परिचय
वर्चुअल प्राइवेट नेटवर्क (वीपीएन) इंटरनेट कनेक्शन को सुरक्षित करने, रिमोट नेटवर्क तक पहुँचने और संवेदनशील डेटा की सुरक्षा के इच्छुक व्यवसायों और व्यक्तियों के लिए आवश्यक उपकरण बन गए हैं। माइक्रोटिक राउटर, जो अपनी मजबूत विशेषताओं और लागत-प्रभावशीलता के लिए जाने जाते हैं, कई वीपीएन कार्यान्वयन विकल्प प्रदान करते हैं जो विभिन्न सुरक्षा आवश्यकताओं और उपयोग के मामलों को पूरा करते हैं।
इस व्यापक गाइड में, हम आपको अपने माइक्रोटिक राउटर पर विभिन्न वीपीएन समाधान स्थापित करने की प्रक्रिया के बारे में बताएंगे। चाहे आप एक नेटवर्क एडमिनिस्ट्रेटर हों जो सुरक्षित साइट-टू-साइट कनेक्शन स्थापित करना चाहते हैं, या एक व्यक्ति जो अपने घर के नेटवर्क को दूरस्थ रूप से एक्सेस करना चाहते हैं, यह लेख आपको अपने माइक्रोटिक डिवाइस पर वीपीएन सेवाओं को सफलतापूर्वक लागू करने के लिए ज्ञान और चरण-दर-चरण निर्देश प्रदान करेगा। TildaVPS अनुकूलित माइक्रोटिक सर्वर प्रदान करता है जो इस गाइड में चर्चा किए गए वीपीएन समाधानों को लागू करने के लिए एकदम सही हैं, जो आपकी नेटवर्किंग आवश्यकताओं के लिए विश्वसनीय और सुरक्षित कनेक्शन सुनिश्चित करते हैं।
खंड 1: माइक्रोटिक पर वीपीएन प्रकारों को समझना
माइक्रोटिक पर उपलब्ध वीपीएन विकल्प
माइक्रोटिक राउटरओएस कई वीपीएन प्रोटोकॉल का समर्थन करता है, जिनमें से प्रत्येक की अपनी ताकत और आदर्श उपयोग के मामले हैं। कॉन्फ़िगरेशन में जाने से पहले, यह समझना महत्वपूर्ण है कि कौन सा प्रोटोकॉल आपकी आवश्यकताओं के लिए सबसे उपयुक्त है।
ओपनवीपीएन (OpenVPN) एक ओपन-सोर्स वीपीएन प्रोटोकॉल है जो सुरक्षा और प्रदर्शन का अच्छा संतुलन प्रदान करता है। यह कुंजी विनिमय के लिए एसएसएल/टीएलएस (SSL/TLS) का उपयोग करता है और यूडीपी (UDP) और टीसीपी (TCP) दोनों पर काम कर सकता है। ओपनवीपीएन अत्यधिक विन्यास योग्य है और अधिकांश फ़ायरवॉल को बायपास कर सकता है, जिससे यह कई परिदृश्यों के लिए एक बहुमुखी विकल्प बन जाता है।
आईपीएससी (IPsec) (इंटरनेट प्रोटोकॉल सुरक्षा) प्रत्येक आईपी पैकेट को प्रमाणित और एन्क्रिप्ट करके सुरक्षित आईपी संचार प्रदान करता है। यह प्लेटफार्मों पर व्यापक रूप से समर्थित है और इसे अत्यधिक सुरक्षित माना जाता है, जिससे यह शाखा कार्यालयों के बीच साइट-टू-साइट वीपीएन कनेक्शन के लिए आदर्श बन जाता है।
L2TP/IPsec लेयर 2 टनलिंग प्रोटोकॉल को आईपीसेक एन्क्रिप्शन के साथ जोड़ता है। यह प्रोटोकॉल अधिकांश ऑपरेटिंग सिस्टम, जिनमें विंडोज, मैकओएस, आईओएस और एंड्रॉइड शामिल हैं, द्वारा मूल रूप से समर्थित है, जिससे यह रिमोट एक्सेस वीपीएन के लिए सुविधाजनक हो जाता है।
पीपीटीपी (PPTP) (पॉइंट-टू-पॉइंट टनलिंग प्रोटोकॉल) सबसे पुराने वीपीएन प्रोटोकॉल में से एक है। हालांकि इसे सेट अप करना आसान है और यह तेज़ कनेक्शन प्रदान करता है, इसकी सुरक्षा से समझौता किया गया है, जिससे यह केवल गैर-संवेदनशील अनुप्रयोगों के लिए उपयुक्त है जहां सुविधा सुरक्षा चिंताओं से अधिक महत्वपूर्ण है।
एसएसटीपी (SSTP) (सिक्योर सॉकेट टनलिंग प्रोटोकॉल) टीसीपी पोर्ट 443 पर एसएसएल का उपयोग करता है, जिससे यह अधिकांश फ़ायरवॉल और प्रॉक्सी सर्वर से गुजर सकता है। यह अच्छी स्तर की सुरक्षा प्रदान करता है लेकिन मुख्य रूप से विंडोज प्लेटफार्मों पर समर्थित है।
वायरगार्ड (WireGuard) एक नया प्रोटोकॉल है जो अपनी सादगी, उच्च प्रदर्शन और आधुनिक क्रिप्टोग्राफी के लिए जाना जाता है। माइक्रोटिक ने राउटरओएस v7 में वायरगार्ड के लिए समर्थन जोड़ा है, जिससे यह नवीनतम फ़र्मवेयर चलाने वालों के लिए एक उत्कृष्ट विकल्प बन गया है।
माइक्रोटिक पर वीपीएन का उपयोग करने के लाभ
बेहतर सुरक्षा: वीपीएन आपके डेटा को एन्क्रिप्ट करते हैं, इसे छिपकर बातें सुनने और मैन-इन-द-मिडिल हमलों से बचाते हैं, खासकर सार्वजनिक वाई-फाई नेटवर्क का उपयोग करते समय।
रिमोट एक्सेस: दुनिया में कहीं से भी अपने घर या कार्यालय नेटवर्क संसाधनों को सुरक्षित रूप से एक्सेस करें।
साइट-टू-साइट कनेक्टिविटी: इंटरनेट पर कई कार्यालय स्थानों को सुरक्षित रूप से कनेक्ट करें, एक एकीकृत नेटवर्क बनाएं।
भू-प्रतिबंधों को बायपास करें: विभिन्न भौगोलिक स्थानों में वीपीएन सर्वर से जुड़कर क्षेत्र-प्रतिबंधित सामग्री तक पहुंचें।
नेटवर्क सेगमेंटेशन: अपने संगठन के भीतर विभिन्न विभागों या उद्देश्यों के लिए सुरक्षित, अलग-थलग नेटवर्क सेगमेंट बनाएं।
सही वीपीएन प्रोटोकॉल चुनना
आपके माइक्रोटिक सेटअप के लिए सबसे अच्छा वीपीएन प्रोटोकॉल आपकी विशिष्ट आवश्यकताओं पर निर्भर करता है:
- उपकरणों में अधिकतम संगतता के लिए: L2TP/IPsec
- कॉर्पोरेट वातावरण में उच्चतम सुरक्षा के लिए: IPsec
- लचीलेपन और अच्छे सुरक्षा-प्रदर्शन संतुलन के लिए: OpenVPN
- आधुनिक, उच्च-प्रदर्शन आवश्यकताओं के लिए: WireGuard (RouterOS v7+)
- विंडोज क्लाइंट के साथ सरल सेटअप के लिए: SSTP
मिनी-अक्सर पूछे जाने वाले प्रश्न (Mini-FAQ)
माइक्रोटिक पर कौन सा वीपीएन प्रोटोकॉल सबसे अच्छा प्रदर्शन प्रदान करता है?
वायरगार्ड आमतौर पर अपने हल्के डिज़ाइन और कुशल क्रिप्टोग्राफी के कारण सबसे अच्छा प्रदर्शन प्रदान करता है, जिसके बाद यूडीपी के साथ ओपनवीपीएन आता है। हालांकि, प्रदर्शन आपके विशिष्ट हार्डवेयर और नेटवर्क स्थितियों के आधार पर भिन्न हो सकता है।
क्या मैं अपने माइक्रोटिक राउटर पर एक साथ कई वीपीएन प्रोटोकॉल चला सकता हूँ?
