راه اندازی PPTP Site to Site VPN در میکروتیک

راه اندازی PPTP Site to Site VPN در میکروتیک، در این مقاله ابتدا ایده کلی VPN را مورد بررسی قرار می دهیم. یک شرکت با دو شعبه، یکی در تهران و دیگری در اصفهان مفروض می باشد که با فاصله چند صد کیلومتری از هم قرار دارند. در شعبه تهران یک شبکه داخلی وجود دارد و همچنین در شعبه اصفهان نیز یک شبکه داخلی وجود دارد. چنانچه قصد داشته باشیم کاربران شعبه تهران و اصفهان قادر به برقراری ارتباط با یکدیگر باشند، باید به نحوی یک ارتباط میان دو شعبه برقرار نمود.

راه اندازی PPTP Site to Site VPN در میکروتیک

فهرست مطالب

1. راه اندازی PPTP Site to Site VPN در میکروتیک
2. امکانات و قابلیت های VPN
3. انواع VPN
4. پیاده سازی

یکی از راهکار ها اجاره یک لینک اختصاصی WAN بین دو شعبه می باشد. این راهکار امنیت بالایی دارد چرا که یک لینک اختصاصی بین دو شعبه بر قرار گردیده. اما لینک های اختصاصی هزینه بالایی را بر شرکت تحمیل خواهد نمود. بنابراین تمامی شرکت ها قادر به استفاده از راهکار لینک اختصاصی نمی باشند. در چنین شرایطی با توجه به اینکه امروزه اینترنت سرعت بالا همه جا در دسترس می باشد و قیمت اینترنت بسیار مقرون به صرفه است، می توان با استفاده از اینترنت دو شعبه را به یکدیگر متصل نمود.

به دلیل اینکه تمامی افراد به شبکه اینترنت متصل هستند، یکی از مشکلات اینترنت مخاطرات امنیتی می باشد.

ممکن است قصد داشته باشیم اطلاعات بسیار مهم شرکت خود را بین شعب اشتراک گذاری کنیم و انجام چنین کاری در اینترنت بسیار پر خطر خواهد بود. در چنین شرایطی نیاز به راهکار دیگری خواهیم داشت و اینجاست که VPN نقش مهمی ایفا خواهد نمود.

در شعبه تهران یک روتر وجود دارد که به واسطه آن این شعبه به اینترنت متصل گردیده و در شعبه اصفهان نیز اوضاع از همین قرار می باشد و هر دو شعبه به اینترنت متصل هستد. با توجه به اتصال اینترنت و به واسطه VPN بین دو روتر یک تونل ( Tunnel ) ایجاد می گردد و داده های از درون این تونل ( Tunnel ) ارسال می شوند. همچنین به دلیل اینکه درون این تونل ( Tunnel ) داده ها رمز گذاری و Encrypt می شوند دسترسی به اطلاعات برای هکر ها امکان پذیر نخواهد بود و امنیت اطلاعات نیز تضیمن می گردد.

امکانات و قابلیت های VPN :

• محرمانه بودن ( Confidentiality ): درون VPN قابلیت Encryption وجود دارد تا دسترسی به اطلاعات برای افرادی که در اینترنت قرار دارند غیر ممکن گردد. این فرایند توسط پروتکل های رمزنگاری انجام می پذیرد.
• احراز هویت ( Authentication ): احراز هویت و راستی آزمایی جهت روتر یا کاربر Remote که در حال ارسال ترافیک VPN می باشد انجام می گیرد. برای مثال زمانی که روتر اصفهان قصد ارتباط VPN با روتر تهران را دارد می بایست Credential های لازم را ایجاد نماید که شامل نام کاربری و رمز عبور می باشد که اگر این احراز هویت به درستی انجام پذیرد اتصال برقرار خواهد شد .
• یکپارچگی ( Integrity ): به این معنی مکانیزم تاییدی وجود دارد که بسته های VPN در طول زمان ارسال و دریافت هیچ تغییری پیدا نکرده باشند.
• ( Anti-Replay ): قابلیتی است که از کپچر شدن ترافیک ها توسط افراد مهاجم و ارسال آن به عنوان دستگاه یا کاربر قانونی جلوگیری می نماید.

با توجه به مطالب گفته شده با مزایای و قابلیت های VPN آشنا شدیم اکنون به معرفی انواع VPN می پردازیم.

