آموزش راه اندازی ikev2 در میکروتیک ، معرفی منابع آموزشی - وبسایت دانشجویی

ساده ترین روش برای راه اندازی سرور IKEV2 نیز استفاده از روتربوردهای میکروتیک است. روتربردهای میکروتیک در کنار نرم افزار Winbox و سیستم عامل RouterOS ویژگی های بسیار زیادی به شما در بحث VPN و فایروال و پروکسی سرور می دهند و به سادگی می توان روی آن ها یک SSH یا وب سرتر و تلنت را نصب و راه اندازی کرد و برای هریک از کاربران یک مجوز دسترسی محلی داد.

امروزه، غالب مهندسان و متخصصان شبکه آغاز به استفاده از سخت افزارها و نرم افزارهای میکروتیک کردند تا بتوانند احتیاجهای خود مانند مسیریابی در شبکه، راه اندازی انواع سرورها از جمله وب سرور، وی پی ان سرور، پروکسی سرور، فایل سرور، دیواره آتش (فایروال) و غیره را رفع نمایند. اگر با این مفاهیم آشنایی زیادی ندارید و علاقه مند گذراندن هستید؛ پیشنهاد می کنیم سری به سایت فردارس بزنید تا این مفاهیم را با زبانی ساده و کاربردی یاد بگیرید.

سرورهای میکروتیک به شما بالاترین پایداری و امنیت را می بخشند و از سرعت بوت بالا و یک سری فرآیندهای اتوماتیک برای انجام دادن کارها برخوردار هستند. این سرورها را می توان در چند دقیقه نصب نموده و سری فرامین به آن دادن تا بدون احتیاج به لاگین کردن چند باره و پشت سر هم یا فرآیندهای ریستارت، این کارها با سرعت و پایداری بالا انجام شوند.

تنظیمات و راه اندازی سرورهای میکروتیک هم ساده است و در بیشتر اوقات می توانید این تنظیمات را از روی یک سیستم به سیستم دیگر کپی کنید. به همین علت، در سال های اخیر، بسیاری از کسب وکارها یا متخصصان شبکه علاقه دارند با سرورهای میکروتیک یک VPN راه اندازی نمایند و در این میان پروتکل وی پی ان نسبتا تازه IKEV2 خوش درخشیده است. ما در این مطلب، ابتدا می خواهیم نگاهی به بعضی مفاهیم و پروتکل ها داشته باشیم و بعد مراحل نصب پروتکل IKEV2 روی میکروتیک را آنالیز کنیم.

آشنایی با میکروتیک، روتربرد میکروتیک، Winbox و RouterOS

اگر کمی در دنیای شبکه و امنیت و سخت افزارهای اینترنت بوده باشید؛ احتمالا این عبارت ها را شنیده و دیده اید. بعضی می گویند میکروتیک یک سخت افزار است و بعضی دیگر میکروتیک را یک سیستم عامل و نرم افزار می دانند. در یک مقاله از سرور میکروتیک صحبت می گردد و در مقاله دیگری می گویند روتر میکروتیک یا تنظیمات شبکه در نرم افزار میکروتیک!

باید بگوییم که تقریبا همه این اصطلاح ها و مفاهیم درست هستند. در ابتدا، سال 1996 دو دانشجوی دانشگاه ام آی تی ایالات متحده از کشور لتویا در اروپای شرقی، سیستم عامل میکروتیک (MicroTik) را توسعه داده و به بازار عرضه کردند. این سیستم عامل بر پایه هسته لینوکس بود ولی بزرگ ترین مزیت اش، قابلیت نصب روی پی سی های معمولی و مبتنی بر ویندوز مایکروسافت بود.

نمونه ای از یک روتر میکروتیک

میکروتیک می خواست همان کاری را بکند که شرکت بزرگ سیسکو در شبکه های کامپیوتری انجام می داد؛ ولی با هزینه پایین تر و ساده تر و البته برای کاربران معمولی شبکه. این شرکت در ادامه و پس از سه سال فعالیت، به این نتیجه رسید که باید همچون سیسکو، سخت افزار هم کنار نرم افزار و سیستم عامل داشته باشد؛ بنابراین وارد فاز فراوری و عرضه روترهای میکروتیک شد.

