آموزش کانفیگ VPN روی روتر میکروتیک (راهنمای کامل)

مقدمه: چرا باید VPN روی روتر میکروتیک تنظیم کنیم؟

آموزش کانفیگ VPN روی روتر میکروتیک برای بسیاری از مدیران شبکه و کاربران پیشرفته اهمیت بالایی دارد. اما شاید بپرسید، چرا باید روی میکروتیک VPN تنظیم کنیم؟ واقعیت این است که اینترنت امروز پر از تهدیدهای امنیتی است؛ از هکرها و حملات سایبری گرفته تا شنود اطلاعات و محدودیت‌های جغرافیایی. حالا تصور کنید تمام داده‌های شما در یک تونل امن عبور کند، رمزنگاری شود و کسی نتواند به آن دسترسی پیدا کند. دقیقاً اینجاست که VPN وارد عمل می‌شود.

میکروتیک به‌عنوان یکی از قدرتمندترین روترهای موجود در بازار، امکانات گسترده‌ای برای پیاده‌سازی VPN دارد. شما می‌توانید با استفاده از قابلیت‌های داخلی RouterOS، انواع پروتکل‌های VPN مثل PPTP، L2TP، SSTP و حتی OpenVPN را راه‌اندازی کنید.

با راه‌اندازی تنظیمات VPN میکروتیک، شما می‌توانید:

• امنیت شبکه خود را به شکل چشمگیری افزایش دهید.

• دسترسی امن به شبکه سازمانی خود از راه دور داشته باشید.

• محدودیت‌های جغرافیایی و فیلترینگ را دور بزنید.

• ارتباط بین شعب مختلف شرکت را بدون نیاز به تجهیزات گران‌قیمت برقرار کنید.

راه‌اندازی VPN روی میکروتیک مثل این است که یک بزرگراه اختصاصی برای داده‌هایتان بسازید؛ هیچ‌کس اجازه ورود به آن را ندارد مگر اینکه کلید ورود (یوزرنیم و پسورد یا Certificate) را داشته باشد.

در این مقاله قرار است گام‌به‌گام نحوه کانفیگ VPN روی روتر میکروتیک را بررسی کنیم، با انواع پروتکل‌ها آشنا شویم، نکات امنیتی مهم را مرور کنیم و در نهایت یک راهنمای کامل برای شما آماده کنیم که بتوانید در هر شرایطی بهترین انتخاب را داشته باشید.

آشنایی با VPN و کاربرد آن در شبکه‌ها

وقتی صحبت از کانفیگ وی پی ان میکروتیک می‌شود، قبل از هر چیز باید دقیقاً بدانیم VPN چیست و چه کاری انجام می‌دهد. اگر این مفهوم را درست درک کنیم، بخش‌های بعدی کانفیگ خیلی ساده‌تر می‌شوند.

VPN چیست و چگونه کار می‌کند؟

VPN مخفف Virtual Private Network به معنی «شبکه خصوصی مجازی» است. در ساده‌ترین حالت، VPN یک تونل امن بین دستگاه شما و سرور مقصد ایجاد می‌کند. تمام داده‌ها داخل این تونل رمزگذاری می‌شوند و کسی نمی‌تواند محتوای آن‌ها را ببیند.

فرض کنید در یک کافه عمومی به وای‌فای متصل شده‌اید. هکرها می‌توانند ترافیک شما را شنود کنند. اما اگر تنظیم VPN میکروتیک انجام شده باشد، تمام اطلاعات از داخل یک تونل رمزگذاری‌شده عبور می‌کند و حتی اگر کسی به ترافیک شما دسترسی داشته باشد، چیزی جز داده‌های رمزگذاری‌شده نخواهد دید.

میکروتیک این تونل را با پروتکل‌های مختلفی مثل PPTP، L2TP/IPsec، SSTP و OpenVPN ایجاد می‌کند که هر کدام ویژگی‌ها و سطح امنیت متفاوتی دارند.

