إعداد أنواع مختلفة من أنفاق MikroTik إلى MikroTik أو Ubuntu - الميزات والأمان والسرعة

كيف أقوم بإنشاء نفق آمن وسريع ومستقر بين MikroTik و Ubuntu؟

يُعد إعداد أنواع مختلفة من أنفاق MikroTik إلى MikroTik أو Ubuntu حاجة شائعة. مسؤولو الشبكةفرق DevOps، والمتداولون، واللاعبون، وفرق الذكاء الاصطناعي. سيغطي هذا الدليل الممارسات الشائعة قيد التنفيذ، بما في ذلك شبكة سلكية، بروتوكول أمان الإنترنت (IKEv2)، أوبن في بي إن وأنفاق الطبقة الثانية مثل EoIP/GRE/VXLAN سنقوم بمراجعة وتقديم أمثلة على التكوين لنظامي MikroTik RouterOS و Ubuntu، ونصائح أمنية، وتحسينات لتقليل زمن الوصول وزيادة عرض النطاق الترددي.

أنواع الأنفاق واختيار الأنسب منها - إعداد أنواع مختلفة من أنفاق MikroTik للاتصال بـ MikroTik أو Ubuntu

يعتمد اختيار نوع النفق على الغرض منه واحتياجاتك. إليك ملخص للخيارات وحالات الاستخدام:

• الحاجة إلى المستوى الثاني: EoIP (MikroTik)، GRE، VXLAN — مناسب لنقل VLAN وربط الطبقة الثانية.
• الحاجة إلى طبقة ثالثة آمنة ومنخفضة زمن الوصول: WireGuard، IPsec (IKEv2) — مناسب للتداول والألعاب وربط الخدمات السحابية.
• تجاوز جدار الحماية/المنفذ 443 أو اتصال العميلOpenVPN (TCP/UDP)، SSTP.
• مشاركة الشبكة وبروتوكول BGP الداخلي: استخدم نفق الطبقة الثانية + بروتوكول BGP عبر النفق أو مزيج من بروتوكول IPsec وبروتوكول BGP.

1) واير جارد — سريع وبسيط وآمن

WireGuard عبارة عن تطبيق خفيف الوزن يستخدم التشفير الحديث، وهو مصمم لـ زمن استجابة منخفض كما أن سهولة الإعداد مناسبة للتداول والألعاب وربط الخدمات السحابية.

مثال لتكوين MikroTik (RouterOS 7+)

/interface/wireguard add name=wg-site mtu=1420
/interface/wireguard peers add interface=wg-site public-key="PEER_PUBLIC_KEY" allowed-address=10.10.10.2/32 endpoint-address=203.0.113.20 endpoint-port=51820 persistent-keepalive=25
/ip/address add address=10.10.10.1/24 interface=wg-site

مثال على إعدادات أوبونتو (wg-quick)

apt update && apt install wireguard -y

[Interface]
PrivateKey = YOUR_PRIVATE_KEY
Address = 10.10.10.2/24
ListenPort = 51820

[Peer]
PublicKey = MIKROTIK_PUBLIC_KEY
AllowedIPs = 10.10.10.1/32
Endpoint = 198.51.100.10:51820
PersistentKeepalive = 25

sysctl -w net.ipv4.ip_forward=1
systemctl enable --now wg-quick@wg0

نصائح لتحسين الأداء:

• يتم ضبط MTU عادةً على 1420 أو 1380 تم ضبطه لمنع التجزئة.
• للحصول على معدل نقل بيانات TCP على الخادم، استخدم إعدادات BBR:

sysctl -w net.core.default_qdisc=fq
sysctl -w net.ipv4.tcp_congestion_control=bbr

2) بروتوكول أمان الإنترنت (IPsec) (IKEv2) - معيار صناعي للاتصال من موقع إلى موقع وللأجهزة المحمولة

يُعدّ بروتوكول IPsec مع IKEv2 خيارًا قياسيًا وموثوقًا ومدعومًا في الأجهزة المحمولة والهواتف الذكية. كما يوفر استخدام AES-GCM أداءً وأمانًا جيدين.

