صفحه اصلی میکروتیک راهنمای جامع NasNet Connect

راهنمای جامع NasNet Connect

آخرین به‌روزرسانی در تاریخ May 12, 2026

۱. معرفی کلی سیستم و فلسفه طراحی NasNet Connect

۱.۱ هدف و کاربرد NasNet Connect

NasNet Connect یک راهکار نرم‌افزاری تخصصی است که برای کاربران اینترنت استارلینک در ایران طراحی شده است. با توجه به ملاحظات امنیتی استفاده مستقیم از استارلینک در ایران، این سیستم مجموعه‌ای از ابزارها و پیکربندی‌های خودکار را فراهم می‌کند که به کاربر اجازه می‌دهد با امنیت و کارایی بالا از اینترنت استارلینک استفاده نماید.

NasNet Connect روی روتر MikroTik نصب می‌شود و وظایف اصلی زیر را بر عهده دارد:

         •            تفکیک هوشمند ترافیک ایران و بین‌الملل

         •            مخفی کردن IP استارلینک از طریق VPN

         •            ساخت شبکه‌های بی‌سیم مجزا با رفتارهای متفاوت

         •            مدیریت Failover خودکار در صورت قطع هر یک از خطوط اینترنت

         •            امکان اتصال VPN از خارج به روتر MikroTik

۱.۲ حالت‌های نصب

NasNet Connect در دو حالت قابل نصب است:

| حالت | توضیح | مناسب برای | | Easy Mode | یک شبکه بی‌سیم با حالت Split به‌صورت پیش‌فرض ایجاد می‌شود | کاربران عادی که نیاز به پیکربندی پیچیده ندارند | | Advanced Mode | امکان تعریف چندین SSID با Bridge و رفتار مجزا | کاربران حرفه‌ای و محیط‌های چندکاربره |

۱.۳ پروتکل‌های VPN پشتیبانی‌شده

برای اتصال از بیرون به روتر (نیازمند IP عمومی/ثابت روی اینترنت ایران و فعال‌سازی Port Forwarding):

         •            OpenVPN

         •            L2TP

         •            SSTP

         •            WireGuard (در صورت فیلتر نبودن)

۲. معماری فیزیکی و منطقی شبکه

۲.۱ انواع رابط‌های شبکه (Interface)

در NasNet Connect دو دسته اصلی رابط شبکه وجود دارد:

رابط‌های WAN (شبکه خارجی)

| نام | نوع اتصال | توضیح | | Foreign WAN | استارلینک | خط اینترنت بین‌الملل - ترافیک خارجی | | Domestic WAN | اینترنت ایران | خط اینترنت داخلی - ترافیک سایت‌های ایرانی | | VPN WAN | VPN Client | خروجی اصلی NasNet Connect برای مخفی‌سازی IP استارلینک |

رابط‌های LAN (شبکه داخلی)

رابط‌های LAN شامل پورت‌های پشت روتر MikroTik و شبکه بی‌سیم می‌شوند.

۲.۲ Bridge‌های اصلی و جداول مسیریابی

NasNet Connect از چهار Bridge اصلی استفاده می‌کند که هر کدام یک رنج IP مستقل و یک جدول مسیریابی (Routing Table) اختصاصی دارند:

| نام Bridge | رنج IP پیش‌فرض | جدول مسیریابی | رفتار ترافیک | | LAN Bridge Domestic | 192.168.20.1/24 | to_domestic | ترافیک مستقیم به روتر ایران | | LAN Bridge Foreign | 192.168.30.1/24 | to_foreign | ترافیک مستقیم به استارلینک | | LAN Bridge VPN | 192.168.40.1/24 | to_vpn | ترافیک از طریق VPN مخفی‌ساز | | LAN Bridge Split | 192.168.10.1/24 | to_split | تفکیک هوشمند ایران/بین‌الملل |

