آموزش اتصال موبایل با پروتکل L2TP به L2TP Server میکروتیک (جلسه ۵۲)

اتصال موبایل با پروتکل L2TP به L2TP Server میکروتیک 

مقدمه
در این فصل از دوره رایگان میکروتیک قرار است نحوه اتصال موبایل به L2TP میکروتیک و پروتکل L2TP به L2TP server که بر روی میکروتیک راه اندازی شده از طریق موبایل آموزش داده شود. بنابراین اگر قصد دارید از طریق گوشی موبایل خود و پروتکل L2TP به L2TP server میکروتیک وصل شوید، با ما در ادامه مطلب همراه باشید تا با آموزش اتصال موبایل به L2TP سرور میکروتیک به صورت کاملاً عملی آشنا شوید.

نحوه اتصال پروتکل L2TP به L2TP server میکروتیک از طریق موبایل

برای این اتصال باید بر روی یکی از روترهای میکروتیک، L2TP server راه اندازی کنید و با یک میکروتیک دیگر و در شبکه‌ای دیگر یک L2TP client راه اندازی نمایید. سپس می‌توانید از طریق L2TP کلاینت به L2TP سرور وصل شوید. پس از این مرحله می‌توانید یک تونل مجازی برقرار کنید که تصویر این تونل در ویدئوی آموزشی و راهنمای تصویری L2TP میکروتیک برای موبایل نشان داده شده است.

در این ویدئوی آموزشی توضیح داده می‌شود که در دو سمت این تونل مجازی ایجاد شده باید دو IP داشته باشیم. همچنین باید روتینگ‌ها را بر اساس این دو IP که در دو سمت تونل قرار دارند بنویسیم.

البته تمام این مراحل به طور مفصل در فصل‌های قبلی توضیح و انجام داده شده‌اند و یک سری موارد امنیتی نیز بررسی شده است. شما باید قبل از راه اندازی پروتکل، تنظیمات میکروتیک را مجدداً بررسی کنید. سپس می‌توانید بر روی موبایل خود L2TP کلاینت بسازید و به L2TP سرور وصل شوید. هدف از آموزش این سناریو این است که از طریق میکروتیک متصل نمی‌شویم، بلکه به جای میکروتیک از یک کلاینت یا همان موبایل استفاده می‌کنیم. به عبارت دیگر، نحوه اتصال گوشی به L2TP Server به گونه‌ای است که L2TP کلاینت بر روی یک کلاینت خاص قرار دارد نه روی یک میکروتیک.

همانطور که در آموزش‌های قبلی توضیح داده‌ایم، در حالت‌های قبلی از طریق میکروتیک تونل‌ها برقرار می‌شدند که برای ۲ تا شبکه یا ۲ تا LAN مختلف و یا ۲ تا سابنت مختلف روتینگ نوشته می‌شد تا با هم ارتباط برقرار کنند. ولی در این سناریو دیگر روتینگ خاصی مد نظر نیست. بلکه کاربر به عنوان کلاینت می‌خواهد از طریق گوشی موبایل خود و پروتکل L2TP به سرور وصل شود تا بتواند نیازهای خود را برطرف نماید. مثلاً بخواهد دوربین‌ها را چک کند یا سافت‌فون‌ها را راه‌اندازی نماید یا سرورهای دیگر را ببیند و یا سایر کارهای مد نظر را انجام دهد.

مراحل اتصال پروتکل L2TP به L2TP سرور

برای انجام دادن این اتصال باید مراحل زیر را طی کنید.
در ابتدا باید بر روی میکروتیک کلیک نموده و تنظیمات میکروتیک را که از قبل انجام شده‌اند چک نمایید. سپس باید وارد قسمت فایروال شوید. در این قسمت rules یا رول‌هایی نوشته شده‌اند که به منظور افزایش امنیت می‌باشند. در مرحله بعد باید کادر آدرس را چک کنید تا مشاهده نمایید که اینترنت به روتر متصل است. این اتصال با IP 2.176.108.101 می‌باشد که از طریق مخابرات گرفته می‌شود.