مثال على تكوين جهاز MikroTik (موقع إلى موقع باستخدام بروتوكول IPsec)

# Phase1
/ip ipsec proposal add name=esp-aes262-prf1 auth-algorithms=sha256 enc-algorithms=aes256-cbc pfs-group=none
/ip ipsec peer add address=198.51.100.20/32 auth-method=pre-shared-key secret="PRESHARED" enc-algorithm=aes-256 exchange-mode=ike2
/ip ipsec policy add src-address=10.20.0.0/24 dst-address=10.30.0.0/24 sa-src-address=198.51.100.10 sa-dst-address=198.51.100.20 tunnel=yes proposal=esp-aes262-prf1

مثال على تكوين أوبونتو مع سترونغ سوان

apt update && apt install strongswan strongswan-pki -y

config setup
  uniqueids=never

conn site-to-site
  left=198.51.100.20
  leftsubnet=10.30.0.0/24
  right=198.51.100.10
  rightsubnet=10.20.0.0/24
  ike=aes256-sha256-modp2048
  esp=aes256-sha256
  keyexchange=ikev2
  authby=psk
  auto=add

198.51.100.20 198.51.100.10 : PSK "PRESHARED_SECRET"

3) OpenVPN — توافق عالٍ ولكن زمن استجابة أعلى

يُعدّ OpenVPN مناسبًا لمجموعة واسعة من العملاء، ولكنه عادةً ما يكون أكثر تأخيرًا واستهلاكًا للموارد من WireGuard. إذا كنت بحاجة إلى تجاوز جدران الحماية الصارمة، فيمكنك استخدام TCP/443.

apt install openvpn easy-rsa -y
make-cadir ~/openvpn-ca

port 1194
proto udp
dev tun
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
cipher AES-256-GCM
auth SHA256
keepalive 10 120

نصائح:

• للحصول على أفضل أداء من بروتوكول UDP يستخدم.
• استخدام مصادقة TLS أو تشفير TLS يُنصح به لمنع فحص المنافذ.
• إذا كنت تستخدم TCP/443 فقد تواجه زيادة في زمن الاستجابة والحمل الزائد.

4) بروتوكولات EoIP/GRE/VXLAN - أنفاق الطبقة الثانية وحالات الاستخدام

تُستخدم هذه الأنفاق لنقل البيانات من الطبقة الثانية بين المواقع أو مراكز البيانات. تجدر الإشارة إلى أن بروتوكول EoIP في MikroTik غير مُشفّر في صورته الخام، ويجب تشفيره باستخدام بروتوكول IPsec أو أي طريقة أخرى.

/interface eoip add name=eoip-tun remote-address=198.51.100.20 tunnel-id=10
/ip address add address=10.40.0.1/24 interface=eoip-tun
# then define IPsec policies for the L2 subnets

بالنسبة لتقنية VXLAN في مراكز البيانات أو بيئات الحاويات، يتم عادةً دمج VXLAN مع IPsec أو WireGuard لتوفير الأمان.

مقارنة بين الأمان والأداء - أيهما يجب أن أختار؟

• السرعة / أقل زمن استجابة: WireGuard > IPsec (AES-GCM) > OpenVPN(UDP) > OpenVPN(TCP).
• الاستقرار في شبكات NAT/جدار الحماية: يعمل كل من OpenVPN (TCP/443) و WireGuard بشكل جيد مع خاصية keepalive.
• متطلبات الطبقة الثانية: استخدم بروتوكولات EoIP/GRE/VXLAN مع التشفير.
• تسريع الأجهزة: تدعم بعض طرازات MikroTik خاصية HW-offload و fastpath؛ استخدم الطرازات المناسبة لحركة البيانات العالية.

نصائح عملية لزيادة الأمان والسرعة

• تثبيت MTU و MSS من الضروري منع التجزئة.
• قم بتعطيل التشفير الضعيف وقم بتمكين AES-GCM أو ChaCha20 (إذا كان مدعومًا).
• قم بتقييد الوصول إلى بروتوكول الإنترنت (IP) لمنافذ النفق في جدار الحماية.
• المراقبة والتنبيه باستخدام SNMP/Prometheus/Netflow للتحقق من زمن الاستجابة وفقدان الحزم.
• التوافر العالي والتحويل التلقائي مع VRRP/Keepalive أو BGP عبر الأنفاق.
• استخدم خدمات مكافحة هجمات DDoS لحماية نقاط النهاية.

/ip firewall mangle add chain=forward protocol=tcp tcp-mss=0-1356 action=clamp-mss-to-pmtu

sysctl -w net.ipv4.tcp_congestion_control=bbr

تنفيذ بروتوكول BGP والمواقع المتعددة - تصميم لتحقيق الاستقرار وزمن استجابة منخفض

بالنسبة للمؤسسات الكبيرة أو تعدد الاتصالات، من الأفضل استخدام بروتوكول BGP عبر WireGuard/IPsec للإعلان عن المسارات بين المواقع ومراكز البيانات.

