الشبكة الخاصة الافتراضية في المايكروتك (VPN in Mikrotik)
سبق ان قمنا بشرح مفهوم الشبكة الافتراضية وكيف انها تستخدم لتأمين الاتصال عبر بيئة مفتوحة سلكية او لا سلكية بين نهايتين متباعدتين بشكل امن ومستقل بعيداً عن التجسس ومحاولات الاختراق والاطلاع على البيانات وتستخدم هذه الشبكات مفهوم الاتصال النفقي (Tunnel Communication) والذي تم شرحه ايضاً في درس سابق وسيكون تركيزنا اليوم على كيفية تطبيق تلك المفاهيم النظرية على شبكة تستخدم منتجات المايكروتك وللنموذج الافتراضي المبين في الصورة التالية: علماً ان هذا النموذج يمكن توسيعه الى شبكة اكبر وبنفس الاعدادات:
لما كانت الاتصالات النفقية متعددة التطبيقات وقد شرحنا سابقاً احد امثلتها وهي (PPPOE client and server) سيرتكز شرحنا اليوم على النوع الاخر الاكثر شيوعاً وهو (Point to Point Tunnel Protocol PPTP) والذي لا يسمح بخيار تجزئة النفق اي انه سيحدد مصدر واحد (جهاز مرسل واحد) وهدف واحد (جهاز مستلم واحد) ويمنع البقية من الاستلام للترافك الموجه الى حاسبة معينة. من مميزات هذا النوع سهولة ضبط اعداداته فتقريباً كل انظمة الويندوز الحديثة تضبط حاسباتها لتكون (PPTP client) تلقائياً.
يمكن استخدام ال(PPTP) بخيارين احدهما بلا امنية وتشفير والاخر هو الاتصال الامن عبر قناة مشفرة وذلك بأستخدم بروتوكول التشفير (MSCHAP V2) ولتمكين الاتصال بواسطة هذا البروتوكول مع الجهاز البعيد (remote) نتبع الخطوات التالية:
اعدادات سيرفر ال (PPTP):
بعد ضبط اعدادات منافذ الجهاز ال (LAN and WAN) كما تم شرحه سابقاً نذهب الى تبويب (IP) ثم الى (POOL) وننقر على علامة الزائد (+) ثم نحدد اسم ومدى حوض العناوين وننقر على (ok) كما في ادناه:
والان نقوم بأنشاء سيرفر ال (PPTP) فنذهب الى تبويب (PPP) ثم الى (PPTP server) ونؤشر علامة صح على خيار (enable) ثم (ok) كما في الصورة ادناه:
والان نقوم بخلق البروفايل الذي سيستخدم من قبل كل المستخدمين لهذا السيرفر وذلك بالنقر على تبويب(PPP) ثم الى تبويب (Profiles) وهنا سنجد بروفايلين موجودين مسبقاً فلا نتلاعب بهما وانما نقوم بأنشاء واحد جديد بالنقر على علامة (+) ونسميه بأي اسم نختاره وليكن (profile 256K) ونحدد عنوان السيرفر كعنوان محلي وبخصوص العنوان (remote) ننقر على السهم فيظهر لنا اسم الحوض الذي انشأناه قبل قليل ونختاره وان لم يظهر فنقوم بكتابة اسمه في حقل (remote address). في حقل ال (DNS server) نكتب عنوان السيرفر الذي كتبناه سابقاً في ال (local) وبعدها ننقر على تبويب (limits) لتحديد اقصى مقدار للأرسال والاستقبال المسموح لهذا المستخدم او للمستخدمين الذين يستخدمون هذا البروفايل ونحدد (256K/256K) ويختلف هذا المقدار حسب نوعية الخدمة المطلوب تقديمها للمستخدمين وبأختلاف اسعار الخدمة المقدمة وبعدها ننقر على (apply) ثم (ok) وكما في ادناه:
والان لأضافة مستخدم الى هذا الاتصال النفقي نذهب الى تبويب (Secrets) ثم نكتب اسم المستخدم وكلمة المرور التي سيستخدمها المستخدم للدخول الى النظام واكتساب القدرة على الاتصال. واما بخصوص العنوان المحلي (local address) فيمكن ان يكون نفسه لكل المستخدمين واما العنوان البعيد (remote address) فيجب ان يكون فريداً لكل مستخدم وغير متشابه
والى هنا تنتهي اعدادات سيرفر ال (PPTP)
والان لأكمال تأمين الشبكة نذهب الى تبويب (IP) ثم (Firewall) ونختار تبويب (NAT) ثم ننقر على علامة الزائد (+) لأضافة سلسلة جديدة (Chain=secret) ونضبط عنوان ال (Scr. Address) ليكون هو نفسه عنوان شبكة المنفذ المحلي للسيرفر ثم نذهب الى تبويب (Actions) في نفس النافذة ونختار (action= masquerade) لأضافة التنكر الى الشبكة ثم (apply) ثم (ok) وكما في ادناه:
والان نضبط المسار الافتراضي (default route) فنذهب الى تبويب (IP) ثم الى (routes) ونقوم بأضافة مسار ثابت (static route) بالنقر على زر (+) ونختار العناوين كما في النافذة ادناه ثم (Apply) ثم (ok):
والان ننتقل الى الخطوة الاخيرة وهي اضافة عناوين ال (DNS server) وذلك بالذهاب الى تبويب (IP) ثم (DNS) ثم ادخال العناوين التي يفترض ان يمنحك اياها مزود الخدمة (ISP) وتذكر ان تفعل (allow remote requests) والتي ستجعل جهازك يعمل ك (DNS server) وضبط حجم الكاش على ان لا يقل عن (2048) ثم (apply) و (ok) كما في ادناه:
والى هنا تنتهي اعدادات سيرفر ال (PPTP) واما بخصوص الطرف الاخر الخاص بالمستخدم فيتلخص العمل بأنشاء (broad band connection) ونضع فيه اسم المستخدم وكلمة المرور التي اعطانا اياها مزود الخدمة (PPTP server).