Mohammadreza Soleimani 536 روز پیش verl
بازدید 6693 بدون دیدگاه

راه اندازی L2TP Site to Site VPN در میکروتیک

راه اندازی L2TP Site to Site VPN در میکروتیک، در این مقاله قصد داریم راه اندازی L2TP Site to Site VPN را در روتر برد های میکروتیک مورد بررسی قرار دهیم. L2TP یک پروتکل Tunneling در لایه دو ( Layer 2 Tunneling Protocol ) می باشد. این پروتکل در واقع پروتکلی اشتراکی بین سیسکو و مایکروسافت محسوب می گردد و امنیت در آن از PPTP بالاتر می باشد. PPTP یک پروتکل قبل از L2TP می باشد و به همین منظور از نظر امنیت ضعف هایی دارد. باید درنظر  داشت که L2TP در بستر پروتکل UDP و پورت 1701 کار می نماید. بنابراین چنانچه از یک فایروال در شبکه بهره می بریم باید پورت مورد نظر حتما باز باشد. رمزنگاری پیش فرض در L2TP ، 256 بیت می باشد.

 

راه اندازی L2TP Site to Site VPN در میکروتیک

فهرست مطالب

  1. L2TP Site to Site VPN
  2. مزایا
  3. معایب
  4. پیاده سازی

 

مزایای L2TP

  • امنیت بالاتر نسبت به پروتکل PPTP بخصوص در هنگام بهره گیری از IPSEC . پروتکل L2TP را می توان بدون IPsec نیز پیاده سازی نمود اما جهت امنیت بیشتر پیشنهاد می شود که L2TP را با بهره گیری از IPsec پیاده سازی نمود.
  • یکی از مزایای دیگر L2TP سادگی در پیاده سازی است.
  • پروتکل L2TP بسیار پایدار است. این پروتکل حتی با اینترنت های با سرعت پایین تر نیز سازگاری خواهد داشت.

 

معایب L2TP

  • سرعت ارتباط در L2TP پایین تر می باشد این به دلیل رمزنگاری و IPsec می باشد. هرچه از متد های رمزنگاری بیشتری در ارتباطات استفاده شود به همان نسبت نیز Overhead ها افزوده شده و سرعت ارتباطات کاهش پیدا می نماید.
  • پورت های L2TP به راحتی Block می گردند. پورت L2TP توسط فایروال ها به راحتی مسدود می شود و می بایست به صورت دستی این پورت ها را باز نمود.

 

 

پیاده سازی L2TP Site to Site VPN در میکروتیک

جهت پیاده سازی L2TP Site to Site VPN در میکروتیک سناریو زیر مفروض می باشد:

توپولوژی

در این سناریو از دو روتر به عنوان شعبه اول ( HQ ) و شعبه دوم ( Branch ) استفاده می نماییم. پس از پیاده سازی دسترسی PC در شعبه 1 به  PCموجود در شعبه 2 امکان پذیر خواهد بود و این صحت فرایند انجام شده را تایید خواهد نمود.

همانطور که مشاهده می نمایید برای شکل گیری VPN نیاز به اینترنت می باشد. همچنین دو شعبه در شبکه های مجزا از یکدیگر ( 192.168.1.0 – 172.16.1.0 ) می باشند. در این سناریو روتر HQ را به عنوان L2TP Server و روتر Branch را به عنوان L2TP Client در نظر می گیریم و به همین واسطه بین روتر های HQ و Branch یک تونل ( Tunnel ) شکل می گیرد. تمام داده هایی که بین PC1 و PC2 تبادل خواهند شد از این Tunnel عبور خواهند نمود. همچنین اطلاعات درون Tunnel رمزنگاری و Encrypt خواهند شد. باید در نظر داشت اگر مراحل پیاده سازی به درستی انجام پذیرد دو کامپیوتر در دو سایت ( شعبه ) مختلف قادر به برقراری ارتباط خواهند بود.

