آموزش اتصال آی پی ثابت روی میکروتیک با پروتکل L2TP

Q: آیا برای اتصال L2TP روی میکروتیک حتماً به IPsec نیاز دارم؟

خیر، L2TP میتواند بدون IPsec هم کار کند، اما در این حالت ترافیک رمزنگاری نمیشود. اگر سرویسدهندهی شما کلید Pre-Shared Key ارائه داده، استفاده از L2TP/IPsec برای امنیت و پایداری بهتر بهشدت توصیه میشود.

Q: چرا تونل وصل میشود اما دستگاههای شبکه به اینترنت دسترسی ندارند؟

این مشکل تقریباً همیشه به نبود قانون NAT برمیگردد. باید یک rule از نوع masquerade در زنجیرهی srcnat با خروجی اینترفیس L2TP بسازید و مطمئن شوید مسیریابی ترافیک به سمت تونل بهدرستی تنظیم شده است.

Q: کدام پورتها باید برای L2TP باز باشند؟

برای L2TP/IPsec پورتهای UDP 500 و UDP 4500 و همچنین UDP 1701 باید قابل عبور باشند. اگر روتر پشت NAT اپراتور است، فعال بودن NAT Traversal روی پورت 4500 برای عبور بستهها ضروری است.

Q: آیا میتوانم فقط بخشی از ترافیک شبکه را از آی پی ثابت عبور دهم؟

بله. بهجای افزودن Default Route، میتوانید با استفاده از قوانین Mangle و Routing Mark تنها آدرسها یا رنجهای مشخصی را به سمت تونل L2TP هدایت کنید و بقیهی ترافیک از مسیر معمول خارج شود.

Q: اگر اتصال قطع شود، آیا بهصورت خودکار برقرار میشود؟

بله، L2TP Client در RouterOS بهصورت پیشفرض پس از قطعی تلاش میکند تونل را دوباره برقرار کند. برای پایداری بیشتر میتوانید با اسکریپت و Scheduler سلامت تونل را پایش کرده و در صورت نیاز اینترفیس را ریاستارت کنید.

راه‌اندازی میکروتیک L2TP یکی از کاربردی‌ترین روش‌ها برای رساندن یک آی پی ثابت معتبر به کل شبکه‌ی پشت روتر است؛ به‌جای اینکه هر دستگاه جداگانه به سرویس وصل شود، روتر میکروتیک نقش دروازه را بازی می‌کند و همه‌ی ترافیک از یک تونل امن عبور می‌کند. در این آموزش به‌صورت گام‌به‌گام یاد می‌گیرید چطور روی RouterOS یک کلاینت L2TP بسازید، رمزنگاری IPsec را فعال کنید و با تنظیم درست قوانین NAT و مسیریابی، اتصال میکروتیک به آی پی ثابت را پایدار و امن نگه دارید. این مسیر برای دفاتر کوچک، سرورهای داخلی و هر شبکه‌ای که به یک خروجی ثابت و قابل‌اعتماد نیاز دارد، ایده‌آل است.

چرا L2TP روی میکروتیک انتخاب خوبی است؟

پروتکل L2TP (Layer 2 Tunneling Protocol) سال‌هاست به‌عنوان یک استاندارد پایدار در تجهیزات شبکه شناخته می‌شود و میکروتیک پشتیبانی بومی و کاملی از آن دارد. مزیت اصلی اجرای آن روی روتر این است که یک‌بار تونل را برقرار می‌کنید و سپس تمام کلاینت‌های شبکه‌ی محلی بدون نیاز به نصب نرم‌افزار اضافه، از آی پی ثابت بهره می‌برند.

دلایلی که L2TP را روی میکروتیک محبوب کرده است:

سازگاری گسترده: تقریباً همه‌ی نسخه‌های RouterOS از L2TP و IPsec پشتیبانی می‌کنند و نیازی به پکیج جداگانه نیست.
امنیت قابل قبول: ترکیب L2TP با IPsec یک لایه‌ی رمزنگاری قوی فراهم می‌کند که برای انتقال داده‌های سازمانی مناسب است.
مدیریت متمرکز: به‌جای تنظیم تک‌تک دستگاه‌ها، فقط روتر را پیکربندی می‌کنید و کل شبکه از مسیر آی پی ثابت خارج می‌شود.
پایداری اتصال: امکان تنظیم اتصال خودکار و برقراری مجدد تونل پس از قطعی، اتصال میکروتیک را همیشه فعال نگه می‌دارد.

اگر هنوز سرویس آی پی ثابت تهیه نکرده‌اید، می‌توانید از میان پلن‌های آی پی ثابت گزینه‌ی مناسب L2TP را انتخاب کنید تا اطلاعات اتصال در اختیار شما قرار گیرد.

