VPN چیست؟ راهنمای کامل مفاهیم، کاربردها، انواع، راهاندازی و انتخاب سرور VPN
VPN مخفف Virtual Private Network به معنی «شبکه خصوصی مجازی» است. VPN میان دو یا چند دستگاه، کاربر، دفتر یا شبکه، یک مسیر ارتباطی رمزگذاریشده روی اینترنت یا شبکه عمومی ایجاد میکند.
بهکمک VPN، کارمند یک شرکت میتواند از خانه به نرمافزار حسابداری، فایلسرور، ERP یا منابع داخلی شرکت متصل شود؛ یا دو شعبه یک مجموعه میتوانند طوری با یکدیگر ارتباط داشته باشند که گویی در یک شبکه محلی قرار گرفتهاند.
VPN فقط ابزاری برای تغییر IP نیست. کاربرد اصلی آن در محیطهای حرفهای، ایجاد دسترسی امن، احراز هویت کاربران، اتصال شعب، محافظت از اطلاعات در حال انتقال و کنترل دسترسی به منابع داخلی است.

VPN چگونه کار میکند؟
در یک اتصال معمولی، داده از طریق اینترنت میان دستگاه کاربر و مقصد منتقل میشود. در VPN، نرمافزار یا تجهیزات شبکه ابتدا بستههای اطلاعاتی را رمزگذاری کرده و داخل یک تونل مجازی قرار میدهند.
این فرایند معمولاً شامل چهار مرحله است:
- کاربر یا شعبه به VPN Server متصل میشود.
- هویت کاربر یا دستگاه بررسی میشود.
- کلیدهای رمزنگاری میان دو طرف ساخته یا تبادل میشوند.
- ترافیک مجاز از داخل تونل رمزگذاریشده عبور میکند.
VPN Server تونلها را خاتمه میدهد و ترافیک دریافتی را براساس Route، Firewall و سیاستهای دسترسی به شبکه داخلی یا اینترنت هدایت میکند. OpenVPN نیز سرور VPN را سامانهای معرفی میکند که تونلها را خاتمه داده و ترافیک کپسولهشده را مسیریابی میکند. (OpenVPN)
مفاهیم مهم در VPN
VPN Server
سروری است که درخواست اتصال کاربران یا شعب را دریافت میکند. این سرور ممکن است یکی از موارد زیر باشد:
- یک سرور فیزیکی
- ماشین مجازی داخل VMware یا Hyper-V
- سرور مجازی اینترنتی یا VPS
- فایروال سختافزاری
- روتر
- ماشین ابری
- نرمافزار VPN روی Linux یا Windows Server
VPN Client
نرمافزار یا دستگاهی است که به VPN Server متصل میشود. کلاینت میتواند لپتاپ، تلفن همراه، روتر شعبه یا یک سرور دیگر باشد.
Tunnel
تونل VPN مسیر منطقی رمزگذاریشده میان دو نقطه است. بستههای اصلی شبکه داخل بستههای دیگری قرار گرفته و از طریق اینترنت منتقل میشوند.
Encryption
رمزگذاری باعث میشود اطلاعات در مسیر انتقال برای اشخاص غیرمجاز قابلخواندن نباشد. بااینحال، رمزگذاری بهتنهایی کافی نیست؛ احراز هویت، مدیریت کلید، فایروال و بهروزرسانی نیز اهمیت دارند.
Authentication
پیش از ایجاد اتصال باید هویت کاربر یا دستگاه بررسی شود. روشهای متداول عبارتاند از:
- نام کاربری و رمز عبور
- کلید عمومی و خصوصی
- گواهی دیجیتال
- Pre-Shared Key
- RADIUS
- LDAP و Active Directory
- SAML
- احراز هویت چندمرحلهای یا MFA
OpenVPN Access Server از روشهایی مانند PAM، RADIUS، LDAP و SAML پشتیبانی میکند. (OpenVPN)
Public IP
برای آنکه کاربران اینترنت بتوانند مستقیماً به VPN Server متصل شوند، معمولاً حداقل یکی از سمتها باید IP عمومی یا روش جایگزینی مانند Port Forwarding داشته باشد.
در اینترنتهای پشت CGNAT، راهاندازی VPN ورودی ممکن است بدون دریافت IP عمومی، استفاده از سرور واسط یا روشهای Overlay دشوار باشد.
Port Forwarding
اگر VPN Server پشت مودم یا روتر قرار دارد، باید پورت مربوط به پروتکل VPN از روتر به IP داخلی سرور هدایت شود.
NAT
NAT آدرسهای خصوصی را به آدرس عمومی ترجمه میکند. در VPN باید مشخص شود ترافیک صرفاً میان شبکههای خصوصی Route شود یا برای دسترسی به اینترنت نیز NAT انجام شود.
Routing
Routing مشخص میکند هر بسته از چه مسیری عبور کند. بسیاری از مشکلات VPN درواقع مشکل Route هستند، نه مشکل رمزگذاری.
DNS
پس از اتصال VPN، کاربر ممکن است برای دسترسی به نام سرورها، دامنه داخلی و Active Directory به DNS سازمان نیاز داشته باشد.