हाँ, माइक्रोटिक राउटरओएस आपको एक साथ कई वीपीएन प्रोटोकॉल चलाने की अनुमति देता है। यह विभिन्न क्लाइंट उपकरणों का समर्थन करने या यदि एक प्रोटोकॉल अवरुद्ध हो जाता है तो फॉलबैक विकल्प प्रदान करने के लिए उपयोगी है।
खंड 2: माइक्रोटिक पर वीपीएन सेटअप के लिए आवश्यक शर्तें
हार्डवेयर और सॉफ्टवेयर आवश्यकताएँ
अपने माइक्रोटिक राउटर पर वीपीएन सेट करने से पहले, सुनिश्चित करें कि आपके पास निम्नलिखित आवश्यक शर्तें हैं:
हार्डवेयर आवश्यकताएँ:
- वीपीएन एन्क्रिप्शन/डिक्रिप्शन के लिए पर्याप्त प्रोसेसिंग पावर वाला माइक्रोटिक राउटर। भारी वीपीएन उपयोग के लिए, आरबी4011 (RB4011) या सीसीआर (CCR) श्रृंखला जैसे मल्टी-कोर प्रोसेसर वाले मॉडल पर विचार करें।
- पर्याप्त रैम (कई वीपीएन कनेक्शन के लिए कम से कम 256एमबी (256MB) की सिफारिश की जाती है)
- आपकी वीपीएन आवश्यकताओं के लिए पर्याप्त बैंडविड्थ के साथ स्थिर इंटरनेट कनेक्शन
सॉफ्टवेयर आवश्यकताएँ:
- आपके चुने हुए वीपीएन प्रोटोकॉल के साथ संगत राउटरओएस (RouterOS) संस्करण (v6.45+ अनुशंसित, वायरगार्ड के लिए v7+)
- सुरक्षा पैच लागू हैं यह सुनिश्चित करने के लिए नवीनतम स्थिर रिलीज़ में अपडेट किया गया
- वैध लाइसेंस स्तर जो आपके चुने हुए वीपीएन प्रोटोकॉल का समर्थन करता है (अधिकांश वीपीएन सुविधाओं के लिए कम से कम स्तर 4 की आवश्यकता होती है)
नेटवर्क आवश्यकताएँ:
- सार्वजनिक आईपी पता (स्थिर पसंदीदा) या ठीक से कॉन्फ़िगर की गई डीडीएनएस (DDNS) सेवा
- यदि आपका माइक्रोटिक किसी अन्य राउटर के पीछे है तो उचित पोर्ट फ़ॉरवर्डिंग
- वीपीएन ट्रैफ़िक की अनुमति देने के लिए ठीक से कॉन्फ़िगर किए गए फ़ायरवॉल नियम
प्रारंभिक राउटर कॉन्फ़िगरेशन
वीपीएन लागू करने से पहले, सुनिश्चित करें कि आपके माइक्रोटिक राउटर में एक बुनियादी सुरक्षित कॉन्फ़िगरेशन है:
- राउटरओएस को नवीनतम स्थिर संस्करण में अपडेट करें
- डिफ़ॉल्ट एडमिन पासवर्ड बदलें
- सभी इंटरफेस के लिए उचित आईपी एड्रेसिंग कॉन्फ़िगर करें
- अपने नेटवर्क को सुरक्षित रखने के लिए बुनियादी फ़ायरवॉल नियम सेट करें
- डीएनएस (DNS) सेटिंग्स कॉन्फ़िगर करें
- सुनिश्चित करें कि एनटीपी (NTP) (नेटवर्क टाइम प्रोटोकॉल) ठीक से कॉन्फ़िगर किया गया है, क्योंकि वीपीएन प्रमाणीकरण के लिए सटीक समय महत्वपूर्ण है
अपने वीपीएन कार्यान्वयन की योजना बनाना
अपने वीपीएन परिनियोजन की योजना बनाने में समय लें, इन बातों पर विचार करें:
वीपीएन टोपोलॉजी:
- रिमोट एक्सेस वीपीएन (आपके नेटवर्क से जुड़ने वाले क्लाइंट)
- साइट-टू-साइट वीपीएन (कई नेटवर्क को जोड़ना)
- हब-एंड-स्पोक (कई शाखा कार्यालयों से जुड़ने वाला केंद्रीय स्थल)
- मेश (सभी साइट एक-दूसरे से जुड़ती हैं)
आईपी एड्रेसिंग योजना:
- वीपीएन क्लाइंट के लिए आईपी सबनेट निर्धारित करें
- स्थानीय और दूरस्थ नेटवर्क के बीच कोई आईपी विरोध न हो यह सुनिश्चित करें
- नेटवर्क के बीच उचित रूटिंग की योजना बनाएं
प्रमाणीकरण विधि:
- उपयोगकर्ता नाम/पासवर्ड
- प्रमाणपत्र-आधारित प्रमाणीकरण
- पूर्व-साझा कुंजियाँ
- दो-कारक प्रमाणीकरण
सुरक्षा विचार:
- एन्क्रिप्शन शक्ति आवश्यकताएँ
- ट्रैफ़िक अलगाव की आवश्यकताएँ
- एक्सेस कंट्रोल नीतियां
अपने माइक्रोटिक राउटर तक पहुँचना
अपने माइक्रोटिक राउटर को कॉन्फ़िगर करने के लिए, आपको इन तरीकों में से किसी एक का उपयोग करके उस तक पहुंचने की आवश्यकता होगी:
-
वेबफिग (WebFig) (वेब-आधारित कॉन्फ़िगरेशन इंटरफ़ेस):
- वेब ब्राउज़र के माध्यम से अपने राउटर के आईपी पते से कनेक्ट करें
- अपने क्रेडेंशियल्स के साथ लॉगिन करें
- वीपीएन सेटिंग्स कॉन्फ़िगर करने के लिए मेनू के माध्यम से नेविगेट करें
-
विनबॉक्स (WinBox) (विंडोज जीयूआई (GUI) एप्लिकेशन):
- माइक्रोटिक की वेबसाइट से विनबॉक्स डाउनलोड करें
- आईपी या मैक (MAC) पते के माध्यम से अपने राउटर से कनेक्ट करें
- सेटिंग्स कॉन्फ़िगर करने के लिए ग्राफिकल इंटरफ़ेस का उपयोग करें
-
एसएसएच/टेलनेट (SSH/Telnet) (कमांड-लाइन इंटरफ़ेस):
- पुट्टी (PuTTY) जैसे एसएसएच क्लाइंट का उपयोग करके कनेक्ट करें
- सीधे राउटरओएस सीएलआई (CLI) में कमांड दर्ज करें
- स्क्रिप्टिंग और उन्नत कॉन्फ़िगरेशन के लिए उपयोगी
-
द डूड (The Dude) (नेटवर्क प्रबंधन एप्लिकेशन):
- कई माइक्रोटिक उपकरणों के प्रबंधन के लिए
- आपके इन्फ्रास्ट्रक्चर का नेटवर्क-व्यापी दृश्य प्रदान करता है
मिनी-अक्सर पूछे जाने वाले प्रश्न (Mini-FAQ)
क्या मुझे माइक्रोटिक पर वीपीएन सर्वर सेट करने के लिए एक स्थिर आईपी पते की आवश्यकता है?
जबकि एक स्थिर आईपी आदर्श है, यदि आपके पास डायनामिक आईपी है तो आप no-ip.com या dyn.com जैसी डायनामिक डीएनएस सेवाओं का उपयोग कर सकते हैं। माइक्रोटिक स्क्रिप्ट या अंतर्निहित डीडीएनएस क्लाइंट के माध्यम से स्वचालित डीडीएनएस अपडेट का समर्थन करता है।
माइक्रोटिक पर वीपीएन कार्यक्षमता के लिए मुझे किस लाइसेंस स्तर की आवश्यकता है?
अधिकांश वीपीएन सुविधाओं के लिए कम से कम स्तर 4 लाइसेंस की आवश्यकता होती है। हालांकि, बुनियादी पीपीटीपी और L2TP स्तर 3 से उपलब्ध हैं। उन्नत सुविधाओं और बेहतर प्रदर्शन के लिए, विशेष रूप से एंटरप्राइज़ परिनियोजन के लिए, स्तर 5 या स्तर 6 की सिफारिश की जाती है।
खंड 3: L2TP/IPsec वीपीएन सर्वर सेट करना
L2TP/IPsec सबसे व्यापक रूप से समर्थित वीपीएन प्रोटोकॉल में से एक है, जो इसे विविध क्लाइंट उपकरणों वाले वातावरण के लिए एक उत्कृष्ट विकल्प बनाता है। आइए हम आपके माइक्रोटिक राउटर पर एक L2TP/IPsec वीपीएन सर्वर स्थापित करने की प्रक्रिया के बारे में जानें।
चरण 1: आईपीसेक सेटिंग्स कॉन्फ़िगर करें
सबसे पहले, हमें वीपीएन के आईपीसेक हिस्से को सेट अप करना होगा, जो L2TP टनल के लिए एन्क्रिप्शन प्रदान करता है:
- विनबॉक्स खोलें और अपने माइक्रोटिक राउटर से कनेक्ट करें
- IP → IPsec → Profiles पर नेविगेट करें
- एक नई प्रोफ़ाइल जोड़ने के लिए + बटन पर क्लिक करें
- निम्नलिखित सेटिंग्स कॉन्फ़िगर करें:
- नाम (Name): L2TP-IPsec
- हैश एल्गोरिदम (Hash Algorithms): sha256
- एन्क्रिप्शन एल्गोरिदम (Encryption Algorithms): aes-256-cbc
- डीएच ग्रुप (DH Group): modp2048
- प्रस्ताव जाँच (Proposal Check): obey
- लाइफटाइम (Lifetime): 1d 00:00:00
- प्रोफ़ाइल सहेजने के लिए ओके (OK) पर क्लिक करें
इसके बाद, आईपीसेक प्रस्ताव बनाएँ:
- IP → IPsec → Proposals पर जाएँ
- एक नया प्रस्ताव जोड़ने के लिए + बटन पर क्लिक करें
- निम्नलिखित कॉन्फ़िगर करें:
- प्रमाणीकरण एल्गोरिदम (Auth Algorithms): sha256
- एन्क्रिप्शन एल्गोरिदम (Encr Algorithms): aes-256-cbc
- पीएफएस ग्रुप (PFS Group): modp2048
- सहेजने के लिए ओके (OK) पर क्लिक करें
अब, आईपीसेक पीयर (Peer) सेट करें:
- IP → IPsec → Peers पर जाएँ
- एक नया पीयर जोड़ने के लिए + बटन पर क्लिक करें
- निम्नलिखित कॉन्फ़िगर करें:
- नाम (Name): L2TP-Peer
- पता (Address): 0.0.0.0/0 (किसी भी आईपी से कनेक्शन स्वीकार करने के लिए)
- प्रोफ़ाइल (Profile): L2TP-IPsec (जो प्रोफ़ाइल हमने पहले बनाई थी)
- एक्सचेंज मोड (Exchange Mode): main
- प्रारंभिक संपर्क भेजें (Send Initial Contact): yes
- नेट ट्रैवर्सल (Nat Traversal): yes
- पूर्व-साझा कुंजी (Pre-shared Key): YourStrongSecretKey (एक मजबूत, अद्वितीय कुंजी का उपयोग करें)
- सहेजने के लिए ओके (OK) पर क्लिक करें
चरण 2: L2TP सर्वर कॉन्फ़िगर करें
अब, L2TP सर्वर सेट अप करें:
- बाईं ओर के मेनू में PPP पर नेविगेट करें
- प्रोफ़ाइल (Profiles) टैब पर जाएँ
- एक नई प्रोफ़ाइल जोड़ने के लिए + बटन पर क्लिक करें
- निम्नलिखित कॉन्फ़िगर करें:
- नाम (Name): L2TP-Profile
- स्थानीय पता (Local Address): वीपीएन के लिए उपयोग करने के लिए राउटर का आईपी निर्दिष्ट करें (उदाहरण के लिए, 10.0.0.1)
- दूरस्थ पता (Remote Address): क्लाइंट के लिए आईपी पूल निर्दिष्ट करें (उदाहरण के लिए, 10.0.0.2-10.0.0.254)
- डीएनएस सर्वर (DNS Server): आपके पसंदीदा डीएनएस सर्वर
- एन्क्रिप्शन का उपयोग करें (Use Encryption): yes
- प्रोफ़ाइल सहेजने के लिए ओके (OK) पर क्लिक करें
इसके बाद, L2TP सर्वर सेट अप करें:
- इंटरफ़ेस (Interface) टैब पर जाएँ
- L2TP सर्वर (L2TP Server) पर क्लिक करें
- निम्नलिखित कॉन्फ़िगर करें:
- सक्षम (Enabled): yes
- अधिकतम एमटीयू (Max MTU): 1450
- अधिकतम एमआरयू (Max MRU): 1450
- लाइव टाइमआउट रखें (Keep Alive Timeout): 30
- डिफ़ॉल्ट प्रोफ़ाइल (Default Profile): L2TP-Profile (जो प्रोफ़ाइल हमने बनाई थी)
