هر قابلیت، با جزئیات
SecuryTik Active Mikrotik Manager
هسته AAA، پلنها و محدودیتها، حسابداری، پورتال مدیریت، پورتال مشتری، خودخدمت Telegram، رابط کاربری چندزبانه — همه در یک نصبکننده.
FreeRADIUS در هسته
احراز هویت مبتنی بر PAP/CHAP با PostgreSQL در مسیر داغ — ارزیابی محدودیت و صفبندی CoA در هر Interim-Update داخل پایگاه داده انجام میشود.
احراز هویت و حسابداری
- ستون فقرات FreeRADIUS 3 + PostgreSQL
- احراز هویت PAP و CHAP
- پشتیبانی از PPPoE و Hotspot
- بازنویسی IP ثابت بهازای هر کاربر
- ثبت پویای NAS — بدون راهاندازی مجدد هنگام افزودن/حذف
CoA ترکیبی
- یک صف coa_outbox واحد، یک drainer
- ابتدا CoA-Update؛ بازگشت خودکار به Disconnect-Request هنگام NACK
- منشأ گرفته از samm-radius، نه FreeRADIUS
- تعداد تلاشهای مجدد و پورت پیشفرض قابل پیکربندی در samm.settings
چهار نوع محدودیت، ترکیبهای بیشمار
سرعت (Mbps) + Framed-Pool بهعلاوه تا چهار محدودیت مستقل — هرکدام با رفتار پایانسهمیه مخصوص به خود.
انقضا
- روزهای گذشته از فعالسازی یا تخصیص
- هنگام پایان: throttle / پلن بعدی / قطع اتصال
سهمیه
- مجموع بایتها — قابل پیکربندی: هر دو، فقط دانلود، یا فقط آپلود
- هنگام پایان: throttle / پلن بعدی / قطع اتصال
روزانه
- بایتها از آخرین بازنشانی روزانه
- زمان بازنشانی قابل پیکربندی بهازای هر محیط
- هنگام پایان: throttle / پلن بعدی / قطع اتصال
زمان اتصال
- ثانیههای تجمعی نشست
- مستقل از بایتهای مصرفشده
- هنگام پایان: throttle / پلن بعدی / قطع اتصال
پنجرههای سرعت
- افزایش سرعت زمانبندیشده بر اساس روز هفته + بازه ساعت
- عبور از نیمهشب بهطور کامل پشتیبانی میشود
- کاربران throttleشده / پایانسهمیه مستثنی میشوند — تا زمانی که یک محدودیت اعمال است سرعت هرگز افزایش نمییابد
دو شمارنده مصرف
- user_limit_state — شمارندههای قابل بازنشانی بهازای هر محدودیت
- user_usage_totals / user_usage_daily — شمارندههای صورتحساب غیرقابل بازنشانی، هرگز صفر نمیشوند
- بازنشانیهای مدیر فقط وضعیت محدودیت را تغییر میدهند — صورتحساب دقیق باقی میماند
حسابداری دوطرفه، بهصورت داخلی
همانطور که یک ISP واقعاً صورتحساب صادر میکند، صورتحساب صادر کنید — بدون پلهای صفحهگسترده، بدون ابزار جداگانه.
فاکتورها و هزینهها
- صدور فاکتور مبتنی بر تمدید که به تغییرات پلن گره خورده است
- رندر PDF (سمت سرور) برای پورتال و ربات Telegram
- تشخیص خودکار فاکتورهای معوق
- ردیابی و دستهبندی هزینهها
فروشندگان، داراییها، استهلاک
- حسابهای فروشنده با ردیابی کمیسیون
- موجودی داراییها با جدولهای استهلاک
- دفتر حسابهای واقعی، ثبت دوطرفه واقعی — هر تراکنش تراز میشود
کل شبکه را از یک صفحه اجرا کنید
مشتریان، پلنها، دستگاهها، ووچرها، تیکتها، ردپای رخدادها — همه آگاه از نقش، بهطوریکه هر مدیر فقط آنچه را که نیاز دارد میبیند.
