Как поднять vpn на микротике. Поднимаем VPN через L2TP IPSec на Mikrotik

Настройка VPN через MikroTik – PPtP и PPPoE

VPN-туннели – всераспространенный вид связи типа “точка-точка” на базе обычного интернет-соединения через роутеры MikroTik. Они представляют собой, по сущности “канал снутри канала” – выделенную линию снутри основной.

Необходимость опции туннельного VPN-соединения на MikroTik возникает в вариантах, когда:

  • Требуется предоставить доступ к корпоративной сети сотрудникам предприятия, которые работают из дома, либо находясь в командировке, в том числе с мобильных устройств.
  • Требуется предоставить доступ в веб абонентам провайдера (в крайнее время таковая реализация доступа клиентов становится все наиболее популярной).
  • Необходимо соединить два удаленных подразделения предприятия защищенным каналом связи с минимальными затратами.

 

В отличие от обыкновенной сети, где данные передаются открыто и в незашифрованном виде, VPN является защищенным каналом связи. Уровень защиты зависит от типа туннельного протокола, избранного для соединения. Так, менее защищенным считается протокол PPtP, даже его “верхний” метод аутентификации mschap2 имеет ряд заморочек сохранности и просто взламывается. Более безопасным считается набор протоколов IPsec.

Несмотря на укоряющую картину, время от времени смысл в выключении шифрования и аутентификации все же есть. Почти все модели MikroTik не поддерживают аппаратное шифрование, и обработка всех действий, связанных с защитой соединения происходит на уровне CPU. Если сохранность соединения не является для вас критичным моментом, а производительность используемого роутера оставляет желать лучшего, то отключение шифрования можно применять для разгрузки процессора. 

Выбор протокола для VPN на MikroTik

Для опции соединения по VPN через MikroTik почаще всего употребляются последующие протоколы:

  • PPtP,

  • PPPoE,

  • OpenVPN,

  • L2TP,

  • IPSec.

В нынешней статье мы разглядим настройку подключения VPN с помощью 2-ух из их, как более нередко встречающихся в работе провайдера и системного администратора: PPtP и PPPoE. О настройке VPN на MikroTik с помощью OpenVPN у нас есть отдельная статья.

VPN через PPtP на MikroTik

PPtP – самый всераспространенный протокол VPN. Представляет собой связку протокола TCP, который употребляется для передачи данных, и GRE – для инкапсуляции пакетов. Почаще всего применяется для удаленного доступа юзеров к корпоративной сети. В принципе, может употребляться для почти всех задач VPN, но следует учесть его изъяны в безопасности.

Прост в настройке. Для организации туннеля требуется:

  • создать на роутере MikroTik, через который юзеры будут подключаться к корпоративной сети, PPtP-сервер,

  • создать профили юзеров с логинами/паролями для идентификации на стороне сервера,

  • создать правила-исключения Firewall маршрутизатора, для того, чтоб подключения беспрепятственно проходили через брандмауер.

 Включаем PPtP сервер.

Для этого идем в раздел меню PPP, заходим на вкладку Interface, вверху в списке вкладок находим PPTP сервер и ставим галочку в пункте Enabled.

Снимаем галочки с менее безопасных алгоритмов идентификации – pap и chap.

 Создаем пользователей.  

В разделе PPP перебегаем в меню Secrets и с помощью клавиши “+” добавляем новейшего пользователя.

В полях Name и Password прописываем, соответственно логин и пароль, который будет употреблять юзер для подключения к туннелю.

В поле Service избираем тип нашего протокола – pptp, в поле Local Address пишем IP-адрес роутера MikroTik, который будет выступать в роли VPN-сервера, а в поле Remote Address – IP-адрес пользователя

  Прописываем правила для Firewall. 

Нам необходимо открыть 1723 порт для трафика по TCP-протоколу для работы VPN-туннеля MikroTik, а также разрешить протокол GRE. Для этого идем в раздел IP, позже – в Firewall, позже на вкладку Filter Rules, где с помощью клавиши “+” добавляем новое правило. В поле Chain указываем входящий трафик – input, в поле Protocol избираем протокол tcp, а в поле Dst. Port – указываем порт для VPN туннеля 1723.

Читайте также  Создание динамических блоков. Автокад, динамические блоки. Уроки autocad.

Переходим тут же на вкладку Action и избираем accept – разрешать (трафик).

