Mohammadreza Soleimani 515 روز پیش verl
بازدید 6295 بدون دیدگاه

راه اندازی OpenVPN در میکروتیک

راه اندازی OpenVPN در میکروتیک، OpenVPN همانند سایر پروتکل های VPN از جمله PPTP و SSTP در اتصال دو شعبه در فواصل جغرافیایی مختلف و در بستر اینترنت می تواند مورد استفاده قرار گیرد. در این مقاله قصد داریم تا راه اندازی OpenVPN را در روتربرد های میکروتیک مورد بررسی قرار دهیم. در ابتدا نگاهی اجمالی بر OpenVPN خواهیم داشت.

 

راه اندازی OpenVPN در میکروتیک

فهرست مطالب

  1. OpenVPN چیست
  2. مزایا OpenVPN
  3. معایب OpenVPN
  4. پیاده سازی

 

OpenVPN چیست

OpenVPN مخفف Open Virtual Private Network می باشد که به آن OVPN نیز گفته می شود که توسط پروتکل TCP و پورت 1194 در شبکه فعالیت می نماید. باید دقت داشته باشید چنانچه قصد استفاده از OpenVPN را دارید پورت 1194 توسط فایروال مسدود نشده باشد. OpenVPN در حالت کلی هم بر روی بسیاری از پلتفرم ها هم توسط TCP و هم UDP قابل استفاده می باشد اما در میکروتیک تنها از TCP می توان بهره برد و UDP پشتیبانی نمی گردد.

در نظر داشته باشید که OpenVPN به واسطه SSL Certificate کار می کند و به همین منظور می بایست حتما از یک SSL Certificate جهت برقراری ارتباط استفاده نمود. در OpenVPN از رمزنگاری ( Encryption ) های مختلفی می توان بهره برد و بنا به نیاز می توان از گزینه های در دسترس، نوع رمزنگاری مورد نظر را انتخاب نمود.

 

مزایا OpenVPN

  • امنیت در OpenVPN بسیار بالا می باشد.
  • امکان تغییر پورت 1194 به پورت های دیگر مانند 443 که این پورت در قالب موارد توسط فایروال ها مسدود نخواهد گردید.
  • به دلیل بهره گیری از TCP یک ارتباط اتصال گرا خواهیم داشت و به همین دلیل بسته ها با قابلیت اطمینان بالا در OpenVPN جا به جا خواهند گردید.

 

معایب OpenVPN
  • راه اندازی و تنظیمات OpenVPN بخصوص در سمت Client دشوار می باشد چرا که تنظیمات در سمت Client باید به صورت دستی انجام پذیرد.
  • نیاز به Third Party Application ها در پلتفرم های مختلف جهت اتصال به VPN Server.
  • به دلیل رمزنگاری قوی تر ممکن است کاهش سرعت در ارتباطات را تجربه نماییم.

 

پیاده سازی OpenVPN در میکروتیک

جهت پیاده سازی OpenVPN Site to Site VPN در میکروتیک توپولوژی زیر مفروض می باشد:

توپولوژی

 

در این سناریو از دو روتر به عنوان شعبه اول ( HQ ) و شعبه دوم ( Branch ) استفاده می نماییم. پس از پیاده سازی دسترسی PC در شعبه اول به  PC موجود در شعبه 2 امکان پذیر خواهد بود و این صحت فرایند انجام شده را تایید خواهد نمود.

 

همانطور که مشاهده می نمایید برای شکل گیری VPN نیاز به اینترنت می باشد. همچنین دو شعبه در شبکه های مجزا از یکدیگر ( 192.168.1.0 و  172.16.1.0 ) قرار دارند. در این سناریو روتر HQ را به عنوان OpenVPN Server و روتر Branch را به عنوان Client در نظر می گیریم و به همین واسطه بین روتر های HQ و Branch یک تونل ( Tunnel ) شکل می گیرد. تمام داده هایی که بین PC1 و PC2 تبادل خواهند شد از این Tunnel عبور خواهند نمود. همچنین اطلاعات درون Tunnel رمزنگاری و Encrypt خواهند شد. باید در نظر داشت اگر مراحل پیاده سازی به درستی انجام پذیرد دو کامپیوتر در دو سایت ( شعبه ) مختلف قادر به برقراری ارتباط خواهند بود.

