Mikrotik настройка vpn: Настройка vpn (openvpn, l2tp, pptp, ipsec и др.) server в mikrotik
MikroTik настройка VPN PPTP Server на RouterOS
В сегодняшней статье мы рассмотрим настройку PPTP-сервера на Mikrotik (RouterOS) через Winbox. Роутер будет находиться на нашем тестовом стенде EVE-NG, по этому я буду использовать образ Mikrotik CHR 6.45.7 для виртуальных машин.
Пару слов о протоколе PPTP. Протокол является клиент-серверным, работает по TCP и использует в своей работе GRE. Стоит отметить, что ваши данные будут гарантированно доставлены благодаря использованию TCP. Зачастую бывает, что провайдер блокирует GRE, в результате соединение между клиентом и сервером не может установиться.
Имейте ввиду, что если вы собираетесь использовать внутри PPTP телефонию, то качество связи может ухудшиться. Предполагается что на роутере настроен доступ в интернет, и провайдер предоставляет публичный (белый) IP адрес.
Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.
Настройка
Для начало нам нужно подключится к роутеру через Winbox.
MikroTik имеет доступ в интернет через интерфейс ether1 с адресом 172.16.11.2/24. Так же на нем настроена локальная сеть на интерфейсе General-Bridge с адресом 192.168.10.1/24. В Bridge находятся интерфейсы ether2-ether4
Открываем вкладку PPP:
Нас интересует PPTP Server, и сразу дам рекомендацию, не нужно заходить в нее и включать сервер PPTP. Большая ошибка многих конфигураций — это использование стандартных профайлов. Прежде чем включать VPN, нужно создать и настроить новый. Он нужен для более тонкой настройки PPTP сервера Mikrotik. В нем мы включаем и отключаем нужные параметры. Предлагаю взглянуть.
Переходим в Profiles
Жмем на плюс, так же стандартные Profile не нужно удалять или выключать.
Перед нами открывается окно нового профайла. В строке «Name» задаем понятное имя. В строке Local Address указываем IP адрес Mikrotik в VPN. Я указываю 172.16.25.1. То есть при подключении клиента к PPTP VPN автоматически назначается именно это адрес для сервера Mikrotik.
В строке Remote Address указываю IP адрес или пул адресов для клиентов внутри VPN. Так как я буду подключать больше одного клиента к VPN, то создам пул из той же подсети.
Переходим в нужный нам раздел IP-Pool.
Создаю пул, нажатием плюс. Задаю имя PPTP-VPN-Clients и задаю IP адреса 172.16.25.10-172.16.25.20 в строке Address.
Нажимаем Apply и Ok. Проверяем, создался ли наш пул. Если все хорошо, то возвращаемся к созданию PPTP профайла.
В строке Remote Address выпадающего списка, стал доступен наш пул. Выбираем его.
Приведем свежующие параметры к такому виду:
- переключаем Change TCP MSS в yes;
- параметр Use UPnP переключаем в no.
Снова рекомендация, никогда не оставляйте default если хотите, чтобы все работало именно так как, вы планируете.
Переходим в Protocols и изменяем:
- Ставим no для Use MPLS;
- Ставим yes для Use Compression;
- Ставим yes для Use Encryption.
Далее в Limits указываем no для Only One. Остальные настройки можно не задавать. К примеру, если бы нужно было ограничить скорость клиента в VPN, то нас интересовала вкладка Queue – но это совсем другая история.
Теперь можно сохранять. Жмем Apply и OK
В списке должен появиться наш созданный профайл.
Нам осталось включить PPTP сервер на Mikrotik и настроить Firewall. Нас интересует PPTP в меню Interface.
Ставим галочку Enabled.
Выбираем в Default Profile наш созданный PPTP-General-Profile.
Authentication — для более безопасной проверки подлинности рекомендую использовать только mschap2. Мы отключаем все другие протоколы проверки подлинности, но будьте осторожны, т.к. некоторые устройства могут не поддерживать протокол MS-CHAPv2.
Жмем Apply и OK.
Настройка Firewall для PPTP Сервера
На этом еще не все, нам осталось настроить Firewall. Если ваш роутер с пустой конфигурацией, то делать ничего не нужно. Если у вас есть запрещающие правила входящего трафика, то нужно внести некоторые изменения.
Внимание, если вы используете default config, то правила вносить необходимо.
Переходим в Firewall. (IP-Firewall), выбираем Filter Rules и жмем плюс.
В окне создания New Firewall Rule выбираем цепочку input, поскольку трафик будет идти именно на роутер (входящий трафик).
Protocol выбираем gre.
Connection State ставим галочку new.
Далее идем во вкладку Action и в параметре Action проверяем чтобы значение было на accept.
Нажимаем Apply и OK.
Создаем еще одно. Нажимаем плюс. Все параметры остаются такие же, за исключением параметров Protocol и Dst.port.
Protocol выбираем tcp
Dst.port 1723.
Сохраняем и проверяем.
Все на месте. Обязательно после сохранения переместите их выше блокирующих, это значит если у вас есть блокирующее правило входящего трафика в цепочке input, то последние два нужно поднять.
Для удобства подпишем их одним комментарием.
Теперь понятно, что это за правила, в какой цепочке и для чего нужны.
Пару слов про блокировку GRE. Некоторые товарищи все же блокируют его, но как понять, доходит ли пакеты до нас?
Расскажу маленькую хитрость. В каждом правиле firewall есть счетчик, они называются Bytes и Packets.
