پرش به محتویات

میکروتیک

راه‌اندازی روتر میکروتیک به‌عنوان VPN و فیلترشکن

میکروتیک یک شرکت تولید‌کننده تجهیزات شبکه و نرم‌افزارهای مرتبط است که از سال ۱۹۹۶ در لتونی فعالیت می‌کند و به‌خاطر روترهای قدرتمند «RouterBOARD» و سیستم‌عامل RouterOS خود شهرت دارد[1]. روترهای میکروتیک امکانات پیشرفته‌ای نظیر کنترل ترافیک، فایروال و مدیریت پهنای‌باند را ارائه می‌دهند و می‌توانند نقش اصلی در حفظ امنیت شبکه ایفا کنند[1][2]. به‌ویژه قابلیت‌های VPN در RouterOS به کاربر اجازه می‌دهد تا تونل‌های رمزنگاری‌شده امن ایجاد کند و از محرمانگی داده‌ها اطمینان حاصل نماید[2]. از این رو استفاده از میکروتیک به‌عنوان VPN server یا فیلترشکن خانگی به دلیل کارایی و امنیت بالای آن در میان کاربران حرفه‌ای محبوب است[3][2].

پروتکل‌های پیشنهادی و مقایسه آنها

در میکروتیک پروتکل‌های مختلف VPN قابل پیکربندی هستند که هر یک ویژگی‌ها و عملکرد خود را دارند[4]. پروتکل‌های پرکاربرد عبارت‌اند از: - L2TP/IPsec: ترکیب L2TP با IPSec، سطح امنیت بالایی ارائه می‌دهد و سرعت مناسبی دارد. به‌همین دلیل گزینه‌ای متعادل از نظر امنیت و کارایی است[5]. - OpenVPN: پروتکلی مبتنی بر SSL/TLS با رمزنگاری قوی و انعطاف‌پذیری بالا است. برای کاربرانی که حریم خصوصی و امنیت داده بسیار مهم است، انتخاب محبوبی محسوب می‌شود[6][7]. (در RouterOS نسخه ۶ محدودیت‌هایی در پشتیبانی از الگوریتم‌ها و فشرده‌سازی وجود دارد که در نسخه ۷ برطرف شده است[6].) - WireGuard: پروتکلی مدرن و سبک با کارایی بسیار بالا است. طراحی ساده و بهینه آن باعث سرعت بالاتر نسبت به پروتکل‌های قدیمی‌تر می‌شود[8]. پیاده‌سازی WireGuard از RouterOS نسخه ۷ به بعد ممکن است و پیکربندی آن نسبتاً آسان است[8][9]. - PPTP (برای مقایسه): بسیار ساده است اما سطح امنیت پایینی دارد و به‌دلیل ضعف‌های شناخته‌شده، در تنظیمات حساس توصیه نمی‌شود[10]. به‌طور خلاصه، OpenVPN و WireGuard از نظر امنیت و سرعت عملکرد بهتری دارند، به‌خصوص WireGuard به‌دلیل سادگی و سرعت بالا در شرایط شبکه‌های سنگین مناسب است[8]. L2TP/IPSec میان امنیت و سازگاری (خصوصاً با دستگاه‌های مختلف) تعادل خوبی برقرار می‌کند[5].

راه‌اندازی L2TP/IPSec در میکروتیک

برای پیکربندی سرور L2TP/IPSec در میکروتیک، مراحل زیر را دنبال کنید: 1. اتصال به روتر: با نرم‌افزار WinBox یا SSH به میکروتیک متصل شوید. در صورت استفاده از فایروال، پورت‌های مورد نیاز را باز کنید. به‌طور معمول باید پورت‌های UDP 500 و 4500 و 1701 و همچنین پروتکل ESP (IPsec-ESP) را اجازه دهید[11]. 2. ایجاد IP Pool: از منوی IP > Pool، یک Pool جدید بسازید تا آدرس‌های IP به مشتریان VPN اختصاص یابد. مثلاً نام Pool-L2TP و بازه آدرس 192.168.10.10–192.168.10.20 را تنظیم کنید[12]. 3. ایجاد پروفایل PPP: به PPP > Profiles بروید و یک پروفایل جدید تعریف کنید. به تب Profile رفته و نام مثلاً L2TP-Profile را وارد کنید. در Local Address آدرسی از شبکه داخلی (مثلاً 192.168.8.1) و در Remote Address Pool ساخته‌شده را انتخاب کنید. سپس در تب Protocols گزینه Use Encryption را روی required قرار دهید[13]. 4. فعال‌سازی L2TP Server: در PPP > Interface، گزینه L2TP Server را باز کرده و روی Enabled کلیک کنید. در بخش Default Profile، پروفایل ایجادشده را انتخاب کنید. در قسمت Authentication فقط MS-CHAP v2 را فعال کنید و در Use IPsec گزینه yes را انتخاب نمایید. یک IPsec Secret (رمز اشتراک) قوی وارد کنید و تنظیمات را ذخیره کنید[14]. 5. تعریف کاربران VPN: به PPP > Secrets بروید و کاربر جدید اضافه کنید. نام‌کاربری و رمز دلخواه را وارد نمایید. در قسمت Service گزینه l2tp و در Profile، همان پروفایل L2TP-Profile را انتخاب کنید[15]. 6. تنظیم کلاینت: در دستگاه مشتری (مثلاً ویندوز)، یک کانکشن VPN از نوع L2TP/IPSec بسازید و IPsec Pre-shared Key همان رمزی باشد که در IPsec Secret وارد کردید. پس از برقراری ارتباط، ترافیک مورد نظر از طریق تونل VPN میکروتیک هدایت می‌شود.

