آموزش پیاده سازی L2TP Server و L2TP Client
در بخش قبلی ما درباره سناریوی L2TP با شما صحبت کرده بودیم. در این بخش قرار است که درباره پیاده سازی L2TP SERVER و L2TP CLIENT با شما صحبت کنیم. از اینجا به بعد قرار است که ما ۳ تا کار انجام دهیم. ابتدا باید L2TP را پیاده سازی نماییم، سپس بحث امنیت را راه اندازی نماییم و در نهایت باید روتینگ ها را پیاده سازی کنیم. در واقع نیاز است که روتینگ دو تا شبکه را بنویسیم تا کلاینت های عضو دو شبکه بتوانند به راحتی با یکدیگر ارتباط برقرار نمایند. خوب با این تفاسیر نیاز است که ابتدا به سراغ بخش اول داستان یعنی پیاده سازی L2TP سرور برویم.
آنچه در این مقاله می خوانید:
توضیحات اولیه!
ابتدا باید به سراغ ONE NOTE برویم. اگر خاطرتان باشد، سناریویی که در درسنامه قبلی درباره آن صحبت کرده بودیم به صورت تصویر زیر بود. همان طور که در تصویر مشاهده می کنید ما در این سناریو دو بخش داریم که شامل دو تا روتر در سمت راست و چپ می شود. در این سناریو روتر سمت راست ما L2TP SERVER است و روتر سمت چپ به عنوان L2TP CLIENT معرفی می گردد.
ببینید دوستان؛ ساختار تانل ها؛ فرقی هم نمی کند که چه باشد؛ L2TP یا PP2P و یا SSTP، تحت هر شرایطی ما باید سروری را ابتدا راه اندازی کنیم و بعد با یک کلاینت به آن متصل شویم. البته نیاز است که به لحاظ امنیتی هم یک سری کارها را انجام دهیم که رفته رفته تمامی مراحل را برایتان توضیح خواهیم داد.
خوب حالا اینجا یک سوال مطرح می شود و آن هم این است که ما چرا داریم از L2TP استفاده می کنیم؛ پاسخ ساده است؛ به دلیل امنیت!
البته جدای بحث امنیت، لازم است بدانید که ما تانل های دیگری هم داریم؛ مثل ISP تانل، GRE تانل، اما در بحث L2TP، SSTP و یا PPTP؛ این پروتکل ها یک مزیتی دارند و آن هم این است که اگر یک سمت IP استاتیک داشته باشیم، کفایت می کند. یعنی اگر ما بخواهیم دو تا شعبه را به هم متصل کنیم؛ کافیست که روی شعبه ی اصلی آی پی استاتیک داشته باشیم.
البته فرقی نمی کند؛ همینکه ما یک سمت از شبکه مان IP استاتیک داشته باشیم کافیست. در واقع فقط کافیست که فقط در یکی از سابنت های ما آی پی ثابت وجود داشته باشد. اما در استراتژی هایی مانند IP یا IP تانل، نیاز است که ما در هر دو سابنت، آی پی استاتیک داشته باشیم.
پس این شد که ما در پروتکل هایی مانند L2TP و SSTP نیازی نداریم که هر دو سمت سابنت ما آی پی استاتیک داشته باشند. بنابراین این پروتکل ها را در اولویت قرار می دهیم. ببینید دوستان؛ شما وقتی ساختار و اصول اولیه راه اندازی تانل ها را یاد بگیرید؛ دیگر برایتان فرقی نمی کند که چه پروتکلی داشته باشید. بدین صورت تحت هر شرایطی می توانید بهترین استراتژی را پیاده سازی نمایید. اما چیزی که در نهایت از اهمیت خیلی زیادی برخوردار است؛ بحث روتینگ می باشد.
خوب با توجه به تصویر زیر، ما اسم روتر سمت راستی را ROUTER/20 گذاشته ایم و نام روتر سمت چپی را ROUTER/10 انتخاب کرده ایم. خوب حالا این سوال مطرح می شود که اصلاً ما چرا این نام گذاری را انجام داده ایم؟ پاسخ این است؛ چون رنج LAN روتر سمت راست ما ۲۰ و رنج LAN روتر سمت چپ ما ۱۰ می باشد.