Если в процессе подключения эти счетчики не изменяются, значит пакеты просто не доходят до вашего роутера. В подобных ситуациях нужно пробовать другие протоколы VPN. В следующий статье мы расмотрим настройку и подключение клиента к нашему PPTP серверу на оборудование микротик.
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.
Настраиваем VPN сервер PPTP на Mikrotik RouterOS / Прямые руки / Howitmake.ru
Я уже описывал настройку роутера для провайдера Beeline и как к нему прикрутить службу DDNS, для подключения к VPN серверу, но вот инструкцию о том как настроить сам VPN-сервер, я как-то упустил из виду. Я получил письмо с просьбой о том как настроить VPN сервер с возможностью выхода в интернет и доступа к локальной сети, ну я и решил исправить это недоразумение.
Для опытов мы сделаем настройки с использованием дефолтных параметров с использованием шифрования
Первым делом создаем пользователя, для этого переходим в раздел PPP
Заходим во вкладку Profiles
нас интересует профиль default-encryption его мы и используем, в дальнейшем вы сами сможете настроить профиль исходя из ваших задач и уровня паранойи
Далее, мы создадим пользователя, от имени которого мы будем подключаться к нашему vpn серверу, заходим во вкладку Secrets жмем + и создаем нового пользователя:
Где:
name — Имя пользователя
password — пароль
service — указываем тип сервиса pptp
profile — default-encryption
Local Address — указываем IP адрес который будет шлюзом для подключенных пользователей т.к. сеть не большая то можно указать IP шлюза в вашей локальной сети, если это ваш роутер.
Remote Address — адрес который будет выдаваться подключенным vpn клиентам из вашей локальной сети, главное чтобы этот адрес не выдавался DHCP сервером, чтобы не было конфликтов.
Мы создали пользователя с профилем нам осталось настроить и включить PPTP vpn сервер и разрешить к нему доступ.
Cнова заходим в PPP -> Interfaces жмем + и выбираем PPTP Server Binding
В открывшемся окне ничего не меняем, жмем Apply
У нас появился сервер PPTP, на второе подключения не обращайте внимания, через него я подключен к интернет.
наш сервер готов
Нам необходимо разрешить входящие подключения на фаерволле переходим IP->Firewall вкладка FilterRules Создаем новое правило
Где:
Chain — input правило для входящих пакетов
Protocol — tcp
Dest.Port — 1723 порт для подключения, служба работает на этом порту.
In.Interface — указываем сетевой интерфейс который используется для подключения к интернет у меня это l2tp-beeline, у вас скорее всего он будет другим.
Далее переходим во вкладку Action
В строке Action разрешаем пакеты указываем accept
Жмем Apply и OK
Пробуем подключиться снаружи и мы жмем выходить в интернет, но ресурсы локальной сети не доступны, тут все просто, нам необходимо на интерфейсе который обслуживает локальную сеть у меня это сетевой мост, включить arp-proxy
переходим в Bridge выбираем мост который обслуживает локальную сеть и в строке ARP выбираем arp-proxy(обведено красным!)
Теперь создаем VPN подключение к IP адресу который смотрит в интернет или DNS имя, о чем я рассказывал в статье Использование DDNS в MikroTik на примере changeip.com, настраиваем и устанавливаем подключение, все работает.
На этом все.
P.S. В принципе, протокол PPTP давно и успешно взломан, но зато у него есть определенные плюсы, данный протокол не требователен к ресурсам, а также широко распространен, его можно настроить даже не телефоне и ходить в интернет через ваш VPN сервер и если вы гоняете не слишком критичные данные, то схема имеет право на жизнь. Лично я использую данную схему если куда-то уезжаю, из другой страны всегда можно подключиться иначе некоторые сайты не хотят работать ссылаясь на то что вы не из России. Что еще можно настроить на MikroTik
Настройка VPN на Mikrotik, как настроить VPN между офисами
VPN-туннель Mikrotik является наиболее популярным типом связи, в основе которого лежит обычное интернет-соединение с помощью роутеров. В общих чертах подобные туннели представляют собой выделенную линию связи внутри основного соединения.
Необходимость установки такого соединения на роутерах MikroTik с последующей настройкой может возникнуть в нескольких случаях:
- Предоставления доступа к корпоративной сети одной организации сотрудникам, работающим удаленно или часто находящимся в командировках;
- Предоставления бесперебойного доступа в сеть абонентам того или иного провайдера;
- Соединение между собой посредством сети нескольких удаленных подразделений организации с минимальными затратами.
Основным преимуществом VPN-соединения является защита передаваемых данных, в то время как при использовании обычной сети обмен информацией происходит по открытым каналам в незашифрованном виде. Уровень защиты передаваемой информации будет напрямую зависеть от вида протокола, используемого при настройке сети. Например, наименее безопасным является протокол PPtP, а самым безопасным называют IPsec.
Варианты протоколов соединений на роутерах MikroTik
В процессе настройки сетевого подключения через роутер MikroTik обычно используются следующие виды шифрования данных:
- PPtP;
- PPPoE;
- OpenVPN;
- L2TP;
- IPSec.
Наиболее популярными протоколами являются PPtP и PPPoE. Однако стоит помнить, что уровень безопасности передаваемой информации в этих протоколах минимальный. Если вы собираетесь настроить подключение между двумя и более подразделениями, объединенными в корпоративную сеть, то лучше использовать протоколы OpenVPN на MikroTik, L2TP или IPSec. Уровень безопасности при передаче данных по этим протоколам намного выше.
