راه اندازی تانل بین دو میکروتیک

هدف از ارائه این آموزش

این روزها هممون شاهد تحریم های ظالمانه کشورهای خارجی هستیم و از طرفی سرعت اینترنت بین ISP های ایرانی با وبسایت های خارجی بحدی کند شده که هیچ فعالیتی نمیشه داشت.

بنابر این هدف ما از این آموزش این است که به برخی از شرکت ها و یا افراد برای رفع مشکلاتی مثل،مشکلات دیجیتال مارکتینگی(کار با ابزار های گوگل و…) و یا رفع مشکلات شبکه ای(مثل نصب یک پکیج و کنترل پنل) و… کمک کنیم.

ما هم مثل سایر شرکت ها، فعالیتمون براساس قوانین کشور عزیزمان ایران هست و هرشخصی می‌تواند از این آموزش استفاده خاصی داشته باشد و درصورت راه اندازی و فروش سرویس های ViPiN هر مشکل قانونی پیش بیاد به عهده خود کاربر بوده و تیم بهینه سرور مسئولیتی ندارد.پس حواستونو جمع کنین 😀

این آموزش مناسب چه افرادی،؛شرکتی یا بیزینسی هست :

• شرکت ها یا افراد هایی که در حوزه دیجیتال مارکتینگ کار می‌کنند
• شرکت ها یا افرادی که در زمینه شبکه و کانفیگ و مدیریت سرور فعالیت می‌کنند
• شرکت ها یا افرادی که در زمینه ارز دیجیتال کار فعالیت می‌کنند
• افراد یا شرکت هایی که جهت دور زدن تحریم های ظالمانه خارجیا قصد ندارند که مدام قندشکن را قطع و یا وصل کنند.
• افرادی که در منزل و یا شرکت چندین Device دارند که قصد دارن کل Device هاشون با ViPiN کار کنه و روی تک تک Device ها ViPiN کانکشن نداشته باشن
• و….

در این آموزش چه چیزهایی رو یاد میگیرید؟

• آموزش کار با ترمینال میکروتیک
  • برای راه اندازی سرویس ها از کامند لاین استفاده می‌کنیم
• آموزش کار با بخش IPv4 ورژن ۴و IPv6ورژن ۶
  • برای راه اندازی تانل با IPv6 و نوشتم Route
• آموزش کار با Certificate
  • برای راه اندازی Ovipinلازم است
• آموزش تانل زدن با دو میکروتیک
  • تانل بین میروتیک ایران و خارج
• آموزش کار با IP Pool
  • برای اختصاص IP به کاربران O-ViPiN
• راه اندازی Ope-nViPiN
  • برای وصل شدن به O-ViPiN و رفع نیاز خود 😀
• آموزش کار با بخش Firewall
  • برای Allow کردن ترافیک از سمت O-ViPiN
• آموزش نصب پکیج در میکروتیک
  • برای نصب پکیج UserManager
• راه اندازی و کانفیگ UserManager
  • برای مدیریت کاربران O-ViPiN و تعیین میزان مصرف و…
• آموزش کار با بخش پروفایل UserManager
  • جهت تعریف پلن های مختلف(مثلا ۳۰ روزه ۱۰ گیگ و…)
• آموزش کار با بخش Limitation
  • جهت تعریف محدودیتی مثل سرعت آپلود و دانلود و یا ساعت استفاده
• آموزش کار با بخش Radius
  • جهت تعریف User/Pass و احراز هویت کاربران
• آموزش راه اندازی Wireguard بین دو میکروتیک
  • با توجه به محدودیت ها, Wireguard عملکردی بهتری نسبت به بقیه دارد
• آموزش راه اندازی تانل ۶to4
  • دریافت IP ورژن ۶ با استفاده از تانل ۶to4
• آموزش راه اندازی Routing Table
  • برای مدیریت درخواست ها (سایت های ایرانی با IP خودمون و … با IP میکروتیک خارج)
• آموزش Import کردن در میکروتیک
  • جهت Import کردن تنظیمات و یا AddressList
• آموزش اضافه کردن Address List
  • برای مشخص کردن رنج آی‌پی ایران

پیش نیازها

• فقط دوتا میکروتیک، یکی ایران یکی خارج
• IPv4 در سرور ایران و خارج
• پکیج UserManager برای میکروتیک