حالا نیاز است که وارد تنظیمات روتر هایمان شویم. ببینید دوستان در تصویر زیر شما می توانید تصویر تنظیمات روترها را مشاهده نمایید.
حالا در قسمت IDENTIFY شما می توانید برای هر روتر یک اسم جداگانه تعریف کنید. البته لازم است بدانید که ما از قبل تمامی پنجره هایی را که برای پیاده سازی این سناریو به آن ها نیاز داشتیم را برایتان باز گذاشته ایم.
خوب اولین کاری که ما روی هر دو روتر انجام داده ایم این است که در قسمت SYSTEM روترها در بخش USER، تمامی اطلاعات دیفالت موجود در بخش ADMIN را پاک کردیم. ( این کار برای امنیت بیشتر انجام شده است) و یوزرهای جدید با پسوردهای ۱۴ رقمی با حروف بزرگ و کوچک را برایشان تعریف کرده ایم.
با این تفاسیر IDENTIFY هر کدام از این روترها با نام اصلی آن ها و یوزرشان یکی می باشد. حالا ما می خواهیم که روتر سمت راستمان را به عنوان L2TP SERVER و روتر سمت چپ را به عنوان L2TP CLIENT معرفی کنیم و در نظر بگیریم.
برای ادامه پیاده سازی سناریو ما به دو تا اینترنت نیز احتیاج داریم؛ بنابراین سریع اینترنتها را بر روی روترهایمان پیاده سازی می کنیم، شبکه LAN مان را می گذاریم و کارهای اولیه شان را انجام می دهیم و سپس به سراغ راه اندازی L2TP SERVER می رویم. پس از این مرحله نیز کاری که می کنیم این است که اینترنت را راه اندازی می نماییم.
بر طبق تصویری که از درسنامه قبلی داشتیم ما گفته بودیم که پورت ۱ هر دو تا روتر را به اینترنت متصل کرده ایم.
ما روتر سمت راست را BRIDGE کرده ایم و با یک کابل شبکه به شبکه مورد نظرمان متصل نموده ایم و مودم سمت چپ را به یک مودم مبین نت متصل کرده ایم. گفته بودیم که مودم مبین نت BRIDGE ندارد و ناچاراً باید به پورت یک مان یک آی پی بدهیم و در نهایت یک ROUTE هم برایش بنویسیم.
اما در روتر سمت راست که بریج شده، کانکشن PPPOE را راه اندازی می نماییم. ما این کار را از قبل برای شما انجام داده ایم. بعد از راه اندازی کانکشن کافیست که حالا یک پینگ بگیریم. به عنوان مثال ما PING PBXSHOP را می گیریم و مشاهده می کنیم که اینترنت برقرار است.
خوب؛ حالا روی روتر سمت چپ هم باید دقیقاً همین کار را انجام دهیم؛ فقط با این تفاوت که ما روی این روتر کانکشن pppoe نداریم، بنابراین باید ip ست کنیم و این کار را می توانیم از طریق زبانه IP ADDRESSES انجام دهیم. پس روی این زبانه کلیک می کنیم و در باکس ایجاد شده یک آی پی تعریف می نماییم. IP تعریف شده در این بخش ۱۹۲.۱۶۸.۱.۲/۲۴ می باشد؛ حالا APPLY را می زنیم و به محض اینکه IP روی اتر ست شود، کانکشن روی آن نوشته می شود.
اما حالا اینجا یک سوال مطرح می شود و آن هم این است که آیا ما اینجا GATE WAY داریم؟
خیر نداریم؛ چرا ؟ چون ما IP را به صورت استاتیک و دستی تعریف کرده ایم. در واقع برای جلوگیری از هر گونه اختلال بر روی شبکه، ترجیح ما این است که ما IP مان را به صورت دستی بر روی شبکه اعمال کنیم و دیفالت روت را نیز به صورت دستی بنویسیم. با این تفاسیر حالا ما روی روتر یک مان اینترنت خواهیم داشت. این بدین معناست که اگر ما در روتر ۱ از زبانه TOOLS پینگ اینترنت را بگیریم، مشاهده می کنیم که اتصال به درستی برقرار است. حالا اگر ما دیفالت روت مان را ببندیم چه اتفاقی رخ می دهد؟ قاعدتاً کانکشن ما قطع خواهد شد.