- प्रमाणीकरण (Authentication): mschap2, mschap1, chap (सर्वोत्तम संगतता के लिए इसी क्रम में)
- आईपीसेक का उपयोग करें (Use IPsec): yes
- आईपीसेक सीक्रेट (IPsec Secret): YourStrongSecretKey (आईपीसेक पीयर कॉन्फ़िगरेशन में जैसा ही)
- सहेजने के लिए ओके (OK) पर क्लिक करें
चरण 3: वीपीएन उपयोगकर्ता बनाएँ
अब, वीपीएन एक्सेस के लिए उपयोगकर्ता खाते बनाएँ:
- बाईं ओर के मेनू में PPP पर जाएँ
- सीक्रेट्स (Secrets) टैब पर क्लिक करें
- एक नया सीक्रेट जोड़ने के लिए + बटन पर क्लिक करें
- निम्नलिखित कॉन्फ़िगर करें:
- नाम (Name): username (वीपीएन उपयोगकर्ता के लिए लॉगिन उपयोगकर्ता नाम)
- पासवर्ड (Password): password (उपयोगकर्ता के लिए एक मजबूत पासवर्ड)
- सेवा (Service): l2tp
- प्रोफ़ाइल (Profile): L2TP-Profile
- सहेजने के लिए ओके (OK) पर क्लिक करें
- आवश्यकतानुसार अतिरिक्त उपयोगकर्ताओं के लिए दोहराएँ
चरण 4: फ़ायरवॉल नियम कॉन्फ़िगर करें
अपने फ़ायरवॉल के माध्यम से वीपीएन ट्रैफ़िक की अनुमति देने के लिए:
-
IP → Firewall → Filter Rules पर नेविगेट करें
-
L2TP और IPsec ट्रैफ़िक की अनुमति देने के लिए नियम जोड़ें:
आईपीसेक के लिए:
- यूडीपी पोर्ट 500 (आईकेई (IKE)) की अनुमति देने के लिए एक नियम जोड़ें
- यूडीपी पोर्ट 4500 (आईपीसेक नेट-टी (NAT-T)) की अनुमति देने के लिए एक नियम जोड़ें
- आईपी प्रोटोकॉल 50 (ईएसपी (ESP)) की अनुमति देने के लिए एक नियम जोड़ें
- आईपी प्रोटोकॉल 51 (एएच (AH)) की अनुमति देने के लिए एक नियम जोड़ें
L2TP के लिए:
- यूडीपी पोर्ट 1701 (L2TP) की अनुमति देने के लिए एक नियम जोड़ें
-
आवश्यकतानुसार वीपीएन सबनेट से आपके नेटवर्क पर संसाधनों तक पहुंचने के लिए ट्रैफ़िक की अनुमति देने के लिए नियम जोड़ें
चरण 5: वीपीएन कनेक्शन का परीक्षण करें
कॉन्फ़िगरेशन पूरा करने के बाद, क्लाइंट डिवाइस से वीपीएन कनेक्शन का परीक्षण करें:
-
विंडोज पर:
- सेटिंग्स → नेटवर्क और इंटरनेट → वीपीएन पर जाएँ
- "एक वीपीएन कनेक्शन जोड़ें" पर क्लिक करें
- वीपीएन प्रदाता: विंडोज (अंतर्निहित)
- कनेक्शन नाम: माइक्रोटिक एल2टीपी (MikroTik L2TP)
- सर्वर नाम या पता: आपके माइक्रोटिक का सार्वजनिक आईपी या डीडीएनएस
- वीपीएन प्रकार: पूर्व-साझा कुंजी के साथ एल2टीपी/आईपीसेक (L2TP/IPsec)
- पूर्व-साझा कुंजी: YourStrongSecretKey (जो आपने कॉन्फ़िगर किया था)
- उपयोगकर्ता नाम और पासवर्ड: जो क्रेडेंशियल आपने पीपीपी सीक्रेट्स में बनाए थे
-
एंड्रॉइड/आईओएस पर:
- सेटिंग्स → वीपीएन पर जाएँ
- एक नया वीपीएन कनेक्शन जोड़ें
- L2TP/IPsec चुनें
- अपने माइक्रोटिक का सार्वजनिक आईपी या डीडीएनएस दर्ज करें
- पूर्व-साझा कुंजी, उपयोगकर्ता नाम और पासवर्ड दर्ज करें
मिनी-अक्सर पूछे जाने वाले प्रश्न (Mini-FAQ)
मेरा L2TP/IPsec वीपीएन कनेक्शन स्थापित क्यों नहीं हो रहा है?
सामान्य समस्याओं में गलत पूर्व-साझा कुंजी, फ़ायरवॉल द्वारा वीपीएन पोर्ट को अवरुद्ध करना, नेट (NAT) समस्याएँ, या असंगत एन्क्रिप्शन सेटिंग्स शामिल हैं। समस्या निवारण के लिए विशिष्ट त्रुटि संदेशों के लिए सिस्टम → लॉग्स (Logs) के तहत अपने राउटर लॉग्स की जाँच करें।
मेरा माइक्रोटिक राउटर कितने समवर्ती L2TP/IPsec वीपीएन उपयोगकर्ताओं का समर्थन कर सकता है?
यह आपके राउटर की हार्डवेयर क्षमताओं पर निर्भर करता है। एंट्री-लेवल मॉडल 5-10 समवर्ती उपयोगकर्ताओं को संभाल सकते हैं, जबकि सीसीआर (CCR) श्रृंखला जैसे हाई-एंड मॉडल दर्जनों या सैकड़ों कनेक्शन का समर्थन कर सकते हैं। सीपीयू (CPU) उपयोग एन्क्रिप्शन ओवरहेड के कारण मुख्य सीमित कारक है।
खंड 4: ओपनवीपीएन सर्वर सेट करना
ओपनवीपीएन एक अत्यधिक विन्यास योग्य और सुरक्षित वीपीएन समाधान है जो विभिन्न प्लेटफार्मों पर अच्छी तरह से काम करता है। माइक्रोटिक पर इसे सेट करने के लिए प्रमाणपत्र बनाने और सर्वर को ठीक से कॉन्फ़िगर करने की आवश्यकता होती है। आइए हम चरण-दर-चरण प्रक्रिया के बारे में जानें।
चरण 1: प्रमाणपत्र बनाएँ
ओपनवीपीएन प्रमाणीकरण के लिए प्रमाणपत्रों का उपयोग करता है। हमें एक प्रमाणपत्र प्राधिकरण (CA), एक सर्वर प्रमाणपत्र और क्लाइंट प्रमाणपत्र बनाने की आवश्यकता होगी:
-
System → Certificates पर नेविगेट करें
-
सबसे पहले, एक प्रमाणपत्र प्राधिकरण (CA) बनाएँ:
- जोड़ें (Add) बटन पर क्लिक करें
- नाम (Name) सेट करें: CA
- सामान्य नाम (Common Name) सेट करें: MikroTik-CA
- कुंजी आकार (Key Size) सेट करें: 2048
- वैध दिन (Days Valid) सेट करें: 3650 (10 वर्ष)
- कुंजी उपयोग (Key Usage) की जाँच करें: crl sign, key cert sign
- लागू करें (Apply) पर क्लिक करें, फिर हस्ताक्षर करें (Sign)
- नए डायलॉग में, प्रमाणपत्र के रूप में CA चुनें और हस्ताक्षर करें (Sign) पर क्लिक करें
-
एक सर्वर प्रमाणपत्र बनाएँ:
- जोड़ें (Add) बटन पर क्लिक करें
- नाम (Name) सेट करें: Server
- सामान्य नाम (Common Name) सेट करें: MikroTik-Server
- कुंजी आकार (Key Size) सेट करें: 2048
- वैध दिन (Days Valid) सेट करें: 3650
- कुंजी उपयोग (Key Usage) की जाँच करें: digital signature, key encipherment, tls server
- लागू करें (Apply) पर क्लिक करें, फिर हस्ताक्षर करें (Sign)
- नए डायलॉग में, प्रमाणपत्र प्राधिकरण के रूप में CA चुनें और हस्ताक्षर करें (Sign) पर क्लिक करें
-
एक क्लाइंट प्रमाणपत्र बनाएँ:
- जोड़ें (Add) बटन पर क्लिक करें
- नाम (Name) सेट करें: Client1
- सामान्य नाम (Common Name) सेट करें: Client1
- कुंजी आकार (Key Size) सेट करें: 2048
- वैध दिन (Days Valid) सेट करें: 3650
- कुंजी उपयोग (Key Usage) की जाँच करें: tls client
- लागू करें (Apply) पर क्लिक करें, फिर हस्ताक्षर करें (Sign)
- नए डायलॉग में, प्रमाणपत्र प्राधिकरण के रूप में CA चुनें और हस्ताक्षर करें (Sign) पर क्लिक करें
- आवश्यकतानुसार अतिरिक्त क्लाइंट के लिए इस चरण को दोहराएँ
चरण 2: ओपनवीपीएन सर्वर कॉन्फ़िगर करें
अब, ओपनवीपीएन सर्वर सेट अप करें:
- बाईं ओर के मेनू में PPP पर नेविगेट करें
- प्रोफ़ाइल (Profiles) टैब पर जाएँ
- एक नई प्रोफ़ाइल जोड़ने के लिए + बटन पर क्लिक करें
- निम्नलिखित कॉन्फ़िगर करें:
- नाम (Name): OVPN-Profile
- स्थानीय पता (Local Address): वीपीएन के लिए उपयोग करने के लिए राउटर का आईपी निर्दिष्ट करें (उदाहरण के लिए, 10.1.0.1)
- दूरस्थ पता (Remote Address): क्लाइंट के लिए आईपी पूल निर्दिष्ट करें (उदाहरण के लिए, 10.1.0.2-10.1.0.254)
- डीएनएस सर्वर (DNS Server): आपके पसंदीदा डीएनएस सर्वर
- एन्क्रिप्शन का उपयोग करें (Use Encryption): yes
- प्रोफ़ाइल सहेजने के लिए ओके (OK) पर क्लिक करें
इसके बाद, ओपनवीपीएन सर्वर सेट अप करें:
- बाईं ओर के मेनू में PPP पर जाएँ
- इंटरफ़ेस (Interface) टैब पर क्लिक करें
- ओवीपीएन सर्वर (OVPN Server) बटन पर क्लिक करें
- निम्नलिखित कॉन्फ़िगर करें:
- सक्षम (Enabled): yes
- पोर्ट (Port): 1194
- मोड (Mode): ip
- प्रोटोकॉल (Protocol): tcp
- नेटमास्क (Netmask): 24
- अधिकतम एमटीयू (Max MTU): 1500
- डिफ़ॉल्ट प्रोफ़ाइल (Default Profile): OVPN-Profile
- प्रमाणपत्र (Certificate): Server (जो सर्वर प्रमाणपत्र हमने बनाया था)
- प्रमाणीकरण (Auth): sha1
- सिफर (Cipher): aes256
- क्लाइंट प्रमाणपत्र की आवश्यकता है (Require Client Certificate): yes
- सहेजने के लिए ओके (OK) पर क्लिक करें
चरण 3: फ़ायरवॉल नियम कॉन्फ़िगर करें
अपने फ़ायरवॉल के माध्यम से ओपनवीपीएन ट्रैफ़िक की अनुमति देने के लिए:
-
IP → Firewall → Filter Rules पर नेविगेट करें
-
ओपनवीपीएन ट्रैफ़िक की अनुमति देने के लिए एक नियम जोड़ें:
- + बटन पर क्लिक करें
- चेन (Chain) सेट करें: input
- प्रोटोकॉल (Protocol) सेट करें: tcp
- डीएसटी. पोर्ट (Dst. Port) सेट करें: 1194
- कार्रवाई (Action) सेट करें: accept
- "Allow OpenVPN" जैसी टिप्पणी जोड़ें
- सहेजने के लिए ओके (OK) पर क्लिक करें
-
आवश्यकतानुसार वीपीएन सबनेट से आपके नेटवर्क पर संसाधनों तक पहुंचने के लिए ट्रैफ़िक की अनुमति देने के लिए नियम जोड़ें
चरण 4: क्लाइंट प्रमाणपत्र निर्यात करें और क्लाइंट कॉन्फ़िगरेशन बनाएँ
क्लाइंट को अपने ओपनवीपीएन सर्वर से कनेक्ट करने के लिए, आपको प्रमाणपत्र निर्यात करने और एक क्लाइंट कॉन्फ़िगरेशन फ़ाइल बनाने की आवश्यकता है:
-
सीए (CA) प्रमाणपत्र निर्यात करें:
- System → Certificates पर जाएँ
- सीए (CA) प्रमाणपत्र चुनें
- निर्यात करें (Export) पर क्लिक करें
- निर्यात प्रकार (Export Type) चुनें: PEM
