چگونه V-P-N PPTP را روی میکروتیک پیاده سازی کامل کنیم؟

میکروتیک، وسیله ایست که بسیاری از نیازهای یک شبکه را برآورده می کند. دسترسی به شبکه از راه دور یکی از این قابلیت ها ست که که با کمک V-P-N در میکروتیک قابل پیاده سازی است.

V-P-N یا شبکه اختصاصی مجازی، شرایطی را ایجاد می کند که در هر نقطه از جهان می توان تنها با داشتن دسترسی به اینترنت به شبکه داخلی (LAN) متصل شد.

اگرچه پروتکل های مختلفی را می توان به منظور اتصال به شبکه روی V-P-N پیاده سازی کرد، اما PPTP یکی از سازگارترین و کم دردسر ترین آنهاست که دامنه کاربرد آن به واسطه تطابق با سخت افزارهای گوناگون و سهولت اتصال کلاینت ها بسیار بالاست.

PPTP همچنین روی میکروتیک قابلیت استفاده از MPPE مایکروسافت را داراست که کانکشن را بصورت End to End با 128 یا 56 کیلو بیت رمزنگاری می کند.

اما سوال مهم چگونگی راه اندازی این قابلیت با حداقل امکانات و بدون استفاده از IP جداگانه است. در این مقاله به بررسی پاسخ و چگونگی راه اندازی سرویس V-P-N PPTP به صورت کاربردی خواهیم پرداخت.

شمای طرح:

همانطور که مشخص است اتصال با اینترنت از طریق یک مودم ADSL با اینترنت برقرار است.

آی پی های لوکال و پابلیک مودم نیز به شرح زیر موجود است (آی پی پابلیک، از سایت هایی نظیر showip.net و آی پی لوکال، از طریق صفحه تنظیمات مودم قابل شناسایی است):

همچنین یک دستگاه سوییچ وظیفه اتصال سیستم های موجود را در داخل شبکه به عهده دارد. و میکروتیک نیز رابط بین سوییچ شبکه و مودم است که به منظور ایجاد قابلیت وی پی ان و دسترسی از راه دور اضافه شده است.

رنج شبکه پی سی های داخل شبکه نیز 192.168.1.0/24 است. می خواهیم با کمک میکروتیک دسترسی مستقیم Remote pc را به سیستم های شبکه داخلی تنها با استفاده یک دسترسی اینترنت اجرا نماییم.

مرحله 1:

ابتدا باید به میکروتیک متصل شده و آی پی ها را تنظیم نماییم. دقت کنید که وجود حداقل دو اینترفیس، یکی برای LAN و یکی برای WAN ضروری است. در این مرحله برای IP ها اطلاعات زیر را در نظر می گیریم:

در ادامه از صحت دسترسی میکروتیک و کلاینت ها به اینترنت مطمئن می شویم. وضعیت Route و NAT به شرح زیر تنظیم شده است:

 

مرحله 2:

در این مرحله ابتدا یک Pool برای IP ها می سازیم.

جهت این کار از طریق منوی IP، آیتم Pool را انتخاب می نماییم. رنج 172.16.10.10 تا 172.16.10.20 در حال حاضر به شرح زیر برای تخصیص به کلاینت های ریموت شونده ایجاد شده است.

سپس روی منوی PPP کلیک و اینترفیس وی پی ان سرور مربوطه را ابا کلیک روی علامت “به اضافه” ایجاد می نماییم. در میکروتیک انواع مختلفی از اینترفیس های وی پی ان وجود دارد.

در اینجا PPTP Server binding را به شرح زیر انتخاب می کنیم و نام پیش فرضpptp-in1 را قبول می کنیم.

سپس روی دکمه PPTP Server کلیک، تیک Enable را فعال و پروتکل های مورد نظر را نیز به شرح زیر تنظیم می کنیم.

در این سناریو پروفایل پیش فرض Default-Encryption بوده و پروتکل های احراز هویت PAP و CHAP به جهت ارتقای امنیت استفاده نشده است.

در تب پروفایل، روی Default-Encryption کلیک کرده و اطلاعات را مشابه زیر در General تنظیم می کنیم (سایر قسمتها بدون تغییر):

دقت کنید که آی پی پابلیک برای Source و Pool vpn که قبلا ساخته شده برای تخصیص IP به کلاینت های ریموت در نظر گرفته شده.

حالا برای تکمیل این بخش تنها یک Secret لازم است. Secret دربردارنده همان اطلاعات اکانت کاربری است که بصورت ریموت متصل میشود. به شرح زیر این Secret را نیز ایجاد می کنیم:

در این سناریو، نام کاربری test با پسورد 123456 انتخاب شده است.

همچنین گزینه Any برای فیلد Service این قابلیت را برای کاربر ایجاد می کند که در صورت وجود اینترفیس های دیگر برای وی پی ان بجز pptp، از همین اطلاعات کاربری برای اتصال روی پروتکل های دیگر نیز استفاده نماید.

در اینجا با توجه به اینکه فقط یک اینترفیس موجود است مقدار service روی any ست شده است.
مرحله 3:

اگرچه بخش زیادی از راه تکمیل شده اما دو مرحله مهم دیگر باقی مانده است. برای اتصال به وی پی ان pptp باید پورت TCP 1723 روی مودم باز و به سمت میکروتیک فوروارد شود. PPTP همچنین نیازمند IP Protocol 47 یا GRE است.

قابلیت vpn pass through و port forward روی بسیاری از مودم ها در حال حاضر پشتیبانی میشود. Port forward معمولا در قسمت NAT، با اسامی نظیر Virtual Server یا Port forward روی صفحه مربوط به تنظیمات مودم قابل بازیابی است.

مرحله 4:

آخرین مرحله نیز مربوط به ساخت کانکشن مورد نظر روی کلاینت ریموت (remote pc) و تست اتصال است جهت ساختن کانکشن pptp روی ریموت پی سی در ویندوز سون می توانید به شرح زیر عمل کنید:

پس از انتخاب گزینه VPN Connection، نوع وی پی ان را گزینه اول (Use my Internet Connection) انتخاب می کنیم.

در این بخش، آی پی پابلیک مقصد را در فیلد Internet address وارد می کنیم و یک نام فرضی برای توضیحات وارد می کنیم. (دقت کنید در صورت تغییر آی پی پابلیک، باید اطلاعات vpn client ساخته شده نیز بروز رسانی گردد.)

سپس اطلاعات اکانت ساخته شده در بخش Secret را وارد می کنیم.

کار تقریبا به پایان رسید. تنها لازم است تنظیمات پروتکل احراز هویت را روی کانکشن بررسی نماییم:

نوع کانکشن وی پی ان در این قسمت، PPTP، و پروتکل های احراز هویت بر اساس پروتکل های فعال شده روی سرویس میکروتیک، MS CHAP و MS CHAP v2 انتخاب شده است.

با اتصال زدن دکمه Connect کانکشن ساخته شده به وی پی ان سرور متصل می شویم. اما ممکن است هنوز در دسترسی به سیستم های داخل شبکه مشکل وجود داشته باشد.

در این صورت، گزینه proxy-arp را برای فیلد arp روی هر دو اینترفیس To-Lan و To-Wan میکروتیک به شرح زیر فعال نمایید.