چگونه VPN را روی میکروتیک راه‌اندازی کنیم: یک راهنمای جامع

مقدمه

شبکه‌های خصوصی مجازی (VPN) به ابزارهای ضروری برای کسب‌وکارها و افراد تبدیل شده‌اند که به دنبال امنیت اتصالات اینترنتی خود، دسترسی به شبکه‌های راه دور و محافظت از داده‌های حساس هستند. روترهای MikroTik، که به دلیل مجموعه ویژگی‌های قوی و مقرون به صرفه بودن شناخته می‌شوند، چندین گزینه پیاده‌سازی VPN را ارائه می‌دهند که نیازهای امنیتی و موارد استفاده مختلف را پوشش می‌دهند.

در این راهنمای جامع، فرآیند راه‌اندازی راه‌حل‌های مختلف VPN را روی روتر MikroTik شما گام به گام توضیح خواهیم داد. چه یک مدیر شبکه باشید که به دنبال برقراری اتصالات امن سایت به سایت هستید، یا یک فرد که می‌خواهد از راه دور به شبکه خانگی خود دسترسی پیدا کند، این مقاله دانش و دستورالعمل‌های گام به گام را برای پیاده‌سازی موفقیت‌آمیز سرویس‌های VPN روی دستگاه MikroTik شما ارائه خواهد داد. TildaVPS سرورهای بهینه شده MikroTik را ارائه می‌دهد که برای پیاده‌سازی راه‌حل‌های VPN که در این راهنما مورد بحث قرار می‌دهیم، عالی هستند و اتصالات قابل اعتماد و امنی را برای نیازهای شبکه شما تضمین می‌کنند.

بخش 1: درک انواع VPN در میکروتیک

گزینه‌های VPN موجود در میکروتیک

MikroTik RouterOS از چندین پروتکل VPN پشتیبانی می‌کند که هر کدام نقاط قوت و موارد استفاده ایده‌آل خود را دارند. قبل از ورود به پیکربندی، مهم است که بدانید کدام پروتکل به بهترین وجه با نیازهای شما مطابقت دارد.

OpenVPN یک پروتکل VPN متن‌باز است که تعادل خوبی بین امنیت و عملکرد ارائه می‌دهد. این پروتکل از SSL/TLS برای تبادل کلید استفاده می‌کند و می‌تواند هم روی UDP و هم روی TCP کار کند. OpenVPN بسیار قابل پیکربندی است و می‌تواند از اکثر فایروال‌ها عبور کند، که آن را به انتخابی همه‌کاره برای بسیاری از سناریوها تبدیل می‌کند.

IPsec (امنیت پروتکل اینترنت) با احراز هویت و رمزنگاری هر بسته IP، ارتباط IP امنی را فراهم می‌کند. این پروتکل به طور گسترده در پلتفرم‌ها پشتیبانی می‌شود و بسیار امن در نظر گرفته می‌شود، که آن را برای اتصالات VPN سایت به سایت بین دفاتر شعبه ایده‌آل می‌سازد.

L2TP/IPsec پروتکل تونلینگ لایه 2 را با رمزنگاری IPsec ترکیب می‌کند. این پروتکل به طور بومی توسط اکثر سیستم‌عامل‌ها از جمله ویندوز، macOS، iOS و Android پشتیبانی می‌شود، که آن را برای VPNهای دسترسی از راه دور راحت می‌کند.

PPTP (پروتکل تونلینگ نقطه‌به‌نقطه) یکی از قدیمی‌ترین پروتکل‌های VPN است. در حالی که راه‌اندازی آن آسان است و اتصالات سریع ارائه می‌دهد، امنیت آن به خطر افتاده است، که آن را تنها برای برنامه‌های غیرحساس که در آن راحتی بر نگرانی‌های امنیتی ارجحیت دارد، مناسب می‌سازد.

SSTP (پروتکل تونلینگ سوکت امن) از SSL روی پورت TCP 443 استفاده می‌کند، که به آن اجازه می‌دهد از اکثر فایروال‌ها و پراکسی سرورها عبور کند. این پروتکل سطح خوبی از امنیت را فراهم می‌کند اما عمدتاً در پلتفرم‌های ویندوز پشتیبانی می‌شود.

WireGuard یک پروتکل جدیدتر است که به دلیل سادگی، عملکرد بالا و رمزنگاری مدرن خود شناخته شده است. MikroTik پشتیبانی از WireGuard را در RouterOS v7 اضافه کرده است، که آن را به گزینه‌ای عالی برای کسانی که از جدیدترین فریم‌ور استفاده می‌کنند تبدیل کرده است.

مزایای استفاده از VPN در میکروتیک

امنیت پیشرفته: VPNها داده‌های شما را رمزنگاری می‌کنند و از آن در برابر استراق سمع و حملات مرد میانی (man-in-the-middle)، به خصوص هنگام استفاده از شبکه‌های Wi-Fi عمومی، محافظت می‌کنند.

دسترسی از راه دور: از هر کجای دنیا به صورت امن به منابع شبکه خانگی یا اداری خود دسترسی پیدا کنید.

اتصال سایت به سایت: چندین مکان اداری را به صورت امن از طریق اینترنت به هم متصل کنید و یک شبکه یکپارچه ایجاد کنید.

دور زدن محدودیت‌های جغرافیایی: با اتصال به سرورهای VPN در مکان‌های جغرافیایی مختلف، به محتوای محدود شده منطقه‌ای دسترسی پیدا کنید.

تقسیم‌بندی شبکه: بخش‌های شبکه امن و ایزوله را برای بخش‌های مختلف یا اهداف سازمانی خود ایجاد کنید.

انتخاب پروتکل VPN مناسب

بهترین پروتکل VPN برای راه‌اندازی MikroTik شما به الزامات خاص شما بستگی دارد:

برای حداکثر سازگاری در بین دستگاه‌ها: L2TP/IPsec
برای بالاترین امنیت در محیط‌های شرکتی: IPsec
برای انعطاف‌پذیری و تعادل خوب امنیت و عملکرد: OpenVPN
برای نیازهای مدرن و با کارایی بالا: WireGuard (RouterOS v7+)
برای راه‌اندازی ساده با کلاینت‌های ویندوز: SSTP

پرسش و پاسخ کوتاه

کدام پروتکل VPN بهترین عملکرد را در میکروتیک ارائه می‌دهد؟

WireGuard به دلیل طراحی سبک و رمزنگاری کارآمد خود، معمولاً بهترین عملکرد را ارائه می‌دهد و پس از آن OpenVPN با UDP قرار دارد. با این حال، عملکرد می‌تواند بر اساس سخت‌افزار و شرایط شبکه خاص شما متفاوت باشد.

آیا می‌توانم چندین پروتکل VPN را به طور همزمان روی روتر میکروتیک خود اجرا کنم؟

بله، MikroTik RouterOS به شما اجازه می‌دهد تا چندین پروتکل VPN را به طور همزمان اجرا کنید. این برای پشتیبانی از دستگاه‌های کلاینت مختلف یا ارائه گزینه‌های پشتیبان در صورت مسدود شدن یک پروتکل مفید است.

بخش 2: پیش‌نیازهای راه‌اندازی VPN در میکروتیک

الزامات سخت‌افزاری و نرم‌افزاری

قبل از راه‌اندازی VPN روی روتر MikroTik خود، اطمینان حاصل کنید که پیش‌نیازهای زیر را در اختیار دارید:

الزامات سخت‌افزاری:

یک روتر MikroTik با قدرت پردازش کافی برای رمزنگاری/رمزگشایی VPN. برای استفاده سنگین از VPN، مدل‌هایی با پردازنده‌های چند هسته‌ای مانند RB4011 یا سری CCR را در نظر بگیرید.
RAM کافی (حداقل 256 مگابایت برای چندین اتصال VPN توصیه می‌شود)
اتصال اینترنتی پایدار با پهنای باند کافی برای نیازهای VPN شما

الزامات نرم‌افزاری:

نسخه RouterOS سازگار با پروتکل VPN انتخابی شما (v6.45+ توصیه می‌شود، v7+ برای WireGuard)
به آخرین نسخه پایدار به روز شده باشد تا اطمینان حاصل شود که پچ‌های امنیتی اعمال شده‌اند
سطح لایسنس معتبر که از پروتکل VPN انتخابی شما پشتیبانی می‌کند (اکثر ویژگی‌های VPN حداقل به سطح 4 نیاز دارند)

الزامات شبکه:

آدرس IP عمومی (ثابت ترجیح داده می‌شود) یا سرویس DDNS به درستی پیکربندی شده باشد
فورواردینگ پورت مناسب اگر MikroTik شما پشت روتر دیگری قرار دارد
قوانین فایروال به درستی پیکربندی شده باشند تا ترافیک VPN را مجاز کنند

پیکربندی اولیه روتر

قبل از پیاده‌سازی VPN، اطمینان حاصل کنید که روتر MikroTik شما دارای یک پیکربندی امن اولیه است:

RouterOS را به آخرین نسخه پایدار به روز کنید.
رمز عبور پیش‌فرض مدیر را تغییر دهید.
آدرس‌دهی IP مناسب را برای همه اینترفیس‌ها پیکربندی کنید.
قوانین فایروال اولیه را برای محافظت از شبکه خود تنظیم کنید.
تنظیمات DNS را پیکربندی کنید.
اطمینان حاصل کنید که NTP (پروتکل زمان شبکه) به درستی پیکربندی شده است، زیرا زمان دقیق برای احراز هویت VPN بسیار مهم است.