ساختار ها

IPv4  ایران : ۱۸۸.۰.۱.۲۰

• این آی‌پی برای مثال بوده و آی‌پی شما، آی‌پی سرور میکروتیک ایران هست

IPv4 خارج : ۱۶۲.۵۵.۱۰۰.۳۲

IPv6 ایران و خارج : برای داشتن IP فیک ورژن ۶ کافیه به وبسایت تولید IPv6 رندم رفته و مقدار Count رو برابر ۱ قرار بدین و generate رو بزنین مقدار خروجی چیزی مثل : ۹۸۰f:1f49:a366:a8ad:2353:bb21:f4ed:e30b  میشه که شما بیایین ۴ تا آخری رو پاک کنین و برای سرور ایران

IPv6 ایران : ۹۸۰f:1f49:a366:a8ad:2353:bb21:f4ed:1

و برای سرور خارج

IPv6 خارج : ۹۸۰f:1f49:a366:a8ad:2353:bb21:f4ed:2

رو در نظر بگیرین.

پس با این حال این آی‌پی هارو داریم

IPv4 Iran : 188.0.1.20

Subnet : /28

GW : 188.0.1.1

IPv6 Iran : 980f:1f49:a366:a8ad:2353:bb21:f4ed:1

————-

IPv4 DE : 162.55.100.32

Subnet : /28

GW : 162.55.100.1

IPv6 DE : 980f:1f49:a366:a8ad:2353:bb21:f4ed:2

نکته خیلی مهم

چون محتوا، محتوای متنی هست بنابر این اگر تنظیمات دو میکروتیک رو همزمان پیش ببریم قطعا متوجه نمیشین که دقیقا چه اتفاقی افتاد، بنابر این ابتدا تمامی کارهای میکروتیک ایران را تمام کرده و سپس میکروتیک خارج رو پیش میبریم، که اینجوری هم احتمال خطای شما پایین میاد و بعدا هم میتونین راحت بررسی کنین که چه سناریویی پیاده کردین و چه اتفاق هایی افتاده. بزودی ویدئوی این آموزش رو هم خدمتتون آماده می‌کنم.

درضمن زمان برترین کارها روی میکروتیک ایران هست مابقی چیز خاصی نیست:)

آموزش تنظیم آی‌پی در میکروتیک ایران

اگر از شرکتی سرور میکروتیک خریداری کردین نیازی به این مراحل نیست نه اگر خودتون میخواین سرور میکروتیک راه اندازی کنین ابتدا لازمه که تنظیم آی‌پی داشته باشین.

نکته : اگر خودتون سرور دارین و Templateمیکروتیک رو از سایت هایی مثل soft98 و… دانلود کردین بعد از Deploy دستور زیر اجرا شود

/system/reset-configuration no-defaults=yes skip-backup=yes

بعد از ریسیت زدن تنظیمات یک پسورد تعریف می‌کنیم

برای وصل شدن به میکروتیک ابتدا لازم هست که به اینترفیس آی‌پی اختصاص بدیم، برای اختصاص آی‌پی در محیط کامند لاین دستور زیر را وارد کنید :

/ip/address/add address=188.0.1.20/28 interface=ether1

آی‌پی باید با آی‌پی میکروتیک ایران جایگزین شود

یه Route در نظر میگیریم :

/ip/route/add dst-address=0.0.0.0/0 gateway=188.0.1.1

تا اینجای کار به میکروتیک ایران آی‌پی دادیم و اگر ping از آی‌پی بگیریم باید پینگ داشته باشه.

تاکید : اگر از شرکتی سرور میکروتیک خریدین نیازی به تنظیمات بالا نیست و از این به بعد رو پیش میرین.

وصل شدن به WinBox

ابتدا نرم افزار WinBox رو از سایت رسمی دانلود می‌کنیم و همچنین می‌توانید از طریق لینک های زیر نسبت به دانلود آخرین ورژن اقدام کنید

WinBox(64-bit)

WinBox(32-bit)

بعد از نصب و اجرا با تصویر زیر رو میبینین :

در بخش Connect To آدرس آی‌پی میکروتیک ایران و در بخش login یوزر پیشفرض admin و پسورد همان پسوردی که حین راه اندازی اولیه وارد کردین.

