مقدمه‌ای فنی بر MikroTik RouterOS

مقدمه‌ای  فنی بر MikroTik RouterOS
Introduction to MikroTik RouterOS

MikroTik RouterOS یک سیستم‌عامل کاملاً ویژه و قدرتمند برای مسیریابی پیشرفته، مدیریت ترافیک و امنیت شبکه است که برای انواع روترهای MikroTik و همچنین به عنوان یک راه‌حل نرم‌افزاری روی سرورهای x86 نصب می‌شود. اگر یک کاربر حرفه‌ای یا ادمین شبکه هستید و به دنبال به‌کارگیری راهکارهای پیچیده مثل BGP Peering، Firewall Layer-7 و Dynamic Routing هستید، RouterOS تمامی این امکانات را در یک پلتفرم قدرتمند در اختیارتان قرار می‌دهد.

در این مقاله، به صورت عمیق به ویژگی‌ها و قابلیت‌های این سیستم‌عامل خواهیم پرداخت تا شما را با پیکربندی و استفاده بهینه از آن آشنا کنیم.


MikroTik RouterOS چیست؟

RouterOS یک سیستم‌عامل مبتنی بر Linux Kernel است که به طور اختصاصی توسط MikroTik توسعه یافته است. این سیستم‌عامل برخلاف دیگر روترها که بیشتر روی رابط‌های گرافیکی تکیه می‌کنند، بر پایه‌ی CLI (Command Line Interface) و یک رابط مدیریتی بسیار پیشرفته به نام WinBox طراحی شده است.

از ویژگی‌های برجسته‌ی RouterOS می‌توان به موارد زیر اشاره کرد:

  • Layer-3 Routing با پشتیبانی کامل از پروتکل‌های BGP-4, OSPF, RIP, Static Routes و Policy-Based Routing.
  • مدیریت و کنترل کامل بر NAT (شامل SNAT و DNAT)، و پشتیبانی از Port Forwarding و Masquerading.
  • قابلیت MPLS برای انتقال سریع بسته‌ها و فراهم‌سازی L2VPN و VPLS.
  • پشتیبانی از IPv6 به صورت کامل در تمامی پروتکل‌ها و سرویس‌ها.

ویژگی‌های کلیدی MikroTik RouterOS

1. مسیریابی (Routing)

یکی از نقاط قوت اساسی RouterOS، پشتیبانی از پروتکل‌های مسیریابی پیشرفته است:

  • BGP (Border Gateway Protocol): امکان Peering و تنظیمات Route Aggregation، Route Reflection و Prefix Filtering. برای کاربرانی که با BGP Communities و Multi-hop BGP Sessions سروکار دارند، RouterOS امکانات پیشرفته‌ای فراهم می‌کند.
  • OSPF (Open Shortest Path First): پشتیبانی از Multi-area OSPF و Stub Areas، همچنین قابلیت پیکربندی LSA Filtering و Route Summarization.
  • MPLS (Multiprotocol Label Switching): پشتیبانی از Label Switched Paths (LSPs)، Layer 2 VPNs و Traffic Engineering برای بهینه‌سازی مسیریابی ترافیک در شبکه‌های پیشرفته.

2. فایروال پیشرفته (Advanced Firewall)

MikroTik Firewall بر اساس Connection Tracking کار می‌کند که به شما امکان می‌دهد قوانین پیچیده‌ای برای Packet Filtering بنویسید. این قابلیت‌ها شامل:

  • پشتیبانی از Layer-7 Protocol Detection برای شناسایی و فیلتر کردن ترافیک بر اساس الگوهای Regex در لایه ۷.
  • Connection Marking و Packet Marking که با استفاده از آن‌ها می‌توانید ترافیک را بر اساس مشخصه‌های خاص ردیابی و اولویت‌بندی کنید.
  • NAT پیشرفته با قابلیت‌های Hairpin NAT، One-to-One NAT، Destination NAT و Source NAT.
  • ایجاد Address Lists برای مدیریت مقیاس‌پذیرتر فیلتر ترافیک.