Точно также добавляем правило для GRE. На вкладке General аналогично предыдущему прописываем input, а в поле Protocol выбираем gre. 

На вкладке Action как и в прошлом правиле выбираем accept.

Не забываем поднять эти правила в общем перечне наверх, поставив ПЕРЕД запрещающими правилами, по другому они не будут работать. В RouterOS Mikrotik это можно сделать перетаскиванием правил в окне FireWall.

Все, PPtP сервер для VPN на MikroTik поднят.

 Небольшое уточнение.

В неких вариантах, когда при подключении необходимо созидать локальную сеть за маршрутизатором, необходимо включить proxy-arp в настройках локальной сети. Для этого идем в раздел интерфейсов (Interface), находим интерфейс, соответственный локальной сети и на вкладке General в поле ARP выбираем proxy-arp.

Если вы подняли VPN меж 2-мя роутерами MikroTik и для вас нужно разрешить передачу broadcast, можно испытать добавить имеющийся профиль подключения (PPP – Profiles) удаленного роутера в бридж главного:

UPD из комментария: Ежели для вас дополнительно необходимо получить доступ к расшаренным папкам на компах локальной сети, пригодится также открыть порт 445 для проходящего трафика SMB-протокола, который отвечает за Windows Shared. (Правило forward в брандмауере).

 Настройка клиента.

На стороне VPN-клиента опции состоят лишь в том, чтоб сделать подключение по VPN, указать IP-адрес VPN (PPtP) сервера, логин и пароль пользователя.

VPN через PPPoE на MikroTik

Своей распространенностью в крайнее время VPN по протоколу PPPOE должен провайдерам, предоставляющим широкополосный, в т. ч. беспроводной доступ в веб. Протокол подразумевает возможность сжатия данных, шифрования, а также характеризуется:

  • Доступностью и простотой настройки.

  • Поддержкой большинством маршрутизаторов MikroTik.

  • Стабильностью.

  • Масштабируемостью.

  • Устойчивостью зашифрованного трафика к ARP-спуфингу (сетевой атаке, использующей уязвимости протокола ARP).

  • Меньшей ресурсоемкостью и перегрузкой на сервер, чем PPtP.

Также его преимуществом является возможность использования динамических IP-адресов: не необходимо назначать определенный IP конечным узлам VPN-туннеля. Подключение со стороны клиента осуществляется без сложных опций, лишь по логину и паролю.

Настройка VPN-сервера PPPoE MikroTik

 Настраиваем профили сервера.

Несколько профилей PPPoE-сервера могут пригодиться, ежели вы провайдер и раздаете веб по нескольким тарифным пакетам. Соответственно, в каждом профиле можно настроить различные ограничения по скорости.

Идем в раздел PPP, открываем пункт Profiles  и с помощью клавиши “+” создаем новейший профиль. Даем ему понятное нам заглавие, прописываем локальный адресок сервера (роутера), отмечаем опцию Change TCP MSS (корректировку MSS), для того, чтоб все веб-сайты нормально открывались.

Кстати, в неких вариантах, когда появляются задачи с открытием неких веб-сайтов, при том, что пинги на их проходят, можно сделать по-другому. Корректировку MSS отключаем, а через терминал прописываем на роутере последующее правило:

“ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360  disabled=no”. В большинстве случаев это решает проблему.

Далее на вкладке Protocols все отключаем, для улучшения производительности. Ежели защищенность соединения для вас принципиальна и производительность маршрутизатора дозволяет, то опцию Use Encryption (использовать шифрование) не отключайте.

На вкладке Limits устанавливаем ограничения по скорости, ежели необходимо. 1-ая цифра в ограничении скорости  – входящий трафик на сервер (исходящий от абонента), 2-ая – наш исходящий трафик (входящий у абонента).

Ставим Yes в пт Only One, это означает, что два и наиболее абонентов с одним и тем же набором логин/пароль не сумеют подключиться к  PPPoE-серверу, лишь один.

Теперь, ежели нужно, создаем другие профили обычным копированием (кнопка Copy на прошлом скриншоте) и меняем имя и ограничение по скорости.

 Создаем учетные записи пользователей.

В том же разделе PPP находим пункт меню Secrets. В нем с помощью клавиши “+” создаем новейшего юзера, который будет подключаться к нам по VPN-туннелю.