غیر فعال کردن سرویس ها

برای امنیت بیشتر لازم است که سرویس هایی که لازم ندارید را غیر فعال کنید.

برای اینکار بعد از ورود به WinBox از بخش IP گزینه Services را انتخاب کرده و همه سرویس هارو بجز WinBox غیر فعال می‌کنید:

تنظیم دی‌ان‌اس

برای بررسی عملکرد میکروتیک و سناریویی که راه اندازی می‌کنیم لازمه که دی‌ان‌اس تنظیم کنیم و برای اینکار از بخش IP گزینه DNS را انتخاب کرده و دی‌ان‌اس های ۸.۸.۸.۸ و ۸.۸.۴.۴ را تنظیم می‌کنیم.

تنظیم ساعت میکروتیک

این گزینه به حدی مهمه که اگر درست انجام نشه کل سناریو دچار مختل میشه و به مشکل میخورین.پس بارها ساعت رو چک کنین که درست تنظیم بشه

برای تنظیم ساعت از بخش system گزینه clock رو انتخاب کنید.

آپدیت میکروتیک

برای آپدیت میکروتیک از مسیر system گزینه Packages رو انتخاب کرده و Check For Updates رو میزنیم،اگر آپدیت جدید بود گزینه Download&Install برای شما فعال شده و با انتخاب میکروتیک شما آپدیت و یک مرتبه ریستارت میشه

نصب پکیج User-Manager

برای نصب هرپکیجی ابتدا باید Architecture و Version میکروتیکتون رو پیدا کنین، برای اینکار از بخش System گزینه Resources رو انتخاب کنید.

در اینجا Architecture Name ما mipsbe و Version 7.10.2 هست.

حالا به سایت رسمی میکروتیک میریم و Extra Packages مربوط به mipsbe ورژن ۷.۱۰.۲ رو دانلود می‌کنیم

نکته : برای میکروتیک های مختلف این پکیج متفاوته همانطور که توضیح داده شد باید نسبت به Architecture Name خود پکیج مربوطه رو دانلود کنید.

بعد از دانلود پکیج فایل مربوط به UserManager را Drag&Drop می‌کنیم به بخش Files و میکروتیک را ریستارت میزنیم که پکیج نصب شود.

بعد از نصب شدن پکیج خروجی به شکل زیر خواهد بود :

بررسی مجدد ساعت میکروتیک

همانطور که بالا گفته شد این گزینه خیلی مهمه و مجدد چک می‌کنیم که همه چیز درست باشه

راه اندازی OpenViPiN

برخی از کارها بخاطر راحتی شما دوستان به شکل CommandLine تنظیم شده.

ابتدا لازم است که certificate های لازم رو بسازیم.

برای اینکار از منوی سمت چپ روی گزینه New Terminal را زده و کامند های زیر را به Copy/Paste می‌کنیم

/certificate add name=ca-template country="US" state="TX" locality="TX" organization="BEHINESERVER" unit="IT" common-name=CA-Root days-valid=365 key-size=4096 key-usage=crl-sign,key-cert-sign
/certificate sign ca-template ca-crl-host=127.0.0.1 name=CA-Root
/certificate add name=server-template country="US" state="TX" locality="TX" organization="BEHINESERVER" unit="IT" common-name=Server-Root days-valid=365 key-size=4096 key-usage=digital-signature,key-encipherment,tls-server
/certificate sign server-template name=SERVER ca=CA-Root
/certificate add name=client-template country="US" state="TX" locality="TX" organization="BEHINESERVER" unit="IT" common-name=Client-Root days-valid=365 key-size=4096 key-usage=digital-signature,key-encipherment,tls-client
/certificate sign client-template name=CLIENT ca=CA-Root
/certificate export-certificate CA-Root export-passphrase="123456789"
/certificate export-certificate CLIENT export-passphrase="123456789"

نکته : کلمه BEHINESERVER و یا ۱۲۳۴۵۶۸۹ قابل تغییر است.

بعد از وارد کردن کامند ها باید چند آیتم چک شود.