تنظیمات L2TP سرور

لازم به ذکر است بدانید برای تنظیمات L2TP سرور باید ۳ مرحله را انجام دهید. این مراحل عبارتند از:

• مرحله اول: در این مرحله باید L2TP سرور را فعال کنید. سپس IPsec را بر روی حالت required  قرار دهید. به لحاظ امنیتی حتماً از IPsec استفاده کنید.
• مرحله دوم: در این مرحله باید برای آن یک پروفایل بسازید. برای ساخت پروفایل می‌توانید ۲ IP را به صورت دستی وارد نمایید.
• مرحله سوم: در این مرحله باید به قسمت Secret بروید و یک سکرت ایجاد کنید که با یک یوزر و پسورد کاملاً مطمئن و سرویس آن را بر روی حالت L2TP بگذارید.

در این قسمت می‌توانید هم از پروفایل استفاده کنید و هم به صورت دستی وارد نمایید. این قسمت مهم‌ترین بخش ویدئوی آموزشی و آموزش اتصال موبایل به L2TP سرور میکروتیک می‌باشد که قرار است نکات مربوط به آن توضیح داده شود.

اتصال یک کلاینت به یک L2TP سرور

در قسمت قبلی فقط اشاره‌ای به این موضوع و نکات مربوط به آن شده بود. در واقع به صورت مختصر گفته شد که اگر می‌خواهید دو میکروتیک را به هم وصل کنید نیاز نیست از IP Pool کمک بگیرید. چرا که ۲ سرور و یا ۲ شبکه مشخص هستند و تعداد کلاینت‌ها معلوم می‌باشند.

ولی در این ویدئوی آموزشی قرار است یک کلاینت را به یک L2TP سرور وصل کنیم. در این روش یک تونل مجازی برقرار می‌شود که می‌توان در دو سر آن دو IP به صورت استاتیک در نظر گرفت. ولی اگر تعداد کلاینت‌ها زیاد باشد دیگر این راه حل یک راهکار منطقی نیست. اما در مرحله اول آموزش قصد دارید از همان تنظیماتی که از قبل بوده استفاده کنید و ارتباط را برقرار کنیم. ولی در مرحله بعد کمی حرفه‌ای‌تر کانفیگ را انجام می‌دهیم.

مرحله اول آموزش

در ابتدا وارد صفحه موبایل خود شده و در قسمت Setting و سپس VPN که فعلاً هیچ کانکشنی ندارد می‌روید. (در ویدئوی آموزشی اینترنت استفاده شده اینترنت همراه اول می‌باشد و هیچ ارتباطی به میکروتیک ندارد).

در قسمت پایین VPN بر روی گزینه Add VPN Configuration کلیک می‌کنید.
در این قسمت حتماً باید پروتکل را مشخص کنید. یعنی اینکه پروتکل گوشی شما چیست. به همین دلیل تایپ را بر روی حالت L2TP قرار می‌دهید. این بخش از راهنمای تصویری L2TP میکروتیک برای موبایل به شما کمک می‌کند تا با اطمینان تنظیمات را انجام دهید.

البته باید این نکته را یادآوری کنیم گوشی‌های موبایل آیفون دارای پروتکل L2TP هستند. لذا کاربران می‌توانند از این پروتکل استفاده کنند. ولی گوشی‌های موبایل اندروید خصوصاً نسخه‌های جدید این پروتکل را ندارد. البته این موضوع به لحاظ امنیتی می‌باشد. ولی کاربران می‌توانند از طریق اپلیکیشن‌های جانبی به منظور اتصال از طریق پروتکل L2TP استفاده کنند.

روش دیگر برای استفاده از پروتکل L2TP ساخت Certificate است و باید از پروتکل‌های دیگر نظیر SSTP  کمک بگیرید. در این ویدئوی آموزشی به دلیل اینکه از گوشی آیفون استفاده می‌شود به پروتکل L2TP دسترسی داریم.