MTU
اگر MTU بهدرستی تنظیم نشده باشد، برخی سایتها یا سرویسها باز نمیشوند، اتصال کند میشود یا بستههای بزرگ منتقل نمیشوند. این مشکل در تونلهای چندلایه بیشتر دیده میشود.
Split Tunnel
در حالت Split Tunnel فقط ترافیک مربوط به شبکه سازمان وارد VPN میشود و اینترنت عمومی کاربر مستقیماً از اتصال خودش عبور میکند.
مزایا:
- مصرف کمتر پهنای باند شرکت
- سرعت بالاتر اینترنت کاربران
- فشار کمتر روی VPN Server
ریسک آن این است که دستگاه کاربر همزمان به اینترنت عمومی و شبکه سازمان متصل است و باید با Endpoint Security و سیاستهای دسترسی کنترل شود.
Full Tunnel
در Full Tunnel تمام ترافیک کاربر، از جمله اینترنت، از VPN Server عبور میکند.
مزایا:
- کنترل و ثبت بهتر ترافیک
- اعمال فایروال و فیلترینگ سازمانی
- محافظت بیشتر در شبکههای عمومی
معایب:
- مصرف بیشتر پهنای باند
- نیاز به سرور قویتر
- افزایش Latency
- وابستگی اینترنت کاربر به VPN Server
Site-to-Site
در Site-to-Site دو شبکه کامل به یکدیگر متصل میشوند. برای مثال:
دفتر تهران: 192.168.10.0/24 │ اینترنت │دفتر دبی: 192.168.20.0/24
پس از ایجاد تونل، سیستمهای دو شعبه میتوانند طبق سیاست فایروال با یکدیگر ارتباط داشته باشند. strongSwan نیز Site-to-Site را بهعنوان اتصال دو شبکه پشت دو Gateway توضیح میدهد. (strongSwan)
Remote Access یا Client-to-Site
در این مدل کاربران از لپتاپ یا موبایل به شبکه شرکت متصل میشوند. این روش برای دورکاری، پشتیبانی و دسترسی مدیران کاربرد دارد.
Host-to-Host
در این حالت فقط دو سیستم مستقیماً به یکدیگر متصل میشوند؛ مثلاً یک سرور بکاپ و یک سرور اصلی.
Hub-and-Spoke
همه شعب به یک مرکز اصلی متصل میشوند. ارتباط شعب نیز در صورت نیاز از طریق همان مرکز انجام میشود.
Mesh VPN
در معماری Mesh، گرهها میتوانند مستقیماً یا از طریق شبکه Overlay با یکدیگر ارتباط برقرار کنند. این معماری برای تعداد زیاد سرور، کاربران پراکنده و محیط Cloud مفید است.
کاربردهای VPN
VPN در سازمانها کاربردهای گستردهای دارد:
- دورکاری امن کارکنان
- دسترسی به نرمافزار حسابداری
- اتصال به ERP و CRM
- اتصال دو یا چند شعبه
- دسترسی به فایلسرور
- مدیریت سرور و تجهیزات شبکه
- دسترسی امن به دوربینهای مداربسته
- ارتباط میان دیتاسنتر و دفتر مرکزی
- اتصال Cloud به شبکه داخلی
- انتقال بکاپ میان دو محل
- ارتباط امن سرورهای پایگاه داده
- مدیریت تجهیزات صنعتی و IoT
- اتصال پیمانکاران با دسترسی محدود
- دسترسی به VMware، iLO و پنلهای مدیریتی
- ارتباط امن میان سرویسهای نرمافزاری
VPN باید صرفاً برای کاربردهای قانونی و مجاز و با رعایت سیاستهای سازمان و قوانین محل استفاده پیادهسازی شود.