۲.۳ رنج‌های IP کامل شبکه

در صفحه IP > Addresses در WinBox می‌توانید تمام IP‌های تعریف‌شده را مشاهده کنید:

| آدرس IP | کاربرد | | 192.168.10.1/24 | LAN Bridge Split – تفکیک ترافیک | | 192.168.20.1/24 | LAN Bridge Domestic – اینترنت ایران | | 192.168.30.1/24 | LAN Bridge Foreign – استارلینک مستقیم | | 192.168.39.12 (Static) | Interface FTAH – دریافت آخرین لیست IP‌های ایران از سرور NasNet | | 192.168.40.1/24 | LAN Bridge VPN (VPN اول) | | 192.168.42.1/24 | VPN دوم (در صورت وجود) | | 192.168.43.1/24 | VPN سوم (در صورت وجود) |

| ℹ️  IP‌های Dynamic که از طریق DHCP روتر ایران یا استارلینک دریافت می‌شوند (با علامت D مشخص هستند) نیز در همین صفحه نمایش داده می‌شوند و رنج آن‌ها متفاوت از IP‌های فوق خواهد بود. |

۲.۴ توصیه: تنظیم IP ثابت برای Port Forwarding

برای اینکه در آینده بتوانید Port Forwarding پایدار روی روتر ایران داشته باشید، پیشنهاد می‌شود علاوه بر IP داینامیک DHCP، یک IP دستی ثابت نیز به همان Interface اضافه کنید:


      1.            در WinBox به مسیر IP > Addresses بروید.

      2.            روی دکمه + کلیک کنید.

      3.            یک IP دستی در همان رنج روتر ایران (مثلاً 192.168.2.10) وارد کنید.

      4.            آن را به Interface مک‌ولن Domestic Link اختصاص دهید.

      5.            مطمئن شوید این IP جای دیگری در شبکه استفاده نمی‌شود.

| ℹ️  این IP ثابت حتی پس از ریستارت روتر یا تغییر IP داینامیک ثابت می‌ماند و مرجع Port Forwarding شما خواهد بود. |

۳. اتصالات WAN و سیستم Failover

۳.۱ منطق اولویت‌بندی مسیر خروجی

تصمیم‌گیری درباره مسیر خروجی ترافیک بر اساس مبدأ (Source) و مقصد (Destination) آن انجام می‌شود:

| Bridge مبدأ | مقصد | مسیر خروجی | | LAN Bridge Split | IP ایرانی (در لیست Dom Address List) | روتر ایران (Domestic) | | LAN Bridge Split | IP غیر ایرانی | VPN مخفی‌ساز استارلینک | | LAN Bridge Domestic | هر مقصد | روتر ایران مستقیم | | LAN Bridge Foreign | هر مقصد | استارلینک مستقیم | | LAN Bridge VPN | هر مقصد | VPN مخفی‌ساز استارلینک | | هر Bridge | IP سرور VPN مخفی‌ساز | استارلینک (مستقیم، بدون VPN) |

۳.۲ سیستم نظارت Netwatch

NasNet Connect با استفاده از Netwatch (مسیر Tools > Netwatch در WinBox) به‌صورت مداوم وضعیت تمام خطوط را پایش می‌کند:

| IP پینگ | خط مانیتورشده | اقدام در صورت قطع | | 4.2.2.1 | استارلینک (Foreign) | غیرفعال کردن Route مربوط به خط Foreign | | 217.218.127.127 | روتر ایران (Domestic) | غیرفعال کردن Route مربوط به خط Domestic | | 4.2.2.2 | VPN اول (مخفی‌ساز استارلینک) | Failover به VPN دوم | | 4222 (IP DNS VPN اول) | VPN Client اول | تشخیص قطع ارتباط VPN اول | | 4223 (IP DNS VPN دوم) | VPN Client دوم | تشخیص قطع ارتباط VPN دوم |

هر پینگ از مسیر خاص خودش خارج می‌شود. اگر پینگ Domestic قطع شود، Route جدول Main برای خط ایران غیرفعال می‌شود و وقتی پینگ برگشت، مجدداً فعال می‌گردد.