در این قسمت باید description را نامگذاری کرد. کاربران می‌توانند هر اسم دلخواهی را انتخاب کنند. در قسمت سرور موبایل باید IP پابلیک L2TP سرور را وارد کنید که در اینجا ۲.۱۷۶.۱۰۸.۱۰۱ می‌باشد. در قسمت اکانت که required است باید اسم VPN را درج کنید. در واقع نامی که برای Secret در VPN گذاشته شده را باید انتخاب نمایید.

در این ویدئوی آموزشی نام VPN pbxshop-l2tp است که همه با حروف کوچک می‌باشند. سپس باید کادر پسورد را پر کنید و پسورد را وارد نمایید.

مرحله بعدی وارد کردن Secret است. سکرت همان رمزی می‌باشد که در قسمت اینترفیس و L2TP سرور برای IPsec سکرت در نظر گرفته شده است. این مراحل ذکر شده برای کانفیگ می‌باشند. در ادامه مراحل پراکسی را توضیح می‌دهیم که هیچ پراکسی ست نمی‌کنیم بلکه دان می‌کنیم.

مراحل پروکسی

مجدداً به قسمت بالای فیلدها می‌رویم و مشاهده می‌کنیم که vpn ظاهر شده است که در ویدئوی آموزشی edu pbxshop است. این گزینه را انتخاب نموده و بر روی گزینه کانکت کلیک می‌کنیم. در این قسمت باید به این نکته توجه کنید که حتماً یوزر و پسورد درست را وارد کنید تا VPN متصل شود. در غیر این صورت این اتصال برقرار نمی‌شود.

از آنجایی که یوزر و پسورد وارد شده در ویدئوی آموزشی صحیح است کاربر به سرعت از طریق موبایل خود به میکروتیک در یک شبکه دیگر و با یک IP دیگر با استفاده از تونل L2TP متصل می‌شود. این دقیقاً همان نحوه اتصال گوشی به L2TP Server است که در این مقاله آموزش داده شده است.

وارد کردن Ping 

مرحله بعدی مرحله وارد کردن ping است. در این ویدئو آموزشی ping عدد ۱۹۲.۱۶۸.۲۰.۱ می‌باشد. ۲۰.۱ همان درگاه است. از طرف دیگر کلاینت ما ۲۰.۱۸۰ می‌باشد و پینگ ۲۰.۱۸۰ را می‌گیریم. لازم به ذکر است برای این اتصال حتماً باید پینگ کلاینت را هم داشته باشید.

بنابراین با این کانکشن ساخته شده می‌توان به میکروتیک داخل شبکه وصل شد و یک لایه امنیتی ایجاد نمود. این لایه امنیتی ایجاد شده از Destination Net امن‌تر است. ولی در کجا می‌توانید از این لایه امنیتی استفاده کنیم؟

باید متذکر شویم این لایه امنیتی برای انتقال Voice یا سافت‌فون‌ها مناسب نیست و پیشنهاد نمی‌شود. در واقع اگر قصد انتقال Voice و یا راه‌اندازی سافت‌فون در خارج از شبکه را دارید بهتر است از Destination Net استفاده کنید…. ولی باید بدانید که Destination Net بسیار خطرناک است و شما باید تمام لایه‌های امنیتی را لحاظ کنید. اما در بحث L2TP این موضوع کمی متفاوت است. با اینکه باید لایه امنیتی را در نظر گرفت ولی خود L2TP secure است. چرا که از IPsec استفاده می‌کند. به همین دلیل پروتکل بسیار مطمئنی است.

البته کاربران می‌توانند از پروتکل SSTP هم استفاده کنند. پروتکل SSTP نیز به همین صورت امن است و ساختاری مشابه L2TP دارد. کاربران به راحتی می‌توانند بعد از این آموزش پروتکل SSTP را پیاده‌سازی کنند. چرا که هم با ساختار VPN آشنا شده‌اند، هم نحوه روتینگ را یاد گرفته‌اند و از همه مهم‌تر می‌توانند امنیت را تامین کنند. این فاکتورها مهم‌ترین مراحل پیاده‌سازی هر پروتکل چه SSTP و چه L2TP می‌باشند.