- निर्यात करें (Export) पर क्लिक करें और फ़ाइल को
ca.crt
के रूप में सहेजें
-
क्लाइंट प्रमाणपत्र और कुंजी निर्यात करें:
- क्लाइंट1 प्रमाणपत्र चुनें
- निर्यात करें (Export) पर क्लिक करें
- निर्यात प्रकार (Export Type) चुनें: PEM
- निर्यात करें (Export) पर क्लिक करें और फ़ाइल को
client1.crt
के रूप में सहेजें - फिर से निर्यात करें (Export) पर क्लिक करें
- निर्यात प्रकार (Export Type) चुनें: key
- यदि आप कुंजी को पासवर्ड से सुरक्षित करना चाहते हैं तो निर्यात पासफ़्रेज़ (Export Passphrase) दर्ज करें
- निर्यात करें (Export) पर क्लिक करें और फ़ाइल को
client1.key
के रूप में सहेजें
-
निम्नलिखित सामग्री के साथ एक क्लाइंट कॉन्फ़िगरेशन फ़ाइल (client.ovpn) बनाएँ:
client
dev tun
proto tcp
remote your-mikrotik-public-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-256-CBC
auth SHA1
verb 3
key-direction 1
<ca>
# Paste the content of ca.crt here
</ca>
<cert>
# Paste the content of client1.crt here
</cert>
<key>
# Paste the content of client1.key here
</key>
चरण 5: क्लाइंट को ओपनवीपीएन से कनेक्ट करें
अब आप अपने ओपनवीपीएन सर्वर से कनेक्ट करने के लिए क्लाइंट कॉन्फ़िगरेशन फ़ाइल का उपयोग कर सकते हैं:
-
विंडोज पर:
- ओपनवीपीएन क्लाइंट (openvpn.net से) स्थापित करें
- client.ovpn फ़ाइल को C:\Program Files\OpenVPN\config\ पर कॉपी करें
- सिस्टम ट्रे में ओपनवीपीएन जीयूआई (GUI) आइकन पर राइट-क्लिक करें और "कनेक्ट करें" चुनें
-
मैकओएस (macOS) पर:
- टनलब्लिक (Tunnelblick) (tunnelblick.net से) स्थापित करें
- client.ovpn फ़ाइल आयात करें
- टनलब्लिक मेनू का उपयोग करके कनेक्ट करें
-
लिनक्स (Linux) पर:
- ओपनवीपीएन क्लाइंट स्थापित करें (
sudo apt install openvpn
डेबियन/उबंटू पर) sudo openvpn --config client.ovpn
चलाएँ
- ओपनवीपीएन क्लाइंट स्थापित करें (
-
एंड्रॉइड/आईओएस पर:
- ओपनवीपीएन कनेक्ट ऐप स्थापित करें
- client.ovpn फ़ाइल आयात करें
- ऐप का उपयोग करके कनेक्ट करें
मिनी-अक्सर पूछे जाने वाले प्रश्न (Mini-FAQ)
मैं ओपनवीपीएन कनेक्शन समस्याओं का निवारण कैसे करूँ?
सर्वर (सिस्टम → लॉग्स (Logs)) और क्लाइंट दोनों तरफ के लॉग्स की जाँच करें। सामान्य समस्याओं में प्रमाणपत्र समस्याएँ, फ़ायरवॉल ब्लॉक, या रूटिंग समस्याएँ शामिल हैं। अधिक विस्तृत लॉग्स के लिए कॉन्फ़िगरेशन फ़ाइल में "verb 5" सेट करके क्लाइंट साइड पर वर्बोस लॉगिंग सक्षम करें।
क्या मैं ओपनवीपीएन के लिए टीसीपी के बजाय यूडीपी का उपयोग कर सकता हूँ?
हाँ, बेहतर प्रदर्शन के लिए यूडीपी को अक्सर प्राथमिकता दी जाती है। यूडीपी का उपयोग करने के लिए, सर्वर कॉन्फ़िगरेशन और क्लाइंट कॉन्फ़िगरेशन फ़ाइल दोनों में प्रोटोकॉल सेटिंग बदलें। यूडीपी आमतौर पर तेज़ होता है लेकिन अस्थिर कनेक्शन पर कम विश्वसनीय हो सकता है।
खंड 5: वायरगार्ड वीपीएन सेट करना (राउटरओएस v7+)
वायरगार्ड एक आधुनिक वीपीएन प्रोटोकॉल है जो अपनी सादगी, उच्च प्रदर्शन और मजबूत सुरक्षा के लिए जाना जाता है। यह राउटरओएस संस्करण 7 और बाद के संस्करणों में उपलब्ध है। आइए हम आपके माइक्रोटिक राउटर पर एक वायरगार्ड वीपीएन सर्वर सेट करें।
चरण 1: वायरगार्ड इंटरफ़ेस बनाएँ
सबसे पहले, आइए हम आपके माइक्रोटिक राउटर पर वायरगार्ड इंटरफ़ेस बनाएँ:
- बाईं ओर के मेनू में WireGuard पर नेविगेट करें (या पुराने v7 संस्करणों में Interface → WireGuard पर)
- एक नया इंटरफ़ेस जोड़ने के लिए + बटन पर क्लिक करें
- निम्नलिखित कॉन्फ़िगर करें:
- नाम (Name): wireguard1
- लिसन पोर्ट (Listen Port): 13231 (या आपकी पसंद का कोई अन्य पोर्ट)
- एमटीयू (MTU): 1420
- इंटरफ़ेस बनाने के लिए ओके (OK) पर क्लिक करें
- बनाने के बाद, जेनरेट की गई पब्लिक की (Public Key) को नोट कर लें - आपको क्लाइंट कॉन्फ़िगरेशन के लिए इसकी आवश्यकता होगी
चरण 2: वायरगार्ड इंटरफ़ेस के लिए आईपी पता कॉन्फ़िगर करें
वायरगार्ड इंटरफ़ेस को एक आईपी पता असाइन करें:
- IP → Addresses पर जाएँ
- एक नया पता जोड़ने के लिए + बटन पर क्लिक करें
- निम्नलिखित कॉन्फ़िगर करें:
- पता (Address): 10.10.10.1/24 (यह वीपीएन सबनेट होगा)
- इंटरफ़ेस (Interface): wireguard1
- सहेजने के लिए ओके (OK) पर क्लिक करें
चरण 3: वायरगार्ड पीयर (क्लाइंट) जोड़ें
प्रत्येक क्लाइंट के लिए जो आपके वायरगार्ड वीपीएन से कनेक्ट होगा:
- सबसे पहले, क्लाइंट डिवाइस पर एक कुंजी जोड़ी (key pair) जेनरेट करें (हम इसे चरण 5 में दिखाएंगे)
- अपने माइक्रोटिक राउटर में, बाईं ओर के मेनू में WireGuard पर जाएँ
- पीयर (Peers) टैब पर क्लिक करें
- एक नया पीयर जोड़ने के लिए + बटन पर क्लिक करें
- निम्नलिखित कॉन्फ़िगर करें:
- इंटरफ़ेस (Interface): wireguard1
- पब्लिक की (Public Key): (क्लाइंट की पब्लिक की यहाँ पेस्ट करें)
- अनुमत पता (Allowed Address): 10.10.10.2/32 (वह आईपी पता जिसे आप इस क्लाइंट को असाइन करना चाहते हैं)
- लगातार कीपअलाइव (Persistent Keepalive): 25 (नेट ट्रैवर्सल में मदद करता है)
- सहेजने के लिए ओके (OK) पर क्लिक करें
- अतिरिक्त क्लाइंट के लिए दोहराएँ, आईपी पते को बढ़ाते हुए (10.10.10.3/32, आदि)
चरण 4: फ़ायरवॉल नियम कॉन्फ़िगर करें
अपने फ़ायरवॉल के माध्यम से वायरगार्ड ट्रैफ़िक की अनुमति देने के लिए:
-
IP → Firewall → Filter Rules पर नेविगेट करें
-
वायरगार्ड ट्रैफ़िक की अनुमति देने के लिए एक नियम जोड़ें:
- + बटन पर क्लिक करें
- चेन (Chain) सेट करें: input
- प्रोटोकॉल (Protocol) सेट करें: udp
- डीएसटी. पोर्ट (Dst. Port) सेट करें: 13231 (वह पोर्ट जो आपने वायरगार्ड के लिए कॉन्फ़िगर किया था)
- कार्रवाई (Action) सेट करें: accept
- "Allow WireGuard" जैसी टिप्पणी जोड़ें
- सहेजने के लिए ओके (OK) पर क्लिक करें
-
आवश्यकतानुसार वायरगार्ड सबनेट से आपके नेटवर्क पर संसाधनों तक पहुंचने के लिए ट्रैफ़िक की अनुमति देने के लिए नियम जोड़ें
-
वैकल्पिक रूप से, वीपीएन क्लाइंट को वीपीएन के माध्यम से इंटरनेट तक पहुंचने की अनुमति देने के लिए मास्करेड (masquerade) नियम जोड़ें:
- IP → Firewall → NAT पर जाएँ
- + बटन पर क्लिक करें
- चेन (Chain) सेट करें: srcnat
- स्रोत. पता (Src. Address) सेट करें: 10.10.10.0/24
- कार्रवाई (Action) सेट करें: masquerade
- "Masquerade WireGuard clients" जैसी टिप्पणी जोड़ें
- सहेजने के लिए ओके (OK) पर क्लिक करें
चरण 5: वायरगार्ड क्लाइंट कॉन्फ़िगर करें
अब, आइए हम आपके वायरगार्ड वीपीएन से कनेक्ट करने के लिए एक क्लाइंट सेट अप करें:
विंडोज के लिए:
- wireguard.com से वायरगार्ड डाउनलोड और इंस्टॉल करें
- वायरगार्ड एप्लिकेशन खोलें
- "खाली टनल जोड़ें..." पर क्लिक करें
- एक नई कुंजी जोड़ी (key pair) जेनरेट करें (यह स्वचालित रूप से होता है)
- निम्नलिखित टेम्पलेट के साथ क्लाइंट कॉन्फ़िगर करें:
[Interface]
PrivateKey = (क्लाइंट की प्राइवेट की)
Address = 10.10.10.2/24
DNS = 8.8.8.8, 8.8.4.4
[Peer]
PublicKey = (आपके माइक्रोटिक वायरगार्ड इंटरफ़ेस की पब्लिक की)
AllowedIPs = 0.0.0.0/0
Endpoint = आपके-माइक्रोटिक-सार्वजनिक-आईपी:13231
PersistentKeepalive = 25
- "सहेजें" पर क्लिक करें और फिर कनेक्ट करने के लिए "सक्रिय करें" पर क्लिक करें
एंड्रॉइड/आईओएस के लिए:
- ऐप स्टोर से वायरगार्ड ऐप इंस्टॉल करें
-
- बटन पर टैप करें और "शुरू से बनाएँ" चुनें
- वीपीएन के लिए एक नाम दर्ज करें
- ऊपर दिए गए टेम्पलेट का उपयोग करके कॉन्फ़िगर करें
- "सहेजें" पर टैप करें और फिर कनेक्ट करने के लिए टॉगल पर टैप करें
लिनक्स के लिए:
- वायरगार्ड स्थापित करें (
sudo apt install wireguard
डेबियन/उबंटू पर) - कुंजियाँ जेनरेट करें:
wg genkey | tee privatekey | wg pubkey > publickey
- ऊपर दिए गए टेम्पलेट का उपयोग करके
/etc/wireguard/wg0.conf
पर एक कॉन्फ़िगरेशन फ़ाइल बनाएँ sudo wg-quick up wg0
से कनेक्ट करें
चरण 6: कनेक्शन का परीक्षण करें
सर्वर और क्लाइंट दोनों को सेट करने के बाद:
- अपने क्लाइंट डिवाइस पर वायरगार्ड कनेक्शन सक्रिय करें
- अपने माइक्रोटिक पर वायरगार्ड इंटरफ़ेस आईपी (10.10.10.1) को पिंग करके कनेक्टिविटी सत्यापित करें
- अपने नेटवर्क पर अन्य संसाधनों तक पहुंचने का प्रयास करें
- WireGuard पर जाकर और Peers टैब में देखकर अपने माइक्रोटिक पर वायरगार्ड स्थिति की जाँच करें
मिनी-अक्सर पूछे जाने वाले प्रश्न (Mini-FAQ)
क्या वायरगार्ड ओपनवीपीएन या आईपीसेक से अधिक सुरक्षित है?
