VPN چیست؟ راهنمای کامل مفاهیم، کاربردها، انواع، راه‌اندازی و انتخاب سرور VPN

VPN چیست؟ راهنمای کامل مفاهیم، کاربردها، انواع، راه‌اندازی و انتخاب سرور VPN
5/5 - (1 امتیاز)

VPN مخفف Virtual Private Network به معنی «شبکه خصوصی مجازی» است. VPN میان دو یا چند دستگاه، کاربر، دفتر یا شبکه، یک مسیر ارتباطی رمزگذاری‌شده روی اینترنت یا شبکه عمومی ایجاد می‌کند.

به‌کمک VPN، کارمند یک شرکت می‌تواند از خانه به نرم‌افزار حسابداری، فایل‌سرور، ERP یا منابع داخلی شرکت متصل شود؛ یا دو شعبه یک مجموعه می‌توانند طوری با یکدیگر ارتباط داشته باشند که گویی در یک شبکه محلی قرار گرفته‌اند.

VPN فقط ابزاری برای تغییر IP نیست. کاربرد اصلی آن در محیط‌های حرفه‌ای، ایجاد دسترسی امن، احراز هویت کاربران، اتصال شعب، محافظت از اطلاعات در حال انتقال و کنترل دسترسی به منابع داخلی است.

دیتاسنتر


VPN چگونه کار می‌کند؟

در یک اتصال معمولی، داده از طریق اینترنت میان دستگاه کاربر و مقصد منتقل می‌شود. در VPN، نرم‌افزار یا تجهیزات شبکه ابتدا بسته‌های اطلاعاتی را رمزگذاری کرده و داخل یک تونل مجازی قرار می‌دهند.

این فرایند معمولاً شامل چهار مرحله است:

  1. کاربر یا شعبه به VPN Server متصل می‌شود.
  2. هویت کاربر یا دستگاه بررسی می‌شود.
  3. کلیدهای رمزنگاری میان دو طرف ساخته یا تبادل می‌شوند.
  4. ترافیک مجاز از داخل تونل رمزگذاری‌شده عبور می‌کند.

VPN Server تونل‌ها را خاتمه می‌دهد و ترافیک دریافتی را براساس Route، Firewall و سیاست‌های دسترسی به شبکه داخلی یا اینترنت هدایت می‌کند. OpenVPN نیز سرور VPN را سامانه‌ای معرفی می‌کند که تونل‌ها را خاتمه داده و ترافیک کپسوله‌شده را مسیریابی می‌کند. (OpenVPN)


مفاهیم مهم در VPN

VPN Server

سروری است که درخواست اتصال کاربران یا شعب را دریافت می‌کند. این سرور ممکن است یکی از موارد زیر باشد:

  • یک سرور فیزیکی
  • ماشین مجازی داخل VMware یا Hyper-V
  • سرور مجازی اینترنتی یا VPS
  • فایروال سخت‌افزاری
  • روتر
  • ماشین ابری
  • نرم‌افزار VPN روی Linux یا Windows Server

VPN Client

نرم‌افزار یا دستگاهی است که به VPN Server متصل می‌شود. کلاینت می‌تواند لپ‌تاپ، تلفن همراه، روتر شعبه یا یک سرور دیگر باشد.

Tunnel

تونل VPN مسیر منطقی رمزگذاری‌شده میان دو نقطه است. بسته‌های اصلی شبکه داخل بسته‌های دیگری قرار گرفته و از طریق اینترنت منتقل می‌شوند.

Encryption

رمزگذاری باعث می‌شود اطلاعات در مسیر انتقال برای اشخاص غیرمجاز قابل‌خواندن نباشد. بااین‌حال، رمزگذاری به‌تنهایی کافی نیست؛ احراز هویت، مدیریت کلید، فایروال و به‌روزرسانی نیز اهمیت دارند.

Authentication

پیش از ایجاد اتصال باید هویت کاربر یا دستگاه بررسی شود. روش‌های متداول عبارت‌اند از:

  • نام کاربری و رمز عبور
  • کلید عمومی و خصوصی
  • گواهی دیجیتال
  • Pre-Shared Key
  • RADIUS
  • LDAP و Active Directory
  • SAML
  • احراز هویت چندمرحله‌ای یا MFA

OpenVPN Access Server از روش‌هایی مانند PAM، RADIUS، LDAP و SAML پشتیبانی می‌کند. (OpenVPN)

Public IP

برای آنکه کاربران اینترنت بتوانند مستقیماً به VPN Server متصل شوند، معمولاً حداقل یکی از سمت‌ها باید IP عمومی یا روش جایگزینی مانند Port Forwarding داشته باشد.

در اینترنت‌های پشت CGNAT، راه‌اندازی VPN ورودی ممکن است بدون دریافت IP عمومی، استفاده از سرور واسط یا روش‌های Overlay دشوار باشد.

Port Forwarding

اگر VPN Server پشت مودم یا روتر قرار دارد، باید پورت مربوط به پروتکل VPN از روتر به IP داخلی سرور هدایت شود.

NAT

NAT آدرس‌های خصوصی را به آدرس عمومی ترجمه می‌کند. در VPN باید مشخص شود ترافیک صرفاً میان شبکه‌های خصوصی Route شود یا برای دسترسی به اینترنت نیز NAT انجام شود.

Routing

Routing مشخص می‌کند هر بسته از چه مسیری عبور کند. بسیاری از مشکلات VPN درواقع مشکل Route هستند، نه مشکل رمزگذاری.