نکته: در این سناریو به دلیل اینکه یک محیط شبیه سازی شده است آدرس IP Public در دسترس نبود لذا بین روتر HQ و Branch از آدرس  ( 192.168.12.0/24) استفاده گردید ولی در محیط واقعی در اینترفیس های متصل به اینترنت می بایست آدرس public IP قرار گیرد. در این سناریو فرض بر این است که آدرس های شبکه  192.168.12.0 آدرس Public می باشند.

در نظر داشته باشید در این سناریو ها آدرس های IP از قبل بر روی دستگاه ها و روتربرد های میکروتیک تنظیم گردیده. چنانچه نیاز به یادگیری نحوه قرار دادن آدرس IP روی روتربرد های میکروتیک دارید، میتوانید مقاله (تنظیم آدرس IP روی میکروتیک) را مورد مطالعه قرار دهید. در این سناریو قصد داریم کامپیوتر هایی که در شبکه شعبه دوم ( Branch ) قرار دارند به کامپیوتر ها و سرور های موجود در شعبه HQ دسترسی داشته باشند.

در مرحله اول جهت می بایست ارتباط بین شعبه HQ و Branch را بررسی نماییم. این ارتباط در محیط واقعی یک ارتباط با آدرس Public IP می باشد که ما در این سناریو از آدرس IP در رنج شبکه 192.168.12.0 استفاده نمودیم . جهت بررسی یک پینگ از سمت Branch به سمت HQ ارسال می نماییم.

پینگ

 

همانطور که مشخص است ارتباط برقرار است. مجدد باید به این نکته توجه نمود که در محیط واقعی به جای 192.168.12.2 آدرس Public IP قرار می گیرد. در مرحله بعدی می بایست L2TP را در شعبه اصلی ( HQ ) فعال نماییم. جهت انجام این کار در روتر برد سمت HQ از منوی نرم افزار Winbox گزینه PPP را انتخاب نموده و  در پنجره باز شده بر روی گزینه L2TP Server کلیک می نماییم. در پنجره باز شده گزینه Enable را فعال نموده و قسمت Default Profile را بروی Default-encryption قرار می دهیم. دقت داشته باشید که در این قسمت چنانچه قصد داشته باشیم جهت امنیت بیشتر از IPsec استفاده نماییم می توان قسمت Use IPsec را بر روی yes قرار دهیم و در قسمت IPsec Secret نیز یک رمز عبور برای آن در نظر می گیریم و در نهایت بر روی OK کلیک می نماییم.

فعالسازی L2TP

 

در مرحله بعدی می بایست جهت برقراری ارتباط بین دو شعبه یک نام کاربری و رمز عبور ایجاد نماییم و شعبه Branch با استفاده از این نام کاربری و رمز عبور ارتباط خود را برقرار می سازد. این تنظیمات کماکان در روتربرد شعبه اصلی ( HQ ) انجام می گیرد. به همین منظور در همان منوی PPP بر روی تب Secret کلیک می نماییم. با کلیک بر روی + می توان نام کاربری و رمز عبور جدید را تعریف نمود. در پنجره باز شده در قسمت Name ، نام کاربری مد نظر را وارد نموده و در قسمت Password نیز رمز عبور را وارد می نماییم. در قسمت Service گزینه L2TP را انتخاب می کنیم چرا که قصد داریم از L2TP استفاده نماییم هرچند که با انتخاب Any نیز مشکلی پیش نخواهد آمد. همچنین در قسمت Profile گزینه Default-encryption را انتخاب می نماییم.

هنگامی که ارتباط L2TP شکل میگیرد یک آدرس IP به اینترفیس های L2TP اختصاص می یابد. به همین جهت یک آدرس IP برای مبدا و مقصد باید در نظر بگیریم. در قسمت Local Address در واقع آدرس IP که قرار است به اینترفیس L2TP در سمت HQ قرار گیرد را وارد نموده و در قسمت Remote Address نیز آدرسی که به شعبه دوم تخصیص خواهد یافت را وارد می نماییم که در این سناریو ما از آدرس 10.10.10.1 جهت شعبه HQ و از 10.10.10.2 جهت شعبه Branch استفاده می نماییم. این آدرس ها به اینترفیس های L2TP Tunnel اعمال خواهد گردید.

