تونلینگ در میکروتیک - تونل IP IP

تونلینگ در میکروتیک

تونلینگ یا VPN راه حل بسیار مناسبی برای اتصال دو شبکه محلی آموزش MikroTik از طریق یک شبکه Wan می باشد . به طور مثال می توانید می توانید دو شعبه از یک شرکت را از طریق بستر اینترنت و یا اینترانت به هم متصل کنید.

استفادده از تونلنگ با استفاده از میکروتیک بسیار کم هزینه خواهد بود . یکی از الزامات استفاده از تونلینگ در بستر اینترنت و یا اینترانت داشتن IP ثابت روی پورت متصل به اینترنت خواهد در صورتی که از Modem Router برای اینترنت استفاده میکنید و روی میکروتیک خود IP public ندارید باید در تنظیمات مودم ، آموزش ویپ میکروتیک را به عنوان DMZ معرفی کنید و یا به صورت دقیق از Port forwarding استفاده کنید. البته شایان ذکر است با کمی خلاقیت می توانید روی میکروتیک از سرویس DDNS استفاده کنید تا دیگر نیازی به Static IP نداشته باشد.

میکروتیک از پروتکل های تونلینگ زیادی پشتیبانی میکند که می توان به IP IP ، GRE ، PPTP ، L2TP ، SSTP و OPEN VPN نام برد. البته میکروتیک یک پروتکل تانلینگ اختصاصی به نام EOIP نیز دارد که در لایه دو کار میکند .

در این قسمت از مجموعه آموزش میکروتیک  به بررسی تونل IP IP می پردازیم . تونل IPIP را تقریبا تمامی روتر ها پشتیبانی میکنند این نوع تونلینگ به صورت Site to Site انجام می شود .

تونل IP IP در میکروتیک

برای یادگیری تونل IPIP به مثال زیر توجه کنید .

در تصویر بالا دو شبکه Lan وجود دارد که به اینترنت دسترسی دارند آموزش VOIP برای اینکه از هر یک از این شبکه های محلی به شبکه دیگر دسترسی داشته باشیم از تونل IPIP استفاده خواهیم کرد.

در برنامه Winbox از منو سمت چپ گزینه interface را انتخاب می کنیم سپس به تب IP Tunnel می رویم .

در این قسمت یک اینترفیس جدید اضافه میکنیم . درقسمت name یک نام به آن اختصاص میدهیم و در قسمت Local address آدرس IP اینترفیس متصل به اینترنت خود روتر را وارد میکنیم و در قسمت Remote Address آدرس IP اینترفیس متصل به اینترنت روتر مقابل را وارد میکنیم . 

تنظیمات برای Router1 به شکل زیر خواهد بود

Router 1 :
Local Address: 85.135.24.31
Remote Address: 65.32.21.41

 برای Router2 دقیاقا بلعکس می باشد در نظر داشته باشید خدمات VOIP که یکی از محدودیت های تونل IP IP این است که شما در هر دو سمت نیازمند Static IP هستید .

بعد از ساختن اینتر فیس های تونل IP IP باید به این اینترفیس ها IP اختصاص دهیم . مانند هر اینترفیس دیگر میکروتیک کافی است از طریق Winbox به منو IP و سپس Address بروید و یک IP برای اینترفیس Tunnel تنظیم کنید دقت داشته باشید که IP های اختصاص داده شده به اینترفیس های Tunnel در دو روتر باید در یک رنج قرار داشته باشند.

در این مثال ما آدرس 192.168.50.1 را به اینتر فیس تونل در Router 1 و آدرس 192.168.50.2 را به اینترفیس تونل Router 2 اختصاص دادیم.

تا اینجا شبکه ما مانند شکل زیر می باشد کافی است نصب و راه اندازی VOIP در هر روتر یک Static route اضافه کنیم تا ارتباط دو شبکه بر قرار شود .

کنترل پهنای باند در میکروتیک

کنترل پهنای باند در میکروتیک

با وجود محدود بودن و گران بودن پهنای باند ایجاد محدودیت دوره آموزش میکروتیک در پهنای باند اینترنت کاربران می تواند راه حلی مناسب برای صرفه جویی در هزینه ها باشد و از طرف دیگر این محدودیت می تواند باعث عادلانه تقسیم شدن پهنای باند نیز باشد.

کنترل پهنای باند در میکروتیک توسط قابلیت Queue انجام می شود.

در این مجموعه آموزش میکروتیک به قابلیت Simple Queue خواهیم پرداخت با اینکه ویژگی Queue tree در میکروتیک بسیار کامل تر می باشد ولی جزو سرفصل های MTCNA نیست . با این حال Simple Queue می تواند بیشتر نیازهای یک شبکه کوچک را بر طرف کند .