Настройка VPN-соединения с помощью PPtP
Пошагово распишем настройку подключения к корпоративным сетям на примере наиболее известного протокола PPtP. Данный протокол объединяет в себе два других – TCP и GRE, первый из которых позволяет передавать данные, а второй используется для формирования пакетов (или инкапсуляции) для передачи по каналам связи. Данный протокол нашел свое применение в подключении пользователей к корпоративной сети, однако стоит помнить, что применение этого протокола не гарантирует полной безопасности передаваемой информации.
Настройка VPN через MikroTik с использованием протокола PPtP довольна проста. Для этого потребуется выполнить несколько действий:
- Создать VPN сервер на MikroTik роутере, который позволит участникам беспрепятственно пользоваться сетью;
- Завести для всех пользователей отдельный профиль с индивидуальными идентификаторами для быстрого самоопределения на сервере;
- Прописать исключающие правила для Firewall, которые позволят беспрепятственно работать и передавать данные.
Для создания PPtP-сервера необходимо обратиться в меню PPP, после чего перейти на вкладку Interface. В предложенном списке необходимо поставить галочку напротив PPtP-сервера, а также снять отметки с алгоритмов pap и chap – как показано на рисунке.
Для создания профилей участников сети в этом же разделе меню необходимо кликнуть по вкладке Secrets, где нажатием кнопки «+» добавляется требуемое количество клиентов сети.
В соответствующих строках Name и Password прописываются уникальные логин и пароль, с помощью которых будет проходить процедура идентификации пользователя на сервере.
В строке Service необходимо указать тип протокола передачи данных (в нашем случае это PPtP), в строке Local Address прописывается IP-адрес вашего роутера, используемого как сервер, в строке Remote Address указывается IP-адрес данного пользователя. Алгоритм действий повторяется для каждого участника сети. Стоит помнить, IP-адреса абсолютно для всех пользователей должны быть разными, как и логин с паролем.
Прописать исключающие правила для Firewall также не составит большого труда. Для этого необходимо сделать открытым 1723 порт, позволяющий передавать пакеты информации по TCP-протоколу, и разрешить работу по протоколу GRE. Эти действия обеспечат бесперебойную работу VPN-соединения на роутере MikroTik. Для этого во время настройки соединения необходимо последовательно перейти в подразделы меню IP и Firewall, после чего выбрать вкладку Filter Rules. Здесь простым нажатием кнопки «добавить» (или «+») прописываются все правила-исключения. В строке Chain прописывается входящий трафик (input), в строке Protocol необходимо указать TCP, а в строке Dst. Port прописывается значение порта туннеля «1723».
Точно таким же способом добавляется исключающее правило для GRE с тем лишь отличием, что в строке Protocol прописывается значение «GRE». В обоих случаях необходимо указать пункт «accept» на вкладке Action .
Оба правила должны находиться в самом верху списка, раньше запрещающих, в противном случае они просто не будут работать. В настройках роутера Mikrotik это можно осуществить простым перетаскиванием необходимых правил в пункте меню FireWall.
Выполнив эти простые действия, вы сможете без труда подготовить к работе VPN-сервер для работы под протоколом PPtP.
С клиентской стороны настройка подключения осуществляется намного проще и включает в себя непосредственное создание VPN-подключения с указанием адреса сервера и идентификационных данных пользователя (логина и пароля).
Видео по теме
Быстрого Вам интернета!
Настройка VPN через роутер MikroTik.
Необходимо организовать VPN соединение из СЕТИ2 к СЕРВЕРУ1 и к общей папке в СЕТИ1. Воспользуемся очень простым способом из возможностей MikroTik – VPN Access.
Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Маршрутизатор (роутер) MikroTik hEX RB750Gr3 настроен по этой инструкции. Он находится в СЕТИ1.
В СЕТИ2 фаервол Kerio Control. Чтоб он не блокировал VPN необходимо убрать IP адрес, с которого будет производится доступ в СЕТЬ1 из всех ограничивающих правил и фильтров.
С компьютера администратора в СЕТИ1 заходим в роутер MikroTik через WinBox. Например, находим его в списке окружающих устройств и жмем >>Connect.
Заходим в пункт меню Quick Set.
В самом низу открывшегося окна активируем галочкой VPN Access.
VPN Addres: 1234567890.xx.mynetname.net – Наш адрес для VPN подключения. Сохраняем или переписываем этот адрес.
VPN User – vpn (по умолчанию) имя пользователя для VPN подключения.
VPN Password – 12345678 – придумываем пароль.
Запоминаем или записываем учетные данные.
Нажимаем Apply или OK. На этом настройки роутера для VPN заканчиваются.
Далее, переходим в совершенно другую СЕТЬ2, в которой есть доступ к Интернету и заходим в требуемом компьютере в Центр управления сетями и общим доступом. Компьютер подключен к домену, настройки протокола TCP/IPv4 как на картинке ниже.
Выбираем – Настройка нового подключения или сети.
В открывшемся окне выбираем пункт – Подключение к рабочему месту. >>Далее.
На следующем шаге выбираем пункт – Использовать мое подключение к Интернету (VPN).
Вводим адрес VPN из роутера MikroTik. >>Далее.
Вводим логин и пароль, из роутера MikroTik (из пункта VPN Access). Жмем кнопку «Подключить»
Ожидаем некоторое время, пока происходит подключение. В итоге, в разделе сведений о сети можно увидеть два сетевых соединения – существующую доменную сеть и новое VPN-подключение. Назначаем статус новой сети – сеть предприятия.
VPN начал работать. Можно проверить ping с нужным СЕРВЕРОМ1 удаленной сети из командной строки или написать команду route print, чтоб увидеть таблицу маршрутизации.
