1. ‫سیسىَ تِ خارسی‬
Cccxczxc
Mikrotik ٍ Astaro ‫ تیي‬Site To Site IPSEC Tunnel ‫ایجاد‬
: ‫زالیف ٍ زذٍیي‬
‫فزیذ ًصیزی‬
http://forum.ciscoinpersian.com
‫اًجوي سیسىَ تِ خارسی‬

2. ‫فْزسر‬
‫همذهِ ...................................................................................................................................................................................2‬
‫آضٌایی تا خزٍزىل ‪3...................................................................................................................................................IPSEC‬‬
‫زٌظیواذ سور ‪5................................................................................................................................................. Astaro‬‬
‫زٌظیواذ سور ‪7.............................................................................................................................................. Mikrotik‬‬
‫21 ‪Page 1 of‬‬

3. ‫همذهِ :‬
‫‪ Site to Site Vpn‬تِ هىاًیشهی اعالق هیطَد وِ عی آى دٍ یا چٌذ ضثىِ هجشا اس عزیك یه تسسز ػوَهی‬
‫هخاتزازی هاًٌذ ایٌسزًر تِ عَر اهي تِ یىذیگز هسصل ضذُ ٍ تِ زثادل اعالػاذ هی خزداسًذ .‬
‫خزٍزىلْا ٍ هىاًیشهْای رهشًگاری هسفاٍزی در خیادُ ساسی یه زاًل اهي تیي دٍ ضثىِ هَرد اسسفادُ لزار هیگیزًذ وِ‬
‫ضزح ٍ تسظ ّز یه ًیاسهٌذ ًَضساری جذاگاًِ اسر . در ایي ًَضسارضوي هؼزفی اجوالی ‪ IPSEC Tunneling‬تِ‬
‫تزرسی چگًَگی خیادُ ساسی آى تیي دٍ خلسفزم هسفاٍذ ‪ Mikrotik ٍ Astaro Security Gateway‬خَاّین‬
‫خزداخر. ػلر اًسخاب هیىزٍزیه تِ ػٌَاى عزف دٍم زاًل ، السصادی زز تَدى آى ًسثر تِ اتشارّای ‪standalone‬‬
‫هزسَم اهزٍسی هاًٌذ خاًَادُ رٍززّا ، ‪ّ Utm‬ا ٍ حسی راّىار خیطٌْادی خَد اسسارٍ یؼٌی اسسفادُ اس دسسگاُ ‪RED‬‬
‫(تا اتؼادی وَچىسز اس یه آداخسَر لح زاج) هیثاضذ . اس ایٌزٍ در خیادُ ساسیْای سثىی وِ جٌثِ ّای السصادی عزح در‬
‫آًْا حائش اّویر اسر ، اسسفادُ اس ایي اتشار زَصیِ هیطَد.‬
‫21 ‪Page 2 of‬‬