راه‌اندازی OpenVPN در میکروتیک

برای پیاده‌سازی OpenVPN سرور روی میکروتیک، مراحل کلی به شرح زیر است: 1. ایجاد گواهینامه‌ها: ابتدا از منوی Certificate، یک گواهی‌نامه CA (با کلید 4096 بیت) ایجاد کنید. سپس گواهی سرور (.example.com) و گواهی کلاینت (client.example.com) بسازید[16]. 2. امضای گواهینامه‌ها: گواهی‌نامه‌های ایجاد شده را با گواهی CA امضا کنید تا معتبر شوند[17]. 3. خروجی گرفتن از گواهینامه‌ها: گواهی CA و گواهی کلاینت را در خروجی (export) بگیرید و فایل‌ها را به CA.crt و client.crt و client.key در رایانه کلاینت تبدیل کنید[18]. 4. ایجاد IP Pool: یک IP Pool (مثلاً vpn-pool) برای اختصاص آدرس به کاربران VPN بسازید (مثلاً بازه 192.168.8.2–192.168.8.253)[19]. 5. ساخت پروفایل PPP: یک پروفایل جدید به نام vpn-profile تعریف کنید که رمزنگاری را فعال کند و Local Address را به آدرس سرور (مثلاً 192.168.8.1) و Remote Address را به vpn-pool اختصاص دهد[20]. 6. تعریف کاربر: در PPP > Secrets یک کاربر بسازید (البته در مثال این مقاله از RADIUS استفاده می‌کنند، اما می‌توانید مستقیم در Secrets هم تعریف کنید)[21]. 7. فعال‌سازی سرور OpenVPN: وارد Interface > OVPN Server شوید و به کمک دستور /interface ovpn-server server سرور OVPN را فعال کنید. در تنظیمات مربوطه Profile پیش‌فرض را vpn-profile قرار داده و از گواهی‌نامه سرور استفاده کنید، سپس سرور را Enabled کنید[22]. 8. ساخت فایل کلاینت: یک فایل client.ovpn بسازید. کلید خصوصی و گواهی‌نامه‌های CA و Client را در آن قرار دهید. مثال تنظیمات پایه در [27†L386-L432] نشان داده شده است که شامل تنظیمات TLS و مسیریابی (AllowedIPs) است. 9. اتصال کلاینت:* برنامه OpenVPN کلاینت را با فایل .ovpn ساخته‌شده تنظیم کنید. پس از فعال‌سازی اتصال، کلاینت به سرور میکروتیک وصل می‌شود و ترافیک موردنظر از طریق این تونل امن عبور می‌کند.