به این ترتیب، سیستم عامل مبتنی بر لینوکس این شرکت برای مدیریت و کنترل روترهای میکروتیک، RouterOS نام گرفت. سیستم عامل RouterOS می توان در شبکه به عنوان یک فایروال یا روتر نرم افزاری نیز فعالیت کند و طیف وسیعی از ویژگی ها و امکانات را در اختیار شما قرار می دهد. سازگاری RouterOS با نسخه های مختلف ویندوز سرور و پی سی باعث محبوبیت زیاد میکروتیک شده است. برای آشنایی کامل با میکروتیک و ویژگی ها و مزایای آن می توانید روی لینک زیر کلیک کنید:

• آموزش آشنایی با میکروتیک - کلیک کنید

سیستم عامل میکروتیک می تواند به چند شکل مورد استفاده قرار بگیرد: نخست روی یک پی سی یا ماشین مجازی نصب گردد. روش دوم، نصب روی سخت افزارهایی است که روتربرد (RouterBoard) گفته می گردد و ساخت خود شرکت میکروتیک است و دارای تعدادی درگاه شبکه هستند تا در یک شبکه LAN محلی نصب شده و در دسترس قرار بگیرند. روتربردهای میکروتیک متنوعی وارد بازار شده که هریک مشخصات خاص خود را داشته و یک سری ویژگی ها ارائه می دهند.

نمونه ای از رابط گرافیکی Winbox میکروتیک

وقتی شما سیستم عامل RouterOS را روی یک روتربرد نصب می کنید یا به صورت ماشین مجازی روی پی سی ویندوزی راه اندازی می کنید؛ حالا شما یک روتر میکروتیک کامل دارید و می توانید هر کاری در شبکه از مسیریابی و فایروال تا راه اندازی وی پی ان، لود بالانسینگ، فیلترینگ، مدیریت کاربران و مجوزها و دسترسی ها و ده ها کار دیگر را انجام دهید.

چون سیستم عامل RouterOS مبتنی بر لینوکس است و غالبا با دستورات خط فرمان کار می نماید؛ یک رابط کاربری گرافیکی به نام وین باکس (Winbox) نیز توسعه داده شده است که به سادگی همچون یک نرم افزار ویندوزی روی پی سی های معمولی نصب می گردد و به وسیله یک آی پی سرور با روتر میکروتیک ارتباط برقرار خواهد نمود و کاربران می توانند بعضی تنظیمات و راه اندازی ها را به وسیله آن انجام دهند. معمولا، کاربران حرفه ای هم از Winbox و هم از دستورات خط فرمان برای ارتباط با RouterOS استفاده می نمایند.

خوب، فکر می کنیم این چند اصطلاح مهم مرتبط با روترهای میکروتیک را تا حدود درک کردیم تا در ادامه دیگر به مسئله ای برنخوریم. حالا باید کمی با پروتکل IKEV2 آشنا شویم و مزایا یا دلایل استفاده از آن برای VPN سرور را بدانیم:

پروتکل IKEV2 چیست؟ مزایا

OpenVPN محبوب ترین پروتکل رمزنگاری و ساخت VPN است ولی به خاطر فرایند رمزنگاری بسیار پیچیده و سطح بالایی که دارد؛ مقداری با کندی همراه است. شاید بیش از 90 درصد کاربران در اینترنت احتیاجی به چنین رمزنگاری سخت و پیچیده ای ندارد ولی در عوض می خواهند سرعت تبادل اطلاعات بالاتری داشته باشند.

بنابراین، در سال های اخیر از پروتکل IKEV2 استفاده شده است که به طوری یک تعادل میان سرعت و امنیت برقرار می نماید. پروتکل IKEV2 روی همه سیستم عامل ها حتی بلک بری قابل نصب است و از iOS 10 به بالا نیز اپل از آن پشتیبانی می نماید.

نحوه کار پروتکل ikev2

IKEV2 مخفف دو عبارت IKE و V2 است. IKE مخفف internet Key Exchange و V2 نیز نشان دهنده نسخه دوم است. اگر بدانید چه شرکت های این پروتکل را توسعه دادند؛ آن وقت متوجه خواهید شد که چرا در میان کاربران و مهندسان شبکه این قدر محبوب شده است: IKEV2 حاصل همکاری دو شرکت مایکروسافت و سیسکو است؛ یعنی یک طرف غول دنیای نرم افزار و طرف دیگر غول دنیای شبکه!

