IPIP Tunnel คืออะไร? วิธีเชื่อมต่อเครือข่ายด้วย IP-in-IP บน Linux

IPIP Tunnel คืออะไร? เชื่อมเครือข่ายแบบเรียบง่ายด้วย IP ซ้อน IP

ต้องการเชื่อมต่อเครือข่ายสอง Data Center เข้าด้วยกันแบบเร็วและง่าย โดยไม่ต้องการเข้ารหัส? IPIP Tunnel คือคำตอบ เทคนิคนี้ทำงานด้วยหลักการง่าย ๆ คือนำ Packet IP หนึ่งใส่เข้าไปใน Payload ของ Packet IP อีกชั้น พูดง่าย ๆ คือ IP ซ้อน IP

IPIP ถูกกำหนดใน RFC 2003 เป็นวิธี Tunneling ที่เก่าแก่และเรียบง่ายที่สุด ไม่มีการเข้ารหัส ไม่มีการยืนยันตัวตน แต่ Overhead ต่ำมาก จึงเหมาะกับสถานการณ์ที่เน้นความเร็วและความเรียบง่ายเป็นหลัก

หลักการ Encapsulation ของ IPIP

การห่อหุ้มข้อมูล (Encapsulation)

เมื่อ Packet ต้นทาง (Inner Packet) มาถึงปลาย Tunnel ฝั่งเข้า ระบบสร้าง IP Header ใหม่ (Outer Header) ครอบทับ Packet เดิม โดย Outer Header มี Source IP เป็นปลาย Tunnel ฝั่งส่ง และ Destination IP เป็นปลาย Tunnel ฝั่งรับ จากนั้น Packet ที่ห่อหุ้มแล้วถูกส่งตาม Routing ปกติ

การแกะข้อมูล (Decapsulation)

เมื่อ Packet มาถึงปลาย Tunnel ฝั่งรับ ระบบถอด Outer Header ออก แล้วส่ง Inner Packet ต่อไปยังเครือข่ายปลายทางตามปกติ กระบวนการทั้งหมดเกิดขึ้นแบบโปร่งใส Application ไม่จำเป็นต้องรู้ว่ามี Tunnel อยู่

Use Cases ของ IPIP Tunnel

เชื่อมต่อระหว่าง Data Center

IPIP Tunnel เหมาะสำหรับเชื่อมเครือข่ายภายในระหว่าง Data Center โดยเฉพาะเมื่อทั้งสองฝั่งอยู่ในเครือข่ายที่เชื่อถือได้ เช่น เชื่อมผ่าน Private Link หรือ VLAN ที่มีการป้องกันระดับ Physical อยู่แล้ว

ทางเลือกแทน GRE ที่เบากว่า

IPIP มี Overhead ต่ำกว่า GRE เพราะเพิ่มเพียง IP Header ใหม่ 20 Bytes ขณะที่ GRE เพิ่มอีก 4-8 Bytes นอกเหนือจาก Outer IP Header หากไม่ต้องการ Multiprotocol Support ของ GRE การใช้ IPIP จะได้ประสิทธิภาพดีกว่า

ใช้คู่กับ BGP สำหรับ Route Advertisement

IPIP Tunnel มักถูกใช้คู่กับ BGP สำหรับ Route Advertisement ระหว่างจุดที่อยู่ห่างกัน ช่วยให้ Announce Prefix ข้ามเครือข่ายได้โดยไม่ต้อง Direct Peering

ข้อดีและข้อเสียของ IPIP

ข้อดี

เรียบง่าย ตั้งค่าง่าย Overhead ต่ำ รองรับบน Linux Kernel แบบ Native ไม่ต้องติดตั้งซอฟต์แวร์เพิ่ม ใช้ CPU น้อยเพราะไม่มีการเข้ารหัส เหมาะสำหรับ Point-to-Point Connection ที่เน้น Throughput สูงสุด

ข้อเสีย

ไม่มีการเข้ารหัส ข้อมูลส่งเป็น Plaintext จึงไม่เหมาะกับการส่งข้อมูลลับผ่านเครือข่ายสาธารณะ รองรับเฉพาะ IPv4-in-IPv4 และไม่รองรับ Multicast Traffic

วิธีตั้งค่า IPIP Tunnel บน Linux

ก่อนเริ่มต้น ให้โหลด Kernel Module สำหรับ IPIP:

sudo modprobe ipip
lsmod | grep ipip

ฝั่ง Server A (IP: 203.0.113.1, Tunnel IP: 10.10.10.1)

# สร้าง IPIP Tunnel
sudo ip tunnel add tun0 mode ipip local 203.0.113.1 remote 198.51.100.1

# กำหนด IP ให้ Tunnel Interface
sudo ip addr add 10.10.10.1/30 dev tun0

# เปิด Tunnel Interface
sudo ip link set tun0 up

# เพิ่ม Route ไปยังเครือข่ายฝั่ง Server B
sudo ip route add 192.168.2.0/24 dev tun0

ฝั่ง Server B (IP: 198.51.100.1, Tunnel IP: 10.10.10.2)

