با گسترش شبکه‌های کامپیوتری و نیاز روزافزون به ارتباطات ایمن و دسترسی از راه دور📡، استفاده از شبکه‌های خصوصی مجازی (VPN) بیش از پیش مورد توجه قرار گرفته است. یکی از محبوب‌ترین روش‌های ایجاد VPN، پروتکل L2TP (Layer 2 Tunneling Protocol) است که در ترکیب با IPSec امنیت بسیار بالایی را برای ارتباطات شبکه فراهم می‌کند.

میکروتیک، به عنوان یکی از قدرتمندترین تجهیزات شبکه، قابلیت راه‌اندازی سریع و آسان L2TP-VPN را فراهم می‌کند و به کاربران امکان می‌دهد به شبکه‌های خصوصی خود از هر نقطه‌ای در جهان متصل شوند. با استفاده از این پروتکل، می‌توان ارتباطات ایمنی بین دفاتر کاری، کاربران خانگی و حتی دستگاه‌های موبایل ایجاد کرد.

در این مقاله، به صورت گام‌به‌گام نحوه راه‌اندازی یک سرور L2TP-VPN در MikroTik را آموزش می‌دهیم و نحوه اتصال به این VPN را در سیستم‌عامل‌های مختلف از جمله ویندوز، اندروید و iOS بررسی می‌کنیم. همچنین، نکات کلیدی و مشکلات رایج در این فرآیند را توضیح خواهیم داد تا بتوانید با اطمینان کامل از شبکه امن خود بهره ببرید.

📍 L2TP-VPN چیست؟

L2TP-VPN ترکیبی از L2TP و IPsec است که یک پروتکل استاندارد برای تونل‌سازی داده‌ها در شبکه‌های مختلف طراحی شده است  این روش کاربران را قادر می‌سازد که به‌صورت رمزگذاری‌شده و محرمانه به شبکه‌های خصوصی متصل شوند که از لایه دوم مدل OSI بهره می‌برد.

ویژگی‌های کلیدی L2TP:

• تونل‌سازی: L2TP می‌تواند داده‌ها را از یک نقطه به نقطه دیگر از طریق شبکه‌های عمومی منتقل کند.
• دسترس‌پذیری: این پروتکل به‌راحتی در شبکه‌های مختلف قابل پیاده‌سازی است.
• ترکیب با IPsec: برای امنیت بیشتر، L2TP معمولاً با IPsec ترکیب می‌شود که قابلیت رمزگذاری و تأیید هویت را فراهم می‌آورد.

نحوه عملکرد L2TP-VPN:

1. ایجاد تونل: L2TP ابتدا یک تونل بین دو نقطه (کاربر و سرور VPN) ایجاد می‌کند.
2. رمزگذاری: سپس، IPsec برای رمزگذاری داده‌هایی که از این تونل عبور می‌کنند، استفاده می‌شود.
3. انتقال داده: داده‌ها به‌صورت امن از کاربر به سرور منتقل می‌شوند.

مزایای L2TP-VPN:

✅ امنیت بالا: با ترکیب L2TP و IPsec، داده‌ها به‌صورت رمزگذاری‌شده منتقل می‌شوند.

✅ سازگاری با پروتکل‌های مختلف: L2TP می‌تواند با انواع مختلف پروتکل‌ها کار کند، از جمله TCP و UDP.

✅ دسترس‌پذیری گسترده: کاربران می‌توانند از این پروتکل در شبکه‌های مختلف و سیستم‌عامل‌های مختلف استفاده کنند.

✅ اتصال پایدار و قابل اعتماد

معایب L2TP-VPN:

❌ پیچیدگی تنظیمات: پیاده‌سازی L2TP-VPN ممکن است پیچیده‌تر از سایر پروتکل‌های VPN باشد.

❌ وابستگی به L2TP :IPsec به‌تنهایی امنیت ندارد و باید با IPsec ترکیب شود.

