راه اندازی Ikev2 در میکروتیک | به صورت مرحله به مرحله و تصویری – معرفی منابع آموزشی
آشنایی با میکروتیک، روتربرد میکروتیک، Winbox و RouterOS
این روزها استفاده از پروتکل رمزنگاری IKEV2 برای راهاندازی یک VPN میان دو کامپیوتر یا بهتر بگوییم دو سایت و شعبه دفتر کاری راه دور، افزایش یافته است. چون پروتکل IKEV2 نسبتا جدید و قابلیتهای بسیار خوبی برای ساخت یک شبکه خصوصی مجازی و ارسال و دریافت اطلاعات به صورت امن و رمزنگاری شده دارد.
سادهترین روش برای راهاندازی سرور IKEV2 نیز استفاده از روتربوردهای میکروتیک است. روتربردهای میکروتیک در کنار نرمافزار Winbox و سیستمعامل RouterOS ویژگیهای بسیار زیادی به شما در بحث VPN و فایروال و پروکسی سرور میدهند و به سادگی میتوان روی آنها یک SSH یا وب سرتر و تلنت را نصب و راهاندازی کرد و برای هریک از کاربران یک مجوز دسترسی محلی داد.
امروزه، غالب مهندسان و متخصصان شبکه شروع به استفاده از سختافزارها و نرمافزارهای میکروتیک کردند تا بتوانند نیازهای خود مانند مسیریابی در شبکه، راهاندازی انواع سرورها از جمله وب سرور، ویپیان سرور، پروکسی سرور، فایل سرور، دیواره آتش (فایروال) و غیره را برطرف کنند.
اگر با این مفاهیم آشنایی زیادی ندارید و علاقهمند گذراندن آموزش شبکههای کامپیوتری هستید؛ پیشنهاد میکنیم به سایت زیر سری بزنید تا این مفاهیم را با زبانی ساده و کاربردی یاد بگیرید.
• مجموعه آموزش شبکه های کامپیوتری — کلیک کنید
سرورهای میکروتیک به شما بالاترین پایداری و امنیت را میبخشند و از سرعت بوت بالا و یک سری فرآیندهای خودکار برای انجام دادن کارها برخوردار هستند. این سرورها را میتوان در چند دقیقه نصب کرده و سری فرامین به آن دادن تا بدون نیاز به لاگین کردن چند باره و پشت سر هم یا فرآیندهای ریستارت، این کارها با سرعت و پایداری بالا انجام شوند.
تنظیمات و راهاندازی سرورهای میکروتیک هم ساده است و در بیشتر اوقات میتوانید این تنظیمات را از روی یک سیستم به سیستم دیگر کپی کنید. به همین دلیل، در سالهای اخیر، بسیاری از کسبوکارها یا متخصصان شبکه علاقه دارند با سرورهای میکروتیک یک VPN راهاندازی کنند و در این میان پروتکل ویپیان نسبتا جدید IKEV2 خوش درخشیده است. ما در این مطلب، ابتدا میخواهیم نگاهی به برخی مفاهیم و پروتکلها داشته باشیم و بعد مراحل نصب پروتکل IKEV2 روی میکروتیک را بررسی کنیم.
آشنایی با میکروتیک، روتربرد میکروتیک، Winbox و RouterOS
اگر کمی در دنیای شبکه و امنیت و سختافزارهای اینترنت بوده باشید؛ احتمالا این عبارتها را شنیده و دیدهاید. برخی میگویند میکروتیک یک سختافزار است و برخی دیگر میکروتیک را یک سیستمعامل و نرمافزار میدانند. در یک مقاله از سرور میکروتیک صحبت میشود و در مقاله دیگری میگویند روتر میکروتیک یا تنظیمات شبکه در نرمافزار میکروتیک!
باید بگوییم که تقریبا همه این اصطلاحها و مفاهیم درست هستند. در ابتدا، سال ۱۹۹۶ دو دانشجوی دانشگاه امآیتی ایالات متحده از کشور «لتویا» در اروپای شرقی، سیستمعامل میکروتیک (MicroTik) را توسعه داده و به بازار عرضه کردند. این سیستمعامل بر پایه هسته لینوکس بود ولی بزرگترین مزیتاش، قابلیت نصب روی پیسیهای معمولی و مبتنی بر ویندوز مایکروسافت بود.
میکروتیک میخواست همان کاری را بکند که شرکت عظیم سیسکو در شبکههای کامپیوتری انجام میداد؛ ولی با هزینه پایینتر و سادهتر و البته برای کاربران معمولی شبکه. این شرکت در ادامه و پس از سه سال فعالیت، به این نتیجه رسید که باید همانند سیسکو، سختافزار هم کنار نرمافزار و سیستمعامل داشته باشد؛ بنابراین وارد فاز تولید و عرضه روترهای میکروتیک شد.