DNS

پس از اتصال VPN، کاربر ممکن است برای دسترسی به نام سرورها، دامنه داخلی و Active Directory به DNS سازمان نیاز داشته باشد.

MTU

اگر MTU به‌درستی تنظیم نشده باشد، برخی سایت‌ها یا سرویس‌ها باز نمی‌شوند، اتصال کند می‌شود یا بسته‌های بزرگ منتقل نمی‌شوند. این مشکل در تونل‌های چندلایه بیشتر دیده می‌شود.

Split Tunnel

در حالت Split Tunnel فقط ترافیک مربوط به شبکه سازمان وارد VPN می‌شود و اینترنت عمومی کاربر مستقیماً از اتصال خودش عبور می‌کند.

مزایا:

  • مصرف کمتر پهنای باند شرکت
  • سرعت بالاتر اینترنت کاربران
  • فشار کمتر روی VPN Server

ریسک آن این است که دستگاه کاربر هم‌زمان به اینترنت عمومی و شبکه سازمان متصل است و باید با Endpoint Security و سیاست‌های دسترسی کنترل شود.

Full Tunnel

در Full Tunnel تمام ترافیک کاربر، از جمله اینترنت، از VPN Server عبور می‌کند.

مزایا:

  • کنترل و ثبت بهتر ترافیک
  • اعمال فایروال و فیلترینگ سازمانی
  • محافظت بیشتر در شبکه‌های عمومی

معایب:

  • مصرف بیشتر پهنای باند
  • نیاز به سرور قوی‌تر
  • افزایش Latency
  • وابستگی اینترنت کاربر به VPN Server

Site-to-Site

در Site-to-Site دو شبکه کامل به یکدیگر متصل می‌شوند. برای مثال:

دفتر تهران: 192.168.10.0/24             │          اینترنت             │دفتر دبی:   192.168.20.0/24

پس از ایجاد تونل، سیستم‌های دو شعبه می‌توانند طبق سیاست فایروال با یکدیگر ارتباط داشته باشند. strongSwan نیز Site-to-Site را به‌عنوان اتصال دو شبکه پشت دو Gateway توضیح می‌دهد. (strongSwan)

Remote Access یا Client-to-Site

در این مدل کاربران از لپ‌تاپ یا موبایل به شبکه شرکت متصل می‌شوند. این روش برای دورکاری، پشتیبانی و دسترسی مدیران کاربرد دارد.

Host-to-Host

در این حالت فقط دو سیستم مستقیماً به یکدیگر متصل می‌شوند؛ مثلاً یک سرور بکاپ و یک سرور اصلی.

Hub-and-Spoke

همه شعب به یک مرکز اصلی متصل می‌شوند. ارتباط شعب نیز در صورت نیاز از طریق همان مرکز انجام می‌شود.

Mesh VPN

در معماری Mesh، گره‌ها می‌توانند مستقیماً یا از طریق شبکه Overlay با یکدیگر ارتباط برقرار کنند. این معماری برای تعداد زیاد سرور، کاربران پراکنده و محیط Cloud مفید است.


کاربردهای VPN

VPN در سازمان‌ها کاربردهای گسترده‌ای دارد:

  • دورکاری امن کارکنان
  • دسترسی به نرم‌افزار حسابداری
  • اتصال به ERP و CRM
  • اتصال دو یا چند شعبه
  • دسترسی به فایل‌سرور
  • مدیریت سرور و تجهیزات شبکه
  • دسترسی امن به دوربین‌های مداربسته
  • ارتباط میان دیتاسنتر و دفتر مرکزی
  • اتصال Cloud به شبکه داخلی
  • انتقال بکاپ میان دو محل
  • ارتباط امن سرورهای پایگاه داده
  • مدیریت تجهیزات صنعتی و IoT
  • اتصال پیمانکاران با دسترسی محدود
  • دسترسی به VMware، iLO و پنل‌های مدیریتی
  • ارتباط امن میان سرویس‌های نرم‌افزاری

VPN باید صرفاً برای کاربردهای قانونی و مجاز و با رعایت سیاست‌های سازمان و قوانین محل استفاده پیاده‌سازی شود.

دلایل بالا رفتن دور فن سرور HPE


انواع پروتکل‌های VPN

WireGuard

WireGuard یک پروتکل مدرن، ساده و سبک است که از کلید عمومی و خصوصی استفاده می‌کند. وب‌سایت رسمی آن بر سادگی، کارایی بالا و طراحی مدرن تأکید دارد. (WireGuard)

مزایا

  • راه‌اندازی نسبتاً ساده
  • سربار کم
  • سرعت مناسب
  • کد و تنظیمات کم‌حجم
  • مناسب Linux، Windows، Android و iOS
  • مناسب Host-to-Host و Site-to-Site
  • مناسب VPS و ماشین مجازی کوچک

محدودیت‌ها

  • مدیریت کاربران سازمانی به‌صورت داخلی محدودتر از بعضی راهکارهای تجاری
  • هر Peer معمولاً با کلید تعریف می‌شود
  • برای پرتال کاربری، گزارش‌گیری پیشرفته و اتصال مستقیم به SAML یا LDAP به ابزارهای مدیریتی تکمیلی نیاز دارد
  • WireGuard به‌طور ذاتی برای مخفی‌سازی ترافیک در برابر Deep Packet Inspection طراحی نشده است. (WireGuard)