خوب حالا ما روی هر دو روتر مان اینترنت را راه اندازی کرده ایم. الان کاری که باید انجام دهیم این است که دو تا شبکه LAN را سریع با بریج می سازیم؛ البته یک کار دیگری هم می توانیم انجام دهیم و آن این است که اصلاً بریج نسازیم. چون وقتی پورت های ۴ و ۵ با هم بریج هستند و ما می خواهیم فقط از پورت ۴ آن استفاده کنیم و حالا شبکه ی LAN را تعریف می کنیم؛ برای هر دو سمت، اترهای ۴ شبکه ی LAN ما هستند. اگر در بخش روتینگ ها برویم این شبکه ها را مشاهده خواهیم کرد که یکی را ۱۰.۰ و دیگری را ۲۰.۰ می گذاریم.
خوب؛ حالا می خواهیم به سراغ تنظیمات L2TP برویم. ببینید دوستان؛ در راه اندازی اولیه L2TP SERVER ما سه الی چهار تا تنظیمات مهم داریم که باید آن ها را پیاده سازی کنیم. اولین کاری که باید برای پیاده سازی انجام دهیم این است که باید مشخص کنیم L2TP ما فعال است یا خیر!
این بدان معناست که در ابتدا باید پروتکل IP SEC و L2TP را فعال نماییم و در مرحله دوم باید یک پروفایل در نظر بگیریم و در مرحله سوم باید SECRET ایجاد کنیم.:
- L2TP و IP SEC
- PROFILE
- SECRET
پیاده سازی L2TP SERVER !
خوب حالا به سراغ روتر ۲۰ می رویم و در قسمت PPPOE باید ابتدا L2TP SERVER را فعال نماییم. یعنی در سربرگ اول INTERFACE روی L2TP کلیک می کنیم، یک پنجره به ما نمایش داده می شود. در این پنجره ما یک سری تنظیمات اولیه داریم.
برای ویرایش این تنظیمات ابتدا بر روی ENABLE میزنیم و تا کل تنظیمات فعال شوند. گام بعدی این است که IPSEC را نیز در این تنظیمات REQUIRED کنیم. این یعنی ما حتماً نیاز داریم که از IP SEC استفاده شود. در واقع اگر کلاینت ما از IP SEC استفاده نکند ما اجازه شناسایی را به آن نخواهیم داد.
در گام بعدی نیاز است که ما یک پسورد خوب برای این روتر تعریف کنیم؛ البته پسوردی که حتماً مطمئن باشد. برای تعریف یک پسورد مطمئن بهتر است که از حروف بزرگ و کوچک و علائم استفاده کنیم. حالا تنظیمات انجام شده را APPLY می کنیم. در نتیجه ی این APPLY ما H2TP SERVER و IP SEC را فعال کرده ایم.
حالا گام بعدی این است که برای آن یک PROFILE بسازیم. برای این کار ما در همین پنجره ی PPPOE یک سربرگی با عنوان پروفایل PROFILE داریم. ابتدا در این بخش ما دو تا پروفایل پیش فرض هم داریم که به آن ها کاری نخواهیم داشت. پس یک پروفایل جدید می سازیم. با توجه به تصویر زیر، تنظیمات مورد نظرمان را اعمال می کنیم.
خوب در پنجره ی جدید از NEW PPP PROFILE ابتدا نیاز است که از قسمت NAME یک نام برای پروفایل انتخاب و تعریف نماییم. مثلاً می نویسیم L2TP / PROFILE!
در زبانه های بعدی دو مورد local address و remote address را داریم. Local در واقع همان ip است که تانل به خودمان اختصاص می دهد و remote، ip است که در واقع L2tp server ما به کلاینت اختصاص می دهد. حالا دو تا آی پی ۱۰.۱۰.۱۰.۱ و ۱۰.۱۰.۱۰.۲ را تعریف کرده و تنظیمات اعمال شده را apply می کنیم.
در ادامه به سراغ مرحله بعدی یعنی ساخت secret می رویم. برای این کار در پنجره ppp به سراغ سربرگ secret می رویم. حالا مانند تمامی تنظیمات نیاز است که برای بخش سکرت هم یک نام انتخاب کنیم. اسم انتخابی در این قسمت در واقع همان نام vpn ما می باشد که از اهمیت بسیار زیادی برخوردار است.