Читайте также  Как удалить 1 виндовс если их 2. Несколько методов, как удалить одну из двух систем Windows 7

Заполняем поля Name и Password (логин и пароль, который будет вводить юзер со собственной стороны, чтоб подключиться).

В поле Service избираем pppoe, в Profile – соответственный профиль, в данном случае – тарифный пакет, которым пользуется абонент. Присваиваем юзеру IP-адрес, который при подключении сервер раздаст абоненту.

Если подключаем несколько юзеров, создаем для каждого из их отдельную учетную запись, меняя имя/пароль и IP-адрес.

 Привязываем PPPoE сервер к определенному интерфейсу MikroTik.

Теперь нам нужно сказать маршрутизатору, на каком интерфейсе он должен “слушать” входящие подключения от VPN PPPoE клиентов. Для этого в разделе PPP мы избираем пункт PPPoE Servers. Тут мы меняем:

Поле Interface – избираем тот интерфейс, к которому будут подключаться клиенты,

  • Keepalive Timeout – 30 секунд (время ожидания ответа от клиента до разрыва соединения)
  • Default Profile – профиль, который будет присваиваться подключаемым абонентам по умолчанию,
  • Ставим галку в One Session Per Host, тем самым разрешая подключение лишь 1-го туннеля с маршрутизатора клиента либо компьютера.
  • Галочки в разделе аутентификации оставляем/снимаем по усмотрению.

 Настраиваем NAT для доступа клиентов в интернет.

Мы подняли PPPoE сервер и сейчас к нему могут подключаться авторизованные юзеры. Ежели нам необходимо, чтоб подсоединившиеся по VPN туннелю юзеры имели доступ в веб, необходимо настроить NAT (маскарадинг), либо преобразование локальных сетевых адресов.

В разделе IP избираем пункт Firewall и с помощью клавиши “+” добавляем новое правило.

В поле Chain обязано стоять srcnat, что значит, что маршрутизатор будет использовать это правило к трафику, направленному “изнутри наружу”.

В поле Src. Address (исходный адрес) прописываем спектр адресов 10.1.0.0/16. Это значит, что все клиенты с адресами 10.1. (0.0-255.255) будут выходить в сеть через NAT, т. е. мы перечисляем тут всех вероятных абонентов.

В поле Dst. Address (адрес назначения) указываем !10.0.0.0/8 – спектр адресов, значащий собственное адресное место для личных сетей, с восклицательным знаком впереди. Это показывает роутеру на исключение – ежели кто-то из локальной сети обращается на адресок в нашей же сети, то NAT не применяется, соединение происходит напрямую.

А на вкладке Action прописываем, фактически, действие маскарадинга – замены локального адреса устройства на наружный адресок роутера.

Настройка VPN-клиента PPPoE

Если на той стороне VPN туннеля подключение будет происходить с компа либо ноутбука, то просто необходимо будет сделать скоростное подключение через PPPoE в Центре управления сетями и общим доступом (для Win 7, Win 8). Ежели на 2-ой стороне – тоже роутер Mikrotik, то подключаем последующим образом.

 Добавляем PPPoE интерфейс.

На вкладке Interface избираем PPPoE Client  и с помощью клавиши “+” добавляем новейший интерфейс.

Здесь в поле Interface мы избираем тот интерфейс роутера Mikrotik, на котором мы организуем VPN-туннель.

 Прописываем опции подключения.

Далее перебегаем на вкладку Dial Out и вписываем логин и пароль для подключения к VPN туннелю PPPoE.

Ставим галочку в поле Use Peer DNS – для того, чтоб адресок DNS сервера мы получали с сервера VPN (от провайдера), а не прописывали вручную.

Настройки аутентификации (галочки в pap, chap, mschap1, mschap2) должны быть согласованы с сервером.

Lantorg.com

Поднимаем VPN через L2TP IPSec на Mikrotik

Долгое время не подступал к настройке VPN на Микротик, т.к. и нужды в реализации данной для нас функции не было, и времени разбираться с настройкой – тоже. Но вот клюнул жареный петушок и пришлось. Как выяснилось, сама по для себя черновая настройка VPN-сервера средством L2TP и шифрованием IPSec задачка полностью для себя очевидная и решаемая за 10-15 минут.
Итак, начнем мы с определений.
Протокол L2TP – инструмент для обеспечения канала передачи данных, т.н. туннеля. В конечном итоге средство для сотворения VPN.
IPSec – набор средств для шифрования-дешифрования данных при их прохождении по туннелю.
При настройке мы по большей части будем воспользоваться средой приложения Winbox, в нем работать несколько нагляднее, т.к. конкретно конфигурирование ВПНок предполагает под собой большущее количество ключей в командах, которые будут ужаснее восприниматься в портянке текста.