آیتم اول Trust بود Certificate مربوط به CA-Root و SERVER : 

از منوی سمت چپ روی System زده و Certificate رو انتخاب می‌کنیم،خروجی :

اگر CA-Root و یا Server گزینه Trusted برابر Yes نبود کافیست روی آن کلیک کرده و تیک مربوط به Trust رو بزنین، به شکل زیر :

آیتم دوم بررسی ساخته شدن فایل های Export گرفته شده در Certificate

برای اینکار از منوی سمت چپ به بخش Files رفته و مطمئن میشیم که فایل های cert_export_CA-Root.crt و cert_export_CA-Root.key و cert_export_CLIENT.crt و cert_export_CLIENT.key وجود داشته باشد.

نکته : اگر میکروتیک شما آپدیت شده باشد، نیازی به این ها نداریم، این فایل های برای ساختن فایل OVPN در نسخه های قبلی استفاده می‌شود و در نسخه جدید قابلیت Export گرفتن اضافه شده.

ساخت IP Pool

از این بخش یک رنج آی‌پی در نظر میگیریم تا درصورت وصل شدن کاربران به Open-ViPiN به کاربران آی‌پی اختصاص داده شود.

برای اینکار از سمپ چپ روی گزینه IP رفته و Pool را انتخاب می‌کنیم و سپس روی گزینه Add میزنیم

Name : VPN

Addresses : 192.168.10.2-192.168.10.254

ساخت پروفایل برای OpenViPiN

از بخش PPP به بخش Profile رفته و یک پروفایل با تنظیمات زیر ایجاد می‌کنیم :

Local Address : 192.168.10.1
Remote Address : VPN
Change TCP MSS => Yes
DNS : 8.8.4.4
DNS : 8.8.8.8

در تب Prothocols
Use ipv6 => no
Use MPLS => no
Use compression => Yes
Use Encryption => yes

در تب Limits
Only One => no

خروجی به شکل زیر:

ساخت O-ViPiN Server

برای ساخت O-ViPiN از منوی سمت چپ روی PPP کلیک کرده و از تب Interface گزینه OVPN Server رو انتخاب می‌کنیم و درنهایت تنظیمات این بخش باید به این شکل باشه

بعد از اعمال تنظیمات مجدد از منوی سمت چپ روی PPP کلیک کرده و از تب Interface گزینه OVPN Server رو انتخاب می‌کنیم و درنهایت Export .ovpn رو میزنیم و خروجی به این شکل باید باشه

نکته : گزینه Export .ovpn در میکروتیک های ورژن جدید وجود دارد

نکته : آدرس آی‌پی برای شما آدرس آی‌پی سرور میکروتیک ایرانتون باید باشه.

بعد از کلیک روی Start یک فایل در بخش Files اضافه می شود. به شکل زیر :

این فایل رو Drag&Drop میکنین به دسکتاپ سیستمتون و با ویرایشگری مثل notepad باز میکنین و قبل از <ca> هر چی هست پاک میکنین،در تصویر مشخص شده

بعد از پاک کردن موارد زیر را جایگزین می‌کنید :

client
dev tun
proto tcp
remote 188.0.1.20 1194 tcp
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-128-CBC
auth SHA1
auth-user-pass
redirect-gateway def1
verb 3

تا اینجا چه کارایی انجام دادیم؟

آی‌پی اختصاص دادیم و IPv6 هم مشخص کردیم،کارهای لازم برای تولید certificate انجام دادیم و بعد از کلی تنظیمات Open-ViPiN Server راه اندازی کردیم.الان وقتشه که پلن هارو بسازیم و یوزرهارو با اون پلن ها ایجاد کنیم که درنهایت کاربرامون طبق پهنای باند و سرعت دانلود و آپلود و همینطور حجم مشخص شده بتونن به سرور میکروتیک ایران ما وصل بشن.

در فایروال کابران Open-ViPiN رو masquerade می‌کنیم که ترافیکشون block نشه،برای اینکار در ترمینال دستور زیر وارد شود:

/ip/firewall/nat/add chain=srcnat src-address=192.168.10.0/24 action=masquerade

 

استفاده از RADIUS برای Authentication کردن کاربران

RADIUS در واقع امکانی هست که تعریف می‌شود تا کاربرانی که در User-Manager اضافه می‌شوند با این پروتکل احراز هویت شوند.

