مقدمه
شبکههای خصوصی مجازی (VPN) به ابزارهای ضروری برای کسبوکارها و افراد تبدیل شدهاند که به دنبال امنیت اتصالات اینترنتی خود، دسترسی به شبکههای راه دور و محافظت از دادههای حساس هستند. روترهای MikroTik، که به دلیل مجموعه ویژگیهای قوی و مقرون به صرفه بودن شناخته میشوند، چندین گزینه پیادهسازی VPN را ارائه میدهند که نیازهای امنیتی و موارد استفاده مختلف را پوشش میدهند.
در این راهنمای جامع، فرآیند راهاندازی راهحلهای مختلف VPN را روی روتر MikroTik شما گام به گام توضیح خواهیم داد. چه یک مدیر شبکه باشید که به دنبال برقراری اتصالات امن سایت به سایت هستید، یا یک فرد که میخواهد از راه دور به شبکه خانگی خود دسترسی پیدا کند، این مقاله دانش و دستورالعملهای گام به گام را برای پیادهسازی موفقیتآمیز سرویسهای VPN روی دستگاه MikroTik شما ارائه خواهد داد. TildaVPS سرورهای بهینه شده MikroTik را ارائه میدهد که برای پیادهسازی راهحلهای VPN که در این راهنما مورد بحث قرار میدهیم، عالی هستند و اتصالات قابل اعتماد و امنی را برای نیازهای شبکه شما تضمین میکنند.
بخش 1: درک انواع VPN در میکروتیک
گزینههای VPN موجود در میکروتیک
MikroTik RouterOS از چندین پروتکل VPN پشتیبانی میکند که هر کدام نقاط قوت و موارد استفاده ایدهآل خود را دارند. قبل از ورود به پیکربندی، مهم است که بدانید کدام پروتکل به بهترین وجه با نیازهای شما مطابقت دارد.
OpenVPN یک پروتکل VPN متنباز است که تعادل خوبی بین امنیت و عملکرد ارائه میدهد. این پروتکل از SSL/TLS برای تبادل کلید استفاده میکند و میتواند هم روی UDP و هم روی TCP کار کند. OpenVPN بسیار قابل پیکربندی است و میتواند از اکثر فایروالها عبور کند، که آن را به انتخابی همهکاره برای بسیاری از سناریوها تبدیل میکند.
IPsec (امنیت پروتکل اینترنت) با احراز هویت و رمزنگاری هر بسته IP، ارتباط IP امنی را فراهم میکند. این پروتکل به طور گسترده در پلتفرمها پشتیبانی میشود و بسیار امن در نظر گرفته میشود، که آن را برای اتصالات VPN سایت به سایت بین دفاتر شعبه ایدهآل میسازد.
L2TP/IPsec پروتکل تونلینگ لایه 2 را با رمزنگاری IPsec ترکیب میکند. این پروتکل به طور بومی توسط اکثر سیستمعاملها از جمله ویندوز، macOS، iOS و Android پشتیبانی میشود، که آن را برای VPNهای دسترسی از راه دور راحت میکند.
PPTP (پروتکل تونلینگ نقطهبهنقطه) یکی از قدیمیترین پروتکلهای VPN است. در حالی که راهاندازی آن آسان است و اتصالات سریع ارائه میدهد، امنیت آن به خطر افتاده است، که آن را تنها برای برنامههای غیرحساس که در آن راحتی بر نگرانیهای امنیتی ارجحیت دارد، مناسب میسازد.
SSTP (پروتکل تونلینگ سوکت امن) از SSL روی پورت TCP 443 استفاده میکند، که به آن اجازه میدهد از اکثر فایروالها و پراکسی سرورها عبور کند. این پروتکل سطح خوبی از امنیت را فراهم میکند اما عمدتاً در پلتفرمهای ویندوز پشتیبانی میشود.
WireGuard یک پروتکل جدیدتر است که به دلیل سادگی، عملکرد بالا و رمزنگاری مدرن خود شناخته شده است. MikroTik پشتیبانی از WireGuard را در RouterOS v7 اضافه کرده است، که آن را به گزینهای عالی برای کسانی که از جدیدترین فریمور استفاده میکنند تبدیل کرده است.
مزایای استفاده از VPN در میکروتیک
امنیت پیشرفته: VPNها دادههای شما را رمزنگاری میکنند و از آن در برابر استراق سمع و حملات مرد میانی (man-in-the-middle)، به خصوص هنگام استفاده از شبکههای Wi-Fi عمومی، محافظت میکنند.
دسترسی از راه دور: از هر کجای دنیا به صورت امن به منابع شبکه خانگی یا اداری خود دسترسی پیدا کنید.
اتصال سایت به سایت: چندین مکان اداری را به صورت امن از طریق اینترنت به هم متصل کنید و یک شبکه یکپارچه ایجاد کنید.
دور زدن محدودیتهای جغرافیایی: با اتصال به سرورهای VPN در مکانهای جغرافیایی مختلف، به محتوای محدود شده منطقهای دسترسی پیدا کنید.
تقسیمبندی شبکه: بخشهای شبکه امن و ایزوله را برای بخشهای مختلف یا اهداف سازمانی خود ایجاد کنید.
انتخاب پروتکل VPN مناسب
بهترین پروتکل VPN برای راهاندازی MikroTik شما به الزامات خاص شما بستگی دارد:
- برای حداکثر سازگاری در بین دستگاهها: L2TP/IPsec
- برای بالاترین امنیت در محیطهای شرکتی: IPsec
- برای انعطافپذیری و تعادل خوب امنیت و عملکرد: OpenVPN
- برای نیازهای مدرن و با کارایی بالا: WireGuard (RouterOS v7+)
- برای راهاندازی ساده با کلاینتهای ویندوز: SSTP
پرسش و پاسخ کوتاه
کدام پروتکل VPN بهترین عملکرد را در میکروتیک ارائه میدهد؟
WireGuard به دلیل طراحی سبک و رمزنگاری کارآمد خود، معمولاً بهترین عملکرد را ارائه میدهد و پس از آن OpenVPN با UDP قرار دارد. با این حال، عملکرد میتواند بر اساس سختافزار و شرایط شبکه خاص شما متفاوت باشد.
آیا میتوانم چندین پروتکل VPN را به طور همزمان روی روتر میکروتیک خود اجرا کنم؟
بله، MikroTik RouterOS به شما اجازه میدهد تا چندین پروتکل VPN را به طور همزمان اجرا کنید. این برای پشتیبانی از دستگاههای کلاینت مختلف یا ارائه گزینههای پشتیبان در صورت مسدود شدن یک پروتکل مفید است.
بخش 2: پیشنیازهای راهاندازی VPN در میکروتیک
الزامات سختافزاری و نرمافزاری
قبل از راهاندازی VPN روی روتر MikroTik خود، اطمینان حاصل کنید که پیشنیازهای زیر را در اختیار دارید:
الزامات سختافزاری:
- یک روتر MikroTik با قدرت پردازش کافی برای رمزنگاری/رمزگشایی VPN. برای استفاده سنگین از VPN، مدلهایی با پردازندههای چند هستهای مانند RB4011 یا سری CCR را در نظر بگیرید.
- RAM کافی (حداقل 256 مگابایت برای چندین اتصال VPN توصیه میشود)
- اتصال اینترنتی پایدار با پهنای باند کافی برای نیازهای VPN شما
الزامات نرمافزاری:
- نسخه RouterOS سازگار با پروتکل VPN انتخابی شما (v6.45+ توصیه میشود، v7+ برای WireGuard)
- به آخرین نسخه پایدار به روز شده باشد تا اطمینان حاصل شود که پچهای امنیتی اعمال شدهاند
- سطح لایسنس معتبر که از پروتکل VPN انتخابی شما پشتیبانی میکند (اکثر ویژگیهای VPN حداقل به سطح 4 نیاز دارند)
الزامات شبکه:
- آدرس IP عمومی (ثابت ترجیح داده میشود) یا سرویس DDNS به درستی پیکربندی شده باشد
- فورواردینگ پورت مناسب اگر MikroTik شما پشت روتر دیگری قرار دارد
- قوانین فایروال به درستی پیکربندی شده باشند تا ترافیک VPN را مجاز کنند
پیکربندی اولیه روتر
قبل از پیادهسازی VPN، اطمینان حاصل کنید که روتر MikroTik شما دارای یک پیکربندی امن اولیه است:
- RouterOS را به آخرین نسخه پایدار به روز کنید.