Доступ к удаленному серверу можно осуществить, написав в окне подключения к удаленному рабочему столу его локальный IP адрес.
Для доступа к общей папке в удаленной сети необходимо открыть Мой Компьютер и в адресной строке написать IP-адрес компьютера, в котором находится общая папка, нажать Enter. Например: \\192.168.0.210 >>Enter.
В случае если откроется окно авторизации, как на картинке ниже, то в нем нужно указывать имя удаленного компьютера, через слэш имя пользователя удаленного компьютера и пароль, а не учетные данные VPN.
Вместо имя компьютера можно указать точку.
Функция VPN Access в MikroTik оказалась очень удобной и простой в настройке. Был проверен доступ к серверу из разных мест, в том числе из сети 3G и из домашней сети.
При подключении из нового места, если это переносной ноут-бук, нужно нажать на значок сети в нижней правой части экрана компьютера (в трее) , в раскрывшемся списке сетей выбрать необходимое VPN-подключение и нажать кнопку «Подключение». При подключении из другой сети и другого ПК, повторить настройку VPN-подключения.
Начнется соединение и откроется окно авторизации VPN. Вводим учетные данные VPN, отмечаем галочкой «Сохранить имя пользователя и пароль», нажимаем «Подключение».
В свойствах VPN-подключения можно выбрать различные протоколы шифрования, но без дополнительных настроек работает только PPTP.
Диапазон местной и удаленной сетей желательно должен быть разным. В моем случае он оказался одинаковым: 192.168.0.1 дома и 192.168.0.1 в офисе. VPN не захотел работать. После смены диапазона в домашней сети на 192.168.10.1 все заработало. Вобщем то это спорный вопрос, потому что в третьей сети заработали и одинаковые диапазоны.
В домашней сети замечены периодические реконнекты, возможно от динамического внешнего IP-адреса или проблем в связке модем – точка wi-fi (домашняя), тут я пока не стал разбираться в причинах. В сети 3G соединение работает стабильно, хотя тоже динамический внешний IP. Если VPN-сеть организуется для офисов, все же надежнее будет заказать у провайдера статический внешний IP-адрес.
Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
VPN IPSec/L2TP на Mikrotik за 5 минут
Иногда мне кажется, что создатели Mikrotik намеренно лишают себя прибыли, не создавая однозначных пошаговых руководств по настройке своих детищ. Почти 100% потребителей этих роутеров пытаются настроить VPN, использовать два или более WAN одновременно или в качестве резервных. Именно это ищут по всей сети (и часто вне рунета) счастливые владельцы этих замечательных устройств. Представьте, на сколько бы увеличилась армия владельцев, если бы для настройки этих функций было два-три визарда в веб-интерфейсе. А сейчас.. сейчас именно благодаря сложности настройки (и, соотв., меньшему количеству желающих купить) мы имеем недорогое, малокапризное для несложных задач устройство, которое надо заставить работать 24х7х365. Например, в качестве VPN-сервера. Поехали!
Протокол L2TP обеспечивает канал передачи данных, туннель.
IPSec обеспечивает защиту данных от просмотра.
Настраивать мы будем тоже по частям — сначала туннель, потом — защита данных.
Примечание 1: я не очень люблю текстовые команды с кучей ключей при настройке вещей, которые достаточно много где описаны, но описаны каждый раз с незаметными опечатками, где-то что-то не скопировалось при написании (или при копировании с другого сайта, что случается чаще всего) или просто съелось текстовым редактором CMS сайта. Настройка VPN как раз такой случай. Поэтому я специально каждый шаг прописал для GUI Mikrotik — Winbox, тем более что не так уж тут и много всего надо сделать.
Примечание 2: до версии 6.18 в прошивке есть баг, из-за которого всегда применяется default policy template, поэтому обновите прошивку до последней стабильной. Не обновляйте прошивку до самой последней, но нестабильной версии, если вы настраиваете VPN.
Итак, имеем роутер Mikrotik с прошивкой 6.30 (июль 2015) c LAN 192.168.88.0/24 (сеть по-умолчанию). WAN не важен, например, 1.2.3.4.
Настройка туннелирования (L2TP)
1. IP — Pool / Определям диапазон адресов VPN-пользователей
Name: vpn_pool
Addresses: 192.168.112.1-192.168.112.10
Next pool: none
Лучше для клиентов vpn использовать отдельную адресацию. Так проще отделять одних от других. И вообще, бест практис.
2. PPP — Profiles / Профиль для нашего конкретного туннеля
General:
Name: l2tp_profile
Local address: vpn_pool (а можно указать 192.168.88.1, сами смотрите, как вам больше нравится)
Remote address: vpn_pool
Change TCP MSS: yes
Protocols:
all to default:
Use MPLS: default
Use compression: default
Use Encription: default
Limits:
Only one: default
3. PPP — Secrets / Готовим пользователя VPN
Name: vpn_user1
Password: bla-bla-bla
Service: l2tp
Profile: l2tp_profile
4. PPP — Interface — клик на L2TP Server / Включаем сервер L2TP
Enabled — yes
MTU / MRU — 1450
Keepalive Timeout — 30
Default profile — l2tp_profile
Authentication — mschap2
Use IPSec — yes
IPSec Secret: tumba-yumba-setebryaki (это не пароль пользователя, а предварительный ключ, который надо будет указывать на клиентах в дополнение к логину/паролю)
Настройка шифрования данных в «туннеле» (IPSec)
На предыдущем этапе мы создали туннель для передачи данных и включили IPSec. В этом разделе мы настроим параметры IPSec.