انواع پروتکلهای VPN
WireGuard
WireGuard یک پروتکل مدرن، ساده و سبک است که از کلید عمومی و خصوصی استفاده میکند. وبسایت رسمی آن بر سادگی، کارایی بالا و طراحی مدرن تأکید دارد. (WireGuard)
مزایا
- راهاندازی نسبتاً ساده
- سربار کم
- سرعت مناسب
- کد و تنظیمات کمحجم
- مناسب Linux، Windows، Android و iOS
- مناسب Host-to-Host و Site-to-Site
- مناسب VPS و ماشین مجازی کوچک
محدودیتها
- مدیریت کاربران سازمانی بهصورت داخلی محدودتر از بعضی راهکارهای تجاری
- هر Peer معمولاً با کلید تعریف میشود
- برای پرتال کاربری، گزارشگیری پیشرفته و اتصال مستقیم به SAML یا LDAP به ابزارهای مدیریتی تکمیلی نیاز دارد
- WireGuard بهطور ذاتی برای مخفیسازی ترافیک در برابر Deep Packet Inspection طراحی نشده است. (WireGuard)
مناسب برای
- اتصال دو سرور
- ارتباط دو شعبه کوچک
- اتصال مدیران فنی
- بکاپ بین دو محل
- شبکههای سبک و سریع
- زیرساختهای Linux
OpenVPN Community Edition
OpenVPN Community Edition یک راهکار متنباز انعطافپذیر است و میتواند با گواهی دیجیتال، کلیدها و تنظیمات متنوع پیادهسازی شود. مستندات رسمی OpenVPN 2.6 آن را یک VPN متنباز عمومی با امکانات گسترده معرفی میکند. (OpenVPN)
مزایا
- متنباز
- سازگاری گسترده
- امکان استفاده از TCP یا UDP
- پشتیبانی از Certificate
- مناسب Remote Access
- قابلیت اجرای Split Tunnel و Full Tunnel
- جامعه کاربری بزرگ
معایب
- تنظیم دستی آن از WireGuard پیچیدهتر است
- مدیریت Certificateها نیاز به دقت دارد
- در بعضی سناریوها سربار پردازشی بیشتری دارد
- برای مدیریت ساده تعداد زیاد کاربر، نسخه خام Community نیازمند ابزار و طراحی تکمیلی است
OpenVPN Access Server
Access Server نسخه مدیریتی و تجاری OpenVPN است که پنل وب، مدیریت کاربران، گروهها، احراز هویت و کنترل دسترسی ارائه میکند. (OpenVPN)
مدل لایسنس
طبق مستندات فعلی، Access Server بدون لایسنس امکان استفاده آزمایشی با دو اتصال همزمان را فراهم میکند. برای تعداد بیشتر باید لایسنس تهیه شود. (OpenVPN)
مدلهای لایسنس آن شامل موارد زیر است:
- اشتراک ماهانه یا سالانه
- Fixed License با تعداد اتصال مشخص
- مدل مخصوص AWS
جزئیات و حداقل ظرفیتها ممکن است تغییر کنند و باید هنگام خرید از صفحه رسمی بررسی شوند. (OpenVPN)
مناسب برای
- شرکتهایی که پنل مدیریت میخواهند
- مدیریت کاربران متعدد
- اتصال به LDAP، RADIUS یا SAML
- کنترل دسترسی گروهی
- تیمهای بدون نیروی متخصص Linux
IPsec و IKEv2
IPsec مجموعهای از استانداردهای امنیتی در لایه شبکه است. در IPsec معمولاً IKE برای مذاکره کلیدها و ESP برای حفاظت از بستههای IP استفاده میشود. (strongSwan)
مزایا
- استاندارد سازمانی
- مناسب Site-to-Site
- پشتیبانی گسترده در روترها و فایروالها
- مناسب ارتباط میان برندهای مختلف
- پشتیبانی مناسب در سیستمعاملها
- امکان استفاده از Certificate یا Pre-Shared Key
معایب
- تنظیمات پیچیدهتر
- عیبیابی دشوارتر
- حساسیت به NAT، Route و Proposalهای رمزنگاری
- نیازمند هماهنگی دقیق دو سمت
strongSwan
strongSwan یک پیادهسازی کامل IPsec برای Linux است و برای Remote Access، Site-to-Site و Host-to-Host استفاده میشود. (strongSwan)
L2TP/IPsec
L2TP بهتنهایی رمزگذاری ایجاد نمیکند و معمولاً همراه IPsec استفاده میشود.
مزیت آن پشتیبانی داخلی در بسیاری از سیستمعاملها است، اما برای پروژههای جدید معمولاً WireGuard، IKEv2 یا OpenVPN انتخابهای مناسبتری هستند.
SSTP
SSTP عمدتاً در اکوسیستم Microsoft استفاده میشود و ترافیک را از طریق TLS منتقل میکند. برای سازمانهایی که کاربران Windows دارند میتواند مفید باشد.
Windows Server RRAS از پروتکلهایی مانند L2TP، SSTP و IKEv2 پشتیبانی میکند. (Microsoft Learn)
PPTP
PPTP پروتکلی قدیمی است و برای پروژههای جدید یا انتقال اطلاعات حساس توصیه نمیشود. وجود آن در برخی تجهیزات قدیمی نباید دلیل استفاده از آن باشد.
مقایسه پروتکلهای مهم
| پروتکل | سرعت | پیچیدگی | مدیریت کاربران | کاربرد مناسب |
|---|---|---|---|---|
| WireGuard | بسیار خوب | کم | پایه | اتصال سرور، شعبه و کاربران محدود |
| OpenVPN Community | خوب | متوسط تا زیاد | نیازمند پیادهسازی | Remote Access انعطافپذیر |
| OpenVPN Access Server | خوب | کم تا متوسط | بسیار خوب | شرکتها و کاربران متعدد |
| IKEv2/IPsec | بسیار خوب | متوسط تا زیاد | مناسب سازمانی | Site-to-Site و موبایل |
| L2TP/IPsec | متوسط | متوسط | متوسط | سازگاری با سیستمهای قدیمی |
| SSTP | متوسط | متوسط | مناسب محیط Windows | شبکههای Microsoft |
| PPTP | نامناسب امنیتی | کم | محدود | برای پروژه جدید توصیه نمیشود |
آموزش راهاندازی VPN بین دو سیستم با WireGuard
در این مثال دو سیستم Linux بهصورت Host-to-Host متصل میشوند.