انواع VPN و تفاوت آن‌ها

وقتی صحبت از کانفیگ VPN MikroTik می‌کنیم، باید بدانیم هر پروتکل VPN برای شرایط خاصی طراحی شده است:

• PPTP (Point-to-Point Tunneling Protocol):
  ساده‌ترین و قدیمی‌ترین نوع VPN در میکروتیک. راه‌اندازی آن سریع است، ولی امنیتش نسبت به بقیه پایین‌تر است. برای شبکه‌های کوچک و کاربری ساده مناسب است.

• L2TP/IPsec (Layer 2 Tunneling Protocol + IPsec):
  ترکیبی از سرعت و امنیت. L2TP به‌تنهایی تونل ایجاد می‌کند و IPsec رمزنگاری را اضافه می‌کند. برای سازمان‌ها و ارتباط امن بین شعب گزینه‌ای عالی است.

• SSTP (Secure Socket Tunneling Protocol):
  از SSL استفاده می‌کند و به‌راحتی از روی پورت 443 (HTTPS) عبور می‌کند. یعنی تقریباً در هر جایی حتی با محدودیت‌های شدید اینترنت هم کار می‌کند.

• OpenVPN:
  یکی از امن‌ترین و منعطف‌ترین پروتکل‌ها. نیاز به نصب Certificate دارد و تنظیماتش نسبت به بقیه پیچیده‌تر است، ولی سطح امنیت و پایداری بالایی ارائه می‌دهد.

به زبان ساده، اگر دنبال راه‌اندازی سریع هستید PPTP، اگر دنبال تعادل بین امنیت و سرعت هستید L2TP/IPsec، اگر دنبال عبور از محدودیت‌ها هستید SSTP و اگر امنیت برایتان حیاتی است OpenVPN بهترین گزینه خواهد بود.

مزایای استفاده از VPN در روترهای MikroTik

وقتی اسم کانفیگ VPN روی روتر میکروتیک می‌آید، شاید اولین چیزی که به ذهن برسد امنیت باشد. درست است، ولی فقط امنیت نیست. VPN روی میکروتیک مزایای متنوعی دارد که هم برای کسب‌وکارها و هم برای کاربران خانگی بسیار ارزشمند است.

امنیت و رمزنگاری داده‌ها

بزرگ‌ترین مزیت VPN در میکروتیک، رمزنگاری ترافیک شبکه است. وقتی شما تنظیمات VPN میکروتیک را فعال می‌کنید، تمام داده‌ها با الگوریتم‌های قوی رمزگذاری می‌شوند. نتیجه این است که حتی اگر شخصی به ترافیک شما دسترسی داشته باشد، فقط رشته‌ای از داده‌های نامفهوم خواهد دید.

این ویژگی برای شرکت‌هایی که اطلاعات حساس مثل داده‌های مالی یا اطلاعات مشتریان را جابه‌جا می‌کنند حیاتی است.

دور زدن محدودیت‌ها و فیلترینگ

در خیلی از کشورها و شبکه‌ها، دسترسی به برخی سایت‌ها یا سرویس‌ها محدود شده است. با کانفیگ وی پی ان میکروتیک می‌توانید به راحتی این محدودیت‌ها را دور بزنید.

VPN ترافیک شما را طوری منتقل می‌کند که انگار از موقعیت مکانی دیگری وارد اینترنت شده‌اید. این یعنی حتی اگر سرویسی در کشور شما مسدود باشد، می‌توانید با تغییر مسیر ترافیک از آن استفاده کنید.

مدیریت دسترسی کاربران در شبکه سازمانی

یکی از کاربردهای اصلی نحوه کانفیگ VPN روی روتر میکروتیک در شرکت‌ها، فراهم کردن دسترسی امن برای کارمندان است. فرض کنید کارمندی در سفر است و باید به نرم‌افزار حسابداری شرکت وصل شود. بدون VPN این کار بسیار خطرناک خواهد بود.

اما با راه‌اندازی VPN روی میکروتیک:

• دسترسی کارمند محدود به منابع مشخص می‌شود.

• ارتباط رمزنگاری‌شده و امن خواهد بود.

• شما به عنوان ادمین می‌توانید لاگ فعالیت‌ها را بررسی کنید.

