Mikrotik настройка pptp client. НАСТРОЙКИ MIKROTIK PPTP

Настройка VPN через MikroTik – PPtP и PPPoE

VPN-туннели – всераспространенный вид связи типа “точка-точка” на базе обычного интернет-соединения через роутеры MikroTik. Они представляют собой, по сущности “канал снутри канала” – выделенную линию снутри основной.

Необходимость опции туннельного VPN-соединения на MikroTik возникает в вариантах, когда:

  • Требуется предоставить доступ к корпоративной сети сотрудникам предприятия, которые работают из дома, либо находясь в командировке, в том числе с мобильных устройств.
  • Требуется предоставить доступ в веб абонентам провайдера (в крайнее время таковая реализация доступа клиентов становится все наиболее популярной).
  • Необходимо соединить два удаленных подразделения предприятия защищенным каналом связи с минимальными затратами.

 

В отличие от обыкновенной сети, где данные передаются открыто и в незашифрованном виде, VPN является защищенным каналом связи. Уровень защиты зависит от типа туннельного протокола, избранного для соединения. Так, менее защищенным считается протокол PPtP, даже его “верхний” метод аутентификации mschap2 имеет ряд заморочек сохранности и просто взламывается. Более безопасным считается набор протоколов IPsec.

Несмотря на укоряющую картину, время от времени смысл в выключении шифрования и аутентификации все же есть. Почти все модели MikroTik не поддерживают аппаратное шифрование, и обработка всех действий, связанных с защитой соединения происходит на уровне CPU. Если сохранность соединения не является для вас критичным моментом, а производительность используемого роутера оставляет желать лучшего, то отключение шифрования можно употреблять для разгрузки процессора. 

Выбор протокола для VPN на MikroTik

Для опции соединения по VPN через MikroTik почаще всего употребляются последующие протоколы:

  • PPtP,

  • PPPoE,

  • OpenVPN,

  • L2TP,

  • IPSec.

В нынешней статье мы разглядим настройку подключения VPN с помощью 2-ух из их, как более нередко встречающихся в работе провайдера и системного администратора: PPtP и PPPoE. О настройке VPN на MikroTik с помощью OpenVPN у нас есть отдельная статья.

VPN через PPtP на MikroTik

PPtP – самый всераспространенный протокол VPN. Представляет собой связку протокола TCP, который употребляется для передачи данных, и GRE – для инкапсуляции пакетов. Почаще всего применяется для удаленного доступа юзеров к корпоративной сети. В принципе, может употребляться для почти всех задач VPN, но следует учесть его изъяны в безопасности.

Прост в настройке. Для организации туннеля требуется:

  • создать на роутере MikroTik, через который юзеры будут подключаться к корпоративной сети, PPtP-сервер,

  • создать профили юзеров с логинами/паролями для идентификации на стороне сервера,

  • создать правила-исключения Firewall маршрутизатора, для того, чтоб подключения беспрепятственно проходили через брандмауер.

 Включаем PPtP сервер.

Для этого идем в раздел меню PPP, заходим на вкладку Interface, вверху в списке вкладок находим PPTP сервер и ставим галочку в пункте Enabled.

Снимаем галочки с менее безопасных алгоритмов идентификации – pap и chap.

 Создаем пользователей.  

В разделе PPP перебегаем в меню Secrets и с помощью клавиши “+” добавляем новейшего пользователя.

В полях Name и Password прописываем, соответственно логин и пароль, который будет применять юзер для подключения к туннелю.

Читайте также  Открытие документа росреестр. Как открыть данные Росреестра в человекочитаемом формате

В поле Service избираем тип нашего протокола – pptp, в поле Local Address пишем IP-адрес роутера MikroTik, который будет выступать в роли VPN-сервера, а в поле Remote Address – IP-адрес пользователя

  Прописываем правила для Firewall. 

Нам необходимо открыть 1723 порт для трафика по TCP-протоколу для работы VPN-туннеля MikroTik, а также разрешить протокол GRE. Для этого идем в раздел IP, позже – в Firewall, позже на вкладку Filter Rules, где с помощью клавиши “+” добавляем новое правило. В поле Chain указываем входящий трафик – input, в поле Protocol избираем протокол tcp, а в поле Dst. Port – указываем порт для VPN туннеля 1723.

Переходим тут же на вкладку Action и избираем accept – разрешать (трафик).

Точно также добавляем правило для GRE. На вкладке General аналогично предыдущему прописываем input, а в поле Protocol выбираем gre. 

На вкладке Action как и в прошлом правиле выбираем accept.

Не забываем поднять эти правила в общем перечне наверх, поставив ПЕРЕД запрещающими правилами, по другому они не будут работать. В RouterOS Mikrotik это можно сделать перетаскиванием правил в окне FireWall.

Все, PPtP сервер для VPN на MikroTik поднят.

 Небольшое уточнение.

В неких вариантах, когда при подключении необходимо созидать локальную сеть за маршрутизатором, необходимо включить proxy-arp в настройках локальной сети. Для этого идем в раздел интерфейсов (Interface), находим интерфейс, соответственный локальной сети и на вкладке General в поле ARP выбираем proxy-arp.