 

نکته: در این سناریو به دلیل اینکه یک محیط شبیه سازی شده است آدرس IP Public در دسترس نبود لذا بین روتر HQ و Branch از آدرس  (192.168.12.0/24) استفاده گردید ولی در محیط واقعی در اینترفیس های متصل به اینترنت می بایست آدرس public IP قرار گیرد. در این سناریو فرض بر این است که آدرس های شبکه  192.168.12.0 آدرس Public می باشند.

 

در این سناریو آدرس دهی اینترفیس ها از قبل انجام گرفته و صرفا مراحل مورد نیاز جهت پیاده سازی OpenVPN ارائه خواهد گردید. چنانچه نیاز به یادگیری نحوه قرار دادن آدرس IP روی روتربرد های میکروتیک دارید، مقاله ( تنظیم آدرس IP روی میکروتیک )  به شما در انجام این فرایند کمک خواهد نمود.

هدف از برقراری OpenVPN Site to Site VPN در این سناریو برقراری ارتباط از کامپیوتر موجود در  شعبه Branch به سمت کامپیوتر شعبه HQ می باشد. در مرحله اول می بایست ارتباط بین شعبه HQ و Branch را بررسی نماییم. این ارتباط در محیط واقعی یک ارتباط با آدرس Public IP می باشد که ما در این سناریو از آدرس IP در رنج شبکه 192.168.12.0 استفاده نمودیم . جهت بررسی یک پینگ از سمت Branch به سمت HQ ارسال می نماییم.

تست پینگ

 

همانطور که مشاهده می نمایید ارتباط با شعبه HQ برقرا می باشد. در مرحله بعدی نیاز به ایجاد Certificate خواهیم داشت. به همین در شعبه HQ می بایست این کار صورت پذیرد. جهت ایجاد Certificate در نرم افزار Winbox بر روی گزینه System کلیک نموده و از زیر منوی آن گزینه Certificate را انتخاب می نماییم. در پنجره باز شده بر روی + کلیک می نماییم تا پنجره مربوط به ایجاد یک Certificate جدید در دسترس قرار گیرد.

 

ایجاد Template CA

در قسمت Name یک نام برای Certificate در نظر می گیریم در قسمت های بعدی به صورت دلخواه می توان اطلاعات دیگر نظیر Country ، State و … را نیز اضافه نمود که این فیلد ها اجباری نمی باشند. در قسمت Common Name نیز یک اسم باید درنظر بگیریم که در اینجا ما از آدرس Public IP استفاده می نماییم. در قسمت Subject نیز گزینه IP را انتخاب می نماییم. در قسمت Key Size می توان طول کلید را مشخص نمود و Days Valid نیز مدت زمان اعتبار این CA را مشخص خواهد نمود. بهتر است Key size و Days Valid در حالت پیش فرض قرار گیرند. در پایان بر روی OK کلیک می کنیم تا CA مورد نظر ایجاد گردد.

ایجاد CA

 

ایجاد Server Template

اکنون می بایست یک Certificate جهت سرور ایجاد نماییم. کماکان در روتربرد HQ و گزینه Certificate با زدن + یک Certificate دیگر جهت سرور ایجاد می نماییم. برای انجام این کار مطابق تصویر زیر عمل خواهیم نمود.

ایجاد Server CA

 

در مرحله بعدی می بایست یک Certificate نیز برای Client ایجاد نماییم. به همین منظور همانند CA های قبلی عمل خواهیم نمود.

ایجاد Client CA

 

 

اکنون ساخت سه Certificate به پایان رسید. در کنار Certificate های ایجاد شده هیچ اطلاعاتی وجود ندارد. اکنون باید مرحله Sign نمودن Certificate ها انجام پذیرد. جهت انجام این کار برروی New Terminal کلیک می نماییم تا به محیط Command دسترسی پیدا نماییم. در این قسمت باید از دستورهای زیر جهت Sign نمودن هر سه Certificate استفاده کنیم.

