Setting up various types of MikroTik tunnels to MikroTik or Ubuntu — features, security and speed

چطور بین MikroTik و Ubuntu تونل امن، سریع و پایدار راه‌اندازی کنم؟

راه اندازی انواع تانل‌های میکروتیک به میکروتیک یا ابونتو یکی از نیازهای متداول مدیران شبکه، تیم‌های DevOps، تریدرها، گیمرها و تیم‌های AI است. در این راهنما به‌صورت عملی روش‌های مرسوم شامل WireGuard, IPsec (IKEv2), OpenVPN و تونل‌های لایه ۲ مانند EoIP/GRE/VXLAN را بررسی می‌کنیم و مثال‌های کانفیگ برای MikroTik RouterOS و Ubuntu، نکات امنیتی و بهینه‌سازی برای کاهش تأخیر و افزایش پهنای‌باند را ارائه می‌دهیم.

انواع تانل‌ها و انتخاب مناسب — راه اندازی انواع تانل های میکروتیک به میکروتیک یا ابونتو

انتخاب نوع تونل بستگی به هدف و نیاز شما دارد. در ادامه خلاصه‌ای از گزینه‌ها و موارد کاربرد آمده است:

• نیاز به L2: EoIP (MikroTik)، GRE، VXLAN — مناسب برای انتقال VLAN و L2 bridging.
• نیاز به L3 امن و کم‌تاخیر: WireGuard، IPsec (IKEv2) — مناسب برای ترید، گیمینگ و اتصال سرویس‌های ابری.
• گذر از فایروال/پورت 443 یا اتصال کلاینت: OpenVPN (TCP/UDP)، SSTP.
• اشتراک شبکه و BGP داخلی: استفاده از L2 tunnel + BGP over tunnel یا ترکیب IPsec+BGP.

1) WireGuard — سریع، ساده و امن

WireGuard یک پیاده‌سازی سبک با رمزنگاری مدرن است که به‌خاطر Low latency و سادگی کانفیگ برای ترید، گیمینگ و اتصال سرویس‌های ابری مناسب است.

مثال کانفیگ MikroTik (RouterOS 7+)

/interface/wireguard add name=wg-site mtu=1420
/interface/wireguard peers add interface=wg-site public-key="PEER_PUBLIC_KEY" allowed-address=10.10.10.2/32 endpoint-address=203.0.113.20 endpoint-port=51820 persistent-keepalive=25
/ip/address add address=10.10.10.1/24 interface=wg-site

مثال کانفیگ Ubuntu (wg-quick)

apt update && apt install wireguard -y

[Interface]
PrivateKey = YOUR_PRIVATE_KEY
Address = 10.10.10.2/24
ListenPort = 51820

[Peer]
PublicKey = MIKROTIK_PUBLIC_KEY
AllowedIPs = 10.10.10.1/32
Endpoint = 198.51.100.10:51820
PersistentKeepalive = 25

sysctl -w net.ipv4.ip_forward=1
systemctl enable --now wg-quick@wg0

نکات بهینه‌سازی:

• MTU را معمولاً روی 1420 Or 1380 تنظیم کنید تا از fragmentation جلوگیری شود.
• برای TCP throughput در سرور، از تنظیمات BBR استفاده کنید:

sysctl -w net.core.default_qdisc=fq
sysctl -w net.ipv4.tcp_congestion_control=bbr

2) IPsec (IKEv2) — استاندارد صنعتی برای Site-to-Site و موبایل

IPsec با IKEv2 گزینه‌ای استاندارد، قابل‌اطمینان و پشتیبانی‌شده در سخت‌افزار و موبایل است. استفاده از AES-GCM عملکرد و امنیت خوبی فراهم می‌کند.

