راه اندازی VPN و گزارشگیری سایتها
راه اندازی VPN و گزارشگیری سایتها
در این مقاله آموزشی قصد داریم:
با نحوه راه اندازی یک VPN سرور با قابلیت لاگ گیری از سایت های باز شده در میکروتیک آشنا شویم.
در برخی از شبکه ها با توجه به نیاز سازمان باید روی اینترنت محدودیت هایی اعمال شود
مثلاً:
فایل های MP3 در ساعات اداری دانلود نشود و یا برخی از سایت های خاص فیلتر شود و…
در کنار سیاست های فوق نیاز به دریافت لاگ از سایت های بازدید شده و فایل های دانلود شده و… نیز می باشد.
یکی از این راهکارها ابزار VPN+Web Proxy میکروتیک می باشد.
برای اجرای این سناریو به ترتیب موارد زیر را اجرا می کنیم:
ایجاد یک Pool آدرس IP مختص کاربران اینترنت
/ip pool
add name=VPN ranges=10.50.50.2-10.50.50.199
سپس:
برای فعال سازی سرویس VPN Server بر روی روتر، باید یک Profile برای مشخصات و تنظیمات سرور خود در میکروتیک ایجاد کنیم:
/ppp profile
add dns-server=8.8.8.8,4.2.2.4 idle-timeout=59m local-address=10.50.50.1 \
name=”Local VPN” remote-address=VPN
سپس:
سرویس VPN سرور را فعال می کنیم:
/interface pptp-server server
set authentication=pap,chap,mschap1,mschap2 default-profile=”Local VPN” \
max-mru=1460 max-mtu=1460
در این سناریو من از سرویس PPTP استفاده می کنم
توجه داشته باشید که در قسمت ppp گزینه secrets می توانید برای اتصال کاربران شناسه کاربری و رمز عبور در نظر بگیرید
که از طریق آن به روتر متصل شده و همچنین می توانید میکروتیک را به Active Directory نیز متصل نمایید
تا کاربران با شناسه و رمز دامین خود بتوانند به روتر لاگین کنند
که در مقالات بعدی به بررسی دقیق تر راه اندازی این سرویس ها می پردازیم.
اکنون:
قابلیت اتصال کاربران به سرور فراهم شده است و باید نسبت به تخصیص اینترنت به آن ها اقدام کنیم.
در ابتدا سرویس web proxy را در میکروتیک فعال می کنیم:
/ip proxy
set anonymous=yes cache-administrator=BehdadRahmani cache-on-disk=yes cache-path=\
primary-slave/lost+found enabled=yes port=3128 src-address=X.X.X.X
بعد از فعال شدن سرویس پراکسی، باید با استفاده از یک رول Nat به شکل زیر،
تمام ترافیک سرویس http کاربران به سمت Proxy Server خود ارجاع می دهیم.
این سرویس تحت عنوان Transparent Proxy Server نیز شناخته می شود
زیرا کاربران متوجه فعال بودن این سرویس و گزارشگیری نخواهند شد
نکته بعدی:
با توجه به اینکه میکروتیک در نقش یک cache سرور نیز فعالیت می کند
می تواند تا حد زیادی در بهبود کیفیت اینترنت داخلی فعالیت داشته باشد.
/ip firewall nat
add action=redirect chain=dstnat dst-port=80 protocol=tcp to-ports=3128
برای فعال کردن قابلیت گزارشگیری از سایت های باز شده و فایل های دانلود شده نیز از دستور زیر استفاده می کنیم
که گزارش تمام فعالیت کاربران را در log ذخیره می کند.
/system logging
add topics=web-proxy,!debug
همچنین می توانید این لاگ ها را به یک log server دیگر منتقل نمایید یا بر روی disk روتر خود ذخیره کنید.
توجه داشته باشید که در روش بالا به جای Nat از طریق Proxy به کاربران، دسترسی به اینترنت را فعال کردیم
که امکان فیلتر کردن سایت ها و مسدود کردن فایل فرمت های خاص مثل mp3 و… را برای ما فراهم می کند.
جهت مشاهده فیلم های آموزشی میکروتیک بر روی این لینک کلیک نمایید.
جدیدترین اخبار مجموعه فراز نتورک را در صفحات اجتماعی دنبال کنید.
نویسنده: مهندس بهداد رحمانی
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.