فرض میکنیم:
سیستم A:Public IP: 203.0.113.10VPN IP: 10.20.0.1سیستم B:Public IP: 198.51.100.20VPN IP: 10.20.0.2
آدرسهای Public بالا نمونهاند و باید با آدرس واقعی جایگزین شوند.
مرحله اول: نصب WireGuard
در Ubuntu یا Debian:
sudo apt updatesudo apt install wireguard
مرحله دوم: ساخت کلید در هر دو سیستم
روی سیستم A:
umask 077wg genkey | tee privatekey | wg pubkey > publickey
روی سیستم B نیز همین دستور اجرا شود:
umask 077wg genkey | tee privatekey | wg pubkey > publickey
کلید خصوصی هر سیستم نباید در اختیار سمت دیگر یا شخص ثالث قرار گیرد. فقط Public Key مبادله میشود. روش تولید کلید و تنظیم Peer در Quick Start رسمی WireGuard شرح داده شده است. (WireGuard)
مرحله سوم: تنظیم سیستم A
فایل زیر ساخته شود:
sudo nano /etc/wireguard/wg0.conf
محتوا:
[Interface]Address = 10.20.0.1/24ListenPort = 51820PrivateKey = PRIVATE_KEY_OF_A[Peer]PublicKey = PUBLIC_KEY_OF_BAllowedIPs = 10.20.0.2/32Endpoint = 198.51.100.20:51820PersistentKeepalive = 25
مرحله چهارم: تنظیم سیستم B
[Interface]Address = 10.20.0.2/24ListenPort = 51820PrivateKey = PRIVATE_KEY_OF_B[Peer]PublicKey = PUBLIC_KEY_OF_AAllowedIPs = 10.20.0.1/32Endpoint = 203.0.113.10:51820PersistentKeepalive = 25
مرحله پنجم: باز کردن پورت
روی هر دو سیستم:
sudo ufw allow 51820/udp
اگر سیستم پشت مودم است، UDP 51820 باید به IP داخلی آن Port Forward شود.
مرحله ششم: فعالسازی
sudo systemctl enable --now wg-quick@wg0
مشاهده وضعیت:
sudo wg show
تست از سیستم A:
ping 10.20.0.2
تست از سیستم B:
ping 10.20.0.1
راهاندازی WireGuard بهصورت Site-to-Site
فرض کنیم:
شبکه شعبه A: 192.168.10.0/24شبکه شعبه B: 192.168.20.0/24
در تنظیم Peer سیستم A:
AllowedIPs = 10.20.0.2/32, 192.168.20.0/24
در تنظیم Peer سیستم B:
AllowedIPs = 10.20.0.1/32, 192.168.10.0/24
سپس IP Forwarding باید روی هر دو Gateway فعال شود:
sudo sysctl -w net.ipv4.ip_forward=1
برای دائمیشدن:
sudo nano /etc/sysctl.d/99-vpn-forward.conf
و داخل آن:
net.ipv4.ip_forward=1
سپس:
sudo sysctl --system
در روترهای داخلی نیز باید Route برگشت تعریف شود. برای مثال، شبکه شعبه A باید بداند مقصد 192.168.20.0/24 از طریق IP داخلی VPN Gateway شعبه A قابلدسترسی است.
اگر VPN Gateway همان Default Gateway شبکه نباشد، Route برگشت اهمیت ویژهای دارد. مستندات strongSwan نیز در سناریوهای Site-to-Site بر افزودن Route در سمت LAN یا Gateway تأکید میکند. (strongSwan)
راهاندازی VPN در Windows Server
برای محیطهای کاملاً مایکروسافتی میتوان از Routing and Remote Access Service یا RRAS استفاده کرد.
مراحل کلی:
- نصب Role مربوط به Remote Access
- انتخاب VPN و Routing
- فعالسازی RRAS
- تعریف محدوده IP برای کاربران
- انتخاب پروتکل، ترجیحاً IKEv2 یا SSTP
- نصب Certificate معتبر
- تعریف دسترسی کاربران
- تنظیم NPS یا RADIUS در صورت نیاز
- بازکردن پورتهای لازم
- تنظیم Route و Firewall
- آزمایش از خارج شبکه
راهنمای رسمی Microsoft نصب RRAS بهعنوان VPN Server، تنظیم پروتکلها و محدوده IP کاربران را پوشش میدهد. (Microsoft Learn)
برای سازمانهای دارای Active Directory، RRAS میتواند از کاربران دامنه و Network Policy Server استفاده کند. بااینحال بهتر است VPN روی Domain Controller اصلی نصب نشود و یک ماشین مجازی یا سرور مستقل برای این نقش در نظر گرفته شود.