4. ‫آضٌایی تا ‪IPSEC‬‬
‫خزٍزىل ‪ IPsec‬یه هجوَػِ خزٍزىل اسر وِ اهٌیر ارزثاعاذ خزٍزىل ایٌسزًر (‪ )IP‬را زَسظ ػولیاذ احزاس َّیر ٍ‬
‫رهشًگاری تزای ّز تسسِ ‪ IP‬در یه ًطسر ارزثاعی زاهیي هیوٌذ . ‪ّ IPsec‬وچٌیي ضاهل خزٍزىلّایی هیضَد وِ‬
‫تزای تزلزاری یه ارزثاط دٍعزفِ تیي ػاهلّا در اتسذای ًطسر ، ٍ ًیش هذاوزُ در هَرد ولیذّای رهشًگاری تزای‬
‫اسسفادُ در هذذ سهاى ًطسر ، اسسفادُ هیضًَذ .‬
‫خزٍزىل ‪ IPsec‬در الیِ ایٌسزًر اس هذل الیِ ای خزٍزىل ایٌسزًر وار هیوٌذ . ‪ IPsec‬هیزَاًذ اس جزیاىّای دادُ تیي‬
‫هیشتاىّا (هیشتاى تِ هیشتاى)، تیي گذرگاُ ّای اهٌیسی (ضثىِ تِ ضثىِ) یا تیي یه گذرگاُ اهٌیسی تِ یه هیشتاى،‬
‫خطسیثاًی وٌذ.‬
‫زؼذادی اس سیسسنّای اهٌیسی ایٌسزًسی دیگز وِ تِ صَرذ گسسزدُ وارتزد دارًذ ، هاًٌذ الیِ سَور اهي (‪ ،)SSL‬الیِ‬
‫اهٌیر اًسمال (‪ ٍ )TLS‬خَسسِ اهي (‪ ، )SSH‬در الیِ ّای تاالیی اس هذل ‪ TCP/IP‬وار هیوٌٌذ . ‪ّ IPsec‬ز ًَع‬
‫ززافیه در سزاسز ضثىِ ّای هثسٌی تز ‪ IP‬را خطسیثاًی هیوٌذ . اگز ززافیىی غیز اس ‪ IP‬در ضثىِ ٍجَد داضسِ تاضذ،‬
‫تایذ اس خزٍزىل دیگزی هاًٌذ ‪ GRE‬در وٌار ‪ IPSec‬اسسفادُ وزد .‬
‫خزٍزىل ‪ IPSec‬زَسظ سزٍیسّای سیز، اهٌیر دادُ ّای ارسال ضذُ تیي دٍ آدرس ‪ IP‬را در ضثىِ زاهیي هیوٌذ:‬
‫‪ ‬احزاس َّیر دادُ‬
‫ضٌاسایی هثذاء دادُ - ضوا هیزَاًیذ اس ‪ IPsec‬اسسفادُ وٌیذ زا زضویي وٌذ وِ ّز تسسِ ای وِ اس یه عزف‬
‫لاتل اػسواد دریافر وزدیذ، در ٍالغ زَسظ ّواى هثذاء ارسال ضذُ اسر ٍ جؼلی ٍ دسسىاری ضذُ ًیسر.‬
‫زواهیر دادُ - ضوا هی زَاًیذ اس ‪ IPsec‬اسسفادُ وٌیذ زا زضویي وٌذ وِ دادُ ّا در سهاى اًسمال زغییز ًویوٌٌذ.‬
‫حفاظر ضذ تاسخخص - ضوا هی زَاًیذ اس ‪ IPsec‬اسسفادُ وٌیذ زا تزرسی وٌذ وِ ّز تسسِ ای وِ دریافر هی‬
‫وٌیذ یىسا اسر ٍ ودی تزداری ًطذُ اسر .‬
‫‪ ‬رهشگذاری‬
‫ضوا هیزَاًیذ اس ‪ IPsec‬تِ هٌظَر رهشگذاری دادُ ّا در ضثىِ اسسفادُ وٌیذ زا تزای سَء اسسفادُ وٌٌذگاى لاتل‬
‫دسسزسی ًثَدُ ٍ در عَل هسیز، اهىاى اسسفادُ غیز هجاس اس آًْا ٍجَد ًذاضسِ تاضذ . تِ تیاى دیگز، واهدیَزز‬
‫هثذاء تسسِ اعالػازی ‪ TCP/IP‬ػادی را تِ صَرذ یه تسسِ اعالػازی ‪ IPSec‬تسسِ تٌذی هیوٌذ ٍ تزای‬
‫واهدیَزز همصذ ارسال هیوٌذ. ایي تسسِ زا سهاًی وِ تِ همصذ تزسذ رهش ضذُ اسر ٍ عثیؼسا وسی ًوی زَاًذ اس‬
‫هحسَای آًْا اعالػازی تِ دسر آٍرد.‬
‫21 ‪Page 3 of‬‬