 

امضای CA

 

اکنون باید نون باید certificate های مربوط به Server و Client را trust نماییم که این فرایند نیز در New Terminal با استفاده از دستورات زیر انجام خواهد پذیرفت:

Trust نمودن

 

تنظیمات مربوط به ساخت و ایجاد Certificate ها به پایان رسید و اکنون Certificate ها به صورت زیر نمایش داده و قابل استفاده می باشند.

مشاهده CA

 

اکنون می بایست دو Certificate با نام های myca و Client را Export نماییم تا بتوانیم آن ها را در روتر شعبه Branch استفاده نماییم. جهت Export نمودن می بایست مجدد با استفاده از ابزار New Terminal دستورات زیر را اجرا کنیم.

خروجی CA

 

دقت داشته باشید که passphrase در دستور بالا در واقع یک رمزعبور می باشد که باید 8 کارکتری باشد. اکنون باید فایل های مورد نظر را در یک فولدر ذخیره نموده تا بتوان آن ها را در شعبه Branch مورد استفاده قرار داد. به همین منظور در روتربرد HQ در منوی نرم افزار Winbox بر روی Files کلیک می نماییم و در پنجره باز شده چهار فایل مربوط به Certificate ایجاد گردیده که با انتخاب نمودن و Drag نمودن آن ها در فولدر ایجاد شده فایل های مورد نظر را به فولدر کپی می نماییم.

ذخیره سازی

 

اکنون می بایست فایل های ذخیره شده را در روتر Branch ( شعبه دوم ) Upload نماییم. برای انجام این کار در روتربرد Branch بر روی گزینه File کلیک نموده و فایل ها را در این قسمت drag می نماییم. بعد از انجام این کار مرحله کپی انجام گرفته اما Import هنوز به پایان نرسیده. جهت Import نمودن Certificate ها از منوی نرم افزار Winbox بر روی System کلیک نموده و از زیر منوی مربوطه بر روی Certificate کلیک می نماییم. در پنجره باز شده بر روی Import کلیک می کنیم. در ابتدا باید CA و فایل با پسوند crt را انتخاب و رمزعبور را نیز وارد نماییم.

وارد نمودن CA

 

سپس key مربوط به آن را نیز import می نماییم.

کلید CA

 

اکنون با دوبار کلیک کردن بر روی Certificate که import نمودیم می توان نام آن را نیز تغییر داد. اکنون Certificate مربوط به Client را نیز با همین ترتیب طبق تصاویر فوق import می نماییم. در نهایت Certificate های وارد شده در روتر Branch به صورت زیر قابل مشاهده و استفاده می باشند.

Certificate کلاینت

 

در این مرحله کار بر روی Certificate ها و تنظیمات مربوط به آنها به پایان می رسد و اکنون تنظیمات مربوط به OpenVPN را ادامه خواهیم داد.  در روتر شعبه HQ در اولین قدم نیاز است که یک پروفایل برای OpenVPN ایجاد نماییم. به همین منظور در منوی نرم افزار Winbox روی گزینه PPP انتخاب نموده و در پنجره باز شده در تب Profile بر روی + کلیک می نماییم. در پنجره باز شده در قسمت Name یک نام در نظر گرفته و در قسمت Local Address یک آدرس IP برای اینترفیس Tunnel در نظر می گیریم که در اینجا 10.10.10.1 را برای Local و 10.10.10.2 را برای Remote Address در نظر می گیریم. همچنین بهتر است در تب Protocols این پنجره گزینه Encryption را بر روی Yes قرار دهیم تا رمزنگاری نیز انجام گیرد.

ایجاد پروفایل

 

در مرحله بعدی در روتر HQ باید نام کاربری و رمزعبور جهت برقراری ارتباط ایجاد نماییم. در تب Secret بر روی + کلیک می کنیم. در پنجره باز شده در قسمت Name نام کاربری مورد نظر و در قسمت Password رمزعبور را وارد و Service را بر روی ovpn قرار می دهیم. در قسمت Profile پروفایل ساخته شده در مرحله قبل را انتخاب می نماییم.