برنامه‌ریزی برای پیاده‌سازی VPN خود

وقت بگذارید تا استقرار VPN خود را با در نظر گرفتن موارد زیر برنامه‌ریزی کنید:

توپولوژی VPN:

VPN دسترسی از راه دور (کلاینت‌ها به شبکه شما متصل می‌شوند)
VPN سایت به سایت (اتصال چندین شبکه)
Hub-and-spoke (سایت مرکزی به چندین دفتر شعبه متصل می‌شود)
Mesh (همه سایت‌ها به یکدیگر متصل می‌شوند)

طرح آدرس‌دهی IP:

زیرشبکه IP برای کلاینت‌های VPN را تعیین کنید.
اطمینان حاصل کنید که هیچ تضاد IP بین شبکه‌های محلی و راه دور وجود ندارد.
برای مسیریابی صحیح بین شبکه‌ها برنامه‌ریزی کنید.

روش احراز هویت:

نام کاربری/رمز عبور
احراز هویت مبتنی بر گواهینامه
کلیدهای از پیش مشترک (Pre-shared keys)
احراز هویت دو مرحله‌ای (Two-factor authentication)

ملاحظات امنیتی:

الزامات قدرت رمزنگاری
نیازهای جداسازی ترافیک
سیاست‌های کنترل دسترسی

دسترسی به روتر میکروتیک شما

برای پیکربندی روتر MikroTik خود، باید با استفاده از یکی از این روش‌ها به آن دسترسی پیدا کنید:

WebFig (رابط پیکربندی مبتنی بر وب):
- از طریق یک مرورگر وب به آدرس IP روتر خود متصل شوید.
- با اعتبارنامه‌های خود وارد شوید.
- از طریق منو به تنظیمات VPN بروید.
WinBox (برنامه رابط کاربری گرافیکی ویندوز):
- WinBox را از وب‌سایت MikroTik دانلود کنید.
- از طریق IP یا آدرس MAC به روتر خود متصل شوید.
- از رابط گرافیکی برای پیکربندی تنظیمات استفاده کنید.
SSH/Telnet (رابط خط فرمان):
- با استفاده از یک کلاینت SSH مانند PuTTY متصل شوید.
- دستورات را مستقیماً در CLI RouterOS وارد کنید.
- برای اسکریپت‌نویسی و پیکربندی‌های پیشرفته مفید است.
The Dude (برنامه مدیریت شبکه):
- برای مدیریت چندین دستگاه MikroTik.
- نمای کلی از زیرساخت شما در سطح شبکه ارائه می‌دهد.

پرسش و پاسخ کوتاه

آیا برای راه‌اندازی سرور VPN روی میکروتیک به آدرس IP ثابت نیاز دارم؟

در حالی که IP ثابت ایده‌آل است، می‌توانید از سرویس‌های DNS پویا مانند no-ip.com یا dyn.com در صورت داشتن IP پویا استفاده کنید. MikroTik از به‌روزرسانی‌های خودکار DDNS از طریق اسکریپت‌ها یا کلاینت DDNS داخلی پشتیبانی می‌کند.

برای قابلیت‌های VPN در میکروتیک به چه سطح لایسنسی نیاز دارم؟

اکثر ویژگی‌های VPN به حداقل لایسنس سطح 4 نیاز دارند. با این حال، PPTP و L2TP پایه از سطح 3 در دسترس هستند. برای ویژگی‌های پیشرفته و عملکرد بهتر، لایسنس سطح 5 یا سطح 6 توصیه می‌شود، به ویژه برای استقرارهای سازمانی.

بخش 3: راه‌اندازی سرور VPN L2TP/IPsec

L2TP/IPsec یکی از پرکاربردترین پروتکل‌های VPN است که آن را به انتخابی عالی برای محیط‌هایی با دستگاه‌های کلاینت متنوع تبدیل می‌کند. بیایید فرآیند راه‌اندازی یک سرور VPN L2TP/IPsec را روی روتر MikroTik شما گام به گام بررسی کنیم.

گام 1: پیکربندی تنظیمات IPsec

ابتدا، باید بخش IPsec از VPN را تنظیم کنیم که رمزنگاری را برای تونل L2TP فراهم می‌کند:

WinBox را باز کرده و به روتر MikroTik خود متصل شوید.
به IP → IPsec → Profiles بروید.
روی دکمه + کلیک کنید تا یک پروفایل جدید اضافه کنید.
تنظیمات زیر را پیکربندی کنید:
- Name (نام): L2TP-IPsec
- Hash Algorithms (الگوریتم‌های هش): sha256
- Encryption Algorithms (الگوریتم‌های رمزنگاری): aes-256-cbc
- DH Group (گروه DH): modp2048
- Proposal Check (بررسی پیشنهاد): obey
- Lifetime (مدت زمان عمر): 1d 00:00:00
برای ذخیره پروفایل، روی OK کلیک کنید.

در مرحله بعد، پیشنهاد IPsec را ایجاد کنید:

به IP → IPsec → Proposals بروید.
روی دکمه + کلیک کنید تا یک پیشنهاد جدید اضافه کنید.
تنظیمات زیر را پیکربندی کنید:
- Auth Algorithms (الگوریتم‌های احراز هویت): sha256
- Encr Algorithms (الگوریتم‌های رمزنگاری): aes-256-cbc
- PFS Group (گروه PFS): modp2048
برای ذخیره، روی OK کلیک کنید.

اکنون، IPsec peer (همتا) را راه‌اندازی کنید:

به IP → IPsec → Peers بروید.
روی دکمه + کلیک کنید تا یک همتا جدید اضافه کنید.
تنظیمات زیر را پیکربندی کنید:
- Name (نام): L2TP-Peer
- Address (آدرس): 0.0.0.0/0 (برای پذیرش اتصالات از هر IP)
- Profile (پروفایل): L2TP-IPsec (پروفایلی که قبلاً ایجاد کردیم)
- Exchange Mode (حالت تبادل): main
- Send Initial Contact (ارسال تماس اولیه): yes
- Nat Traversal (گذر از NAT): yes
- Pre-shared Key (کلید از پیش مشترک): YourStrongSecretKey (از یک کلید قوی و منحصر به فرد استفاده کنید)
برای ذخیره، روی OK کلیک کنید.

گام 2: پیکربندی سرور L2TP

حالا، بیایید سرور L2TP را راه‌اندازی کنیم:

در منوی سمت چپ به PPP بروید.
به تب Profiles بروید.
روی دکمه + کلیک کنید تا یک پروفایل جدید اضافه کنید.
تنظیمات زیر را پیکربندی کنید:
- Name (نام): L2TP-Profile
- Local Address (آدرس محلی): IP روتر را برای استفاده از VPN مشخص کنید (مثلاً 10.0.0.1)
- Remote Address (آدرس راه دور): استخر IP برای کلاینت‌ها را مشخص کنید (مثلاً 10.0.0.2-10.0.0.254)
- DNS Server (سرور DNS): سرورهای DNS ترجیحی شما
- Use Encryption (استفاده از رمزنگاری): yes
برای ذخیره پروفایل، روی OK کلیک کنید.

در مرحله بعد، سرور L2TP را راه‌اندازی کنید:

به تب Interface بروید.
روی L2TP Server کلیک کنید.
تنظیمات زیر را پیکربندی کنید:
- Enabled (فعال): yes
- Max MTU (حداکثر MTU): 1450
- Max MRU (حداکثر MRU): 1450
- Keep Alive Timeout (زمان انتظار فعال ماندن): 30
- Default Profile (پروفایل پیش‌فرض): L2TP-Profile (پروفایلی که ایجاد کردیم)
- Authentication (احراز هویت): mschap2, mschap1, chap (به این ترتیب برای بهترین سازگاری)
- Use IPsec (استفاده از IPsec): yes
- IPsec Secret (راز IPsec): YourStrongSecretKey (همانند پیکربندی IPsec peer)
برای ذخیره، روی OK کلیک کنید.