به این ترتیب، سیستمعامل مبتنی بر لینوکس این شرکت برای مدیریت و کنترل روترهای میکروتیک، RouterOS نام گرفت. سیستمعامل RouterOS میتوان در شبکه به عنوان یک فایروال یا روتر نرمافزاری نیز فعالیت کند و طیف وسیعی از ویژگیها و امکانات را در اختیار شما قرار میدهد. سازگاری RouterOS با نسخههای مختلف ویندوز سرور و پیسی باعث محبوبیت زیاد میکروتیک شده است. برای آشنایی کامل با میکروتیک و ویژگیها و مزایای آن میتوانید روی لینک زیر کلیک کنید:
سیستمعامل میکروتیک میتواند به چند شکل مورد استفاده قرار بگیرد: نخست روی یک پیسی یا ماشین مجازی نصب شود. روش دوم، نصب روی سختافزارهایی است که روتربرد (RouterBoard) گفته میشود و ساخت خود شرکت میکروتیک است و دارای تعدادی درگاه شبکه هستند تا در یک شبکه LAN محلی نصب شده و در دسترس قرار بگیرند. روتربردهای میکروتیک متنوعی وارد بازار شده که هریک مشخصات خاص خود را داشته و یک سری ویژگیها ارائه میدهند.
وقتی شما سیستمعامل RouterOS را روی یک روتربرد نصب میکنید یا به صورت ماشین مجازی روی پیسی ویندوزی راهاندازی میکنید؛ حالا شما یک روتر میکروتیک کامل دارید و میتوانید هر کاری در شبکه از مسیریابی و فایروال تا راهاندازی ویپیان، لود بالانسینگ، فیلترینگ، مدیریت کاربران و مجوزها و دسترسیها و دهها کار دیگر را انجام دهید.
چون سیستمعامل RouterOS مبتنی بر لینوکس است و غالبا با دستورات خط فرمان کار میکند؛ یک رابط کاربری گرافیکی به نام وین باکس (Winbox) نیز توسعه داده شده است که به سادگی همانند یک نرمافزار ویندوزی روی پیسیهای معمولی نصب میشود و از طریق یک آیپی سرور با روتر میکروتیک ارتباط برقرار خواهد کرد و کاربران میتوانند برخی تنظیمات و راهاندازیها را توسط آن انجام دهند. معمولا، کاربران حرفهای هم از Winbox و هم از دستورات خط فرمان برای ارتباط با RouterOS استفاده میکنند.
خوب، فکر میکنیم این چند اصطلاح مهم مرتبط با روترهای میکروتیک را تا حدود درک کردیم تا در ادامه دیگر به مشکلی برنخوریم. حالا باید کمی با پروتکل IKEV2 آشنا شویم و مزایا یا دلایل استفاده از آن برای VPN سرور را بدانیم:
مزایای پروتکل IKEV2 چیست؟
OpenVPN محبوبترین پروتکل رمزنگاری و ساخت VPN است ولی به خاطر پروسه رمزنگاری بسیار پیچیده و سطح بالایی که دارد؛ مقداری با کندی همراه است. شاید بیش از ۹۰ درصد کاربران در اینترنت نیازی به چنین رمزنگاری سخت و پیچیدهای ندارد ولی در عوض میخواهند سرعت تبادل اطلاعات بالاتری داشته باشند.
بنابراین، در سالهای اخیر از پروتکل IKEV2 استفاده شده است که به طوری یک تعادل میان «سرعت» و «امنیت» برقرار میکند. پروتکل IKEV2 روی همه سیستمعاملها حتی بلکبری قابل نصب است و از iOS 10 به بالا نیز اپل از آن پشتیبانی میکند.
IKEV2 مخفف دو عبارت IKE و V2 است. IKE مخفف internet Key Exchange و V2 نیز نشاندهنده نسخه دوم است. اگر بدانید چه شرکتهای این پروتکل را توسعه دادند؛ آنوقت متوجه خواهید شد که چرا در میان کاربران و مهندسان شبکه اینقدر محبوب شده است: IKEV2 حاصل همکاری دو شرکت مایکروسافت و سیسکو است؛ یعنی یک طرف غول دنیای نرمافزار و طرف دیگر غول دنیای شبکه!