IKEV2 براساس پروتکل های امنیتی ISAKMP و SKEME و OAKLEY کار می نماید و همچون پروتکل OpenVPN می تواند یک تونل امن برای تبادل اطلاعات میان سرور و کلاینت راه دور در بستر شبکه و اینترنت بسازد. معمولا، پروتکل رمزنگاری IPSec مورد استفاده قرار می گیرد ولی با طیف گسترده ای از دیگر پروتکل های رمزنگاری 256 بیتی نیز کار خواهد نمود.

اگر بخواهیم درباره IKEv2 صحبت کنیم؛ باید چند مقاله کامل درباره نحوه کار این پروتکل و تفاوت های ورژن 1 و 2 و همین طور تفاوت هایش با OpenVPN و دیگر پروتکل های رمزنگاری بنویسیم. اما برای دانستن بیشتر می توانید به سایت فرادرس مراجعه کنید که شامل چندین دوره کامل آموزش رمزنگاری و آشنایی با پروتکل های VPN است.

چرا باید پروتکل IKEV2 را روی میکروتیک راه اندازی کنیم؟

شاید یک پرسش در فکر شما نقش بسته باشد: چرا باید برای استفاده از IKEV2، حتما آن را روی یک روتر میکروتیک نصب و راه اندازی کرد؟ آیا یک کاربر معمولی ویندوز، لینوکس، اندروید و iOS نمی تواند از پروتکل IKEV2 استفاده کند؟

جواب این است که وقتی شما کلاینت هستید و صرفا می خواهید اطلاعات رمزنگاری از کامپیوتر خود برای یک سرور راه دور در اینترنت بفرستید؛ احتیاجی به نصب و راه اندازی IKEV2 روی میکروتیک ندارید و با همین نرم افزارهای وی پی ان معمولی می توانید از این پروتکل بهره ببرید.

اما وقتی می خواهید IKEV2 را در شبکه و محل کار خود برای ارتباط میان دو کامپیوتر یا دو سایت بهره ببرید؛ احتیاج به راه اندازی یک VPN دارید و چه سخت افزار و نرم افزاری بهتر از روتربرد میکروتیک که انبوهی از ویژگی ها و امکانات دیگر در اختیار شما قرار می دهد. برای آشنایی بیشتر با روتربردهای میکروتیک بهتر است روی لینک زیر از سایت فرادرس کلیک کنید:

• آموزش روتربردهای میکروتیک - کلیک کنید

تصور کنید یک دفتر مرکزی دارید و چندین دفتر شعبه نیز در همان شهر یا شهرهای دیگر دایر کردید و حالا می خواهید میان این دفاتر یک ارتباط VPN راه اندازی کنید. اینجا احتیاج به یک روتربرد میکروتیک و راه اندازی پروتکل رمزنگاری مانند IKEV2 خواهید داشت!

آموزش راه اندازی IKEV2 روی میکروتیک

پیش از رفتن برای راه اندازی IKEV2 روی میکروتیک، باید چند نکته را بدانیم و پیش احتیاجهایی آماده نموده باشیم.

نخست، قرار است IKEV2 با IPSec و هر دو صورت رمزنگاری RSA و PSK راه اندازی گردد.

برای راه اندازی IKEV2 در میکروتیک حتما باید یک گواهی نامه (Certificate) معتبر از شرکت های ارائه دهنده سرویس های VPN یا SSL خریداری نموده باشیم و این گواهی نامه هم به نام دامنه سایتی باشد که قرار است ارتباط امن برقرار کند یا براساس آدرس IP سرور و روتر میکروتیک باشد.

یک سناریو پیاده سازی IPSec در شبکه

نکته بعدی اینکه حتما باید در میکرونیک به این گواهی نامه لاگین نموده باشیم و در آن معرفی و روی همه کامپیوترهایی که قرار است در این VPN کار نمایند؛ نصب و راه اندازی شده باشد. معمولا، افرادی که با روتربردهای میکروتیک کار کردند؛ به خوبی با دستورات و مراحل Sing کردن یک گواهی نامه برای سرور و کلاینک آشنایی دارند.

پس از اینکه به گواهی نامه Sing کردیم و تنظیمات لازم انجام شد؛ سراغ تنظیمات IPSec می رویم. همان طور که اشاره شد؛ بیشتر دستورات میکروتیک هنوز مبتنی بر خط فرمان هستند.