مناسب برای

  • اتصال دو سرور
  • ارتباط دو شعبه کوچک
  • اتصال مدیران فنی
  • بکاپ بین دو محل
  • شبکه‌های سبک و سریع
  • زیرساخت‌های Linux

OpenVPN Community Edition

OpenVPN Community Edition یک راهکار متن‌باز انعطاف‌پذیر است و می‌تواند با گواهی دیجیتال، کلیدها و تنظیمات متنوع پیاده‌سازی شود. مستندات رسمی OpenVPN 2.6 آن را یک VPN متن‌باز عمومی با امکانات گسترده معرفی می‌کند. (OpenVPN)

مزایا

  • متن‌باز
  • سازگاری گسترده
  • امکان استفاده از TCP یا UDP
  • پشتیبانی از Certificate
  • مناسب Remote Access
  • قابلیت اجرای Split Tunnel و Full Tunnel
  • جامعه کاربری بزرگ

معایب

  • تنظیم دستی آن از WireGuard پیچیده‌تر است
  • مدیریت Certificateها نیاز به دقت دارد
  • در بعضی سناریوها سربار پردازشی بیشتری دارد
  • برای مدیریت ساده تعداد زیاد کاربر، نسخه خام Community نیازمند ابزار و طراحی تکمیلی است

OpenVPN Access Server

Access Server نسخه مدیریتی و تجاری OpenVPN است که پنل وب، مدیریت کاربران، گروه‌ها، احراز هویت و کنترل دسترسی ارائه می‌کند. (OpenVPN)

مدل لایسنس

طبق مستندات فعلی، Access Server بدون لایسنس امکان استفاده آزمایشی با دو اتصال هم‌زمان را فراهم می‌کند. برای تعداد بیشتر باید لایسنس تهیه شود. (OpenVPN)

مدل‌های لایسنس آن شامل موارد زیر است:

  • اشتراک ماهانه یا سالانه
  • Fixed License با تعداد اتصال مشخص
  • مدل مخصوص AWS

جزئیات و حداقل ظرفیت‌ها ممکن است تغییر کنند و باید هنگام خرید از صفحه رسمی بررسی شوند. (OpenVPN)

مناسب برای

  • شرکت‌هایی که پنل مدیریت می‌خواهند
  • مدیریت کاربران متعدد
  • اتصال به LDAP، RADIUS یا SAML
  • کنترل دسترسی گروهی
  • تیم‌های بدون نیروی متخصص Linux

IPsec و IKEv2

IPsec مجموعه‌ای از استانداردهای امنیتی در لایه شبکه است. در IPsec معمولاً IKE برای مذاکره کلیدها و ESP برای حفاظت از بسته‌های IP استفاده می‌شود. (strongSwan)

مزایا

  • استاندارد سازمانی
  • مناسب Site-to-Site
  • پشتیبانی گسترده در روترها و فایروال‌ها
  • مناسب ارتباط میان برندهای مختلف
  • پشتیبانی مناسب در سیستم‌عامل‌ها
  • امکان استفاده از Certificate یا Pre-Shared Key

معایب

  • تنظیمات پیچیده‌تر
  • عیب‌یابی دشوارتر
  • حساسیت به NAT، Route و Proposalهای رمزنگاری
  • نیازمند هماهنگی دقیق دو سمت

strongSwan

strongSwan یک پیاده‌سازی کامل IPsec برای Linux است و برای Remote Access، Site-to-Site و Host-to-Host استفاده می‌شود. (strongSwan)


L2TP/IPsec

L2TP به‌تنهایی رمزگذاری ایجاد نمی‌کند و معمولاً همراه IPsec استفاده می‌شود.

مزیت آن پشتیبانی داخلی در بسیاری از سیستم‌عامل‌ها است، اما برای پروژه‌های جدید معمولاً WireGuard، IKEv2 یا OpenVPN انتخاب‌های مناسب‌تری هستند.


SSTP

SSTP عمدتاً در اکوسیستم Microsoft استفاده می‌شود و ترافیک را از طریق TLS منتقل می‌کند. برای سازمان‌هایی که کاربران Windows دارند می‌تواند مفید باشد.

Windows Server RRAS از پروتکل‌هایی مانند L2TP، SSTP و IKEv2 پشتیبانی می‌کند. (Microsoft Learn)


PPTP

PPTP پروتکلی قدیمی است و برای پروژه‌های جدید یا انتقال اطلاعات حساس توصیه نمی‌شود. وجود آن در برخی تجهیزات قدیمی نباید دلیل استفاده از آن باشد.


مقایسه پروتکل‌های مهم

پروتکل سرعت پیچیدگی مدیریت کاربران کاربرد مناسب
WireGuard بسیار خوب کم پایه اتصال سرور، شعبه و کاربران محدود
OpenVPN Community خوب متوسط تا زیاد نیازمند پیاده‌سازی Remote Access انعطاف‌پذیر
OpenVPN Access Server خوب کم تا متوسط بسیار خوب شرکت‌ها و کاربران متعدد
IKEv2/IPsec بسیار خوب متوسط تا زیاد مناسب سازمانی Site-to-Site و موبایل
L2TP/IPsec متوسط متوسط متوسط سازگاری با سیستم‌های قدیمی
SSTP متوسط متوسط مناسب محیط Windows شبکه‌های Microsoft
PPTP نامناسب امنیتی کم محدود برای پروژه جدید توصیه نمی‌شود

آموزش راه‌اندازی VPN بین دو سیستم با WireGuard

در این مثال دو سیستم Linux به‌صورت Host-to-Host متصل می‌شوند.