IKEV2 براساس پروتکلهای امنیتی ISAKMP و SKEME و OAKLEY کار میکند و همانند پروتکل OpenVPN میتواند یک تونل امن برای تبادل اطلاعات میان سرور و کلاینت راه دور در بستر شبکه و اینترنت بسازد. معمولا، پروتکل رمزنگاری IPSec مورد استفاده قرار میگیرد ولی با طیف گستردهای از دیگر پروتکلهای رمزنگاری ۲۵۶ بیتی نیز کار خواهد کرد.
اگر بخواهیم درباره IKEv2 صحبت کنیم؛ باید چند مقاله کامل درباره نحوه کار این پروتکل و تفاوتهای ورژن ۱ و ۲ و همینطور تفاوتهایش با OpenVPN و دیگر پروتکلهای رمزنگاری بنویسیم. اما برای دانستن بیشتر میتوانید به آموزش امنیت شبکه سایت فرادرس مراجعه کنید که شامل چندین دوره کامل آموزش رمزنگاری و آشنایی با پروتکلهای VPN است.
چرا باید پروتکل IKEV2 را روی میکروتیک راهاندازی کنیم؟
شاید یک پرسش در ذهن شما نقش بسته باشد: چرا باید برای استفاده از IKEV2، حتما آن را روی یک روتر میکروتیک نصب و راهاندازی کرد؟ آیا یک کاربر معمولی ویندوز، لینوکس، اندروید و iOS نمیتواند از پروتکل IKEV2 استفاده کند؟
جواب این است که وقتی شما کلاینت هستید و صرفا میخواهید اطلاعات رمزنگاری از کامپیوتر خود برای یک سرور راه دور در اینترنت بفرستید؛ نیازی به نصب و راهاندازی IKEV2 روی میکروتیک ندارید و با همین نرمافزارهای ویپیان معمولی میتوانید از این پروتکل استفاده کنید.
اما وقتی میخواهید IKEV2 را در شبکه و محل کار خود برای ارتباط میان دو کامپیوتر یا دو سایت استفاده کنید؛ نیاز به راهاندازی یک VPN دارید و چه سختافزار و نرمافزاری بهتر از روتربرد میکروتیک که انبوهی از ویژگیها و امکانات دیگر در اختیار شما قرار میدهد. برای آشنایی بیشتر با روتربردهای میکروتیک بهتر است روی لینک زیر از سایت فرادرس کلیک کنید:
تصور کنید یک دفتر مرکزی دارید و چندین دفتر شعبه نیز در همان شهر یا شهرهای دیگر دایر کردید و حالا میخواهید میان این دفاتر یک ارتباط VPN راهاندازی کنید. اینجا نیاز به یک روتربرد میکروتیک و راهاندازی پروتکل رمزنگاری مانند IKEV2 خواهید داشت!
آموزش راهاندازی IKEV2 روی میکروتیک
پیش از رفتن برای راهاندازی IKEV2 روی میکروتیک، باید چند نکته را بدانیم و پیشنیازهایی آماده کرده باشیم.
نخست، قرار است IKEV2 با IPSec و هر دو صورت رمزنگاری RSA و PSK راهاندازی شود.
برای راهاندازی IKEV2 در میکروتیک حتما باید یک گواهینامه (Certificate) معتبر از شرکتهای ارائهدهنده سرویسهای VPN یا SSL خریداری کرده باشیم و این گواهینامه هم به نام دامنه سایتی باشد که قرار است ارتباط امن برقرار کند یا براساس آدرس IP سرور و روتر میکروتیک باشد.
نکته بعدی اینکه حتما باید در میکرونیک به این گواهینامه لاگین کرده باشیم و در آن معرفی و روی همه کامپیوترهایی که قرار است در این VPN کار کنند؛ نصب و راهاندازی شده باشد. معمولا، افرادی که با روتربردهای میکروتیک کار کردند؛ به خوبی با دستورات و مراحل Sing کردن یک گواهینامه برای سرور و کلاینک آشنایی دارند.
پس از اینکه به گواهینامه Sing کردیم و تنظیمات لازم انجام شد؛ سراغ تنظیمات IPSec میرویم. همانطور که اشاره شد؛ بیشتر دستورات میکروتیک هنوز مبتنی بر خط فرمان هستند.