❌ کاهش سرعت انتقال داده‌ها به دلیل فرآیند رمزگذاری

📍ملزومات راه‌اندازی L2TP-VPN در MikroTik

• یک روتر MikroTik یا سرور مجازی MikroTik
• نرم‌افزار Winbox برای مدیریت میکروتیک یا استفاده از CLI میکروتیک

📍مراحل راه اندازی L2TP-VPN در MikroTik

مرحله اول: افزودن Rule فایروال:

ابتدا باید یک قانون NAT تنظیم کنیم تا ترافیک VPN از طریق سرور عبور کند.

۱-به سرور یا روتر MikroTik خود متصل شوید، وارد Winbox شوید، و از منوی سمت چپ به IP ⇒ Firewall بروید.
۲-در پنجره فایروال، به تب NAT بروید و روی نشانه آبی پلاس (+) کلیک کنید تا یک قانون جدید ایجاد کنید.
۳-در پنجره ” New NAT Rule “، به تب Action بروید. سپس از منوی کشویی Action، گزینه “Masquerade” را انتخاب کنید.
۴-برای تکمیل ایجاد Rule، روی دکمه OK کلیک کنید.

🔹 دستور معادل در ترمینال:

/ip firewall nat add chain=srcnat action=masquerade

 مرحله ۲: فعال‌سازی پروتکل L2TP-VPN در میکروتیک:

۱-از منوی سمت چپ در Winbox، پنجره PPP را باز کنید.
۲-در پنجره‌ای که به تازگی باز شده، به Interface ⇒ L2TP Server بروید.
۳-در پنجره “L2TP Server“، تیک گزینه‌های “Enabled” و “IPsec Secret” را بزنید،
۴-در بخش “Profile“، گزینه default را انتخاب کنید.
۵-شما باید یک پسورد در بخش “IPsec Secret” وارد نمایید. در هنگام استفاه از VPN در سیستم یا تلفن همراه ما به آن نیاز  خواهیم داشت.

🔹 دستور معادل در ترمینال:

/ppp profile set default use-encryption=yes

مرحله ۳: ایجاد یک Profile برای سرور L2TP:

۱- در پنجره PPP به بخش Profile رفته و Profile پیش فرض را ادیت می نمایید یا با انتخاب دکمه + یک Profile جدید می سازیم.

۲-در تب General نام پروفایل را انتخاب میکنیم.

۳-Local Address (آدرس محلی)

این فیلد آدرس IP مربوط به سرور MikroTik است که کاربران VPN هنگام اتصال، آن را به عنوان Gateway در نظر می‌گیرند. این آدرس باید از یک رنج آی‌پی داخلی (Private IP) باشد که در شبکه‌ی VPN شما استفاده می‌شود.

🔹 مثال: ۱۰.۱۰.۱۰.۱

۴- Remote Address (آدرس ریموت)

این فیلد رنج آی‌پی اختصاص‌یافته به کلاینت‌های VPN را مشخص می‌کند. زمانی که کاربران به سرور L2TP-VPN متصل می‌شوند، از این محدوده یک IP دریافت خواهند کرد.

🔹 روش‌های تنظیم:

• اگر یک آدرس خاص را برای یک کلاینت می‌خواهید، می‌توانید آن را مستقیم در اینجا وارد کنید.
  • مثال: ۱۰.۱۰.۱۰.۲
• اگر می‌خواهید چندین کلاینت به VPN متصل شوند، یک Pool از آی‌پی‌ها ایجاد کنید و در این بخش نام Pool را قرار دهید.
  • مثال: vpn_pool

📌 اگر هنوز Pool آی‌پی را ایجاد نکرده‌اید:

• • • از منوی IP → Pool، یک Pool جدید ایجاد کنید.
    • در بخش Addresses، رنج آی‌پی موردنظر را وارد کنید، مثلاً:

۱۰.۱۰.۱۰.۲-۱۰.۱۰.۱۰.۱۰۰

• • • هنگام تنظیم پروفایل VPN، نام این Pool را در بخش Remote Address قرار دهید.

۵- برای فعال‌سازی رمزنگاری بر روی داده ها: 

• به تب Protocols بروید و در بخش “Use Encryption” گزینه “Yes” را انتخاب کنید.
• برای اعمال و ذخیره تغییرات، روی دکمه‌های Apply و سپس OK کلیک کنید.

