راه اندازی Ikev2 در میکروتیک | به صورت مرحله به مرحله و تصویری – معرفی منابع آموزشی

این روزها استفاده از پروتکل رمزنگاری IKEV2 برای راه‌اندازی یک VPN میان دو کامپیوتر یا بهتر بگوییم دو سایت و شعبه دفتر کاری راه دور، افزایش یافته است. چون پروتکل IKEV2 نسبتا جدید و قابلیت‌های بسیار خوبی برای ساخت یک شبکه خصوصی مجازی و ارسال و دریافت اطلاعات به صورت امن و رمزنگاری شده دارد.

ساده‌ترین روش برای راه‌اندازی سرور IKEV2 نیز استفاده از روتربوردهای میکروتیک است. روتربردهای میکروتیک در کنار نرم‌افزار Winbox و سیستم‌عامل RouterOS ویژگی‌های بسیار زیادی به شما در بحث VPN و فایروال و پروکسی سرور می‌دهند و به سادگی می‌توان روی آن‌ها یک SSH یا وب سرتر و تلنت را نصب و راه‌اندازی کرد و برای هریک از کاربران یک مجوز دسترسی محلی داد.

امروزه، غالب مهندسان و متخصصان شبکه شروع به استفاده از سخت‌افزارها و نرم‌افزارهای میکروتیک کردند تا بتوانند نیازهای خود مانند مسیریابی در شبکه، راه‌اندازی انواع سرورها از جمله وب سرور، وی‌پی‌ان سرور، پروکسی سرور، فایل سرور، دیواره آتش (فایروال) و غیره را برطرف کنند.

اگر با این مفاهیم آشنایی زیادی ندارید و علاقه‌مند گذراندن آموزش شبکه‌های کامپیوتری هستید؛ پیشنهاد می‌کنیم به سایت زیر سری بزنید تا این مفاهیم را با زبانی ساده و کاربردی یاد بگیرید.

• مجموعه آموزش شبکه های کامپیوتری — کلیک کنید

سرورهای میکروتیک به شما بالاترین پایداری و امنیت را می‌بخشند و از سرعت بوت بالا و یک سری فرآیندهای خودکار برای انجام دادن کارها برخوردار هستند. این سرورها را می‌توان در چند دقیقه نصب کرده و سری فرامین به آن دادن تا بدون نیاز به لاگین کردن چند باره و پشت سر هم یا فرآیندهای ریستارت، این کارها با سرعت و پایداری بالا انجام شوند.

تنظیمات و راه‌اندازی سرورهای میکروتیک هم ساده است و در بیشتر اوقات می‌توانید این تنظیمات را از روی یک سیستم به سیستم دیگر کپی کنید. به همین دلیل، در سال‌های اخیر، بسیاری از کسب‌وکارها یا متخصصان شبکه علاقه دارند با سرورهای میکروتیک یک VPN راه‌اندازی کنند و در این میان پروتکل وی‌پی‌ان نسبتا جدید IKEV2 خوش درخشیده است. ما در این مطلب، ابتدا می‌خواهیم نگاهی به برخی مفاهیم و پروتکل‌ها داشته باشیم و بعد مراحل نصب پروتکل IKEV2 روی میکروتیک را بررسی کنیم.

آشنایی با میکروتیک، روتربرد میکروتیک، Winbox و RouterOS

اگر کمی در دنیای شبکه و امنیت و سخت‌افزارهای اینترنت بوده باشید؛ احتمالا این عبارت‌ها را شنیده و دیده‌اید. برخی می‌گویند میکروتیک یک سخت‌افزار است و برخی دیگر میکروتیک را یک سیستم‌عامل و نرم‌افزار می‌دانند. در یک مقاله از سرور میکروتیک صحبت می‌شود و در مقاله دیگری می‌گویند روتر میکروتیک یا تنظیمات شبکه در نرم‌افزار میکروتیک!

باید بگوییم که تقریبا همه این اصطلاح‌ها و مفاهیم درست هستند. در ابتدا، سال ۱۹۹۶ دو دانشجوی دانشگاه ام‌آی‌تی ایالات متحده از کشور «لتویا» در اروپای شرقی، سیستم‌عامل میکروتیک (MicroTik) را توسعه داده و به بازار عرضه کردند. این سیستم‌عامل بر پایه هسته لینوکس بود ولی بزرگ‌ترین مزیت‌اش، قابلیت نصب روی پی‌سی‌های معمولی و مبتنی بر ویندوز مایکروسافت بود.

میکروتیک می‌خواست همان کاری را بکند که شرکت عظیم سیسکو در شبکه‌های کامپیوتری انجام می‌داد؛ ولی با هزینه پایین‌تر و ساده‌تر و البته برای کاربران معمولی شبکه. این شرکت در ادامه و پس از سه سال فعالیت، به این نتیجه رسید که باید همانند سیسکو، سخت‌افزار هم کنار نرم‌افزار و سیستم‌عامل داشته باشد؛ بنابراین وارد فاز تولید و عرضه روترهای میکروتیک شد.