- رمز عبور پیشفرض مدیر را تغییر دهید.
- آدرسدهی IP مناسب را برای همه اینترفیسها پیکربندی کنید.
- قوانین فایروال اولیه را برای محافظت از شبکه خود تنظیم کنید.
- تنظیمات DNS را پیکربندی کنید.
- اطمینان حاصل کنید که NTP (پروتکل زمان شبکه) به درستی پیکربندی شده است، زیرا زمان دقیق برای احراز هویت VPN بسیار مهم است.
برنامهریزی برای پیادهسازی VPN خود
وقت بگذارید تا استقرار VPN خود را با در نظر گرفتن موارد زیر برنامهریزی کنید:
توپولوژی VPN:
- VPN دسترسی از راه دور (کلاینتها به شبکه شما متصل میشوند)
- VPN سایت به سایت (اتصال چندین شبکه)
- Hub-and-spoke (سایت مرکزی به چندین دفتر شعبه متصل میشود)
- Mesh (همه سایتها به یکدیگر متصل میشوند)
طرح آدرسدهی IP:
- زیرشبکه IP برای کلاینتهای VPN را تعیین کنید.
- اطمینان حاصل کنید که هیچ تضاد IP بین شبکههای محلی و راه دور وجود ندارد.
- برای مسیریابی صحیح بین شبکهها برنامهریزی کنید.
روش احراز هویت:
- نام کاربری/رمز عبور
- احراز هویت مبتنی بر گواهینامه
- کلیدهای از پیش مشترک (Pre-shared keys)
- احراز هویت دو مرحلهای (Two-factor authentication)
ملاحظات امنیتی:
- الزامات قدرت رمزنگاری
- نیازهای جداسازی ترافیک
- سیاستهای کنترل دسترسی
دسترسی به روتر میکروتیک شما
برای پیکربندی روتر MikroTik خود، باید با استفاده از یکی از این روشها به آن دسترسی پیدا کنید:
-
WebFig (رابط پیکربندی مبتنی بر وب):
- از طریق یک مرورگر وب به آدرس IP روتر خود متصل شوید.
- با اعتبارنامههای خود وارد شوید.
- از طریق منو به تنظیمات VPN بروید.
-
WinBox (برنامه رابط کاربری گرافیکی ویندوز):
- WinBox را از وبسایت MikroTik دانلود کنید.
- از طریق IP یا آدرس MAC به روتر خود متصل شوید.
- از رابط گرافیکی برای پیکربندی تنظیمات استفاده کنید.
-
SSH/Telnet (رابط خط فرمان):
- با استفاده از یک کلاینت SSH مانند PuTTY متصل شوید.
- دستورات را مستقیماً در CLI RouterOS وارد کنید.
- برای اسکریپتنویسی و پیکربندیهای پیشرفته مفید است.
-
The Dude (برنامه مدیریت شبکه):
- برای مدیریت چندین دستگاه MikroTik.
- نمای کلی از زیرساخت شما در سطح شبکه ارائه میدهد.
پرسش و پاسخ کوتاه
آیا برای راهاندازی سرور VPN روی میکروتیک به آدرس IP ثابت نیاز دارم؟
در حالی که IP ثابت ایدهآل است، میتوانید از سرویسهای DNS پویا مانند no-ip.com یا dyn.com در صورت داشتن IP پویا استفاده کنید. MikroTik از بهروزرسانیهای خودکار DDNS از طریق اسکریپتها یا کلاینت DDNS داخلی پشتیبانی میکند.
برای قابلیتهای VPN در میکروتیک به چه سطح لایسنسی نیاز دارم؟
اکثر ویژگیهای VPN به حداقل لایسنس سطح 4 نیاز دارند. با این حال، PPTP و L2TP پایه از سطح 3 در دسترس هستند. برای ویژگیهای پیشرفته و عملکرد بهتر، لایسنس سطح 5 یا سطح 6 توصیه میشود، به ویژه برای استقرارهای سازمانی.
بخش 3: راهاندازی سرور VPN L2TP/IPsec
L2TP/IPsec یکی از پرکاربردترین پروتکلهای VPN است که آن را به انتخابی عالی برای محیطهایی با دستگاههای کلاینت متنوع تبدیل میکند. بیایید فرآیند راهاندازی یک سرور VPN L2TP/IPsec را روی روتر MikroTik شما گام به گام بررسی کنیم.
گام 1: پیکربندی تنظیمات IPsec
ابتدا، باید بخش IPsec از VPN را تنظیم کنیم که رمزنگاری را برای تونل L2TP فراهم میکند:
- WinBox را باز کرده و به روتر MikroTik خود متصل شوید.
- به IP → IPsec → Profiles بروید.
- روی دکمه + کلیک کنید تا یک پروفایل جدید اضافه کنید.
- تنظیمات زیر را پیکربندی کنید:
- Name (نام): L2TP-IPsec
- Hash Algorithms (الگوریتمهای هش): sha256
- Encryption Algorithms (الگوریتمهای رمزنگاری): aes-256-cbc
- DH Group (گروه DH): modp2048
- Proposal Check (بررسی پیشنهاد): obey
- Lifetime (مدت زمان عمر): 1d 00:00:00
- برای ذخیره پروفایل، روی OK کلیک کنید.
در مرحله بعد، پیشنهاد IPsec را ایجاد کنید:
- به IP → IPsec → Proposals بروید.
- روی دکمه + کلیک کنید تا یک پیشنهاد جدید اضافه کنید.
- تنظیمات زیر را پیکربندی کنید:
- Auth Algorithms (الگوریتمهای احراز هویت): sha256
- Encr Algorithms (الگوریتمهای رمزنگاری): aes-256-cbc
- PFS Group (گروه PFS): modp2048
- برای ذخیره، روی OK کلیک کنید.
اکنون، IPsec peer (همتا) را راهاندازی کنید:
- به IP → IPsec → Peers بروید.
- روی دکمه + کلیک کنید تا یک همتا جدید اضافه کنید.
- تنظیمات زیر را پیکربندی کنید:
- Name (نام): L2TP-Peer
- Address (آدرس): 0.0.0.0/0 (برای پذیرش اتصالات از هر IP)
- Profile (پروفایل): L2TP-IPsec (پروفایلی که قبلاً ایجاد کردیم)
- Exchange Mode (حالت تبادل): main
- Send Initial Contact (ارسال تماس اولیه): yes
- Nat Traversal (گذر از NAT): yes
- Pre-shared Key (کلید از پیش مشترک): YourStrongSecretKey (از یک کلید قوی و منحصر به فرد استفاده کنید)
- برای ذخیره، روی OK کلیک کنید.
گام 2: پیکربندی سرور L2TP
حالا، بیایید سرور L2TP را راهاندازی کنیم:
- در منوی سمت چپ به PPP بروید.
- به تب Profiles بروید.
- روی دکمه + کلیک کنید تا یک پروفایل جدید اضافه کنید.
- تنظیمات زیر را پیکربندی کنید:
- Name (نام): L2TP-Profile
- Local Address (آدرس محلی): IP روتر را برای استفاده از VPN مشخص کنید (مثلاً 10.0.0.1)
- Remote Address (آدرس راه دور): استخر IP برای کلاینتها را مشخص کنید (مثلاً 10.0.0.2-10.0.0.254)
- DNS Server (سرور DNS): سرورهای DNS ترجیحی شما
- Use Encryption (استفاده از رمزنگاری): yes
- برای ذخیره پروفایل، روی OK کلیک کنید.
در مرحله بعد، سرور L2TP را راهاندازی کنید:
- به تب Interface بروید.
- روی L2TP Server کلیک کنید.
- تنظیمات زیر را پیکربندی کنید:
- Enabled (فعال): yes
- Max MTU (حداکثر MTU): 1450
- Max MRU (حداکثر MRU): 1450
- Keep Alive Timeout (زمان انتظار فعال ماندن): 30
- Default Profile (پروفایل پیشفرض): L2TP-Profile (پروفایلی که ایجاد کردیم)
- Authentication (احراز هویت): mschap2, mschap1, chap (به این ترتیب برای بهترین سازگاری)
- Use IPsec (استفاده از IPsec): yes
- IPsec Secret (راز IPsec): YourStrongSecretKey (همانند پیکربندی IPsec peer)
- برای ذخیره، روی OK کلیک کنید.