برای ایجاد یک دستور Queue از منوی سمت چپ winbox گزینه Queue را انتخاب نمایید تا پنجره ای مانند تصویر زیر باز شود سپس به تب simple Queue می رویم و از طریق گزینه Add یک دستور جدید اضافه میکنیم .

در تب General برای Queue یک نام دلخواه وارد می کنیم .

در قسمت Target باید خدمات voip آدرس IP مبدا ( در واقع IP وسیله ای که میخواهیم محدودیت سرعت را روی آن ایجاد کنیم ) را وارد کنیم.  توجه داشته باشید که این قسمت رنج IP قبول نمیکند و باید یک یا چند IP وارد نمایید .

در قسمت DSt هم آدرس مقصد را وارد میکنید به عنوان مثال آموزش voip شما می خواهیم محدودیت پهنای باند فقط زمانی اعمال شود که کاربر به یک IP خاص متصل می شود . با رها کردن این قسمت محدودیت پهنای باند به تمام مقاصد اعمال می شود.

در قسمت MAX limit هم می توانید حد اکثر پهنای باند برای آدرس مقصد به تفکیک ارسال و در یافت را وارد کنید.

قابلیت Burst باعث می شود سرعت وب گردی بالا باشد ولی زمانی که کاربر اقدام به دانلود حجم بالا میکند سرعت کاهش می یابد . توضیح نحوه کارکرد Burst کمی پیچیده می بشد  ولی با مراجعه به لینک زیر میتواند آن را فرا بگیرید.

mikrotik burst

در قسمت time هم می توانید زمان معتبر بودن دستور Queue را معین کنید .

در تب Advance می توانید پکت های را که مارک کرده اید آموزش ویپ ( در قسمت قبلی نحوه mangle در میکروتیک را آموزش داده ایم ) را به عنوان Target به میکروتیک بدهید به علاوه اینکه می توانید برای رول ها اولویت نیز قائل شوید. الویت می تواند بین 1 تا 8 انتخاب شود. یک بیشترین اولویت و هشت کمترین اولویت می باشد. در واقع پهنای باند اول به Queue با اولویت بالا اختصاص داده می شود.

مثالی از کنترل پهنای باند در میکروتیک

برای محدود کردن پهنای باند اینترنت برای یک کاربر مشخص در میکروتیک براحتی می توانید از Simple Queue استفاده نمایید . ابتدا باید میکروتیک شما اینترنت داشته باشد و توانایی رساندن اینترنت به کاربران را داشته باشد . برای این منظور می توانید از آموزش های قبلی ما , با عنوان : اتصال میکروتیک به اینترنت - قسمت اول و دیگری با عنوان :  اتصال میکروتیک به اینترنت - قسمت دوم, استفاده نمایید . حال کافی است که یک دستور Simple Queue جدید ایجاد کرده و در قسمت Target آدرس دستگاه مورد نظر را وار نمایید . قسمت dst را خالی رها کنید و سپس پهنای باند مورد نظر را انتخاب نمایید .

مثالی دیگر از کنترل پهنای باند در میکروتیک

در قسمت قبل آموزش مثالی زده شد که در آن قرار بر این بود که نصب و راه اندازی voip پهنای باند سه کامپیوتر که آدرس IP های آنها معلوم بود را کنترل نماییم  . در قسمت قبل آموزش پکت های مربوط به این سه IP را مارک دار کردیم . حال برای کنترل پهنای باند فقط کافی است در simple queue به تب Advance برویم و قسمت packet marks نام نشانه گذاری خود را انتخاب و محدودیت دانلود و آپلود را اعمال کنیم .

آموزش منگل (mangle) در میکروتیک

در این قسمت از مجموعه آموزش میکروتیک به منگل (mangle) می پردازیم . آموزش MikroTik منگل یکی از کاربردی ترین قسمت های میکروتیک می باشد که توسط آن می توانید بسیاری از نیاز های خود را مرتفع کنید در این مجموعه آموزش اشاره مختصر و البته کاربردی به منگل خواهد شد .

منگل چیست؟

با استفاده از قابلیت منگل در میکروتیک می توانید پکت های خاصی را نشانه گذاری کنید و از این نشانه گذاری در عملیات های دیگر روتر استفاده نمایید.

از معمول ترین حالت های بکارگیری منگل استفاده از آن برای روتینگ و کنترل پنهای باند یا (queue) می باشد . در مباحث آینده آموزش میکروتیک Queue را توضیح خواهیم داد .