اگرچه هر پروتکلی یکسری جزئیات متفاوت دارد که با یک سرچ ساده می‌توانید از این جزئیات باخبر شوید. فقط باید به این نکته توجه کنید برای تونل زدن باید از پروتکل‌های امن استفاده نمایید.

نحوه اتصال کلاینت‌های زیاد

در بحث اتصال پروتکل L2TP به L2TP سرور یک سوال مهم مطرح می‌شود. اینکه اگر تعداد کلاینت‌ها زیاد باشد باید چکار کنیم؟ این سوال یکی از مهم‌ترین نکات این ویدئوی آموزشی است. فرض کنید شما ۵۰ کلاینت دارید. حال برای اتصال باید چکار کنید؟

در چنین مواقعی کار کمی دشوارتر است. برای اینکه بتوانید حرفه‌ای‌تر پروفایل بنویسید و IP به کلاینت‌ها بدهید نباید در قسمت Secret به صورت استاتیک IPهای لوکال و ریموت را وارد کنید. این کار در مواقعی که کلاینت‌ها زیاد و نامشخص هستند کاملاً غیر منطقی است. بنابراین نمی‌توان به صورت دستی و استاتیک این پروسه را انجام داد. بلکه باید یک پروفایل بسازید.

هرسوالی که داری در انجمن مطرح کن

نحوه ساخت پروفایل

روش ساختن پروفایل نیز به این صورت است که ابتدا اطلاعات فیلدهای local Address و Remote Address  باید پاک شوند و گزینه name Apply شود.

سپس باید اقدام به ساخت پروفایل کنید. البته پروفایلی که در ویدئوی آموزشی است از قبل می‌باشد. در این پروفایل local و Remote به صورت استاتیک وارد شده‌اند که منطقی نیست.

بنابراین گام اول این است که به قسمت IP Pool بروید و یک pool مخصوص این کار بسازید. مثلاً اسم آن را می‌گذاریم l2tp-pool و آدرس آن را ۱۷۲.۱۰.۱۰.۱-۱۷۲.۱۰.۱۰.۲۰ می‌گذاریم. البته این رنج به شما بستگی دارد و می‌توانید رنجی دلخواه انتخاب کنید.

سپس این آدرس را Apply می‌کنیم. این رنج به این معنی است که شبکه می‌تواند به ۱ تا ۲۰ کلاینت IP بدهد. بنابراین با این POOL ساخته شده ۲۰ کلاینت می‌توانند به شبکه وصل شوند.

در مرحله بعد در قسمت پروفایل گزینه‌های لوکال و ریموت را در حالت POOL قرار می‌دهیم. در واقع گزینه L2TP POOL را انتخاب می‌کنیم. سپس خودش یکی از IPها را برمی‌دارد و یکی را به لوکال و یکی را به ریموت یا کسی که دارد وصل می‌شود می‌دهد. یعنی در هر کانکشن ۲ تا IP استفاده می‌شود. بنابراین با این ۲۰ IP که در این مرحله در نظر گرفته شده می‌توان ۱۰ تا کانکشن انتخاب کرد. سپس بر روی گزینه‌های Apply و OK کلیک می‌کنیم.

در نهایت وارد قسمت سکرت می‌شویم. در قسمت دیگر نمی‌توان از لوکال و ریموت قبلی استفاده کرد. ابتدا باید کانکشن را قطع نمود و سپس پروفایل را از حالت default خارج کرده و بر روی l2tp پروفایل قرار داده ok می‌کنیم.

مجدداً از طریق موبایل کانکت را انتخاب کرده و مشاهده می‌کنیم که ۲ IP را گرفته است. در اینجا IPها ۱۰.۱۰.۲۰ و ۱۰.۱۰.۱۹ هستند. یعنی به کاربر IP 20 و ۱۰ را داده است.

بنابراین نشان می‌دهد که VPN برقرار شده و بعد از آن باید PING گرفته شود. در اینجا PING 20.18 را داریم. این ۲۰.۱۸ همان کلاینت ما است.