لایسنسهای موردنیاز
WireGuard
- نرمافزار متنباز
- هزینه لایسنس اتصال ندارد
- هزینه سیستمعامل، سرور، نگهداری و پنل مدیریت جداست
strongSwan
- متنباز
- بدون هزینه اتصال بر مبنای کاربر
- برای پشتیبانی تجاری یا تجهیزات جانبی ممکن است هزینه جداگانه وجود داشته باشد
OpenVPN Community Edition
- متنباز
- محدودیت تجاری تعداد اتصال مانند Access Server ندارد
- مدیریت، پشتیبانی، PKI و نگهداری بر عهده مجموعه است
OpenVPN Access Server
- دو اتصال همزمان بدون خرید لایسنس
- تعداد بیشتر براساس مدل اشتراکی یا Fixed License
- هزینه براساس ظرفیت اتصال همزمان و مدل لایسنس تعیین میشود. (OpenVPN)
Windows Server RRAS
برای اجرای RRAS به لایسنس معتبر Windows Server نیاز است. نحوه نیاز به Windows Server CAL یا سایر مجوزها به مدل دسترسی، نسخه Windows Server و قرارداد لایسنس سازمان بستگی دارد و باید با فروشنده رسمی لایسنس بررسی شود.
pfSense و OPNsense
نسخههای Community عمدتاً متنباز هستند، اما پشتیبانی تجاری، Appliance رسمی و برخی خدمات سازمانی هزینه جداگانه دارند.
VMware و Hyper-V
اگر VPN بهصورت ماشین مجازی اجرا شود، باید هزینه یا مجوز Hypervisor و سیستمعامل مهمان نیز در نظر گرفته شود.
چه سختافزاری برای VPN لازم است؟
قدرت لازم برای VPN فقط به تعداد کاربران وابسته نیست. عوامل اصلی عبارتاند از:
- پهنای باند واقعی
- نوع پروتکل
- الگوریتم رمزنگاری
- تعداد اتصال همزمان
- Full Tunnel یا Split Tunnel
- میزان ترافیک هر کاربر
- وجود Firewall، IDS و IPS
- ثبت Log
- احراز هویت چندمرحلهای
- نوع کارت شبکه
- تعداد تونلهای Site-to-Site
- انتقال فایلهای بزرگ
- دسترسی به دوربین یا ویدئو
پردازنده
VPN عملیات رمزنگاری انجام میدهد و به CPU وابسته است. ویژگیهای مناسب:
- فرکانس مناسب
- هسته کافی
- پشتیبانی از دستورهای شتابدهنده رمزنگاری
- معماری جدید
- عملکرد تکهستهای مناسب
- توانایی مدیریت Interruptهای شبکه
در WireGuard معمولاً CPU جدید و سریع، حتی با تعداد هسته متوسط، عملکرد خوبی ارائه میدهد. برای OpenVPN، مخصوصاً در بارهای زیاد، فرکانس و نحوه پردازش تونلها اهمیت بیشتری پیدا میکند.
رم
VPN معمولاً نسبت به دیتابیس به رم بسیار زیادی نیاز ندارد، اما سیستمعامل، Log، پنل مدیریت، Radius و سرویسهای امنیتی مصرف رم را افزایش میدهند.
کارت شبکه
برای سرویس جدی بهتر است حداقل دو رابط شبکه وجود داشته باشد:
- WAN
- LAN
برای ظرفیت بیشتر:
- 1GbE برای مجموعه کوچک
- 10GbE برای سازمان متوسط یا دیتاسنتر
- 25GbE و بالاتر برای حجم زیاد یا تجمیع شعب
وجود کارت 10GbE به معنی دستیابی به VPN ده گیگابیتی نیست؛ CPU، پروتکل، MTU، اینترنت و سمت مقابل نیز باید توان لازم را داشته باشند.
ذخیرهسازی
فضای ذخیرهسازی زیادی لازم نیست، مگر اینکه Log طولانی، Packet Capture یا گزارش امنیتی نگهداری شود.
پیشنهاد عمومی:
- دو SSD در RAID 1 برای سرور فیزیکی مهم
- 40 تا 100 گیگابایت برای سیستم ساده
- 100 تا 500 گیگابایت برای Log و گزارشگیری گسترده
پاور
برای سرویس حیاتی استفاده از دو پاور Redundant، UPS و مسیر برق مستقل توصیه میشود.
کانفیگهای پیشنهادی VPN
این موارد برآورد اولیه هستند و تضمین عملکرد محسوب نمیشوند. برای پروژه جدی باید تست عملی با پهنای باند، پروتکل و تعداد کاربر واقعی انجام شود.