گام 3: ایجاد کاربران VPN
اکنون، حسابهای کاربری برای دسترسی به VPN ایجاد کنید:
- در منوی سمت چپ به PPP بروید.
- روی تب Secrets کلیک کنید.
- روی دکمه + کلیک کنید تا یک راز جدید اضافه کنید.
- تنظیمات زیر را پیکربندی کنید:
- Name (نام): username (نام کاربری برای ورود به VPN)
- Password (رمز عبور): password (یک رمز عبور قوی برای کاربر)
- Service (سرویس): l2tp
- Profile (پروفایل): L2TP-Profile
- برای ذخیره، روی OK کلیک کنید.
- برای کاربران اضافی در صورت نیاز تکرار کنید.
گام 4: پیکربندی قوانین فایروال
برای اجازه دادن به ترافیک VPN از طریق فایروال شما:
-
به IP → Firewall → Filter Rules بروید.
-
قوانین را برای اجازه دادن به ترافیک L2TP و IPsec اضافه کنید:
برای IPsec:
- یک قانون برای اجازه دادن به پورت UDP 500 (IKE) اضافه کنید.
- یک قانون برای اجازه دادن به پورت UDP 4500 (IPsec NAT-T) اضافه کنید.
- یک قانون برای اجازه دادن به پروتکل IP 50 (ESP) اضافه کنید.
- یک قانون برای اجازه دادن به پروتکل IP 51 (AH) اضافه کنید.
برای L2TP:
- یک قانون برای اجازه دادن به پورت UDP 1701 (L2TP) اضافه کنید.
-
در صورت نیاز، قوانین را برای اجازه دادن به ترافیک از زیرشبکه VPN برای دسترسی به منابع در شبکه خود اضافه کنید.
گام 5: تست اتصال VPN
پس از اتمام پیکربندی، اتصال VPN را از یک دستگاه کلاینت تست کنید:
-
در ویندوز:
- به Settings → Network & Internet → VPN بروید.
- روی "Add a VPN connection" کلیک کنید.
- VPN Provider: Windows (built-in)
- Connection name: MikroTik L2TP
- Server name or address: IP عمومی یا DDNS MikroTik شما
- VPN type: L2TP/IPsec with pre-shared key
- Pre-shared key: YourStrongSecretKey (همان کلیدی که پیکربندی کردید)
- Username and password: اعتبارنامههایی که در PPP secrets ایجاد کردید.
-
در Android/iOS:
- به Settings → VPN بروید.
- یک اتصال VPN جدید اضافه کنید.
- L2TP/IPsec را انتخاب کنید.
- IP عمومی یا DDNS MikroTik خود را وارد کنید.
- کلید از پیش مشترک، نام کاربری و رمز عبور را وارد کنید.
پرسش و پاسخ کوتاه
چرا اتصال VPN L2TP/IPsec من برقرار نمیشود؟
مشکلات رایج شامل کلید از پیش مشترک اشتباه، مسدود کردن پورتهای VPN توسط فایروال، مشکلات NAT، یا تنظیمات رمزنگاری ناسازگار است. برای عیبیابی مشکل، گزارشهای روتر خود را در System → Logs برای پیامهای خطای خاص بررسی کنید.
روتر میکروتیک من چند کاربر همزمان L2TP/IPsec VPN را میتواند پشتیبانی کند؟
این به قابلیتهای سختافزاری روتر شما بستگی دارد. مدلهای ابتدایی ممکن است 5-10 کاربر همزمان را مدیریت کنند، در حالی که مدلهای پیشرفته مانند سری CCR میتوانند دهها یا حتی صدها اتصال را پشتیبانی کنند. به دلیل سربار رمزنگاری، استفاده از CPU عامل اصلی محدودکننده است.
بخش 4: راهاندازی سرور OpenVPN
OpenVPN یک راهحل VPN بسیار قابل پیکربندی و امن است که به خوبی در پلتفرمهای مختلف کار میکند. راهاندازی آن در MikroTik نیاز به ایجاد گواهینامهها و پیکربندی صحیح سرور دارد. بیایید این فرآیند را گام به گام بررسی کنیم.
گام 1: ایجاد گواهینامهها
OpenVPN از گواهینامهها برای احراز هویت استفاده میکند. ما باید یک مرجع گواهینامه (CA)، یک گواهینامه سرور و گواهینامههای کلاینت ایجاد کنیم:
-
به System → Certificates بروید.
-
ابتدا، یک مرجع گواهینامه (CA) ایجاد کنید:
- روی دکمه Add کلیک کنید.
- Name (نام): CA
- Common Name (نام مشترک): MikroTik-CA
- Key Size (اندازه کلید): 2048
- Days Valid (روزهای اعتبار): 3650 (10 سال)
- Key Usage (کاربرد کلید): crl sign, key cert sign را علامت بزنید.
- روی Apply، سپس Sign کلیک کنید.
- در پنجره جدید، CA را به عنوان Certificate انتخاب کرده و روی Sign کلیک کنید.
-
یک گواهینامه سرور ایجاد کنید:
- روی دکمه Add کلیک کنید.
- Name (نام): Server
- Common Name (نام مشترک): MikroTik-Server
- Key Size (اندازه کلید): 2048
- Days Valid (روزهای اعتبار): 3650
- Key Usage (کاربرد کلید): digital signature, key encipherment, tls server را علامت بزنید.
- روی Apply، سپس Sign کلیک کنید.
- در پنجره جدید، CA را به عنوان Certificate Authority انتخاب کرده و روی Sign کلیک کنید.
-
یک گواهینامه کلاینت ایجاد کنید:
- روی دکمه Add کلیک کنید.
- Name (نام): Client1
- Common Name (نام مشترک): Client1
- Key Size (اندازه کلید): 2048
- Days Valid (روزهای اعتبار): 3650
- Key Usage (کاربرد کلید): tls client را علامت بزنید.
- روی Apply، سپس Sign کلیک کنید.
- در پنجره جدید، CA را به عنوان Certificate Authority انتخاب کرده و روی Sign کلیک کنید.
- این مرحله را برای کلاینتهای اضافی در صورت نیاز تکرار کنید.
گام 2: پیکربندی سرور OpenVPN
حالا، بیایید سرور OpenVPN را راهاندازی کنیم:
- در منوی سمت چپ به PPP بروید.
- به تب Profiles بروید.
- روی دکمه + کلیک کنید تا یک پروفایل جدید اضافه کنید.
- تنظیمات زیر را پیکربندی کنید:
- Name (نام): OVPN-Profile
- Local Address (آدرس محلی): IP روتر را برای استفاده از VPN مشخص کنید (مثلاً 10.1.0.1)
- Remote Address (آدرس راه دور): استخر IP برای کلاینتها را مشخص کنید (مثلاً 10.1.0.2-10.1.0.254)
- DNS Server (سرور DNS): سرورهای DNS ترجیحی شما
- Use Encryption (استفاده از رمزنگاری): yes
- برای ذخیره پروفایل، روی OK کلیک کنید.
در مرحله بعد، سرور OpenVPN را راهاندازی کنید:
- در منوی سمت چپ به PPP بروید.
- روی تب Interface کلیک کنید.
- روی دکمه OVPN Server کلیک کنید.
- تنظیمات زیر را پیکربندی کنید:
- Enabled (فعال): yes
- Port (پورت): 1194
- Mode (حالت): ip
- Protocol (پروتکل): tcp
- Netmask (نتمسک): 24
- Max MTU (حداکثر MTU): 1500
- Default Profile (پروفایل پیشفرض): OVPN-Profile
- Certificate (گواهینامه): Server (گواهینامه سروری که ایجاد کردیم)
- Auth (احراز هویت): sha1
- Cipher (رمزنگاری): aes256
- Require Client Certificate (نیاز به گواهینامه کلاینت): yes
- برای ذخیره، روی OK کلیک کنید.
گام 3: پیکربندی قوانین فایروال
برای اجازه دادن به ترافیک OpenVPN از طریق فایروال شما:
-
به IP → Firewall → Filter Rules بروید.
-
یک قانون برای اجازه دادن به ترافیک OpenVPN اضافه کنید:
- روی دکمه + کلیک کنید.
- Chain (زنجیره): input
- Protocol (پروتکل): tcp
- Dst. Port (پورت مقصد): 1194
- Action (اقدام): accept
- یک کامنت مانند "Allow OpenVPN" اضافه کنید.
- برای ذخیره، روی OK کلیک کنید.