برای اینکار ابتدا از سمت چپ روی گزینه PPP زده و از تب Secret گزینه PPP Authentication رو انتخاب می‌کنیم و در این بخش تیک گزینه Use Radius رو میزنیم و مقدار Interim Update را برابر ۰۰:۰۰:۱۰ قرار می‌دهیم

و سپس از منوی سمت چپ روی گزینه RADIUS کلیک می‌کنیم و روی ایکون + کلیک می‌کنیم ئ تنظیمات رو بصورت شکل زیر تغییر می‌دهیم:

Service : ppp
address : 127.0.0.1
Secret : 123456789

نکته : در اینجا مقدار Secret را هرچیزی که دلتون میخواد وارد کنین و جایی داشته باشین که جلوتر مجدد به این نیاز خواهیم داشت

مجدد از بخش RADIUS روی گزینه Incoming کلیک کرده و تیک Accept رو میزنیم

تنظیمات User-Manager

همانطور که قبلا هم گفته شد از این بخش برای مدیریت کاربرامون استفاه می‌کنیم.برای اینکه احراز هویت براساس RADIUS انجام شود مراحل زیرباید طی شود.

از منوی سمت چپ روی User Manager کلیک کرده و از تب Routes روی گزینه settings کلیک می‌کنیم و تیک Enabled را میزنیم

و سپس از تب Routes روی گزینه + برای اضافه کردن کلیک کرده و تنظیمات زیر را اضافه می‌کنیم

name : Local
address : 127.0.0.1
Secret : 123456789

نکته : Secret باید همان مقداری باشد که در بخش RADIUS وارد کردین

تا اینجای کار تنظیمات رو انجام دادیم و احراز هویت کاربرانی که در User Manager اضافه می‌شود با RADIUS خواهد بود.حالا فقطشه بریم پلن هامونو بسازیم و یوزر رو طبق پلن ها اضافه کنیم

 

ساخت پروفایل یا تعریف پلن در User Manager

برای ساخت پروفایل از منوی سمپ چپ روی گزینه User Manager کلیک کرده و از تب Profiles با کلیک روی آیکون + پروفایل های مد نظرتونو اضافه کنید.مثل تصویر زیر :

۱ Month 25 GB
۳۰d 00:00:00
starts when : first auth

به این شکل میتونین پلن های متفاوت تری نیز تعریف کنید :

نکته : عبارت ۳۰d 00:00:00 میزان روز استفاده رو مشخص میکنه که یکماه در نظر گرفته شده

بعد از تنظیم پروفایل های مد نظر لازم است که لیمیت هایی مثل میزان حجم قابل استفاده،میزان سرعت آپلود و دانلود و… تنظیم کنید که یک نمونه به شکل زیر در نظر گرفته شده است :

نکته : Transfer Limit براساس بایت تنظیم شده و شما برای بدست آوردن این مقدار میتونین بصورت آنلاین از سایت تبدیل GB به Byte استفاده کنین

نکته : عبارت ۳۰d 00:00:00 میزان روز استفاده رو مشخص میکنه که یکماه در نظر گرفته شده

لیمیت هایی که ما ساختیم :

حالا تا اینجا ما هم پروفایل هامونو ساختیم هم لیمیت هامونو، حالا باید این لیمیت هارو به پروفایل ها در نظر بگیریم

برای اینکار مجدد از User Manager به بخش Profile Limitions رفته با زدن آیکون + تعریف می‌کنیم که مثلا پروفایل ۱ Month 25 GB لیمیتش ۱ Month 25 GB باشه و حتی میتونیم بگیم چه روز هایی از چه ساعتی تا چه ساعتی استفاده بشه مثل تصویر زیر :

و لیمیت هایی که ما ساختیم به شکل زیر می باشد :

ساخت User در User Manager

برای اینکار ابتدا از منوی سمت چپ روی User Manager کلیک کرده و از تب Users روی آیکون + برای اضافه کردن یوزر جدید کلیک می‌کنیم :

بعد از ایجاد یوزر از بخش User Profiles یکی از پلن های(پروفایل های) ساخته شده را به یوزر اختصاص میدیم

تا اینجای کار نصب و راه اندازی Open-ViPiN تمام شد و به تعداد یوزر هایی که داریم می‌تونیم براحتی یوزر بسازیم و دسترسی به کاربران بدیم.

راه اندازی تانل ۶to4 در میکروتیک ایران

با استفاده از تانل ۶to4 بین دومیکروتیک میتونیم تانل بزنیم و از این طریق IP ورژن ۶ دریافت می‌کنیم.