🔹 دستور معادل در ترمینال:

set default use-encryption=yes

مرحله ۴: ایجاد کاربر VPN

حالا زمان آن رسیده است که یک پروفایل کاربری برای استفاده از L2TP-VPN در سیستم‌های عامل مختلف مانند ویندوز، اندروید و IOS ایجاد کنیم.

1. رفتن به PPP > Secrets و کلیک روی Add (+)
2. تنظیم Name و Password
3. انتخاب Profile مورد نظر
4. تنظیم آدرس‌های IP:
   • Local Address: 10.10.10.1
   • Remote Address: 10.10.10.2
5. کلیک روی Apply و OK

🔹 دستور معادل در ترمینال:

/ppp secret add name=user1 password=pass123 profile=default local-address=10.10.10.1 remote-address=10.10.10.2

📌 نحوه اتصال به L2TP-VPN در ویندوز

• برای ایجاد یک اتصال VPN در ویندوز، در قسمت جستجو، عبارت “VPN” را جستجو کنید،
• “Add VPN Connection” را انتخاب کنید
• در منوی نوع VPN، “L2TP/IPsec with pre-shared key” را انتخاب کنید.
• حالا می‌توانید فیلدهای خالی را پر کنید. توجه داشته باشید که باید پسوردی که هنگام فعال‌سازی سرور L2TP ایجاد کرده‌اید را در بخش “Pre-shared key” وارد کنید.

📌 اتصال به L2TP-VPN در اندروید

۱- به تنظیمات (Settings) گوشی خود بروید.
۲- به قسمت “Connections” (اتصالات) یا “Network & Internet” بروید.
۳- گزینه VPN را انتخاب کنید.
۴- روی “Add VPN” (افزودن VPN) کلیک کنید.
۵- اطلاعات زیر را وارد کنید:

• • Name: یک نام دلخواه (مثلاً “My VPN”)
  • Type: گزینه L2TP/IPSec PSK را انتخاب کنید.
  • Server address: آدرس IP یا دامنه سرور MikroTik خود را وارد کنید.
  • L2TP Secret: این قسمت را خالی بگذارید.
  • IPSec pre-shared key: همان IPsec Secret که در MikroTik تنظیم کردید.
  • Username & Password: اطلاعات کاربری که در PPP > Secrets ایجاد کرده‌اید را وارد کنید.

۶- روی Save بزنید و سپس VPN را متصل (Connect) کنید.

✅ اگر اطلاعات را درست وارد کرده باشید، گوشی شما با موفقیت به VPN متصل خواهد شد.

📌 اتصال به L2TP-VPN در iOS (آیفون و آیپد)

۱- به Settings (تنظیمات) بروید.
۲- به قسمت VPN & Device Management وارد شوید.
۳- روی “Add VPN Configuration” (افزودن تنظیمات VPN) بزنید.
۴- اطلاعات زیر را وارد کنید:

• • Type: گزینه L2TP را انتخاب کنید.
  • Description: یک نام دلخواه (مثلاً “My VPN”)
  • Server: آدرس IP یا دامنه سرور MikroTik
  • Account: نام کاربری (همان نامی که در MikroTik ایجاد کردید)
  • Password: رمز عبور مربوط به کاربر VPN
  • Secret: همان IPsec Secret که در MikroTik تنظیم کردید

۵- روی Done (تمام) بزنید.
۶- در صفحه VPN، گزینه‌ای که ایجاد کرده‌اید را روشن (Connect) کنید.

✅ پس از اتصال موفق، علامت VPN در نوار وضعیت iPhone/iPad شما نمایش داده خواهد شد.

⚡ نکات مهم:

⛔️ اگر هنگام اتصال با خطا مواجه شدید، بررسی کنید که پورت‌های UDP 500، ۴۵۰۰ و ۱۷۰۱ در فایروال باز باشند.
⛔️ مطمئن شوید که گزینه IPsec Secret در MikroTik به‌درستی تنظیم شده باشد.
⛔️ نکته: برخی از ارائه‌دهندگان اینترنت (ISP) ممکن است پورت‌های مربوط به L2TP/IPSec را مسدود کرده باشند. در این صورت، باید پورت‌های دیگری را روی سرور باز کنید یا از روش‌های جایگزین مانند OpenVPN استفاده کنید.