این یعنی هم کنترل و هم امنیت در یک جا جمع می‌شود.

آشنایی با انواع VPN در MikroTik

یکی از دلایلی که کانفیگ VPN روی روتر میکروتیک این‌قدر پرطرفدار است، تنوع پروتکل‌هایی است که RouterOS پشتیبانی می‌کند. شما می‌توانید بسته به نیازتان یکی از این پروتکل‌ها را انتخاب و پیاده‌سازی کنید. هر پروتکل مزایا، معایب و سطح امنیت متفاوتی دارد.

PPTP در میکروتیک

• چیست؟ پروتکلی قدیمی و ساده که توسط مایکروسافت توسعه داده شد.

• مزایا:

  • راه‌اندازی بسیار آسان

  • مصرف کم منابع روتر

  • پشتیبانی توسط اکثر سیستم‌عامل‌ها بدون نیاز به نرم‌افزار جانبی

• معایب:

  • امنیت پایین نسبت به سایر پروتکل‌ها

  • آسیب‌پذیر در برابر حملات Brute Force و شنود داده‌ها

• کاربرد:

  • مناسب برای تست، شبکه‌های کوچک یا وقتی سرعت و سادگی مهم‌تر از امنیت است.

L2TP/IPsec در میکروتیک

• چیست؟ ترکیبی از پروتکل L2TP برای ایجاد تونل و IPsec برای رمزنگاری.

• مزایا:

  • امنیت بالا به لطف IPsec

  • پشتیبانی پیش‌فرض در ویندوز، اندروید، iOS و macOS

  • عملکرد پایدار در بیشتر شبکه‌ها

• معایب:

  • نیاز به کانفیگ دقیق IPsec

  • کمی پیچیدگی در مدیریت کاربران زیاد

• کاربرد:

  • انتخاب مناسب برای سازمان‌ها و کاربرانی که به امنیت و پایداری نیاز دارند.

SSTP در میکروتیک

• چیست؟ پروتکلی که از SSL (پورت 443) استفاده می‌کند.

• مزایا:

  • عبور راحت از فایروال‌ها و پروکسی‌ها

  • امنیت بالا به دلیل استفاده از SSL/TLS

  • بسیار مناسب برای کشورهایی با محدودیت‌های شدید اینترنت

• معایب:

  • مصرف منابع بیشتر نسبت به PPTP و L2TP

  • نیاز به Certificate معتبر

• کاربرد:

  • مناسب برای افرادی که نیاز دارند VPN همیشه و در همه‌جا کار کند.

OpenVPN در میکروتیک

• چیست؟ یک پروتکل متن‌باز و بسیار امن با قابلیت‌های گسترده.

• مزایا:

  • امنیت بسیار بالا به دلیل پشتیبانی از الگوریتم‌های رمزنگاری قوی

  • انعطاف‌پذیری بالا در کانفیگ

  • مناسب برای سناریوهای حرفه‌ای و سازمانی

• معایب:

  • راه‌اندازی نسبتاً پیچیده در میکروتیک

  • نیاز به نصب نرم‌افزار کلاینت روی دستگاه‌ها

• کاربرد:

  • برای شرکت‌هایی که امنیت در اولویت است و منابع کافی برای مدیریت شبکه دارند.

🔑 به زبان ساده:

• اگر دنبال سادگی هستید → PPTP

• اگر دنبال تعادل بین امنیت و راحتی هستید → L2TP/IPsec

• اگر نیاز به عبور از محدودیت‌ها دارید → SSTP

• اگر امنیت برایتان مهم‌ترین عامل است → OpenVPN

پیش‌نیازهای کانفیگ VPN روی روتر میکروتیک

قبل از اینکه مستقیم برویم سراغ نحوه کانفیگ VPN روی روتر میکروتیک، باید مطمئن شویم روتر و شبکه ما شرایط لازم برای اجرای درست VPN را دارند. اگر این پیش‌نیازها رعایت نشوند، حتی بهترین تنظیمات هم کار نخواهد کرد یا اتصال ناپایدار خواهد بود.