ایجاد Secret

 

در مرحله بعدی می بایست در روتر HQ قابلیت OVPN Server را فعال و Certificate های ایجاد شده را انتخاب نماییم. جهت انجام این فرایند بر روی گزینه PPP در منوی نرم افزار Winbox کلیک نموده و در تب Interface بر روی OVPN Server کلیک می نماییم. در پنجره باز شده گزینه Enable را فعال می کنیم. دقت داشته باشید که در این قسمت می توان شماره پورت مورد نظر را نیز مقدار دهی نمود که در حالت پیش فرض بر روی 1194 می باشد. همچنین در قسمت Default Profile مجدد پروفایل ایجاد شده را انتخاب می نماییم. همچنین در قسمت Certificate می بایست Certificate که برای Server ایجاد نموده بودیم را انتخاب کنیم.

فعالسازی OVPN

 

در اینجا تنظیمات مربوط به سمت Server و در واقع شعبه HQ به پایان می رسد. اکنون در روتر Branch که به عنوان VPN Client می باشد در منوی نرم افزار Winbox گزینه PPP را انتخاب و در پنجره باز شده بر روی + کلیک نموده از زیر منوی آن گزینه OVPN Client را انتخاب می کنیم. در پنجره باز شده در تب Dial Out آدرس Public IP روتر HQ را وارد می نماییم که در این سناریو 192.168.12.1 می باشد. در قسمت پورت نیز می توان پورت مورد نظر را مقدار دهی نماییم و در حالت پیش فرض 1194 می باشد. در قسمت Username نام کاربری و در قسمت Password نیز رمز عبور را وارد می نماییم. در قسمت Certificate می بایست حتما Certificate ایجاد شده برای Client انتخاب شود.

OVPN کلاینت

 

اکنون با تنظیمات انجام شده در روتر HQ در قسمت PPP مشاهده می کنیم که Interface Tunnel با حرف DR به معنای Running و در حال اجرا نمایش داده می گردد و در تب Active Session ارتباط فعال نمایش داده می شود.

ارتباط فعال

 

چنانچه کامپیوتر متصل به شبکه داخلی Branch که در شبکه ( 172.16.1.0 ) قرار دارند قصد برقراری ارتباط به سمت کامپیوتر های متصل به شبکه HQ که در شبکه ( 192.168.1.0 ) قرار دارند داشته باشند این ارتباط شکل نخواهد گرفت چرا که روتر HQ از شبکه 172.16.1.0 و روتر Branch از شبکه 192.168.1.0 بی اطلاع می باشند. جهت رفع این مشکل می بایست یک Static Route درون هر دو روتر به سمت یکدیگر ایجاد نماییم.

برای انجام این کار در روتر HQ در منوی نرم افزار Winbox گزینه IP و از زیر منوی باز شده گزینه Route را انتخاب می نماییم. با کلیک بر روی +  می توان یک Route به جدول مسیریابی به صورت دستی اضافه نمود. در پنجره باز شده در قسمت Dst.Address آدرس شبکه 172.16.1.0/24 را قرار می دهیم و در قسمت Gateway آدرس IP مربوط به OVPN Tunnel شعبه Branch را وارد می نماییم که در اینجا 10.10.10.2 می باشد.

روت HQ

 

همچنین در روتر Branch نیز باید یک Static Route به سمت شبکه 192.168.1.0/24 تنظیم نماییم. جهت انجام این کار در روتر  Branch در متوی نرم افزار Winbox گزینه IP و از زیر منوی باز شده گزینه Route  را انتخاب می نماییم. با کلیک بر روی +  می توان یک Route به جدول مسیریابی به صورت دستی اضافه نمود. در پنجره باز شده در قسمت Dst.Address آدرس شبکه 192.168.1.0/24 را قرار می دهیم و در قسمت Gateway آدرس IP مربوط به OVPN Tunnel  شعبه HQ را وارد می نماییم که در اینجا 10.10.10.1 می باشد.

روت Branch

 

پس از انجام تنظیمات فوق پیاده سازی OpenVPN انجام گرفته و کامپیوتر های شعبه Branch قادر به دسترسی به کامپیوتر ها و تجهیزات شبکه HQ خواهند بود.

 

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Select the fields to be shown. Others will be hidden. Drag and drop to rearrange the order.
  • Image
  • SKU
  • Rating
  • Price
  • Stock
  • Availability
  • Add to cart
  • Description
  • Content
  • Weight
  • Dimensions
  • Additional information
Click outside to hide the comparison bar
Compare