۳.۳ جداول Routing

برای مشاهده جداول مسیریابی به مسیر IP > Routes در WinBox بروید. در بالا سمت راست صفحه، dropdown انتخاب جدول را روی All قرار دهید تا همه مسیرها نمایش داده شوند:

| نام جدول | کاربرد | | Main | جدول اصلی – شامل Route‌های مانیتورشده توسط Netwatch | | to_domestic | همه ترافیک به سمت روتر ایران ارسال می‌شود | | to_foreign | همه ترافیک مستقیم به استارلینک ارسال می‌شود | | to_vpn | همه ترافیک از طریق VPN مخفی‌ساز ارسال می‌شود | | to_split | جدول خالی – منطق Split در Mangle اعمال می‌شود | | to_domestic_link1 / to_foreign_link1 | جداول اختیاری بسته به نوع پیکربندی |

۳.۴ جدول Mangle – قلب تصمیم‌گیری

جدول Mangle (مسیر IP > Firewall > Mangle) مرکز اصلی تصمیم‌گیری مسیریابی است. هر ردیف یک قانون تطبیق Source/Destination دارد:


         •            خطوط ۵ تا ۷: اگر مقصد از لیست VPN_E (IP سرورهای VPN) بود → مستقیم از استارلینک (بدون VPN)

         •            خط ۱۵ (Split to Domestic): اگر مبدأ از رنج LAN Bridge Split بود و مقصد در لیست Dom Address List بود → Routing Table to_domestic

         •            خط ۱۶ (Split to VPN): اگر مبدأ از رنج LAN Bridge Split بود و مقصد در لیست Dom Address List نبود → Routing Table to_vpn

| ⚠️  هرگز بدون اطلاع کامل از ساختار سیستم، جداول Mangle و Routing را دستکاری نکنید. استفاده از AI (مانند ChatGPT) برای تغییر این بخش‌ها می‌تواند منجر به لیک شدن IP استارلینک شما شود. |

۳.۵ مدیریت Address List

لیست‌های آدرس در مسیر IP > Firewall > Address List قابل مشاهده و ویرایش هستند. حتماً فیلتر بالا سمت راست را روی All قرار دهید:

| نام لیست | محتوا | کاربرد | | Dom Address List | بیش از ۲۰۰۰ رنج IP ایرانی | تشخیص ترافیک ایرانی در حالت Split | | Split LAN | رنج 192.168.10.0/24 | شناسایی کلاینت‌های Bridge Split | | VPN_E | IP سرورهای VPN مخفی‌ساز | اجازه عبور مستقیم ترافیک VPN از استارلینک |

افزودن IP دستی به لیست Domestic

      6.            به مسیر IP > Firewall > Address List بروید.

      7.            روی دکمه New کلیک کنید.

      8.            از لیست Dropdown گزینه Dom Add List را انتخاب کنید.

      9.            IP مورد نظر را وارد کنید.

  10.            OK کنید.

| ⚠️  از اضافه کردن رنج‌های بزرگ (مانند /8 یا /16) خودداری کنید. فقط IP‌های تک‌تک یا رنج‌های کوچک اضافه کنید تا ترافیک سایت‌های خارجی به اشتباه از مسیر ایران خارج نشود. |

افزودن IP به لیست VPN_E (برای VPN Client جدید)

  11.            به مسیر IP > Firewall > Address List بروید.

  12.            روی New کلیک کنید.

  13.            از Dropdown گزینه VPN_E را انتخاب کنید.

  14.            IP Endpoint سرور VPN (مثلاً IP سرور WireGuard) را وارد کنید.

  15.            OK کنید.

  16.            برای تأیید، به مسیر Tools > Trace Route بروید، IP سرور VPN را وارد کرده و Start بزنید. اولین روتر باید استارلینک باشد.

۴. طراحی LAN و سیستم DNS

۴.۱ ساختار DNS در NasNet Connect

یکی از پیچیده‌ترین بخش‌های NasNet Connect، مدیریت DNS است. DNS باید از همان مسیری خارج شود که ترافیک اصلی خارج می‌شود، در غیر این صورت کاربر ممکن است به سرورهایی وصل شود که از نظر جغرافیایی با VPN او هم‌خوانی ندارند.

| ℹ️  مثال: اگر VPN شما به آلمان متصل است اما DNS از استارلینک (بلغارستان) خارج شود، یوتیوب سرورهای بلغارستانی را به شما معرفی می‌کند و ترافیک باید مسیر بیشتری طی کند. |