چه پورت‌هایی توسط L2TP-VPN در میکروتیک استفاده می‌شوند؟

برای راه‌اندازی و عملکرد صحیح L2TP-VPN در MikroTik، لازم است که برخی پورت‌های UDP و پروتکل‌های امنیتی در فایروال باز باشند:

• • UDP 1701 – برای برقراری تونل L2TP
  • UDP 500 – برای تبادل کلیدهای اولیه IPSec
  • UDP 4500 – برای عبور IPSec NAT-Traversal (NAT-T) در صورت استفاده از NAT
  • ESP (پروتکل شماره ۵۰) – برای رمزگذاری و انتقال بسته‌های IPSec ESP

پورت پیش‌فرض برای L2TP در میکروتیک چیست؟

L2TP از پورت UDP 1701 برای برقراری اتصال و ایجاد تونل استفاده می‌کند. با این حال، در ترکیب با IPSec، ممکن است داده‌ها از پورت‌های ۵۰۰ و ۴۵۰۰ UDP و همچنین پروتکل ESP (پروتکل ۵۰) نیز عبور کنند.

تغییر پورت پیش‌فرض L2TP

به‌طور پیش‌فرض، امکان تغییر مستقیم پورت L2TP در MikroTik وجود ندارد. اما می‌توان با استفاده از قوانین NAT (Source NAT یا Destination NAT)، ترافیک را از یک پورت سفارشی به پورت ۱۷۰۱ UDP هدایت کرد.

🔹 دستور معادل در ترمینال:

/ip firewall nat add chain=dstnat protocol=udp dst-port=12345 action=dst-nat to-ports=1701

چه پورت‌هایی باید برای VPN L2TP باز باشند؟

اگر در شبکه شما فایروال یا NAT وجود دارد، برای عملکرد صحیح L2TP-VPN، باید پورت‌های زیر در فایروال باز باشند:

• • UDP 1701 – برای L2TP
  • UDP 500 – برای تبادل کلیدهای امنیتی IPSec
  • UDP 4500 – برای NAT-Traversal (NAT-T) در IPSec
  • ESP (پروتکل ۵۰) – برای رمزگذاری داده‌ها در IPSec ESP

آموزش ویدیویی راهندازی L2tp-vpn

🎯 نتیجه‌گیری 

راه‌اندازی یک L2TP-VPN در MikroTik یکی از بهترین راهکارهای ایجاد یک شبکه ایمن و پایدار برای اتصال از راه دور است. این روش، علاوه بر امنیت بالا، امکان دسترسی آسان کاربران به منابع شبکه را فراهم می‌کند. ترکیب L2TP با IPSec باعث افزایش حفاظت از داده‌ها می‌شود و از شنود یا نفوذهای احتمالی جلوگیری می‌کند.

با رعایت مراحل ارائه‌شده در این راهنما، می‌توانید سرور MikroTik خود را برای ارائه اتصالات VPN ایمن و پایدار پیکربندی کنید. همچنین، با دنبال کردن تنظیمات مناسب، کاربران می‌توانند از طریق ویندوز، اندروید و iOS به VPN متصل شوند و از ارتباطی مطمئن بهره ببرند.

💡 اگر به دنبال یک راهکار سریع، ایمن و حرفه‌ای برای میزبانی سرور MikroTik خود هستید، پیشنهاد می‌کنیم از خدمات زویپ سرور استفاده کنید. ⚡️زویپ سرور⚡️ ارائه‌دهنده سرورهای مجازی MikroTik با پیکربندی بهینه و پشتیبانی حرفه‌ای است. برای کسب اطلاعات بیشتر و خرید سرور MikroTik، به سایت ⚡️zoip.ir⚡️ مراجعه کنید. 🚀

امیرحسین هزاره

پیشنهاد میکنیم این مقالات را هم بخوانید

راهنمای جامع و کامل راه‌اندازی L2TP/IPsec VPN در میکروتیک

راه اندازی یک IP استاتیک در Mikrotik RouterOS

راه‌اندازی سایت وردپرسی روی سرور مجازی گوگل

۷ راه برای راه اندازی مجدد شبکه در لینوکس