5. IP — IPSec — Groups
Т.к. велика вероятность появления ошибки соединения с сервером из-за дефолтной группы, просто удалим и тут же создадим ее. Например, с именем «policy_group1». Также можно просто удалить эту группу, но через веб-интерфейс будут показываться ошибки.
6. IP — IPSec — Peers
Address: 0.0.0.0/0
Port: 500
Auth method: pre shared key
Passive: yes (set)
Secret: tumba-yumba-setebryaki (это не пароль пользователя!)
Policy template group: policy_group1
Exchange mode: main l2tp
Send Initial Contact: yes (set)
NAT Traversal: yes (set)
My id: auto
Proposal check: obey
Hash algorithm: sha1
Encryption Algorithm: 3des aes-128 aes-256
DH Group: modp 1024
Generate policy: port override
Lifitime: 1d 00:00:00
DPD Interval: 120
DPD Maximum failures: 5
7. IP — IPSec — Proposals / «Предложения».
Что-то вроде «что мы можем вам предложить». Другими словами, задаем опции подключения, которые смогут пытаться использовать удаленные клиенты.
Name: default
Auth algorithms: sha1
Enrc. algorithms: 3des, aes-256 cbc, aes-256 ctr
Life time: 00:30:00
PFS Group: mod 1024
Вы наверняка заметили, что пункты 6 и 7 похожи, а если еще добавить, что один и тот же Secret мы добавляли и пункте 4 и пункте 6, то возникает вопрос: почему одни и те же опции повторно настраиваются? Ответ у меня такой: чисто из практики вышло, что Windows 7 требовал одного, а iPhone — другого. Как так работает, не знаю. Но факт чисто из практики. Например, изменяю в Proposal PFS Group на 2048 — Windows нормально коннектиться, а iPhone перестает. Делаю наоборот (в proposal ставлю 1024, а в ip-ipsec-peers ставлю 2048) — iPhone коннектиться, а Windows — нет 🙂 Т.е. при подключении разных клиентов используются разные части конфигов. Бред? Может быть, это следствие постепенных изменений в конфигурацию VPN сервера, не могу сказать, т.к. может иметь место даже влияние старых прошивок, конфигов и др. Я не исключаю, что что-то здесь избыточно, но что именно, не знаю.
Firewall
Давайте уж к консоли, что-ли для разнообразия:
/ip firewall filter
add chain=input action=accept protocol=udp port=1701,500,4500
add chain=input action=accept protocol=ipsec-esp
Если у вас по-умолчанию политика forward установлена в drop (последнее правило для forward «chain=forward action=drop»), вам может быть необходимым разрешить forward с ip-адресов vpn_pool в локальную сеть:
add chain=forward action=accept src-address=192.168.112.0/24 in-interface=!ether1 out-interface=bridge-local comment=»allow vpn to lan» log=no log-prefix=»»
Вот теперь с сервером все.
Подключение удаленного клиента
Пробуем подключить Windows 7:
Панель управленияСеть и ИнтернетЦентр управления сетями и общим доступом:
Настройка нового подключения или сети
Подключение к рабочему месту
Создать новое подключение
Использовать мое подключение к интернету (VPN)
Интернет-адрес: ip или имя роутера в сети
Пользователь и пароль из PPP->Secrets. В нашем случае это vpn_user1 и его пароль.
Пытаемся подключиться.
Если не выходит, или просто надо настроить созданное подключение:
Вкладка Безопасность:
Тип VPN: L2TP IPSec VPN
Дополнительные параметры: для проверки подлинности использовать предварительный ключ. В нашем случае это «tumba-yumba-setebryaki» (IP — IPSec — Peers):
Здесь же, в группе «Проверка подлинности», оставляем только CHAP v2:
Жмем ОК и пытаемся подключиться. Должно получиться. Если нет, загляните на страницу ошибок при настройке VPN.
Update 1: часто люди интересуются, как несколько (больше одного) клиентов из одной локальной сети (за nat) могут подключаться к одному удаленному vpn-серверу микротик. Не знаю, как в L2TP/IPSec связке это обеспечить. Можно назвать это багом реализации. Я не нашел простого объяснения и решения проблемы.
Источник
Настройка туннель VPN соединение Mikrotik PPTP шифрование
Спасибо за инструкцию пользователям Rualark и Sadula!
1. Откройте Winbox Mikrotik.
2. Добавьте новый интерфейс PPTP:
«Interfaces» > «+» > PPTP Client
«Name»: vpnki
«Type»: PPTP Client
3. Далее выберите вкладку «Dial Out»
«Connect to»: msk.vpnki.ru
«User»: <UsеrXXX> — Имя пользователя Вашего подключения
«Password»: <Ваш пароль>
«Profile»: default encryption
«Keepalive Timeout»: 60
«Allow»: mschap2, chap, mschap1, pap
4. Переходим на вкладку «IP» > «Route List» и проверяем в таблице наличие маршрута 172.16.0.0/16
Если он отсутствует, то добавляем вручную
5. Если вы объединяете две сети с Микротиками на обоих сторонах, то для доступа к другой сети, подключенной через другой туннель, необходимо на сайте в разделе сайта «Мои настройки / Настройки туннелей» выбрать каждый из двух туннелей и добавить сеть, находящуюся за этим туннелем, а затем в Mikrotik Winbox на вкладке «IP» > «Routes» добавить маршрут к удаленной сети через адрес 172.16.0.1.