فرض می‌کنیم:

سیستم A:Public IP: 203.0.113.10VPN IP: 10.20.0.1سیستم B:Public IP: 198.51.100.20VPN IP: 10.20.0.2

آدرس‌های Public بالا نمونه‌اند و باید با آدرس واقعی جایگزین شوند.

مرحله اول: نصب WireGuard

در Ubuntu یا Debian:

sudo apt updatesudo apt install wireguard

مرحله دوم: ساخت کلید در هر دو سیستم

روی سیستم A:

umask 077wg genkey | tee privatekey | wg pubkey > publickey

روی سیستم B نیز همین دستور اجرا شود:

umask 077wg genkey | tee privatekey | wg pubkey > publickey

کلید خصوصی هر سیستم نباید در اختیار سمت دیگر یا شخص ثالث قرار گیرد. فقط Public Key مبادله می‌شود. روش تولید کلید و تنظیم Peer در Quick Start رسمی WireGuard شرح داده شده است. (WireGuard)

مرحله سوم: تنظیم سیستم A

فایل زیر ساخته شود:

sudo nano /etc/wireguard/wg0.conf

محتوا:

[Interface]Address = 10.20.0.1/24ListenPort = 51820PrivateKey = PRIVATE_KEY_OF_A[Peer]PublicKey = PUBLIC_KEY_OF_BAllowedIPs = 10.20.0.2/32Endpoint = 198.51.100.20:51820PersistentKeepalive = 25

مرحله چهارم: تنظیم سیستم B

[Interface]Address = 10.20.0.2/24ListenPort = 51820PrivateKey = PRIVATE_KEY_OF_B[Peer]PublicKey = PUBLIC_KEY_OF_AAllowedIPs = 10.20.0.1/32Endpoint = 203.0.113.10:51820PersistentKeepalive = 25

مرحله پنجم: باز کردن پورت

روی هر دو سیستم:

sudo ufw allow 51820/udp

اگر سیستم پشت مودم است، UDP 51820 باید به IP داخلی آن Port Forward شود.

مرحله ششم: فعال‌سازی

sudo systemctl enable --now wg-quick@wg0

مشاهده وضعیت:

sudo wg show

تست از سیستم A:

ping 10.20.0.2

تست از سیستم B:

ping 10.20.0.1

راه‌اندازی WireGuard به‌صورت Site-to-Site

فرض کنیم:

شبکه شعبه A: 192.168.10.0/24شبکه شعبه B: 192.168.20.0/24

در تنظیم Peer سیستم A:

AllowedIPs = 10.20.0.2/32, 192.168.20.0/24

در تنظیم Peer سیستم B:

AllowedIPs = 10.20.0.1/32, 192.168.10.0/24

سپس IP Forwarding باید روی هر دو Gateway فعال شود:

sudo sysctl -w net.ipv4.ip_forward=1

برای دائمی‌شدن:

sudo nano /etc/sysctl.d/99-vpn-forward.conf

و داخل آن:

net.ipv4.ip_forward=1

سپس:

sudo sysctl --system

در روترهای داخلی نیز باید Route برگشت تعریف شود. برای مثال، شبکه شعبه A باید بداند مقصد 192.168.20.0/24 از طریق IP داخلی VPN Gateway شعبه A قابل‌دسترسی است.

اگر VPN Gateway همان Default Gateway شبکه نباشد، Route برگشت اهمیت ویژه‌ای دارد. مستندات strongSwan نیز در سناریوهای Site-to-Site بر افزودن Route در سمت LAN یا Gateway تأکید می‌کند. (strongSwan)


راه‌اندازی VPN در Windows Server

برای محیط‌های کاملاً مایکروسافتی می‌توان از Routing and Remote Access Service یا RRAS استفاده کرد.

مراحل کلی:

  1. نصب Role مربوط به Remote Access
  2. انتخاب VPN و Routing
  3. فعال‌سازی RRAS
  4. تعریف محدوده IP برای کاربران
  5. انتخاب پروتکل، ترجیحاً IKEv2 یا SSTP
  6. نصب Certificate معتبر
  7. تعریف دسترسی کاربران
  8. تنظیم NPS یا RADIUS در صورت نیاز
  9. بازکردن پورت‌های لازم
  10. تنظیم Route و Firewall
  11. آزمایش از خارج شبکه

راهنمای رسمی Microsoft نصب RRAS به‌عنوان VPN Server، تنظیم پروتکل‌ها و محدوده IP کاربران را پوشش می‌دهد. (Microsoft Learn)

برای سازمان‌های دارای Active Directory، RRAS می‌تواند از کاربران دامنه و Network Policy Server استفاده کند. بااین‌حال بهتر است VPN روی Domain Controller اصلی نصب نشود و یک ماشین مجازی یا سرور مستقل برای این نقش در نظر گرفته شود.


