Proxy ARP چیست؟

اول یه یادآوری خیلی ساده:

وقتی دو دستگاه در یک LAN شبکه محلی هستند:

🔹 ارتباطشون بر اساس MAC Address و ARP Table هست.
یعنی مثلاً:

کامپیوتر A → می‌خواد 192.168.10.20 رو پینگ کنه

→ می‌پرسه "کی 192.168.10.20 است؟"

→ از طریق ARP می‌فهمه MAC اون دستگاه چیه

→ پکت رو مستقیم براش می‌فرسته

اما 👇👇👇

وقتی کاربر از بیرون از طریق VPN مثلاً PPTP یا L2TP وصل میشه...

 

🌍 در حالت VPN چه میشه؟

کلاینت دیگه در شبکه فیزیکی نیست!
بلکه از طریق تونل لایه ۳ (IP Layer) به روتر متصل میشه.

یعنی:

• دیگه MAC خودش در شبکه محلی شما وجود نداره.
• پس دستگاه‌های داخل شبکه شما نمی‌تونن مستقیم ARP کنن و MAC اون کلاینت رو بفهمن.
• تنها دستگاهی که تونل VPN رو می‌شناسه، روتر MikroTik است.

 

📘 پس برای اینکه بقیه شبکه "فکر کنن" اون کلاینت داخل LAN هست...

ما باید کاری کنیم روتر به‌جای اون، جواب ARP بده.

اینجا است که میاد سراغت:

🔹 Proxy ARP

 

⚙️ Proxy ARP چیست؟

Proxy ARP یعنی:

روتر خودش به جای دستگاه‌های پشتش، به درخواست‌های ARP جواب بده.

یعنی اگر یک دستگاه در شبکه LAN (مثلاً 192.168.10.5) بپرسه:

"کی 192.168.10.100 است؟"

و در واقع اون 192.168.10.100 مربوط به VPN Client باشه،
روتر MikroTik جواب می‌دهد:

"منم! این آدرس از طریق من قابل دسترسی است."

و بعد پکت‌ها را از طریق تونل VPN به کلاینت واقعی می‌فرستد.

 

🧩 چطور تنظیمش کنیم

فرض کن شبکه داخلی‌ت روی ether2 است، و کاربران VPN باید به همان شبکه دسترسی داشته باشند.

در MikroTik بزن:

/interface ethernet set ether2 arp=proxy-arp

یا از طریق Winbox:

• Interface → ether2 → تب General → ARP → انتخاب proxy-arp

📌 یعنی:

اگر دستگاهی در LAN درخواست ARP برای IPی داد که خودش در آن subnet است ولی در جدول نیست،
MikroTik پاسخ دهد و ترافیک را از طریق تونل بفرستد.

---

🧮 خلاصه رفتار:

مرحله	اتفاق
1	کلاینت از اینترنت با VPN وصل میشه
2	آی‌پی می‌گیره مثلاً 192.168.10.100
3	یکی از سرورها در LAN می‌خواهد با 192.168.10.100 ارتباط بگیرد
4	چون MAC ندارد، ARP می‌فرستد
5	MikroTik جواب می‌دهد (به‌جای کلاینت VPN) چون proxy-arp فعال است
6	روتر پکت‌ها را از طریق تونل به کلاینت VPN می‌فرستد ✅

---

🌐 حالا "کدام interface" باید Proxy ARP داشته باشد؟

فقط روی interface شبکه داخلی (جایی که دستگاه‌ها قرار دارند).

مثلاً:

Interface	توضیح	تنظیم ARP
ether1	اینترنت (WAN)	default یا reply-only
ether2	شبکه داخلی (LAN)	✅ proxy-arp
pptp-in1	تونل VPN	خودش لایه ۳ است، نیازی نیست

---

⚠️ نکات مهم:

• اگر Proxy ARP فعال نباشد → سرورهای داخل شبکه نمی‌فهمند VPN Client کجاست، پس پینگ و ارتباط قطع است.
• فقط برای سناریوهایی که IP VPN Client در همان subnet شبکه داخلی است نیاز می‌شود.
• اگر از رنج IP جدا برای VPN استفاده می‌کنی (مثلاً 10.10.10.0/24 جدا از 192.168.10.0/24)، نیازی به Proxy ARP نیست — فقط route لازم داری.

---

✅ خلاصه نهایی:

وضعیت	نیاز به Proxy ARP؟	توضیح
VPN Client IP در همان subnet شبکه داخلی	✅ بله
VPN Client IP در subnet جداگانه	❌ نه، فقط Route بده
هدف: دیده شدن VPN Client با MAC در شبکه داخلی	✅ بله
Interface تنظیم	LAN Interface (مثلاً ether2)