این بخش بصورت کامندلاین در نظر گرفته شده که از بخش ترمینال اقدام کنید :

کامندلاین ها

/interface 6to4 add disabled=no local-address=188.0.1.20 mtu=1280 name=V6-Tunnel-To-DE remote-address=162.55.100.32
/ipv6 address add address=980f:1f49:a366:a8ad:2353:bb21:f4ed:1/64 advertise=no disabled=no eui-64=no interface=V6-Tunnel-To-DE

توضیح : یک تانل ایجاد کردیم که در بخش local-address باید ip میکروتیک ایران وارد شود و در remote-address هم باید ip میکروتیک خارج وارد شود. و در خط دوم هم یک آدرس IP ورژن ۶ اضافه کردیم که در اول مقاله با توجه به یک سایت بصورت رندم دریافت کرده بودیم

نکته : این مرحله در میکروتیک خارج هم باید انجام شود که جلوتر به آن اشاره می‌کنیم،همانطور که گفته شد محتوا محتوای متنی هست برای اینکه سردرگم نشیم ابتدا کانفیگ میکروتیک ایران رو تموم می کنیم

ساخت Wireguard در میکروتیک ایران

برای ساخت Wireguard از منوی سمت چپ روی گزینه Wireguard کلیک کرده و با انتخاب آیکون + یک Wireguard اضافه با تنظیمات زیر اضافه می‌کنیم

Name : WG-Tunnel-To-DE
Port : 8001

بعد از کیلک روی Apply یک Private Key و Public Key تولید میشه که ما Public Key را در notepad ذخیره می‌کنیم و نگه میداریم

نکته : Public Key برای میکروتیک خارج لازم است

خروجی تصویر به شکل زیر :

Public Key که برای ما تولید شد برابر : kN+Z+JW9g3eDwNJX0siFo/VtNMysfEdjM4bYiiOHeVo= می باشد و آن را نگه می‌داریم.

و مجدد به بخش Terminal برگشته و دستورات زیر را به ترتیب وارد می‌کنیم

/ip/address/add address=172.10.10.1/30 interface=WG-Tunnel-To-DE
routing/table/add name=DE-Tunnel fib
/ip/route/add dst-address=8.8.8.8/32 gateway=172.10.10.2
/ip/route/add dst-address=8.8.4.4/32 gateway=172.10.10.2
/ip/route/add routing-table=DE-Tunnel dst-address=0.0.0.0/0 gateway=172.10.10.2

توضیح :

• در دستور اول ما برای WireGuardی که ساختیم IP در نظر میگیریم تا بتونیم بگیم که درخواست های ما از میکروتیک به سمت IP میکروتیک دومی یعنی ۱۷۲.۱۰.۱۰.۲ هست Route بشه.
• در تیبل دومی یک روتینگ تیبل با نام DE-Tunnel ساختیم که بتونیم Route هامون رو جدا کنیم(نحوه جدا سازی در جلوتر توضیح داده میشه)
• در کامند آخری داریم میگیم هرآن چیزی که به این روتینگ تیبل DE-Tunnel در نظر گرفته شده بود به IP میکروتیک خارج با آدرس ۱۷۲.۱۰.۱۰.۲ Route شود.

حالا وقتشه که رنج IP های ایران رو به MikroTIk اضافه کنیم.ما برای شما رنج آیپی های ایران رو شناسایی کرده و در قابل فایل آماده کردیم.

ابتدا فایل رنج آی‌پی مربوط به ایران رو از سایت بهینه سرور دانلود کنید : دانلود رنج آی‌پی ایران برای میکروتیک

و سپس این فایل رو بصورت Drag&Drop به بخش Files میکروتیک اضافه کنید.