3. QoS و مدیریت پهنای باند (Quality of Service)

مدیریت پهنای باند در MikroTik با ابزارهای Queue Trees و Simple Queues انجام می‌شود:

  • HTB (Hierarchical Token Bucket) برای کنترل دقیق Rate Limiting و Traffic Shaping. این امکان به شما اجازه می‌دهد تا سیاست‌های QoS را بر اساس IP, Port, Protocol، یا حتی Layer-7 Filters تنظیم کنید.
  • PCQ (Per Connection Queueing): مدیریت ترافیک به‌صورت خودکار برای هر Connection جهت بهینه‌سازی توزیع پهنای باند.

4. VPN و تونلینگ (VPN & Tunneling)

MikroTik RouterOS از طیف گسترده‌ای از پروتکل‌های VPN و تونلینگ پشتیبانی می‌کند:

  • IPsec برای تونلینگ امن Site-to-Site یا Client-to-Site VPN. RouterOS قابلیت IKEv2، Dynamic Peers و Dead Peer Detection را ارائه می‌دهد.
  • OpenVPN با پشتیبانی از SSL/TLS و TCP/UDP برای ارتباطات امن.
  • PPTP، L2TP، و SSTP به عنوان پروتکل‌های ساده‌تر و سازگارتر.
  • ایجاد EoIP (Ethernet over IP) تونل‌ها برای Layer-2 Tunneling.

5. Hotspot و مدیریت کاربران

MikroTik Hotspot یک سیستم قدرتمند برای راه‌اندازی Captive Portal و احراز هویت کاربران است:

  • RADIUS Integration برای احراز هویت متمرکز.
  • User Profiles که اجازه می‌دهد پهنای باند، زمان اتصال و محدودیت‌های دسترسی را برای هر کاربر یا گروه از کاربران تعریف کنید.
  • پشتیبانی از Voucher Codes و Prepaid Billing برای استفاده تجاری از Hotspot.

6. مدیریت و مانیتورینگ

RouterOS ابزارهای کاملی برای مانیتورینگ و لاگ‌گیری در اختیار کاربران حرفه‌ای قرار می‌دهد:

  • SNMP برای مانیتورینگ شبکه از طریق ابزارهایی مثل Zabbix یا Prometheus.
  • NetFlow برای مانیتورینگ جریان‌های ترافیک در شبکه و تحلیل ترافیک.
  • Torch Tool برای تحلیل لحظه‌ای و Real-time Monitoring از ترافیک در Interface‌ها.

7. ابزارهای ویرچوالیزیشن (Virtualization)

RouterOS از Virtual Routing و VLAN Tagging به صورت کامل پشتیبانی می‌کند. همچنین با Virtual Router Redundancy Protocol (VRRP) می‌توانید Redundancy در شبکه‌های حساس ایجاد کنید. در شبکه‌های مجازی، پشتیبانی از VLANs, VPLS و L2TP Tunneling یکی از کلیدی‌ترین امکانات این سیستم‌عامل است.


پیکربندی اولیه MikroTik RouterOS: راهنمای CLI

برای پیکربندی سریع و دقیق MikroTik RouterOS، از CLI استفاده کنید. نمونه‌هایی از دستورات پرکاربرد:

مرحله ۱: پیکربندی DHCP Server

راه‌اندازی DHCP Server در MikroTik، این امکان را به شما می‌دهد تا آدرس‌های IP به‌صورت خودکار به دستگاه‌های متصل به شبکه اختصاص داده شود. مراحل زیر برای راه‌اندازی یک DHCP Server پایه است:

  1. ایجاد یک IP Pool برای اختصاص آدرس‌های IP:
/ip pool add name=dhcp_pool ranges=192.168.88.10-192.168.88.254

در این دستور، یک IP Pool به نام dhcp_pool ایجاد می‌شود که محدوده IPهای بین 192.168.88.10 تا 192.168.88.254 را به کاربران تخصیص می‌دهد.

  1. راه‌اندازی DHCP Server:
/ip dhcp-server add name=dhcp1 interface=ether1 address-pool=dhcp_pool lease-time=10m
/ip dhcp-server network add address=192.168.88.0/24 gateway=192.168.88.1 dns-server=8.8.8.8,1.1.1.1

این دستور یک DHCP Server روی اینترفیس ether1 راه‌اندازی می‌کند و IP Pool تعریف‌شده را به آن متصل می‌کند. همچنین، gateway و DNS Server نیز مشخص می‌شود.