نرم افزار Winbox را باز نموده و برای تنظیمات IPSec و همین طور راه اندازی IKEV2 در RouterOS، دستوراتی مشابه زیر را خط به خط وارد می کنیم:

/ip pool add name=rw-pool ranges=192.168.77.2-192.168.77.254set 0 level=unique dst-address=192.168.77.0/24ip ipsec mode-conf/add name=cfg1 send-dns=yes address-pool=rw-pool address-prefix=32ip ipsec peer/add auth-method=rsa-signature certificate=server1 generate-policy=port-strictmode-config=cfg1 passive=yes remote-certificate=none

با دستورات بالا یک IP Pool برای IKEV2 می سازیم. در صورتی احتیاج به ساخت IP Pool تازه روی میکروتیک خواهید داشت که قبلا یک IP Pool فعال نداشته باشید یا سرویس های وی پی انی مانند L2TP و PPTP در حال انجام نداشته باشید؛ وگرنه می توانید از IP Pool همان ها بهره ببرید.

پس از ساخت IP Pool تازه، باید سراغ ساخت یک IPSec Mode Config بروید که در خط سوم دستورات بالا آورده شده است. مرحله بعدی، ساخت یک IPSec Peer است. به جای دستورات بالا برای IPSec Peer می توانید دستورات زیر را وارد کنید که دقیق تر و با تنظیمات و پیکربندی بیشتر برای سرور IKEV2 هستند:

/ip ipsec peeradd address=0.0.0.0/0 auth-method=rsa-signature certificate=server dh-group=modp2048 dpd-interval=1h enc-algorithm=aes-256,aes-128 exchange-mode=ike2 generate-policy=port-strict hash-algorithm=sha256 lifetime=1h mode-config=cfg1 my-id=fqdn:vpn.server passive=yes remote-certificate=vpn.client send-initial-contact=no

تا اینجا می توان گفت که پروتکل IKEv2 روی میکروتیک پیکربندی و راه اندازی شده است ولی معمولا اقداماتی دیگر هم احتیاج است تا بتوان با گوشی های موبایل اندرویدی و iOS به این شبکه خصوصی مجازی وصل شد.

شما باید هر دو گواهی نامه Client certificate و CA certificate را با یاری زبان برنامه نویسی پایتون روی دستگاه آیفون یا آیپد نصب کنید و بعد یک پروفایل VPN بسازید. برای آموزش کامل راه اندازی IKEv2 روی میکروتیک می توانید ویدئوی آموزشی زیر را در سایت فرادرس مشاهده کنید:

• آموزش راه اندازی IKEv2 در میکروتیک - کلیک کنید

دقت کنید اگر چند دفتر کار راه دور و یک دفتر مرکزی داشته باشید؛ باید IKEv2 را برای همه این دفاتر ست نموده و سیاست های دسترسی و مجوزدهی درستی برای هریک از این دفترها (Client Site) داشته باشید. برای دفتر مرکزی حداقل یک آدرس IP عمومی احتیاج است و برای دفتر فرعی نیز بهتر است به هریک آدرس IP عمومی اختصاص پیدا کند.

در دفتر مرکزی و دفاتر فرعی باید روتربرد میکروتیک نصب شده باشد. معمولا روتربرد میکروتیک RB750Gr3 کافی است و می تواند رمزنگاری سخت افزاری کاملی پیاده سازی کند. باید ساعت تمام این روترها یکسان باشد و از یک سرور NTP ساعت را دریافت نمایند. بعد برای هر دفتر باید یک IP Peer اختصاص پیدا کند و نوع الکوریتم رمزنگاری یکسانی ست گردد.

شاید در وهله نخست، کار کردن با روتربردهای میکروتیک سخت به نظر برسد ولی اگر آموزش های درست و خوبی همراه با شبیه سازی گذرانده باشید؛ مطمئنا سریعا می توانید روتربرد میکروتیک شرکت یا دفتر کار خود را تنظیم نموده و به ویژگی های زیادی که این سخت افزار/نرم افزار می دهند؛ دسترسی داشته باشید.

این روزها، کار با میکروتیک ها یک مهارت تخصصی با ارزشی در بازار کار است و شما هرچقدر روی افزایش دانش خود سرمایه گذاری کنید؛ آینده شغلی بهتری را برای خودتان تضمین کردید. حداقل اش این است که می توانید احتیاجهای شبکه خودتان را رفع نموده و وابسته به دیگران نباشید یا شبکه خود را پویاتر و توانمندتر کنید. میکروتیک دریای وسیعی است که راه اندازی وی پی ان IKEv2 در آن فقط یک بخش کوچکی از امکانات آن را به رخ می کشد.

منبع: شبکه چی