نرمافزار Winbox را باز کرده و برای تنظیمات IPSec و همینطور راهاندازی IKEV2 در RouterOS، دستوراتی مشابه زیر را خط به خط وارد میکنیم:
/ip pool add name=rw-pool ranges=192.168.77.2-192.168.77.254 set 0 level=unique dst-address=192.168.77.0/24 ip ipsec mode-conf/ add name=cfg1 send-dns=yes address-pool=rw-pool address-prefix=32 ip ipsec peer/ add auth-method=rsa-signature certificate=server1 generate-policy=port-strict \ mode-config=cfg1 passive=yes remote-certificate=none
با دستورات بالا یک IP Pool برای IKEV2 میسازیم. در صورتی نیاز به ساخت IP Pool جدید روی میکروتیک خواهید داشت که قبلا یک IP Pool فعال نداشته باشید یا سرویسهای ویپیانی مانند L2TP و PPTP در حال اجرا نداشته باشید؛ وگرنه میتوانید از IP Pool همانها استفاده کنید.
پس از ساخت IP Pool جدید، باید سراغ ساخت یک IPSec Mode Config بروید که در خط سوم دستورات بالا آورده شده است. مرحله بعدی، ساخت یک IPSec Peer است. به جای دستورات بالا برای IPSec Peer میتوانید دستورات زیر را وارد کنید که دقیقتر و با تنظیمات و پیکربندی بیشتر برای سرور IKEV2 هستند:
/ip ipsec peer add address=0.0.0.0/0 auth-method=rsa-signature certificate=server dh-group=modp2048 dpd-interval=1h \ enc-algorithm=aes-256,aes-128 exchange-mode=ike2 generate-policy=port-strict hash-algorithm=sha256 \ lifetime=1h mode-config=cfg1 my-id=fqdn:vpn.server passive=yes remote-certificate=vpn.client \ send-initial-contact=no
تا اینجا میتوان گفت که پروتکل IKEv2 روی میکروتیک پیکربندی و راهاندازی شده است ولی معمولا اقداماتی دیگر هم نیاز است تا بتوان با گوشیهای موبایل اندرویدی و iOS به این شبکه خصوصی مجازی وصل شد.
شما باید هر دو گواهینامه Client certificate و CA certificate را با کمک زبان برنامهنویسی پایتون روی دستگاه آیفون یا آیپد نصب کنید و بعد یک پروفایل VPN بسازید. برای آموزش کامل راه اندازی IKEv2 روی میکروتیک میتوانید ویدئوی آموزشی زیر را در سایت فرادرس مشاهده کنید:
دقت کنید اگر چند دفتر کار راه دور و یک دفتر مرکزی داشته باشید؛ باید IKEv2 را برای همه این دفاتر ست کرده و سیاستهای دسترسی و مجوزدهی درستی برای هریک از این دفترها (Client Site) داشته باشید. برای دفتر مرکزی حداقل یک آدرس IP عمومی نیاز است و برای دفتر فرعی نیز بهتر است به هریک آدرس IP عمومی اختصاص پیدا کند.
در دفتر مرکزی و دفاتر فرعی باید روتربرد میکروتیک نصب شده باشد. معمولا روتربرد میکروتیک RB750Gr3 کافی است و میتواند رمزنگاری سختافزاری کاملی پیادهسازی کند. باید ساعت تمام این روترها یکسان باشد و از یک سرور NTP ساعت را دریافت کنند. بعد برای هر دفتر باید یک IP Peer اختصاص پیدا کند و نوع الکوریتم رمزنگاری یکسانی ست شود.
شاید در وهله نخست، کار کردن با روتربردهای میکروتیک سخت به نظر برسد ولی اگر آموزشهای درست و خوبی همراه با شبیهسازی گذرانده باشید؛ مطمئنا سریعا میتوانید روتربرد میکروتیک شرکت یا دفتر کار خود را تنظیم کرده و به ویژگیهای زیادی که این سختافزار/نرمافزار میدهند؛ دسترسی داشته باشید.
این روزها، کار با میکروتیکها یک مهارت تخصصی با ارزشی در بازار کار است و شما هرچقدر روی افزایش دانش خود سرمایهگذاری کنید؛ آینده شغلی بهتری را برای خودتان تضمین کردید. حداقلاش این است که میتوانید نیازهای شبکه خودتان را برطرف کرده و وابسته به دیگران نباشید یا شبکه خود را پویاتر و توانمندتر کنید. میکروتیک دریای وسیعی است که راهاندازی ویپیان IKEv2 در آن فقط یک بخش کوچکی از امکانات آن را به رخ میکشد.
امیدواریم از مطالعه مقاله راه اندازی Ikev2 در میکروتیک لذت برده باشید.
اگر برای خرید مودم، اینترنت و تجهیزات شبکه سوال داشتید یا نیاز به راهنمایی و کمک دارید؛ کانال تلگرام شبکهچی به آیدی shabakehchi@ را فالو و پرسش خود را برای مدیر کانال بفرستید تا جواب دهیم.