به عنوان مثال زمانی که شما دو اتصال اینترنت متفاوت روی میکروتیک دارید و لازم می بینید بعضی از کاربران از یک خط اینترنت و تعدادی دیگر از خط دیگر اینترنت استفاده کنند مجبور به استفاده از mangle خواهید بود.

چگونه از منگل استفاده کنیم

استفاده از منگل در میکروتیک بسیار ساده است . در winbox از منو سمت چپ گزینه Ip سپس firewall را انتخاب کنید و به تب mangle  بروید.

در این قسمت با کلیک روی Add می توانید یک دستور منگل جدید اضافه کنید.

در این قسمت مثل سایر قسمت های فایروال میکروتیک شما باید Chaine مناسب را انتخاب کنید. آموزش voip برای درک بهتر chain های میکروتیک می توانید عبارت Mikrotik Packet Flow را در گوگل جستجو کنید.

در قسمت general می توانید مشخصات نشانه گذاری را تعیین کنید به عنوان مثال بسته های آدرس مبدا آنها در فلان Adresslist است و یا آدرس مبدا و مقصد آنها را مشخص کنیم .

در تب Action می توانید عملیات mangle را مشخص کنید . آموزش ویپ Action را روی mark Packet قرار دهید تا پکت های با مشخصه دلخواه شما نشانه گذاری شوند و در فیلد new Mark packet یک نام برای بسته های نشانه گذاری شده بگذارید.

نشانه گذاری بسته ها بار خیلی زیادی روی پردازنده میکروتیک وارد می کند در واقع میکروتیک باید همه بسته های ورودی را کنترل و در صورت نیاز نشانه گذاری کند.

برای کم کردن این بار بهتر است عملیات منگل را دو مرحله انجام دهیم . در مثال زیر یک نمونه از این عملیات آشنا خواهید شد.

مثالی از نحوه نشانه گذاری بسته ها

در این مثال می خواهیم بسته های مربوط به یک adressList به عنوان آدرس کاربران را نشانه گذاری کنیم در آینده می توانیم برای آن ها محدودیت پهنای باند اعمال کنیم .

برای اینکار ابتدا یک آدرس لیست می سازیم . نصب و راه اندازی voip قبلا طریقه ساخت آدرس لیست را آموزش داده ایم.

در اینجا ما می خواهم پکت های سه کامپیوتر در شبکه را هنگام عبور از روتر نشانه گذاری کنیم آدرس IP این سه کامپیوتر به قرار زیر است

192.168.1.5
192.168.1.6
192.168.1.7

با استفاده از دستورات زیر Adress list مورد نظر را می سازیم که در اینجا با نام Users می باشد

/ip firewall address-list add address=192.168.1.5 list=Users
ip firewall address-list add address=192.168.1.6 list=Users 
ip firewall address-list add address=192.168.1.7 list=Users

سپس به تب mangle در منوی فایروال برمیگردیم و یک رول منگل Add میکنیم .

در تب General قسمت chain را روی prerouting قرار می دهیم .

و به تب Advance می رویم و در قسمت SRc Adress lIst لیستی که ساخته ایم را اضافه می کنیم .

به تب Action می رویم Action را روی mark Connection قرار می دهیم و خدمات voip در قسمت new Connection Mark یک نام برای آن انتخاب می کنیم .

نشانه گذاری کانکشن ها بار کمتری روی روتر ایجاد خواهد کرد .

ولی ما در نظر داشتیم که بسته ها را نشانه گذلری کنیم برای این کار یک رول جدید mangle  اضافه میکنیم ، در تب جنرال مانند تصویر زیر فقط در قسمت mark Connection نام نشانه گذاری کانکشن هایی که قبلا ساخته ایم را اضافه میکنیم .

و در تب Action در قسمت Action باید mark packet را انتخاب کنید و در قسمت new packet mark یک نام برای نشانه گذاری انتخاب می کنیم .

با این کار بار بسیار کمتری روی روتر اعمال می شود تا زمانی که مستقیما بسته ها را نشانه گذارید کنید .