به عنوان مثال نام مورد نظر را pbxshop/l2tp می گذاریم. اما برای بخش پسورد نیاز است که پسوردی متفاوت تر و پیچیده تر از ip sec را انتخاب کنیم. این پسورد باید حداقل ۱۰ تا ۱۲ کاراکتر داشته باشد؛ با این تفاسیر پسورد مورد نظر را مثلاً pbxshop!2024! می گذاریم. حالا زبانه services را روی L2TP می گذاریم چرا که قرار است این سکرت فقط از طریق L2TP متصل شود.
ببینید دوستان SECRE می تواند یک چیز کلی باشد و برای هر وی پی ان استفاده شود. اما جون فقط ما این سکرت را برای L2TO استفاده می کنیم، بخش SERVICES را فقط بر روی L2TP تنظیم می نماییم. حالا بعد از این مرحله باید پروفایلی که ساخته بودیم را از لیست PROFILE انتخاب کنیم. در نهایت حالا باید تنظیمات اعمال شده را APPLY کنیم.
خوب دوستان تا به اینجای کار ما سه مرحله ی L2TP+ISP و PROFILE و SECRET را انجام داده ایم. حالا کاری که باید انجام دهیم این است که از سمت کلاینت مان یک کلاینت بسازیم و آن را متصل کنیم. در واقع به بیانی ساده تر سه مرحله ای که ما تا به اینجای کار انجام داده ایم، در سمت سرور بود و حالا باید به سراغ کلاینت ها برویم. برای بخش کلاینت ها نیاز است که موارد زیر را حتماً لحاظ کنیم.
پیاده سازی L2TP CLIENT !
خوب؛ برای این کار نیاز است که ابتدا به سراغ روتر سمت چپ مان برویم. در ادامه به زبانه PPP خواهیم رفت و روی این گزینه کلیک می کنیم. در ادامه کلیک یک پنجره آبی رنگ برای ما باز می شود. در این پنجره ما روی گزینه INTERFACE کلیک می کنیم. حالا روی + میزنیم و L2TP CLIENT را انتخاب می نماییم. در نتیجه انتخاب L2TP CLIENT یک باکس جدید باز می شود که در قسمت جنرال این باکس می توانیم برای آن یک اسم خاص انتخاب نماییم. حالا در بخش CONNECT TO، IP سرورمان یعنی جایی که قرار است به آن وصل شود را وارد می کنیم.
حالا می رسیم به بخش یوزر!
دوستان این بخش از اهمیت بسیار بالایی برخوردار است. در واقع این یوزر همان نامی است که ما در بخش سکرت انتخاب کرده بودیم. یعنی همان PBXSHOP/L2TP!
حالا یوزر و پسورد را وارد می کنیم و تیک آی پی سک را میزنیم و اطلاعات مورد نظر آن را وارد می نماییم. لازم به ذکر است که این اطلاعات را می توانیم از بخش INTERFACE دریافت کنیم. حالا باید تنظیمات اعمال شده را APPLY کنیم. بعد از اپلای مشاهده خواهیم کرد که کانکشن ما برقرار شده است.
خوب؛ حالا برای مرور بیشتر؛ کارهایی که ما انجام داده بودیم این بود که یک L2TP در سمت راست و یک L2TP CLIENT هم در سمت چپ راه اندازی کردیم. بعد از این راه اندازی ما از شبکه سمت چپ به شبکه سمت راست در بستر اینترنت متصل شدیم. تنظیمات سرور را انجام دادیم و بعد از این پروسه به محض اینکه ارتباط برقرار شد مشاهده کردیم که دو آی پی ست شده اند. دوستان به کل این پروسه، پروسه ساختار تانل گفته می شود. در واقع بعد از این پروسه است که تصور زیر معنا پیدا می کند.
بر طبق این تصویر ما در بین اتر این دو شبکه یک تانل آبی رنگ ایجاد کرده ایم. تانلی که قرار است دیتا و اطلاعات ما به صورت محافظت شده در آن رد و بدل شود. بنابراین خط آبی داخل تصویر همان تونل ما از نوع L2TP می باشد. خوب حالا نکته ای که وجود دارد این است که سمت راست ما SERVICE و سمت چپ ما کلاینت وجود دارد.