Если вы подняли VPN меж 2-мя роутерами MikroTik и для вас нужно разрешить передачу broadcast, можно испытать добавить имеющийся профиль подключения (PPP – Profiles) удаленного роутера в бридж главного:

UPD из комментария: Ежели для вас дополнительно необходимо получить доступ к расшаренным папкам на компах локальной сети, пригодится также открыть порт 445 для проходящего трафика SMB-протокола, который отвечает за Windows Shared. (Правило forward в брандмауере).

 Настройка клиента.

На стороне VPN-клиента опции состоят лишь в том, чтоб сделать подключение по VPN, указать IP-адрес VPN (PPtP) сервера, логин и пароль пользователя.

VPN через PPPoE на MikroTik

Своей распространенностью в крайнее время VPN по протоколу PPPOE должен провайдерам, предоставляющим широкополосный, в т. ч. беспроводной доступ в веб. Протокол подразумевает возможность сжатия данных, шифрования, а также характеризуется:

  • Доступностью и простотой настройки.

  • Поддержкой большинством маршрутизаторов MikroTik.

  • Стабильностью.

  • Масштабируемостью.

  • Устойчивостью зашифрованного трафика к ARP-спуфингу (сетевой атаке, использующей уязвимости протокола ARP).

  • Меньшей ресурсоемкостью и перегрузкой на сервер, чем PPtP.

Также его преимуществом является возможность использования динамических IP-адресов: не необходимо назначать определенный IP конечным узлам VPN-туннеля. Подключение со стороны клиента осуществляется без сложных опций, лишь по логину и паролю.

Настройка VPN-сервера PPPoE MikroTik

 Настраиваем профили сервера.

Несколько профилей PPPoE-сервера могут пригодиться, ежели вы провайдер и раздаете веб по нескольким тарифным пакетам. Соответственно, в каждом профиле можно настроить различные ограничения по скорости.

Идем в раздел PPP, открываем пункт Profiles  и с помощью клавиши “+” создаем новейший профиль. Даем ему понятное нам заглавие, прописываем локальный адресок сервера (роутера), отмечаем опцию Change TCP MSS (корректировку MSS), для того, чтоб все веб-сайты нормально открывались.

Читайте также  Андроид как сделать снимок экрана. Принтскрин на Андроиде, как правильно делать скриншот?

Кстати, в неких вариантах, когда появляются препядствия с открытием неких веб-сайтов, при том, что пинги на их проходят, можно сделать по-другому. Корректировку MSS отключаем, а через терминал прописываем на роутере последующее правило:

“ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360  disabled=no”. В большинстве случаев это решает проблему.

Далее на вкладке Protocols все отключаем, для улучшения производительности. Ежели защищенность соединения для вас принципиальна и производительность маршрутизатора дозволяет, то опцию Use Encryption (использовать шифрование) не отключайте.

На вкладке Limits устанавливаем ограничения по скорости, ежели необходимо. 1-ая цифра в ограничении скорости  – входящий трафик на сервер (исходящий от абонента), 2-ая – наш исходящий трафик (входящий у абонента).

Ставим Yes в пт Only One, это означает, что два и наиболее абонентов с одним и тем же набором логин/пароль не сумеют подключиться к  PPPoE-серверу, лишь один.

Теперь, ежели нужно, создаем другие профили обычным копированием (кнопка Copy на прошлом скриншоте) и меняем имя и ограничение по скорости.

 Создаем учетные записи пользователей.

В том же разделе PPP находим пункт меню Secrets. В нем с помощью клавиши “+” создаем новейшего юзера, который будет подключаться к нам по VPN-туннелю.

Заполняем поля Name и Password (логин и пароль, который будет вводить юзер со собственной стороны, чтоб подключиться).

В поле Service избираем pppoe, в Profile – соответственный профиль, в данном случае – тарифный пакет, которым пользуется абонент. Присваиваем юзеру IP-адрес, который при подключении сервер раздаст абоненту.

Если подключаем несколько юзеров, создаем для каждого из их отдельную учетную запись, меняя имя/пароль и IP-адрес.

 Привязываем PPPoE сервер к определенному интерфейсу MikroTik.

Теперь нам нужно сказать маршрутизатору, на каком интерфейсе он должен “слушать” входящие подключения от VPN PPPoE клиентов. Для этого в разделе PPP мы избираем пункт PPPoE Servers. Тут мы меняем:

Поле Interface – избираем тот интерфейс, к которому будут подключаться клиенты,

  • Keepalive Timeout – 30 секунд (время ожидания ответа от клиента до разрыва соединения)
  • Default Profile – профиль, который будет присваиваться подключаемым абонентам по умолчанию,
  • Ставим галку в One Session Per Host, тем самым разрешая подключение лишь 1-го туннеля с маршрутизатора клиента либо компьютера.
  • Галочки в разделе аутентификации оставляем/снимаем по усмотрению.

 Настраиваем NAT для доступа клиентов в интернет.

