Nettree IDC

16/11/2020

ในช่วงต้นเดือน เว็บให้พร ของเราถูกสั่ง Block ไป แต่บางคนก็หาทางจนเข้าได้ บางคนก็เข้าได้ปกติไม่เกิดอะไรขึ้น มาดูกันดีกว่าปกติเขา Block กันยังไง

ปกติการ Block ก็มีหลายวิธี และก็ต้อง advance ขึ้นตามสมัย สมัยก่อนเว็บไซต์ ทำงานผ่าน protocol HTTP (Port 80) แบบไม่เข้ารหัส ดังนั้น ข้อมูลที่วิ่งไปหา Server จาก Internet เราก็จะเห็นหมดว่าเปิดไป hostname อะไร URL อะไร เพราะดูจาก HTTP Header ได้เลย

เวลาเราเปิด http://weather.bangkok.go.th/radar/ ข้อมูลที่วิ่งบน Port 80 มาเป็น Text อ่านได้เลย จะเห็นว่ามองเห็นหมดว่าเราเรียกเว็บ weather.bangkok.go.th และ path หรือ URL /radar/

ดังนั้นการ block website โดยทั่วไป ถ้าอยู่ในต่างประเทศจะค่อนข้างง่าย เพราะมี Gateway ออกต่างประเทศจำกัดไม่กี่ราย และต้องอยู่ภายใต้กฎหมาย และการดูแลของกระทรวง DE ซึ่งกำหนดให้ผู้ให้บริการ เกตเวย์ระหว่างประเทศ มีหน้าที่ block website ที่ไม่เหมาะสมตามประกาศของกระทรวง โดยการใช้ Pattern Match หรือการค้นหา Text จาก ตัว HTTP Header เนี่ยแหละ เช่น Match Header ตรง ‘Host: พรนะฮับ.คอม’ ได้เลย ซึ่งส่วนใหญ่จะอยู่ต้น ๆ Packet ของ TCP Packet ที่วิ่งบน Port 80 (ปกติ Pattern Match จะทำได้จำกัด เช่น 64 byte จากตำแหน่ง x บน Packet หรือ Frame เช่น บอกว่าให้ ค้นหา คำว่า ‘Host: พรนะฮับ.คอม’ จาก byte ที่ 14 ซึ่งมันทำงานได้ในระดับความเร็วแสง เพราะมี Hardware คอยจัดการโดยเฉพาะ ไม่มีผลต่อความเร็วเลย ถ้าเจอ Header ตามนี้ก็แค่ Drop ทิ้ง ข้อมูลก็ไปไม่ถึง Server แล้ว หรือร้ายกว่านั้นก็ตอบกลับ Response ปลอม ๆ ไป (แบบที่กระทรวง DE ชอบทำ) คือ redirect ไปเว็บของกระทรวงเสียเลย เราเลยเจอหน้าตาที่คุ้นเคยสีเขียว ๆ (เดี๋ยวนี้ไม่เขียวแล้ว)

สมัยก่อน เว็บไซต์ส่วนใหญ่ยังไม่มีการเข้ารหัส (เพราะค่า Certificate มันแพงด้วยส่วนหนึ่ง) เลย block ได้ง่ายมาก

ประมาณ 3-4 ปีที่แล้ว Browser ต่าง ๆ เริ่มผลักดันการเข้ารหัสในการเปิด Websites ซึ่งมีองค์กรคอยให้บริการ Certificate ฟรี อย่าง Let’s Encrypt เว็บไซต์ต่าง ๆ เริ่มไปใช้ Protocol แบบ HTTPS (Port 443) แทน HTTP ที่มีการเข้ารหัส คราวนี้การ block เลยยากขึ้น เพราะ HTTP Header จริง ๆ เราจะไม่เห็น และอ่านไม่รู้เรื่อง

แต่ว่าด้วยความที่ Protocol HTTPS ดั้งเดิม (TLS version ต่ำกว่า 1.3) นั้นมีการใช้ SNI (Server Name Identification) แบบไม่เข้ารหัส สำหรับแบ่งแยก certficate สำหรับ hostname ที่อยู่บน IP เดียวกัน

ดังนั้นส่วนใหญ่ต่อให้ใช้ HTTPS ก็ยังมีโอกาสถูก block ได้อยู่ดี แต่ไม่สามารถ Block ราย URL หรือ Path ด้านหลังได้ ต้อง block ไปทั้งเว็บไซต์เลย แต่ไม่สามารถ Redirect ได้ละ เพราะว่า Certificate มัน Verify ไม่ผ่าน browser จะเตือนทันที