5. ‫هؼواری اهٌیسی‬
‫‪ IPSec‬یه اسساًذارد تاس اسر . خزٍزىل ‪ IPsec‬اس خزٍزىلّای سیز تزای زاهیي اهٌیر دادُ ّا در ضثىِ اسسفادُ‬
‫هیىٌذ .‬
‫‪ ‬سزآیٌذ احزاس َّیر (‪ : Authentication Header)AH‬ایي خزٍزىل زواهیر ٍ احزاس َّیر هثذاء دادُ ّا را‬
‫تزای تسسِ ّای دادُ ‪ IP‬فزاّن وزدُ ٍ اس دادُ ّا در هماتل حوالذ خخطی هحافظر هیوٌذ.‬
‫‪ ‬تسسِ تٌذی اهي دادُ (‪ : Encapsulating Security Payload)ESP‬ایي خزٍزىل ، هحزهاًگی ، احزاس‬
‫َّیر هثذأ دادُ ّا ، زواهیر ٍ یه سزٍیس ضذ تاسخخطی را ارائِ هیًوایذ.‬
‫‪ ‬هذیزیر اهٌیر (‪ :)SA‬یه هجوَػِ اس الگَریسنّا ٍ دادُ ّا را ارائِ هیدّذ وِ ایي هجوَػِ ، خاراهسزّای‬
‫ضزٍری تزای هذیزیر وزدى ػولىزد خزٍزىل ‪/ٍ AH‬یا خزٍزىل ‪ ESP‬را فزاّن هیوٌذ. خزٍزىل ‪ ، ISAKMP‬یه‬
‫چْارچَب تزای ػولیاذ احزاس َّیر ٍ زثادل ولیذ ارائِ هیدّذ وِ در ٍالغ ایي ولیذّا یا تِ ٍسیلِ زٌظین‬
‫دسسی زَسظ ولیذّایی وِ اس خیص تِ اضسزان گذاضسِ ضذُ اًذ ٍ یا اس عزیك ‪Internet Key Exchange‬‬
‫(‪ )IKE‬زْیِ هیگزدًذ.‬
‫هذّای ػولیازی‬
‫خزٍزىل ‪ IPsec‬هیزَاًذ تزای رٍش اًسمال هیشتاى تِ هیشتاى ٍ رٍش زًَل ضثىِ هَرد اسسفادُ لزار گیزد.‬
‫‪ ‬هذ اًسمالی : در ایي هذ، هؼوَال زٌْا اعالػازی وِ تِ صَرذ تسسِ ّای ‪ IP‬ارسال هیضًَذ، رهشًگاری ٍ/یا احزاس‬
‫َّیر هیگزدًذ. ػولیاذ هسیزیاتی تذٍى زغییز تالی هیهاًذ ، چزا وِ سزآیٌذ تسسِ ‪ IP‬زغییز ًىزدُ ٍ رهش‬
‫ًطذُ اسر . ّزچٌذ ٌّگاهی وِ اس سزآیٌذ احزاس َّیر اسسفادُ هیضَد ، آدرسّای ‪ IP‬لاتل ززجوِ ًیسسٌذ،‬
‫سیزا زَسظ الگَریسن درّن ساسی اعالػاذ آى رهشًگاری هیضَد. الیِ ّای اًسمال ٍ وارتزد ّویطِ زَسظ‬
‫الگَریسن درّن ساسی اهي هیضًَذ ، در ًسیجِ زحر ّیچ ضزایغی ًویزَاى اعالػاذ آًْا را زغییز داد . هذ‬
‫اًسمال تزای ارزثاعاذ هیشتاى تِ هیشتاى اسسفادُ هیضَد .‬
‫‪ ‬هذ زًَل ضثىِ : در ایي هذ ، ول تسسِ ‪ IP‬رهشًگاری ٍ/یا احزاس َّیر هیضَد ، سدس درٍى تسسِ دیگزی تسسِ‬
‫تٌذی ضذُ ٍ یه سزآیٌذ جذیذ هیگیزد. ایي هذ تزای ایجاد ضثىِ ّای خصَصی هجاسی تزای ارزثاعاذ ضثىِ‬
‫تِ ضثىِ، ارزثاعاذ هیشتاى تِ ضثىِ ٍ ارزثاعاذ هیشتاى تِ هیشتاى اسسفادُ هیضَد. ایي هذ، ‪NAT traversal‬‬
‫را خطسیثاًی هیوٌذ.‬
‫21 ‪Page 4 of‬‬

6. ‫زٌظیواذ سور ‪Astaro‬‬
‫ایجاد ّز ‪ IPSEC Tunnel‬در ‪ Astaro‬هسسلشم اًجام سِ هزحلِ هیثاضذ :‬
‫1. ‪Remote gateway‬‬
‫ٍالغ در هسیز ‪ Site-to-site VPN > IPsec > Remote Gateways‬در ایي لسور هطخصِ ّای‬
‫ارزثاعی دیَایس عزف دٍم لیٌه هغاتك زصَیز سیز هؼزفی هیطَد.‬
‫21 ‪Page 5 of‬‬

7. ‫2. ‪Policy‬‬
‫در لسور ‪ IPsec > Policies‬لادر خَاّین تَد خاراهسزّای اهٌیسی هَرد ًیاس جْر تزلزاری ‪ Tunnel‬تیي‬
‫دٍ عزف لیٌه را زٌظین وٌین . ایي خاراهسزّا ضاهل خاراهسزّای )‪ٍ IKE (Internet Key Exchange‬‬
‫‪ IPSEC Proposal‬وِ جشء خاراهسزای الشاهی تزلزاری ‪ّ IPSEC Tunnel‬سسٌذ هیثاضٌذ . زؼذاد سیادی‬
‫‪ Policy‬تِ صَرذ ‪ Template‬در ایي صفحِ ٍجَد دارد وِ در صَرذ زوایل هیسَاى اس آًْا اسسفادُ ًوَد ٍ‬
‫یا یه ‪ Policy‬هسٌاظز تا ًیاس ٍ لاتلیسْای رهش ًگاری دسسگاُ عزف دٍم لیٌه وِ در ایٌجا هیىزٍزیه اسر‬
‫ایجاد وزد.‬
‫21 ‪Page 6 of‬‬