گام 3: ایجاد کاربران VPN

اکنون، حساب‌های کاربری برای دسترسی به VPN ایجاد کنید:

در منوی سمت چپ به PPP بروید.
روی تب Secrets کلیک کنید.
روی دکمه + کلیک کنید تا یک راز جدید اضافه کنید.
تنظیمات زیر را پیکربندی کنید:
- Name (نام): username (نام کاربری برای ورود به VPN)
- Password (رمز عبور): password (یک رمز عبور قوی برای کاربر)
- Service (سرویس): l2tp
- Profile (پروفایل): L2TP-Profile
برای ذخیره، روی OK کلیک کنید.
برای کاربران اضافی در صورت نیاز تکرار کنید.

گام 4: پیکربندی قوانین فایروال

برای اجازه دادن به ترافیک VPN از طریق فایروال شما:

به IP → Firewall → Filter Rules بروید.
قوانین را برای اجازه دادن به ترافیک L2TP و IPsec اضافه کنید:

برای IPsec:
- یک قانون برای اجازه دادن به پورت UDP 500 (IKE) اضافه کنید.
- یک قانون برای اجازه دادن به پورت UDP 4500 (IPsec NAT-T) اضافه کنید.
- یک قانون برای اجازه دادن به پروتکل IP 50 (ESP) اضافه کنید.
- یک قانون برای اجازه دادن به پروتکل IP 51 (AH) اضافه کنید.
برای L2TP:
- یک قانون برای اجازه دادن به پورت UDP 1701 (L2TP) اضافه کنید.
در صورت نیاز، قوانین را برای اجازه دادن به ترافیک از زیرشبکه VPN برای دسترسی به منابع در شبکه خود اضافه کنید.

گام 5: تست اتصال VPN

پس از اتمام پیکربندی، اتصال VPN را از یک دستگاه کلاینت تست کنید:

در ویندوز:
- به Settings → Network & Internet → VPN بروید.
- روی "Add a VPN connection" کلیک کنید.
- VPN Provider: Windows (built-in)
- Connection name: MikroTik L2TP
- Server name or address: IP عمومی یا DDNS MikroTik شما
- VPN type: L2TP/IPsec with pre-shared key
- Pre-shared key: YourStrongSecretKey (همان کلیدی که پیکربندی کردید)
- Username and password: اعتبارنامه‌هایی که در PPP secrets ایجاد کردید.
در Android/iOS:
- به Settings → VPN بروید.
- یک اتصال VPN جدید اضافه کنید.
- L2TP/IPsec را انتخاب کنید.
- IP عمومی یا DDNS MikroTik خود را وارد کنید.
- کلید از پیش مشترک، نام کاربری و رمز عبور را وارد کنید.

پرسش و پاسخ کوتاه

چرا اتصال VPN L2TP/IPsec من برقرار نمی‌شود؟

مشکلات رایج شامل کلید از پیش مشترک اشتباه، مسدود کردن پورت‌های VPN توسط فایروال، مشکلات NAT، یا تنظیمات رمزنگاری ناسازگار است. برای عیب‌یابی مشکل، گزارش‌های روتر خود را در System → Logs برای پیام‌های خطای خاص بررسی کنید.

روتر میکروتیک من چند کاربر همزمان L2TP/IPsec VPN را می‌تواند پشتیبانی کند؟

این به قابلیت‌های سخت‌افزاری روتر شما بستگی دارد. مدل‌های ابتدایی ممکن است 5-10 کاربر همزمان را مدیریت کنند، در حالی که مدل‌های پیشرفته مانند سری CCR می‌توانند ده‌ها یا حتی صدها اتصال را پشتیبانی کنند. به دلیل سربار رمزنگاری، استفاده از CPU عامل اصلی محدودکننده است.

بخش 4: راه‌اندازی سرور OpenVPN

OpenVPN یک راه‌حل VPN بسیار قابل پیکربندی و امن است که به خوبی در پلتفرم‌های مختلف کار می‌کند. راه‌اندازی آن در MikroTik نیاز به ایجاد گواهینامه‌ها و پیکربندی صحیح سرور دارد. بیایید این فرآیند را گام به گام بررسی کنیم.

گام 1: ایجاد گواهینامه‌ها

OpenVPN از گواهینامه‌ها برای احراز هویت استفاده می‌کند. ما باید یک مرجع گواهینامه (CA)، یک گواهینامه سرور و گواهینامه‌های کلاینت ایجاد کنیم:

به System → Certificates بروید.
ابتدا، یک مرجع گواهینامه (CA) ایجاد کنید:
- روی دکمه Add کلیک کنید.
- Name (نام): CA
- Common Name (نام مشترک): MikroTik-CA
- Key Size (اندازه کلید): 2048
- Days Valid (روزهای اعتبار): 3650 (10 سال)
- Key Usage (کاربرد کلید): crl sign, key cert sign را علامت بزنید.
- روی Apply، سپس Sign کلیک کنید.
- در پنجره جدید، CA را به عنوان Certificate انتخاب کرده و روی Sign کلیک کنید.
یک گواهینامه سرور ایجاد کنید:
- روی دکمه Add کلیک کنید.
- Name (نام): Server
- Common Name (نام مشترک): MikroTik-Server
- Key Size (اندازه کلید): 2048
- Days Valid (روزهای اعتبار): 3650
- Key Usage (کاربرد کلید): digital signature, key encipherment, tls server را علامت بزنید.
- روی Apply، سپس Sign کلیک کنید.
- در پنجره جدید، CA را به عنوان Certificate Authority انتخاب کرده و روی Sign کلیک کنید.
یک گواهینامه کلاینت ایجاد کنید:
- روی دکمه Add کلیک کنید.
- Name (نام): Client1
- Common Name (نام مشترک): Client1
- Key Size (اندازه کلید): 2048
- Days Valid (روزهای اعتبار): 3650
- Key Usage (کاربرد کلید): tls client را علامت بزنید.
- روی Apply، سپس Sign کلیک کنید.
- در پنجره جدید، CA را به عنوان Certificate Authority انتخاب کرده و روی Sign کلیک کنید.
- این مرحله را برای کلاینت‌های اضافی در صورت نیاز تکرار کنید.

گام 2: پیکربندی سرور OpenVPN

حالا، بیایید سرور OpenVPN را راه‌اندازی کنیم:

در منوی سمت چپ به PPP بروید.
به تب Profiles بروید.
روی دکمه + کلیک کنید تا یک پروفایل جدید اضافه کنید.
تنظیمات زیر را پیکربندی کنید:
- Name (نام): OVPN-Profile
- Local Address (آدرس محلی): IP روتر را برای استفاده از VPN مشخص کنید (مثلاً 10.1.0.1)
- Remote Address (آدرس راه دور): استخر IP برای کلاینت‌ها را مشخص کنید (مثلاً 10.1.0.2-10.1.0.254)
- DNS Server (سرور DNS): سرورهای DNS ترجیحی شما
- Use Encryption (استفاده از رمزنگاری): yes
برای ذخیره پروفایل، روی OK کلیک کنید.

در مرحله بعد، سرور OpenVPN را راه‌اندازی کنید:

در منوی سمت چپ به PPP بروید.
روی تب Interface کلیک کنید.
روی دکمه OVPN Server کلیک کنید.
تنظیمات زیر را پیکربندی کنید:
- Enabled (فعال): yes
- Port (پورت): 1194
- Mode (حالت): ip
- Protocol (پروتکل): tcp
- Netmask (نت‌مسک): 24
- Max MTU (حداکثر MTU): 1500
- Default Profile (پروفایل پیش‌فرض): OVPN-Profile
- Certificate (گواهینامه): Server (گواهینامه سروری که ایجاد کردیم)
- Auth (احراز هویت): sha1
- Cipher (رمزنگاری): aes256
- Require Client Certificate (نیاز به گواهینامه کلاینت): yes
برای ذخیره، روی OK کلیک کنید.

گام 3: پیکربندی قوانین فایروال

برای اجازه دادن به ترافیک OpenVPN از طریق فایروال شما:

به IP → Firewall → Filter Rules بروید.
یک قانون برای اجازه دادن به ترافیک OpenVPN اضافه کنید:
- روی دکمه + کلیک کنید.
- Chain (زنجیره): input
- Protocol (پروتکل): tcp
- Dst. Port (پورت مقصد): 1194
- Action (اقدام): accept
- یک کامنت مانند "Allow OpenVPN" اضافه کنید.
- برای ذخیره، روی OK کلیک کنید.
در صورت نیاز، قوانین را برای اجازه دادن به ترافیک از زیرشبکه VPN برای دسترسی به منابع در شبکه خود اضافه کنید.