Читайте также  Как сделать индекс сверху в ворде. Добавление индексов и степеней в Word

В примере мы возьмем Mikrotik RB2011UAS-2HnD с версией прошивки 6.42.6 (stable) от Jul/06/2018 11:56:50, являющейся для него самой актуальной на момент написания статьи. Пул IP для локалки 192.168.88.0/24, WAN-интерфейс sfp1, локальный бридж зовется просто bridge.

1. Создаем пул IP-адресов для наших будущих VPN-клиентов. IP > Pool

Name: vpn_pool – имя для новейшего спектра IP.
Addresses: 192.168.87.0/24 – сам спектр, также можно указать что-то вроде 192.168.87.10-192.168.87.25, без внедрения маски.
Next pool: none

2. Идем в PPP > Profiles и создаем профиль для нашего туннеля.

Нас интересуют несколько вкладок.

General:
Name: l2tp_test_profile – заглавие профиля
Local address: vpn_pool (здесь можно указать и шлюз нашего роутера, т.е. 192.168.88.1)
Remote address: vpn_pool – пул раздаваемых IP.
Change TCP MSS: yes

Protocols:
Тут всё выставляем по-умолчанию.
Use MPLS: default
Use compression: default
Use Encription: default

Limits:
Only one: default

3. Заходим в PPP > Secrets, а в этом месте мы настраиваем будущих клиентов нашего VPN-сервера.

Name: vpn_test_user – имя юзера при подключении к VPN
Password: тут уж сами решайте, это пароль для подключения
Service: l2tp
Profile: l2tp_test_profile

4. PPP > Interface и кликаем на клавишу L2TP Server. Здесь мы и включим сервер.

Enabled – yes, это и включает L2TP-сервер
MTU / MRU – 1450, выставляем наибольший размер кадра (фрейма) инфы. Без надобности не меняем.
Keepalive Timeout – 30, таймаут в течение которого туннель считается живым и не просит доказательства в виде соответсвующего фрейма.
Default profile – l2tp_test_profile, указываем сделанный ранее профиль.
Authentication – mschap2, способ аутентификации, довольно бросить лишь этот.
Use IPSec – yes, употреблять ли шифрование? Естественно, указываем – да.
IPSec Secret: придумайте секретку (не путайте с паролем, т.к. секрет – это доп параметр, указываемый на клиентской стороне).

Настройка шифрования данных, IPSec

Выше мы подняли L2TP-сервер и включили функцию IPSec, сейчас время её настроить.
5. IP > IPSec > Groups

Может быть досадный баг при соединении к серверу с дефолтной группой политик. Сделайте свою, у меня это policy_group1.

6. IP > IPSec > Peers, настройка общения пиров IPSec, метода шифрования.


Основные настройки.
Address: 0.0.0.0/0, адресок, оставляем такой.
Port: 500
Auth method: pre shared key, способ аутентификации.
Exchange mode: main l2tp, режим обмена ключами.
Passive: yes, ставим галочку, да.
Secret: да, это всё та же секретка для IPSec, та же, что в пт 4.


Расширенные настройки.
Policy template group: policy_group1, тот самый шаблон, который мы сделали взамен дефолтного.
Send Initial Contact: yes, тут да.
NAT Traversal: yes, и здесь.
My ID Type: auto
Generate policy: port override
Lifitime: 1d 00:00:00
DPD Interval: 120
DPD Maximum failures: 5
Proposal check: obey


Настройки шифрования.
Hash algorithm: sha1
Encryption Algorithm: 3des aes-128 aes-256
DH Group: modp 1024

7. IP > IPSec > Proposals, так именуемы “Предложения”.
Как бы разъяснить этот момент? Скажем так, это то, какие варианты/опции подключения сумеет предложить наш сервер подключающимся клиентам.

Никто не мешает сделать иной сет предложений, но смысла я не вижу, пройдемся по дефолтному.
Name: default, в случае с сетапом по-умолчанию, имя остается постоянным, попытаетесь поменять – вылетит ошибка.
Auth algorithms: sha1, метод аутентификации.
Enrc.

Оставьте комментарий