بررسی لایسنس RouterOS

تمام قابلیت‌های میکروتیک به نسخه RouterOS و سطح لایسنس آن بستگی دارد.

• برای پروتکل‌هایی مثل PPTP، L2TP، SSTP معمولاً لایسنس سطح 4 کافی است.

• اگر قصد دارید تعداد زیادی کاربر هم‌زمان به VPN وصل شوند یا از پروتکل‌های پیشرفته مثل OpenVPN استفاده کنید، نیاز به لایسنس سطح بالاتر (5 یا 6) خواهید داشت.
  👉 همیشه قبل از شروع کانفیگ، با دستور زیر در ترمینال لایسنس دستگاه را چک کنید:

/system license print

آپدیت RouterOS و فریمور

خیلی از باگ‌ها و مشکلات VPN در نسخه‌های قدیمی RouterOS وجود دارند. بنابراین اولین قدم، آپدیت سیستم‌عامل است.

• از منوی System > Packages > Check for Updates نسخه جدید را نصب کنید.

• همچنین Firmware دستگاه را از مسیر System > Routerboard > Upgrade به‌روزرسانی کنید.

به‌روزرسانی باعث می‌شود امنیت و پایداری کانفیگ شما تضمین شود.

داشتن IP استاتیک یا DDNS

برای اینکه کاربران خارج از شبکه بتوانند به VPN وصل شوند، باید به روتر دسترسی داشته باشند.

• اگر اینترنت شما IP استاتیک دارد، کافی است همان IP را به کلاینت‌ها بدهید.

• اگر IP شما داینامیک است، باید از سرویس MikroTik Cloud DDNS یا سرویس‌های مشابه مثل No-IP استفاده کنید.

با فعال‌سازی DDNS، یک نام دامنه (مثل: router123.sn.mynetname.net) به شما داده می‌شود که همیشه به IP فعلی روتر اشاره می‌کند.

پورت‌های باز روی فایروال و NAT

هر پروتکل VPN روی یک پورت خاص کار می‌کند. اگر این پورت‌ها در فایروال بسته باشند، اتصال VPN برقرار نمی‌شود.

• PPTP: پورت TCP 1723 و پروتکل GRE

• L2TP/IPsec: پورت UDP 500 و UDP 4500

• SSTP: پورت TCP 443

• OpenVPN: پورت TCP/UDP 1194

👉 پس باید مطمئن شوید در فایروال و NAT این پورت‌ها باز هستند.

ساخت User برای VPN

در نهایت، قبل از شروع کانفیگ اصلی باید یک یوزر اختصاصی برای VPN ایجاد کنید تا کاربران با آن وارد شوند. برای مثال:

/ppp secret add name=vpnuser password=123456 profile=default-encryption

نحوه کانفیگ VPN روی روتر میکروتیک (مرحله به مرحله)

سناریو نمونه برای همه پروتکل‌ها:

• LAN: 192.168.10.0/24

• Gateway روتر: 192.168.10.1

• Pool-VPN: 10.10.10.0/24

• DNS داخلی: 192.168.10.1 یا DNS عمومی

• اینترفیس WAN: ether1

ابتدا منابع پایه را بسازید.

/ip pool add name=pool-vpn ranges=10.10.10.10-10.10.10.200
/ppp profile add name=profile-vpn local-address=10.10.10.1 remote-address=pool-vpn dns-server=1.1.1.1,8.8.8.8 use-encryption=yes only-one=yes change-tcp-mss=yes
/ppp secret add name=vpnuser password=Str0ngPass service=any profile=profile-vpn

NAT کلی در انتهای جدول NAT:

/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade comment=”NAT internet”/ip firewall filter add chain=input in-interface=ether1 protocol=tcp port=8291 action=drop place-before=0 comment=”نمونه سختگیرانه؛ WinBox را از اینترنت نبندید مگر مطمئن هستید”

نکته امنیتی: پسورد قوی، اکانت‌های حداقلی، به‌روزرسانی RouterOS. کلیدواژه‌ها طبق نیاز SEO: کانفیگ VPN روی روتر میکروتیک، تنظیمات VPN میکروتیک، نحوه کانفیگ VPN روی روتر میکروتیک، کانفیگ VPN MikroTik.