Мы подняли PPPoE сервер и сейчас к нему могут подключаться авторизованные юзеры. Ежели нам необходимо, чтоб подсоединившиеся по VPN туннелю юзеры имели доступ в веб, необходимо настроить NAT (маскарадинг), либо преобразование локальных сетевых адресов.

В разделе IP избираем пункт Firewall и с помощью клавиши “+” добавляем новое правило.

В поле Chain обязано стоять srcnat, что значит, что маршрутизатор будет использовать это правило к трафику, направленному “изнутри наружу”.

В поле Src. Address (исходный адрес) прописываем спектр адресов 10.1.0.0/16. Это значит, что все клиенты с адресами 10.1. (0.0-255.255) будут выходить в сеть через NAT, т. е. мы перечисляем тут всех вероятных абонентов.

В поле Dst. Address (адрес назначения) указываем !10.0.0.0/8 – спектр адресов, значащий собственное адресное место для личных сетей, с восклицательным знаком впереди. Это показывает роутеру на исключение – ежели кто-то из локальной сети обращается на адресок в нашей же сети, то NAT не применяется, соединение происходит напрямую.

Читайте также  Xlive dll скачать для windows 7. Скачать xlive.dll для Windows

А на вкладке Action прописываем, фактически, действие маскарадинга – замены локального адреса устройства на наружный адресок роутера.

Настройка VPN-клиента PPPoE

Если на той стороне VPN туннеля подключение будет происходить с компа либо ноутбука, то просто необходимо будет сделать скоростное подключение через PPPoE в Центре управления сетями и общим доступом (для Win 7, Win 8). Ежели на 2-ой стороне – тоже роутер Mikrotik, то подключаем последующим образом.

 Добавляем PPPoE интерфейс.

На вкладке Interface избираем PPPoE Client  и с помощью клавиши “+” добавляем новейший интерфейс.

Здесь в поле Interface мы избираем тот интерфейс роутера Mikrotik, на котором мы организуем VPN-туннель.

 Прописываем опции подключения.

Далее перебегаем на вкладку Dial Out и вписываем логин и пароль для подключения к VPN туннелю PPPoE.

Ставим галочку в поле Use Peer DNS – для того, чтоб адресок DNS сервера мы получали с сервера VPN (от провайдера), а не прописывали вручную.

Настройки аутентификации (галочки в pap, chap, mschap1, mschap2) должны быть согласованы с сервером.

Lantorg.com

НАСТРОЙКИ MIKROTIK PPTP

Спасибо за аннотацию юзерам Rualark и Sadula!

 

1. Откройте Winbox Mikrotik.

 

2. Добавьте новейший интерфейс PPTP:

“Interfaces” > “+” > PPTP Client

“Name”: vpnki

“Type”: PPTP Client

 

3.  Далее выберите вкладку “Dial Out”

“Connect to”: msk.vpnki.ru

“User”: <UsеrXXX> – Имя юзера Вашего подключения

“Password”: <Ваш пароль>

“Profile”: default encryption

“Keepalive Timeout”: 60

“Allow”: mschap2, chap, mschap1, pap

 

4. Перебегаем на вкладку “IP” > “Route List” и проверяем в таблице наличие маршрута 172.16.0.0/16

Если он отсутствует, то добавляем вручную

 

5. Ежели вы объединяете две сети с Микротиками на обоих сторонах, то для доступа к иной сети, присоединенной через иной туннель, нужно на веб-сайте в разделе веб-сайта «Мои опции / Опции туннелей» выбрать каждый из 2-ух туннелей и добавить сеть, находящуюся за сиим туннелем, а потом в Mikrotik Winbox на вкладке “IP” > “Routes” добавить маршрут к удаленной сети через адресок 172.16.0.1.

Это необходимо делать на каждом из устройств Mikrotik. К примеру, ежели сеть 192.168.9.0 подключена к локальному устройству Mikrotik, а сеть 192.168.8.0 находится за удаленным устройством Mikrotik, то на локальном устройстве Mikrotik нужно добавить маршрут к сети 192.168.8.0:

 

Дополнение про L2TP

Команды, которые необходимо добавить в консольном режиме настройки

add distance=1 dst-address=172.16.0.0/16 gateway=172.16.0.1
add distance=1 dst-address=192.168.8.0/24 gateway=172.16.0.1
add connect-to=msk.vpnki.ru disabled=no ipsec-secret=vpnki name=vpnki password=xxx use-ipsec=yes user=xxx

 

 

PS: В целях борьбы с зависшими сессиями мы принудительно отключаем пользовательские туннели с протоколами PPTP, L2TP, L2TP/IPsec через 24 часа опосля установления соединения. При правильной настройке соединения должны автоматом переустановиться.

 

 

Наша система будет работать с почти всеми типами домашних и офисных маршрутизаторов. Наиболее тщательно смотрите в разделе по настройке оборудования, а начать настройку лучше с этого примера.

ДОПОЛНИТЕЛЬНО ПО ТЕМЕ

  • Про выход в Веб через VPN и центральный кабинет можно почитать здесь
  • Про VPN и протоколы можно почитать здесь

Оставьте комментарий