वायरगार्ड ओपनवीपीएन या आईपीसेक की तुलना में बहुत छोटे कोडबेस के साथ आधुनिक क्रिप्टोग्राफी का उपयोग करता है, जिसका संभावित अर्थ है कम सुरक्षा कमजोरियां। हालांकि, तीनों प्रोटोकॉल को ठीक से कॉन्फ़िगर किए जाने पर सुरक्षित माना जाता है। वायरगार्ड के मुख्य लाभ इसकी सादगी और प्रदर्शन हैं।
मेरा माइक्रोटिक राउटर कितने वायरगार्ड पीयर का समर्थन कर सकता है?
यह आपके राउटर की हार्डवेयर क्षमताओं पर निर्भर करता है। वायरगार्ड बहुत कुशल है, इसलिए एंट्री-लेवल माइक्रोटिक राउटर भी दर्जनों पीयर को संभाल सकते हैं। हाई-एंड मॉडल न्यूनतम प्रदर्शन प्रभाव के साथ सैकड़ों कनेक्शन का समर्थन कर सकते हैं।
खंड 6: आईपीसेक के साथ साइट-टू-साइट वीपीएन सेट करना
आईपीसेक शाखा कार्यालयों के बीच या आपके मुख्य कार्यालय और क्लाउड वातावरण के बीच सुरक्षित साइट-टू-साइट वीपीएन कनेक्शन स्थापित करने के लिए एक उत्कृष्ट विकल्प है। इस खंड में, हम आईपीसेक का उपयोग करके दो माइक्रोटिक राउटर के बीच एक साइट-टू-साइट वीपीएन कॉन्फ़िगर करेंगे।
चरण 1: अपने नेटवर्क टोपोलॉजी की योजना बनाएँ
आईपीसेक कॉन्फ़िगर करने से पहले, अपने नेटवर्क टोपोलॉजी की योजना बनाएँ:
साइट ए (मुख्य कार्यालय):
- सार्वजनिक आईपी: 203.0.113.1 (अपने वास्तविक सार्वजनिक आईपी से बदलें)
- स्थानीय नेटवर्क: 192.168.1.0/24
- माइक्रोटिक राउटर: 192.168.1.1
साइट बी (शाखा कार्यालय):
- सार्वजनिक आईपी: 203.0.113.2 (अपने वास्तविक सार्वजनिक आईपी से बदलें)
- स्थानीय नेटवर्क: 192.168.2.0/24
- माइक्रोटिक राउटर: 192.168.2.1
चरण 2: साइट ए (मुख्य कार्यालय) पर आईपीसेक कॉन्फ़िगर करें
-
आईपीसेक प्रोफ़ाइल बनाएँ:
- IP → IPsec → Profiles पर नेविगेट करें
- एक नई प्रोफ़ाइल जोड़ने के लिए + बटन पर क्लिक करें
- निम्नलिखित कॉन्फ़िगर करें:
- नाम (Name): site-to-site
- हैश एल्गोरिदम (Hash Algorithms): sha256
- एन्क्रिप्शन एल्गोरिदम (Encryption Algorithms): aes-256-cbc
- डीएच ग्रुप (DH Group): modp2048
- सहेजने के लिए ओके (OK) पर क्लिक करें
-
आईपीसेक प्रस्ताव बनाएँ:
- IP → IPsec → Proposals पर जाएँ
- एक नया प्रस्ताव जोड़ने के लिए + बटन पर क्लिक करें
- निम्नलिखित कॉन्फ़िगर करें:
- नाम (Name): site-to-site-proposal
- प्रमाणीकरण एल्गोरिदम (Auth Algorithms): sha256
- एन्क्रिप्शन एल्गोरिदम (Encr Algorithms): aes-256-cbc
- पीएफएस ग्रुप (PFS Group): modp2048
- सहेजने के लिए ओके (OK) पर क्लिक करें
-
आईपीसेक पीयर बनाएँ:
- IP → IPsec → Peers पर जाएँ
- एक नया पीयर जोड़ने के लिए + बटन पर क्लिक करें
- निम्नलिखित कॉन्फ़िगर करें:
- नाम (Name): site-b-peer
- पता (Address): 203.0.113.2 (साइट बी का सार्वजनिक आईपी)
- प्रोफ़ाइल (Profile): site-to-site
- एक्सचेंज मोड (Exchange Mode): main
- प्रारंभिक संपर्क भेजें (Send Initial Contact): yes
- नेट ट्रैवर्सल (Nat Traversal): yes
- पूर्व-साझा कुंजी (Pre-shared Key): YourStrongSecretKey (एक मजबूत, अद्वितीय कुंजी का उपयोग करें)
- सहेजने के लिए ओके (OK) पर क्लिक करें
-
आईपीसेक पॉलिसी बनाएँ:
- IP → IPsec → Policies पर जाएँ
- एक नई पॉलिसी जोड़ने के लिए + बटन पर क्लिक करें
- निम्नलिखित कॉन्फ़िगर करें:
- स्रोत. पता (Src. Address): 192.168.1.0/24 (साइट ए का स्थानीय नेटवर्क)
- डीएसटी. पता (Dst. Address): 192.168.2.0/24 (साइट बी का स्थानीय नेटवर्क)
- प्रोटोकॉल (Protocol): all
- कार्रवाई (Action): encrypt
- स्तर (Level): require
- आईपीसेक प्रोटोकॉल (IPsec Protocols): esp
- टनल (Tunnel): yes
- एसए स्रोत. पता (SA Src. Address): 203.0.113.1 (साइट ए का सार्वजनिक आईपी)
- एसए डीएसटी. पता (SA Dst. Address): 203.0.113.2 (साइट बी का सार्वजनिक आईपी)
- प्रस्ताव (Proposal): site-to-site-proposal
- सहेजने के लिए ओके (OK) पर क्लिक करें
चरण 3: साइट बी (शाखा कार्यालय) पर आईपीसेक कॉन्फ़िगर करें
साइट बी के माइक्रोटिक राउटर पर उन्हीं चरणों को दोहराएँ, लेकिन स्रोत और गंतव्य पतों को उलट दें:
-
आईपीसेक प्रोफ़ाइल बनाएँ (साइट ए के समान)
-
आईपीसेक प्रस्ताव बनाएँ (साइट ए के समान)
-
आईपीसेक पीयर बनाएँ:
- साइट ए के सार्वजनिक आईपी (203.0.113.1) के साथ कॉन्फ़िगर करें
- साइट ए के समान पूर्व-साझा कुंजी का उपयोग करें
-
आईपीसेक पॉलिसी बनाएँ:
- स्रोत. पता (Src. Address): 192.168.2.0/24 (साइट बी का स्थानीय नेटवर्क)
- डीएसटी. पता (Dst. Address): 192.168.1.0/24 (साइट ए का स्थानीय नेटवर्क)
- एसए स्रोत. पता (SA Src. Address): 203.0.113.2 (साइट बी का सार्वजनिक आईपी)
- एसए डीएसटी. पता (SA Dst. Address): 203.0.113.1 (साइट ए का सार्वजनिक आईपी)
- अन्य सेटिंग्स साइट ए के समान
चरण 4: दोनों साइटों पर फ़ायरवॉल नियम कॉन्फ़िगर करें
दोनों माइक्रोटिक राउटर पर, आईपीसेक ट्रैफ़िक की अनुमति देने के लिए फ़ायरवॉल नियम जोड़ें:
-
IP → Firewall → Filter Rules पर नेविगेट करें
-
आईपीसेक ट्रैफ़िक की अनुमति देने के लिए नियम जोड़ें:
- यूडीपी पोर्ट 500 (आईकेई (IKE)) की अनुमति देने के लिए एक नियम जोड़ें
- यूडीपी पोर्ट 4500 (आईपीसेक नेट-टी (NAT-T)) की अनुमति देने के लिए एक नियम जोड़ें
- आईपी प्रोटोकॉल 50 (ईएसपी (ESP)) की अनुमति देने के लिए एक नियम जोड़ें
- आईपी प्रोटोकॉल 51 (एएच (AH)) की अनुमति देने के लिए एक नियम जोड़ें
-
सुनिश्चित करें कि स्थानीय नेटवर्क के बीच ट्रैफ़िक आपके फ़ायरवॉल नियमों में अनुमत है
चरण 5: रूटिंग कॉन्फ़िगर करें (यदि आवश्यक हो)
यदि आपके पास किसी भी साइट पर कई सबनेट के साथ अधिक जटिल नेटवर्क हैं, तो आपको स्टैटिक रूट जोड़ने की आवश्यकता हो सकती है:
- IP → Routes पर नेविगेट करें
- एक नया रूट जोड़ने के लिए + बटन पर क्लिक करें
- आईपीसेक टनल के माध्यम से दूरस्थ नेटवर्क के लिए रूट कॉन्फ़िगर करें
- टनल के माध्यम से संचार करने की आवश्यकता वाले किसी भी अतिरिक्त सबनेट के लिए दोहराएँ
चरण 6: कनेक्शन का परीक्षण करें
दोनों साइटों पर कॉन्फ़िगरेशन पूरा करने के बाद:
-
IP → IPsec → Active Peers पर जाकर आईपीसेक स्थिति की जाँच करें
- आपको दोनों साइटों के बीच एक स्थापित कनेक्शन देखना चाहिए
-
टनल के पार उपकरणों को पिंग करके कनेक्टिविटी का परीक्षण करें:
- साइट ए के नेटवर्क में एक डिवाइस से, साइट बी के नेटवर्क में एक डिवाइस को पिंग करें
- साइट बी के नेटवर्क में एक डिवाइस से, साइट ए के नेटवर्क में एक डिवाइस को पिंग करें
-
यदि पिंग सफल होते हैं, तो टनल के पार अन्य सेवाओं तक पहुंचने का प्रयास करें
चरण 7: मॉनिटर और समस्या निवारण
अपने आईपीसेक टनल को मॉनिटर और समस्या निवारण करने के लिए:
-
आईपीसेक आँकड़े जाँचें:
- IP → IPsec → Statistics पर जाएँ
- सक्रिय सुरक्षा संघों (SAs) की तलाश करें
-
आईपीसेक-संबंधी संदेशों के लिए लॉग देखें:
- System → Logs पर जाएँ
- आईपीसेक-संबंधी प्रविष्टियों के लिए फ़िल्टर करें
-
टनल का परीक्षण करने के लिए रूटिंग विकल्पों के साथ पिंग टूल का उपयोग करें:
- Tools → Ping पर जाएँ
- दूरस्थ साइट पर एक डिवाइस का आईपी दर्ज करें
- स्रोत. पता (Src. Address) को अपने स्थानीय इंटरफ़ेस आईपी पर सेट करें
मिनी-अक्सर पूछे जाने वाले प्रश्न (Mini-FAQ)
यदि आईपीसेक टनल स्थापित नहीं होता है तो मुझे क्या करना चाहिए?
