. คลิกเมนู IP > HotSpot

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 164/ 176

 2. คลิกที่แท็บ “Users” > คลิกปุ่ม [+] จากนั้นกำาหนดยูสเซอร์เนมและรหัสผ่าน

ตัวอย่าง การตั้งค่ายูสเซอร์โปร์ไฟล์ (User Profile)

User profile เป็นวิธีการสร้างกลุ่มผูใ้ ช้ (Group User) เช่น กลุ่มที่ต้องการจำากัดแบนด์วิทด์, การสร้างกลุ่มสำาหรับแชร์

ยูสเซอร์ คือ ยูสเซอร์เนมเดียวสามารถใช้งานพร้อมกันได้หลายเครื่อง หรือ การกำาหนด Address pool และแพกเก็ตมาร์ค
สำาหรับการจำากัดแบนด์วิทด์

1. คลิกเมนู IP > HotSpot

 2. คลิกที่แท็บ “User Profiles” > คลิกปุ่ม [+] สำาหรับสร้างโปรไฟล์ขึ้นใหม่ สมุมติสร้างเป็นกลุ่มจำากัดแบนด์วิทด์ที่
1M/1M ในการตั้งชื่อโปรไฟล์ควรตั้งให้สอดคล้องกัน เช่น Grp_1MUsers และเมื่อยูสเซอร์ทำาการล็อกอินเข้าสู้
ระบบสำาหรับใช้งานอินเทอร์เน็ต ระบบ HotSpot จะสร้าง Simple Queue ขึ้นมากำาจัดแบนด์วิทด์ตามโปรไฟล์ที่
กำาหนดขึ้น

3. จากนั้นกลับไปที่แท็บ “Users” ให้ดับเบิ้ลคลิกที่ยูสเซอร์เนมที่ต้องการเพิ่มเข้าไปยังกรุ๊ปชื่อ Grp_1MUsers โดย

กำาหนดตรงฟิวด์ Profile: Grp_1MUsers

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 166/ 176

 ตัวอย่าง การตั้งค่าเซิร์ฟเวอร์โปร์ไฟล์ (Server Profiles)

1. คลิกเมนู IP > HotSpot

2. คลิกที่แท็บ “Server Profiles” จากนั้นดับเบิ้ลคลิกโปรไฟล์ที่ต้องการแก้ไขค่าคอนฟิก

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 168/ 176
 3. จากหน้าต่างเซิร์ฟเวอร์โปรไฟล์ที่ต้องการกำาหนดเป็นค่าเริ่มต้น คลิกที่แท็บ “Login”

กำาหนดวิธีการตรวจสอบสิทธิ์การใช้งาน “Login By”