به این ترتیب، سیستم‌عامل مبتنی بر لینوکس این شرکت برای مدیریت و کنترل روترهای میکروتیک، RouterOS نام گرفت. سیستم‌عامل RouterOS می‌توان در شبکه به عنوان یک فایروال یا روتر نرم‌افزاری نیز فعالیت کند و طیف وسیعی از ویژگی‌ها و امکانات را در اختیار شما قرار می‌دهد. سازگاری RouterOS با نسخه‌های مختلف ویندوز سرور و پی‌سی باعث محبوبیت زیاد میکروتیک شده است. برای آشنایی کامل با میکروتیک و ویژگی‌ها و مزایای آن می‌توانید روی لینک زیر کلیک کنید:

• آموزش آشنایی با میکروتیک – کلیک کنید

سیستم‌عامل میکروتیک می‌تواند به چند شکل مورد استفاده قرار بگیرد: نخست روی یک پی‌سی یا ماشین مجازی نصب شود. روش دوم، نصب روی سخت‌افزارهایی است که روتربرد (RouterBoard) گفته می‌شود و ساخت خود شرکت میکروتیک است و دارای تعدادی درگاه شبکه هستند تا در یک شبکه LAN محلی نصب شده و در دسترس قرار بگیرند. روتربردهای میکروتیک متنوعی وارد بازار شده که هریک مشخصات خاص خود را داشته و یک سری ویژگی‌ها ارائه می‌دهند.

وقتی شما سیستم‌عامل RouterOS را روی یک روتربرد نصب می‌کنید یا به صورت ماشین مجازی روی پی‌سی ویندوزی راه‌اندازی می‌کنید؛ حالا شما یک روتر میکروتیک کامل دارید و می‌توانید هر کاری در شبکه از مسیریابی و فایروال تا راه‌اندازی وی‌پی‌ان، لود بالانسینگ، فیلترینگ، مدیریت کاربران و مجوزها و دسترسی‌ها و ده‌ها کار دیگر را انجام دهید.

چون سیستم‌عامل RouterOS مبتنی بر لینوکس است و غالبا با دستورات خط فرمان کار می‌کند؛ یک رابط کاربری گرافیکی به نام وین باکس (Winbox) نیز توسعه داده شده است که به سادگی همانند یک نرم‌افزار ویندوزی روی پی‌سی‌های معمولی نصب می‌شود و از طریق یک آی‌پی سرور با روتر میکروتیک ارتباط برقرار خواهد کرد و کاربران می‌توانند برخی تنظیمات و راه‌اندازی‌ها را توسط آن انجام دهند. معمولا، کاربران حرفه‌ای هم از Winbox و هم از دستورات خط فرمان برای ارتباط با RouterOS استفاده می‌کنند.

خوب، فکر می‌کنیم این چند اصطلاح مهم مرتبط با روترهای میکروتیک را تا حدود درک کردیم تا در ادامه دیگر به مشکلی برنخوریم. حالا باید کمی با پروتکل IKEV2 آشنا شویم و مزایا یا دلایل استفاده از آن برای VPN سرور را بدانیم:

مزایای پروتکل IKEV2 چیست؟

OpenVPN محبوب‌ترین پروتکل رمزنگاری و ساخت VPN است ولی به خاطر پروسه رمزنگاری بسیار پیچیده و سطح بالایی که دارد؛ مقداری با کندی همراه است. شاید بیش از ۹۰ درصد کاربران در اینترنت نیازی به چنین رمزنگاری سخت و پیچیده‌ای ندارد ولی در عوض می‌خواهند سرعت تبادل اطلاعات بالاتری داشته باشند.

بنابراین، در سال‌های اخیر از پروتکل IKEV2 استفاده شده است که به طوری یک تعادل میان «سرعت» و «امنیت» برقرار می‌کند. پروتکل IKEV2 روی همه سیستم‌عامل‌ها حتی بلک‌بری قابل نصب است و از iOS 10 به بالا نیز اپل از آن پشتیبانی می‌کند.

IKEV2 مخفف دو عبارت IKE و V2 است. IKE مخفف internet Key Exchange و V2 نیز نشان‌دهنده نسخه دوم است. اگر بدانید چه شرکت‌های این پروتکل را توسعه دادند؛ آن‌وقت متوجه خواهید شد که چرا در میان کاربران و مهندسان شبکه این‌قدر محبوب شده است: IKEV2 حاصل همکاری دو شرکت مایکروسافت و سیسکو است؛ یعنی یک طرف غول دنیای نرم‌افزار و طرف دیگر غول دنیای شبکه!