آموزش بریج (bridge) در میکروتیک

مفهوم bridge (بریج) در میکروتیک

روتر بورد های میکروتیک یک امکان بسیار جالب دارند و آن هم بریج کردن دوره آموزش میکروتیک انواع اینترفیس اعم از مجازی و حقیقی می باشد . با این کار در واقع پورت هایی که بریج شده اند درست مانند زمانی عمل میکنند که به یک سوئیچ متصل هستند. به عنوان مثال اگر تمام 5 پورت یک روتر بور RB750 را باهم بریج کنیم عملکر روتر دقیقا مشابه یک سوئیچ 5 پورت خواهد بود . ولی دقت داشته باشید که بریج در میکروتیک به صورت نرم افزاری پیاده شده از این رو هم این عمل بر روی پردازنده بار ایجاد میکند و هم اینکه بازدهی بالایی نخواهد داشت در واقع استفاده از روتر به عنوان سوئیچ کار درستی نیست ولی بریج کردن اینترفیس های وایرلیس و اترنت در روتر ها بسیار معمول می باشد.

توجه داشته باشید با ساخته شده روتر شما یک اینترفیس مجازی خدمات voip از نوع بریج خواهد داشت که می توانید با آن مثل یک اینترفیس فیزیکی برخورد کنید به عنوان مثال می توانید به آن IP ااختصاص بدهید و یا به سمت آن روت کنید.

نحوه bridge کردن اینترفیس ها و پورت ها در میکروتیک

برای ساخت یک بریج از منو سمت راست گزینه بریج را انتخاب می کنیم سپس در تب بریج یک اینترفیس ADD میکنیم برای اینکار روی دکمه ADD کلیک کرده سپس یک نام به آن اختصاص می دهیم در این مجموعه آموزش میکروتیک به دلیل ابتدایی بودن دوره  با بقیه تنظیمات کاری نداریم و OK را می کنیم .

در ادامه به تب port می رویم . با کلیک روی ADD می توانید یک پورت را به آموزش voip یک بریج اختصاص بدهید بدین شکل که در قسمت interface در گاه روتر را انتخاب و در قسمت bridge آن را به یک Bridge نسبت می دهیم.

شما در میکروتیک می توانید چندین بریج متفاوت بسازید .

مثالی برای ایجاد یک bridge در میکروتیک

برای مثال می خواهیم آموزش ویپ دو پورت ether0 و ether1 را در یک بریج قرار بدهیم .

ابتدا یک اینترفیس بریج می سازیم .  برای ساخت بریج یا با استفده از winbox مانند توضیحات بالا عمل میکنید البته می توانید از دستور زیر در CLi استفاده کنید .

/interface bridge add name=bridge-test

سپس پورت ether0 را با دستور نصب و راه اندازی voip زیر به bridge-test اضافه می کنیم .

/interface bridge port add interface=ether0  bridge=bridge-test

سپس پورت ether1 را نیز به بریج اضافه میکنیم .

/interface bridge port add interface=ether1  bridge=bridge-test

آموزش فایروال میکروتیک | Mikrotik Firewall

فایروال میکروتیک یکی از قسمت های پرکاربرد این روتر می باشد . آموزش MikroTik اگر چه این فایروال کامل نیست ولی می توانید برای حفاظت از خود روتر از آن به شکل گسترده ای استفاده کنید.

میکروتیک هم مانند بیشتر روتر ها به یک فایروال مجهز است . از آنجایی که شرکت میکروتیک همچون بزرگان تولید کننده تجهیزات شبکه دستگاه فایروال مستقل شبکه ندارد . فایروال داخل روتر خود را کمی مجهز تر کرده است هرچند این فایروال به هیچ وجه نمی تواند جایگزین یک UTM و یا فایروال سخت افزاری شود ولی می تواند در پروژه هایی که قیمت تمام شده آن مهم می باشد از آن استفاده کرد.

در ضمن میکروتیک به یک فایروال لایه 7 هم مجهز می باشد آموزش ویپ که در واقع در لایه Application کار می کند هر چند فایروال لایه 7 میکروتیک هم خیلی کارآمد نیست ولی در بعضی از مواقع کار شما را راه خواهد انداخت.

رول های فایروال بخصوص رول های فایروال لایه 7 ، بار زیادی بر روی پردازنده روتر بورد میکروتیک اعمال خواهد کرد پس دقت داشته باشید در صورتی که تعداد رول های فایروال شما زیاد می باشد و یا به صورت گسترده از فایروال لایه هفت استفاده می کنید در انتخاب روتر بورد مناسب بسیار دقت کنید تا کیفیت سرویس دهی روتر شما پایین نیاید.

برای دسترسی به فایروال میکروتیک از منو سمت چپ ابتدا گزینه IP و سپس Firewall را انتخاب کنید در پنجره باز شده به تب filter role بروید .

تعریف chain در فایروال میکروتیک

فایروال میکروتیک به صورت آموزش Voip پیشفرض دارای سه chain می باشد.