گام 4: استخراج گواهینامه‌های کلاینت و ایجاد پیکربندی کلاینت

برای اتصال کلاینت‌ها به سرور OpenVPN خود، باید گواهینامه‌ها را استخراج کرده و یک فایل پیکربندی کلاینت ایجاد کنید:

گواهینامه CA را استخراج کنید:
- به System → Certificates بروید.
- گواهینامه CA را انتخاب کنید.
- روی Export کلیک کنید.
- Export Type (نوع استخراج): PEM را انتخاب کنید.
- روی Export کلیک کرده و فایل را به عنوان ca.crt ذخیره کنید.
گواهینامه و کلید کلاینت را استخراج کنید:
- گواهینامه Client1 را انتخاب کنید.
- روی Export کلیک کنید.
- Export Type (نوع استخراج): PEM را انتخاب کنید.
- روی Export کلیک کرده و فایل را به عنوان client1.crt ذخیره کنید.
- دوباره روی Export کلیک کنید.
- Export Type (نوع استخراج): key را انتخاب کنید.
- اگر می‌خواهید کلید را با رمز عبور محافظت کنید، Export Passphrase (رمز عبور استخراج) را وارد کنید.
- روی Export کلیک کرده و فایل را به عنوان client1.key ذخیره کنید.
یک فایل پیکربندی کلاینت (client.ovpn) با محتوای زیر ایجاد کنید:

plaintext

client
dev tun
proto tcp
remote your-mikrotik-public-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-256-CBC
auth SHA1
verb 3
key-direction 1

<ca>
# محتوای فایل ca.crt را اینجا جایگذاری کنید
</ca>

<cert>
# محتوای فایل client1.crt را اینجا جایگذاری کنید
</cert>

<key>
# محتوای فایل client1.key را اینجا جایگذاری کنید
</key>

گام 5: اتصال کلاینت‌ها به OpenVPN

اکنون می‌توانید از فایل پیکربندی کلاینت برای اتصال به سرور OpenVPN خود استفاده کنید:

در ویندوز:
- کلاینت OpenVPN را نصب کنید (از openvpn.net).
- فایل client.ovpn را در مسیر C:\Program Files\OpenVPN\config\ کپی کنید.
- روی آیکون OpenVPN GUI در نوار وظیفه کلیک راست کرده و "Connect" را انتخاب کنید.
در macOS:
- Tunnelblick را نصب کنید (از tunnelblick.net).
- فایل client.ovpn را وارد کنید.
- با استفاده از منوی Tunnelblick متصل شوید.
در لینوکس:
- کلاینت OpenVPN را نصب کنید (sudo apt install openvpn در دبیان/اوبونتو).
- sudo openvpn --config client.ovpn را اجرا کنید.
در Android/iOS:
- برنامه OpenVPN Connect را نصب کنید.
- فایل client.ovpn را وارد کنید.
- با استفاده از برنامه متصل شوید.

پرسش و پاسخ کوتاه

چگونه می‌توانم مشکلات اتصال OpenVPN را عیب‌یابی کنم؟

گزارش‌های هم در سرور (System → Logs) و هم در سمت کلاینت را بررسی کنید. مشکلات رایج شامل مسائل گواهینامه، مسدود شدن توسط فایروال، یا مشکلات مسیریابی است. با تنظیم "verb 5" در فایل پیکربندی برای جزئیات بیشتر، ثبت جزئیات را در سمت کلاینت فعال کنید.

آیا می‌توانم به جای TCP از UDP برای OpenVPN استفاده کنم؟

بله، UDP اغلب برای عملکرد بهتر ترجیح داده می‌شود. برای استفاده از UDP، تنظیم پروتکل را هم در پیکربندی سرور و هم در فایل پیکربندی کلاینت تغییر دهید. UDP به طور کلی سریع‌تر است اما ممکن است در اتصالات ناپایدار کمتر قابل اعتماد باشد.

بخش 5: راه‌اندازی VPN WireGuard (RouterOS v7+)

WireGuard یک پروتکل VPN مدرن است که به دلیل سادگی، عملکرد بالا و امنیت قوی خود شناخته شده است. این پروتکل در RouterOS نسخه 7 و بالاتر در دسترس است. بیایید یک سرور VPN WireGuard را روی روتر MikroTik شما راه‌اندازی کنیم.

گام 1: ایجاد رابط WireGuard

ابتدا، بیایید رابط WireGuard را روی روتر MikroTik شما ایجاد کنیم:

در منوی سمت چپ به WireGuard بروید (یا در نسخه‌های قدیمی‌تر v7 به Interface → WireGuard).
روی دکمه + کلیک کنید تا یک رابط جدید اضافه کنید.
تنظیمات زیر را پیکربندی کنید:
- Name (نام): wireguard1
- Listen Port (پورت گوش دادن): 13231 (یا هر پورت دیگری به انتخاب شما)
- MTU (MTU): 1420
برای ایجاد رابط، روی OK کلیک کنید.
پس از ایجاد، Public Key (کلید عمومی) تولید شده را یادداشت کنید - این کلید را برای پیکربندی کلاینت نیاز خواهید داشت.

گام 2: پیکربندی آدرس IP برای رابط WireGuard

یک آدرس IP به رابط WireGuard اختصاص دهید:

به IP → Addresses بروید.
روی دکمه + کلیک کنید تا یک آدرس جدید اضافه کنید.
تنظیمات زیر را پیکربندی کنید:
- Address (آدرس): 10.10.10.1/24 (این زیرشبکه VPN خواهد بود)
- Interface (رابط): wireguard1
برای ذخیره، روی OK کلیک کنید.

گام 3: افزودن همتایان WireGuard (کلاینت‌ها)

برای هر کلاینتی که به VPN WireGuard شما متصل خواهد شد:

ابتدا، یک جفت کلید روی دستگاه کلاینت ایجاد کنید (در گام 5 نحوه انجام این کار را نشان خواهیم داد).
در روتر MikroTik خود، در منوی سمت چپ به WireGuard بروید.
روی تب Peers کلیک کنید.
روی دکمه + کلیک کنید تا یک همتا جدید اضافه کنید.
تنظیمات زیر را پیکربندی کنید:
- Interface (رابط): wireguard1
- Public Key (کلید عمومی): (کلید عمومی کلاینت را اینجا بچسبانید)
- Allowed Address (آدرس مجاز): 10.10.10.2/32 (آدرس IP که می‌خواهید به این کلاینت اختصاص دهید)
- Persistent Keepalive (حفظ اتصال مداوم): 25 (برای گذر از NAT کمک می‌کند)
برای ذخیره، روی OK کلیک کنید.
برای کلاینت‌های اضافی، آدرس IP را افزایش دهید (10.10.10.3/32، و غیره).

گام 4: پیکربندی قوانین فایروال

برای اجازه دادن به ترافیک WireGuard از طریق فایروال شما:

به IP → Firewall → Filter Rules بروید.
یک قانون برای اجازه دادن به ترافیک WireGuard اضافه کنید:
- روی دکمه + کلیک کنید.
- Chain (زنجیره): input
- Protocol (پروتکل): udp
- Dst. Port (پورت مقصد): 13231 (پورتی که برای WireGuard پیکربندی کردید)
- Action (اقدام): accept
- یک کامنت مانند "Allow WireGuard" اضافه کنید.
- برای ذخیره، روی OK کلیک کنید.
در صورت نیاز، قوانین را برای اجازه دادن به ترافیک از زیرشبکه WireGuard برای دسترسی به منابع در شبکه خود اضافه کنید.
اختیاراً، یک قانون masquerade برای اجازه دادن به کلاینت‌های VPN برای دسترسی به اینترنت از طریق VPN اضافه کنید:
- به IP → Firewall → NAT بروید.
- روی دکمه + کلیک کنید.
- Chain (زنجیره): srcnat
- Src. Address (آدرس مبدأ): 10.10.10.0/24
- Action (اقدام): masquerade
- یک کامنت مانند "Masquerade WireGuard clients" اضافه کنید.
- برای ذخیره، روی OK کلیک کنید.