IKEV2 براساس پروتکل‌های امنیتی ISAKMP و SKEME و OAKLEY کار می‌کند و همانند پروتکل OpenVPN می‌تواند یک تونل امن برای تبادل اطلاعات میان سرور و کلاینت راه دور در بستر شبکه و اینترنت بسازد. معمولا، پروتکل رمزنگاری IPSec مورد استفاده قرار می‌گیرد ولی با طیف گسترده‌ای از دیگر پروتکل‌های رمزنگاری ۲۵۶ بیتی نیز کار خواهد کرد.

اگر بخواهیم درباره IKEv2 صحبت کنیم؛ باید چند مقاله کامل درباره نحوه کار این پروتکل و تفاوت‌های ورژن ۱ و ۲ و همین‌طور تفاوت‌هایش با OpenVPN و دیگر پروتکل‌های رمزنگاری بنویسیم. اما برای دانستن بیشتر می‌توانید به آموزش امنیت شبکه سایت فرادرس مراجعه کنید که شامل چندین دوره کامل آموزش رمزنگاری و آشنایی با پروتکل‌های VPN است.

چرا باید پروتکل IKEV2 را روی میکروتیک راه‌اندازی کنیم؟

شاید یک پرسش در ذهن شما نقش بسته باشد: چرا باید برای استفاده از IKEV2، حتما آن را روی یک روتر میکروتیک نصب و راه‌اندازی کرد؟ آیا یک کاربر معمولی ویندوز، لینوکس، اندروید و iOS نمی‌تواند از پروتکل IKEV2 استفاده کند؟

جواب این است که وقتی شما کلاینت هستید و صرفا می‌خواهید اطلاعات رمزنگاری از کامپیوتر خود برای یک سرور راه دور در اینترنت بفرستید؛ نیازی به نصب و راه‌اندازی IKEV2 روی میکروتیک ندارید و با همین نرم‌افزارهای وی‌پی‌ان معمولی می‌توانید از این پروتکل استفاده کنید.

اما وقتی می‌خواهید IKEV2 را در شبکه و محل کار خود برای ارتباط میان دو کامپیوتر یا دو سایت استفاده کنید؛ نیاز به راه‌اندازی یک VPN دارید و چه سخت‌افزار و نرم‌افزاری بهتر از روتربرد میکروتیک که انبوهی از ویژگی‌ها و امکانات دیگر در اختیار شما قرار می‌دهد. برای آشنایی بیشتر با روتربردهای میکروتیک بهتر است روی لینک زیر از سایت فرادرس کلیک کنید:

• آموزش روتربردهای میکروتیک – کلیک کنید

تصور کنید یک دفتر مرکزی دارید و چندین دفتر شعبه نیز در همان شهر یا شهرهای دیگر دایر کردید و حالا می‌خواهید میان این دفاتر یک ارتباط VPN راه‌اندازی کنید. اینجا نیاز به یک روتربرد میکروتیک و راه‌اندازی پروتکل رمزنگاری مانند IKEV2 خواهید داشت!

آموزش راه‌اندازی IKEV2 روی میکروتیک

پیش از رفتن برای راه‌اندازی IKEV2 روی میکروتیک، باید چند نکته را بدانیم و پیش‌نیازهایی آماده کرده باشیم.

نخست، قرار است IKEV2 با IPSec و هر دو صورت رمزنگاری RSA و PSK راه‌اندازی شود.

برای راه‌اندازی IKEV2 در میکروتیک حتما باید یک گواهی‌نامه (Certificate) معتبر از شرکت‌های ارائه‌دهنده سرویس‌های VPN یا SSL خریداری کرده باشیم و این گواهی‌نامه هم به نام دامنه سایتی باشد که قرار است ارتباط امن برقرار کند یا براساس آدرس IP سرور و روتر میکروتیک باشد.

نکته بعدی اینکه حتما باید در میکرونیک به این گواهی‌نامه لاگین کرده باشیم و در آن معرفی و روی همه کامپیوترهایی که قرار است در این VPN کار کنند؛ نصب و راه‌اندازی شده باشد. معمولا، افرادی که با روتربردهای میکروتیک کار کردند؛ به خوبی با دستورات و مراحل Sing کردن یک گواهی‌نامه برای سرور و کلاینک آشنایی دارند.

پس از اینکه به گواهی‌نامه Sing کردیم و تنظیمات لازم انجام شد؛ سراغ تنظیمات IPSec می‌رویم. همان‌طور که اشاره شد؛ بیشتر دستورات میکروتیک هنوز مبتنی بر خط فرمان هستند.