MAC กำาหนดให้ตรวจสอบสิทธิ์การใช้งานจาก Mac Address
หมายความว่า กรอกยูสเซอร์เนมเป็นหมายเลข Mac Address ส่วนตรง “MAC Auth. Password” จะกำาหนดหรือไม่
กำาหนดก็ได้ ถ้าไม่กำาหนดช่องรหัสผ่านก็ปล่อยว่าง แล้วคลิกปุ่ม OK เข้าสู้ระบบได้เลยครับ
HTTP CHAP กำาหนดให้ตรวจสอบความถูกต้อง ผ่านกลไกการตรวจสอบด้วยโปรโตคอล CHAP (Challenge-
Handshake Authentication Protocol) ดีฟอลต์ติ๊กเลือกอยู่แล้ว
HTTP PAP กำาหนดให้ตรวจสอบความถูกต้อง ผ่านกลไกการตรวจสอบด้วยโปรโตคอล PAP ( Password
Authentication Protocol) ค่าดีฟอลต์ติ๊กเลือกอยู่แล้ว
MAC Cookie กำาหนดให้ตรวจสอบสิทธิ์การใช้งานจาก MAC Cookie
โดยทั่วไปแล้วเมื่อเซสชัน Timeout เวลาผู้ใช้เปิดแอพพลิเคชัน เช่น Facebook, Play Store, YouTube หรือ Speed Test
ระบบจะไม่สามารถเชื่อมต่อกับอินเทอร์เน็ตได้ เนื่องจากผู้ใช้ยังไม่ได้ล็อกอินเข้าสู้ระบบ ทำาให้เกิดความไม่สะดวกสำาหรับ
การใช้งาน เพราะต้องเปิดเบราว์เซอร์ก่อนเพื่อล็อกอิน ถึงมาใช้งานแอพพลิเคชันได้
(สำาหรับอุปกรณ์ระบบปฏิบัติการ iOS จะรีไดเรกขึ้นหน้าต่างป็อปอัพให้ล็อกอิน แต่อุปกรณ์ระบบปฏิบตั ิการ Android ต้อง
ล็อกอินแบบ manual
MAC Cookie ความความว่า เมื่อ MAC cookie ยังไม่หมดอายุ (Timeout) เช่น กำาหนดค่าออปชัน mac-cookie-timeout
เท่ากับ 30 วัน หรือตลอดอายุของแพ็คเกจสำาหรับลูกค้าวีไอพี เมื่อผู้ใช้ล็อกอินระบบจะจดจำายูสเซอร์เนมกับรหัสผ่าน
สำาหรับ MAC address อุปกรณ์เครื่องนี้ไว้นาน 30 วัน หลังจากเชื่อมต่อ Wifi สำาเร็จ ผูใ้ ช้ก็เปิดใช้แอพพลิเคชันต่างๆ ใช้
งานได้เลย ทำาให้สะดวกยิง่ ขึ้นเพราะไม่ต้องล็อกอิน ฟีเจอร์นี้รองรับการจดจำา MAC address ได้ 1 ยูสเซอร์ต่อ 3 อุปกรณ์
(ฟีเจอร์รับรองตั้งแต่ RouterOS 6.0 ขึ้นไป)
Cookie (คุกกี้) กำาหนดให้ตรวจสอบสิทธิ์การใช้งานจากเบราว์เซอร์คุกกี้
หมายความว่า ครั้งแรกที่ผู้ใช้ทำาการล็อกอินผ่านเว็บเบราว์เซอร์ ระบบจะจดจำายูสเซอร์เนมและรหัสผ่านไว้ เมื่อเบราว์เซอร์
ถูกปิด หรือผู้ใช้ปิดใช้ Wireless แต่ในระบบค่าเซสชันยังไม่หมดเวลา (HTTP Cookie Lifetime ค่าเริ่มต้นคือ 3 วัน) เมื่อผู้
ใช้มีการเปิดเว็บเบราว์เซอร์ขึ้นใหม่อีกครั้ง ระบบจะล็อกอินให้อัตโนมัติ (ไม่ขึ้นหน้าต่างป็อปอัพให้ล็อกอิน)
HTTPS กำาหนดให้ตรวจสอบสิทธิ์การใช้งานแบบเข้ารหัสลับ จำาเป็นต้องมีใบรับรอง (Certificate) หากตอนเซตอัพระบบ
HotSpot มีการใช้ SSL ออปชัน HTTPS นี้ต้องติ๊กเลือก
Trial เปิดใช้งานสำาหรับให้ผู้ใช้สามารถลองใช้งานได้ฟรี โดยสามารถกำาหนดระยะเวลาให้ใช้งานได้ เช่น ทดลองใช้งานฟรี
30 นาที และความเร็วอินเทอร์เน็ตที่ 1M/1M จึงเหมาะสำาหรับผู้ให้บริการอินเทอร์เน็ตไร้สาย (WISP : Wireless Internet
Service Provider)

ตัวอย่าง การตั้งค่าอนุญาตไม่ให้มีการตรวจสอบสิทธิ์ (Walled Garden)

ในตัวอย่างนี้เป็นการตั้งค่าอนุญาตการเข้าถึงเว็บไซต์ โดยไม่ต้องล็อกอิน อธิบายคือเมื่อผู้ใช้เชื่อมต่อ Wifi เสร็จ ผูใ้ ช้

สามารถที่จะเปิดเว็บไซต์ขององค์กรได้, เว็บไซต์อื่นๆ ที่อยู่ในลิสต์ Walled Garden หรือหน้าเพจที่เป็นเพจสำาหรับสั่งซื้อ
บัตรอินเทอร์เน็ต โดยไม่ต้องล็อกอิน

1. ไปที่เมนู IP > HotSpot

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 170/ 176

 2. คลิกที่แท็บ “Walled Garden” > คลิก [+] แล้วเพิ่มชื่อโดเมนเว็บไซต์ที่ต้องการอนุญาต