گام 5: پیکربندی کلاینت‌های WireGuard

حالا، بیایید یک کلاینت را برای اتصال به VPN WireGuard شما راه‌اندازی کنیم:

برای ویندوز:

WireGuard را از wireguard.com دانلود و نصب کنید.
برنامه WireGuard را باز کنید.
روی "Add Empty Tunnel..." کلیک کنید.
یک جفت کلید جدید ایجاد کنید (این به صورت خودکار انجام می‌شود).
کلاینت را با الگوی زیر پیکربندی کنید:

plaintext

[Interface]
PrivateKey = (کلید خصوصی کلاینت)
Address = 10.10.10.2/24
DNS = 8.8.8.8, 8.8.4.4

[Peer]
PublicKey = (کلید عمومی رابط WireGuard میکروتیک شما)
AllowedIPs = 0.0.0.0/0
Endpoint = your-mikrotik-public-ip:13231
PersistentKeepalive = 25

روی "Save" و سپس "Activate" کلیک کنید تا متصل شوید.

برای Android/iOS:

برنامه WireGuard را از App Store دانلود و نصب کنید.
روی دکمه + ضربه بزنید و "Create from scratch" را انتخاب کنید.
یک نام برای VPN وارد کنید.
با استفاده از همان الگوی بالا پیکربندی کنید.
روی "Save" ضربه بزنید و سپس روی کلید سوئیچ ضربه بزنید تا متصل شوید.

برای لینوکس:

WireGuard را نصب کنید (sudo apt install wireguard در دبیان/اوبونتو).
کلیدها را ایجاد کنید: wg genkey | tee privatekey | wg pubkey > publickey
یک فایل پیکربندی در /etc/wireguard/wg0.conf با استفاده از الگوی بالا ایجاد کنید.
با sudo wg-quick up wg0 متصل شوید.

گام 6: تست اتصال

پس از راه‌اندازی سرور و کلاینت:

اتصال WireGuard را روی دستگاه کلاینت خود فعال کنید.
قابلیت اتصال را با پینگ کردن آدرس IP رابط WireGuard در MikroTik خود (10.10.10.1) تأیید کنید.
سعی کنید به منابع دیگر در شبکه خود دسترسی پیدا کنید.
وضعیت WireGuard را در MikroTik خود با رفتن به WireGuard و بررسی تب Peers بررسی کنید.

پرسش و پاسخ کوتاه

آیا WireGuard امن‌تر از OpenVPN یا IPsec است؟

WireGuard از رمزنگاری مدرن با کدبیس بسیار کوچکتر از OpenVPN یا IPsec استفاده می‌کند، که به طور بالقوه به معنای آسیب‌پذیری‌های امنیتی کمتر است. با این حال، هر سه پروتکل در صورت پیکربندی صحیح، امن در نظر گرفته می‌شوند. مزایای اصلی WireGuard سادگی و عملکرد آن است.

روتر میکروتیک من چند همتا WireGuard را می‌تواند پشتیبانی کند؟

این به قابلیت‌های سخت‌افزاری روتر شما بستگی دارد. WireGuard بسیار کارآمد است، بنابراین حتی روترهای MikroTik سطح ابتدایی نیز می‌توانند ده‌ها همتا را مدیریت کنند. مدل‌های پیشرفته می‌توانند صدها اتصال را با حداقل تأثیر بر عملکرد پشتیبانی کنند.

بخش 6: راه‌اندازی VPN سایت به سایت با IPsec

IPsec یک انتخاب عالی برای برقراری اتصالات VPN امن سایت به سایت بین دفاتر شعبه یا بین دفتر اصلی و یک محیط ابری است. در این بخش، ما یک VPN سایت به سایت را بین دو روتر MikroTik با استفاده از IPsec پیکربندی خواهیم کرد.

گام 1: برنامه‌ریزی توپولوژی شبکه شما

قبل از پیکربندی IPsec، توپولوژی شبکه خود را برنامه‌ریزی کنید:

سایت A (دفتر مرکزی):

آدرس IP عمومی: 203.0.113.1 (با IP عمومی واقعی خود جایگزین کنید)
شبکه محلی: 192.168.1.0/24
روتر میکروتیک: 192.168.1.1

سایت B (دفتر شعبه):

آدرس IP عمومی: 203.0.113.2 (با IP عمومی واقعی خود جایگزین کنید)
شبکه محلی: 192.168.2.0/24
روتر میکروتیک: 192.168.2.1

گام 2: پیکربندی IPsec در سایت A (دفتر مرکزی)

ایجاد پروفایل IPsec:
- به IP → IPsec → Profiles بروید.
- روی دکمه + کلیک کنید تا یک پروفایل جدید اضافه کنید.
- تنظیمات زیر را پیکربندی کنید:
  - Name (نام): site-to-site
  - Hash Algorithms (الگوریتم‌های هش): sha256
  - Encryption Algorithms (الگوریتم‌های رمزنگاری): aes-256-cbc
  - DH Group (گروه DH): modp2048
- برای ذخیره، روی OK کلیک کنید.
ایجاد پیشنهاد IPsec:
- به IP → IPsec → Proposals بروید.
- روی دکمه + کلیک کنید تا یک پیشنهاد جدید اضافه کنید.
- تنظیمات زیر را پیکربندی کنید:
  - Name (نام): site-to-site-proposal
  - Auth Algorithms (الگوریتم‌های احراز هویت): sha256
  - Encr Algorithms (الگوریتم‌های رمزنگاری): aes-256-cbc
  - PFS Group (گروه PFS): modp2048
- برای ذخیره، روی OK کلیک کنید.
ایجاد همتای IPsec:
- به IP → IPsec → Peers بروید.
- روی دکمه + کلیک کنید تا یک همتا جدید اضافه کنید.
- تنظیمات زیر را پیکربندی کنید:
  - Name (نام): site-b-peer
  - Address (آدرس): 203.0.113.2 (آدرس IP عمومی سایت B)
  - Profile (پروفایل): site-to-site
  - Exchange Mode (حالت تبادل): main
  - Send Initial Contact (ارسال تماس اولیه): yes
  - Nat Traversal (گذر از NAT): yes
  - Pre-shared Key (کلید از پیش مشترک): YourStrongSecretKey (از یک کلید قوی و منحصر به فرد استفاده کنید)
- برای ذخیره، روی OK کلیک کنید.
ایجاد خط مشی IPsec:
- به IP → IPsec → Policies بروید.
- روی دکمه + کلیک کنید تا یک خط مشی جدید اضافه کنید.
- تنظیمات زیر را پیکربندی کنید:
  - Src. Address (آدرس مبدأ): 192.168.1.0/24 (شبکه محلی سایت A)
  - Dst. Address (آدرس مقصد): 192.168.2.0/24 (شبکه محلی سایت B)
  - Protocol (پروتکل): all
  - Action (اقدام): encrypt
  - Level (سطح): require
  - IPsec Protocols (پروتکل‌های IPsec): esp
  - Tunnel (تونل): yes
  - SA Src. Address (آدرس مبدأ SA): 203.0.113.1 (آدرس IP عمومی سایت A)
  - SA Dst. Address (آدرس مقصد SA): 203.0.113.2 (آدرس IP عمومی سایت B)
  - Proposal (پیشنهاد): site-to-site-proposal
- برای ذخیره، روی OK کلیک کنید.

گام 3: پیکربندی IPsec در سایت B (دفتر شعبه)

همین مراحل را در روتر MikroTik سایت B تکرار کنید، اما آدرس‌های مبدأ و مقصد را برعکس کنید:

ایجاد پروفایل IPsec (مشابه سایت A)
ایجاد پیشنهاد IPsec (مشابه سایت A)
ایجاد همتای IPsec:
- با آدرس IP عمومی سایت A پیکربندی کنید (203.0.113.1).
- از همان کلید از پیش مشترک سایت A استفاده کنید.
ایجاد خط مشی IPsec:
- Src. Address (آدرس مبدأ): 192.168.2.0/24 (شبکه محلی سایت B)
- Dst. Address (آدرس مقصد): 192.168.1.0/24 (شبکه محلی سایت A)
- SA Src. Address (آدرس مبدأ SA): 203.0.113.2 (آدرس IP عمومی سایت B)
- SA Dst. Address (آدرس مقصد SA): 203.0.113.1 (آدرس IP عمومی سایت A)
- سایر تنظیمات مشابه سایت A.