کانفیگ PPTP در میکروتیک

سریع و ساده؛ برای محیط‌های غیرحساس.
گام‌ها

1.فعال‌سازی سرور PPTP

/interface pptp-server server set enabled=yes default-profile=profile-vpn authentication=mschap2 require-mppe=yes

2.فایروال و پروتکل GRE

/ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=1723 action=accept comment=”PPTP TCP 1723″
/ip firewall filter add chain=input in-interface=ether1 protocol=gre action=accept comment=”PPTP GRE”
/ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=1723 action=drop place-before=0 disabled=yes

3.تست

/log print where message~”pptp”
/ppp active print

کلاینت‌ها

• ویندوز: Add VPN → PPTP → IP عمومی یا DDNS روتر → MS-CHAPv2.

• اندروید: PPTP ممکن است حذف شده باشد. از L2TP/SSTP استفاده کنید.

کانفیگ L2TP/IPsec در میکروتیک

تعادل امنیت و سهولت. گزینه پیش‌فرض پیشنهادی برای دسترسی راه‌دور.
گام‌ها

1.فعال‌سازی L2TP Server با IPsec

/interface l2tp-server server set enabled=yes default-profile=profile-vpn use-ipsec=yes ipsec-secret=”StrongPresharedKey” authentication=mschap2

2.فایروال برای IPsec و L2TP

/ip firewall filter add chain=input in-interface=ether1 protocol=udp dst-port=500,4500 action=accept comment=”IPsec IKE/NAT-T”
/ip firewall filter add chain=input in-interface=ether1 protocol=ipsec-esp action=accept comment=”ESP”
/ip firewall filter add chain=input in-interface=ether1 protocol=udp dst-port=1701 action=accept comment=”L2TP”
/ip firewall nat add chain=srcnat action=accept ipsec-policy=out,ipsec comment=”NAT bypass for IPsec”
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade comment=”NAT internet (پس از bypass)”

3.کاربر

/ppp secret add name=l2tpuser password=Str0ngPass service=l2tp profile=profile-vpn

4.بررسی وضعیت

/ip ipsec active-peers print
/ppp active print

کلاینت‌ها

ویندوز، iOS، اندروید: L2TP/IPsec با PSK. سرور: IP/دامنه روتر. PSK همان ipsec-secret.

کانفیگ SSTP در میکروتیک

عبور از محدودیت‌ها. استفاده از TLS روی پورت 443.
گام‌ها

1.ساخت و امضای گواهی روی روتر (نمونه ساده)

/certificate add name=ca-template common-name=myCA key-usage=key-cert-sign,crl-sign
/certificate add name=srv-template common-name=vpn.example.com subject-alt-name=DNS:vpn.example.com
/certificate sign ca-template
/certificate sign srv-template ca=ca-template
/certificate set [find name=ca-template] trusted=yes
/certificate set [find name=srv-template] trusted=yes

2.فعال‌سازی SSTP Server

/interface sstp-server server set enabled=yes certificate=srv-template default-profile=profile-vpn authentication=mschap2 tls-version=only-1.2 verify-client-certificate=no

3.فایروال

/ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=443 action=accept comment=”SSTP 443″

4.کلاینت‌ها

• ویندوز: SSTP با آدرس https://vpn.example.com. اگر CA سفارشی است، CA را در Trusted Root نصب کنید.

• میکروتیک به‌عنوان کلاینت:

/interface sstp-client add name=sstp-out1 connect-to=vpn.example.com profile=profile-vpn user=vpnuser password=Str0ngPass verify-server-certificate=yes

کانفیگ OpenVPN در میکروتیک

امنیت و انعطاف بالا. نیاز به گواهی کلاینت و سرور.
گام‌ها

1.گواهی‌ها

/certificate add name=ovpn-ca common-name=OVPN-CA key-usage=key-cert-sign,crl-sign
/certificate add name=ovpn-srv common-name=vpn.example.com
/certificate add name=ovpn-cli common-name=client1
/certificate sign ovpn-ca
/certificate sign ovpn-srv ca=ovpn-ca
/certificate sign ovpn-cli ca=ovpn-ca
/certificate set [find name~”ovpn-“] trusted=yes