VPN کوچک؛ تا حدود 20 کاربر
کاربرد:
- دسترسی به حسابداری
- Remote Desktop
- فایلهای سبک
- مدیریت سرورها
کانفیگ پیشنهادی:
- 2 تا 4 هسته پردازشی
- 4 تا 8 گیگابایت رم
- 40 تا 80 گیگابایت SSD
- یک یا دو کارت شبکه 1GbE
- WireGuard یا OpenVPN
- Ubuntu Server یا Debian
سرور مناسب:
- VPS کوچک
- HPE MicroServer
- HPE DL20
- HPE ML30
- ماشین مجازی روی سرور فعلی
VPN متوسط؛ 20 تا 100 کاربر
کانفیگ خرید سرور پیشنهادی:
- 4 تا 8 هسته جدید
- 8 تا 16 گیگابایت رم
- دو SSD در RAID 1 در سرور فیزیکی
- حداقل دو پورت شبکه
- کارت شبکه 1 یا 10GbE
- MFA و RADIUS
- مانیتورینگ و Log
سرور مناسب:
- HPE DL20 Gen10 Plus یا Gen11
- HPE ML30 Gen10 یا Gen11
- HPE DL360 Gen10
- ماشین مجازی با منابع رزروشده
VPN سازمانی؛ 100 تا 500 کاربر
کانفیگ پیشنهادی:
- 8 تا 16 هسته پردازشی
- 16 تا 32 گیگابایت رم
- SSD Enterprise در RAID 1
- شبکه 10GbE
- دو پاور
- حداقل دو VPN Node
- Load Balancer یا طراحی Active/Standby
- RADIUS یا SAML
- MFA
- SIEM و Central Logging
سرور مناسب:
- HPE DL360 Gen10 یا Gen11
- HPE DL380 Gen10 یا Gen11
- دو ماشین مجازی روی دو Host مجزا
- Appliance سازمانی
VPN پرترافیک یا بیش از 500 کاربر
کانفیگ پیشنهادی:
- 16 تا 32 هسته یا بیشتر
- 32 تا 64 گیگابایت رم
- کارت شبکه 10 یا 25GbE
- چند VPN Gateway
- Load Balancing
- High Availability
- HSM یا TPM در پروژههای حساس
- سیستم مانیتورینگ
- طراحی ظرفیت بر اساس Gbps و نه فقط تعداد کاربران
سرور مناسب:
- HPE DL360 Gen11
- HPE DL380 Gen11
- HPE DL360 Gen12
- HPE DL380 Gen12
- کلاستر چندگرهی
در چنین مقیاسی، یک سرور بسیار قدرتمند همیشه بهتر از چند گره متوسط نیست؛ چند Node مستقل میتوانند دسترسپذیری و مقیاسپذیری بهتری ایجاد کنند.
سرورهای HPE مناسب VPN
HPE MicroServer
مناسب:
- دفتر کوچک
- کاربران محدود
- File Server همراه VPN
- مصرف برق و صدای پایین
محدودیت:
- توسعه و افزونگی کمتر
- توان محدودتر
- معمولاً مناسب VPN سازمانی پرترافیک نیست
HPE ML30
مناسب:
- شرکت کوچک
- نصب در محیط بدون رک
- WireGuard یا OpenVPN
- تعداد کاربر کم تا متوسط
HPE DL20
مناسب:
- VPN Gateway اختصاصی
- رک کوچک
- هزینه مناسب
- یک پردازنده با فرکانس خوب
- سازمان کوچک و متوسط
برای بسیاری از VPNها، DL20 از نظر اقتصادی منطقیتر از DL380 است؛ زیرا VPN معمولاً به ظرفیت عظیم رم و تعداد زیاد هارد نیاز ندارد.
HPE DL360
مناسب:
- سازمان متوسط و بزرگ
- چند صد کاربر
- چند رابط شبکه
- High Availability
- RRAS، OpenVPN، IPsec و فایروال مجازی
مزیت:
- قدرت پردازشی بالا در فضای 1U
- مناسب دیتاسنتر
- امکان استفاده از دو CPU در بسیاری از مدلها
HPE DL380
مناسب:
- VPN همراه با سرویسهای امنیتی
- چند ماشین مجازی
- Firewall، IDS، RADIUS و Log Server
- سازمان بزرگ
- شبکه 10 و 25GbE
اگر فقط یک VPN ساده اجرا میشود، سرور HP DL380 معمولاً بیش از نیاز است. اما اگر قرار است روی آن چند ماشین مجازی امنیتی، مانیتورینگ و سرویس شبکه اجرا شود، انتخاب مناسبی است.
نمونه کانفیگ HPE اقتصادی برای VPN
کانفیگ استوک G9
HPE DL360 Gen91x Intel Xeon E5-2640 v432GB DDR4 ECC RAM2x 240GB Enterprise SSD – RAID 1HPE Smart Array Controller2x 1GbE یا 10GbE Network2x Power Supply
مناسب برای VPN سازمانی سبک تا متوسط، WireGuard، OpenVPN و RRAS است؛ مشروط به سلامت کامل دستگاه و کافیبودن پهنای باند.
کانفیگ متعادل Gen10
HPE DL360 Gen101x Intel Xeon Silver 4210R یا مشابه32GB یا 64GB DDR4 ECC2x Enterprise SSD – RAID 1HPE Smart Array4x 1GbE یا 2x 10GbE2x Redundant Power Supply
این کانفیگ برای چند ماشین مجازی شبکه، VPN، RADIUS و Monitoring مناسب است.
کانفیگ جدید G11
HPE DL360 Gen111x Intel Xeon Silver 4410Y یا پردازنده متناسب64GB DDR5 ECC2x Enterprise SSD – RAID 12x 10GbE یا 25GbE2x Redundant Power Supply
برای سازمانی که زیرساخت جدید و عمر بهرهبرداری طولانی میخواهد انتخاب مناسبی است.