انواع VPN:

• Site to Site VPN: این نوع از VPN در شرایطی استفاده می گردد که قصد یک اتصال VPN دائمی بین دو شعبه به واسطه اینترنت وجود داشته باشد. برای انجام چنین کاری از Site to Site VPN استفاده می گردد. در این حالت ایجاد اتصال VPN توسط روتر های دو شعبه انجام می گیرد. هنگامی که یک بسته توسط یک دستگاه در شعبه 1 ایجاد می گردد مبدا بسته را خودش قرار داده و مقصد بسته را آدرس IP دستگاه شعبه مقصد قرار می دهد. هنگامی که بسته به روتر شعبه اول می رسد، روتر یک هدر VPN به آن اضافه نموده و مبدا و مقصد بسته را عوض می نماید و مبدا را خودش و مقصد را روتر شعبه دوم قرار می دهد. همچنین بسته Encrypt و رمزنگاری می شود و به سمت شعبه دوم ارسال می گردد. هنگامی که بسته به روتر شعبه دوم می رسد آن را به دستگاه مقصد ارسال می نماید.

• Client-to-Site VPN: در این نوع از VPN یک کاربر از خانه یا محلی دیگر قصد ارتباط با دستگاهی درون یک شعبه را دارد. این حالت بیشتر برای کارمندانی که به صورت دور کاری از منزل خود قصد ارتباط با شرکت را دارند مورد استفاده قرار می گیرد. در چنین شرایطی یک نرم افزار اتصال VPN درون کامپیوتر کاربر ایجاد می گردد و با استفاده از نام کاربری و رمز عبور یک تونل ( Tunnel ) به روتر شرکت شکل می گیرد.

راه اندازی PPTP Site to Site VPN در میکروتیک

جهت راه اندازی PPTP Site to Site VPN در میکروتیک از یک سناریو استفاده می نماییم. در این سناریو دو روتر به عنوان Office1 و Office2 استفاده می کنیم. پس از پیاده سازی دسترسی PC در شعبه 1 به  PCموجود در شعبه 2 امکان پذیر خواهد بود و این صحت فرایند انجام شده را تایید خواهد نمود.

توپولوژی سناریو به صورت زیر می باشد:

همانطور که مشاهده می نمایید برای شکل گیری VPN نیاز به اینترنت می باشد. همچنین دو شعبه در شبکه های مجزا از یکدیگر ( 192.168.1.0 – 172.16.1.0 ) می باشند. در این سناریو روتر HQ را به عنوان PPTP Server و روتر Branch را به عنوان PPTP Client در نظر می گیریم و به همین واسطه بین روتر های HQ و Branch یک تونل ( Tunnel ) شکل می گیرد. تمام داده هایی که بین PC1 و PC2 تبادل خواهند شد از این Tunnel عبور خواهند نمود. همچنین اطلاعات درون Tunnel رمزنگاری و Encrypt خواهند شد. باید در نظر داشت اگر مراحل پیاده سازی به درستی انجام پذیرد دو کامپیوتر در دو سایت ( شعبه ) مختلف قادر به برقراری ارتباط خواهند بود.

نکته: در این سناریو به دلیل اینکه یک محیط شبیه سازی شده است آدرس IP Public در دسترس نبود لذا بین روتر HQ و Branch از آدرس IP ( 192.168.12.0/24 ) استفاده گردید ولی در محیط واقعی در اینترفیس های متصل به اینترنت می بایست آدرس Public IP قرار گیرد. در این سناریو فرض بر این است که آدرس های 192.168.12.0 آدرس Public می باشند.

در نظر داشته باشید در این سناریو ها آدرس های IP از قبل بر روی دستگاه ها و روتربرد های میکروتیک تنظیم گردیده چنانچه نیاز به یادگیری نحوه قرار دادن آدرس IP روی روتربرد های میکروتیک دارید، می توانید مقاله (   ) را مورد مطالعه قرار دهید.

در ابتدا می بایست در روتر Branch روتر HQ را پینگ نماییم تا از متصل بودن آن ها در اینترنت مطمئن شویم. دقت فرمایید که باید آدرس Public IP آن ها را Ping کنیم در اینجا همانطور که گفته شد به دلیل نبود آدرس Public IP از روتر Branch آدرس 192.168.12.1 که مربوط به روتر HQ است پینگ را انجام می دهیم.

همانطور که مشاهده می نمایید، پاسخ پینگ انجام شده، نشان دهنده برقراری اتصال می باشد.

در مرحله بعد می بایست در روتر HQ که شعبه اصلی است، PPTP را در حالت default-encryption فعال نماییم. جهت فعال سازی PPTP یا هر پروتکل دیگری سه مرحله وجود دارد. 1- باید پروتکل را فعال نمود. 2- ایجاد پروفایل که در این پروفایل مشخص کنیم قصد داریم رمزنگاری کنیم و از چه نوعی و آدرس Local و آدرس ریموت Tunnel و غیره. در نظر داشته باشید که ایجاد پروفایل اجباری می باشد. 3- ایجاد Secret یا همان نام کاربری و رمز عبور. هنگامی که کلاینت قصد ارتباط به سرور را دارد (  Branch قصد اتصال به HQ را دارد ) می بایست از نام کاربری و رمز عبور استفاده نماید، که این نام کاربری و رمز عبور در سرور ( HQ ) ایجاد می گردد. این سه مرحله باید در شعبه اصلی ( PPTP Server ) انجام پذیرد.