2.فعال‌سازی OVPN Server
(نسخه‌های جدید از UDP پشتیبانی می‌کنند؛ حالت پایدار TCP را نشان می‌دهم)

/interface ovpn-server server set enabled=yes port=1194 mode=ip netmask=24 certificate=ovpn-srv auth=sha1 cipher=aes256 require-client-certificate=yes

3.فایروال

/ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=1194 action=accept comment=”OpenVPN TCP 1194″

4.کاربر

/ppp secret add name=ovpnuser password=Str0ngPass service=ovpn profile=profile-vpn

5.خروجی گرفتن برای کلاینت

/certificate export-certificate ovpn-ca export-passphrase=””
/certificate export-certificate ovpn-cli export-passphrase=ClientP@ss type=pkcs12

فایل‌های ovpn-ca.crt و ovpn-cli.p12 را به کلاینت بدهید.

کلاینت میکروتیک

/file print where name~”ovpn”
/interface ovpn-client add name=ovpn-out1 connect-to=vpn.example.com port=1194 user=ovpnuser password=Str0ngPass auth=sha1 cipher=aes256 certificate=ovpn-cli profile=default use-peer-dns=yes

کلاینت Windows/Linux

• پروفایل .ovpn با رفرنس به CA و PKCS12 ایجاد کنید. در صورت نیاز proto tcp-client و remote vpn.example.com 1194.

کنترل دسترسی و مسیرها (Route)

هدف: دسترسی کلاینت‌های VPN به LAN و اینترنت.

1. اجازه دسترسی VPN به LAN (به‌صورت پیش‌فرض وجود دارد اگر فایروال بسته نباشد). اگر فایروال سختگیر است:

/ppp active print detail
/interface print where type~”(pptp|l2tp|sstp|ovpn)”

• IPsec:

/ip ipsec active-peers print
/ip ipsec installed-sa print

• MTU/MSS: Disconnect یا وب‌سایت‌ها باز نمی‌شوند؟

/ppp profile set profile-vpn change-tcp-mss=yes

سخت‌سازی امنیتی

• محدود کردن دسترسی مدیریتی از اینترنت:

/ip service set winbox address=192.168.10.0/24
/ip service set api disabled=yes
/ip service set www-ssl disabled=yes

• محدود کردن مبدا اتصال VPN:

/ip firewall filter add chain=input in-interface=ether1 src-address-list=trusted-vpn-sources protocol=udp dst-port=500,4500 action=accept
/ip firewall address-list add list=trusted-vpn-sources address=YourOfficeIP/32

• استفاده از پسوردهای قوی، گواهی معتبر، و TLS 1.2 در SSTP.

• به‌روزرسانی منظم RouterOS.

چک‌لیست مرور سریع

• Pool و Profile ساخته شد؟

• پورت‌های ورودی در فایروال باز است؟

• NAT bypass برای IPsec قبل از Masquerade قرار دارد؟

• DNS کلاینت‌ها کار می‌کند؟

• Route به LAN برقرار است؟

تنظیمات کلاینت و نحوه اتصال کاربران به VPN میکروتیک

وقتی روی روتر MikroTik کانفیگ VPN را انجام دادی، قدم بعدی این است که کاربران بتوانند از لپ‌تاپ، موبایل یا حتی روتر دیگر به شبکه وصل شوند. اینجا مرحله به مرحله نحوه اتصال کلاینت‌ها را برای هر پروتکل توضیح می‌دهم.

۱. اتصال کلاینت به PPTP VPN

ویندوز

1. به مسیر Control Panel > Network and Sharing Center > Set up a new connection برو.

2. گزینه Connect to a workplace را انتخاب کن.

3. آدرس IP عمومی یا دامنه روتر میکروتیک را وارد کن.

4. نام کاربری و پسوردی که در مرحله کانفیگ ساختی وارد کن.

5. روی Connect بزن.