۴.۲ IP‌های DNS اختصاصی برای هر VPN

برای هر VPN Client یک IP DNS مجزا تعریف شده است تا NasNet Connect بتواند از طریق Netwatch وضعیت VPN را پایش کند:

| IP DNS | کاربرد | مسیر خروجی | | 4221 | DNS استارلینک | مستقیم از استارلینک | | 4222 | DNS VPN اول | از طریق VPN Client اول | | 4223 | DNS VPN دوم | از طریق VPN Client دوم | | 4224 | DNS VPN سوم | از طریق VPN Client سوم | | 217.218.127.127 | DNS ایران (پیش‌فرض) | از طریق روتر ایران |

۴.۳ مشاهده تنظیمات DNS در WinBox

برای مشاهده تنظیمات DNS، از WinBox به مسیر IP > DNS بروید. در این صفحه موارد زیر قابل مشاهده است:


         •            بخش Servers: لیست IP‌های DNS که MikroTik از آن‌ها استفاده می‌کند

         •            بخش Forwarders: تعیین DNS برای دامنه‌های خاص (مثلاً همه دامنه‌های .ir به DNS ایران)

         •            بخش Static: قوانین ثابت – مثلاً همه درخواست‌های .ir به جدول Domestic فوروارد می‌شوند

         •            بخش DoH (DNS over HTTPS): برای شرایطی که Failover DNS روی استارلینک استفاده می‌شد

۴.۴ تغییر DNS ایران (در صورت عدم دسترسی به 217.218.127.127)

اگر در Netwatch مشاهده کردید که 217.218.127.127 پینگ ندارد، باید DNS ایران را تغییر دهید. این تغییر باید در سه مکان انجام شود:

مرحله ۱: تغییر در IP > Routes

  17.            از WinBox به مسیر IP > Routes بروید.

  18.            در dropdown بالا سمت راست، گزینه All را انتخاب کنید.

  19.            هر ردیفی که IP 217.218.127.127 دارد را پیدا کنید.

  20.            IP جدید DNS (مثلاً 5.202.100.100) را جایگزین کنید.

  21.            هیچ تغییر دیگری ندهید.

مرحله ۲: تغییر در Tools > Netwatch

  22.            از WinBox به مسیر Tools > Netwatch بروید.

  23.            ردیف «Failover Netwatch for Domestic Link» را پیدا کنید.

  24.            دابل‌کلیک کنید و IP 217.218.127.127 را به IP جدید تغییر دهید.

مرحله ۳: تغییر در IP > DNS

  25.            از WinBox به مسیر IP > DNS بروید.

  26.            در بخش Servers، IP 217.218.127.127 را به IP جدید تغییر دهید.

  27.            روی Forwarders کلیک کنید و IP ایران را در جدول Domestic نیز آپدیت کنید.

  28.            در بخش General نیز IP ایران را آپدیت کنید.

  29.            روی Apply و OK کلیک کنید.

  30.            اگر لازم بود، به بخش Cache رفته و Flush Cache را بزنید.

  31.            از Netwatch تأیید کنید که Status IP جدید Up است.

| ⚠️  تغییر DNS را هرگز فقط از قسمت IP > DNS انجام ندهید. تغییرات باید هم‌زمان در Routes و Netwatch نیز اعمال شوند، وگرنه Failover به‌درستی کار نخواهد کرد. |

۴.۵ به‌روزرسانی لیست IP‌های ایران

در صورتی که تعداد IP‌های ایران در Address List کمتر از ۲۰۰۰ رنج باشد، ترافیک سایت‌های ایرانی ممکن است از مسیر VPN خارج شود. برای به‌روزرسانی:


  32.            از WinBox به مسیر System > Scripts بروید.

  33.            اسکریپت Domestic IP Update را پیدا کنید.

  34.            روی Run Script کلیک کنید.