ที่นี้ทำไมบางคนเข้าได้

ก็ต้องบอกว่า Privacy ฝั่ง User มันก็พัฒนาไปอีกขั้น หลังจาก TLS 1.3 มีการใช้งาน Encrypted SNI (ESNI) หรือ Encrypted Client Hello (ECH) ทำให้มันสามารถส่ง SNI โดยเข้ารหัสได้ (โดยใช้ public key ที่ได้จาก DNS อีกที) ซึ่งแน่นอน pattern match ไม่ได้ เพราะ server ต้องรู้ private key ที่ตรงกัน และ Great Firewall of China ก็ไม่รอช้า Block ESNI เสียเลย ทำให้ browser ยังต้องใช้ SNI ปกติในการเข้า แต่ไทยน่าจะยังไม่มีการ block นะครับ บางคนเลยเข้ากันได้

บางครั้งไม่รู้จะ Block ยังไงก็เล่นท่าไม้ตายครับ Block DNS เสียเลย (บางทีก็ Block เฉพาะ ESNI Key ที่มาจาก DNS) เพราะ Port 53 มันไม่เข้ารหัส แต่การทำแบบนี้ต้องอาศัยความร่วมมือของผู้ให้บริการ Internet ในประเทศ เพราะส่วนใหญ่ก็ใช้ DNS Resolver ของ ISP ที่ใช้อยู่ ส่วนถ้าเป็น Website ในประเทศ ขอหมายศาล ไปยกเครื่องเลยง่ายกว่า 🤣

แต่สุดท้ายเราก็มีทางออกครับ เร็ว ๆ นี้ browser ต่าง ๆ เริ่ม support DNS over TLS (Port 853) หรือ DNS over HTTPS (443) พูดง่าย ๆ คือ คราวนี้เข้ารหัสมันทั้ง DNS ทั้ง HTTP ปกติ เราไปเปิดได้ครับใน Chrome/Firefox เวอร์ชันใหม่ ๆ ใช้ได้กันหมด Google DNS ก็มี DNS over TLS ให้ใช้ด้วย ถ้าไม่โดน block IP พวก Google DNS, Cloudflare DNS หรือ Open DNS ก็น่าจะไปต่อได้ครับ 555+

เปิดยังไงไปศึกษาดูครับ

https://support.opendns.com/hc/en-us/articles/360038086532-Using-DNS-over-HTTPS-DoH-with-OpenDNS

16/10/2020

คราวนี้มีโจทย์เป็น Resort ริมทะเลครับ มันก็มีความง่ายและยากอยู่ด้วยกัน

สำหรับตัวระบบ WiFi ความง่ายคือ มันโล่งครับ ติด Access Point ตัวเดียว พร้อม เสาดีๆ ไปได้ไกลมากๆ

ความยากคือ มีห้องหลายแบบมาก ทั้งแบบที่เป็น Villa แยกต่างหาก อาคาร/บ้าน แบบมีหลายๆ ห้อง และอาคารที่มีห้องพักเรียงกันอยู่ทั้งสองด้าน แบบมี Corridor ตรงกลาง และด้านหน้าด้านเดียว รวมถึงห้องอาหาร และห้องประชุม

ตรงนี้ทำให้เราเลือกใช้ ระบบ UniFi เหมือนเดิมเนื่องจากจัดการง่าย แต่ใช้ Access Point แบบเดียว คลุมทั้งหมดไม่ได้ครับ ซึ่งโดยปกติการติดตั้งในอาคารเราจะใช้ UniFi Access Point ในรูปแบบจาน ติดตั้งบนเพดาน ซึ่งเราสามารถติดไว้ในอาคารที่มีห้องพักเรียงกันหลายๆ ห้องได้ แต่มันไม่เหมาะกับกลางแจ้งครับ ซึ่งกลางแจ้งเราเลือกใช้ UniFi AC Mesh แทนเพราะมีเสาแบบ High Gain และ Design เหมาะกับการติดตั้งภายนอก ในที่โล่ง แถมยัง Mesh กลับไปหาตัวใกล้เคียงได้กรณีสาย LAN หลักเสียหาย ส่วนในอาคารเลือกเป็น UniFi AC Lite ก็เพียงพอ ยกเว้นห้องประชุม หรือห้อง จัดเลี้ยงที่เลือกเป็น Unifi AC Pro หรือ AC HD แทน เพราะต้องรองรับคนจำนวนมาก