نمونه کانفیگ MikroTik (site-to-site with IPsec)

# Phase1
/ip ipsec proposal add name=esp-aes262-prf1 auth-algorithms=sha256 enc-algorithms=aes256-cbc pfs-group=none
/ip ipsec peer add address=198.51.100.20/32 auth-method=pre-shared-key secret="PRESHARED" enc-algorithm=aes-256 exchange-mode=ike2
/ip ipsec policy add src-address=10.20.0.0/24 dst-address=10.30.0.0/24 sa-src-address=198.51.100.10 sa-dst-address=198.51.100.20 tunnel=yes proposal=esp-aes262-prf1

نمونه کانفیگ Ubuntu با strongSwan

apt update && apt install strongswan strongswan-pki -y

config setup
  uniqueids=never

conn site-to-site
  left=198.51.100.20
  leftsubnet=10.30.0.0/24
  right=198.51.100.10
  rightsubnet=10.20.0.0/24
  ike=aes256-sha256-modp2048
  esp=aes256-sha256
  keyexchange=ikev2
  authby=psk
  auto=add

198.51.100.20 198.51.100.10 : PSK "PRESHARED_SECRET"

3) OpenVPN — سازگاری بالا ولی تاخیر بیشتر

OpenVPN با پشتیبانی گسترده کلاینت‌ها مناسب است اما معمولاً نسبت به WireGuard تاخیر و overhead بیشتری دارد. در صورت نیاز به عبور از فایروال‌های سخت‌گیر، می‌توان از TCP/443 استفاده کرد.

apt install openvpn easy-rsa -y
make-cadir ~/openvpn-ca

port 1194
proto udp
dev tun
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
cipher AES-256-GCM
auth SHA256
keepalive 10 120

Tips:

• برای بهترین عملکرد از UDP Use.
• Use of tls-auth Or tls-crypt برای جلوگیری از اسکن پورت توصیه می‌شود.
• اگر از TCP/443 استفاده کنید ممکن است افزایش تأخیر و overhead را تجربه کنید.

4) EoIP/GRE/VXLAN — تونل‌های لایه 2 و موارد کاربرد

این تونل‌ها برای انتقال L2 بین سایت‌ها یا دیتاسنترها کاربرد دارند. توجه کنید که EoIP در MikroTik به‌صورت خام رمزنگاری ندارد و باید همراه با IPsec یا روش دیگری رمزنگاری شود.

/interface eoip add name=eoip-tun remote-address=198.51.100.20 tunnel-id=10
/ip address add address=10.40.0.1/24 interface=eoip-tun
# then define IPsec policies for the L2 subnets

برای VXLAN در محیط‌های دیتاسنتری یا کانتینری، معمولاً VXLAN را با IPsec یا WireGuard ترکیب می‌کنند تا امنیت تامین شود.

مقایسه امنیت و عملکرد — کدام را انتخاب کنم؟

• سرعت / کمترین تاخیر: WireGuard > IPsec (AES-GCM) > OpenVPN(UDP) > OpenVPN(TCP).
• پایداری در شبکه‌های NAT/فایروال: OpenVPN (TCP/443) و WireGuard با keepalive عملکرد خوبی دارند.
• لایه ۲ مورد نیاز: از EoIP/GRE/VXLAN همراه با رمزنگاری استفاده کنید.
• شتاب سخت‌افزاری: برخی مدل‌های MikroTik از HW-offload و fastpath پشتیبانی می‌کنند؛ برای ترافیک بالا از مدل‌های مناسب استفاده کنید.

نکات عملی برای افزایش امنیت و سرعت

• MTU و MSS clamping برای جلوگیری از fragmentation ضروری است.
• غیرفعال کردن رمزنگاری ضعیف و فعال‌سازی AES-GCM یا ChaCha20 (در صورت پشتیبانی).
• محدود کردن دسترسی IP به پورت‌های تونل در فایروال.
• مانیتورینگ و alert با SNMP/Prometheus/Netflow برای بررسی تاخیر و packet loss.
• HA و Failover با VRRP/Keepalived یا BGP over tunnels.
• استفاده از سرویس‌های Anti-DDoS برای حفاظت از endpoint‌ها.

/ip firewall mangle add chain=forward protocol=tcp tcp-mss=0-1356 action=clamp-mss-to-pmtu

sysctl -w net.ipv4.tcp_congestion_control=bbr

پیاده‌سازی BGP و چند لوکیشن — طراحی برای پایداری و کمترین تاخیر

برای شرکت‌های بزرگ یا multihoming بهتر است از BGP over WireGuard/IPsec برای تبلیغ مسیرها بین سایت‌ها و دیتاسنترها استفاده کنید.