مشتریان و پلنها
- ایجاد، ویرایش، تعلیق، فعالسازی مجدد مشتریان
- مدیریت پلن با پیکربندی چند-محدودیتی
- تعویض پلن (صفبندیشده از طریق گزارش رخدادها؛ تازهسازی زنده CoA)
- اعتبار، موجودی و تاریخچه پرداخت بهازای هر مشتری
موجودی MikroTik
- پایش زنده ping هر روتر
- همگامسازی نسخه و هویت RouterOS
- آمار و تاریخچه رابطها
- پشتیبانگیری فایروال، بازگردانی زمانبندیشده
- مدیریت WiFi / cAPsMAN
- حالت فقط-پایش برای MikroTikهای غیر-NAS
QoS آگاه از برنامه
- برنامهها و سایتهایی که مشترکان شما استفاده میکنند را به هشت شکاف اولویت دانلود بکشید
- سقف سرعت اختیاری بهازای هر برنامه و یک سقف کل دانلود
- توزیع خودکار بر اساس دسته — پیامرسانی، کنفرانس، شبکه اجتماعی، پخش زنده، دانلودها و موارد دیگر
- به یک queue tree میکروتیک با قواعد packet-mark کامپایل و با یک کلیک push میشود
- ساختهشده بر همان فیلتر وبسایتها و برنامهها که پایش را نیرو میدهد
کارتهای ووچر Hotspot
- تولید دستهای کارتهای ووچر پیشپرداخت
- چیدمان قابل چاپ با قالب سفارشی
- پلن، انقضا و قیمتگذاری بهازای هر دسته
تیکتهای پشتیبانی
- صف تیکت پشتیبانی مشتری با ردیابی وضعیت
- تخصیص، نظرات، پیوستها، تاریخچه
- یکپارچهسازی ربات Telegram — مشتریان میتوانند تیکتها را از داخل چت باز کنند
دسترسیهای مبتنی بر نقش
- سه نقش داخلی — superadmin، manager، viewer
- دسترسیهای سطح-بلوک بهازای هر صفحه
- نشستهای کوکی امضاشده با SameSite سختگیرانه
نشستها و گزارشهای زنده
- نمای نشست زنده — کاربران آنلاین فعلی بر اساس NAS
- گزارشهای مصرف بهازای هر مشتری، پلن، یا NAS
- نمودارهای ترافیک سریزمانی
روندهای ترافیک و بیشترین مصرفکنندگان. بدون هیچ کوئری.
نمودارهای روند مشترک و نشست، ترافیک روزانه بهازای هر NAS، و رتبهبندی top-N پهنای باند — همه از پیش محاسبهشده، بدون SQL دستی.
روندهای مشترک و نشست
- بازه قابل پیکربندی: امروز / 7d / 14d / 30d / 90d
- منحنیهای کاربران فعال، آنلاین و منقضیشده در طول زمان
- عکسفوری سریزمانی که ساعتی برای تاریخچه ذخیره میشود
ترافیک و بیشترین مصرفکنندگان
- نمودار روزانه بایتهای آپلود/دانلود بهازای هر NAS
- 10 برتر دانلود / آپلود امروز و این ماه
- تفکیک مصرف بهازای هر پلن و هر NAS
خودخدمتی که واقعاً بار کار را کاهش میدهد
مشترکان پلن، مصرف، فاکتورها و تیکتهای خود را میبینند — بدون تماس با پشتیبانی.
حساب و مصرف
- پلن فعلی، انقضا، سهمیه روزانه و کل
- سنجههای مصرف بیدرنگ
- ویرایش پروفایل و تغییر رمز عبور (متن ساده برای PAP لازم است)
فاکتورها و پشتیبانی
- مشاهده و دانلود PDF فاکتورها
- باز کردن تیکتهای پشتیبانی، پاسخ، پیوست فایل
- تاریخچه تیکت با ردپای کامل رخدادها
خودخدمت از داخل چت
مشتریان با /start ربات را شروع میکنند، یکبار با اعتبارنامههای SAMM خود احراز هویت میکنند، سپس تقریباً همه کارهای سمت پورتال را از داخل Telegram انجام میدهند.
خودخدمت تعاملی
- احراز هویت یکباره با نام کاربری + رمز عبور SAMM
- پیام رمز عبور هنگام دریافت بهطور خودکار حذف میشود
- بررسی پلن، سهمیه، مصرف، انقضا
- ویرایش پروفایل، تغییر رمز عبور
- مشاهده و دانلود PDF فاکتورها در چت
- مدیریت تیکتهای پشتیبانی — منوهای inline-keyboard
معماری
- تنها poller مربوط به getUpdates — بدون race condition
- وضعیت مکالمه در tg_bot_session (قفلشده بهازای هر چت)
- کوئریهای پورتال را بازاستفاده میکند؛ هرگز دسترسی به داده را جدا نمیکند
- ارسال فایلها پس از commit تراکنش و خارج از قفل dispatcher انجام میشود
یک صف، چندین کانال
تمام پیامرسانی خروجی به مشتری از یک notif_outbox واحد و throttleشده عبور میکند، با اولویت کانال بهازای هر مشتری.