پیش‌نیازها و اطلاعات اتصال

پیش از شروع پیکربندی، مطمئن شوید که موارد زیر را در اختیار دارید. داشتن این اطلاعات مانع از خطاهای رایج در مرحله‌ی اتصال می‌شود:

آدرس سرور (Connect To): دامنه یا آی پی سرور L2TP که از طرف سرویس‌دهنده دریافت کرده‌اید.
نام کاربری و رمز عبور: اطلاعات احراز هویت اختصاصی حساب شما.
کلید IPsec (Pre-Shared Key): در صورتی که سرویس از L2TP/IPsec استفاده می‌کند، این کلید برای رمزنگاری ضروری است.
دسترسی به روتر: دسترسی Winbox یا WebFig با حساب دارای مجوز کامل (full).
نسخه‌ی به‌روز RouterOS: توصیه می‌شود نسخه‌ی پایدار و به‌روز نصب باشد تا از باگ‌های قدیمی IPsec در امان بمانید.

در این راهنما از رابط Winbox استفاده می‌کنیم، اما تمام مراحل معادل ترمینال (CLI) نیز ذکر می‌شود تا کاربران حرفه‌ای بتوانند سریع‌تر پیکربندی کنند. برای آشنایی با سایر پروتکل‌ها می‌توانید به صفحه‌ی آموزش اتصال مراجعه کنید.

ساخت L2TP Client در RouterOS

هسته‌ی کار، ساختن یک L2TP Client روی روتر است. در Winbox به مسیر PPP ← Interface بروید، روی علامت + کلیک کنید و گزینه‌ی L2TP Client را انتخاب کنید.

در پنجره‌ی باز شده تنظیمات زیر را انجام دهید:

در تب Dial Out، فیلد Connect To را با آدرس سرور پر کنید.
User و Password را مطابق اطلاعات حساب وارد کنید.
گزینه‌ی Use IPsec را فعال کرده و کلید Pre-Shared Key را در فیلد مربوطه قرار دهید.
تیک Add Default Route را در صورتی بزنید که می‌خواهید کل ترافیک از تونل خارج شود؛ در غیر این صورت مسیریابی دستی انجام می‌دهیم.
مقدار Allow را روی پروتکل‌های احراز هویت مورد قبول سرور (معمولاً mschap2) تنظیم کنید.

معادل دستوری این تنظیم در ترمینال به‌شکل زیر است (مقادیر را با اطلاعات خود جایگزین کنید): /interface l2tp-client add name=l2tp-out connect-to=SERVER user=USERNAME password=PASS use-ipsec=yes ipsec-secret=PSK add-default-route=no disabled=no

پس از تأیید، وضعیت اینترفیس باید به connected یا حرف R تغییر کند. اگر اتصال برقرار نشد، ابتدا صحت کلید IPsec و سپس باز بودن پورت‌های UDP 500 و 4500 را بررسی کنید.

تنظیم دقیق IPsec برای پایداری تونل

گاهی اتصال L2TP برقرار می‌شود اما به دلیل ناهماهنگی پارامترهای رمزنگاری، تونل ناپایدار می‌ماند یا داده عبور نمی‌کند. در این حالت باید پروفایل IPsec را با تنظیمات سرور هماهنگ کنید.

به مسیر IP ← IPsec بروید و موارد زیر را بررسی کنید:

در بخش Profiles الگوریتم‌های هش و رمزنگاری (مثل sha1 و aes128) را با سرویس‌دهنده تطبیق دهید.
در Proposals مطمئن شوید که PFS Group با مقدار اعلام‌شده‌ی سرور یکسان است؛ ناهماهنگی این مقدار شایع‌ترین علت قطعی است.
در صورت وجود چند Peer، Peer ساخته‌شده برای L2TP را شناسایی کنید و از فعال بودن آن مطمئن شوید.

یک نکته‌ی مهم امنیتی این است که اگر روتر شما پشت NAT اپراتور قرار دارد، حتماً NAT Traversal فعال باشد تا بسته‌های IPsec از مسیر UDP 4500 عبور کنند. در غیر این صورت ممکن است فاز اول مذاکره انجام شود اما داده‌ی واقعی منتقل نشود.

قوانین NAT و مسیردهی ترافیک شبکه

تا اینجا تونل برقرار شده، اما برای اینکه دستگاه‌های شبکه‌ی محلی هم از آی پی ثابت روتر استفاده کنند، باید ترافیک آن‌ها را به سمت تونل مسیردهی و سپس Masquerade کنید.

ابتدا یک قانون NAT بسازید تا آدرس‌های داخلی پشت اینترفیس L2TP مخفی شوند. در مسیر IP ← Firewall ← NAT یک rule جدید با مشخصات زیر اضافه کنید:

Chain: srcnat
Out. Interface: اینترفیس l2tp که ساختید
Action: masquerade

معادل CLI این قانون: /ip firewall nat add chain=srcnat out-interface=l2tp-out action=masquerade

سپس برای هدایت ترافیک از مسیر تونل، یک route اضافه کنید. اگر می‌خواهید فقط بخشی از شبکه از آی پی ثابت استفاده کند، از Routing Mark و قوانین Mangle بهره ببرید تا تنها رنج یا آدرس‌های مشخصی به سمت تونل بروند. این روش انعطاف بالایی دارد و مانع از قطع شدن مدیریت روتر هنگام بالا و پایین شدن تونل می‌شود.