-
در صورت نیاز، قوانین را برای اجازه دادن به ترافیک از زیرشبکه VPN برای دسترسی به منابع در شبکه خود اضافه کنید.
گام 4: استخراج گواهینامههای کلاینت و ایجاد پیکربندی کلاینت
برای اتصال کلاینتها به سرور OpenVPN خود، باید گواهینامهها را استخراج کرده و یک فایل پیکربندی کلاینت ایجاد کنید:
-
گواهینامه CA را استخراج کنید:
- به System → Certificates بروید.
- گواهینامه CA را انتخاب کنید.
- روی Export کلیک کنید.
- Export Type (نوع استخراج): PEM را انتخاب کنید.
- روی Export کلیک کرده و فایل را به عنوان
ca.crt
ذخیره کنید.
-
گواهینامه و کلید کلاینت را استخراج کنید:
- گواهینامه Client1 را انتخاب کنید.
- روی Export کلیک کنید.
- Export Type (نوع استخراج): PEM را انتخاب کنید.
- روی Export کلیک کرده و فایل را به عنوان
client1.crt
ذخیره کنید. - دوباره روی Export کلیک کنید.
- Export Type (نوع استخراج): key را انتخاب کنید.
- اگر میخواهید کلید را با رمز عبور محافظت کنید، Export Passphrase (رمز عبور استخراج) را وارد کنید.
- روی Export کلیک کرده و فایل را به عنوان
client1.key
ذخیره کنید.
-
یک فایل پیکربندی کلاینت (
client.ovpn
) با محتوای زیر ایجاد کنید:
client
dev tun
proto tcp
remote your-mikrotik-public-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-256-CBC
auth SHA1
verb 3
key-direction 1
<ca>
# محتوای فایل ca.crt را اینجا جایگذاری کنید
</ca>
<cert>
# محتوای فایل client1.crt را اینجا جایگذاری کنید
</cert>
<key>
# محتوای فایل client1.key را اینجا جایگذاری کنید
</key>
گام 5: اتصال کلاینتها به OpenVPN
اکنون میتوانید از فایل پیکربندی کلاینت برای اتصال به سرور OpenVPN خود استفاده کنید:
-
در ویندوز:
- کلاینت OpenVPN را نصب کنید (از openvpn.net).
- فایل
client.ovpn
را در مسیرC:\Program Files\OpenVPN\config\
کپی کنید. - روی آیکون OpenVPN GUI در نوار وظیفه کلیک راست کرده و "Connect" را انتخاب کنید.
-
در macOS:
- Tunnelblick را نصب کنید (از tunnelblick.net).
- فایل
client.ovpn
را وارد کنید. - با استفاده از منوی Tunnelblick متصل شوید.
-
در لینوکس:
- کلاینت OpenVPN را نصب کنید (
sudo apt install openvpn
در دبیان/اوبونتو). sudo openvpn --config client.ovpn
را اجرا کنید.
- کلاینت OpenVPN را نصب کنید (
-
در Android/iOS:
- برنامه OpenVPN Connect را نصب کنید.
- فایل
client.ovpn
را وارد کنید. - با استفاده از برنامه متصل شوید.
پرسش و پاسخ کوتاه
چگونه میتوانم مشکلات اتصال OpenVPN را عیبیابی کنم؟
گزارشهای هم در سرور (System → Logs) و هم در سمت کلاینت را بررسی کنید. مشکلات رایج شامل مسائل گواهینامه، مسدود شدن توسط فایروال، یا مشکلات مسیریابی است. با تنظیم "verb 5" در فایل پیکربندی برای جزئیات بیشتر، ثبت جزئیات را در سمت کلاینت فعال کنید.
آیا میتوانم به جای TCP از UDP برای OpenVPN استفاده کنم؟
بله، UDP اغلب برای عملکرد بهتر ترجیح داده میشود. برای استفاده از UDP، تنظیم پروتکل را هم در پیکربندی سرور و هم در فایل پیکربندی کلاینت تغییر دهید. UDP به طور کلی سریعتر است اما ممکن است در اتصالات ناپایدار کمتر قابل اعتماد باشد.
بخش 5: راهاندازی VPN WireGuard (RouterOS v7+)
WireGuard یک پروتکل VPN مدرن است که به دلیل سادگی، عملکرد بالا و امنیت قوی خود شناخته شده است. این پروتکل در RouterOS نسخه 7 و بالاتر در دسترس است. بیایید یک سرور VPN WireGuard را روی روتر MikroTik شما راهاندازی کنیم.
گام 1: ایجاد رابط WireGuard
ابتدا، بیایید رابط WireGuard را روی روتر MikroTik شما ایجاد کنیم:
- در منوی سمت چپ به WireGuard بروید (یا در نسخههای قدیمیتر v7 به Interface → WireGuard).
- روی دکمه + کلیک کنید تا یک رابط جدید اضافه کنید.
- تنظیمات زیر را پیکربندی کنید:
- Name (نام): wireguard1
- Listen Port (پورت گوش دادن): 13231 (یا هر پورت دیگری به انتخاب شما)
- MTU (MTU): 1420
- برای ایجاد رابط، روی OK کلیک کنید.
- پس از ایجاد، Public Key (کلید عمومی) تولید شده را یادداشت کنید - این کلید را برای پیکربندی کلاینت نیاز خواهید داشت.
گام 2: پیکربندی آدرس IP برای رابط WireGuard
یک آدرس IP به رابط WireGuard اختصاص دهید:
- به IP → Addresses بروید.
- روی دکمه + کلیک کنید تا یک آدرس جدید اضافه کنید.
- تنظیمات زیر را پیکربندی کنید:
- Address (آدرس): 10.10.10.1/24 (این زیرشبکه VPN خواهد بود)
- Interface (رابط): wireguard1
- برای ذخیره، روی OK کلیک کنید.
گام 3: افزودن همتایان WireGuard (کلاینتها)
برای هر کلاینتی که به VPN WireGuard شما متصل خواهد شد:
- ابتدا، یک جفت کلید روی دستگاه کلاینت ایجاد کنید (در گام 5 نحوه انجام این کار را نشان خواهیم داد).
- در روتر MikroTik خود، در منوی سمت چپ به WireGuard بروید.
- روی تب Peers کلیک کنید.
- روی دکمه + کلیک کنید تا یک همتا جدید اضافه کنید.
- تنظیمات زیر را پیکربندی کنید:
- Interface (رابط): wireguard1
- Public Key (کلید عمومی): (کلید عمومی کلاینت را اینجا بچسبانید)
- Allowed Address (آدرس مجاز): 10.10.10.2/32 (آدرس IP که میخواهید به این کلاینت اختصاص دهید)
- Persistent Keepalive (حفظ اتصال مداوم): 25 (برای گذر از NAT کمک میکند)
- برای ذخیره، روی OK کلیک کنید.
- برای کلاینتهای اضافی، آدرس IP را افزایش دهید (10.10.10.3/32، و غیره).
گام 4: پیکربندی قوانین فایروال
برای اجازه دادن به ترافیک WireGuard از طریق فایروال شما:
-
به IP → Firewall → Filter Rules بروید.
-
یک قانون برای اجازه دادن به ترافیک WireGuard اضافه کنید:
- روی دکمه + کلیک کنید.
- Chain (زنجیره): input
- Protocol (پروتکل): udp
- Dst. Port (پورت مقصد): 13231 (پورتی که برای WireGuard پیکربندی کردید)
- Action (اقدام): accept
- یک کامنت مانند "Allow WireGuard" اضافه کنید.
- برای ذخیره، روی OK کلیک کنید.
-
در صورت نیاز، قوانین را برای اجازه دادن به ترافیک از زیرشبکه WireGuard برای دسترسی به منابع در شبکه خود اضافه کنید.
-
اختیاراً، یک قانون masquerade برای اجازه دادن به کلاینتهای VPN برای دسترسی به اینترنت از طریق VPN اضافه کنید:
- به IP → Firewall → NAT بروید.
- روی دکمه + کلیک کنید.
- Chain (زنجیره): srcnat
- Src. Address (آدرس مبدأ): 10.10.10.0/24
- Action (اقدام): masquerade
- یک کامنت مانند "Masquerade WireGuard clients" اضافه کنید.
- برای ذخیره، روی OK کلیک کنید.