انواع رویداد
- یادآوری تمدید، اطلاعیه انقضا
- هشدار سهمیه، رسید تمدید پلن
- رسید پرداخت
- پخشهای دستی مدیر
کانالها و مسیریابی
- کانالهای Email و Telegram
- اولویت کانال بهازای هر مشتری با fallback
- پیکربندی کانال با کلیدهای مخفی رمزگذاریشده با Fernet
- تحویل throttleشده — بدون صورتحسابهای غیرمنتظره SMTP
چندزبانه و قابل پوستهبندی
i18n مبتنی بر Babel با یک ویرایشگر زنده درونپورتالی، بهعلاوه یازده پوسته آماده — هر کاربر پوسته خودش را انتخاب میکند.
زبانها
- انگلیسی، عربی (RTL)، ترکی، فرانسوی، اسپانیایی، آلمانی
- ترجیح زبان بهازای هر کاربر که در حساب ذخیره میشود
- افزودن زبانهای جدید در زمان اجرا از طریق رابط کاربری مدیریت
- ویرایشگر زنده /admin/translations — بدون راهاندازی مجدد
- صادرات / واردات کارپوشههای .xlsx برای مترجمان
پوستهها
- ۱۱ پوسته آماده — نسخههای روشن و تیره
- یک محور data-theme، ۲۶ ویژگی سفارشی CSS بهازای هر پالت
- ویژگیهای منطقی CSS — RTL بهطور خودکار کار میکند
- ترجیح ذخیرهشده بهازای هر حساب کاربری
SAMM را هر جا اجرا کنید — سیستمعامل خام، Docker، MikroTik، یا ابر
یک محصول، چهار مسیر نصب. سطحی را انتخاب کنید که مناسب شبکه شماست — همه آنها همان SAMM را اجرا میکنند، با همان سرور مجوز صحبت میکنند و از همان نسخه عرضه میشوند.
سیستمعامل خام — یک دستور، یک سرور
- Ubuntu 22.04 / 24.04 یا Debian 12، یک اسکریپت shell واحد و idempotent
- رمز عبور پایگاه داده و کلیدهای امضا که در اولین اجرا بهطور خودکار تولید میشوند
- اجراهای مجدد ارتقاها را ایمن اعمال میکنند — بدون از دست رفتن وضعیت، بدون پیکربندی مجدد
- سرور WireGuard داخلی و تونل اختیاری Cloudflare Zero Trust
Docker — Ubuntu، Windows، هر جا
- ایمیج چند-معماری (linux/amd64 + linux/arm64) — یک تگ، هر CPU
- نصبکننده تکخطی روی Ubuntu/Debian، یا Docker Desktop روی Windows / macOS
- بسته Compose که به یک digest ایمیج sha256 در هر نسخه پین شده — ارتقاهای تغییرناپذیر
- بهروزرسانی خودکار Cron بهصورت داخلی — pull روزانه، بدون هیچ downtime وقتی چیز جدیدی نباشد
کانتینرهای MikroTik — مستقیماً روی روتر
- YAML مربوط به compose را در RouterOS Container → Apps → New → YAML جایگذاری کنید — تمام
- روی MikroTik arm64 (RB5009، hAP ax²، CCR2004/2116/2216) و SKUهای amd64 کار میکند
- بدون جعبه Linux خارجی، بدون میزبانی جداگانه — SAMM همان جایی اجرا میشود که شبکه شما اجرا میشود
- آزمایشی در v1 — مسیرهای سیستمعامل خام یا Docker همچنان مسیرهای تولید توصیهشده هستند
ابر — Hetzner، DigitalOcean، AWS، هر جا با یک IP عمومی
- همان نصبکننده تکدستوری؛ روی هر VM با Ubuntu/Debian در هر ارائهدهنده ابری کار میکند
- Cloudflare Tunnel پورتال مدیریت/مشتری را بدون باز کردن پورتهای فایروال منتشر میکند
- WireGuard داخلی به روترهای MikroTik پشت NAT دسترسی پیدا میکند — نیازی به IP عمومی روی روتر نیست
- پشتیبانهای روزانه به یک آرشیو واحد محافظتشده با passphrase رمزگذاری میشوند — بازیابی در هر جا
پنج سرویس systemd
- samm-api — پورتالهای مدیریت + مشتری (FastAPI)
- samm-radius — dispatcher مربوط به CoA، پاکسازیهای انقضا
- samm-worker — همگامسازی API میکروتیک + ping
- samm-notification — worker تحویل کانال
- samm-telegram — ربات تعاملی
به هر روتر دسترسی پیدا کنید — حتی از ابر
SAMM را هر جا میزبانی کنید. یک سرور WireGuard داخلی و یک Cloudflare Tunnel مدیریتشده فاصله بین یک سرور ابری و روترهای MikroTik پشت NAT را میبندند — بدون IP عمومی، بدون port forwarding.