1. Inpute chain منظور بسته های وردی به روتر است . در واقع زمانی که مقصد یک بسته خود روتر باشد این بسته در Input chain قرار دارد . مانند زمانی که از میکروتیک به عنوان DNS سرور استفاده میکنید بسته های DNS در input chain قرار دارند .
2. Output chain منظور بسته های است که از روتر خارج می شوند . در واقع بسته هایی که آدرس مبدا آنها خدمات voip خود روتر است . مانند بسته ای NTP که روتر به اینترنت ارسال میکند تا ساعت خود را تنظیم کند.
3. Forward chain منظور بسته هایی است که قصد عبور از روتر را دارند . مانند زمانی که روتر فقط بسته ها را مسیر یابی میکند . و آدرس مبدا و مقصد بسته هیچ یک از آدرس های روتر بورد نمی باشد.

توجه داشته باشید که میکروتیک قابلیت تعریف chain جدید را دارد ولی از آنجایی که آموزش این قسمت در مجموعه MTCNA نمی گنجد در این سری مقالات آموزش میکروتیک به آن نخواهیم پرداخت.

اضافه کرد رول جدید به میکروتیک بسیار ساده است روی علامت add کلیک کرده به تب General می رویم و سپس chain مورد نظر خود را انتخاب و دیگر ، وابسته به سناریو فیلد ها را پر میکنیم دقت کنید که خالی گذاشتن هر فیلد بدان معناست که آن فیلد بی اهمیت می باشد. سپس به تب Action می رویم و نوع عملکرد فایروال با بسته ای که با این رول انطباق پیدا میکند را انتخاب می کنیم .

سه مورد از Action های مهم میکروتیک به شرح زیر می باشد :

1. Accept در واقع این عملکرد اجازه عبور بسته را می دهد .
2. Drop این عمکرد بسته را دور می اندازد و نتیجه ای به فرستنده ارسال نمی کند .
3. Reject این عملکرد بسته را دور می اندازند و نتیجه را به فرستنده اعلام می کند .

فایروال میکروتیک هم مانند نصب و راه اندازی voip همه فایروال های دیگر رول ها را از بالا به پایین بررسی می کند و در صورت انطباق بسته با هر یک از رول ها بقیه رول ها نادیده گرفته می شوند .

در winbox با استفاده از Drag & Drop می توانید رول را جابه جا کنید .

برای عملکر بهتر فایروال حتما این سه رول در فایروال با اولویت بالا قرار دهید در غیر اینصورت ممکن است بعضی از رول ها به درستی کار نکنند .
برای اعمال این رول ها کافیست دستورات زیر را در ترمینال میکروتیک کپی کنید .

/ip firewall filter
add chain=forward connection-state=established comment="allow established connections"  
add chain=forward connection-state=related comment="allow related connections"
add chain=forward connection-state=invalid action=drop comment="drop invalid connections" 

مسدود کردن تلگرام توسط فایروال میکروتیک

هر چند فیلترینگ اپلیکشن ها باید در لایه نرم افزار انجام شود ولی در صورتی که تجهیزات لازم برای اینکار را ندارید می توانید از فایروال میکروتیک برای اینکار استفاده کنید .

فرض بر این است که شما به وسیله میکروتیک به کاربرانتان اینترنت میرسانید. برای مسدود کردن تلگرام باید دسترسی کاربرانتان را به چند آدرس IP مسدود کنید .

برای اینکار ابتدا در پنجره فایروال به تب Adresslists می رویم .

در این قسمت با کلیک روی ADD این سه آدرس IP را با نام دلخواه درج می کنیم.  ( نام برای هر سه آدرس باید یکی باشد )

به عنوان مثال ما در اینجا نام را Telegram قرار می دهیم .

مانند شکل زیر این سه آدرس IP به Addresslist اضافه می شوند .

به تب filter rules برمیگردیم و یک رول جدید اضافه می کنیم از آنجایی که این رول باید جلوی بسته های عبوری را بگیرد در تب General فیلد chain را روی Forward قرار می دهیم . به تب Advance می رویم و در قسمت Dst . address list آدرس لیستی که ساخته ایم را اضافه می کنیم .

سپس به تب Acction می رویم و action را روی Drop یا  Reject قرار می دهیم.

در واقع به دلیل خالی گذاشتن فیلد آدرس مبدا عمل فیلترینگ برای همه کلاینت ها انجام می شود.

توجه داشته باشید این روش در زمان نگارش این مطلب کار خواهد کرد ولی ممکن است در آینده با تغییر آدرس IP سرور های پیامرسان تلگرام یا اضافه شدن سرور های جدید این روش پاسخگوی نیاز شما نباشد.