گام 4: پیکربندی قوانین فایروال در هر دو سایت

در هر دو روتر MikroTik، قوانین فایروال را برای اجازه دادن به ترافیک IPsec اضافه کنید:

به IP → Firewall → Filter Rules بروید.
قوانین را برای اجازه دادن به ترافیک IPsec اضافه کنید:
- یک قانون برای اجازه دادن به پورت UDP 500 (IKE) اضافه کنید.
- یک قانون برای اجازه دادن به پورت UDP 4500 (IPsec NAT-T) اضافه کنید.
- یک قانون برای اجازه دادن به پروتکل IP 50 (ESP) اضافه کنید.
- یک قانون برای اجازه دادن به پروتکل IP 51 (AH) اضافه کنید.
اطمینان حاصل کنید که ترافیک بین شبکه‌های محلی در قوانین فایروال شما مجاز است.

گام 5: پیکربندی مسیریابی (در صورت نیاز)

اگر شبکه‌های پیچیده‌تری با چندین زیرشبکه در هر دو سایت دارید، ممکن است نیاز به اضافه کردن مسیرهای ثابت (static routes) داشته باشید:

به IP → Routes بروید.
روی دکمه + کلیک کنید تا یک مسیر جدید اضافه کنید.
مسیر را به شبکه راه دور از طریق تونل IPsec پیکربندی کنید.
برای هر زیرشبکه اضافی که نیاز به برقراری ارتباط از طریق تونل دارد، تکرار کنید.

گام 6: تست اتصال

پس از اتمام پیکربندی در هر دو سایت:

وضعیت IPsec را با رفتن به IP → IPsec → Active Peers بررسی کنید.
- باید یک اتصال برقرار شده بین دو سایت مشاهده کنید.
قابلیت اتصال را با پینگ کردن دستگاه‌ها در سراسر تونل تست کنید:
- از یک دستگاه در شبکه سایت A، یک دستگاه در شبکه سایت B را پینگ کنید.
- از یک دستگاه در شبکه سایت B، یک دستگاه در شبکه سایت A را پینگ کنید.
اگر پینگ‌ها موفقیت‌آمیز بودند، سعی کنید به سرویس‌های دیگر در سراسر تونل دسترسی پیدا کنید.

گام 7: نظارت و عیب‌یابی

برای نظارت و عیب‌یابی تونل IPsec خود:

آمار IPsec را بررسی کنید:
- به IP → IPsec → Statistics بروید.
- به دنبال Security Associations (SAs) فعال بگردید.
گزارش‌ها را برای پیام‌های مرتبط با IPsec مشاهده کنید:
- به System → Logs بروید.
- ورودی‌های مرتبط با IPsec را فیلتر کنید.
از ابزار ping با گزینه‌های مسیریابی برای تست تونل استفاده کنید:
- به Tools → Ping بروید.
- IP یک دستگاه در سایت راه دور را وارد کنید.
- Src. Address (آدرس مبدأ) را به IP رابط محلی خود تنظیم کنید.

پرسش و پاسخ کوتاه

اگر تونل IPsec برقرار نشد، چه کاری باید انجام دهم؟

قوانین فایروال در هر دو طرف را بررسی کنید تا اطمینان حاصل شود که ترافیک IPsec مجاز است. تأیید کنید که کلیدهای از پیش مشترک دقیقاً مطابقت دارند. اگر هر یک از روترها پشت دستگاه NAT دیگری هستند، مشکلات NAT را بررسی کنید. گزارش‌ها را برای پیام‌های خطای خاص بررسی کنید.

چگونه می‌توانم تأیید کنم که ترافیک واقعاً از طریق تونل IPsec عبور می‌کند؟

از صفحه IP → IPsec → Statistics استفاده کنید تا ببینید آیا بسته‌ها رمزنگاری و رمزگشایی می‌شوند. همچنین می‌توانید از ابزار Torch (Tools → Torch) برای نظارت بر ترافیک در اینترفیس‌های خود استفاده کنید و ببینید آیا بسته‌ها از طریق اینترفیس IPsec عبور می‌کنند.

بخش 7: پیکربندی‌های پیشرفته VPN و بهترین شیوه‌ها

اکنون که راه‌اندازی‌های اولیه VPN را پوشش دادیم، بیایید برخی از پیکربندی‌های پیشرفته و بهترین شیوه‌ها را برای افزایش امنیت، عملکرد و قابلیت مدیریت استقرارهای VPN MikroTik شما بررسی کنیم.

پیاده‌سازی تونلینگ تقسیم شده (Split Tunneling)

تونلینگ تقسیم شده به کلاینت‌های VPN اجازه می‌دهد تا هم به شبکه راه دور و هم به اینترنت مستقیماً دسترسی داشته باشند، که عملکرد را برای ترافیک اینترنتی بهبود می‌بخشد:

برای OpenVPN:
- در فایل پیکربندی کلاینت، دستور redirect-gateway را تغییر دهید یا از عبارات route خاص استفاده کنید.
- مثال: route 192.168.1.0 255.255.255.0 (فقط ترافیک به شبکه 192.168.1.0/24 را از طریق VPN مسیریابی می‌کند)
برای WireGuard:
- در پیکربندی کلاینت، تنظیم AllowedIPs را تغییر دهید.
- به جای 0.0.0.0/0 (که همه ترافیک را مسیریابی می‌کند)، از شبکه‌های خاص استفاده کنید:
- مثال: AllowedIPs = 10.10.10.0/24, 192.168.1.0/24
برای L2TP/IPsec:
- در کلاینت‌های ویندوز، خصوصیات اتصال VPN را ویرایش کنید.
- به Networking → IPv4 → Properties → Advanced بروید.
- تیک "Use default gateway on remote network" را بردارید.

پیاده‌سازی احراز هویت دو مرحله‌ای

امنیت را با احراز هویت دو مرحله‌ای افزایش دهید:

احراز هویت RADIUS:
- یک سرور RADIUS راه‌اندازی کنید (می‌توانید از پکیج User Manager MikroTik استفاده کنید).
- سرور VPN خود را برای استفاده از RADIUS پیکربندی کنید:
  - در منوی سمت چپ به Radius بروید.
  - یک کلاینت RADIUS جدید برای سرویس VPN خود اضافه کنید.
  - در تنظیمات سرور VPN خود، احراز هویت RADIUS را فعال کنید.
احراز هویت با گواهینامه + رمز عبور:
- برای OpenVPN، هم گواهینامه و هم نام کاربری/رمز عبور را الزامی کنید:
  - در پیکربندی سرور، اسکریپت auth-user-pass-verify را تنظیم کنید.
  - اطمینان حاصل کنید که client-cert-not-required تنظیم نشده باشد.
رمزهای عبور یک‌بار مصرف مبتنی بر زمان (TOTP):
- پکیج TOTP را روی MikroTik خود نصب کنید.
- کاربران را با TOTP secrets پیکربندی کنید.
- احراز هویت خود را طوری تنظیم کنید که کدهای TOTP را الزامی کند.

بهینه‌سازی عملکرد VPN

عملکرد VPN را با این تنظیمات دقیق بهبود بخشید:

تنظیمات MTU را تنظیم کنید:
- MTU بهینه را برای اتصال خود با استفاده از تست‌های پینگ با پرچم "don't fragment" پیدا کنید.
- MTU مناسب را روی رابط VPN خود تنظیم کنید.
- برای OpenVPN، مقادیر معمول 1400-1450 هستند.
- برای WireGuard، 1420 اغلب بهینه است.
شتاب‌دهی سخت‌افزاری را فعال کنید:
- اگر مدل MikroTik شما از رمزنگاری سخت‌افزاری پشتیبانی می‌کند:
  - به System → Resources بروید.
  - بررسی کنید که آیا رمزنگاری سخت‌افزاری در دسترس و فعال است.
  - برای IPsec، به IP → IPsec → Settings بروید و شتاب‌دهی سخت‌افزاری را فعال کنید.
پروتکل‌های کارآمد را انتخاب کنید:
- در صورت امکان از UDP به جای TCP برای OpenVPN استفاده کنید.
- برای عملکرد بهتر در RouterOS v7+، WireGuard را در نظر بگیرید.
- از الگوریتم‌های رمزنگاری مدرن که از شتاب‌دهی سخت‌افزاری پشتیبانی می‌کنند، استفاده کنید.

پیاده‌سازی Failover و Load Balancing

برای اتصالات VPN حیاتی، Failover یا Load Balancing را پیاده‌سازی کنید:

Failover دو WAN:
- چندین اتصال WAN را روی MikroTik خود پیکربندی کنید.
- مسیریابی Failover را با استفاده از routing marks و policy-based routing راه‌اندازی کنید.
- VPN خود را طوری پیکربندی کنید که در صورت قطع شدن اتصال اصلی، به طور خودکار دوباره متصل شود.
تکرارپذیری VPN سایت به سایت:
- چندین تونل بین سایت‌ها را با استفاده از اتصالات WAN مختلف راه‌اندازی کنید.
- از معیارهای مسیریابی برای اولویت‌بندی تونل اصلی استفاده کنید.
- پروتکل‌های مسیریابی دینامیک (OSPF یا BGP) را بر روی تونل‌های VPN برای Failover خودکار پیکربندی کنید.
توازن بار (Load Balancing):
- برای چندین کاربر دسترسی از راه دور، آنها را بین چندین سرور VPN توزیع کنید.
- از DNS round-robin یا یک Load Balancer برای توزیع درخواست‌های اتصال استفاده کنید.