ایجاد نام کاربری

 

تنظیمات لازم در شعبه اصلی ( HQ ) پایان پذیرفته اکنون می بایست تنظیمات لازم در روتر برد شعبه Branch انجام پذیرد. در منوی نرم افزار Winbox گزینه PPP را انتخاب می نماییم. با کلیک بر روی + گزینه L2TP Client را انتخاب نموده و تنظیمات را در تب Dial Out انجام می دهیم. در قسمت Connect to آدرس Public IP شعبه اصلی ( HQ ) را وارد می نماییم که در این سناریو آدرس 192.168.12.1 می باشد. در قسمت User و Password نام کاربری و رمز عبور ایجاد شده در HQ را وارد می نماییم. چنانچه از IPsec استفاده نمودیم می بایست گزینه Use IPsec را فعال نموده و رمز مربوطه را وارد نماییم.

ایجاد L2TP Client

 

اکنون در پنجره تنظیمات PPP یک ردیف اضافه خواهد شد. در ستون اول یک حرف R وجود خواهد داشت که به معنای Running است و نشان دهنده فعال بودن ارتباط L2TP می باشد.

اتصال

 

همچنین جهت بررسی اتصال در سمت شعبه HQ نیز می توان در تنظیمات PPP و در تب Active Connection ارتباط شکل گرفته را مشاهده نماییم.

ارتباطات فعال

 

در این مرحله ارتباطات L2TP و IPsec برقرار گردیده اما باید دقت داشت که کماکان ارتباطات بین شبکه های 192.168.1.0 و 172.16.1.0 وجود ندارد چرا که هیچ اطلاعاتی روی روتر HQ در مورد شبکه 172.16.1.0 وجود ندارد همچنین در روتر Branch نیز اطلاعاتی در مورد شبکه  192.168.1.0 وجود ندارد. برای رفع این مشکل باید روی هر دو روتر برد یک Static Route ایجاد نماییم. برای انجام این کار در روتر HQ در متوی نرم افزار Winbox گزینه IP و از زیر متوی باز شده گزینه Route را انتخاب می نماییم. با کلیک بر روی +  می توان یک Route به جدول مسیریابی به صورت دستی اضافه نمود. در پنجره باز شده در قسمت Dst.Address آدرس شبکه 172.16.1.0/24 را قرار می دهیم و در قسمت Gateway آدرس IP مربوط به L2TP Tunnel شعبه Branch را وارد می نماییم که در اینجا 10.10.10.2 می باشد.

روت دستی HQ

 

همچنین در روتر Branch نیز باید یک Static Route به سمت شبکه 192.168.1.0/24 تنظیم نماییم. جهت انجام این کار در روتر Branch در متوی نرم افزار Winbox گزینه IP و از زیر متوی باز شده گزینه Route را انتخاب می نماییم. با کلیک بر روی +  می توان یک Route به جدول مسیریابی به صورت دستی اضافه نمود. در پنجره باز شده در قسمت Dst.Address آدرس شبکه 192.168.1.0/24 را قرار می دهیم و در قسمت Gateway آدرس IP مربوط به L2TP Tunnel شعبه HQ را وارد می نماییم که در اینجا 10.10.10.1 می باشد.

روت دستی Branch

 

اکنون پیاده سازی L2TP Site to Site VPN به صورت کامل انجام گرفته و ارتباط دو شعبه به صورت کامل برقرار می باشد.

 

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Select the fields to be shown. Others will be hidden. Drag and drop to rearrange the order.
  • Image
  • SKU
  • Rating
  • Price
  • Stock
  • Availability
  • Add to cart
  • Description
  • Content
  • Weight
  • Dimensions
  • Additional information
Click outside to hide the comparison bar
Compare