گام 5: پیکربندی کلاینتهای WireGuard
حالا، بیایید یک کلاینت را برای اتصال به VPN WireGuard شما راهاندازی کنیم:
برای ویندوز:
- WireGuard را از wireguard.com دانلود و نصب کنید.
- برنامه WireGuard را باز کنید.
- روی "Add Empty Tunnel..." کلیک کنید.
- یک جفت کلید جدید ایجاد کنید (این به صورت خودکار انجام میشود).
- کلاینت را با الگوی زیر پیکربندی کنید:
[Interface]
PrivateKey = (کلید خصوصی کلاینت)
Address = 10.10.10.2/24
DNS = 8.8.8.8, 8.8.4.4
[Peer]
PublicKey = (کلید عمومی رابط WireGuard میکروتیک شما)
AllowedIPs = 0.0.0.0/0
Endpoint = your-mikrotik-public-ip:13231
PersistentKeepalive = 25
- روی "Save" و سپس "Activate" کلیک کنید تا متصل شوید.
برای Android/iOS:
- برنامه WireGuard را از App Store دانلود و نصب کنید.
- روی دکمه + ضربه بزنید و "Create from scratch" را انتخاب کنید.
- یک نام برای VPN وارد کنید.
- با استفاده از همان الگوی بالا پیکربندی کنید.
- روی "Save" ضربه بزنید و سپس روی کلید سوئیچ ضربه بزنید تا متصل شوید.
برای لینوکس:
- WireGuard را نصب کنید (
sudo apt install wireguard
در دبیان/اوبونتو). - کلیدها را ایجاد کنید:
wg genkey | tee privatekey | wg pubkey > publickey
- یک فایل پیکربندی در
/etc/wireguard/wg0.conf
با استفاده از الگوی بالا ایجاد کنید. - با
sudo wg-quick up wg0
متصل شوید.
گام 6: تست اتصال
پس از راهاندازی سرور و کلاینت:
- اتصال WireGuard را روی دستگاه کلاینت خود فعال کنید.
- قابلیت اتصال را با پینگ کردن آدرس IP رابط WireGuard در MikroTik خود (10.10.10.1) تأیید کنید.
- سعی کنید به منابع دیگر در شبکه خود دسترسی پیدا کنید.
- وضعیت WireGuard را در MikroTik خود با رفتن به WireGuard و بررسی تب Peers بررسی کنید.
پرسش و پاسخ کوتاه
آیا WireGuard امنتر از OpenVPN یا IPsec است؟
WireGuard از رمزنگاری مدرن با کدبیس بسیار کوچکتر از OpenVPN یا IPsec استفاده میکند، که به طور بالقوه به معنای آسیبپذیریهای امنیتی کمتر است. با این حال، هر سه پروتکل در صورت پیکربندی صحیح، امن در نظر گرفته میشوند. مزایای اصلی WireGuard سادگی و عملکرد آن است.
روتر میکروتیک من چند همتا WireGuard را میتواند پشتیبانی کند؟
این به قابلیتهای سختافزاری روتر شما بستگی دارد. WireGuard بسیار کارآمد است، بنابراین حتی روترهای MikroTik سطح ابتدایی نیز میتوانند دهها همتا را مدیریت کنند. مدلهای پیشرفته میتوانند صدها اتصال را با حداقل تأثیر بر عملکرد پشتیبانی کنند.
بخش 6: راهاندازی VPN سایت به سایت با IPsec
IPsec یک انتخاب عالی برای برقراری اتصالات VPN امن سایت به سایت بین دفاتر شعبه یا بین دفتر اصلی و یک محیط ابری است. در این بخش، ما یک VPN سایت به سایت را بین دو روتر MikroTik با استفاده از IPsec پیکربندی خواهیم کرد.
گام 1: برنامهریزی توپولوژی شبکه شما
قبل از پیکربندی IPsec، توپولوژی شبکه خود را برنامهریزی کنید:
سایت A (دفتر مرکزی):
- آدرس IP عمومی: 203.0.113.1 (با IP عمومی واقعی خود جایگزین کنید)
- شبکه محلی: 192.168.1.0/24
- روتر میکروتیک: 192.168.1.1
سایت B (دفتر شعبه):
- آدرس IP عمومی: 203.0.113.2 (با IP عمومی واقعی خود جایگزین کنید)
- شبکه محلی: 192.168.2.0/24
- روتر میکروتیک: 192.168.2.1
گام 2: پیکربندی IPsec در سایت A (دفتر مرکزی)
-
ایجاد پروفایل IPsec:
- به IP → IPsec → Profiles بروید.
- روی دکمه + کلیک کنید تا یک پروفایل جدید اضافه کنید.
- تنظیمات زیر را پیکربندی کنید:
- Name (نام): site-to-site
- Hash Algorithms (الگوریتمهای هش): sha256
- Encryption Algorithms (الگوریتمهای رمزنگاری): aes-256-cbc
- DH Group (گروه DH): modp2048
- برای ذخیره، روی OK کلیک کنید.
-
ایجاد پیشنهاد IPsec:
- به IP → IPsec → Proposals بروید.
- روی دکمه + کلیک کنید تا یک پیشنهاد جدید اضافه کنید.
- تنظیمات زیر را پیکربندی کنید:
- Name (نام): site-to-site-proposal
- Auth Algorithms (الگوریتمهای احراز هویت): sha256
- Encr Algorithms (الگوریتمهای رمزنگاری): aes-256-cbc
- PFS Group (گروه PFS): modp2048
- برای ذخیره، روی OK کلیک کنید.
-
ایجاد همتای IPsec:
- به IP → IPsec → Peers بروید.
- روی دکمه + کلیک کنید تا یک همتا جدید اضافه کنید.
- تنظیمات زیر را پیکربندی کنید:
- Name (نام): site-b-peer
- Address (آدرس): 203.0.113.2 (آدرس IP عمومی سایت B)
- Profile (پروفایل): site-to-site
- Exchange Mode (حالت تبادل): main
- Send Initial Contact (ارسال تماس اولیه): yes
- Nat Traversal (گذر از NAT): yes
- Pre-shared Key (کلید از پیش مشترک): YourStrongSecretKey (از یک کلید قوی و منحصر به فرد استفاده کنید)
- برای ذخیره، روی OK کلیک کنید.
-
ایجاد خط مشی IPsec:
- به IP → IPsec → Policies بروید.
- روی دکمه + کلیک کنید تا یک خط مشی جدید اضافه کنید.
- تنظیمات زیر را پیکربندی کنید:
- Src. Address (آدرس مبدأ): 192.168.1.0/24 (شبکه محلی سایت A)
- Dst. Address (آدرس مقصد): 192.168.2.0/24 (شبکه محلی سایت B)
- Protocol (پروتکل): all
- Action (اقدام): encrypt
- Level (سطح): require
- IPsec Protocols (پروتکلهای IPsec): esp
- Tunnel (تونل): yes
- SA Src. Address (آدرس مبدأ SA): 203.0.113.1 (آدرس IP عمومی سایت A)
- SA Dst. Address (آدرس مقصد SA): 203.0.113.2 (آدرس IP عمومی سایت B)
- Proposal (پیشنهاد): site-to-site-proposal
- برای ذخیره، روی OK کلیک کنید.
گام 3: پیکربندی IPsec در سایت B (دفتر شعبه)
همین مراحل را در روتر MikroTik سایت B تکرار کنید، اما آدرسهای مبدأ و مقصد را برعکس کنید:
-
ایجاد پروفایل IPsec (مشابه سایت A)
-
ایجاد پیشنهاد IPsec (مشابه سایت A)
-
ایجاد همتای IPsec:
- با آدرس IP عمومی سایت A پیکربندی کنید (203.0.113.1).
- از همان کلید از پیش مشترک سایت A استفاده کنید.
-
ایجاد خط مشی IPsec:
- Src. Address (آدرس مبدأ): 192.168.2.0/24 (شبکه محلی سایت B)
- Dst. Address (آدرس مقصد): 192.168.1.0/24 (شبکه محلی سایت A)
- SA Src. Address (آدرس مبدأ SA): 203.0.113.2 (آدرس IP عمومی سایت B)
- SA Dst. Address (آدرس مقصد SA): 203.0.113.1 (آدرس IP عمومی سایت A)
- سایر تنظیمات مشابه سایت A.
گام 4: پیکربندی قوانین فایروال در هر دو سایت
در هر دو روتر MikroTik، قوانین فایروال را برای اجازه دادن به ترافیک IPsec اضافه کنید:
-
به IP → Firewall → Filter Rules بروید.