आईपीसेक ट्रैफ़िक की अनुमति है यह सुनिश्चित करने के लिए दोनों तरफ के फ़ायरवॉल नियमों की जाँच करें। सत्यापित करें कि पूर्व-साझा कुंजियाँ बिल्कुल मेल खाती हैं। यदि कोई भी राउटर किसी अन्य नेट (NAT) डिवाइस के पीछे है तो नेट (NAT) समस्याओं की जाँच करें। विशिष्ट त्रुटि संदेशों के लिए लॉग्स की समीक्षा करें।
मैं यह कैसे सत्यापित कर सकता हूँ कि ट्रैफ़िक वास्तव में आईपीसेक टनल के माध्यम से जा रहा है?
पैकेट एन्क्रिप्ट और डिक्रिप्ट हो रहे हैं या नहीं यह देखने के लिए IP → IPsec → Statistics पेज का उपयोग करें। आप अपने इंटरफेस पर ट्रैफ़िक की निगरानी करने और यह देखने के लिए टॉर्च (Torch) टूल (Tools → Torch) का भी उपयोग कर सकते हैं कि पैकेट आईपीसेक इंटरफेस के माध्यम से प्रवाहित हो रहे हैं या नहीं।
खंड 7: उन्नत वीपीएन कॉन्फ़िगरेशन और सर्वोत्तम अभ्यास
अब जब हमने बुनियादी वीपीएन सेटअप को कवर कर लिया है, तो आइए हम आपके माइक्रोटिक वीपीएन परिनियोजन की सुरक्षा, प्रदर्शन और प्रबंधन क्षमता को बढ़ाने के लिए कुछ उन्नत कॉन्फ़िगरेशन और सर्वोत्तम प्रथाओं का पता लगाएं।
स्प्लिट टनलिंग लागू करना
स्प्लिट टनलिंग वीपीएन क्लाइंट को दूरस्थ नेटवर्क और सीधे इंटरनेट दोनों तक पहुंचने की अनुमति देता है, जिससे इंटरनेट-बाउंड ट्रैफ़िक के लिए प्रदर्शन में सुधार होता है:
-
ओपनवीपीएन के लिए:
- क्लाइंट कॉन्फ़िगरेशन फ़ाइल में,
redirect-gateway
डायरेक्टिव को संशोधित करें या विशिष्टroute
स्टेटमेंट का उपयोग करें - उदाहरण:
route 192.168.1.0 255.255.255.0
(केवल 192.168.1.0/24 नेटवर्क पर ट्रैफ़िक को वीपीएन के माध्यम से रूट करता है)
- क्लाइंट कॉन्फ़िगरेशन फ़ाइल में,
-
वायरगार्ड के लिए:
- क्लाइंट कॉन्फ़िगरेशन में,
AllowedIPs
सेटिंग को संशोधित करें 0.0.0.0/0
(जो सभी ट्रैफ़िक को रूट करता है) के बजाय, विशिष्ट नेटवर्क का उपयोग करें:- उदाहरण:
AllowedIPs = 10.10.10.0/24, 192.168.1.0/24
- क्लाइंट कॉन्फ़िगरेशन में,
-
L2TP/IPsec के लिए:
- विंडोज क्लाइंट पर, वीपीएन कनेक्शन गुणों को संपादित करें
- नेटवर्किंग → आईपीवी4 (IPv4) → गुण (Properties) → उन्नत (Advanced) पर जाएँ
- "रिमोट नेटवर्क पर डिफ़ॉल्ट गेटवे का उपयोग करें" से अनचेक करें
दो-कारक प्रमाणीकरण लागू करना
दो-कारक प्रमाणीकरण के साथ सुरक्षा बढ़ाएँ:
-
रेडियस प्रमाणीकरण:
- एक रेडियस सर्वर सेट अप करें (आप माइक्रोटिक के यूजर मैनेजर पैकेज का उपयोग कर सकते हैं)
- रेडियस का उपयोग करने के लिए अपने वीपीएन सर्वर को कॉन्फ़िगर करें:
- बाईं ओर के मेनू में Radius पर जाएँ
- अपनी वीपीएन सेवा के लिए एक नया रेडियस क्लाइंट जोड़ें
- अपनी वीपीएन सर्वर सेटिंग्स में, रेडियस प्रमाणीकरण सक्षम करें
-
प्रमाणपत्र + पासवर्ड प्रमाणीकरण:
- ओपनवीपीएन के लिए, प्रमाणपत्र और उपयोगकर्ता नाम/पासवर्ड दोनों की आवश्यकता होती है:
- सर्वर कॉन्फ़िगरेशन में,
auth-user-pass-verify
स्क्रिप्ट सेट करें - सुनिश्चित करें कि
client-cert-not-required
सेट नहीं है
- सर्वर कॉन्फ़िगरेशन में,
- ओपनवीपीएन के लिए, प्रमाणपत्र और उपयोगकर्ता नाम/पासवर्ड दोनों की आवश्यकता होती है:
-
समय-आधारित वन-टाइम पासवर्ड (टीओटीपी (TOTP)):
- अपने माइक्रोटिक पर टीओटीपी पैकेज स्थापित करें
- टीओटीपी रहस्यों (secrets) के साथ उपयोगकर्ताओं को कॉन्फ़िगर करें
- टीओटीपी कोड की आवश्यकता के लिए अपना प्रमाणीकरण सेट करें
वीपीएन प्रदर्शन का अनुकूलन
इन ट्वीक के साथ वीपीएन प्रदर्शन में सुधार करें:
-
एमटीयू (MTU) सेटिंग्स समायोजित करें:
- "डोंट फ़्रैगमेंट" फ़्लैग के साथ पिंग परीक्षणों का उपयोग करके अपने कनेक्शन के लिए इष्टतम एमटीयू ज्ञात करें
- अपने वीपीएन इंटरफ़ेस पर उपयुक्त एमटीयू सेट करें
- ओपनवीपीएन के लिए, विशिष्ट मान 1400-1450 हैं
- वायरगार्ड के लिए, 1420 अक्सर इष्टतम होता है
-
हार्डवेयर त्वरण सक्षम करें:
- यदि आपका माइक्रोटिक मॉडल हार्डवेयर एन्क्रिप्शन का समर्थन करता है:
- System → Resources पर जाएँ
- जाँचें कि क्या हार्डवेयर एन्क्रिप्शन उपलब्ध और सक्षम है
- आईपीसेक के लिए, IP → IPsec → Settings पर जाएँ और हार्डवेयर त्वरण सक्षम करें
- यदि आपका माइक्रोटिक मॉडल हार्डवेयर एन्क्रिप्शन का समर्थन करता है:
-
कुशल प्रोटोकॉल चुनें:
- जब संभव हो तो ओपनवीपीएन के लिए टीसीपी के बजाय यूडीपी का उपयोग करें
- राउटरओएस v7+ पर बेहतर प्रदर्शन के लिए वायरगार्ड पर विचार करें
- आधुनिक एन्क्रिप्शन एल्गोरिदम का उपयोग करें जिनमें हार्डवेयर त्वरण समर्थन हो
फ़ेलओवर और लोड बैलेंसिंग लागू करना
मिशन-क्रिटिकल वीपीएन कनेक्शन के लिए, फ़ेलओवर या लोड बैलेंसिंग लागू करें:
-
डुअल वैन (WAN) फ़ेलओवर:
- अपने माइक्रोटिक पर कई वैन (WAN) कनेक्शन कॉन्फ़िगर करें
- रूटिंग मार्क्स और पॉलिसी-आधारित रूटिंग का उपयोग करके फ़ेलओवर रूटिंग सेट करें
- प्राथमिक कनेक्शन विफल होने पर स्वचालित रूप से पुनः कनेक्ट करने के लिए अपने वीपीएन को कॉन्फ़िगर करें
-
साइट-टू-साइट वीपीएन अतिरेक (Redundancy):
- विभिन्न वैन (WAN) कनेक्शनों का उपयोग करके साइटों के बीच कई टनल स्थापित करें
- प्राथमिक टनल को प्राथमिकता देने के लिए रूटिंग मेट्रिक्स का उपयोग करें
- स्वचालित फ़ेलओवर के लिए वीपीएन टनल पर डायनामिक रूटिंग प्रोटोकॉल (ओएसपीएफ (OSPF) या बीजीपी (BGP)) कॉन्फ़िगर करें
-
लोड बैलेंसिंग:
- कई रिमोट एक्सेस उपयोगकर्ताओं के लिए, उन्हें कई वीपीएन सर्वर में वितरित करें
- कनेक्शन अनुरोधों को वितरित करने के लिए डीएनएस राउंड-रॉबिन या लोड बैलेंसर का उपयोग करें
वीपीएन कनेक्शन की निगरानी और लॉगिंग
अपनी वीपीएन सेवाओं के लिए व्यापक निगरानी सेट अप करें:
-
विस्तृत लॉगिंग कॉन्फ़िगर करें:
- System → Logging पर जाएँ
- वीपीएन-संबंधी घटनाओं के लिए एक नई लॉगिंग कार्रवाई जोड़ें
- सेट द एप्रोप्रेएट टॉपिक्स (e.g., ppp, ipsec, ovpn)
-
एसएनएमपी (SNMP) निगरानी सेट करें:
- IP → SNMP पर जाएँ
- एसएनएमपी सेवा सक्षम करें
- कम्युनिटी स्ट्रिंग और एक्सेस सूचियाँ कॉन्फ़िगर करें
- वीपीएन कनेक्शन और प्रदर्शन को ट्रैक करने के लिए एक एसएनएमपी निगरानी उपकरण का उपयोग करें
-
कनेक्शन ट्रैकिंग स्क्रिप्ट बनाएँ:
- वीपीएन कनेक्शन को ट्रैक करने के लिए राउटरओएस स्क्रिप्टिंग का उपयोग करें
- विफल कनेक्शन प्रयासों या टनल डाउन इवेंट के लिए ईमेल अलर्ट सेट करें
- आईपीसेक टनल स्थिति की निगरानी और अलर्ट भेजने के लिए उदाहरण स्क्रिप्ट
/system script
add name="monitor-ipsec" source={
:if ([/ip ipsec policy find where dst-address="192.168.2.0/24" and invalid=yes] != "") do={
/tool e-mail send to="[email protected]" subject="IPsec Tunnel Down" body="The IPsec tunnel to Branch Office is down."