จุดสำคัญอยู่ตรงริมทะเล ซึ่งได้มีการนำ Directional Antenna มาติดกับ Unifi AC Mesh แทนเสาเดิมของมันเนื่องจากเราต้องการให้มัน Focus ไปในมุมทะเลด้านเดียว เพื่อให้มันไปได้ไกลขึ้น (Gain ด้านอื่นจะลดลง) และไม่ไปรบกวนตัวอื่นบน Channel เดียวกัน ที่อยู่บริเวนใกล้เคียงของรีสอร์ทมากนัก

มาถึงระบบอื่นที่เกียวข้องครับ เช่นการ Login หรือการเก็บ Log

สำหรับกรณี Resort เพื่อให้รองรับข้อกฏหมายของการเก็บ Log หรือการใช้งาน เราควรเปิดระบบ Captive Portal เพื่อรองรับการ Login ของผู้ใช้งานครับ ซึ่ง UniFi USG สามารถทำ Captive Portal ร่วมกับ Radius ในตัวได้อยู่แล้ว เราก็แค่สร้าง user ตามหมายเลขห้อง และตั้ง password เก็บไว้ และเปลี่ยนบ่อยๆ เช่นเดือนละครั้ง หรือเปลี่ยนทุกครั้งที่แขกออกจากห้องพักเลยยิ่งดีครับ

ดังนั้น Log ในการใช้งานที่อยู่บน UniFi และ Radius จะสามารถระบุผู้ใช้งาน Internet ได้คร่าว ๆ เนื่องจากเรารู้ว่า User นั้นๆ อยู่ห้องใดและ Checkin ในชื่อใคร ซึ่งเราไม่ต้องลงทุนระบบอะไรเพิ่ม ทุกอย่างมันจะเก็บไว้ใน Report ของ UniFi Controller ทั้งหมด

ส่วนการให้บริการกับผู้ที่เข้าสัมนาและจัดเลี้ยง ถ้ามีการให้ WiFi ควรสร้าง user ชั่วคราวไว้ล่วงหน้าเป็นเลขลำดับ เช่น 001-100 และให้แขกมาลงทะเบียนรับ user/password แทนครับ หลังจากจบงานเราเปลี่ยน password ทั้งหมดเพื่อนำไว้ใช้ในงานถัดไปได้เลย คือ reuse username เดิมเหมือนกรณี หมายเลขห้องนั่นเองครับ

ท่านใดสนใจ อยากปรึกษา หรืออยากให้ทีมงาน ออกแบบระบบ , ทั้งในอาคารสำนักงาน ห้างฯ ร้าน โรงงาน โรงแรม หอพัก คอนโด และบ้านพักอาศัย ติดต่อ หรือจองคิวเข้าสำรวจหน้างาน ได้ที่ 02-130-6839 หรือ [email protected]
ยินดีให้บริการทุกท่านครับ

08/10/2020

ในหลายครั้ง เราได้รับโจทย์จากลูกค้ามาว่า ต้องการระบบ Wifi ที่สามารถรองรับผู้ใช้ได้จำนวนมาก และแน่นอนว่าต้องเสถียร เรียกได้ว่าเป็นโจทย์คลาสสิกที่ได้ยินกันบ่อยๆ

แต่เอ๊ะ… แล้วที่ว่ารองรับได้มาก นี่มันมากขนาดไหน ความหนาแน่นของผู้ใช้เป็นอย่างไร สภาพสถานที่เป็นแบบไหน เปิดโล่งหรือไม่ และที่สำคัญ Wifi นั้นใช้ทำอะไรบ้าง ใครใช้บ้าง
สิ่งเหล่านี้ เป็นสิ่งที่เราจะพิจารณา และหาคำตอบร่วมกับลูกค้าเป็นอันดับแรก เพื่อใช้พิจารณาออกแบบระบบ Wifi ที่ดี และมีประสิทธิภาพสูงสุด

ในสถานที่ที่มีคนจำนวนมาก ระบบ WiFi มักจะเกิดปัญหาหลักๆ คือ ต่อไม่ติด หรือช้า ซึ่งมักเกิดจากการเลือกใช้อุปกรณ์ ที่ไม่เหมาะสม รวมถึงการตั้งค่า ระบบ Network ที่ไม่เหมาะกับการรองรับคนจำนวนมาก ซึ่งสาเหตุของปัญหาหลักๆ ที่พบเจอได้แก่