กรอกเป็นเครื่องหมายดอกจันหรือ asterisk (*) เพื่ออนุญาตซับโดเมนทั้งหมดภายใต้โดเมนเนม susethailand.com

 ตัวอย่าง การสร้างหน้าล็อกอินสำาหรับ HotSpot (Custom Login Page)

การสร้างหน้าล็อกอินให้ดูสวยงานและมีสไตล์เป็นเรื่องที่ง่ายมากบนอุปกรณ์ Mikrotik ผู้ใช้เพียงลากไฟล์ (drag) จาก

หน้าต่าง File List มายังเดสก์ท็อป จากนั้นทำาการแก้ไขโค้ด HTML (ไฟล์ login.html) ด้วยโปรแกรมเท็กซ์อิดิเตอร์ เช่น
Notepad++ เมื่อแก้ไขเสร็จ เพียงลากไฟล์กลับไปยังโฟลเดอร์ hotspot ก็เป็นอันเสร็จ
สำาหรับการออกแบบกราฟิกอาจใช้โปรแกรม Gimp หรือ Photoshop ในการช่วยออกแบบเพื่อเพิ่มความสวยงามให้หน้า
ล็อกอิน หรือสามารถดาวน์โหลดฟรีเทมเพลทหน้าล็อกอินสำาเร็จรูปได้ที่ http://mikrotiktemplate.blogspot.com

การดาวน์โหลดไฟล์จากอุปกรณ์ Mikrotik สามารถทำาได้ 2 วิธี (แนะนำาให้โหลดทั้งโฟลเดอร์ hotspot)

1. ใช้โปรแกรม FTP ไคลเอนต์ เช่น FileZilla

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 172/ 176

 2. โปรแกรม Winbox

ตัวอย่าง หน้าล็อกอิน

หากต้องการปรับแต่ง เช่น ไม่ต้องการให้กรอกชื่อล็อกอิน กรณีให้บริการแบบฟรีอินเทอร์เน็ต หรือระหว่างทำาการทดสอบ

ระบบ วิธีที่ได้รับความนิยมคือการใช้รูปแบบการแชร์ล็อกอิน สามารถทำาได้ดังนี้
 1. ให้เปิดไฟล์ login.html ดูที่ส่วนของเซสชันฟอร์มล็อกอิน ตามโค้ดด้างล่างนี้

<table width="100" style="background-color: #ffffff">

<tr><td align="right">login</td>
<td><input style="width: 80px" name="username" type="text" value="$(username)"/></td>
</tr>
<tr><td align="right">password</td>
<td><input style="width: 80px" name="password" type="password"/></td>
</tr>

ให้แก้ไขใหม่เป็น

<table width="100" style="background-color: #ffffff">

<tr><td align="right">login</td>
<td><input style="width: 80px" name="username" type="hidden" value="sharedguestuser"/></td>
</tr>
<tr><td align="right">password</td>
<td><input style="width: 80px" name="password" type="password"/></td>
</tr>

หลังจากนั้นให้สร้างยูสเซอร์โปร์ไฟล์ใหม่ชื่อ “SharedUserProfile” และกำาหนดค่า Shared Users ให้มากกว่า “1”

2. เข้าไปที่เมนู Hotspot > คลิกที่แท็บ “User Profiles”

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 174/ 176

 1. สร้างยูสเซอร์เนมล็อกอินฮอตสปอต (ไม่ต้องกำาหนดรหัสผ่าน) ชื่อ “sharedguestuser” ให้อยู่ในโปรโฟล์
“SharedUserProfile” ไปที่เมนู Hotspot > คลิกที่แท็บ “Users”

วิธีการปรับแต่งแบบนี้จะเป็นการใช้เพียงยูสเซอร์เดียวสำาหรับเข้าสู่ระบบฮอตสปอต เมื่อผู้ใช้เข้าสู้หน้าล็อกอินจะเห็น
เฉพาะช่องรหัสผ่านที่เป็นว่าง “blank” จากนั้นเพียงคลิกปุ่ม “OK” เพื่อเข้าสู่ระบบ
เพียงเท่านี้ก็สามารถเปิดให้บริการระบบ Wifi Hotspot ได้แล้วครับ!

- THE END -

คู่มือบริหารระบบเครือข่ายด้วย MikroTik RouterOS โดย สนธญา โพธิบุตร หน้า 176/ 176