}
}
/system scheduler
add interval=5m name="check-ipsec" on-event=monitor-ipsec start-time=startup
मिनी-अक्सर पूछे जाने वाले प्रश्न (Mini-FAQ)
मैं वीपीएन के माध्यम से अपने माइक्रोटिक राउटर के दूरस्थ प्रबंधन को सुरक्षित रूप से कैसे अनुमति दे सकता हूँ?
सख्त सुरक्षा सेटिंग्स के साथ प्रबंधन पहुंच के लिए विशेष रूप से एक अलग वीपीएन प्रोफ़ाइल बनाएँ। केवल वीपीएन सबनेट से प्रबंधन पहुंच (विनबॉक्स, एसएसएच, वेबफिग) की अनुमति देने के लिए फ़ायरवॉल नियमों का उपयोग करें। अतिरिक्त सुरक्षा के लिए आईपी-आधारित एक्सेस सूचियों और दो-कारक प्रमाणीकरण को लागू करने पर विचार करें।
साइट-टू-साइट वीपीएन के लिए डायनामिक आईपी पते को संभालने का सबसे अच्छा तरीका क्या है?
बदलते आईपी पते को ट्रैक करने के लिए डायनामिक डीएनएस (DDNS) सेवाओं का उपयोग करें। होस्टनामों के बजाय आईपी पतों का उपयोग करने के लिए अपने आईपीसेक या ओपनवीपीएन को कॉन्फ़िगर करें। आईपीसेक के लिए, जब पीयर पते बदलते हैं तो आपको उन्हें अपडेट करने के लिए एक स्क्रिप्ट का उपयोग करने की आवश्यकता हो सकती है। वैकल्पिक रूप से, डायनामिक एड्रेसिंग को संभालने के लिए राउटरओएस की "मोड-कॉन्फिग" सुविधा का उपयोग करने पर विचार करें।
निष्कर्ष
अपने माइक्रोटिक राउटर पर वीपीएन सेट करने से आपके नेटवर्क संसाधनों तक सुरक्षित दूरस्थ पहुंच मिलती है और कई स्थानों के बीच सुरक्षित साइट-टू-साइट कनेक्टिविटी सक्षम होती है। इस व्यापक गाइड में, हमने विभिन्न वीपीएन कार्यान्वयन विकल्पों को कवर किया है, जिसमें व्यापक रूप से संगत L2TP/IPsec से लेकर आधुनिक और कुशल वायरगार्ड प्रोटोकॉल तक शामिल हैं।
हमने प्रत्येक वीपीएन प्रकार को कॉन्फ़िगर करने की चरण-दर-चरण प्रक्रिया के बारे में बताया है, जिसमें आवश्यक प्रमाणपत्र, एन्क्रिप्शन सेटिंग्स, फ़ायरवॉल नियम और क्लाइंट कॉन्फ़िगरेशन शामिल हैं। हमने स्प्लिट टनलिंग, दो-कारक प्रमाणीकरण और प्रदर्शन अनुकूलन तकनीकों जैसे उन्नत कॉन्फ़िगरेशन का भी पता लगाया है ताकि आपको एक मजबूत और सुरक्षित वीपीएन इन्फ्रास्ट्रक्चर बनाने में मदद मिल सके।
माइक्रोटिक राउटर कई एंटरप्राइज़ समाधानों की लागत के एक अंश पर असाधारण लचीलापन और शक्तिशाली वीपीएन क्षमताएं प्रदान करते हैं। इस गाइड में दिए गए निर्देशों का पालन करके, आप अपने डेटा की सुरक्षा करने और अपने नेटवर्क संसाधनों तक सहज दूरस्थ पहुंच को सक्षम करने वाले सुरक्षित कनेक्शन बनाने के लिए इन क्षमताओं का लाभ उठा सकते हैं।
याद रखें कि सुरक्षा एक सतत प्रक्रिया है, न कि एक बार का सेटअप। अपने राउटरओएस फ़र्मवेयर को नियमित रूप से अपडेट करें, अपनी वीपीएन कॉन्फ़िगरेशन की समीक्षा करें, असामान्य गतिविधि के लिए लॉग्स की निगरानी करें, और एक मजबूत सुरक्षा मुद्रा बनाए रखने के लिए आवश्यकतानुसार अपनी सुरक्षा सेटिंग्स को समायोजित करें।
अपनी विशिष्ट आवश्यकताओं के अनुरूप विशेष वीपीएन समाधानों के लिए, टिल्डावीपीएस (TildaVPS) के माइक्रोटिक सर्वर प्रस्तावों पर विचार करें, जो न्यूनतम सेटअप समय के साथ मजबूत वीपीएन सेवाएं चलाने के लिए अनुकूलित हार्डवेयर और पूर्व-कॉन्फ़िगर किए गए वातावरण प्रदान करते हैं।
अक्सर पूछे जाने वाले प्रश्न (FAQ)
मुझे अपने माइक्रोटिक राउटर के लिए कौन सा वीपीएन प्रोटोकॉल चुनना चाहिए?
सबसे अच्छा प्रोटोकॉल आपकी विशिष्ट आवश्यकताओं पर निर्भर करता है। L2TP/IPsec अधिकांश उपकरणों के साथ व्यापक संगतता प्रदान करता है। ओपनवीपीएन सुरक्षा और लचीलेपन का अच्छा संतुलन प्रदान करता है। वायरगार्ड (राउटरओएस v7+ में उपलब्ध) सर्वोत्तम प्रदर्शन और सादगी प्रदान करता है। शाखा कार्यालयों के बीच साइट-टू-साइट कनेक्शन के लिए, आईपीसेक आमतौर पर अपनी मजबूत सुरक्षा और व्यापक उद्यम अपनाने के कारण पसंदीदा विकल्प है।
मैं माइक्रोटिक पर वीपीएन कनेक्शन समस्याओं का निवारण कैसे करूँ?
विशिष्ट त्रुटि संदेशों के लिए लॉग्स (सिस्टम → लॉग्स (Logs)) की जाँच करके प्रारंभ करें। सत्यापित करें कि आपके फ़ायरवॉल नियम उचित पोर्ट पर वीपीएन ट्रैफ़िक की अनुमति देते हैं। ओपनवीपीएन जैसे प्रमाणपत्र-आधारित वीपीएन के लिए, सुनिश्चित करें कि प्रमाणपत्र ठीक से हस्ताक्षरित हैं और समाप्त नहीं हुए हैं। कनेक्शन विफल होने के स्थान की पहचान करने के लिए पिंग (ping) और ट्रेसरूट (traceroute) का उपयोग करके कनेक्टिविटी का परीक्षण करें। आईपीसेक के लिए, आईपी → आईपीसेक → सक्रिय पीयर (Active Peers) पर देखकर जाँच करें कि क्या सुरक्षा संघ (SAs) स्थापित हैं।
क्या मैं एक ही माइक्रोटिक राउटर पर कई वीपीएन सर्वर चला सकता हूँ?
हाँ, आप एक ही माइक्रोटिक राउटर पर एक साथ कई वीपीएन प्रोटोकॉल चला सकते हैं। उदाहरण के लिए, आप मोबाइल क्लाइंट के लिए L2TP/IPsec, दूरस्थ कर्मचारियों के लिए ओपनवीपीएन, और साइट-टू-साइट कनेक्शन के लिए आईपीसेक रख सकते हैं। बस यह सुनिश्चित करें कि प्रत्येक सेवा एक अलग पोर्ट का उपयोग करती है और उसके पास उचित फ़ायरवॉल नियम हैं। अपने राउटर की हार्डवेयर क्षमताओं का ध्यान रखें, क्योंकि कई क्लाइंट के साथ कई वीपीएन सेवाओं को चलाना सीपीयू-गहन हो सकता है।
मैं अपने माइक्रोटिक राउटर पर वीपीएन सुरक्षा कैसे सुधार सकता हूँ?
मजबूत एन्क्रिप्शन एल्गोरिदम (एईएस-256 (AES-256)) का उपयोग करके, दो-कारक प्रमाणीकरण लागू करके, पूर्व-साझा कुंजियों और पासवर्ड को नियमित रूप से घुमाकर, जहाँ संभव हो प्रमाणपत्र-आधारित प्रमाणीकरण का उपयोग करके, केवल आवश्यक संसाधनों तक पहुंच को सीमित करने के लिए सख्त फ़ायरवॉल नियम लागू करके, और सुरक्षा कमजोरियों को ठीक करने के लिए अपने राउटरओएस को नवीनतम स्थिर संस्करण में अपडेट रखकर वीपीएन सुरक्षा बढ़ाएँ।
मेरा माइक्रोटिक राउटर कितने समवर्ती वीपीएन उपयोगकर्ताओं का समर्थन कर सकता है?