لایسنس‌های موردنیاز

WireGuard

  • نرم‌افزار متن‌باز
  • هزینه لایسنس اتصال ندارد
  • هزینه سیستم‌عامل، سرور، نگهداری و پنل مدیریت جداست

strongSwan

  • متن‌باز
  • بدون هزینه اتصال بر مبنای کاربر
  • برای پشتیبانی تجاری یا تجهیزات جانبی ممکن است هزینه جداگانه وجود داشته باشد

OpenVPN Community Edition

  • متن‌باز
  • محدودیت تجاری تعداد اتصال مانند Access Server ندارد
  • مدیریت، پشتیبانی، PKI و نگهداری بر عهده مجموعه است

OpenVPN Access Server

  • دو اتصال هم‌زمان بدون خرید لایسنس
  • تعداد بیشتر براساس مدل اشتراکی یا Fixed License
  • هزینه براساس ظرفیت اتصال هم‌زمان و مدل لایسنس تعیین می‌شود. (OpenVPN)

Windows Server RRAS

برای اجرای RRAS به لایسنس معتبر Windows Server نیاز است. نحوه نیاز به Windows Server CAL یا سایر مجوزها به مدل دسترسی، نسخه Windows Server و قرارداد لایسنس سازمان بستگی دارد و باید با فروشنده رسمی لایسنس بررسی شود.

pfSense و OPNsense

نسخه‌های Community عمدتاً متن‌باز هستند، اما پشتیبانی تجاری، Appliance رسمی و برخی خدمات سازمانی هزینه جداگانه دارند.

VMware و Hyper-V

اگر VPN به‌صورت ماشین مجازی اجرا شود، باید هزینه یا مجوز Hypervisor و سیستم‌عامل مهمان نیز در نظر گرفته شود.


چه سخت‌افزاری برای VPN لازم است؟

قدرت لازم برای VPN فقط به تعداد کاربران وابسته نیست. عوامل اصلی عبارت‌اند از:

  • پهنای باند واقعی
  • نوع پروتکل
  • الگوریتم رمزنگاری
  • تعداد اتصال هم‌زمان
  • Full Tunnel یا Split Tunnel
  • میزان ترافیک هر کاربر
  • وجود Firewall، IDS و IPS
  • ثبت Log
  • احراز هویت چندمرحله‌ای
  • نوع کارت شبکه
  • تعداد تونل‌های Site-to-Site
  • انتقال فایل‌های بزرگ
  • دسترسی به دوربین یا ویدئو

پردازنده

VPN عملیات رمزنگاری انجام می‌دهد و به CPU وابسته است. ویژگی‌های مناسب:

  • فرکانس مناسب
  • هسته کافی
  • پشتیبانی از دستورهای شتاب‌دهنده رمزنگاری
  • معماری جدید
  • عملکرد تک‌هسته‌ای مناسب
  • توانایی مدیریت Interruptهای شبکه

در WireGuard معمولاً CPU جدید و سریع، حتی با تعداد هسته متوسط، عملکرد خوبی ارائه می‌دهد. برای OpenVPN، مخصوصاً در بارهای زیاد، فرکانس و نحوه پردازش تونل‌ها اهمیت بیشتری پیدا می‌کند.

رم

VPN معمولاً نسبت به دیتابیس به رم بسیار زیادی نیاز ندارد، اما سیستم‌عامل، Log، پنل مدیریت، Radius و سرویس‌های امنیتی مصرف رم را افزایش می‌دهند.

کارت شبکه

برای سرویس جدی بهتر است حداقل دو رابط شبکه وجود داشته باشد:

  • WAN
  • LAN

برای ظرفیت بیشتر:

  • 1GbE برای مجموعه کوچک
  • 10GbE برای سازمان متوسط یا دیتاسنتر
  • 25GbE و بالاتر برای حجم زیاد یا تجمیع شعب

وجود کارت 10GbE به معنی دستیابی به VPN ده گیگابیتی نیست؛ CPU، پروتکل، MTU، اینترنت و سمت مقابل نیز باید توان لازم را داشته باشند.

ذخیره‌سازی

فضای ذخیره‌سازی زیادی لازم نیست، مگر اینکه Log طولانی، Packet Capture یا گزارش امنیتی نگهداری شود.

پیشنهاد عمومی:

  • دو SSD در RAID 1 برای سرور فیزیکی مهم
  • 40 تا 100 گیگابایت برای سیستم ساده
  • 100 تا 500 گیگابایت برای Log و گزارش‌گیری گسترده

پاور

برای سرویس حیاتی استفاده از دو پاور Redundant، UPS و مسیر برق مستقل توصیه می‌شود.


کانفیگ‌های پیشنهادی VPN

این موارد برآورد اولیه هستند و تضمین عملکرد محسوب نمی‌شوند. برای پروژه جدی باید تست عملی با پهنای باند، پروتکل و تعداد کاربر واقعی انجام شود.

VPN کوچک؛ تا حدود 20 کاربر

کاربرد:

  • دسترسی به حسابداری
  • Remote Desktop
  • فایل‌های سبک
  • مدیریت سرورها

کانفیگ پیشنهادی:

  • 2 تا 4 هسته پردازشی
  • 4 تا 8 گیگابایت رم
  • 40 تا 80 گیگابایت SSD
  • یک یا دو کارت شبکه 1GbE
  • WireGuard یا OpenVPN
  • Ubuntu Server یا Debian

سرور مناسب:

  • VPS کوچک
  • HPE MicroServer
  • HPE DL20
  • HPE ML30
  • ماشین مجازی روی سرور فعلی

VPN متوسط؛ 20 تا 100 کاربر

کانفیگ خرید سرور پیشنهادی:

  • 4 تا 8 هسته جدید
  • 8 تا 16 گیگابایت رم
  • دو SSD در RAID 1 در سرور فیزیکی
  • حداقل دو پورت شبکه
  • کارت شبکه 1 یا 10GbE
  • MFA و RADIUS
  • مانیتورینگ و Log