8. ‫3. ‪Connection‬‬
‫در ایي لسور زٌظیواذ ایجاد ضذُ در دٍ لسور لثل عثك زصَیز سیز فزاخَاًی هیطًَذ . در صَرزیىِ‬
‫‪ Strict routing‬اًسخاب ضَد ، هىاًیشم ‪ Vpn routing‬تز اساس ‪ IP‬هثذا ٍ همصذ اًجام هیطَد (تِ جای‬
‫فمظ آدرس همصذ) . در ایي حالر زٌْا خىسْای وِ ضزط آدرس هثذا ٍ همصذ زاًل را دارًذ تِ داخل آى‬
‫‪ route‬هیطًَذ ؛ تِ تیاى دیگز ًویسَاى اس ‪ Source Nat‬تِ هٌظَر ّذایر ززافیه ضثىِ ّایی وِ در زؼزیف‬
‫اٍلیِ زاًل اس آًْا اسسفادُ ًطذُ اسسفادُ وزد .‬
‫21 ‪Page 7 of‬‬

9. ‫زٌظیواذ سور ‪Mikrotik‬‬
‫4. اس آًجایی وِ زٌظیواذ ‪ Ipsec‬هسسلشم لزار گیزی ‪ Public Ip‬در ایٌسزفیسْای هیىزٍزیه اسر ، هَدم‬
‫‪ ADSL‬را در حالر تزیج لزار دادُ ٍ زٌظیواذ ‪ PPOE‬را اس عزیك هیىزٍزیه اًجام هیذّین .‬
‫21 ‪Page 8 of‬‬

10. ‫5. خس اس تزلزاری ازصال هثسٌی تز ‪ PPOE‬تِ ایٌسزًر اس عزیك هیىزٍزیه ، ٍضؼیر آدرسْا ٍ ایٌسزفیسْا تِ لزار‬
‫سیز خَاٌّذ تَد :‬
‫21 ‪Page 9 of‬‬

11. ‫6. لذم تؼذی اػوال زٌظیواذ ‪ IPsec Tunnel‬هغاتك زصَیز سیز اسر.‬
‫‪ Src.Address‬هحذٍدُ آدرس ضثىِ هحلی ٍ ‪ Dst.Address‬هحذٍدُ آدرس ضثىِ راُ دٍر اسر . در‬
‫صَرزیىِ ضثىِ هحلی هَجَد ًیاس تِ تزلزاری ارزثاط تا ‪ّ Vlan‬ای هسؼذد ضثىِ را دٍر داضسِ تاضذ ، تایذ تِ‬
‫اسای ّز ‪ Vlan‬یه زاًل هجشا تِ سور همصذ ایجاد ضَد . تزای اجسٌاب اس ایي هطىل زَصیِ هیطَد هجوَػِ‬
‫‪ّ Vlan‬ای ضثىِ همصذ اس عزیك ‪ ٍ CIDR notation‬یىثارُ تِ ضىل سیز در خٌجزُ زٌظیواذ ‪Ipsec‬‬
‫هؼزفی ضًَذ.‬
‫21 ‪Page 10 of‬‬

12. ‫7. زة ّای تؼذی خٌجزُ ‪ Ipsec‬هزتَط تِ زٌظیواذ ‪ّ Peer , Proposal‬سسٌذ وِ خاراهسزّای رهش ًگاری ٍ‬
‫هىاًیشم احزاس َّیر زاًل اس عزیك آًْا زؼییي هیطَد . تا زَجِ تِ زٌظیوازی وِ در اسسارٍ اًجام دادین‬
‫هیىزٍزیه را تِ ضىل سیز زٌظین هیىٌین.‬
‫21 ‪Page 11 of‬‬

13. ‫8. آخزیي لذم ّن زٌظویاذ ‪ Nat ٍ Firewall‬اسر :‬
‫هغاتك زصاٍیز فَق ، ززافیه ػادی ایٌسزًسی اس عزیك ‪ ٍ Masqurade NAT‬ایٌسزفیس خزٍجی ‪ ppoe-out‬در‬
‫اخسیار واتزاى لزار هیگیزد ٍ ززافیه هسٌاظز تا ضثىِ راُ دٍر تِ زاًل ایجاد ضذُ هٌسمل هیطَد.‬
‫هزاجغ :‬
‫‪Astaro Help Documentation‬‬
‫‪Mikrotik Wiki‬‬
‫‪http://certcc.ir‬‬
‫فزیذ ًصیزی‬
‫‪Farid_nasiri@yahoo.com‬‬
‫21 ‪Page 12 of‬‬