سرور مجازی برای VPN بهتر است یا فیزیکی؟
مزایای VPN روی ماشین مجازی
- هزینه اولیه کمتر
- راهاندازی سریع
- Snapshot و Backup آسانتر
- انتقال ساده میان Hostها
- امکان افزایش vCPU و RAM
- مناسب استفاده از منابع خالی سرور
- ایجاد چند VPN مستقل
- مناسب شعب کوچک و متوسط
معایب ماشین مجازی
- وابستگی به Host
- اشتراک CPU و شبکه با سایر VMها
- احتمال کاهش عملکرد در Oversubscription
- پیچیدگی شبکه مجازی
- در صورت خرابی Host، تمام سرویسهای آن متوقف میشوند
- نیاز به مدیریت Hypervisor
مزایای سرور فیزیکی
- منابع اختصاصی
- عملکرد قابلپیشبینیتر
- کنترل مستقیم کارت شبکه
- مناسب Throughput بالا
- جداسازی امنیتی بیشتر
- عدم وابستگی به Hypervisor
- مناسب VPN حیاتی و Edge Gateway
معایب سرور فیزیکی
- هزینه خرید بیشتر
- مصرف برق بیشتر
- نیاز به سختافزار جایگزین
- استفادهنشدن بخشی از منابع
- مدیریت Backup و Disaster Recovery دشوارتر
چه زمانی ماشین مجازی انتخاب بهتری است؟
ماشین مجازی معمولاً مناسبتر است اگر:
- زیرساخت VMware یا Hyper-V دارید.
- تعداد کاربران کم تا متوسط است.
- VPN فقط یکی از سرویسهای سازمان است.
- شبکه مجازی بهدرستی طراحی شده است.
- دو Host و High Availability دارید.
- نیاز به Snapshot و جابهجایی سریع دارید.
- پهنای باند بسیار سنگین نیست.
برای یک شرکت با 20 تا 100 کاربر، یک VM با 4 تا 8 vCPU، حدود 8 تا 16 گیگابایت رم و کارت شبکه مجازی مناسب ممکن است کاملاً کافی باشد.
چه زمانی سرور فیزیکی بهتر است؟
سرور فیزیکی اچ پی مناسبتر است اگر:
- VPN در لبه شبکه قرار دارد.
- ترافیک بسیار زیاد است.
- Full Tunnel اجرا میشود.
- صدها یا هزاران کاربر دارید.
- جداسازی امنیتی الزام سازمانی است.
- نیاز به کارت شبکه اختصاصی یا Hardware Offload دارید.
- سرویس VPN نباید تحت تأثیر بار سایر VMها قرار گیرد.
- فایروال، IDS و IPS نیز روی همان Gateway اجرا میشود.
VPS یا سرور مجازی اینترنتی برای VPN
VPS برای VPN شخصی، اتصال چند سرور یا دسترسی محدود کارکنان مناسب است؛ اما باید به این موارد توجه شود:
- موقعیت دیتاسنتر
- قوانین ارائهدهنده
- IP عمومی
- سرعت واقعی پورت
- محدودیت ترافیک
- کیفیت Peering
- وجود DDoS Protection
- امکان تنظیم IP Forwarding
- امکان استفاده از UDP
- دسترسی به کنسول
- Backup
- SLA
- تعداد vCPU واقعی
- محدودیت Packet Per Second
برای VPN تجاری مهم، ارزانترین VPS معمولاً بهترین انتخاب نیست. کیفیت مسیر شبکه و پایداری اغلب مهمتر از مقدار رم است.
strongSwan یادآور میشود که در محیط Cloud ممکن است لازم باشد بررسی Source/Destination ترافیک غیرفعال یا تنظیم شبکه متناسب انجام شود تا ماشین بتواند نقش VPN Gateway را ایفا کند. (strongSwan)
سیستمعامل مناسب VPN
Ubuntu Server یا Debian
مناسب برای:
- WireGuard
- OpenVPN
- strongSwan
- هزینه پایین
- اتوماسیون
- سرور فیزیکی و مجازی
Windows Server
مناسب برای:
- RRAS
- Active Directory
- NPS
- Always On VPN
- کاربران Windows
- مدیریت یکپارچه سازمانی
pfSense
مناسب برای:
- فایروال و VPN یکپارچه
- IPsec
- OpenVPN
- WireGuard در نسخهها و بستههای سازگار
- مدیریت از طریق Web UI
OPNsense
مشابه pfSense و مناسب برای فایروال، Site-to-Site و Remote Access با پنل مدیریتی.
RouterOS
برای روترها و تجهیزات MikroTik مناسب است؛ بهویژه شعب کوچک، Site-to-Site و شبکههایی که از قبل MikroTik دارند.