سرور مناسب:

  • HPE DL20 Gen10 Plus یا Gen11
  • HPE ML30 Gen10 یا Gen11
  • HPE DL360 Gen10
  • ماشین مجازی با منابع رزروشده

VPN سازمانی؛ 100 تا 500 کاربر

کانفیگ پیشنهادی:

  • 8 تا 16 هسته پردازشی
  • 16 تا 32 گیگابایت رم
  • SSD Enterprise در RAID 1
  • شبکه 10GbE
  • دو پاور
  • حداقل دو VPN Node
  • Load Balancer یا طراحی Active/Standby
  • RADIUS یا SAML
  • MFA
  • SIEM و Central Logging

سرور مناسب:

  • HPE DL360 Gen10 یا Gen11
  • HPE DL380 Gen10 یا Gen11
  • دو ماشین مجازی روی دو Host مجزا
  • Appliance سازمانی

VPN پرترافیک یا بیش از 500 کاربر

کانفیگ پیشنهادی:

  • 16 تا 32 هسته یا بیشتر
  • 32 تا 64 گیگابایت رم
  • کارت شبکه 10 یا 25GbE
  • چند VPN Gateway
  • Load Balancing
  • High Availability
  • HSM یا TPM در پروژه‌های حساس
  • سیستم مانیتورینگ
  • طراحی ظرفیت بر اساس Gbps و نه فقط تعداد کاربران

سرور مناسب:

  • HPE DL360 Gen11
  • HPE DL380 Gen11
  • HPE DL360 Gen12
  • HPE DL380 Gen12
  • کلاستر چندگرهی

در چنین مقیاسی، یک سرور بسیار قدرتمند همیشه بهتر از چند گره متوسط نیست؛ چند Node مستقل می‌توانند دسترس‌پذیری و مقیاس‌پذیری بهتری ایجاد کنند.


سرورهای HPE مناسب VPN

HPE MicroServer

مناسب:

  • دفتر کوچک
  • کاربران محدود
  • File Server همراه VPN
  • مصرف برق و صدای پایین

محدودیت:

  • توسعه و افزونگی کمتر
  • توان محدودتر
  • معمولاً مناسب VPN سازمانی پرترافیک نیست

HPE ML30

مناسب:

  • شرکت کوچک
  • نصب در محیط بدون رک
  • WireGuard یا OpenVPN
  • تعداد کاربر کم تا متوسط

HPE DL20

مناسب:

  • VPN Gateway اختصاصی
  • رک کوچک
  • هزینه مناسب
  • یک پردازنده با فرکانس خوب
  • سازمان کوچک و متوسط

برای بسیاری از VPNها، DL20 از نظر اقتصادی منطقی‌تر از DL380 است؛ زیرا VPN معمولاً به ظرفیت عظیم رم و تعداد زیاد هارد نیاز ندارد.

HPE DL360

مناسب:

  • سازمان متوسط و بزرگ
  • چند صد کاربر
  • چند رابط شبکه
  • High Availability
  • RRAS، OpenVPN، IPsec و فایروال مجازی

مزیت:

  • قدرت پردازشی بالا در فضای 1U
  • مناسب دیتاسنتر
  • امکان استفاده از دو CPU در بسیاری از مدل‌ها

HPE DL380

مناسب:

  • VPN همراه با سرویس‌های امنیتی
  • چند ماشین مجازی
  • Firewall، IDS، RADIUS و Log Server
  • سازمان بزرگ
  • شبکه 10 و 25GbE

اگر فقط یک VPN ساده اجرا می‌شود، سرور HP DL380 معمولاً بیش از نیاز است. اما اگر قرار است روی آن چند ماشین مجازی امنیتی، مانیتورینگ و سرویس شبکه اجرا شود، انتخاب مناسبی است.


نمونه کانفیگ HPE اقتصادی برای VPN

کانفیگ استوک G9

HPE DL360 Gen91x Intel Xeon E5-2640 v432GB DDR4 ECC RAM2x 240GB Enterprise SSD – RAID 1HPE Smart Array Controller2x 1GbE یا 10GbE Network2x Power Supply

مناسب برای VPN سازمانی سبک تا متوسط، WireGuard، OpenVPN و RRAS است؛ مشروط به سلامت کامل دستگاه و کافی‌بودن پهنای باند.

کانفیگ متعادل Gen10

HPE DL360 Gen101x Intel Xeon Silver 4210R یا مشابه32GB یا 64GB DDR4 ECC2x Enterprise SSD – RAID 1HPE Smart Array4x 1GbE یا 2x 10GbE2x Redundant Power Supply

این کانفیگ برای چند ماشین مجازی شبکه، VPN، RADIUS و Monitoring مناسب است.

کانفیگ جدید G11

HPE DL360 Gen111x Intel Xeon Silver 4410Y یا پردازنده متناسب64GB DDR5 ECC2x Enterprise SSD – RAID 12x 10GbE یا 25GbE2x Redundant Power Supply

برای سازمانی که زیرساخت جدید و عمر بهره‌برداری طولانی می‌خواهد انتخاب مناسبی است.


