Introduction
In organizational and home networks, the need for secure and stable communication for users to access internal resources is very important. OpenVPN is considered a popular choice for network administrators due to its high flexibility, strong security, and support for modern algorithms. MikroTik has also removed past limitations in version 7 and provided the possibility of complete OpenVPN implementation.
Table of Contents
1. مزایای OpenVPN در میکروتیک
مزایای کلیدی
- پشتیبانی از TCP و UDP
- رمزنگاری قوی با AES-256-GCM/CBC
- احراز هویت مبتنی بر گواهی دیجیتال و کاربر/رمز عبور
- پایداری و کارایی بالا در شبکههای عمومی و خصوصی
2. تغییرات کلیدی OpenVPN در RouterOS v7
بهبودهای عمده
- پشتیبانی از UDP (در نسخههای قدیمی فقط TCP بود)
- پشتیبانی از TLS مدرن و الگوریتمهای جدید
- بهبود مدیریت Certificateها
- افزایش سرعت اتصال و کاهش Latency
3. پیشنیازها
موارد مورد نیاز
- RouterOS v7 آخرین نسخه
- یک آدرس Public IP یا FQDN برای سرور
- دسترسی به WinBox یا SSH
- ساعت و تاریخ دقیق روی روتر (برای Certificateها مهم است)
4. مراحل راهاندازی OpenVPN
این 7 مرحله جامع را برای راهاندازی OpenVPN روی دستگاه MikroTik RouterOS v7 خود دنبال کنید. هر مرحله شامل دستورات و توضیحات کامل است.
مرحله اول: تنظیمات اولیه شبکه
تنظیمات اولیه شبکه شامل آدرس IP، گیتوی و سرورهای DNS.
/ip address add address=192.168.88.1/24 interface=bridge
/ip route add gateway=192.168.88.1
/ip dns set servers=8.8.8.8نکات مهم
- 192.168.88.1 را با آدرس IP روتر خود جایگزین کنید
- اطمینان حاصل کنید که نام interface با bridge interface شما مطابقت دارد
مرحله دوم: ایجاد و ساین کردن Certificateها
ایجاد گواهیهای CA، سرور و کلاینت برای احراز هویت امن.
/certificate
add name=ca common-name=myca key-usage=key-cert-sign,crl-sign
add name=server common-name=vpn.meetaj.ir key-usage=tls-server
add name=client common-name=client1.meetaj.ir key-usage=tls-client
/certificate sign ca name=ca
/certificate sign server ca=ca name=server
/certificate sign client ca=ca name=clientنکات مهم
- 'vpn.meetaj.ir' را با دامنه یا IP عمومی خود جایگزین کنید
- قبل از ادامه، منتظر بمانید تا گواهیها ساین شوند
مرحله سوم: فعالسازی و پیکربندی OVPN Server
پیکربندی سرور OpenVPN با تنظیمات رمزنگاری و روشهای احراز هویت.
/interface ovpn-server server
set enabled=yes port=1194 protocol=udp mode=ip \
netmask=24 certificate=server require-client-certificate=yes \
auth=sha1 cipher=aes128,aes192,aes256جزئیات پیکربندی
- پورت 1194 پورت پیشفرض OpenVPN است
- پروتکل UDP عملکرد بهتری ارائه میدهد
- AES-256-GCM برای بهترین امنیت توصیه میشود
مرحله چهارم: ایجاد پروفایل و کاربران VPN
ایجاد IP pool، پروفایلهای PPP و حسابهای کاربری برای دسترسی VPN.
/ip pool add name=ovpn-pool ranges=192.168.250.10-192.168.250.100
/ppp profile add name=ovpn-profile local-address=192.168.250.1 \
remote-address=ovpn-pool use-encryption=yes
/ppp secret add name=testuser password=StrongPass profile=ovpn-profileمدیریت کاربران
- محدوده IP 192.168.250.10-100، 90 آدرس IP ارائه میدهد
- از رمزهای عبور قوی برای همه کاربران VPN استفاده کنید
- میتوانید کاربران بیشتری با همان پروفایل اضافه کنید
مرحله پنجم: تنظیمات Firewall و NAT
پیکربندی قوانین فایروال و NAT برای مسیریابی امن ترافیک VPN.
/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1
/ip firewall filter add chain=input action=accept protocol=udp dst-port=1194پیکربندی امنیتی
- Masquerade به کلاینتهای VPN اجازه دسترسی به اینترنت میدهد
- قانون فایروال ترافیک OpenVPN روی پورت 1194 را مجاز میکند
- 'ether1' را با نام interface WAN خود جایگزین کنید
مرحله ششم: آمادهسازی فایلهای کلاینت
خروجی گرفتن از گواهیها و ایجاد فایلهای پیکربندی کلاینت.
/certificate export-certificate ca export-passphrase=""
/certificate export-certificate client export-passphrase=123456client
dev tun
proto udp
remote vpn.meetaj.ir 1194
resolv-retry infinite
nobind
persist-key
persist-tun
auth SHA1
cipher AES-256-GCM
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
verb 3مدیریت فایلها
- فایلهای ca.crt، client.crt و client.key را به دستگاه کلاینت منتقل کنید
- پیکربندی را به عنوان فایل 'client.ovpn' ذخیره کنید
- 'vpn.meetaj.ir' را با IP عمومی یا دامنه سرور خود بهروزرسانی کنید
مرحله هفتم: تست اتصال کلاینت
تست اتصال VPN و تأیید راهاندازی موفق.
تست در ویندوز
OpenVPN GUI را اجرا کنید و فایل client.ovpn را import کنید
تست در لینوکس
اجرا کنید: openvpn --config client.ovpn
تأیید
بررسی Log برای پیام 'Initialization Sequence Completed'
عیبیابی
- اگر اتصال ناموفق است، قوانین فایروال را بررسی کنید
- اطمینان حاصل کنید که فایلهای گواهی در همان پوشه هستند
- برای هر پیام خطا، log های سرور را بررسی کنید
5. نکات امنیتی و بهینهسازی
Security Recommendations
- همیشه از AES-256-GCM استفاده کنید (بهتر از CBC)
- پورت پیشفرض 1194 را تغییر دهید (برای امنیت بیشتر)
- از پسوردهای قوی و غیرتکراری استفاده کنید
- اتصال را با Firewall Address-List به آیپیهای مشخص محدود کنید
- مانیتورینگ را با /log print یا ابزارهایی مانند Zabbix انجام دهید
6. پرسشهای متداول
س: تفاوت اصلی OpenVPN در RouterOS v6 و v7 چیست؟
ج: در v6 فقط TCP و الگوریتمهای محدود پشتیبانی میشد؛ در v7 پشتیبانی کامل از UDP، TLS و الگوریتمهای جدید اضافه شده است.
س: آیا میتوان فقط با Certificate احراز هویت کرد؟
ج: بله، در v7 امکان احراز هویت فقط با Certificate وجود دارد.
س: بهترین الگوریتم رمزنگاری چیست؟
ج: AES-256-GCM بهدلیل امنیت و سرعت بالا توصیه میشود.
س: چگونه اتصال کاربران را محدود کنم؟
ج: با استفاده از Firewall و Address-List میتوانید دسترسی کاربران به شبکه داخلی یا اینترنت را کنترل کنید.
Conclusion
OpenVPN در RouterOS v7 یک راهکار ایمن، سریع و پایدار برای دسترسی از راه دور به شبکه محسوب میشود. با پیادهسازی صحیح مراحل فوق، میتوانید امنیت و کارایی شبکه خود را بهطور چشمگیری افزایش دهید.