-
قوانین را برای اجازه دادن به ترافیک IPsec اضافه کنید:
- یک قانون برای اجازه دادن به پورت UDP 500 (IKE) اضافه کنید.
- یک قانون برای اجازه دادن به پورت UDP 4500 (IPsec NAT-T) اضافه کنید.
- یک قانون برای اجازه دادن به پروتکل IP 50 (ESP) اضافه کنید.
- یک قانون برای اجازه دادن به پروتکل IP 51 (AH) اضافه کنید.
-
اطمینان حاصل کنید که ترافیک بین شبکههای محلی در قوانین فایروال شما مجاز است.
گام 5: پیکربندی مسیریابی (در صورت نیاز)
اگر شبکههای پیچیدهتری با چندین زیرشبکه در هر دو سایت دارید، ممکن است نیاز به اضافه کردن مسیرهای ثابت (static routes) داشته باشید:
- به IP → Routes بروید.
- روی دکمه + کلیک کنید تا یک مسیر جدید اضافه کنید.
- مسیر را به شبکه راه دور از طریق تونل IPsec پیکربندی کنید.
- برای هر زیرشبکه اضافی که نیاز به برقراری ارتباط از طریق تونل دارد، تکرار کنید.
گام 6: تست اتصال
پس از اتمام پیکربندی در هر دو سایت:
-
وضعیت IPsec را با رفتن به IP → IPsec → Active Peers بررسی کنید.
- باید یک اتصال برقرار شده بین دو سایت مشاهده کنید.
-
قابلیت اتصال را با پینگ کردن دستگاهها در سراسر تونل تست کنید:
- از یک دستگاه در شبکه سایت A، یک دستگاه در شبکه سایت B را پینگ کنید.
- از یک دستگاه در شبکه سایت B، یک دستگاه در شبکه سایت A را پینگ کنید.
-
اگر پینگها موفقیتآمیز بودند، سعی کنید به سرویسهای دیگر در سراسر تونل دسترسی پیدا کنید.
گام 7: نظارت و عیبیابی
برای نظارت و عیبیابی تونل IPsec خود:
-
آمار IPsec را بررسی کنید:
- به IP → IPsec → Statistics بروید.
- به دنبال Security Associations (SAs) فعال بگردید.
-
گزارشها را برای پیامهای مرتبط با IPsec مشاهده کنید:
- به System → Logs بروید.
- ورودیهای مرتبط با IPsec را فیلتر کنید.
-
از ابزار ping با گزینههای مسیریابی برای تست تونل استفاده کنید:
- به Tools → Ping بروید.
- IP یک دستگاه در سایت راه دور را وارد کنید.
- Src. Address (آدرس مبدأ) را به IP رابط محلی خود تنظیم کنید.
پرسش و پاسخ کوتاه
اگر تونل IPsec برقرار نشد، چه کاری باید انجام دهم؟
قوانین فایروال در هر دو طرف را بررسی کنید تا اطمینان حاصل شود که ترافیک IPsec مجاز است. تأیید کنید که کلیدهای از پیش مشترک دقیقاً مطابقت دارند. اگر هر یک از روترها پشت دستگاه NAT دیگری هستند، مشکلات NAT را بررسی کنید. گزارشها را برای پیامهای خطای خاص بررسی کنید.
چگونه میتوانم تأیید کنم که ترافیک واقعاً از طریق تونل IPsec عبور میکند؟
از صفحه IP → IPsec → Statistics استفاده کنید تا ببینید آیا بستهها رمزنگاری و رمزگشایی میشوند. همچنین میتوانید از ابزار Torch (Tools → Torch) برای نظارت بر ترافیک در اینترفیسهای خود استفاده کنید و ببینید آیا بستهها از طریق اینترفیس IPsec عبور میکنند.
بخش 7: پیکربندیهای پیشرفته VPN و بهترین شیوهها
اکنون که راهاندازیهای اولیه VPN را پوشش دادیم، بیایید برخی از پیکربندیهای پیشرفته و بهترین شیوهها را برای افزایش امنیت، عملکرد و قابلیت مدیریت استقرارهای VPN MikroTik شما بررسی کنیم.
پیادهسازی تونلینگ تقسیم شده (Split Tunneling)
تونلینگ تقسیم شده به کلاینتهای VPN اجازه میدهد تا هم به شبکه راه دور و هم به اینترنت مستقیماً دسترسی داشته باشند، که عملکرد را برای ترافیک اینترنتی بهبود میبخشد:
-
برای OpenVPN:
- در فایل پیکربندی کلاینت، دستور
redirect-gateway
را تغییر دهید یا از عباراتroute
خاص استفاده کنید. - مثال:
route 192.168.1.0 255.255.255.0
(فقط ترافیک به شبکه 192.168.1.0/24 را از طریق VPN مسیریابی میکند)
- در فایل پیکربندی کلاینت، دستور
-
برای WireGuard:
- در پیکربندی کلاینت، تنظیم
AllowedIPs
را تغییر دهید. - به جای
0.0.0.0/0
(که همه ترافیک را مسیریابی میکند)، از شبکههای خاص استفاده کنید: - مثال:
AllowedIPs = 10.10.10.0/24, 192.168.1.0/24
- در پیکربندی کلاینت، تنظیم
-
برای L2TP/IPsec:
- در کلاینتهای ویندوز، خصوصیات اتصال VPN را ویرایش کنید.
- به Networking → IPv4 → Properties → Advanced بروید.
- تیک "Use default gateway on remote network" را بردارید.
پیادهسازی احراز هویت دو مرحلهای
امنیت را با احراز هویت دو مرحلهای افزایش دهید:
-
احراز هویت RADIUS:
- یک سرور RADIUS راهاندازی کنید (میتوانید از پکیج User Manager MikroTik استفاده کنید).
- سرور VPN خود را برای استفاده از RADIUS پیکربندی کنید:
- در منوی سمت چپ به Radius بروید.
- یک کلاینت RADIUS جدید برای سرویس VPN خود اضافه کنید.
- در تنظیمات سرور VPN خود، احراز هویت RADIUS را فعال کنید.
-
احراز هویت با گواهینامه + رمز عبور:
- برای OpenVPN، هم گواهینامه و هم نام کاربری/رمز عبور را الزامی کنید:
- در پیکربندی سرور، اسکریپت
auth-user-pass-verify
را تنظیم کنید. - اطمینان حاصل کنید که
client-cert-not-required
تنظیم نشده باشد.
- در پیکربندی سرور، اسکریپت
- برای OpenVPN، هم گواهینامه و هم نام کاربری/رمز عبور را الزامی کنید:
-
رمزهای عبور یکبار مصرف مبتنی بر زمان (TOTP):
- پکیج TOTP را روی MikroTik خود نصب کنید.
- کاربران را با TOTP secrets پیکربندی کنید.
- احراز هویت خود را طوری تنظیم کنید که کدهای TOTP را الزامی کند.
بهینهسازی عملکرد VPN
عملکرد VPN را با این تنظیمات دقیق بهبود بخشید:
-
تنظیمات MTU را تنظیم کنید:
- MTU بهینه را برای اتصال خود با استفاده از تستهای پینگ با پرچم "don't fragment" پیدا کنید.
- MTU مناسب را روی رابط VPN خود تنظیم کنید.
- برای OpenVPN، مقادیر معمول 1400-1450 هستند.
- برای WireGuard، 1420 اغلب بهینه است.
-
شتابدهی سختافزاری را فعال کنید:
- اگر مدل MikroTik شما از رمزنگاری سختافزاری پشتیبانی میکند:
- به System → Resources بروید.
- بررسی کنید که آیا رمزنگاری سختافزاری در دسترس و فعال است.
- برای IPsec، به IP → IPsec → Settings بروید و شتابدهی سختافزاری را فعال کنید.
- اگر مدل MikroTik شما از رمزنگاری سختافزاری پشتیبانی میکند:
-
پروتکلهای کارآمد را انتخاب کنید:
- در صورت امکان از UDP به جای TCP برای OpenVPN استفاده کنید.
- برای عملکرد بهتر در RouterOS v7+، WireGuard را در نظر بگیرید.
- از الگوریتمهای رمزنگاری مدرن که از شتابدهی سختافزاری پشتیبانی میکنند، استفاده کنید.