سرور مجازی برای VPN بهتر است یا فیزیکی؟

مزایای VPN روی ماشین مجازی

  • هزینه اولیه کمتر
  • راه‌اندازی سریع
  • Snapshot و Backup آسان‌تر
  • انتقال ساده میان Hostها
  • امکان افزایش vCPU و RAM
  • مناسب استفاده از منابع خالی سرور
  • ایجاد چند VPN مستقل
  • مناسب شعب کوچک و متوسط

معایب ماشین مجازی

  • وابستگی به Host
  • اشتراک CPU و شبکه با سایر VMها
  • احتمال کاهش عملکرد در Oversubscription
  • پیچیدگی شبکه مجازی
  • در صورت خرابی Host، تمام سرویس‌های آن متوقف می‌شوند
  • نیاز به مدیریت Hypervisor

مزایای سرور فیزیکی

  • منابع اختصاصی
  • عملکرد قابل‌پیش‌بینی‌تر
  • کنترل مستقیم کارت شبکه
  • مناسب Throughput بالا
  • جداسازی امنیتی بیشتر
  • عدم وابستگی به Hypervisor
  • مناسب VPN حیاتی و Edge Gateway

معایب سرور فیزیکی

  • هزینه خرید بیشتر
  • مصرف برق بیشتر
  • نیاز به سخت‌افزار جایگزین
  • استفاده‌نشدن بخشی از منابع
  • مدیریت Backup و Disaster Recovery دشوارتر

چه زمانی ماشین مجازی انتخاب بهتری است؟

ماشین مجازی معمولاً مناسب‌تر است اگر:

  • زیرساخت VMware یا Hyper-V دارید.
  • تعداد کاربران کم تا متوسط است.
  • VPN فقط یکی از سرویس‌های سازمان است.
  • شبکه مجازی به‌درستی طراحی شده است.
  • دو Host و High Availability دارید.
  • نیاز به Snapshot و جابه‌جایی سریع دارید.
  • پهنای باند بسیار سنگین نیست.

برای یک شرکت با 20 تا 100 کاربر، یک VM با 4 تا 8 vCPU، حدود 8 تا 16 گیگابایت رم و کارت شبکه مجازی مناسب ممکن است کاملاً کافی باشد.


چه زمانی سرور فیزیکی بهتر است؟

سرور فیزیکی اچ پی مناسب‌تر است اگر:

  • VPN در لبه شبکه قرار دارد.
  • ترافیک بسیار زیاد است.
  • Full Tunnel اجرا می‌شود.
  • صدها یا هزاران کاربر دارید.
  • جداسازی امنیتی الزام سازمانی است.
  • نیاز به کارت شبکه اختصاصی یا Hardware Offload دارید.
  • سرویس VPN نباید تحت تأثیر بار سایر VMها قرار گیرد.
  • فایروال، IDS و IPS نیز روی همان Gateway اجرا می‌شود.

VPS یا سرور مجازی اینترنتی برای VPN

VPS برای VPN شخصی، اتصال چند سرور یا دسترسی محدود کارکنان مناسب است؛ اما باید به این موارد توجه شود:

  • موقعیت دیتاسنتر
  • قوانین ارائه‌دهنده
  • IP عمومی
  • سرعت واقعی پورت
  • محدودیت ترافیک
  • کیفیت Peering
  • وجود DDoS Protection
  • امکان تنظیم IP Forwarding
  • امکان استفاده از UDP
  • دسترسی به کنسول
  • Backup
  • SLA
  • تعداد vCPU واقعی
  • محدودیت Packet Per Second

برای VPN تجاری مهم، ارزان‌ترین VPS معمولاً بهترین انتخاب نیست. کیفیت مسیر شبکه و پایداری اغلب مهم‌تر از مقدار رم است.

strongSwan یادآور می‌شود که در محیط Cloud ممکن است لازم باشد بررسی Source/Destination ترافیک غیرفعال یا تنظیم شبکه متناسب انجام شود تا ماشین بتواند نقش VPN Gateway را ایفا کند. (strongSwan)


سیستم‌عامل مناسب VPN

Ubuntu Server یا Debian

مناسب برای:

  • WireGuard
  • OpenVPN
  • strongSwan
  • هزینه پایین
  • اتوماسیون
  • سرور فیزیکی و مجازی

Windows Server

مناسب برای:

  • RRAS
  • Active Directory
  • NPS
  • Always On VPN
  • کاربران Windows
  • مدیریت یکپارچه سازمانی

pfSense

مناسب برای:

  • فایروال و VPN یکپارچه
  • IPsec
  • OpenVPN
  • WireGuard در نسخه‌ها و بسته‌های سازگار
  • مدیریت از طریق Web UI

OPNsense

مشابه pfSense و مناسب برای فایروال، Site-to-Site و Remote Access با پنل مدیریتی.

RouterOS

برای روترها و تجهیزات MikroTik مناسب است؛ به‌ویژه شعب کوچک، Site-to-Site و شبکه‌هایی که از قبل MikroTik دارند.


امنیت VPN

راه‌اندازی تونل پایان کار نیست. برای VPN سازمانی این موارد ضروری‌اند:

  • استفاده از MFA
  • حذف پروتکل‌های قدیمی
  • Certificate اختصاصی برای هر کاربر یا دستگاه
  • عدم استفاده مشترک از یک حساب
  • محدودکردن دسترسی هر گروه
  • ثبت و بررسی Log
  • به‌روزرسانی سیستم‌عامل و نرم‌افزار
  • محدودکردن پورت‌های ورودی
  • استفاده از Firewall
  • غیرفعال‌کردن حساب‌های بلااستفاده
  • تغییر و ابطال کلید دستگاه مفقودشده
  • Backup از تنظیمات و PKI
  • محدودیت تلاش ورود
  • اتصال به RADIUS یا Identity Provider
  • نصب EDR روی کلاینت‌ها
  • جداسازی VPN کاربران از شبکه مدیریت
  • اجرای تست نفوذ و ممیزی دوره‌ای

بهتر است کاربر VPN مستقیماً به تمام VLANها و سرورها دسترسی نداشته باشد. دسترسی باید براساس نقش تعریف شود؛ برای مثال واحد مالی فقط به نرم‌افزار مالی و سرور فایل مربوط به خودش دسترسی داشته باشد.