Это нужно делать на каждом из устройств Mikrotik. Например, если сеть 192.168.9.0 подключена к локальному устройству Mikrotik, а сеть 192.168.8.0 находится за удаленным устройством Mikrotik, то на локальном устройстве Mikrotik необходимо добавить маршрут к сети 192.168.8.0:
Дополнение про L2TP
Команды, которые нужно добавить в консольном режиме настройки
/ip route
add distance=1 dst-address=172.16.0.0/16 gateway=172.16.0.1
add distance=1 dst-address=192.168.8.0/24 gateway=172.16.0.1
/interface l2tp-client
add connect-to=msk.vpnki.ru disabled=no ipsec-secret=vpnki name=vpnki password=xxx use-ipsec=yes user=xxx
PS: В целях борьбы с зависшими сессиями мы принудительно отключаем пользовательские туннели с протоколами PPTP, L2TP, L2TP/IPsec через 24 часа после установления соединения. При правильной настройке соединения должны автоматически переустановиться.
Наша система будет работать с многими типами домашних и офисных маршрутизаторов. Более подробно смотрите в разделе по настройке оборудования, а начать настройку лучше с этого примера.
ДОПОЛНИТЕЛЬНО ПО ТЕМЕ
- Про VPN и протоколы можно почитать здесь
VPN через PPPoE на MikroTik — Cloud Networks
О чём эта статья
Статья описывает настройку маршрутизаторов MikroTik с целью организации стабильного канала VPN к виртуальным машинам в сервисах MCS.
Своей распространенностью в последнее время VPN по протоколу PPPOE обязан провайдерам, предоставляющим широкополосный, в т. ч. беспроводной доступ в интернет. Протокол предполагает возможность сжатия данных, шифрования, а также характеризуется:
Доступностью и простотой настройки.
Поддержкой большинством маршрутизаторов MikroTik.
Стабильностью.
Масштабируемостью.
Устойчивостью зашифрованного трафика к ARP-спуфингу (сетевой атаке, использующей уязвимости протокола ARP).
Меньшей ресурсоемкостью и нагрузкой на сервер, чем PPtP.
Также его преимуществом является возможность использования динамических IP-адресов: не нужно назначать определенный IP конечным узлам VPN-туннеля. Подключение со стороны клиента осуществляется без сложных настроек, только по логину и паролю.
Настройка VPN-сервера PPPoE MikroTik
Настраиваем профили сервера
Несколько профилей PPPoE-сервера могут понадобиться, если вы провайдер и раздаете интернет по нескольким тарифным пакетам. Соответственно, в каждом профиле можно настроить разные ограничения по скорости.
Идем в раздел PPP, открываем пункт Profiles и с помощью кнопки «+» создаем новый профиль. Даем ему понятное нам название, прописываем локальный адрес сервера (роутера), отмечаем опцию Change TCP MSS (корректировку MSS), для того, чтобы все сайты нормально открывались.
Кстати, в некоторых случаях, когда возникают проблемы с открытием некоторых сайтов, при том, что пинги на них проходят, можно сделать по-другому. Корректировку MSS отключаем, а через терминал прописываем на роутере следующее правило:
«ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no».
В большинстве случаев это решает проблему.
Далее на вкладке Protocols все отключаем, для улучшения производительности. Если защищенность соединения для вас важна и производительность маршрутизатора позволяет, то опцию Use Encryption(использовать шифрование) не отключайте.
На вкладке Limits устанавливаем ограничения по скорости, если нужно. Первая цифра в ограничении скорости — входящий трафик на сервер (исходящий от абонента), вторая — наш исходящий трафик (входящий у абонента).
Ставим Yes в пункте Only One, это значит, что два и более абонентов с одним и тем же набором логин/пароль не смогут подключиться к PPPoE-серверу, только один.
Теперь, если необходимо, создаем остальные профили простым копированием (кнопка Copy на предыдущем скриншоте) и меняем имя и ограничение по скорости.
Создаем учетные записи пользователей
В том же разделе PPP находим пункт меню Secrets. В нем с помощью кнопки «+» создаем нового пользователя, который будет подключаться к нам по VPN-туннелю.
Заполняем поля Name и Password (логин и пароль, который будет вводить пользователь со своей стороны, чтобы подключиться).
В поле Service выбираем pppoe, в Profile — соответствующий профиль, в данном случае — тарифный пакет, которым пользуется абонент. Присваиваем пользователю IP-адрес, который при подключении сервер раздаст абоненту.
Если подключаем несколько пользователей, создаем для каждого из них отдельную учетную запись, меняя имя/пароль и IP-адрес.
Привязываем PPPoE сервер к определенному интерфейсу MikroTik
Теперь нам необходимо сообщить маршрутизатору, на каком интерфейсе он должен «слушать» входящие подключения от VPN PPPoE клиентов. Для этого в разделе PPP мы выбираем пункт PPPoE Servers. Здесь мы меняем:
Поле Interface — выбираем тот
MikroTik настройка VPN PPTP сервера на RouterOS
В сегодняшней статье мы рассмотрим настройку PPTP-сервера на Mikrotik (RouterOS) через Winbox. Роутер будет находиться на нашем тестовом стенде EVE-NG, по этому я буду использовать образ Mikrotik CHR 6.45.7 для виртуальных машин.
Пару слов о протоколе PPTP. Протокол является клиент-серверным, работает по TCP и использует в своей работе GRE. Стоит отметить, что ваши данные будут гарантированно доставлены благодаря использованию TCP.За блок бывает, что провайдер блокирует GRE, в результате соединения между клиентом и сервером не может установиться.
Имейте ввиду, что если вы собираетесь использовать внутри PPTP телефонию, то качество связи может плохо работать. Предполагается, что на роутере настроен доступ в интернет, и провайдер публичный (белый) IP-адрес.