# สร้าง IPIP Tunnel
sudo ip tunnel add tun0 mode ipip local 198.51.100.1 remote 203.0.113.1

# กำหนด IP ให้ Tunnel Interface
sudo ip addr add 10.10.10.2/30 dev tun0

# เปิด Tunnel Interface
sudo ip link set tun0 up

# เพิ่ม Route ไปยังเครือข่ายฝั่ง Server A
sudo ip route add 192.168.1.0/24 dev tun0

ทดสอบการเชื่อมต่อ

# จาก Server A ทดสอบ ping ไปยัง Tunnel IP ฝั่ง Server B
ping -c 4 10.10.10.2

# ตรวจสอบสถานะ Tunnel
ip tunnel show
ip addr show tun0

ทำให้ Tunnel คงอยู่หลัง Reboot

เพิ่มคำสั่งใน /etc/rc.local หรือสร้าง systemd service:

# สร้างไฟล์ /etc/systemd/system/ipip-tunnel.service
sudo tee /etc/systemd/system/ipip-tunnel.service << EOF
[Unit]
Description=IPIP Tunnel
After=network-online.target
Wants=network-online.target

[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/sbin/modprobe ipip
ExecStart=/sbin/ip tunnel add tun0 mode ipip local 203.0.113.1 remote 198.51.100.1
ExecStart=/sbin/ip addr add 10.10.10.1/30 dev tun0
ExecStart=/sbin/ip link set tun0 up
ExecStart=/sbin/ip route add 192.168.2.0/24 dev tun0
ExecStop=/sbin/ip tunnel del tun0

[Install]
WantedBy=multi-user.target
EOF

sudo systemctl enable ipip-tunnel.service

สำหรับ Tunnel Server ที่ต้องการ Uptime สูงและ Network Performance ดี VPS หรือ Dedicated Server จาก DriteStudio ตอบโจทย์ด้วย Bandwidth เพียงพอและเครือข่ายที่เสถียร

เมื่อไหร่ควรใช้ IPIP vs IPsec vs WireGuard?

ใช้ IPIP เมื่อ

ต้องการ Tunnel เรียบง่าย Overhead ต่ำ ใช้ในเครือข่ายที่เชื่อถือได้ ไม่ต้องการเข้ารหัส เน้น Throughput สูงสุด

ใช้ IPsec เมื่อ

ต้องการความปลอดภัยสูง ส่งข้อมูลผ่านอินเทอร์เน็ตสาธารณะ ต้องการ Compliance ตามมาตรฐานสากล หรือต้อง Interop กับอุปกรณ์หลายค่าย

ใช้ WireGuard เมื่อ

ต้องการ VPN ที่ตั้งค่าง่าย Performance ดี มีการเข้ารหัสทันสมัย เหมาะสำหรับ Remote Access หรือ Site-to-Site ที่ต้องการทั้งความเร็วและความปลอดภัย

สำหรับความช่วยเหลือในการออกแบบระบบเครือข่าย บริการ Security ของ DriteStudio พร้อมให้คำปรึกษาครบวงจร

คำถามที่พบบ่อย (FAQ)

IPIP Tunnel ปลอดภัยไหม?

IPIP ไม่มีการเข้ารหัส จึงไม่ปลอดภัยสำหรับข้อมูลที่เป็นความลับผ่านเครือข่ายสาธารณะ ควรใช้ในเครือข่ายที่เชื่อถือได้เท่านั้น หรือใช้ร่วมกับ IPsec เพื่อเพิ่มความปลอดภัย

IPIP รองรับ IPv6 ไหม?

IPIP มาตรฐานรองรับเฉพาะ IPv4-in-IPv4 หากต้องการ IPv6 ต้องใช้ SIT (Simple Internet Transition) หรือ ip6tnl บน Linux:

# สร้าง IPv6 tunnel
sudo ip tunnel add tun6 mode sit local 203.0.113.1 remote 198.51.100.1
sudo ip link set tun6 up

Tunnel จะตกเมื่อไหร่?

IPIP Tunnel จะหลุดเมื่อเส้นทาง Routing ระหว่างสอง Endpoint ขาด หรือ Interface ถูกปิด ควรตั้งค่า Monitoring เพื่อตรวจจับปัญหาอย่างทันท่วงที

เริ่มต้นเชื่อมเครือข่ายของคุณ

IPIP Tunnel เป็นวิธีที่เรียบง่ายและมีประสิทธิภาพสำหรับการเชื่อมต่อเครือข่ายใน Private Environment หากต้องการเซิร์ฟเวอร์ที่เสถียรสำหรับรัน Tunnel Colocation จาก DriteStudio พร้อมรองรับทุกความต้องการด้านเครือข่าย