• تشغيل بروتوكول BGP عبر WireGuard/IPsec للإعلان عن المسارات بين المواقع.
• استفد من شبكة واسعة من المواقع لتوصيل المحتوى أو شبكة توصيل المحتوى (CDN).
• بالنسبة للتجار واللاعبين، يعد اختيار موقع قريب من خادم الوجهة واستخدام خادم افتراضي خاص (VPS) مزود بحماية ضد هجمات DDoS أمرًا بالغ الأهمية.

نصائح عملية لتطبيقات محددة

للتجار

• استخدم بروتوكول WireGuard أو IPsec مع خادم في موقع قريب من Exchange.
• يوصى باستخدام خادم افتراضي خاص للتداول بموارد مخصصة، وزمن استجابة منخفض، وحماية من هجمات DDoS.
• إعداد مراقبة زمن الاستجابة والارتعاش.

للاعبين

• WireGuard أو SSTP (في حالة وجود جدار حماية قوي)؛ ويفضل استخدام UDP.
• يُعد استخدام خادم افتراضي خاص للألعاب مزود بشبكة BGP وموقع قريب من خادم اللعبة أمرًا مفيدًا.
• إذا كان ذلك مدعومًا، فاستخدم إطارات MTU Jumbo على شبكات مراكز البيانات الداخلية.

للذكاء الاصطناعي والعرض (وحدة معالجة الرسومات)

• استخدم خادم رسومات (GPU) ونفقًا آمنًا لنقل البيانات أو الاتصال بالمجموعات.
• استخدم التكوينات التي تدعم الإنتاجية العالية وزمن الاستجابة المنخفض، مثل WireGuard أو IPsec مع AES-GCM وتسريع الأجهزة.

قائمة مراجعة عملية قبل الإطلاق

• تحديد الأهداف: المستوى الثاني أو الثالث، عدد الشركاء، مقدار النطاق الترددي ومستوى الخدمة المطلوب.
• اختر نوع النفق بناءً على احتياجاتك وقارن بين مستوى الأمان والسرعة.
• تحقق من MTU وقم بضبط mss-clamp.
• قم بتمكين ip_forward واضبط sysctl المناسب.
• قم بضبط جدار الحماية (افتح المنافذ الضرورية فقط).
• تشفير قوي وتدوير المفاتيح.
• المراقبة والتسجيل والتنبيه.
• إجراء اختبارات باستخدام iperf3 و ping و tracepath لقياس الإنتاجية وزمن الاستجابة.

iperf3 -s
iperf3 -c 198.51.100.20 -p 5201 -R

نصائح تطبيقية على MikroTik وUbuntu - ملخص تقني

• ميكروتيك: استخدم RouterOS 7+ لدعم WireGuard؛ قم بتمكين HW-offload و fastpath على الطرازات المدعومة؛ قم بتشغيل EoIP فقط عند الحاجة إلى L2 ودائمًا مع IPsec.
• أوبونتو: استخدم wg-quick لـ WireGuard و strongSwan لـ IPsec؛ اضبط sysctl و BBR لزيادة الإنتاجية.
• ضع حركة المرور الحساسة (قاعدة البيانات، العرض، المعاملات) في أنفاق مشفرة واستخدم NAT والوكيل العكسي للخدمات العامة.

خدمات الشركة والعروض ذات الصلة

تقدم شركتنا خدمات متعلقة بتنفيذ أنفاق آمنة ومنخفضة زمن الاستجابة. وتشمل هذه الخدمات ما يلي:

• أكثر من 85 موقعًا عالميًا لاختيار المركز الأقرب إلى منصات التداول الخاصة بك، أو خادم الألعاب، أو المستخدمين.
• خوادم سحابية عالية الأداء مع خيار اختيار شبكات BGP وCDN.
• خادم افتراضي خاص للتداول مع زمن استجابة منخفض وحماية من هجمات DDoS.
• خادم الرسومات (GPU) للذكاء الاصطناعي والعرض.
• خوادم مضادة لهجمات DDoS وحلول شبكية لضمان استقرار الاتصال.
• تقديم الدعم في تنفيذ بروتوكولات WireGuard/IPsec/OpenVPN وتصميم شبكات BGP و HA.

للاطلاع على الخطط أو لمزيد من المعلومات، يمكنك زيارة القسم ذي الصلة: اتصل بنا/اطلع على الخطط

الأسئلة الشائعة