سرور WireGuard
- SAMM یک سرور WireGuard را با یک کلیک ایجاد میکند — جفتکلید، رابط و پورت شنود برایتان تولید میشود
- SAMM میزبانیشده در ابر از طریق یک تونل رمزگذاریشده به روترهای MikroTik پشت CGNAT دسترسی پیدا میکند
- هر روتر یک پیکربندی peer آمادهجایگذاری دریافت میکند — بالا آوردن تونل بدون IP عمومی یا port forwarding
- ترافیک API مربوط به RouterOS، RADIUS و CoA همگی روی همان لینک خصوصی حرکت میکنند
- فهرست peerها با وضعیت آخرین handshake در پنل مدیریت
Cloudflare Tunnel
- توکن تونل Cloudflare خود را جایگذاری کنید — SAMM سرویس cloudflared را بهعنوان یک سرویس مدیریتشده نصب و اجرا میکند
- دامنه خود را بیاورید؛ پورتالهای مدیریت و مشتری روی HTTPS بهصورت زنده میآیند
- تونل بهبیرون شمارهگیری میکند — بدون قواعد ورودی فایروال، بدون IP عمومی در معرض دید
- شروع، توقف و بررسی سلامت تونل از تب System
- با WireGuard جفت میشود — SAMM را از هر جا کنترل کنید در حالیکه SAMM به روترها دسترسی دارد
عملیات دستهای و کنترل داده.
پاکسازی تاریخچه، تغییرات دستهای پلن، واردات/صادرات، و پشتیبانهای پایگاه داده — همه از پنل مدیریت، بدون خط فرمان.
عملیات دستهای
- تغییر دستهای پلن — تخصیص مجدد N مشترک در یک اقدام
- حذف دستهای — حذف مشترکان غیرفعال با تأیید
- پاککننده تاریخچه — هرس ردیفهای قدیمی نشست/رخداد بر اساس سن
قابلیتحمل داده
- صادرات / واردات مشترکان و پلنها از طریق فایل ساختاریافته
- پشتیبانگیری و بازیابی پایگاه داده از پنل مدیریت
با تمام پشته SecuryTik جفت میشود
SAMM همان پلتفرم عملیاتی است که SecuryTik در استقرارهای ISP خودش استفاده میکند. آن را بهصورت مستقل استفاده کنید، یا بگذارید ما کل محیط اطراف آن را تحویل دهیم.
خدمات شبکه و ISP
- راهاندازی کامل ISP — بیسیم + فیبر FTTH/GPON
- نصب MikroTik، پیکربندی، مسیریابی هسته ISP
- طراحی Captive Portal + احراز هویت RADIUS
- راهاندازی NOC و عملیات مستمر ۲۴/۷
- خدمات شبکه SecuryTik →
زیرساخت سرور
- استقرارهای SAMM روی bare-metal یا مجازیسازیشده
- طراحی HA و DR با VMware / Proxmox
- سیاستهای پشتیبانگیری و نگهداری
- خدمات سرور SecuryTik →
سختسازی امنیتی
- اجرای SAMM پشت زیرساخت محافظتشده
- یکپارچهسازی SIEM (Wazuh / ELK) برای دریافت رویدادهای AAA
- ممیزیهای امنیتی دورهای و تست نفوذ
- امنیت سایبری SecuryTik →
عملیات مدیریتشده
- پایش ۲۴/۷ NOC از استقرار SAMM شما
- وصلهگذاری مدیریتشده، پشتیبانگیری، برنامهریزی ظرفیت
- گزارشدهی SLA
- IT مدیریتشده SecuryTik →