यह आपके राउटर के हार्डवेयर विनिर्देशों पर निर्भर करता है, विशेष रूप से सीपीयू (CPU) शक्ति और उपलब्ध रैम (RAM)। एचएपी (hAP) श्रृंखला जैसे एंट्री-लेवल मॉडल 5-10 समवर्ती उपयोगकर्ताओं को संभाल सकते हैं, जबकि आरबी4011 (RB4011) जैसे मिड-रेंज मॉडल 20-30 उपयोगकर्ताओं का समर्थन कर सकते हैं, जबकि सीसीआर (CCR) श्रृंखला जैसे हाई-एंड मॉडल 50+ समवर्ती कनेक्शन को संभाल सकते हैं। वायरगार्ड ओपनवीपीएन या आईपीसेक की तुलना में अधिक कुशल होता है, जिससे समान हार्डवेयर के साथ अधिक समवर्ती कनेक्शन की अनुमति मिलती है।
क्या मैं मोबाइल उपकरणों से अपने माइक्रोटिक वीपीएन तक पहुँच सकता हूँ?
हाँ, इस गाइड में चर्चा किए गए सभी वीपीएन प्रोटोकॉल का उपयोग मोबाइल उपकरणों से किया जा सकता है। L2TP/IPsec और IKEv2 में आईओएस (iOS) और एंड्रॉइड (Android) पर मूल समर्थन है। ओपनवीपीएन के लिए, आप आधिकारिक ओपनवीपीएन कनेक्ट ऐप का उपयोग कर सकते हैं। वायरगार्ड के दोनों प्लेटफार्मों के लिए उत्कृष्ट मोबाइल ऐप हैं। मोबाइल उपकरणों के लिए वीपीएन सेट करते समय, बैटरी जीवन और डेटा उपयोग को अनुकूलित करने के लिए स्प्लिट टनलिंग (split tunneling) लागू करने पर विचार करें।
मैं माइक्रोटिक पर एक वीपीएन सर्वर कैसे सेट करूँ जो इंटरनेट प्रतिबंधों वाले देशों में काम करता है?
प्रतिबंधात्मक वातावरण में, मानक वीपीएन पोर्ट अक्सर अवरुद्ध होते हैं। अपने वीपीएन को 443 (एचटीटीपीएस (HTTPS)) या 53 (डीएनएस (DNS)) जैसे सामान्य पोर्ट का उपयोग करने के लिए कॉन्फ़िगर करें जो शायद ही कभी अवरुद्ध होते हैं। ओपनवीपीएन के लिए, यूडीपी (UDP) के बजाय टीसीपी (TCP) का उपयोग करें क्योंकि इसका पता लगाना कठिन है। वीपीएन ट्रैफ़िक को छिपाने के लिए स्टनल (stunnel) या ओबफ्सप्रॉक्सी (obfsproxy) जैसी अस्पष्टीकरण तकनीकों को लागू करने पर विचार करें। वायरगार्ड को किसी भी पोर्ट पर चलने के लिए कॉन्फ़िगर किया जा सकता है, जिससे यह प्रतिबंधों को बायपास करने के लिए लचीला हो जाता है।
रिमोट एक्सेस वीपीएन और साइट-टू-साइट वीपीएन में क्या अंतर है?
एक रिमोट एक्सेस वीपीएन व्यक्तिगत उपयोगकर्ताओं को एक नेटवर्क से जोड़ता है, जिससे वे संसाधनों तक इस तरह से पहुंच सकते हैं जैसे कि वे उस स्थान पर शारीरिक रूप से मौजूद हों। यह दूरस्थ कर्मचारियों या यात्रा करते समय अपने घर के नेटवर्क तक पहुंचने के लिए आदर्श है। एक साइट-टू-साइट वीपीएन पूरे नेटवर्क को एक साथ जोड़ता है, जिससे प्रत्येक स्थान पर सभी डिवाइस एक-दूसरे के साथ संचार कर सकते हैं। इसका उपयोग आमतौर पर शाखा कार्यालयों को मुख्यालय से जोड़ने या क्लाउड वातावरण से जुड़ने के लिए किया जाता है।
मैं माइक्रोटिक वीपीएन से कौन कनेक्ट है इसकी निगरानी कैसे करूँ?
वास्तविक समय की निगरानी के लिए, संबंधित वीपीएन अनुभाग में सक्रिय कनेक्शन (L2TP और PPTP के लिए पीपीपी → सक्रिय कनेक्शन (Active Connections), आईपीसेक के लिए आईपी → आईपीसेक → सक्रिय पीयर (Active Peers), वायरगार्ड के लिए इंटरफ़ेस → वायरगार्ड → पीयर (Peers)) की जाँच करें। ऐतिहासिक डेटा के लिए, कनेक्शन घटनाओं को रिकॉर्ड करने के लिए लॉगिंग (सिस्टम → लॉगिंग (Logging)) कॉन्फ़िगर करें। आप एसएनएमपी (SNMP) निगरानी उपकरणों का भी उपयोग कर सकते हैं या कनेक्शन को ट्रैक करने और रिपोर्ट बनाने के लिए कस्टम स्क्रिप्ट सेट कर सकते हैं।
क्या विशिष्ट समय या दिनों तक वीपीएन पहुंच को प्रतिबंधित करना संभव है?
हाँ, आप शेड्यूलर स्क्रिप्ट या फ़ायरवॉल नियमों का उपयोग करके समय-आधारित प्रतिबंध लागू कर सकते हैं। समय-आधारित फ़ायरवॉल नियम बनाएँ जो केवल विशिष्ट घंटों के दौरान वीपीएन ट्रैफ़िक की अनुमति देते हैं। वैकल्पिक रूप से, समय सीमाओं वाले उपयोगकर्ता प्रोफाइल का उपयोग करें या कस्टम स्क्रिप्ट लिखें जो एक शेड्यूल के अनुसार वीपीएन सेवाओं को सक्षम/अक्षम करती हैं। यह व्यावसायिक घंटों की पहुंच को लागू करने या रखरखाव विंडो को लागू करने के लिए उपयोगी है।
मुख्य बातें
-
माइक्रोटिक राउटर L2TP/IPsec, OpenVPN, WireGuard और IPsec सहित कई वीपीएन प्रोटोकॉल का समर्थन करते हैं, जिससे आपको अपनी विशिष्ट आवश्यकताओं के लिए सर्वोत्तम समाधान चुनने का लचीलापन मिलता है।
-
वायरगार्ड (RouterOS v7+ में उपलब्ध) सर्वोत्तम प्रदर्शन और सादगी प्रदान करता है, जबकि IPsec साइट-टू-साइट कनेक्शन के लिए मजबूत सुरक्षा प्रदान करता है, और L2TP/IPsec सबसे व्यापक डिवाइस संगतता प्रदान करता है।
-
वीपीएन सुरक्षा के लिए उचित फ़ायरवॉल कॉन्फ़िगरेशन आवश्यक है - हमेशा केवल आवश्यक वीपीएन ट्रैफ़िक की अनुमति देने के लिए विशिष्ट नियम बनाएँ और अपने नेटवर्क संसाधनों के लिए उचित पहुंच नियंत्रण लागू करें।
-
स्प्लिट टनलिंग, दो-कारक प्रमाणीकरण, और अतिरेक कनेक्शन जैसी उन्नत सुविधाएँ आपके वीपीएन कार्यान्वयन की सुरक्षा और उपयोगिता को महत्वपूर्ण रूप से बढ़ा सकती हैं।
-
सुरक्षा बनाए रखने और समय के साथ विश्वसनीय प्रदर्शन सुनिश्चित करने के लिए आपके वीपीएन सेटअप की नियमित निगरानी, लॉगिंग और रखरखाव महत्वपूर्ण है।
शब्दावली
आईपीएससी (IPsec) (इंटरनेट प्रोटोकॉल सुरक्षा): एक प्रोटोकॉल सूट जो नेटवर्क उपकरणों के बीच सुरक्षित एन्क्रिप्टेड संचार प्रदान करने के लिए आईपी पैकेट को प्रमाणित और एन्क्रिप्ट करता है।
एल2टीपी (L2TP) (लेयर 2 टनलिंग प्रोटोकॉल): एक टनलिंग प्रोटोकॉल जिसका उपयोग वीपीएन का समर्थन करने के लिए किया जाता है, जिसे अक्सर एन्क्रिप्शन के लिए आईपीसेक के साथ जोड़ा जाता है।
ओपनवीपीएन (OpenVPN): एक ओपन-सोर्स वीपीएन प्रोटोकॉल जो कुंजी विनिमय के लिए एसएसएल/टीएलएस (SSL/TLS) का उपयोग करता है और यूडीपी (UDP) और टीसीपी (TCP) दोनों पर काम कर सकता है।
वायरगार्ड (WireGuard): एक आधुनिक, तेज़ और सरल वीपीएन प्रोटोकॉल जो प्रदर्शन और कार्यान्वयन में आसानी पर केंद्रित है।
स्प्लिट टनलिंग (Split Tunneling): एक वीपीएन सुविधा जो उपयोगकर्ता को एक ही भौतिक नेटवर्क कनेक्शन के माध्यम से एक ही समय में विभिन्न नेटवर्क (सार्वजनिक और निजी) तक पहुंचने की अनुमति देती है।
पूर्व-साझा कुंजी (PSK) (Pre-shared Key): एक साझा रहस्य जिसका उपयोग वीपीएन कनेक्शन में प्रमाणीकरण के लिए किया जाता है।
प्रमाणपत्र प्राधिकरण (CA) (Certificate Authority): एक इकाई जो डिजिटल प्रमाणपत्र जारी करती है, जो सत्यापित करती है कि एक विशेष सार्वजनिक कुंजी एक विशिष्ट इकाई से संबंधित है।
एमटीयू (MTU) (मैक्सिमम ट्रांसमिशन यूनिट) (Maximum Transmission Unit): सबसे बड़ी प्रोटोकॉल डेटा यूनिट का आकार जिसे एकल नेटवर्क लेयर लेनदेन में संप्रेषित किया जा सकता है।
नेट ट्रैवर्सल (NAT Traversal): नेटवर्क एड्रेस ट्रांसलेटर के पार कनेक्शन स्थापित करने और बनाए रखने की तकनीकें।
दो-कारक प्रमाणीकरण (2FA) (Two-factor Authentication): एक सुरक्षा प्रक्रिया जिसमें उपयोगकर्ता अपनी पहचान सत्यापित करने के लिए दो अलग-अलग प्रमाणीकरण कारक प्रदान करते हैं।