توجه داشته باشید که ترتیب قوانین فایروال اهمیت دارد؛ قانون masquerade باید بالاتر از هر قانون drop عمومی قرار گیرد تا ترافیک خروجی پیش از مسدود شدن، آدرس آن جایگزین شود. همچنین اگر از چند تونل یا چند مسیر خروجی استفاده می‌کنید، مشخص کردن دقیق out-interface از نشت ترافیک به مسیر اشتباه جلوگیری می‌کند.

در پایان، حتماً عملکرد را با یک تست ساده بسنجید: از یک دستگاه داخلی به سرویس بررسی آی پی مراجعه کنید و مطمئن شوید آدرس نمایش‌داده‌شده همان آی پی ثابت تخصیص‌یافته است. برای اطمینان از پایداری بلندمدت، چند بار اتصال را قطع و وصل کنید و رفتار برقراری مجدد تونل را زیر نظر بگیرید.

رفع اشکالات رایج اتصال

اگر در طول راه‌اندازی اتصال میکروتیک با مشکل روبه‌رو شدید، فهرست زیر متداول‌ترین خطاها و راه‌حل آن‌هاست:

اتصال در حالت timeout می‌ماند: معمولاً نشانه‌ی مسدود بودن پورت‌های UDP 500 و 4500 توسط اپراتور یا فایروال میانی است.
خطای احراز هویت: نام کاربری یا رمز اشتباه است یا پروتکل احراز هویت مجاز در سرور با تنظیم Allow هماهنگ نیست.
تونل وصل می‌شود اما اینترنت ندارید: به‌احتمال زیاد قانون NAT (masquerade) یا route مربوط به تونل تنظیم نشده است.
قطعی‌های مکرر: ناهماهنگی پارامترهای IPsec یا غیرفعال بودن NAT Traversal را بررسی کنید.

برای عیب‌یابی دقیق، از Log روتر استفاده کنید؛ فعال کردن لاگ روی topic های ppp و ipsec اطلاعات ارزشمندی درباره‌ی مرحله‌ی شکست مذاکره به شما می‌دهد. در بسیاری از موارد، پیام لاگ دقیقاً مشخص می‌کند که عدم تطابق در فاز اول مذاکره (پارامترهای رمزنگاری) رخ داده یا در فاز دوم (Proposal و PFS).

یک توصیه‌ی کاربردی این است که هنگام تست، موقتاً قوانین فایروال محدودکننده را غیرفعال کنید تا مطمئن شوید مشکل از سمت فایروال نیست؛ پس از برقراری پایدار تونل، قوانین امنیتی را به‌تدریج بازگردانید. این رویکرد گام‌به‌گام عیب‌یابی را بسیار ساده‌تر می‌کند و از سردرگمی میان چند علت هم‌زمان جلوگیری می‌نماید.

پرسش‌های متداول

آیا برای اتصال L2TP روی میکروتیک حتماً به IPsec نیاز دارم؟

خیر، L2TP می‌تواند بدون IPsec هم کار کند، اما در این حالت ترافیک رمزنگاری نمی‌شود. اگر سرویس‌دهنده‌ی شما کلید Pre-Shared Key ارائه داده، استفاده از L2TP/IPsec برای امنیت و پایداری بهتر به‌شدت توصیه می‌شود.

چرا تونل وصل می‌شود اما دستگاه‌های شبکه به اینترنت دسترسی ندارند؟

این مشکل تقریباً همیشه به نبود قانون NAT برمی‌گردد. باید یک rule از نوع masquerade در زنجیره‌ی srcnat با خروجی اینترفیس L2TP بسازید و مطمئن شوید مسیریابی ترافیک به سمت تونل به‌درستی تنظیم شده است.

کدام پورت‌ها باید برای L2TP باز باشند؟

برای L2TP/IPsec پورت‌های UDP 500 و UDP 4500 و همچنین UDP 1701 باید قابل عبور باشند. اگر روتر پشت NAT اپراتور است، فعال بودن NAT Traversal روی پورت 4500 برای عبور بسته‌ها ضروری است.

آیا می‌توانم فقط بخشی از ترافیک شبکه را از آی پی ثابت عبور دهم؟

بله. به‌جای افزودن Default Route، می‌توانید با استفاده از قوانین Mangle و Routing Mark تنها آدرس‌ها یا رنج‌های مشخصی را به سمت تونل L2TP هدایت کنید و بقیه‌ی ترافیک از مسیر معمول خارج شود.

اگر اتصال قطع شود، آیا به‌صورت خودکار برقرار می‌شود؟

بله، L2TP Client در RouterOS به‌صورت پیش‌فرض پس از قطعی تلاش می‌کند تونل را دوباره برقرار کند. برای پایداری بیشتر می‌توانید با اسکریپت و Scheduler سلامت تونل را پایش کرده و در صورت نیاز اینترفیس را ری‌استارت کنید.