Если вы хотите углубить свои знания по работе с роутерами MikroTik, то мы рекомендуем пройти курсы, которые сделаны на основе сертифицированного специалиста MikroTik по сети и расширены автором на основе опыта.Подробно читайте ниже.
Настройка
Для начала нам нужно подключится к роутеру через Winbox.
MikroTik имеет доступ в интернет через интерфейс ether1 с адресом 172.16.11.2/24. Так же на нем настроена локальная сеть на интерфейсе General-Bridge с адресом 192.168.10.1/24. В Bridge находятся интерфейс ether2-ether4
Открываем вкладку PPP:
Нас интересует сервер PPTP, и сразу дам рекомендацию.Большая ошибка многих пользователей — это использование стандартных профайлов. Прежде чем вернуться VPN, нужно создать и настроить новый. Он нужен для более тонкой настройки PPTP сервера Mikrotik. В нем мы включаем и отключаем нужные параметры. Предлагаю взглянуть.
Переходим в Профили
Жмем на плюс, так же стандартный профиль не нужно удалять или выключать.
Перед нами открывается окно нового профайла. В строке «Имя» задаем понятное имя.В строке Local Address указываем IP-адрес Mikrotik в VPN. Я указываю 172.16.25.1. То есть при подключении клиента к PPTP VPN автоматически назначается именно это адрес для сервера Mikrotik.
В строке Remote Address указываю IP-адрес или пул адресов для клиентов внутри VPN. Так как я буду подключаться больше одного клиента к VPN, чтобы создать пул из той же подсети.
Переходим в нужный нам раздел IP-Pool.
Создаю пул, нажатием плюс. Задаю имя PPTP-VPN-Clients и задаю IP-адрес 172.16.25.10-172.16.25.20 в строке Address.
Нажимаем Применить и Ок. Проверяем, создан ли наш пул. Если все хорошо, то возвращаемся к созданию PPTP профайла.
В строке Удаленный адрес выпадающего списка, стал доступен наш пул. Выбираем его.
Приведем свежующие параметры к такому виду:
- переключаем Изменить TCP MSS в yes;
- параметр Use UPnP переключаем в no.
Снова рекомендация, никогда не оставляйте по умолчанию, чтобы все работало именно так, как вы планируете.
Переходим в Протоколы и изменяем:
- Ставим нет для Use MPLS;
- Ставим да для Использовать сжатие;
- Ставим да для Использовать шифрование.
Далее в Пределы указываем нет для Only One. Остальные настройки можно не задавать. К примеру, если бы нужно было ограничить скорость клиента в VPN, чтобы нас интересовала вкладка Queue — но это совсем другая история.
Теперь можно увидеть.Жмем Применить и ОК
В списке должен появиться наш созданный профайл.
Нам осталось включить PPTP сервер на Mikrotik и Firewall. Нас интересует PPTP в меню Интерфейс.
Ставим галочку Включено.
Выбираем в Default Profile наш созданный PPTP-General-Profile.
Authentication — для более безопасной проверки подлинности рекомендую использовать только mschap2. Мы отключаем все другие протоколы проверки подлинности, но будьте осторожны, т.к. некоторые устройства могут не поддерживать протокол MS-CHAPv2.
Жмем Применить и ОК.
Настройка межсетевого экрана для PPTP Сервера
На этом еще не все, нам осталось настроить Firewall. Если ваш роутер с пустой конфигурацией, то делать ничего не нужно. Если у вас есть запрещающие правила входящего трафика, то нужно внести некоторые изменения.
Внимание, если вы используете конфигурацию по умолчанию, правила вносить необходимо.
Переходим в Firewall.(IP-Firewall), выбираем Filter Rules и жмем плюс.
В окне создания нового правила брандмауэра выбираем цепочку ввода, поскольку трафик будет идти именно на роутер (входящий трафик).
Протокол выбираем gre.
Состояние подключения ставим галочку новое.
Далее идем во вкладку Действие и в параметрах Действие проверяем, чтобы значение было на accept.
Нажимаем Применить и ОК.
Создаем еще одно. Нажимаем плюс.Все параметры остаются такие же, за исключением параметров протокола и Dst.port.
Протокол выбираем tcp
Дст.порт 1723.
Сохраняем и проверяем.
Все на месте. Обязательно после переместите их выше блокирующие, это значит, если у вас есть блокирующее правило входа входящего трафика в цепочке, то последние два нужно поднять.
Для удобства подпишем их один комментарийрием.
Теперь понятно, что это за правила, в какой цепочке и для чего нужны.
Пару слов про блокировку GRE. Некоторые товарищи все же блокируют его, но как понять, доходит ли пакеты до нас?
Расскажу маленькую хитрость. В каждом правиле firewall есть счетчик, они называются Bytes и Packets.
Если в процессе подключения эти счетчики не изменяются, значит пакеты, просто не доходят до вашего роутера. В подобных ситуациях нужно пробовать другие протоколы VPN. В следующей статье мы расмотрим настройку и подключение клиента к нашему PPTP серверу на оборудование микротик.
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.
.
Настраиваем VPN-сервер PPTP на Mikrotik RouterOS / Прямые руки / Howitmake.ru
Я уже описал настройку роутера для провайдера Beeline и как к нему прикрутить службу DDNS, для подключения к VPN-серверу, но вот инструкция о том, как настроить сам VPN-сервер, я как-то упустил из виду. Я получил письмо с просьбой о том как настроить VPN-сервер с помощью выхода в интернет и доступа к локальной сети, ну я и решил исправить это недоразумение.