در مرحله بعد می بایست در روتر HQ که شعبه اصلی است، PPTP را در حالت default-encryption فعال نماییم.

در نرم افزار Winbox روی گزینه PPP کلیک نموده و سپس روی PPTP Server  کلیک می نماییم در پنجره باز شده گزینه Enable را فعال نموده و در قسمت Default Profile گزینه default-encryption را انتخاب می نماییم و بر روی OK کلیک می کنیم.

اکنون باید default profile را تنظیم نماییم. اگر بر روی تب پروفایل کلیک نماییم گزینه default-encryption قابل مشاهده می باشد که با دو بار کلیک بر روی آن و انتخاب تب General می توان تنظیمات لازم را انجام داد. Local Address آدرس IP که به اینترفیس Tunnel اعمال می شود. باید در نظر داشت که دو سر تونل ( Tunnel ) آدرس IP مجزایی خواهد داشت. Remote Address نیز آدرسی است که به سر دیگر Tunnel یعنی Branch تخصیص خواهد یافت. در این قسمت همه چیز را در حالت پیش فرض قرار می دهیم.

در مرحله بعد می بایست نام کاربری و رمز عبور را ایجاد کنیم. برای انجام این کار مجدد در روتر HQ روی تب Secret کلیک می نماییم. روی علامت + کلیک نموده . در قسمت Name نام کاربری مورد نظر خود را تایپ نموده و در قسمت Password نیز رمز عبور را قرار می دهیم. در اینجا ما از user1 به عنوان نام کاربری و رمز عبور استفاده می نماییم اما همیشه پیشنهاد می شود از نام کاربری و رمز عبور پیچیده استفاده شود. سرویس را pptp انتخاب می نماییم و در قسمت Profile گزینه default-encryption را انتخاب می نماییم. در قسمت Local address و Remote Address باید آدرس هایی که به اینترفیس Tunnel اعمال شود را قرار دهیم . این دو آدرس را هم می توان در قسمت پروفایل و هم در این قسمت ( secret ) تنظیم نمود که در اینجا ما در قسمت Secret این کار را انجام داده ایم. در قسمت Local Address آدرس 10.10.10.1 و در قسمت Remote Address آدرس 10.10.10.2 را مقدار دهی می نماییم. در نهایت روی OK کلیک می نماییم.

تنظیمات مورد نیاز در HQ ( شعبه اصلی ) به پایان رسید اکنون می بایست تنظیمات مورد نیاز را بر روی روتر Branch ( PPTP Client ) انجام دهیم. در روتر Branch تنظیمات PPTP Client را انجام می دهیم.

در نرم افزار Winbox بر روی PPP کلیک نموده روی تب interface کلیک نموده و گزینه + را انتخاب نموده و از زیر منوی آن روی PPTP Client کلیک می نماییم.

در پنجره باز شده روی تب Dial Out کلیک نموده و در قسمت Connect to آدرس Public IP روتر HQ را قرار می دهیم که در سناریو ما 192.168.12.1 می باشد. در قسمت User نام کاربری و در قسمت Password رمز عبور را مقدار دهی می نماییم و بر روی OK کلیک می کنیم.

در پنجره PPP یک اتصال ایجاد می شود که در کنار آن حرف R نوشته شده که این R به معنای Running یعنی در حال اجرا می باشد. اکنون Tunnel بین دو شعبه شکل گرفته.

اگر به تنظیمات روتر HQ برویم و گزینه PPP را انتخاب نموده و بر روی Active Connections کلیک نماییم اتصال فعال را نمایش خواهد داد و همچنین آدرس remote مربوط به Tunnel که 10.10.10.2 می باشد نیز قابل مشاهده است. در قسمت Encoding نوع رمزنگاری مشخص است که MPPE می باشد.

در مرحله آخر می بایست یک Static Route در هر یک از روتر ها به سمت شبکه داخلی سمت دیگر نوشته شود چرا که روتر HQ از شبکه 172.16.1.0 و روتر Branch از شبکه 192.168.1.0 بی اطلاع هستند و به همین منظور باید برای آن ها Static Route نوشته شود. در روتر HQ این Static Route به حالت زیر است:

وضعیت Static Route در روتر Branch به صورت زیر تنظیم می گردد

جهت تست دسترسی PC2 که در شبکه Branch قرار دارد به PC1 که در شبکه HQ است یک پینگ از PC2 به آدرس 192.168.1.10 ارسال می نماییم.

همانطور که مشاهده می نمایید ارتباط بین دو شعبه برقرار است و کاربران در شعبه Branch می توانند به منابع در شبکه اصلی ( HQ ) دسترسی داشته باشند.