و سپس در Terminal دستور زیر رو اجرا بگیرید

import Iran-IP.rsc

بعد از اجرای دستور، رنج IP های ایران رو میتونین از منوی سمت چپ روی گزینه IP رفته و روی Firewall کلیک کنید و سپس از تب Address Lists میتونین رنج IP های ایمپورت شده رو مشاهده کنین

حالا در فایروال باید بگیم که اگر درخواستی از سمت ۱۹۲.۱۶۸.۱۰.۰/۲۴داشتی ( این رنج برای کاربران Open-ViPiN هست)که IP آن در رنج IP ایران نبود از طریق روتینگ تیبلی که با اسم DE-Tunnel ساخته بودیم Route کن. که این کار با دستور زیر انجام می شود

/ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=!Iran-IP new-routing-mark=DE-Tunnel passthrough=yes src-address=192.168.10.0/24

تنظیمات میکروتیک اول تا اینجا تمام

آموزش تنظیم آی‌پی در میکروتیک خارج

اگر از شرکتی سرور میکروتیک خریداری کردین نیازی به این مراحل نیست نه اگر خودتون میخواین سرور میکروتیک راه اندازی کنین ابتدا لازمه که تنظیم آی‌پی داشته باشین.

نکته : اگر خودتون سرور دارین و Templateمیکروتیک رو از سایت هایی مثل soft98 و… دانلود کردین بعد از Deploy دستور زیر اجرا شود

/system/reset-configuration no-defaults=yes skip-backup=yes

بعد از ریسیت زدن تنظیمات یک پسورد تعریف می‌کنیم

برای وصل شدن به میکروتیک ابتدا لازم هست که به اینترفیس آی‌پی اختصاص بدیم، برای اختصاص آی‌پی در محیط کامند لاین دستور زیر را وارد کنید :

/ip/address/add address=162.55.100.32/28 interface=ether1

آی‌پی باید با آی‌پی میکروتیک خارج جایگزین شود

یه Route در نظر میگیریم :

/ip/route/add dst-address=0.0.0.0/0 gateway=162.55.100.1

تا اینجای کار به میکروتیک خارج آی‌پی دادیم و اگر ping از آی‌پی بگیریم باید پینگ داشته باشه.

تاکید : اگر از شرکتی سرور میکروتیک خریدین نیازی به تنظیمات بالا نیست و از این به بعد رو پیش میرین.

وصل شدن به WinBox

نرم افزار WinBox را باز کرده و در بخش Connect To آدرس آی‌پی میکروتیک خارج و در بخش login یوزر پیشفرض admin و پسورد همان پسوردی که حین راه اندازی اولیه وارد کردین.

غیر فعال کردن سرویس ها

برای امنیت بیشتر لازم است که سرویس هایی که لازم ندارید را غیر فعال کنید.

برای اینکار بعد از ورود به WinBox از بخش IP گزینه Services را انتخاب کرده و همه سرویس هارو بجز WinBox غیر فعال می‌کنید:

تنظیم دی‌ان‌اس

برای بررسی عملکرد میکروتیک و سناریویی که راه اندازی می‌کنیم لازمه که دی‌ان‌اس تنظیم کنیم و برای اینکار از بخش IP گزینه DNS را انتخاب کرده و دی‌ان‌اس های ۸.۸.۸.۸ و ۸.۸.۴.۴ را تنظیم می‌کنیم.

تنظیم ساعت میکروتیک

این گزینه به حدی مهمه که اگر درست انجام نشه کل سناریو دچار مختل میشه و به مشکل میخورین.پس بارها ساعت رو چک کنین که درست تنظیم بشه

برای تنظیم ساعت از بخش system گزینه clock رو انتخاب کنید.

آپدیت میکروتیک

برای آپدیت میکروتیک از مسیر system گزینه Packages رو انتخاب کرده و Check For Updates رو میزنیم،اگر آپدیت جدید بود گزینه Download&Install برای شما فعال شده و با انتخاب میکروتیک شما آپدیت و یک مرتبه ریستارت میشه

راه اندازی تانل ۶to4 در میکروتیک خارج

با استفاده از تانل ۶to4 بین دومیکروتیک میتونیم تانل بزنیم و از این طریق IP ورژن ۶ دریافت می‌کنیم.