Для опытов мы сделаем настройку с использованием дефолтных параметров с использованием шифрования
Первым делом создаем пользователя, для этого переходим в раздел PPP
Заходим во вкладку Профили
нас интересует профиль default-encryption его мы и используем, в дальнейшем вы сами сможете настроить профиль из ваших задач и уровня паранойи
Далее, мы создадим пользователя, от имени которого мы будем подключаться к нашему vpn серверу, заходим во вкладку которого Секреты жмем + и создаем нового пользователя:
Где:
имя — Имя пользователя
пароль — пароль
service — указываем тип сервиса pptp
профиль — default-encryption — default-encryption Локальный адрес — указываем IP-адрес будет шлюзом для подключенных пользователей т.к. сеть не большая то можно указать IP-шлюза в вашей локальной сети, если это ваш роутер.
Удаленный адрес — адрес, который будет выдаваться подключенным vpn клиентам из вашей локальной сети, главное, чтобы этот адрес не выдавался DHCP сервером, чтобы не было конфликтов.
Мы создали профильем пользователя, нам осталось настроить и включить сервер PPTP vpn и разрешить к нему доступ.
Cнова заходим в PPP -> Интерфейсы жмем + и выбираем Связывание сервера PPTP
В открывшемся окна ничего не меняем, жмем Применить
У нас появился сервер PPTP, на второе подключение не обращайте внимания, через него я подключен к интернету.
наш сервер готов
Нам необходимо разрешить входящие подключения к фаерволле переходим IP-> Firewall вкладка FilterRules Создаем новое правило
Где:
Chain — входное правило для входящих пакетов
Протокол — tcp
Dest.Port — 1723 порт для подключения, служба работает на этом порту.
In.Interface — указываем сетевой интерфейс, который используется для подключения к интернету у меня l2tp-beeline , у вас скорее всего он будет другим.
Далее переходим во вкладку Действие
В строке Действие разрешаем пакеты указываем accept
Жмем Применить и OK
Пробуем подключиться снаружи и мы жмем выходить в интернет, но ресурсы сети не доступны, тут все просто, нам необходим интерфейс, который обслуживает локальную сеть у меня это сетевой мост, включить arp-proxy
переходим в Bridge выбираем мост, который обслуживает локальную сеть и в строке ARP выбираем arp-proxy (обведено красным!)
Теперь создаем VPN подключение к IP адресу, который смотрит в интернет или DNS имя, о чем я рассказывал в статье Использование DDNS в MikroTik на примере changeip.com, настраиваем и устанавливаем подключение, все работает.
На этом все.
P.S. В принципе, протокол PPTP давно и успешно взломан, но зато у него есть плюсы, данный протокол не требуетателен к ресурсам, а также широко распространен, его можно даже настроить не телефон и ходить в интернет через ваш VPN сервер, и если вы гоняете не слишком критичные данные, то схема имеет право на жизнь. Лично я использую эту схему, которая используется в других странах, всегда можно подключиться к другим странам.Что еще можно на настроить MikroTik
.
Настройка туннель VPN соединение Mikrotik PPTP шифрование
Спасибо за инструкцию пользователям Rualark и Sadula!
1. Откройте Winbox Mikrotik.
2. Добавьте новый интерфейс PPTP:
«Интерфейсы»> «+»> Клиент PPTP
«Наименование»: впнки
«Тип»: клиент PPTP
3. Далее выберите вкладку «Dial Out»
«Подключиться к»: мск.впнки.ru
«Пользователь»:
«Пароль»: <Ваш пароль>
«Профиль»: шифрование по умолчанию
«Тайм-аут Keepalive»: 60
«Разрешить»: mschap2, chap, mschap1, pap
4. Переходим на вкладку «IP»> «Список маршрутов» и проверяем в таблице наличие маршрута 172.16.0.0/16
Если он отсутствует, то добавляем вручную
5.Если вы объединяете две сети с Микротиками на обоих сторонах, то для доступа к другой сети, подключенной через другой туннель, необходимо на сайте в разделе сайта «Мои / Настройки туннелей» выбрать каждый из двух туннелей и добавить сеть, находящуюся за этим туннелем, а затем в Mikrotik Winbox на вкладке «IP»> «Маршруты» добавить маршрут к удаленной сети через адрес 172.16.0.1.
Это нужно делать на каждом из устройств Mikrotik. Например, если сеть 192.168.9.0 подключена к локальному устройству Mikrotik, а сеть 192.168.8.0 находится за удаленным устройством Mikrotik, в локальном устройстве Mikrotik необходимо добавить маршрут к сети 192.168.8.0:
Дополнение про L2TP
Команды, которые нужно добавить в консольном режиме настройки
/ IP-маршрут
добавить расстояние = 1 dst-адрес = 172.16.0.0 / 16 шлюз = 172.16.0.1
добавить расстояние = 1 dst-адрес = 192.168.8.0 / 24 шлюз = 172.16.0.1
/ интерфейс l2tp-client
добавить connect-to = msk.vpnki.ru отключен = нет ipsec-secret = vpnki name = vpnki password = xxx use-ipsec = yes user = xxx
PS: Для борьбы с зависающими сессиями принудительно отключаем пользовательские туннели с протоколами PPTP, L2TP, L2TP / IPsec через 24 часа после соединения. При правильной настройке соединения должны автоматически переустановиться.
Наша система будет работать с типами домашних и офисных маршрутизаторов.Более подробно смотрите в разделе по настройке оборудования, а начать настройку лучше с этого примера.
ДОПОЛНИТЕЛЬНО ПО ТЕМЕ
- Про VPN и протоколы можно почитать здесь
.