IP راست —– > 10.10.10.1
IP چپ —-à ۱۰.۱۰.۱۰.۲
دوستان نکته قابل توجه در این تصویر این است که IP پابلیک ما همچنان وجود دارد و ما کاری با آن نداریم و این تانل به صورت مجازی ایجاد شده است و ارتباطی به IP PUBLICE ندارد. در واقع این تانل مانند یک کابل شبکه عمل می کند و حالا قرار است که دیتا در این بستر جابجا شود.
خوب؛ حالا دوباره به سراغ روترها می رویم. مشاهده می کنیم که تمامی این پروسه به صورت عملی اجرا شده است. اما نکته ای که وجود دارد این است که در زمان اتصال دو روتر به یکدیگر، ما نیازی به PROFILE نداریم. این در شرایطی است که اگر تعداد آِ پی های در دسترس ما نیز محدود باشد باز هم نیازی به استفاده از پروفایل نخواهد بود.
بنابراین نتیجه این است که اتصال مد نظر ما بدون PROFILE هم برقرار خواهد شد. اما ممکن است این سوال اینجا مطرح شود که اگر این اتصال بدون پروفایل هم برقرار می شد ما چرا پروفایل را ایجاد کردیم؟!
ببینید دوستان این اتصال بدون پروفایل بین دو کلاینت با یک سری آی پی مشخص و محدود اتفاق افتاده است. اما مثلا زمانی که ما ۱۰۰ کلاینت داریم که این ۱۰۰ کلاینت قصد اتصال به H2TP SERVER را دارند، دیگر راهکار اتصال بدون پروفایل عملی نخواهد بود. در آن حالت باید از PROFILE استفاده کنیم که بعدا مفصلاً درباره آن صحبت خواهیم کرد.
بنابراین فقط زمانی که دو کلاینت داریم می توانیم بدون ساخت پروفایل هم این کار را انجام دهیم. خوب حالا به سراغ PING گرفتن میرویم تا بررسی کنیم که اتصال برقرار است یا خیر!
PING گرفتن!
در این قسمت به سراغ PPP در بخش L2TP SERVER می رویم. حالا در سربرگ ACTIVE CONNECTIONS کل کانکشن هایی که برای ما فعال است لیست شده است. حالا ما در همین قسمت می توانیم پینگ بگیریم. در قسمت NEWTERMINAL را می گیریم و می بینیم که اتصال ۱۰.۱۰.۱۰.۲ برقرار است.
در سمت چپ نیز کافیست در بخش NEWTERMINAL پینگ ۱۰.۱۰.۱.۱ را بگیریم. باز هم مشاهده می کنیم که اتصال برقرار است. البته IP هایی که در این بخش نوشته شده اند نمی توانند الان یکدیگر را ببینند چون هنوز روتینگ ها نوشته نشده اند.
نکته : دوستان SERVER IP سمت راست ما در اصل یک IP استاتیک نیست و داینامیک است و بعد از هر بار اتصال و قطع شدن تغییر می کند. که البته این انتخاب درستی نیست و برای تونل زدن حتماً باید یک سمت ما آی پی استاتیک داشته باشیم. در واقع ما فقط برای پیاده سازی سناریوی مان از این آی پی استفاده کرده ایم اما در عمل این کار درستی نیست.
جمع بندی و سخن آخر
خوب حالا ما در این درسنامه L2TP SERVER را پیاده سازی کردیم. L2TP CLIENT را وصل کردیم و درباره آی پی های دو سمت شبکه صحبت کردیم و حالا نوبت به مسائل امنیتی می رسد که در درسنامه بعدی درباره آن ها صحبت می کنیم.
مثل همیشه عالی
فقط یه سوال…
روشی نیست که بشه از یه روتر میکروتیک استفاده بشه و سمت کلاینت مثلا از مودم روتر استفاده کنه؟
سلام و درود
اگر مودم روتر مورد نظر قابلیت کلاینت را داشته باشد
بله و البته پیشنهاد نمیکنیم
استاد واقعا تشکر از اینکه انقدر شیوا و روان توضیح دادین و تشکر بابت اینکه علمتون رو در اختیار ما گذاشتین .
ارادتمند، باعث افتخار ماست
موفق باشید و سربلند
از این بهتر نمیشه
ارادتمندم
تدریس بسیار خوبی عالی بود من لذت بردم
ارادتمندم
موفق باشید