اجرای سرویس VPN Site-to-Site بین دو MikroTik با IPsec IKEv2 — آموزش کامل و عملی
vpn-site-to-site-mikrotik-ikev2
مقدمه
در دنیای امروز، ارتباط ایمن بین شعب مختلف یک سازمان یکی از ضروریات اصلی در طراحی شبکه است.
یکی از بهترین راهکارها برای ایجاد این اتصال، راهاندازی VPN Site-to-Site با استفاده از پروتکل IPsec و IKEv2 بین دو روتر MikroTik میباشد.
این مقاله به صورت کامل، جامع و کاربردی به آموزش راهاندازی این سرویس میپردازد.
vpn-site-to-site-mikrotik-ikev2
بخش اول: مفاهیم اولیه
VPN Site-to-Site چیست؟
VPN Site-to-Site یا اتصال بین دو سایت، روشی برای اتصال ایمن دو یا چند دفتر سازمانی به یکدیگر از طریق اینترنت عمومی است.
پروتکل IPsec و IKEv2
- IPsec: پروتکل رمزنگاری لایه ۳ برای ایجاد تونل امن.
- IKEv2: نسخه دوم Internet Key Exchange که امنیت، ثبات و انعطافپذیری بهتری نسبت به نسخه قبلی (IKEv1) دارد.
VPN Site-to-Site MikroTik IKEv2
بخش دوم: پیشنیازها
- دو روتر MikroTik با RouterOS نسخه 7 یا بالاتر
- دسترسی به اینترنت برای هر دو روتر
- تخصیص IP عمومی یا استفاده از DDNS
- آشنایی ابتدایی با مفاهیم شبکه و میکروتیک
vpn-site-to-site-mikrotik-ikev2
بخش سوم: سناریو و توپولوژی
ساختار شبکه فرضی:
- Site A:
- WAN IP: 185.100.100.1
- LAN IP Range: 192.168.10.0/24
- Site B:
- WAN IP: 185.200.200.1
- LAN IP Range: 192.168.20.0/24
هدف: اتصال دو شبکه محلی از طریق IPsec IKEv2 بهصورت دائمی و امن.
vpn-site-to-site-mikrotik-ikev2
بخش چهارم: تنظیمات عملی — Site A
مرحله 1: ایجاد پروفایل IKE
/ip ipsec profile
add name=ikev2-profile dh-group=modp2048 enc-algorithm=aes-256 hash-algorithm=sha256
مرحله 2: ایجاد peer
/ip ipsec peer
add address=185.200.200.1 profile=ikev2-profile exchange-mode=ike2
مرحله 3: ایجاد پروپوزال
/ip ipsec proposal
add name=ikev2-proposal auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048
مرحله 4: تنظیم policy
/ip ipsec policy
add src-address=192.168.10.0/24 dst-address=192.168.20.0/24 sa-dst-address=185.200.200.1 sa-src-address=185.100.100.1 tunnel=yes proposal=ikev2-proposal
مرحله 5: تنظیم secrets
/ip ipsec identity
add peer=185.200.200.1 secret="StrongPassword123"
بخش پنجم: تنظیمات Site B
همانند Site A، با آدرسها و مسیر معکوس:
vpn-site-to-site-mikrotik-ikev2
ایجاد پروفایل، peer، proposal و policy
/ip ipsec profile
add name=ikev2-profile dh-group=modp2048 enc-algorithm=aes-256 hash-algorithm=sha256
/ip ipsec peer
add address=185.100.100.1 profile=ikev2-profile exchange-mode=ike2
/ip ipsec proposal
add name=ikev2-proposal auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048
/ip ipsec policy
add src-address=192.168.20.0/24 dst-address=192.168.10.0/24 sa-dst-address=185.100.100.1 sa-src-address=185.200.200.1 tunnel=yes proposal=ikev2-proposal
/ip ipsec identity
add peer=185.100.100.1 secret="StrongPassword123"
بخش ششم: تست ارتباط
- از ابزار Ping برای بررسی اتصال از یک کلاینت در Site A به یک کلاینت در Site B استفاده کنید.
- بررسی Tunnel Status:
/ip ipsec active-peers
/ip ipsec installed-sa
بخش هفتم: نکات امنیتی
- استفاده از رمز عبور قوی و پیچیده برای IKEv2
- محدود کردن دسترسی WAN از طریق فایروال
- استفاده از DDNS در صورت نداشتن IP استاتیک
vpn-site-to-site-mikrotik-ikev2
بخش هشتم: رفع مشکلات رایج
- Tunnel بالا نمیآید؟ بررسی کنید که زمان سیستم دقیق باشد و پورتهای مربوطه باز باشند.
- عدم دسترسی به شبکه مقصد؟ بررسی Route و NAT هر دو طرف.
VPN Site-to-Site MikroTik IKEv2
بخش نهم: سوالات متداول (FAQ)
آیا میتوان از IKEv2 روی NAT استفاده کرد؟
بله، IKEv2 با NAT-T سازگار است.
در صورت تغییر IP عمومی، چه باید کرد؟
استفاده از DDNS یا اسکریپت خودکارسازی.
آیا این تنظیمات روی CHR هم قابل پیادهسازی است؟
بله، هیچ تفاوتی ندارد.
آیا امکان افزایش امنیت بیشتر وجود دارد؟
بله، با استفاده از گواهینامههای دیجیتال و رمزنگاری قویتر.
vpn-site-to-site-mikrotik-ikev2
بخش دهم: جمعبندی
راهاندازی VPN Site-to-Site با IKEv2 در MikroTik یکی از امنترین و پایدارترین روشها برای اتصال دفاتر به یکدیگر است.
با رعایت دقیق مراحل این آموزش میتوانید یک تونل امن و مطمئن راهاندازی کنید.
اگر در راهاندازی این تونل سوالی دارید، در بخش نظرات سایت با ما در میان بگذارید یا از طریق شبکههای اجتماعی irmikro.com با ما در تماس باشید.
جهت مطالعه آموزش های مشابه اینجا کلیک کنید.