  35.            اسکریپت آخرین لیست IP‌های ایران را از سرور NasNet دانلود و در Firewall Address List ذخیره می‌کند.

| ℹ️  برای تأیید تعداد IP‌ها، به مسیر IP > Firewall > Address List بروید، فیلتر را روی All قرار دهید و در پایین سمت چپ صفحه، کنار عبارت live، تعداد کل ردیف‌ها را بررسی کنید. |

۵. پیکربندی شبکه بی‌سیم (Wireless)

۵.۱ معماری شبکه بی‌سیم

در حالت Easy Mode، NasNet Connect یک شبکه بی‌سیم با حالت Split ایجاد می‌کند. در حالت Advanced Mode می‌توانید چندین SSID با Bridge‌های مختلف تعریف کنید:

| SSID / شبکه | Bridge اتصال | رفتار ترافیک | کاربرد پیشنهادی | | شبکه Domestic | LAN Bridge Domestic | همه ترافیک از روتر ایران | مهمان یا دستگاه‌هایی که نباید استارلینک ببینند | | شبکه Foreign | LAN Bridge Foreign | همه ترافیک مستقیم از استارلینک | تلویزیون، PlayStation، Xbox، جاروبرقی هوشمند | | شبکه VPN | LAN Bridge VPN | همه ترافیک از VPN مخفی‌ساز | دستگاه‌های نیازمند VPN دائمی | | شبکه Split (پیش‌فرض) | LAN Bridge Split | تفکیک هوشمند ایران/بین‌الملل | کاربرد عمومی |

۵.۲ تغییر نام و رمز شبکه بی‌سیم

  36.            در WinBox از بالا سمت چپ روی دکمه WiFi کلیک کنید.

  37.            روی شبکه مورد نظر دابل‌کلیک کنید.

  38.            از تب Configuration، قسمت SSID را برای تغییر نام شبکه ویرایش کنید.

  39.            از تب Security، قسمت Passphrase را برای تغییر رمز عبور ویرایش کنید.

  40.            OK کنید.

| ℹ️  NasNet Connect دو شبکه بی‌سیم پیش‌فرض دارد: یکی ۲.۴ گیگاهرتز (WiFi24) و یکی ۵ گیگاهرتز (WiFi5). برای راحتی استفاده، نام آن‌ها را با پسوند 2.4 و 5 مشخص کنید. |

۵.۳ مخفی کردن شبکه بی‌سیم

  41.            در صفحه WiFi روی شبکه مورد نظر دابل‌کلیک کنید.

  42.            به تب Configuration بروید.

  43.            تیک Hide SSID را فعال کنید.

  44.            OK کنید.

۵.۴ غیرفعال کردن شبکه بی‌سیم

  45.            در صفحه WiFi روی شبکه مورد نظر دابل‌کلیک کنید.

  46.            به تب General بروید.

  47.            تیک Enable را بردارید.

  48.            OK کنید.

۵.۵ تغییر Bridge یک شبکه بی‌سیم موجود

اگر می‌خواهید یک شبکه بی‌سیم موجود را به Bridge دیگری متصل کنید (مثلاً WiFi 2.4 را از Split به Domestic تغییر دهید):


  49.            از WinBox روی Bridge کلیک کنید.

  50.            به تب Ports بروید.

  51.            شبکه WiFi مورد نظر (مثلاً WiFi24) را پیدا کنید.

  52.            روی آن دابل‌کلیک کنید.

  53.            در قسمت Bridge، نام Bridge مقصد را انتخاب کنید (مثلاً LAN Bridge Domestic).

  54.            OK کنید.

| ⚠️  تغییر قدرت (Transmit Power) آنتن بی‌سیم همیشه نتیجه مثبت نمی‌دهد. زیاد کردن قدرت لزوماً کیفیت یا برد را افزایش نمی‌دهد و گاهی اثر معکوس دارد. |

۵.۶ افزودن شبکه بی‌سیم جدید

برای افزودن SSID جدید با تنظیمات کامل، توصیه می‌شود از Config NasNet Connect استفاده کنید تا تمام Bridge‌ها و تنظیمات مرتبط به‌درستی ایجاد شوند.

۶. عیب‌یابی مشکلات رایج

۶.۱ سایت‌های ایرانی باز نمی‌شوند یا VPN می‌گویند

علت احتمالی: لیست IP‌های ایران (Dom Address List) خالی یا ناقص است.


  55.            به مسیر IP > Firewall > Address List بروید.

  56.            فیلتر را روی All قرار دهید.

  57.            تعداد ردیف‌ها را در پایین صفحه بررسی کنید. باید بیش از ۲۰۰۰ رنج باشد.

  58.            اگر کمتر از ۲۰۰۰ بود، اسکریپت Domestic IP Update را از مسیر System > Scripts اجرا کنید.