راه‌اندازی WireGuard در میکروتیک

WireGuard یک پروتکل جدید و سبک است که از RouterOS نسخه ۷ به بعد پشتیبانی می‌شود[23]. برای راه‌اندازی سرور WireGuard مراحل زیر را انجام دهید: 1. اطمینان از نسخه RouterOS: ابتدا اطمینان حاصل کنید که نسخه RouterOS روتر شما ۷ یا بالاتر باشد تا منوی WireGuard در WinBox موجود باشد[23]. در غیر این صورت، سیستم‌عامل روتر را به‌روز کنید. 2. ایجاد اینترفیس WireGuard: در WinBox به بخش WireGuard رفته و گزینه + را بزنید. در سربرگ General یک نام دلخواه (مثلاً WireGuard1) وارد کنید. با زدن Apply، اینترفیس ساخته شده و کلیدهای عمومی و خصوصی تولید می‌شوند. سپس یک پورت دلخواه در بازه ۱–۶۵۵۳۵ تعیین و روی OK کلیک کنید[24]. 3. تخصیص IP: به IP > Addresses بروید و یک آدرس IP به اینترفیس WireGuard1 اختصاص دهید. مثلاً 10.10.10.1/24 را به اینترفیس WireGuard1 اضافه کنید[25]. با این کار سرور WireGuard آماده دریافت اتصال است. 4. تعریف Peer (مشتری): در WinBox به منوی WireGuard > Peers رفته و یک Peer جدید اضافه کنید. در تنظیمات Peer: - کلید عمومی (Public Key) کلاینت را وارد کنید (این کلید باید در برنامه WireGuard کلاینت تولید شده باشد)[26]. - Allowed IPs را معادل آدرس IP کلاینت (مثلاً 10.10.10.2/32) تنظیم کنید. - Persistent Keepalive را در صورت نیاز (مثلاً ۱۰ ثانیه) قرار دهید و تنظیمات را ذخیره کنید[26]. 5. تنظیمات کلاینت: در نرم‌افزار WireGuard کلاینت (مثلاً ویندوز): - کلید عمومی سرور (از WinBox در سربرگ Interface قابل مشاهده است) را در بخش Public Key وارد کنید[27]. - Endpoint را به IP عمومی سرور و پورتی که در سرور تنظیم کردید اختصاص دهید (مثلاً 51.75.42.239:13231)[28]. - AllowedIPs را روی 0.0.0.0/0 تنظیم کنید تا ترافیک تمام اینترنت از طریق تونل عبور کند[28]. - PersistentKeepalive را (به‌عنوان مثال ۱۰ ثانیه) فعال کنید تا در پشت NAT اتصال حفظ شود[28]. 6. فعال‌سازی تونل: در برنامه WireGuard کلاینت، روی دکمه Activate کلیک کنید. با فعال‌سازی اتصال، خواهید دید که تونل WireGuard بین سرور و کلاینت برقرار شده است.

نکات امنیتی مهم

• رمزنگاری قوی: همواره از پروتکل‌های قدرتمند رمزنگاری (مانند IPSec یا TLS) استفاده کنید تا داده‌های ارسالی از طریق VPN در برابر شنود و حملات حفظ شوند[29].
• فایروال مناسب: قوانین فایروال را به‌دقت تنظیم نمایید؛ فقط پورت‌ها و پروتکل‌های ضروری را باز کنید و دسترسی‌ها را به کاربران/دستگاه‌های شناخته‌شده محدود کنید[29]. به این ترتیب از ورود ترافیک غیرمجاز جلوگیری می‌شود.
• به‌روزرسانی منظم: سیستم‌عامل RouterOS و بسته‌های امنیتی آن را همیشه به آخرین نسخه به‌روز نگه دارید. هر نسخه جدید معمولاً شامل اصلاحات امنیتی و رفع آسیب‌پذیری‌هاست که شبکه شما را ایمن‌تر می‌کند[30].
• انتخاب گذرواژه قوی: برای حساب‌های کاربری VPN یا راز‌های اشتراک IPSec از رمزهای عبور پیچیده استفاده کنید تا احتمال حدس زدن آنها کاهش یابد.
• مدیریت ورود کاربران: در صورت امکان از سیستم‌های احراز هویت متمرکز مانند RADIUS/Hotspot میکروتیک استفاده کنید تا حساب‌ها و سطح دسترسی‌ها قابل کنترل باشند.
• مانیتورینگ و لاگینگ: عملیات اتصال و قطع VPN را لاگ‌برداری کنید و دوره‌ای گزارش‌ها را بررسی کنید تا به‌موقع هر فعالیت مشکوکی شناسایی شود.

کلیه تنظیمات بالا مستندات سایت فیلترشکن[2][4] و منابع معتبر میکروتیک را بازتاب می‌دهند. برای مطالعه بیشتر به مدارک رسمی میکروتیک و مقالات تخصصی مرتبط مراجعه کنید. منابع: راهنمای سایت فیلترشکن[1][2]، مجله آموزشی بازار لاله‌زار[3][4][12][24][31] و مستندات RouterOS.

[1] [2] میکروتیک - سایت فیلترشکن https://filtershekan.sbs/Home_Server/ [3] [4] [5] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] کانفیگ VPN روی روتر میکروتیک (5 روش تست شده) - بازار لاله زار https://bazarlalehzar.com/mag/configure-vpn-on-mikrotik-router/ [6] OpenVPN - سایت فیلترشکن https://filtershekan.sbs/OpenVPN/