مرحله ۲: ایجاد قوانین پایه فایروال

تنظیم قوانین فایروال برای محافظت از شبکه در برابر تهدیدات خارجی و داخلی بسیار مهم است. MikroTik Firewall بسیار قدرتمند و قابل پیکربندی است. در اینجا چند قانون پایه برای شروع کار ارائه می‌شود:

  1. محدود کردن دسترسی به روتر از طریق WinBox به IPهای خاص:
/ip firewall filter add chain=input src-address-list=allowed_ips protocol=tcp dst-port=8291 action=accept
/ip firewall filter add chain=input protocol=tcp dst-port=8291 action=drop

این قوانین دسترسی به WinBox را به IPهای خاص محدود می‌کنند.

  1. مسدود کردن ترافیک ICMP (پینگ) برای امنیت بیشتر:
/ip firewall filter add chain=input protocol=icmp action=drop

این دستور تمامی ترافیک ICMP (پینگ) را مسدود می‌کند.

  1. ایجاد قانون برای مسدود کردن ترافیک از شبکه‌های خصوصی (RFC 1918) در سطح اینترنت:
/ip firewall filter add chain=input src-address=192.168.0.0/16 action=drop
/ip firewall filter add chain=input src-address=172.16.0.0/12 action=drop
/ip firewall filter add chain=input src-address=10.0.0.0/8 action=drop

این دستورات ترافیک ورودی از شبکه‌های خصوصی را مسدود می‌کند که معمولاً نباید از طریق اینترنت به روتر برسند.


مرحله ۳: تنظیمات امنیتی اولیه (Basic Hardening)

امنیت روتر بسیار حیاتی است، مخصوصاً زمانی که روتر شما به اینترنت متصل است. برای افزایش امنیت، تعدادی پیکربندی ساده اما موثر وجود دارد:

  1. تغییر پورت‌های پیش‌فرض مدیریت روتر:

پورت‌های پیش‌فرض مثل WinBox (8291)، SSH (22) و HTTP (80) می‌توانند هدف حملات Brute-force یا Exploit قرار گیرند. می‌توانید این پورت‌ها را تغییر دهید:

/ip service set www port=8080
/ip service set ssh port=2200
/ip service set winbox port=5000

این دستورات پورت‌های SSH، WinBox و HTTP را به مقادیر غیرپیش‌فرض تغییر می‌دهند.

  1. غیرفعال کردن خدمات غیرضروری:

برخی خدمات مثل Telnet یا FTP ممکن است به‌طور پیش‌فرض فعال باشند. با این دستورات می‌توانید آن‌ها را غیرفعال کنید:

/ip service disable telnet
/ip service disable ftp

این دستورها Telnet و FTP را غیرفعال می‌کنند.

  1. ایجاد کاربران جدید با دسترسی محدود:

بهتر است کاربر admin را غیرفعال کرده و کاربران جدید با سطوح دسترسی محدودتر ایجاد کنید:

/user add name=networkadmin group=full password=strongpassword
/user disable admin

در اینجا یک کاربر جدید به نام networkadmin با پسورد قوی ایجاد شده و کاربر پیش‌فرض admin غیرفعال می‌شود.


نتیجه‌گیری

MikroTik RouterOS یکی از قدرتمندترین سیستم‌عامل‌های روتر است که با پیکربندی‌های ساده و موثر می‌توان آن را به‌سرعت آماده استفاده کرد. راه‌اندازی DHCP Server، ایجاد قوانین پایه فایروال و اعمال سخت‌سازی امنیتی، گام‌های اولیه در مسیر ساخت یک شبکه امن و پایدار هستند. این تنظیمات به شما کمک می‌کنند تا به‌سرعت روتر خود را برای کاربری حرفه‌ای آماده کنید.

با گذر از این مراحل اولیه، می‌توانید از ویژگی‌های پیشرفته‌تری همچون VLAN، VPN و QoS استفاده کنید تا شبکه خود را بیش از پیش بهینه و امن کنید.