اندروید

1. وارد Settings > VPN شو.

2. گزینه Add VPN را انتخاب کن.

3. نوع را روی PPTP بگذار.

4. Server address، username و password را وارد کن.

5. روی Connect بزن.

۲. اتصال کلاینت به L2TP/IPsec VPN

ویندوز

1. وارد Network & Internet settings شو.

2. روی Add a VPN connection کلیک کن.

3. نوع VPN را L2TP/IPsec with pre-shared key انتخاب کن.

4. IP یا دامنه روتر و کلید IPsec را وارد کن.

5. یوزر و پسورد اضافه کن و Connect بزن.

موبایل (iOS/Android)

1. وارد Settings > VPN > Add VPN شو.

2. نوع VPN را روی L2TP/IPsec PSK قرار بده.

3. آدرس سرور، کلید IPsec و اطلاعات کاربری را وارد کن.

4. Connect بزن.

۳. اتصال کلاینت به SSTP VPN

SSTP به خاطر استفاده از SSL خیلی راحت است چون بیشتر فایروال‌ها پورت 443 را باز دارند.

ویندوز

1. به مسیر Add a VPN connection برو.

2. نوع VPN را روی SSTP انتخاب کن.

3. آدرس روتر (مثلاً vpn.example.com) و اطلاعات کاربری را وارد کن.

4. Connect بزن.

نکته: اگر SSL Certificate روی روتر نصب کردی، بهتر است کلاینت هم همان Certificate را به عنوان Trusted اضافه کند.

۴. اتصال کلاینت به OpenVPN در MikroTik

OpenVPN نسبت به بقیه سخت‌تر است، ولی امنیت بالایی دارد.

ویندوز

1. برنامه OpenVPN Client را دانلود و نصب کن.

2. فایل کانفیگ .ovpn و Certificateها را داخل فولدر Config بریز.

3. یوزر و پسورد را در فایل کانفیگ وارد کن.

4. برنامه را اجرا و Connect بزن.

لینوکس

sudo openvpn –config client.ovpn

اندروید/iOS

1. اپلیکیشن OpenVPN Connect را نصب کن.

2. فایل کانفیگ را وارد کن.

3. یوزر و پسورد را وارد کرده و Connect بزن.

🔑 در نهایت، هر کاربر بسته به دستگاه و پروتکل انتخابی می‌تواند به راحتی به VPN میکروتیک وصل شود. پیشنهاد می‌کنم برای امنیت بیشتر از L2TP/IPsec یا OpenVPN استفاده کنی، مخصوصاً اگر شبکه در معرض اینترنت عمومی است.

مشکلات رایج و خطاهای اتصال VPN روی میکروتیک و راه‌حل‌ها

وقتی کانفیگ VPN روی روتر میکروتیک انجام شد، گاهی کاربران با اتصال مشکل دارند یا کلاینت‌ها وصل نمی‌شوند. در ادامه مهم‌ترین مشکلات و راه‌حل‌های عملی را بررسی می‌کنیم.

1.خطای اتصال PPTP: “Error 721” یا “Cannot connect”

• علت: اغلب به دلیل بسته بودن پورت TCP 1723 یا مشکل در GRE Protocol است.

• راه‌حل:

  1. مطمئن شو فایروال یا ISP پورت 1723 را مسدود نکرده باشد.

  2. در میکروتیک مطمئن شو که PPTP Server Enabled است.

  3. GRE Protocol باید در Firewall Allow باشد:

/ip firewall filter add chain=input protocol=gre action=accept

2.خطای L2TP/IPsec: “No response from peer” یا اتصال قطع می‌شود

• علت: مشکل در کلید IPsec یا NAT Traversal.

• راه‌حل:

1.کلید Pre-shared Key را بررسی کن.

2.پورت‌های UDP 500 و 4500 باز باشند.

/ip ipsec nat-traversal set enabled=yes

3.پورت‌های UDP 500 و 4500 باز باشند.

3. SSTP متصل نمی‌شود یا Certificate Error

• علت: گواهی SSL معتبر روی سرور نصب نشده یا کلاینت آن را Trust نکرده.