طراحی High Availability

برای سرویس حیاتی، یک VPN Server نقطه شکست واحد است. معماری مناسب‌تر می‌تواند شامل موارد زیر باشد:

Internet   │Firewall / Load Balancer   │ ┌─────────────┐ │             │VPN Node 1   VPN Node 2 │             │ └──── LAN ────┘

موارد لازم:

  • دو سرور یا دو VM روی Hostهای متفاوت
  • همگام‌سازی تنظیمات
  • RADIUS یا Identity مرکزی
  • IP مجازی یا Load Balancer
  • مانیتورینگ سلامت
  • تست Failover
  • دو ISP در پروژه‌های حساس
  • UPS و برق افزونه
  • Backup تنظیمات

اشتباهات رایج در راه‌اندازی VPN

  • استفاده از PPTP
  • استفاده از رمز عبور ساده
  • استفاده از یک حساب برای همه
  • نداشتن MFA
  • بازکردن دسترسی کامل شبکه
  • استفاده از Full Tunnel بدون محاسبه پهنای باند
  • نادیده‌گرفتن Route برگشت
  • اشتباه در DNS
  • نبود IP عمومی
  • استفاده از Subnet یکسان در دو شعبه
  • نداشتن Backup
  • نداشتن Log
  • نصب VPN روی سرور حساس بدون جداسازی
  • قرار دادن VPN روی Domain Controller
  • خرید سرور بسیار قوی بدون بررسی اینترنت
  • استفاده از سرور ارزان با شبکه بی‌کیفیت
  • نداشتن برنامه لغو دسترسی کارکنان جداشده

انتخاب نهایی بر اساس سناریو

سناریو راهکار مناسب
اتصال دو سرور WireGuard
اتصال دو شعبه کوچک WireGuard یا IPsec
اتصال روتر و فایروال برندهای مختلف IPsec/IKEv2
کاربران Windows و Active Directory RRAS/IKEv2 یا OpenVPN Access Server
کاربران متعدد با پنل مدیریت OpenVPN Access Server
VPN سبک روی VPS WireGuard
شبکه سازمانی دارای فایروال IPsec یا SSL VPN همان فایروال
چند صد کاربر چند Node با RADIUS و MFA
انتقال بکاپ بین دو محل WireGuard یا IPsec Site-to-Site
پروژه حساس VPN Cluster، MFA، Certificate و HA

جمع‌بندی

VPN یک شبکه خصوصی مجازی است که برای ایجاد ارتباط امن میان کاربران، سرورها، شعب و دیتاسنترها استفاده می‌شود. انتخاب راهکار مناسب به تعداد کاربران، پهنای باند، نوع دسترسی، تجهیزات شبکه، سیستم‌عامل و سطح امنیت بستگی دارد.

برای ارتباط ساده میان دو سیستم یا دو شعبه کوچک، WireGuard سریع و ساده است. برای محیط‌های سازمانی دارای تجهیزات مختلف، IPsec/IKEv2 استاندارد مناسبی محسوب می‌شود. برای مدیریت کاربران متعدد، OpenVPN Access Server یا راهکارهای تجاری فایروال امکانات مدیریتی بهتری ارائه می‌کنند. در شبکه‌های Microsoft نیز Windows Server RRAS می‌تواند با Active Directory و NPS یکپارچه شود.

در بیشتر شرکت‌های کوچک و متوسط، VPN را می‌توان روی ماشین مجازی اجرا کرد. برای ترافیک بالا، سرویس حیاتی، Full Tunnel، جداسازی امنیتی یا صدها کاربر، سرور فیزیکی یا چند گره VPN مستقل مناسب‌تر است.

از نظر سخت‌افزار، یک HPE DL20 یا ML30 برای مجموعه کوچک کافی است. DL360 برای VPN سازمانی انتخاب متعادل‌تری است و DL380 زمانی ارزش دارد که چند سرویس امنیتی، ماشین مجازی، Log Server یا فایروال نیز روی همان زیرساخت اجرا شود. قدرت واقعی VPN باید براساس سرعت رمزگذاری، ظرفیت اینترنت، Packet Rate و تعداد اتصال هم‌زمان سنجیده شود؛ نه صرفاً تعداد هسته، مقدار رم یا مدل سرور.

تماس با ماهان شبکه ایرانیان مرکز فروش سرور اچ پی در ایران 021 91008413  تماس بگیرید.

5/5 - (1 امتیاز)
2 نظر برای "VPN چیست؟ راهنمای کامل مفاهیم، کاربردها، انواع، راه‌اندازی و انتخاب سرور VPN" ارسال شده
  1. فرزاد گفت:

    ممنون. جواب کلی از سوالاتم رو گرفتم

    1. کارشناس روابط عمومی گفت:

      خوشحالیم که براتون مفید بوده.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

3 × دو =