پیادهسازی Failover و Load Balancing
برای اتصالات VPN حیاتی، Failover یا Load Balancing را پیادهسازی کنید:
-
Failover دو WAN:
- چندین اتصال WAN را روی MikroTik خود پیکربندی کنید.
- مسیریابی Failover را با استفاده از routing marks و policy-based routing راهاندازی کنید.
- VPN خود را طوری پیکربندی کنید که در صورت قطع شدن اتصال اصلی، به طور خودکار دوباره متصل شود.
-
تکرارپذیری VPN سایت به سایت:
- چندین تونل بین سایتها را با استفاده از اتصالات WAN مختلف راهاندازی کنید.
- از معیارهای مسیریابی برای اولویتبندی تونل اصلی استفاده کنید.
- پروتکلهای مسیریابی دینامیک (OSPF یا BGP) را بر روی تونلهای VPN برای Failover خودکار پیکربندی کنید.
-
توازن بار (Load Balancing):
- برای چندین کاربر دسترسی از راه دور، آنها را بین چندین سرور VPN توزیع کنید.
- از DNS round-robin یا یک Load Balancer برای توزیع درخواستهای اتصال استفاده کنید.
نظارت و ثبت اتصالات VPN
نظارت جامع بر سرویسهای VPN خود را راهاندازی کنید:
-
پیکربندی ثبت جزئیات:
- به System → Logging بروید.
- یک اقدام ثبت جدید برای رویدادهای مرتبط با VPN اضافه کنید.
- موضوعات مناسب (مثلاً ppp, ipsec, ovpn) را تنظیم کنید.
-
راهاندازی نظارت SNMP:
- به IP → SNMP بروید.
- سرویس SNMP را فعال کنید.
- Community strings و Access lists را پیکربندی کنید.
- از یک ابزار نظارت SNMP برای ردیابی اتصالات و عملکرد VPN استفاده کنید.
-
ایجاد اسکریپتهای ردیابی اتصال:
- از اسکریپتنویسی RouterOS برای ردیابی اتصالات VPN استفاده کنید.
- هشدارهای ایمیلی را برای تلاشهای اتصال ناموفق یا قطع شدن تونل تنظیم کنید.
- مثال اسکریپت برای نظارت بر وضعیت تونل IPsec و ارسال هشدارها:
/system script
add name="monitor-ipsec" source={
:if ([/ip ipsec policy find where dst-address="192.168.2.0/24" and invalid=yes] != "") do={
/tool e-mail send to="[email protected]" subject="IPsec Tunnel Down" body="The IPsec tunnel to Branch Office is down."
}
}
/system scheduler
add interval=5m name="check-ipsec" on-event=monitor-ipsec start-time=startup
پرسش و پاسخ کوتاه
چگونه میتوانم مدیریت از راه دور روتر میکروتیک خود را از طریق VPN به صورت امن فعال کنم؟
یک پروفایل VPN جداگانه به طور خاص برای دسترسی مدیریتی با تنظیمات امنیتی سختگیرانهتر ایجاد کنید. از قوانین فایروال برای اجازه دادن فقط به دسترسی مدیریتی (Winbox، SSH، WebFig) از زیرشبکه VPN استفاده کنید. پیادهسازی IP-based access lists و احراز هویت دو مرحلهای را برای امنیت بیشتر در نظر بگیرید.
بهترین راه برای مدیریت آدرسهای IP دینامیک برای VPNهای سایت به سایت چیست؟
از سرویسهای DNS پویا برای ردیابی آدرسهای IP متغیر استفاده کنید. IPsec یا OpenVPN خود را طوری پیکربندی کنید که به جای آدرسهای IP از نامهای هاست استفاده کند. برای IPsec، ممکن است نیاز به استفاده از یک اسکریپت برای بهروزرسانی آدرسهای همتا (peer addresses) هنگام تغییر آنها داشته باشید. به طور جایگزین، استفاده از ویژگی "mode-config" RouterOS برای IPsec را برای مدیریت آدرسدهی پویا در نظر بگیرید.
نتیجهگیری
راهاندازی VPN روی روتر MikroTik شما دسترسی از راه دور امنی را به منابع شبکه شما فراهم میکند و اتصال امن سایت به سایت را بین چندین مکان امکانپذیر میسازد. در این راهنمای جامع، گزینههای مختلف پیادهسازی VPN، از L2TP/IPsec سازگار با گستره وسیع دستگاهها تا پروتکل WireGuard مدرن و کارآمد را پوشش دادیم.
ما فرآیند گام به گام پیکربندی هر نوع VPN، شامل گواهینامههای لازم، تنظیمات رمزنگاری، قوانین فایروال و پیکربندیهای کلاینت را بررسی کردیم. همچنین پیکربندیهای پیشرفتهای مانند Split Tunneling، احراز هویت دو مرحلهای و تکنیکهای بهینهسازی عملکرد را برای کمک به شما در ساخت یک زیرساخت VPN قوی و امن، مورد بحث قرار دادیم.
روترهای MikroTik انعطافپذیری فوقالعاده و قابلیتهای VPN قدرتمندی را با کسری از هزینه بسیاری از راهحلهای سازمانی ارائه میدهند. با دنبال کردن دستورالعملهای این راهنما، میتوانید از این قابلیتها برای ایجاد اتصالات امنی استفاده کنید که از دادههای شما محافظت کرده و دسترسی یکپارچه از راه دور به منابع شبکه شما را امکانپذیر میسازند.
به یاد داشته باشید که امنیت یک فرآیند مداوم است، نه یک راهاندازی یکباره. به طور منظم فریمور RouterOS خود را بهروزرسانی کنید، پیکربندیهای VPN خود را بازبینی کنید، گزارشها را برای فعالیتهای غیرعادی نظارت کنید و تنظیمات امنیتی خود را در صورت نیاز برای حفظ یک وضعیت امنیتی قوی تنظیم کنید.
برای راهحلهای VPN تخصصی متناسب با نیازهای خاص شما، پیشنهادات سرور MikroTik TildaVPS را در نظر بگیرید، که سختافزار بهینه و محیطهای از پیش پیکربندی شده را برای اجرای سرویسهای VPN قوی با حداقل زمان راهاندازی فراهم میکند.
پرسشهای متداول (FAQ)
کدام پروتکل VPN را باید برای روتر میکروتیک خود انتخاب کنم؟
بهترین پروتکل به نیازهای خاص شما بستگی دارد. L2TP/IPsec سازگاری گستردهای با اکثر دستگاهها ارائه میدهد. OpenVPN تعادل خوبی بین امنیت و انعطافپذیری فراهم میکند. WireGuard (موجود در RouterOS v7+) بهترین عملکرد و سادگی را ارائه میدهد. برای اتصالات سایت به سایت بین دفاتر شعبه، IPsec به دلیل امنیت قوی و پذیرش گسترده سازمانی معمولاً انتخاب ارجح است.
چگونه مشکلات اتصال VPN را در میکروتیک عیبیابی کنم؟
با بررسی گزارشها (System → Logs) برای پیامهای خطای خاص شروع کنید. تأیید کنید که قوانین فایروال شما ترافیک VPN را در پورتهای مناسب مجاز میکنند. برای VPNهای مبتنی بر گواهینامه مانند OpenVPN، اطمینان حاصل کنید که گواهینامهها به درستی امضا شده و منقضی نشدهاند. قابلیت اتصال را با استفاده از ping و traceroute تست کنید تا مشخص کنید اتصال در کجا با شکست مواجه میشود. برای IPsec، بررسی کنید که آیا security associations (SAs) با نگاه کردن به IP → IPsec → Active Peers برقرار شدهاند یا خیر.
آیا میتوانم چندین سرور VPN را روی یک روتر میکروتیک اجرا کنم؟
بله، میتوانید چندین پروتکل VPN را به طور همزمان روی یک روتر MikroTik اجرا کنید. به عنوان مثال، میتوانید L2TP/IPsec را برای کلاینتهای موبایل، OpenVPN را برای کارمندان از راه دور و IPsec را برای اتصالات سایت به سایت داشته باشید. فقط اطمینان حاصل کنید که هر سرویس از پورت متفاوتی استفاده میکند و قوانین فایروال مناسبی دارد. به قابلیتهای سختافزاری روتر خود توجه داشته باشید، زیرا اجرای چندین سرویس VPN با تعداد زیادی کلاینت میتواند CPU-intensive باشد.