• راه‌حل:

  1. گواهی معتبر صادر شده از CA نصب کن.

  2. اگر از Self-signed Certificate استفاده می‌کنی، کلاینت باید آن را Import کند.

  3. مطمئن شو پورت TCP 443 باز است.

4. OpenVPN خطای Authentication یا TLS Error

• علت: فایل کانفیگ اشتباه، Certificate ناقص یا پروتکل SSL/TLS مشکل دارد.

• راه‌حل:

  1. بررسی کن فایل .ovpn کامل باشد و Certificateها درست اضافه شده باشند.

  2. پروتکل و Cipher در میکروتیک و کلاینت یکسان باشند.

  3. روی فایروال پورت TCP/UDP 1194 باز باشد (بسته به تنظیمات).

5. مشکل کلی: سرعت کم یا قطع و وصل شدن مداوم VPN

• علت: مشکل پهنای باند، NAT، یا MTU تنظیم نشده.

• راه‌حل:

1.MTU را کاهش بده:

/interface pppoe-client set mtu=1400

پهنای باند اینترنت و Load روتر را بررسی کن.

فایروال و Queue ها را بهینه کن تا Packet Loss کاهش یابد.

نکات نهایی برای بهینه‌سازی VPN میکروتیک

• همیشه پسوردها را قوی و متفاوت تنظیم کن.

• از Log میکروتیک استفاده کن تا علت خطا را سریع پیدا کنی:

/log print

• Backup کانفیگ VPN را نگه دار.

• اگر کاربر زیاد داری، پیشنهاد می‌کنم از L2TP/IPsec یا OpenVPN به جای PPTP استفاده کنی چون امنیت بهتری دارند.

نتیجه‌گیری

کانفیگ VPN روی روتر میکروتیک یک فرآیند دقیق اما قابل مدیریت است. با شناخت انواع VPN، انتخاب پروتکل مناسب، و رعایت نکات امنیتی و شبکه، می‌توان اتصال امن و پایدار برای کاربران داخلی و دورکاری فراهم کرد. مراحل راه‌اندازی شامل فعال‌سازی سرور VPN، تعریف کاربران و کلیدها، تنظیم فایروال و NAT، و تست اتصال است. همچنین، با بررسی مشکلات رایج و استفاده از لاگ‌ها، می‌توان خطاهای اتصال را سریع رفع کرد. در نهایت، حفظ امنیت و بکاپ‌گیری از تنظیمات اهمیت زیادی دارد تا شبکه همیشه آماده و ایمن باشد.

سوالات متداول (FAQ)

۱. بهترین پروتکل VPN برای میکروتیک کدام است؟
برای امنیت و پایداری، L2TP/IPsec و OpenVPN گزینه‌های مناسب‌تر از PPTP هستند.

۲. آیا می‌توان VPN میکروتیک را روی اینترنت‌های خانگی راه‌اندازی کرد؟
بله، اما باید پورت‌ها روی مودم یا ISP باز باشند و پهنای باند کافی داشته باشید.

۳. چه پورت‌هایی برای VPN میکروتیک باید باز شوند؟

• PPTP: TCP 1723 + GRE Protocol

• L2TP/IPsec: UDP 500، 4500

• SSTP: TCP 443

• OpenVPN: TCP/UDP 1194 (یا پورتی که تعریف کرده‌اید)

۴. آیا می‌توان کاربران نامحدود روی VPN میکروتیک داشت؟
تعداد کاربران محدود به سخت‌افزار و پهنای باند روتر است. میکروتیک مدل‌های متفاوتی با ظرفیت‌های مختلف دارد.

۵. چرا VPN وصل می‌شود اما اینترنت کار نمی‌کند؟
اغلب به دلیل مشکل در IP Routing یا NAT است. بررسی کنید که NAT و Route ها به درستی تنظیم شده باشند.

برای اطلاعات بیشتر و دسترسی به مستندات رسمی MikroTik درباره انواع VPN و تنظیمات پیشرفته، می‌توانید به وب‌سایت رسمی MikroTik مراجعه کنید.