۶.۲ اینترنت ایران قطع است اما اینترنت خارجی کار می‌کند

NasNet Connect به‌صورت خودکار Failover می‌کند. برای بررسی:


  59.            به مسیر Tools > Netwatch بروید.

  60.            وضعیت (Status) IP 217.218.127.127 را بررسی کنید.

  61.            اگر Down است، خط ایران قطع یا DNS ایران در دسترس نیست.

  62.            در صورت نیاز، DNS ایران را طبق روش بخش ۴.۴ تغییر دهید.

۶.۳ VPN وصل نمی‌شود

برای بررسی مشکل VPN:


  63.            به مسیر Tools > Netwatch بروید.

  64.            وضعیت IP مربوط به VPN (4.2.2.2 یا IP‌های DNS VPN) را بررسی کنید.

  65.            مطمئن شوید IP سرور VPN در لیست VPN_E ثبت شده است.

  66.            از ابزار Trace Route (مسیر Tools > Trace Route) برای تأیید مسیر خروجی VPN استفاده کنید.

۶.۴ بعضی سرویس‌های بازی یا Streaming جغرافیای اشتباه نشان می‌دهند

علت احتمالی: ترافیک DNS از مسیر متفاوتی نسبت به ترافیک اصلی خارج می‌شود.


  67.            مطمئن شوید IP DNS مربوط به VPN فعال (4222، 4223 و غیره) در تنظیمات DNS ثبت است.

  68.            مطمئن شوید Route مربوط به این IP از مسیر همان VPN خارج می‌شود.

  69.            از ابزار Netwatch برای تأیید Status Up آن IP استفاده کنید.

۶.۵ بررسی وضعیت کلی سیستم

| ابزار | مسیر در WinBox | کاربرد | | Netwatch | Tools > Netwatch | بررسی وضعیت تمام خطوط و VPN‌ها | | Trace Route | Tools > Trace Route | تأیید مسیر خروجی یک IP خاص | | Address List | IP > Firewall > Address List | بررسی لیست IP‌های ایران و VPN | | IP Routes | IP > Routes | مشاهده تمام جداول مسیریابی | | Scripts | System > Scripts | اجرای اسکریپت به‌روزرسانی IP‌های ایران | | DNS Cache | IP > DNS > Cache | پاکسازی کش DNS با Flush Cache |

۷. نکات امنیتی مهم

۷.۱ اهمیت مخفی‌سازی IP استارلینک

مهم‌ترین هدف NasNet Connect، جلوگیری از نمایش IP استارلینک در ترافیک خروجی است. برای این منظور:


         •            تمام ترافیک خارجی از طریق VPN مخفی‌ساز استارلینک ارسال می‌شود.

         •            ترافیک DNS نیز از همان مسیر VPN خارج می‌شود تا IP لیک نشود.

         •            IP سرورهای VPN در لیست VPN_E ثبت می‌شوند تا ترافیک اتصال به VPN از استارلینک مستقیم (بدون VPN دیگری) عبور کند.

۷.۲ هشدارهای مهم

| ⚠️  از تغییر جداول Mangle و Routing بدون اطلاع کامل از ساختار سیستم خودداری کنید. استفاده از توصیه‌های AI برای تغییر این بخش‌ها می‌تواند امنیت شما را به خطر بیندازد. |

| ⚠️  تغییرات DNS را همواره در سه مکان (IP > Routes، Tools > Netwatch، IP > DNS) به‌صورت هم‌زمان انجام دهید. |

| ⚠️  اضافه کردن رنج‌های IP بزرگ به Dom Address List ممکن است ترافیک سایت‌های خارجی را از مسیر ایران خارج کند. |

۷.۳ مدیریت VPN Server برای اتصال از بیرون

اگر می‌خواهید از بیرون (از اینترنت ایران) به روتر MikroTik خود وصل شوید:


         •            نیاز به IP عمومی (ثابت/Static) روی اینترنت ایران دارید.

         •            Port Forwarding باید روی روتر ایران فعال شود.

         •            استفاده از IP دستی ثابت (بخش ۲.۴) برای پایداری Port Forwarding توصیه می‌شود.

         •            از پروتکل‌های OpenVPN، L2TP، SSTP یا WireGuard می‌توانید استفاده کنید.