نظارت و ثبت اتصالات VPN

نظارت جامع بر سرویس‌های VPN خود را راه‌اندازی کنید:

پیکربندی ثبت جزئیات:
- به System → Logging بروید.
- یک اقدام ثبت جدید برای رویدادهای مرتبط با VPN اضافه کنید.
- موضوعات مناسب (مثلاً ppp, ipsec, ovpn) را تنظیم کنید.
راه‌اندازی نظارت SNMP:
- به IP → SNMP بروید.
- سرویس SNMP را فعال کنید.
- Community strings و Access lists را پیکربندی کنید.
- از یک ابزار نظارت SNMP برای ردیابی اتصالات و عملکرد VPN استفاده کنید.
ایجاد اسکریپت‌های ردیابی اتصال:
- از اسکریپت‌نویسی RouterOS برای ردیابی اتصالات VPN استفاده کنید.
- هشدارهای ایمیلی را برای تلاش‌های اتصال ناموفق یا قطع شدن تونل تنظیم کنید.
- مثال اسکریپت برای نظارت بر وضعیت تونل IPsec و ارسال هشدارها:

plaintext

/system script
add name="monitor-ipsec" source={
    :if ([/ip ipsec policy find where dst-address="192.168.2.0/24" and invalid=yes] != "") do={
        /tool e-mail send to="[email protected]" subject="IPsec Tunnel Down" body="The IPsec tunnel to Branch Office is down."
    }
}

/system scheduler
add interval=5m name="check-ipsec" on-event=monitor-ipsec start-time=startup

پرسش و پاسخ کوتاه

چگونه می‌توانم مدیریت از راه دور روتر میکروتیک خود را از طریق VPN به صورت امن فعال کنم؟

یک پروفایل VPN جداگانه به طور خاص برای دسترسی مدیریتی با تنظیمات امنیتی سخت‌گیرانه‌تر ایجاد کنید. از قوانین فایروال برای اجازه دادن فقط به دسترسی مدیریتی (Winbox، SSH، WebFig) از زیرشبکه VPN استفاده کنید. پیاده‌سازی IP-based access lists و احراز هویت دو مرحله‌ای را برای امنیت بیشتر در نظر بگیرید.

بهترین راه برای مدیریت آدرس‌های IP دینامیک برای VPNهای سایت به سایت چیست؟

از سرویس‌های DNS پویا برای ردیابی آدرس‌های IP متغیر استفاده کنید. IPsec یا OpenVPN خود را طوری پیکربندی کنید که به جای آدرس‌های IP از نام‌های هاست استفاده کند. برای IPsec، ممکن است نیاز به استفاده از یک اسکریپت برای به‌روزرسانی آدرس‌های همتا (peer addresses) هنگام تغییر آنها داشته باشید. به طور جایگزین، استفاده از ویژگی "mode-config" RouterOS برای IPsec را برای مدیریت آدرس‌دهی پویا در نظر بگیرید.

نتیجه‌گیری

راه‌اندازی VPN روی روتر MikroTik شما دسترسی از راه دور امنی را به منابع شبکه شما فراهم می‌کند و اتصال امن سایت به سایت را بین چندین مکان امکان‌پذیر می‌سازد. در این راهنمای جامع، گزینه‌های مختلف پیاده‌سازی VPN، از L2TP/IPsec سازگار با گستره وسیع دستگاه‌ها تا پروتکل WireGuard مدرن و کارآمد را پوشش دادیم.

ما فرآیند گام به گام پیکربندی هر نوع VPN، شامل گواهینامه‌های لازم، تنظیمات رمزنگاری، قوانین فایروال و پیکربندی‌های کلاینت را بررسی کردیم. همچنین پیکربندی‌های پیشرفته‌ای مانند Split Tunneling، احراز هویت دو مرحله‌ای و تکنیک‌های بهینه‌سازی عملکرد را برای کمک به شما در ساخت یک زیرساخت VPN قوی و امن، مورد بحث قرار دادیم.

روترهای MikroTik انعطاف‌پذیری فوق‌العاده و قابلیت‌های VPN قدرتمندی را با کسری از هزینه بسیاری از راه‌حل‌های سازمانی ارائه می‌دهند. با دنبال کردن دستورالعمل‌های این راهنما، می‌توانید از این قابلیت‌ها برای ایجاد اتصالات امنی استفاده کنید که از داده‌های شما محافظت کرده و دسترسی یکپارچه از راه دور به منابع شبکه شما را امکان‌پذیر می‌سازند.

به یاد داشته باشید که امنیت یک فرآیند مداوم است، نه یک راه‌اندازی یک‌باره. به طور منظم فریم‌ور RouterOS خود را به‌روزرسانی کنید، پیکربندی‌های VPN خود را بازبینی کنید، گزارش‌ها را برای فعالیت‌های غیرعادی نظارت کنید و تنظیمات امنیتی خود را در صورت نیاز برای حفظ یک وضعیت امنیتی قوی تنظیم کنید.

برای راه‌حل‌های VPN تخصصی متناسب با نیازهای خاص شما، پیشنهادات سرور MikroTik TildaVPS را در نظر بگیرید، که سخت‌افزار بهینه و محیط‌های از پیش پیکربندی شده را برای اجرای سرویس‌های VPN قوی با حداقل زمان راه‌اندازی فراهم می‌کند.

پرسش‌های متداول (FAQ)

کدام پروتکل VPN را باید برای روتر میکروتیک خود انتخاب کنم؟

بهترین پروتکل به نیازهای خاص شما بستگی دارد. L2TP/IPsec سازگاری گسترده‌ای با اکثر دستگاه‌ها ارائه می‌دهد. OpenVPN تعادل خوبی بین امنیت و انعطاف‌پذیری فراهم می‌کند. WireGuard (موجود در RouterOS v7+) بهترین عملکرد و سادگی را ارائه می‌دهد. برای اتصالات سایت به سایت بین دفاتر شعبه، IPsec به دلیل امنیت قوی و پذیرش گسترده سازمانی معمولاً انتخاب ارجح است.

چگونه مشکلات اتصال VPN را در میکروتیک عیب‌یابی کنم؟

با بررسی گزارش‌ها (System → Logs) برای پیام‌های خطای خاص شروع کنید. تأیید کنید که قوانین فایروال شما ترافیک VPN را در پورت‌های مناسب مجاز می‌کنند. برای VPNهای مبتنی بر گواهینامه مانند OpenVPN، اطمینان حاصل کنید که گواهینامه‌ها به درستی امضا شده و منقضی نشده‌اند. قابلیت اتصال را با استفاده از ping و traceroute تست کنید تا مشخص کنید اتصال در کجا با شکست مواجه می‌شود. برای IPsec، بررسی کنید که آیا security associations (SAs) با نگاه کردن به IP → IPsec → Active Peers برقرار شده‌اند یا خیر.

آیا می‌توانم چندین سرور VPN را روی یک روتر میکروتیک اجرا کنم؟

بله، می‌توانید چندین پروتکل VPN را به طور همزمان روی یک روتر MikroTik اجرا کنید. به عنوان مثال، می‌توانید L2TP/IPsec را برای کلاینت‌های موبایل، OpenVPN را برای کارمندان از راه دور و IPsec را برای اتصالات سایت به سایت داشته باشید. فقط اطمینان حاصل کنید که هر سرویس از پورت متفاوتی استفاده می‌کند و قوانین فایروال مناسبی دارد. به قابلیت‌های سخت‌افزاری روتر خود توجه داشته باشید، زیرا اجرای چندین سرویس VPN با تعداد زیادی کلاینت می‌تواند CPU-intensive باشد.

چگونه می‌توانم امنیت VPN را در روتر میکروتیک خود بهبود بخشم؟

امنیت VPN را با استفاده از الگوریتم‌های رمزنگاری قوی (AES-256)، پیاده‌سازی احراز هویت دو مرحله‌ای، چرخش منظم کلیدهای از پیش مشترک و رمزهای عبور، استفاده از احراز هویت مبتنی بر گواهینامه در صورت امکان، پیاده‌سازی قوانین فایروال سخت‌گیرانه برای محدود کردن دسترسی فقط به منابع ضروری، و به‌روز نگه داشتن RouterOS خود به آخرین نسخه پایدار برای رفع آسیب‌پذیری‌های امنیتی، افزایش دهید.