چگونه میتوانم امنیت VPN را در روتر میکروتیک خود بهبود بخشم؟
امنیت VPN را با استفاده از الگوریتمهای رمزنگاری قوی (AES-256)، پیادهسازی احراز هویت دو مرحلهای، چرخش منظم کلیدهای از پیش مشترک و رمزهای عبور، استفاده از احراز هویت مبتنی بر گواهینامه در صورت امکان، پیادهسازی قوانین فایروال سختگیرانه برای محدود کردن دسترسی فقط به منابع ضروری، و بهروز نگه داشتن RouterOS خود به آخرین نسخه پایدار برای رفع آسیبپذیریهای امنیتی، افزایش دهید.
روتر میکروتیک من چند کاربر همزمان VPN را میتواند پشتیبانی کند؟
این به مشخصات سختافزاری روتر شما، به ویژه قدرت CPU و RAM موجود بستگی دارد. مدلهای ابتدایی مانند سری hAP ممکن است 5-10 کاربر همزمان را مدیریت کنند، مدلهای میانرده مانند RB4011 میتوانند 20-30 کاربر را پشتیبانی کنند، در حالی که مدلهای پیشرفته مانند سری CCR میتوانند 50+ اتصال همزمان را مدیریت کنند. WireGuard تمایل دارد کارآمدتر از OpenVPN یا IPsec باشد و امکان اتصالات همزمان بیشتری را با همان سختافزار فراهم میکند.
آیا میتوانم از دستگاههای موبایل به VPN میکروتیک خود دسترسی پیدا کنم؟
بله، تمام پروتکلهای VPN مورد بحث در این راهنما میتوانند از دستگاههای موبایل استفاده شوند. L2TP/IPsec و IKEv2 پشتیبانی بومی در iOS و Android دارند. برای OpenVPN، میتوانید از برنامه رسمی OpenVPN Connect استفاده کنید. WireGuard برنامههای موبایل عالی برای هر دو پلتفرم دارد. هنگام راهاندازی VPN برای دستگاههای موبایل، Split Tunneling را برای بهینهسازی عمر باتری و مصرف داده در نظر بگیرید.
چگونه یک سرور VPN را روی میکروتیک راهاندازی کنم که در کشورهایی با محدودیتهای اینترنتی کار کند؟
در محیطهای محدودکننده، پورتهای استاندارد VPN اغلب مسدود میشوند. VPN خود را طوری پیکربندی کنید که از پورتهای رایج مانند 443 (HTTPS) یا 53 (DNS) که به ندرت مسدود میشوند، استفاده کند. برای OpenVPN، از TCP به جای UDP استفاده کنید زیرا تشخیص آن دشوارتر است. پیادهسازی تکنیکهای مبهمسازی مانند stunnel یا obfsproxy برای پنهان کردن ترافیک VPN را در نظر بگیرید. WireGuard را میتوان طوری پیکربندی کرد که روی هر پورتی اجرا شود، که آن را برای دور زدن محدودیتها انعطافپذیر میکند.
تفاوت بین VPN دسترسی از راه دور و VPN سایت به سایت چیست؟
VPN دسترسی از راه دور کاربران فردی را به یک شبکه متصل میکند و به آنها اجازه میدهد به منابع دسترسی پیدا کنند، گویی که از لحاظ فیزیکی در آن مکان حضور دارند. این برای کارمندان از راه دور یا دسترسی به شبکه خانگی شما در حین سفر ایدهآل است. VPN سایت به سایت کل شبکهها را به هم متصل میکند و به تمام دستگاههای هر مکان اجازه میدهد با یکدیگر ارتباط برقرار کنند. این معمولاً برای اتصال دفاتر شعبه به دفتر مرکزی یا اتصال به محیطهای ابری استفاده میشود.
چگونه میتوانم نظارت کنم که چه کسی به VPN میکروتیک من متصل است؟
برای نظارت بلادرنگ، اتصالات فعال را در بخش مربوطه VPN (PPP → Active Connections برای L2TP و PPTP، IP → IPsec → Active Peers برای IPsec، Interface → WireGuard → Peers برای WireGuard) بررسی کنید. برای دادههای تاریخی، ثبت (System → Logging) را برای ضبط رویدادهای اتصال پیکربندی کنید. همچنین میتوانید از ابزارهای نظارت SNMP استفاده کنید یا اسکریپتهای سفارشی برای ردیابی اتصالات و تولید گزارشها راهاندازی کنید.
آیا امکان محدود کردن دسترسی VPN به زمانها یا روزهای خاص وجود دارد؟
بله، میتوانید محدودیتهای زمانی را با استفاده از اسکریپتهای زمانبندی (scheduler scripts) یا قوانین فایروال پیادهسازی کنید. قوانین فایروال مبتنی بر زمان را ایجاد کنید که فقط در ساعات خاصی اجازه ترافیک VPN را میدهند. به طور جایگزین، از پروفایلهای کاربری با محدودیتهای زمانی استفاده کنید یا اسکریپتهای سفارشی بنویسید که سرویسهای VPN را طبق یک برنامه زمانی فعال/غیرفعال میکنند. این برای اعمال دسترسی در ساعات کاری یا پیادهسازی پنجرههای نگهداری مفید است.
نکات کلیدی
-
روترهای MikroTik از چندین پروتکل VPN از جمله L2TP/IPsec، OpenVPN، WireGuard و IPsec پشتیبانی میکنند، که به شما انعطافپذیری میدهد تا بهترین راهحل را برای نیازهای خاص خود انتخاب کنید.
-
WireGuard (موجود در RouterOS v7+) بهترین عملکرد و سادگی را ارائه میدهد، در حالی که IPsec امنیت قوی را برای اتصالات سایت به سایت فراهم میکند و L2TP/IPsec گستردهترین سازگاری با دستگاهها را دارد.
-
پیکربندی صحیح فایروال برای امنیت VPN ضروری است - همیشه قوانین خاصی را برای اجازه دادن تنها به ترافیک VPN لازم ایجاد کنید و کنترلهای دسترسی مناسب را برای منابع شبکه خود پیادهسازی کنید.
-
ویژگیهای پیشرفته مانند Split Tunneling، احراز هویت دو مرحلهای و اتصالات اضافی میتوانند امنیت و قابلیت استفاده از پیادهسازی VPN شما را به طور قابل توجهی افزایش دهند.
-
نظارت منظم، ثبت و نگهداری راهاندازی VPN شما برای حفظ امنیت و اطمینان از عملکرد قابل اعتماد در طول زمان حیاتی است.
واژهنامه
IPsec (Internet Protocol Security): مجموعهای از پروتکلها که بستههای IP را برای ارائه ارتباط رمزنگاری شده امن بین دستگاههای شبکه، احراز هویت و رمزنگاری میکند.
L2TP (Layer 2 Tunneling Protocol): یک پروتکل تونلینگ که برای پشتیبانی از VPNها استفاده میشود و اغلب با IPsec برای رمزنگاری ترکیب میشود.
OpenVPN: یک پروتکل VPN متنباز که از SSL/TLS برای تبادل کلید استفاده میکند و میتواند هم روی UDP و هم روی TCP کار کند.
WireGuard: یک پروتکل VPN مدرن، سریعتر و سادهتر که بر عملکرد و سهولت پیادهسازی تمرکز دارد.
Split Tunneling (تونلینگ تقسیم شده): یک ویژگی VPN که به کاربر امکان میدهد از طریق یک اتصال شبکه فیزیکی واحد، به شبکههای مختلف (عمومی و خصوصی) به طور همزمان دسترسی داشته باشد.
Pre-shared Key (PSK) (کلید از پیش مشترک): یک راز مشترک که برای احراز هویت در اتصالات VPN استفاده میشود.
Certificate Authority (CA) (مرجع گواهینامه): یک نهاد که گواهینامههای دیجیتال را صادر میکند، که تأیید میکنند یک کلید عمومی خاص به یک نهاد خاص تعلق دارد.
MTU (Maximum Transmission Unit) (حداکثر واحد انتقال): اندازه بزرگترین واحد داده پروتکل که میتواند در یک تراکنش لایه شبکه واحد ارتباط برقرار کند.
NAT Traversal (گذر از NAT): تکنیکهایی برای برقراری و حفظ اتصالات از طریق ترجمهکنندههای آدرس شبکه (NAT).
Two-factor Authentication (2FA) (احراز هویت دو مرحلهای): یک فرآیند امنیتی که در آن کاربران دو عامل احراز هویت متفاوت را برای تأیید هویت خود ارائه میدهند.