نرم‌افزار Winbox را باز کرده و برای تنظیمات IPSec و همین‌طور راه‌اندازی IKEV2 در RouterOS، دستوراتی مشابه زیر را خط به خط وارد می‌کنیم:

/ip pool add name=rw-pool ranges=192.168.77.2-192.168.77.254

set 0 level=unique dst-address=192.168.77.0/24

ip ipsec mode-conf/

add name=cfg1 send-dns=yes address-pool=rw-pool address-prefix=32

ip ipsec peer/

add auth-method=rsa-signature certificate=server1 generate-policy=port-strict

\

mode-config=cfg1 passive=yes remote-certificate=none

با دستورات بالا یک IP Pool برای IKEV2 می‌سازیم. در صورتی نیاز به ساخت IP Pool جدید روی میکروتیک خواهید داشت که قبلا یک IP Pool فعال نداشته باشید یا سرویس‌های وی‌پی‌انی مانند L2TP و PPTP در حال اجرا نداشته باشید؛ وگرنه می‌توانید از IP Pool همان‌ها استفاده کنید.

پس از ساخت IP Pool جدید، باید سراغ ساخت یک IPSec Mode Config بروید که در خط سوم دستورات بالا آورده شده است. مرحله بعدی، ساخت یک IPSec Peer است. به جای دستورات بالا برای IPSec Peer می‌توانید دستورات زیر را وارد کنید که دقیق‌تر و با تنظیمات و پیکربندی بیشتر برای سرور IKEV2 هستند:

/ip ipsec peer
add address=0.0.0.0/0 auth-method=rsa-signature certificate=server dh-group=modp2048 dpd-interval=1h \
enc-algorithm=aes-256,aes-128 exchange-mode=ike2 generate-policy=port-strict hash-algorithm=sha256 \
lifetime=1h mode-config=cfg1 my-id=fqdn:vpn.server passive=yes remote-certificate=vpn.client \
send-initial-contact=no

تا اینجا می‌توان گفت که پروتکل IKEv2 روی میکروتیک پیکربندی و راه‌اندازی شده است ولی معمولا اقداماتی دیگر هم نیاز است تا بتوان با گوشی‌های موبایل اندرویدی و iOS به این شبکه خصوصی مجازی وصل شد.

شما باید هر دو گواهی‌نامه Client certificate و CA certificate را با کمک زبان برنامه‌نویسی پایتون روی دستگاه آیفون یا آیپد نصب کنید و بعد یک پروفایل VPN بسازید. برای آموزش کامل راه اندازی IKEv2 روی میکروتیک می‌توانید ویدئوی آموزشی زیر را در سایت فرادرس مشاهده کنید:

• آموزش راه اندازی IKEv2 در میکروتیک – کلیک کنید

دقت کنید اگر چند دفتر کار راه دور و یک دفتر مرکزی داشته باشید؛ باید IKEv2 را برای همه این دفاتر ست کرده و سیاست‌های دسترسی و مجوزدهی درستی برای هریک از این دفترها (Client Site) داشته باشید. برای دفتر مرکزی حداقل یک آدرس IP عمومی نیاز است و برای دفتر فرعی نیز بهتر است به هریک آدرس IP عمومی اختصاص پیدا کند.

در دفتر مرکزی و دفاتر فرعی باید روتربرد میکروتیک نصب شده باشد. معمولا روتربرد میکروتیک RB750Gr3 کافی است و می‌تواند رمزنگاری سخت‌افزاری کاملی پیاده‌سازی کند. باید ساعت تمام این روترها یکسان باشد و از یک سرور NTP ساعت را دریافت کنند. بعد برای هر دفتر باید یک IP Peer اختصاص پیدا کند و نوع الکوریتم رمزنگاری یکسانی ست شود.

شاید در وهله نخست، کار کردن با روتربردهای میکروتیک سخت به نظر برسد ولی اگر آموزش‌های درست و خوبی همراه با شبیه‌سازی گذرانده باشید؛ مطمئنا سریعا می‌توانید روتربرد میکروتیک شرکت یا دفتر کار خود را تنظیم کرده و به ویژگی‌های زیادی که این سخت‌افزار/نرم‌افزار می‌دهند؛ دسترسی داشته باشید.

این روزها، کار با میکروتیک‌ها یک مهارت تخصصی با ارزشی در بازار کار است و شما هرچقدر روی افزایش دانش خود سرمایه‌گذاری کنید؛ آینده شغلی بهتری را برای خودتان تضمین کردید. حداقل‌اش این است که می‌توانید نیازهای شبکه خودتان را برطرف کرده و وابسته به دیگران نباشید یا شبکه خود را پویاتر و توانمندتر کنید. میکروتیک دریای وسیعی است که راه‌اندازی وی‌پی‌ان IKEv2 در آن فقط یک بخش کوچکی از امکانات آن را به رخ می‌کشد.

امیدواریم از مطالعه مقاله راه اندازی Ikev2 در میکروتیک لذت برده باشید.