امنیت VPN
راهاندازی تونل پایان کار نیست. برای VPN سازمانی این موارد ضروریاند:
- استفاده از MFA
- حذف پروتکلهای قدیمی
- Certificate اختصاصی برای هر کاربر یا دستگاه
- عدم استفاده مشترک از یک حساب
- محدودکردن دسترسی هر گروه
- ثبت و بررسی Log
- بهروزرسانی سیستمعامل و نرمافزار
- محدودکردن پورتهای ورودی
- استفاده از Firewall
- غیرفعالکردن حسابهای بلااستفاده
- تغییر و ابطال کلید دستگاه مفقودشده
- Backup از تنظیمات و PKI
- محدودیت تلاش ورود
- اتصال به RADIUS یا Identity Provider
- نصب EDR روی کلاینتها
- جداسازی VPN کاربران از شبکه مدیریت
- اجرای تست نفوذ و ممیزی دورهای
بهتر است کاربر VPN مستقیماً به تمام VLANها و سرورها دسترسی نداشته باشد. دسترسی باید براساس نقش تعریف شود؛ برای مثال واحد مالی فقط به نرمافزار مالی و سرور فایل مربوط به خودش دسترسی داشته باشد.
طراحی High Availability
برای سرویس حیاتی، یک VPN Server نقطه شکست واحد است. معماری مناسبتر میتواند شامل موارد زیر باشد:
Internet │Firewall / Load Balancer │ ┌─────────────┐ │ │VPN Node 1 VPN Node 2 │ │ └──── LAN ────┘
موارد لازم:
- دو سرور یا دو VM روی Hostهای متفاوت
- همگامسازی تنظیمات
- RADIUS یا Identity مرکزی
- IP مجازی یا Load Balancer
- مانیتورینگ سلامت
- تست Failover
- دو ISP در پروژههای حساس
- UPS و برق افزونه
- Backup تنظیمات
اشتباهات رایج در راهاندازی VPN
- استفاده از PPTP
- استفاده از رمز عبور ساده
- استفاده از یک حساب برای همه
- نداشتن MFA
- بازکردن دسترسی کامل شبکه
- استفاده از Full Tunnel بدون محاسبه پهنای باند
- نادیدهگرفتن Route برگشت
- اشتباه در DNS
- نبود IP عمومی
- استفاده از Subnet یکسان در دو شعبه
- نداشتن Backup
- نداشتن Log
- نصب VPN روی سرور حساس بدون جداسازی
- قرار دادن VPN روی Domain Controller
- خرید سرور بسیار قوی بدون بررسی اینترنت
- استفاده از سرور ارزان با شبکه بیکیفیت
- نداشتن برنامه لغو دسترسی کارکنان جداشده
انتخاب نهایی بر اساس سناریو
| سناریو | راهکار مناسب |
|---|---|
| اتصال دو سرور | WireGuard |
| اتصال دو شعبه کوچک | WireGuard یا IPsec |
| اتصال روتر و فایروال برندهای مختلف | IPsec/IKEv2 |
| کاربران Windows و Active Directory | RRAS/IKEv2 یا OpenVPN Access Server |
| کاربران متعدد با پنل مدیریت | OpenVPN Access Server |
| VPN سبک روی VPS | WireGuard |
| شبکه سازمانی دارای فایروال | IPsec یا SSL VPN همان فایروال |
| چند صد کاربر | چند Node با RADIUS و MFA |
| انتقال بکاپ بین دو محل | WireGuard یا IPsec Site-to-Site |
| پروژه حساس | VPN Cluster، MFA، Certificate و HA |
جمعبندی
VPN یک شبکه خصوصی مجازی است که برای ایجاد ارتباط امن میان کاربران، سرورها، شعب و دیتاسنترها استفاده میشود. انتخاب راهکار مناسب به تعداد کاربران، پهنای باند، نوع دسترسی، تجهیزات شبکه، سیستمعامل و سطح امنیت بستگی دارد.
برای ارتباط ساده میان دو سیستم یا دو شعبه کوچک، WireGuard سریع و ساده است. برای محیطهای سازمانی دارای تجهیزات مختلف، IPsec/IKEv2 استاندارد مناسبی محسوب میشود. برای مدیریت کاربران متعدد، OpenVPN Access Server یا راهکارهای تجاری فایروال امکانات مدیریتی بهتری ارائه میکنند. در شبکههای Microsoft نیز Windows Server RRAS میتواند با Active Directory و NPS یکپارچه شود.
در بیشتر شرکتهای کوچک و متوسط، VPN را میتوان روی ماشین مجازی اجرا کرد. برای ترافیک بالا، سرویس حیاتی، Full Tunnel، جداسازی امنیتی یا صدها کاربر، سرور فیزیکی یا چند گره VPN مستقل مناسبتر است.
از نظر سختافزار، یک HPE DL20 یا ML30 برای مجموعه کوچک کافی است. DL360 برای VPN سازمانی انتخاب متعادلتری است و DL380 زمانی ارزش دارد که چند سرویس امنیتی، ماشین مجازی، Log Server یا فایروال نیز روی همان زیرساخت اجرا شود. قدرت واقعی VPN باید براساس سرعت رمزگذاری، ظرفیت اینترنت، Packet Rate و تعداد اتصال همزمان سنجیده شود؛ نه صرفاً تعداد هسته، مقدار رم یا مدل سرور.
تماس با ماهان شبکه ایرانیان مرکز فروش سرور اچ پی در ایران 021 91008413 تماس بگیرید.




ممنون. جواب کلی از سوالاتم رو گرفتم
خوشحالیم که براتون مفید بوده.