มีผู้ใช้เกาะกับ Access Point ตัวใดตัวหนึ่งมากเกินความสามารถของตัว Access Point ทำให้รับคนเพิ่มไม่ได้ จะทำให้ต่อไม่ติด หรือ ใช้งานได้ช้า
มีการรบกวนกันเองของสัญญาณตัว Access Point และ สัญญาณจาก อุปกรณ์ของผู้ใช้งาน รวมถึงการใช้งาน Personal Hotspots
มี Subnet ที่มีขนานไม่เพียงพอ ทำให้มีปริมาณ IP ไม่พอสำหรับแจกจ่ายผ่าน DHCP

การแก้ปัญหานี้ต้องเริ่มตั้งแต่การสำรวจพื้นที่และออกแบบ รวมถึงประมาณการ Bandwidth ที่จะเกิดขึ้นจริงในระบบ เพื่อเลือกอุปกรณ์ที่เหมาะสม

อย่างในกรณีลูกค้ารายหนึ่ง มีห้องประชุมอบรม อยู่หลายห้อง ขนาดแตกต่างกันไป แต่ละห้องรองรับคนตั้งแต่ 50 ไปจนถึง 400 คน ดังนั้น ถ้าตีว่ามีคนใช้ Internet โดยทั่วไปพร้อมๆ กัน ประมาณ 25% และ Service ที่มักพบเจอในการใช้งานมากที่สุด คือ Youtube หรือ Facebook (มี Tiktok บ้างเป็นครั้งคราว) ซึ่งอาจจะกิน Bandwidth ประมาณ 3-4mbps ต่ออุปกรณ์

ทุกๆ 100 คนอาจจะมีการใช้งานพร้อมกัน 25 คน และใช้ Bandwidth มากถึง 400Mbps ซึ่งต่อให้ใช้ Access Point อย่างดี เช่น Wireless AC 1700 อุปกรณ์ของผู้ใช้แต่ละเครื่อง นั้นไม่ได้ต่อที่ความเร็ว 1700 เหมือนกันทุกคน บางตัวอาจจะวิ่งได้แค่ 433 บางตัว 867 แถมยังทำงานแบบ Half Duplex ทำให้เอา 1700 หารจำนวน client เลยไม่ได้ Throughput โดยทั่วไปเลยจะอยู่แค่ 1 ใน 4 ของความเร็ว Access Point หรือราวๆ 4-500Mbps เท่านั้น ดังนั้นเราจึงพิจารณาติด Access Point ที่รองรับ Wireless AC 1700 (5GHz) และ Wireless N 600 (2.4Ghz) คร่าวๆ ที่ 1 ตัวต่อจำนวนคน 100 คน (กรณีห้องขนาดใหญ่)

และถ้าต้องใช้ Access Point มากกว่า 1 ตัวในการรองรับผู้ใช้ในห้องหรือพื้นที่เดียวกัน นอกจากจะต้อง Access Point ที่สามารถทำ Roaming ได้แล้ว เพื่อย้ายไปเกาะตัวไหนก็ได้ ยังต้องเลือกที่มีระบบ Load Balance และ Band Steering เพื่อให้สามารถย้าย Cient ไปเกาะใน Access Point และ Band ที่เหมาะสม ไม่เกาะอยู่บน Access Point ตัวใดตัวหนึ่งมากเกินไป

การมี Access Point หลายตัว ในห้องเดียวกัน หรือ คนละห้องแต่ใกล้เคียงกัน ก็จะเกิดอีกปัญหาคือ สัญญาณรบกวนกันเองเกิดขึ้นได้ ดังนั้นจึงต้องมีการตั้ง Channel ให้ไม่รบกวนกัน เพราะ AC 1700 (กรณี AC Wave 1) จะใช้ Channel Bandwidth 80Mhz ซึ่งกว้างมาก ต่อให้ใช้ 5Ghz ก็ต้องมีการจัดสรรอย่างเหมาะสม และกำหนดกำลังส่งไม่ให้ไปรบกวนตัวใกล้เคียงที่ใช้ Channel เดียวกันด้วย

ยิ่งกรณี 2.4Ghz ยิ่งมี Channel จำกัด เลยเลือกใช้ Channel Bandwidth แบบ 20MHz แทน เพื่อให้มีช่องสัญญาณเพียงพอและไม่รบกวนกัน มีความเสถียร แลกกับความเร็วที่ช้าลงเล็กน้อย