روتر میکروتیک من چند کاربر همزمان VPN را می‌تواند پشتیبانی کند؟

این به مشخصات سخت‌افزاری روتر شما، به ویژه قدرت CPU و RAM موجود بستگی دارد. مدل‌های ابتدایی مانند سری hAP ممکن است 5-10 کاربر همزمان را مدیریت کنند، مدل‌های میان‌رده مانند RB4011 می‌توانند 20-30 کاربر را پشتیبانی کنند، در حالی که مدل‌های پیشرفته مانند سری CCR می‌توانند 50+ اتصال همزمان را مدیریت کنند. WireGuard تمایل دارد کارآمدتر از OpenVPN یا IPsec باشد و امکان اتصالات همزمان بیشتری را با همان سخت‌افزار فراهم می‌کند.

آیا می‌توانم از دستگاه‌های موبایل به VPN میکروتیک خود دسترسی پیدا کنم؟

بله، تمام پروتکل‌های VPN مورد بحث در این راهنما می‌توانند از دستگاه‌های موبایل استفاده شوند. L2TP/IPsec و IKEv2 پشتیبانی بومی در iOS و Android دارند. برای OpenVPN، می‌توانید از برنامه رسمی OpenVPN Connect استفاده کنید. WireGuard برنامه‌های موبایل عالی برای هر دو پلتفرم دارد. هنگام راه‌اندازی VPN برای دستگاه‌های موبایل، Split Tunneling را برای بهینه‌سازی عمر باتری و مصرف داده در نظر بگیرید.

چگونه یک سرور VPN را روی میکروتیک راه‌اندازی کنم که در کشورهایی با محدودیت‌های اینترنتی کار کند؟

در محیط‌های محدودکننده، پورت‌های استاندارد VPN اغلب مسدود می‌شوند. VPN خود را طوری پیکربندی کنید که از پورت‌های رایج مانند 443 (HTTPS) یا 53 (DNS) که به ندرت مسدود می‌شوند، استفاده کند. برای OpenVPN، از TCP به جای UDP استفاده کنید زیرا تشخیص آن دشوارتر است. پیاده‌سازی تکنیک‌های مبهم‌سازی مانند stunnel یا obfsproxy برای پنهان کردن ترافیک VPN را در نظر بگیرید. WireGuard را می‌توان طوری پیکربندی کرد که روی هر پورتی اجرا شود، که آن را برای دور زدن محدودیت‌ها انعطاف‌پذیر می‌کند.

تفاوت بین VPN دسترسی از راه دور و VPN سایت به سایت چیست؟

VPN دسترسی از راه دور کاربران فردی را به یک شبکه متصل می‌کند و به آنها اجازه می‌دهد به منابع دسترسی پیدا کنند، گویی که از لحاظ فیزیکی در آن مکان حضور دارند. این برای کارمندان از راه دور یا دسترسی به شبکه خانگی شما در حین سفر ایده‌آل است. VPN سایت به سایت کل شبکه‌ها را به هم متصل می‌کند و به تمام دستگاه‌های هر مکان اجازه می‌دهد با یکدیگر ارتباط برقرار کنند. این معمولاً برای اتصال دفاتر شعبه به دفتر مرکزی یا اتصال به محیط‌های ابری استفاده می‌شود.

چگونه می‌توانم نظارت کنم که چه کسی به VPN میکروتیک من متصل است؟

برای نظارت بلادرنگ، اتصالات فعال را در بخش مربوطه VPN (PPP → Active Connections برای L2TP و PPTP، IP → IPsec → Active Peers برای IPsec، Interface → WireGuard → Peers برای WireGuard) بررسی کنید. برای داده‌های تاریخی، ثبت (System → Logging) را برای ضبط رویدادهای اتصال پیکربندی کنید. همچنین می‌توانید از ابزارهای نظارت SNMP استفاده کنید یا اسکریپت‌های سفارشی برای ردیابی اتصالات و تولید گزارش‌ها راه‌اندازی کنید.

آیا امکان محدود کردن دسترسی VPN به زمان‌ها یا روزهای خاص وجود دارد؟

بله، می‌توانید محدودیت‌های زمانی را با استفاده از اسکریپت‌های زمان‌بندی (scheduler scripts) یا قوانین فایروال پیاده‌سازی کنید. قوانین فایروال مبتنی بر زمان را ایجاد کنید که فقط در ساعات خاصی اجازه ترافیک VPN را می‌دهند. به طور جایگزین، از پروفایل‌های کاربری با محدودیت‌های زمانی استفاده کنید یا اسکریپت‌های سفارشی بنویسید که سرویس‌های VPN را طبق یک برنامه زمانی فعال/غیرفعال می‌کنند. این برای اعمال دسترسی در ساعات کاری یا پیاده‌سازی پنجره‌های نگهداری مفید است.

نکات کلیدی

روترهای MikroTik از چندین پروتکل VPN از جمله L2TP/IPsec، OpenVPN، WireGuard و IPsec پشتیبانی می‌کنند، که به شما انعطاف‌پذیری می‌دهد تا بهترین راه‌حل را برای نیازهای خاص خود انتخاب کنید.
WireGuard (موجود در RouterOS v7+) بهترین عملکرد و سادگی را ارائه می‌دهد، در حالی که IPsec امنیت قوی را برای اتصالات سایت به سایت فراهم می‌کند و L2TP/IPsec گسترده‌ترین سازگاری با دستگاه‌ها را دارد.
پیکربندی صحیح فایروال برای امنیت VPN ضروری است - همیشه قوانین خاصی را برای اجازه دادن تنها به ترافیک VPN لازم ایجاد کنید و کنترل‌های دسترسی مناسب را برای منابع شبکه خود پیاده‌سازی کنید.
ویژگی‌های پیشرفته مانند Split Tunneling، احراز هویت دو مرحله‌ای و اتصالات اضافی می‌توانند امنیت و قابلیت استفاده از پیاده‌سازی VPN شما را به طور قابل توجهی افزایش دهند.
نظارت منظم، ثبت و نگهداری راه‌اندازی VPN شما برای حفظ امنیت و اطمینان از عملکرد قابل اعتماد در طول زمان حیاتی است.

واژه‌نامه

IPsec (Internet Protocol Security): مجموعه‌ای از پروتکل‌ها که بسته‌های IP را برای ارائه ارتباط رمزنگاری شده امن بین دستگاه‌های شبکه، احراز هویت و رمزنگاری می‌کند.

L2TP (Layer 2 Tunneling Protocol): یک پروتکل تونلینگ که برای پشتیبانی از VPNها استفاده می‌شود و اغلب با IPsec برای رمزنگاری ترکیب می‌شود.

OpenVPN: یک پروتکل VPN متن‌باز که از SSL/TLS برای تبادل کلید استفاده می‌کند و می‌تواند هم روی UDP و هم روی TCP کار کند.

WireGuard: یک پروتکل VPN مدرن، سریع‌تر و ساده‌تر که بر عملکرد و سهولت پیاده‌سازی تمرکز دارد.

Split Tunneling (تونلینگ تقسیم شده): یک ویژگی VPN که به کاربر امکان می‌دهد از طریق یک اتصال شبکه فیزیکی واحد، به شبکه‌های مختلف (عمومی و خصوصی) به طور همزمان دسترسی داشته باشد.

Pre-shared Key (PSK) (کلید از پیش مشترک): یک راز مشترک که برای احراز هویت در اتصالات VPN استفاده می‌شود.

Certificate Authority (CA) (مرجع گواهینامه): یک نهاد که گواهینامه‌های دیجیتال را صادر می‌کند، که تأیید می‌کنند یک کلید عمومی خاص به یک نهاد خاص تعلق دارد.

MTU (Maximum Transmission Unit) (حداکثر واحد انتقال): اندازه بزرگترین واحد داده پروتکل که می‌تواند در یک تراکنش لایه شبکه واحد ارتباط برقرار کند.

NAT Traversal (گذر از NAT): تکنیک‌هایی برای برقراری و حفظ اتصالات از طریق ترجمه‌کننده‌های آدرس شبکه (NAT).

Two-factor Authentication (2FA) (احراز هویت دو مرحله‌ای): یک فرآیند امنیتی که در آن کاربران دو عامل احراز هویت متفاوت را برای تأیید هویت خود ارائه می‌دهند.