اگر کاربر VPN را قطع کند یعنی اتصال را قطع نماید و مجدداً استارت کند دیگر ping ندارد.

ایجاد کردن یک Subnet دیگر

در مرحله بعدی از آموزش یک سابنت دیگر ایجاد می‌کنیم. در این مرحله به کلاینت‌هایی که قرار است به این یوزر و پسورد وصل شوند از طریق پروفایل l2tp-profile به آن‌ها IP داده شود. البته می‌توان تنظیمات مختلفی را انجام داد مثلاً می‌توان برای آن مدت زمان در نظر گرفت یا برای آن‌ها صف بگذارید.

ولی یکی از مهم‌ترین قابلیت‌های پروفایل این است که شما می‌توانید IP از pool به کلاینت‌ها بدهید. مثلاً می‌توانید یک IP pool را برای لوکال و ریموت انتخاب کنید. سپس خودش به ترتیب در هر کانکشنی ۲ تا IP را استفاده می‌کند و به دو سمت تونل می‌دهد. حال در قسمت روتینگ IPهایی را مشاهده می‌کنید که به دو سمت کلاینت می‌دهد که همان ۱۹ و ۱۸ هستند. دقت کنید در این قسمت به طور واضح دارد اشاره می‌کند که IPهایی که اینجا قرار دادیم باید از درگاه l2tp-pbxshop-l2tp›reachable خارج شود.

یعنی به طور همزمان دارد روتینگ را انجام می‌دهد. به همین دلیل چون IP دارد از طریق میکروتیک به کلاینت‌ها اختصاص داده می‌شود کانکتور روت Connected Route نیز در روت تیبل (Route Table) یا روت لیست (Route List) به صورت اتوماتیک نوشته می‌شود و شما می‌توانید با این IPها بدون اینکه هیچگونه روتی بنویسید به آن کلاینت‌ها یا شبکه LAN خود میکروتیک وصل شوید.

وصل شدن به شبکه دیگر

به این نکته توجه کنید اگر قرار است به شبکه دیگری وصل شوید پیشنهاد می‌کنیم حتماً ابتدا کاری که قرار است انجام دهید را بر روی کاغذ بنویسید و سپس استاتیک روت نوشته تا وقت زیادی گرفته نشود. در واقع وقتی قرار است برای شبکه‌ها روتینگ نوشته شود باید بدانید که چه مراحلی را باید طی کنید. پس بهتر است این مراحل را ابتدا روی کاغذ بنویسید. بنابراین مرحله به مرحله استاتیک روت‌ها را بنویسید. مشابه این سناریو در ویدئوهای آموزشی قبلی انجام شده است.

ست کردن DNS

یک نکته مهم دیگر که باید گفته شود در خصوص DNS است. در مطالب قبلی گفته شد که در قسمت پروفایل IPهایی وجود دارد. به همین دلیل موبایل مد نظر به میکروتیک وصل می‌شود و ترافیک از طریق میکروتیک خارج می‌شود و IPها را از میکروتیک می‌گیرد. به عبارت دیگر ترافیک موبایل از طریق میکروتیک خارج می‌شود. درست است که گوشی موبایل یک اینترنت جداگانه دارد ولی ما یک تونل مجازی بین تلفن و میکروتیک برقرار نمودیم که دیتا از طریق این روتر خارج می‌شود.

حال مسئله‌ای که مطرح می‌باشد این است که شما می‌توانید بر روی پروفایل تنظیمات مختلفی انجام دهید. یکی از این تنظیمات مهم که نباید آن را فراموش کنید این است که حتماً DNS را ست کنید که وقتی پروفایل دارد به دو سمت تونل IP می‌دهد مثلاً به یک سمت می‌دهد ۱۱۲..۱۰.۱۰.۱۹ و به سمت دیگر ۱۷۲.۱۰.۱۰.۱۸ می‌دهد باید DNS هم به گوشی همراه بدهد.