และในกรณีมีผู้ใช้งานจำนวนมาก ปัญหาที่พบได้บ่อยคือ DHCP Pool อาจจะไม่เพียงพอ (หลายๆ ที่ก็ตกม้าตายในเรื่องนี้) เราต้องกำหนด DHCP Pool ให้เพียงพอต่อผู้ใช้งาน รวมถึง Leased Time ที่ไมนานเกินไป โดยคำนึงถึงการใช้งานแบบชั่วคราว ที่ผู้เข้าอบรมมักจะอยู่แค่ 3 หรือ 6 ชั่วโมง ทำให้สามารถ ดึง IP กลับคืนมาแจกจ่ายให้ผู้อื่น ก่อนจะเต็มไปเสียก่อนด้วย

นอกจากนี้แล้วตัว Switch ที่รองรับ Access Point ก็ต้องเหมาะสมด้วย เช่น Switch ต้องมี Uplink หรือ Backbone Bandwidth ที่เพียงพอ ดังตัวอย่างที่ยกมาก่อนหน้านี้ Access Point แต่ละตัวจะรองรับ Bandwidth ราว 400Mbps เพราะฉะนั้น Switch ที่ต่อกับ Access Point มากกว่า 2 ตัวต้องมี Uplink ที่มากกว่า 1Gbps และเลือกใช้ Gateway ที่รองรับ Internet แบบ Gigabit มากกว่า 1 เส้น (เนื่องจาก FTTH ปัจจุบันสูงสุดแค่ 1Gbps) และต้องแน่ใจด้วยว่า Gateway นั้นรองรับ Bandwidth Client ได้ทั้งหมด

ท่านใดสนใจ อยากปรึกษา หรืออยากให้ทีมงาน ออกแบบระบบ , ทั้งในอาคารสำนักงาน ห้างฯ ร้าน โรงงาน โรงแรม หอพัก คอนโด และบ้านพักอาศัย ติดต่อ หรือจองคิวเข้าสำรวจหน้างาน ได้ที่ 02-130-6839 หรือ [email protected]
ยินดีให้บริการทุกท่านครับ

07/10/2020

อุปกรณ์เช็คเต้ารับ ราคา 350 บาท ที่สามารถหาซื้อได้ตามร้านค้า online

ถึงแม้จะราคาถูก แต่ก็มีประโยชน์มากๆ เป็นหนึ่งในอุปกรณ์ที่เรามักจะพกติดตัวไปตามไซต์งานด้วย

ยกตัวอย่างปัญหาสุดคลาสสิก คือจับคอมพิวเตอร์แล้วไฟดูด ตื๊ดๆ สาเหตุเกิดจากการใช้เต้ารับที่ไม่มีกราวด์ (G) หรือเต้า 2 ขา

แต่ทำไมล่ะ ทั้งๆ ที่เต้ารับก็มี 3 ขา แล้วนะ ปลั๊กก็เป็นแบบ 3 ขา แต่ทำไมยังถูกไฟดูด ตื๊ดๆ ได้ล่ะ

เราไม่สามารถรู้ได้ว่าเต้ารับนั้นได้ถูกต่อสายไฟไว้อย่างถูกต้อง ครบถ้วน ตาม Standard หรือไม่ ครั้นจะไปแกะดู ก็จะเสี่ยงชีวิตเกินไป หรือจะเอาปากกาวัดไฟมาเช็ค ก็รู้ได้แค่ว่าเต้านั้นมีไฟมาหรือเปล่า แต่ก็ไม่รู้ว่านิวทรัล ( N ) หรือ กราวด์ (G) นั้นต่อไว้อย่างถูกต้องหรือไม่

แต่ด้วยอุปกรณ์นี้ โอ้ว... บระเจ้าจอร์จ

แค่เสียบ และดูไฟสถานะ ก็รู้ได้ทันทีว่าเต้านั้นต่อสายถูกต้อง ครบถ้วนหรือไม่ สามารถบอกช่างให้แก้ไขได้อย่างตรงจุด แหม... ดูโปรขึ้นมาทันที

09/03/2016

ฮาๆ... คลายเครียดช่วงปวด...และรถติด ^^

23/08/2015

ช่วงนี้กำลังฮิตสินะ ขอแจมด้วย ^^

01/12/2014

โปรแรงๆ ราคาโดนๆ 1U เริ่มต้นเพียง 2,000 บาท ถึง 31 ม.ค. 58 เท่านั้น
อ่านรายละเอียดเพิ่มเติมที่ http://bit.ly/prony2015

17/11/2014

ตู้เสื้อผ้าในฝันสุด Geek ของจริง data center อยู่ในตู้เลย สุดยอด
https://www.youtube.com/watch?v=LcOTcJUh8gA

www.homedatacenterproject.com First, I moved the servers of Phase 3 that were in the garage. This cabinet is much easier to cool. The garage was larger but v...