درواقع این بخش برعکس راه اندازی تانل ۶to4 در میکروتیک ایران هست،با این تفاوت که در سرور ایران ادرس ریموت رو سرور خارج زدیم و ایپی لوکال رو ایران، حالا اینجا آدرس لوکال آدرس میکروتیک خارج و آدرس ریموت آدرس ایران میشه

این بخش بصورت کامندلاین در نظر گرفته شده که از بخش ترمینال اقدام کنید :

کامندلاین ها

/interface 6to4 add disabled=no local-address=162.55.100.32 mtu=1280 name=V6-Tunnel-To-IR remote-address=188.0.1.20
/ipv6 address add address=980f:1f49:a366:a8ad:2353:bb21:f4ed:2/64 advertise=no disabled=no eui-64=no interface=V6-Tunnel-To-IR
/ip/firewall/nat/add chain=srcnat action=masquerade

توضیح : یک تانل ایجاد کردیم که در بخش local-address باید ip میکروتیک خارج وارد شود و در remote-address هم باید ip میکروتیک ایران وارد شود. و در خط دوم هم یک آدرس IP ورژن ۶ اضافه کردیم که در اول مقاله با توجه به یک سایت بصورت رندم دریافت کرده بودیم.خط سوم هم برای Allow کردن ترافیک شبکه در نظر گرفته شده است.

ساخت Wireguard در میکروتیک خارج

برای ساخت Wireguard از منوی سمت چپ روی گزینه Wireguard کلیک کرده و با انتخاب آیکون + یک Wireguard اضافه با تنظیمات زیر اضافه می‌کنیم

Name : WG-Tunnel-To-IR
Port : 8002

بعد از کیلک روی Apply یک Private Key و Public Key تولید میشه که ما Public Key را در notepad ذخیره می‌کنیم و نگه میداریم

نکته : Public Key برای میکروتیک ایران لازم است

خروجی تصویر به شکل زیر :

Public Key که برای ما تولید شد برابر : fX8hXzZ7BFETbTAo84g3oE7kTVUqOHVZqFZDHjKdLDM= می باشد و آن را نگه می‌داریم.

تنظیم Public Key در دو میکروتیک

WinBox دو میکروتیک ایران و خارج را همزمان باز کنید و وارد میکرو تیک بشید.

در هردو میکروتیک از منوی سمت چپ روی Wireguard کلیک کرده و به تب Peers رفته و روی آیکون + کلیک کنید.

در میکروتیک ایران مقدار زیر تنظیم شود

Interface : WG-Tunnel-To-DE

Public Key : fX8hXzZ7BFETbTAo84g3oE7kTVUqOHVZqFZDHjKdLDM=

Endpoint : 980f:1f49:a366:a8ad:2353:bb21:f4ed:2

Endpoint Port : 8002

Allowed Address : 0.0.0.0/0

توضیح : در سرور ایرانمون اطلاعات سرور خارج رو میزنیم

• Public Key : این مقدار، مقدار Public Key سرور دوم هست که موقع ساخت Wireguard برامون ایجاد شده بود
• Endpoint : آدرس IPv6 سرور خارجمون هست
• Endpoint Port : پورت سرور خارج هست.

حالا در میکروتیک خارج مقدار زیر تنظیم شود

Interface : WG-Tunnel-To-IR

Public Key : kN+Z+JW9g3eDwNJX0siFo/VtNMysfEdjM4bYiiOHeVo=

Endpoint : 980f:1f49:a366:a8ad:2353:bb21:f4ed:1

Endpoint Port : 8001

Allowed Address : 0.0.0.0/0

توضیح : در سرور خارجمون اطلاعات سرور ایران رو میزنیم

• Public Key : این مقدار، مقدار Public Key سرور میکروتیک هست که موقع ساخت Wireguard برامون ایجاد شده بود
• Endpoint : آدرس IPv6 سرور ایرانمون هست
• Endpoint Port : پورت سرور ایران هست.

حالا اگر تنظیمات به درستی انجام شده باشد شما می‌توانید تست های زیر را انجام دهید

در terminal سرور ایران مقدار زیر برای پینگ گرفتن IPv6 جهت بررسی تانل ۶to4 وارد شود :

ping 980f:1f49:a366:a8ad:2353:bb21:f4ed:2

و برای بررسی Wireguard کامند زیر وارد شود

ping 172.10.10.2

درواقع شما با اینکار دارین ارتباط بین سرور ایران با خارج رو تست میکنین و برعکس هم به این شکل هست :

در terminal سرور خارج مقدار زیر برای پینگ گرفتن IPv6 جهت بررسی تانل ۶to4 وارد شود :

ping 980f:1f49:a366:a8ad:2353:bb21:f4ed:1

و برای بررسی Wireguard کامند زیر وارد شود

ping 172.10.10.1

این آموزش طی ۸ ساعت آماده شده،امیدوارم برای دوستان مفید باشه