• اجرای BGP over WireGuard/IPsec برای تبلیغ مسیرها بین لوکیشن‌ها.
• برای تحویل محتوا یا CDN از شبکه گسترده لوکیشن‌ها بهره ببرید.
• برای تریدرها و گیمینگ، انتخاب لوکیشن نزدیک به سرور مقصد و استفاده از VPS با anti-DDoS حیاتی است.

نکات عملی مخصوص کاربردها

برای تریدرها

• استفاده از WireGuard یا IPsec با سرور در لوکیشن نزدیک به Exchange.
• VPS مخصوص ترید با منابع اختصاصی، پینگ پایین و Anti-DDoS توصیه می‌شود.
• راه‌اندازی مانیتورینگ تاخیر و jitter.

For gamers

• WireGuard یا SSTP (در صورت فایروال سنگین)؛ ترجیحاً از UDP استفاده کنید.
• VPS گیم با شبکه BGP و لوکیشن نزدیک به سرور بازی مفید است.
• در صورت پشتیبانی، از MTU Jumbo frames در شبکه‌های داخلی دیتاسنتر استفاده کنید.

برای AI و رندرینگ (GPU)

• استفاده از سرور گرافیکی (GPU) و تونل امن برای انتقال داده‌ها یا اتصال به خوشه‌ها.
• استفاده از کانفیگ‌هایی که از throughput بالا و low latency پشتیبانی می‌کنند، مانند WireGuard یا IPsec با AES-GCM و شتاب سخت‌افزاری.

چک‌لیست عملی قبل از راه‌اندازی

• تعیین اهداف: L2 یا L3، تعداد همکاران، میزان پهنای‌باند و SLA مورد نیاز.
• انتخاب نوع تونل بر اساس نیاز و مقایسه امنیت/سرعت.
• بررسی MTU و تنظیم mss-clamp.
• فعال‌سازی ip_forward و تنظیم sysctl مناسب.
• پیکربندی فایروال (فقط پورت‌های لازم باز شود).
• رمزنگاری قوی و rotation کلیدها.
• مانیتورینگ، logging و alert.
• تست با iperf3 و ping و tracepath برای اندازه‌گیری throughput و latency.

iperf3 -s
iperf3 -c 198.51.100.20 -p 5201 -R

نکات پیاده‌سازی در MikroTik و Ubuntu — جمع‌بندی فنی

• MikroTik: از RouterOS 7+ برای پشتیبانی WireGuard استفاده کنید؛ در مدل‌های پشتیبانی‌شده HW-offload و fastpath را فعال کنید؛ EoIP را تنها در صورت نیاز L2 و همیشه همراه با IPsec اجرا کنید.
• Ubuntu: برای WireGuard از wg-quick و برای IPsec از strongSwan استفاده کنید؛ sysctl و BBR را برای افزایش throughput تنظیم کنید.
• ترافیک‌های حساس (دیتابیس، رندرینگ، معاملات) را در تونل‌های رمزنگاری‌شده قرار دهید و برای خدمات عمومی از NAT و reverse-proxy بهره ببرید.

خدمات شرکت و پیشنهادات مرتبط

شرکت ما خدماتی مرتبط با پیاده‌سازی تونل‌های امن و کم‌تاخیر ارائه می‌دهد. خدمات شامل موارد زیر است:

• بیش از 85 لوکیشن جهانی برای انتخاب نزدیک‌ترین مرکز به Exchangeها، سرور بازی یا کاربران شما.
• سرورهای ابری با عملکرد بالا و امکان انتخاب شبکه BGP و CDN.
• VPS مخصوص ترید با پینگ پایین و محافظت Anti-DDoS.
• سرور گرافیکی (GPU) برای هوش مصنوعی و رندرینگ.
• سرورهای ضد DDoS و راهکارهای شبکه‌ای برای تضمین پایداری ارتباط‌ها.
• پشتیبانی در پیاده‌سازی WireGuard / IPsec / OpenVPN و طراحی شبکه BGP و HA.

برای مشاهده پلن‌ها یا اطلاعات بیشتر می‌توانید به بخش مربوطه مراجعه کنید: تماس/مشاهده پلن‌ها

Frequently Asked Questions