در صورت ندادن DNS نمی‌توان به اینترنت متصل شد. این نکته بسیار مهمی است. پس حتماً DNS را ست کنید. مثلاً بگذارید ۸.۸.۸.۸

پس اگر مجدداً سیستم را قطع و وصل کنیم موبایل DNS را می‌گیرد و کاربر می‌تواند از طریق این روتر به اینترنت وصل شود. از این طریق اتصال موبایل به L2TP میکروتیک به صورت کامل برقرار می‌شود.

ارتباط دو شبکه از طریق دو میکروتیک

نکته مهم بعدی در زمان ارتباط دو شبکه از طریق دو میکروتیک است. همان طور که قبلاً اشاره نمودیم حتماً باید از IP ثابت استفاده کنید. چرا که کلاینت شما مشخص است. یعنی باید یک سکرتی بسازید مخصوص آن دو میکروتیک و IPها باید دو سمت آن‌ها ثابت باشند. چرا که شما قصد دارید روتینگ بنویسید یا همان استاتیک روت بنویسید.

اما وقتی قرار است یک کلاینت وصل شود نیازی به نوشتن استاتیک روت نیست و به راحتی می‌توان وصل شد و با تمام کلاینت‌ها ارتباط برقرار کرد و مشکلی از این بابت نیست…. ولی در دو شبکه مختلف نیاز به نوشتن روتینگ یا همان استاتیک روت است. لذا دو سمت IPها یا دو سمت تونل باید ثابت باشد. اما اگر کلاینت بود شما می‌توانید از IP pool مشابه این سناریو استفاده کنید.

نحوه اتصال به L2TP server از طریق ویندوز

در نهایت نیز باید به این نکته اشاره کنیم در اکثر موارد اگر بخواهید از طریق ویندوز به L2TP سرور وصل شوید یعنی موبایل نباشد نیاز دارید به سکرتی که روی L2TP تنظیم می‌شود. برای این کار ابتدا به روی میکروتیک بروید و در قسمت PPP و در بخش L2TP SECRETS مشخص کنید برای چه آدرسی باید چه سکرتی قرار دهید.

اگر آدرس شما استاتیک است می‌توانید از همان استفاده کنید. در غیر این صورت باید تمام IPها را شامل شود و سکرت را هم بهتر است مشابه سکرت IPsec در نظر بگیرید تا بتوانید از طریق ویندوز هم به L2TP سرور وصل شوید.

جمع‌بندی

اتصال موبایل به L2TP میکروتیک راهکاری امن، منعطف و کاربردی برای دسترسی از راه دور به شبکه‌های سازمانی و خانگی است. شما با راه‌اندازی صحیح L2TP Server روی روتر میکروتیک و پیکربندی دقیق پروفایل‌ها، سکرت‌ها و IP Pool می‌توانید به‌راحتی گوشی خود را از هر نقطه به شبکه متصل کنید و از امکانات داخلی مانند دوربین‌ها، سافت‌فون‌ها یا سرورها بهره‌مند شوید.

این آموزش با ارائه راهنمای تصویری L2TP میکروتیک برای موبایل و توضیح نحوه اتصال گوشی به L2TP Server، تمامی مراحل لازم را به صورت گام‌به‌گام و عملی پوشش داده است.

در این مسیر، رعایت نکات امنیتی مانند فعال‌سازی IPsec، استفاده از رمزهای قوی و تنظیم صحیح فایروال اهمیت ویژه‌ای دارد. همچنین برای مدیریت تعداد بالای کلاینت‌ها، استفاده از پروفایل و IP Pool توصیه می‌شود تا هر کاربر به طور خودکار IP دریافت کند و مدیریت شبکه ساده‌تر شود.

در نهایت، با ست کردن DNS مناسب و رعایت روتینگ صحیح، ارتباط پایدار و بدون مشکل بین موبایل و شبکه برقرار خواهد شد. این روش نه‌تنها امنیت بالاتری نسبت به راهکارهای سنتی دارد، بلکه با توجه به قابلیت‌های L2TP و سازگاری با انواع سیستم‌عامل‌ها، گزینه‌ای ایده‌آل برای مدیران شبکه و کاربران حرفه‌ای محسوب می‌شود.